Die IT-Umgebung eines Unternehmens muss eine wachsende Zahl gesetzlicher Vorschriften und Richtlinien einhalten. IT Compliance Manager achten darauf. ZDNet beschreibt das Aufgabengebiet sowie die erforderlichen Qualifikationen für diesen relativ neuen Beruf.
Vom Datenschutz bis zur digitalen Rechnungslegung: Das Thema IT ist in fast allen Unternehmen von großer Bedeutung, da die meisten Informationen elektronisch fließen, auch im Austausch mit internationalen Standorten, Partnern und Kunden. Gesetzgeber und Branchenorganisationen haben auf die zunehmende Digitalisierung der Geschäftswelt mit zahlreichen Rechtsnormen und Standards reagiert. Beispiele hierfür sind das Bundesdatenschutzgesetz[1], Basel II[2] oder die GDPdU[3] (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen).
IT-Compliance wird daher immer wichtiger[4]. "Unternehmen müssen die gesetzlichen Vorgaben in interne Richtlinien umsetzen und die IT-Prozesse so gestalten, dass sie diese Anforderungen einhalten und deren Einhaltung dokumentieren. Denn es darf keine Rechtsverstöße geben", erklärt Markus Gaulke, Senior Manager im Bereich Advisory - Information Risk Management bei der Wirtschaftsprüfungsgesellschaft KPMG und zugleich Vorstandsmitglied im German Chapter des internationalen IT-Prüfungsverbands ISACA[5]. Er will das Thema IT-Compliance[6] in das Bewusstsein der Öffentlichkeit rücken.
Für Markus Gaulke ist IT-Compliance mehr als IT-Sicherheit und Datenschutz nach gesetzlichen und unternehmensinternen Vorgaben. Weitere Aspekte sind für ihn Archivierung und Datensicherung, die Regelung der Informationssicherheit und der Mitarbeiter-Rechte bei Telefon, E-Mail und Internet, Urheberrecht sowie Lizenzmanagement. Ein weites Feld also mit steigenden Haftungsrisiken für Unternehmen. Viele Firmen haben daher einen IT Compliance Manager als Regelwächter eingesetzt, der dafür sorgt, dass die IT alle Gesetze und Regularien konsequent befolgt. Er ist - vor allem in größeren Unternehmen - meist dem Chief Compliance Officer zugeordnet.
Aufgaben und Anforderungen
Das Aufgabengebiet eines IT Compliance Manager ist jedoch nicht klar umrissen und abhängig vom jeweiligen Unternehmen. "Manchmal ist er nur die Person, die Compliance-Prozesse mit Hilfe der IT umsetzt und beispielsweise Zugriffsrechte definiert und zuweist", so Professor Michael Klotz vom Information Management Team (SIMAT[7]) an der FH Stralsund, Autor eines Leitfadens rund um IT-Compliance und Leiter des Zertifikatskurs "IT Compliance Manager" der Frankfurt School of Finance&Management.
Doch laut Klotz sollte der IT Compliance Manager mehr sein als ein Erfüllungsgehilfe des Chief Compliance Officer: "In vielen Unternehmen ist der IT Compliance Manager höher angesiedelt - etwa in der IT-Leitung oder -Revision - und koordiniert die IT im gesamten Unternehmen. Er kennt die Geschäftsprozesse, Rahmenwerke wie COBIT oder ITIL sowie die Rechtsvorschriften."
Michael Klotz formuliert damit ein anspruchsvolles Profil, das juristische, betriebswirtschaftliche und fundierte IT-Kenntnisse erfordert, ganz zu schweigen von kommunikativen Fähigkeiten. Schließlich muss der IT Compliance Manager die gesetzlichen Regeln und Vorgaben bis in die Fachabteilungen tragen und die Umsetzung in Prozesse überwachen. "Hier besteht großer Koordinations- und Abstimmungsbedarf sowie Potenzial für Konflikte", so Klotz.
Auch Markus Gaulke vom ISACA-Verband sieht den IT Compliance Manager als Kommunikator, der sich mit Prozessen im Unternehmen auskennt: "Er muss bei den Mitarbeitern ein Bewusstsein für Compliance schaffen und ihnen erklären, warum diese so wichtig ist. Zudem ist es seine Aufgabe, Prozesse einzurichten die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen." Dazu gehören auch Stichproben, Kontrollsysteme und die Definition von Zugriffsrechten.
Angesichts der Anforderungen an einen IT Compliance Manager ist klar, dass diese Position langjährige Erfahrung voraussetzt. "Der Ideal-Kandidat sollte am besten über mindestens zehn Jahre Berufserfahrung in der IT verfügen und Wirtschaftsinformatik mit einem Schwerpunkt IT-Recht studiert haben. Dann würde er neben den IT-Kenntnissen die juristischen Regelwerke kennen und zugleich die Geschäftsprozesse verstehen", erklärt Klotz. Doch diese eierlegende Wollmilchsau ist nur selten zu finden, da es keine geregelte Ausbildung beziehungsweise kein Studium für das Berufsbild IT Compliance Manager gibt.
Bildergalerie
IT-Sicherheit und Compliance im Mittelstand[8]
» zur Bildergalerie ...[8]Für IT Compliance Manager etablieren sich daher derzeit Zertifikatskurse als Zusatzqualifikation, die meist eine Woche dauern und das Spektrum Gesetzgebung, IT und Organisation abdecken. Zu nennen sind hier etwa die Zertifikatskurse "IT Compliance Manager" PRW-Consulting[9] von oder der Frankfurt School of Finance&Management[10]. Letztere vergibt das Zertifikat gemeinsam mit dem Germany Chapter des IT-Prüfungsverbandes ISACA, einer der Kursleiter ist Michael Klotz.
Interessant ist ein Blick auf den beruflichen Hintergrund der Teilnehmer des Zertifikatskurses in Frankfurt. Laut Klotz waren das bislang vor allem IT-Auditoren, verantwortliche IT-Revisoren, Datenschutzbeauftragte in Unternehmen, IT-Bereichsleiter, Wirtschaftsprüfer und Spezialisten, die Teilbereiche wie IT-Sicherheit oder IT-Risikomanagement abdecken.
Im einwöchigen Seminar erfahren sie zunächst etwas über die Trends und die treibenden Kräfte der IT-Compliance, bevor es an die gesetzlichen und andere regulatorische Vorgaben etwa zum Datenschutz geht. Im nächsten Schritt lernen sie (Best Practice-)Referenzmodelle kennen, mit denen sie den Compliance-Anforderungen in ihrem Unternehmen begegnen können. Dazu gehören COBIT, ISO 27000 oder ITIL. Am Ende erhalten die Teilnehmer Tipps, wie sie mit Hilfe von Prozessen oder internen Kontrollsystemen IT Compliance in ihrem Unternehmen gewährleisten. Ob und wie sie das Gelernte dann in die Praxis umsetzen und Rechtssicherheit für ihr Unternehmen schaffen, bleibt offen.
URLs in diesem Artikel:
[1] = http:/
[2] = http:/
[3] = http:/
[4] = http:/
[5] = http:/
[6] = http:/
[7] = http:/
[8] = http:/
[9] = http:/
[10] = http:/