Wächter über die Regeln: der Weg zum IT Compliance Manager

Michael Klotz formuliert damit ein anspruchsvolles Profil, das juristische, betriebswirtschaftliche und fundierte IT-Kenntnisse erfordert, ganz zu schweigen von kommunikativen Fähigkeiten. Schließlich muss der IT Compliance Manager die gesetzlichen Regeln und Vorgaben bis in die Fachabteilungen tragen und die Umsetzung in Prozesse überwachen. „Hier besteht großer Koordinations- und Abstimmungsbedarf sowie Potenzial für Konflikte“, so Klotz.

Auch Markus Gaulke vom ISACA-Verband sieht den IT Compliance Manager als Kommunikator, der sich mit Prozessen im Unternehmen auskennt: „Er muss bei den Mitarbeitern ein Bewusstsein für Compliance schaffen und ihnen erklären, warum diese so wichtig ist. Zudem ist es seine Aufgabe, Prozesse einzurichten die verhindern, dass Unternehmensdaten ungeschützt nach außen gelangen.“ Dazu gehören auch Stichproben, Kontrollsysteme und die Definition von Zugriffsrechten.

Angesichts der Anforderungen an einen IT Compliance Manager ist klar, dass diese Position langjährige Erfahrung voraussetzt. „Der Ideal-Kandidat sollte am besten über mindestens zehn Jahre Berufserfahrung in der IT verfügen und Wirtschaftsinformatik mit einem Schwerpunkt IT-Recht studiert haben. Dann würde er neben den IT-Kenntnissen die juristischen Regelwerke kennen und zugleich die Geschäftsprozesse verstehen“, erklärt Klotz. Doch diese eierlegende Wollmilchsau ist nur selten zu finden, da es keine geregelte Ausbildung beziehungsweise kein Studium für das Berufsbild IT Compliance Manager gibt.

Für IT Compliance Manager etablieren sich daher derzeit Zertifikatskurse als Zusatzqualifikation, die meist eine Woche dauern und das Spektrum Gesetzgebung, IT und Organisation abdecken. Zu nennen sind hier etwa die Zertifikatskurse „IT Compliance Manager“ PRW-Consulting von oder der Frankfurt School of Finance&Management. Letztere vergibt das Zertifikat gemeinsam mit dem Germany Chapter des IT-Prüfungsverbandes ISACA, einer der Kursleiter ist Michael Klotz.

Interessant ist ein Blick auf den beruflichen Hintergrund der Teilnehmer des Zertifikatskurses in Frankfurt. Laut Klotz waren das bislang vor allem IT-Auditoren, verantwortliche IT-Revisoren, Datenschutzbeauftragte in Unternehmen, IT-Bereichsleiter, Wirtschaftsprüfer und Spezialisten, die Teilbereiche wie IT-Sicherheit oder IT-Risikomanagement abdecken.

Im einwöchigen Seminar erfahren sie zunächst etwas über die Trends und die treibenden Kräfte der IT-Compliance, bevor es an die gesetzlichen und andere regulatorische Vorgaben etwa zum Datenschutz geht. Im nächsten Schritt lernen sie (Best Practice-)Referenzmodelle kennen, mit denen sie den Compliance-Anforderungen in ihrem Unternehmen begegnen können. Dazu gehören COBIT, ISO 27000 oder ITIL. Am Ende erhalten die Teilnehmer Tipps, wie sie mit Hilfe von Prozessen oder internen Kontrollsystemen IT Compliance in ihrem Unternehmen gewährleisten. Ob und wie sie das Gelernte dann in die Praxis umsetzen und Rechtssicherheit für ihr Unternehmen schaffen, bleibt offen.