IT Governance
So organisieren Sie Ihre IT Compliance
Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Information ist ein leicht zu bewegendes Gut. Deshalb ist in der IT die Versuchung groß, Preisvorteile und Skaleneffekte durch das internationale Zusammenführen und Verarbeiten von Daten zu erreichen.
Eine Vielzahl internationaler Gesetze und Regelungsbereiche bedrohen Nutzer und Leistungsbereitsteller bei ihren Aktivitäten. Will die IT Abteilung compliant bleiben, also sich den Gesetzen und Regelungen konform verhalten, steht sie vor einer komplexen Herausforderung.
Komplexität
Zu den Aufgaben des IT ComplianceCompliance Managements gehören beispielsweise die Identifikation und Bewertung von Compliance-Risiken, Defiziten und Vorfällen sowie die Einleitung und Kontrolle von Gegenmaßnahmen und den damit verbundenen Aktivitäten. Inhaltlich geht es dabei üblicherweise um DatenschutzDatenschutz, Corporate Social Responsibility (CSR), Finanz-Compliance und Verrechnungspreise, Arbeitnehmerüberlassung, Export- und Embargorecht, Lizenzeinhaltung, aber auch um Bestechlichkeit, Unterschlagung, Urheberrecht, Altgeräteentsorgung, Arbeitsschutz oder Persönlichkeitsrechte im Bereich Social MediaSocial Media. Alles zu Compliance auf CIO.de Alles zu Datenschutz auf CIO.de Alles zu Social Media auf CIO.de
Objekte der Betrachtung sind neben den eigentlichen Themen dann operativ die Verfahren und Systeme, ihre Komponenten sowie Dienstleister und Richtlinien. Denn letztendlich müssen die Informationen im Kontext von Vorhaben, bei der Beschaffung, der Vertragsgestaltung, im Rahmen von Audits oder bei der regelmäßigen Erstellung der DSB-Verfahrensverzeichnisse oder CSR-Berichte zeitnah und aktuell zur Verfügung stehen.
Dazu kommt eine hohe Dynamik bezüglich der Gesetze, Normen, Standards und internen Verfahren. Die Fachabteilung und die IT-Kollegen sind entsprechend zu beraten und die verschiedenen Compliance-interessierten Gruppen mit Informationen zu versorgen. Und das Ganze natürlich im globalen Kontext. Adäquate Entscheidungen können jedoch nur auf Basis von relevanten und verlässlichen Informationen getroffen werden. Will der CIO diese Aufgabe nicht selber übernehmen, benötigt er einen Beauftragten für Compliance-Fragen in der IT oder einen IT-kundigen Compliance-Experten in der Organisation, mit ausreichend Zeit, Kompetenz und Unterstützung.
Komplexitätsbeherrschung
In einer kleinen lokal agierenden Organisation mit fünf Anwendungen und drei Service-Partnern, in der nur selten ein Vorhaben oder eine Beschaffung erfolgt, lassen sich die notwendigen Informationsobjekte und ihre Beziehungen häufig direkt oder mithilfe einer Excel-Tabelle überblicken. Größere und international agierende Organisationen mit einigen Dutzend Verfahren und Dienstleistern werden allerdings zukünftig kaum ohne gut geschulte Kollegen und professionelle datenbankgestützte Unterstützungstools auskommen, wenn sie es mit der IT Compliance ernst nehmen. Unterschiedliche Klassen von IT Systemen können hierbei unterstützen. Unter dem Label des GRC (Governance, Risk und Compliance) tummeln sich mittlerweile diverse Anbieter, deren Lösungen zum Teil sehr unterschiedliche Unterstützungsbereiche abdecken. Hierzu ein kurzer Überblick, welche typischen Komponenten Hilfe anbieten.
Systemunterstützung
Da Compliance-Verstöße ein Risiko darstellen, sind Risiko-Management-Systeme (RMS) häufig der Ausgangspunkt für das Compliance-Management. Im RMS werden erkannte Risiken bewertet und StrategienStrategien festgelegt, wie man den Risiken begegnen möchte. Alles zu Strategien auf CIO.de
Wie die Strategien operativ umgesetzt werden, lässt sich mit sogenannten Internen Kontroll-Systemen (IKS) überprüfen. Eine Mitarbeiterschulung zu einem Compliance-Thema kann beispielsweise eine effektive Maßnahme sein. Wer für die Umsetzung verantwortlich ist und die erfolgte Schulung der Mitarbeiter bestätigen muss, wird im IKS festgehalten und zeitlich fixiert. Entsprechend wird die Bestätigung durch die verantwortlichen Mitarbeiter dokumentiert, so dass jederzeit ein Überblick möglich wird, in welchem Umfang angesetzte Maßnahmen auch tatsächlich operativ umgesetzt wurden.
Der Begriff des Internen Kontroll-Systems ist in der Compliance zwar nicht zwingend an ein bestehendes IT-System gekoppelt. Die systematische Verfolgung von Maßnahmen mit Hilfe von IT bietet sich jedoch in komplexen Umgebungen an. Manche Unternehmen stellen auch eine Verbindung zum e-Leaning-System her, soweit Compliance-Schulungen über ein solches System erfolgen. Zur Bestätigung und für Nachweise werden häufig eigenständige Dokumente, wie zum Beispiel Prüfberichte oder Protokolle erstellt. Diese sollten auditierbar abgelegt werden.
Im Zeitalter elektronischer Dokumente sind hierfür revisionssichere Dokumenten-Management-Systeme(DMS) oder Archivsysteme eine wertvolle Unterstützung. Sie erleichtern es, einen Nachweis zu führen, dass Dokumente nicht nachträglich nach Belieben geändert werden, und sind eine wichtige Komponente für die Glaubwürdigkeit der Compliance-Organisation. Häufig werden die Strukturierungsmöglichkeiten moderner DMS auch dazu genutzt, um Richtlinien, Qualitätsdokumente und Verträge zu verwalten. Geht es allerdings zusätzlich darum, deren Erstellungsprozesse zu managen, Fristen zu kontrollieren oder inhaltliche Daten zu analysieren, dann können ergänzende Systeme dazu treten, wie zum Beispiel Lizenz-, Vertrags- oder Qualitäts-Management-Systeme.
Für die Verwaltung von Systemen und Verfahren und die Analyse von Abweichungen und deren Steuerung werden zum Teil spezielle Verwaltungs- und Analyse-Werkzeuge angeboten. Je nach Schwerpunkt (FinanzenFinanzen oder operativer Betrieb) sind dies Asset-,System-/Service-Monitoring- oder Incident-Management-Systemen für die Verwaltung sowie e-Discovery- oder Data-Warehouse-Lösungen für die Analyse. Top-Firmen der Branche Finanzen
In sicherheitssensiblen oder besonders Risiko-/Chancen-behafteten Bereichen möchten manche Anwender zudem die Umsetzung einschränkender Berechtigungs-Policies in konkreten Systemen sicherstellen oder besondere Trends in der Geschäftsentwicklung anhand spezieller Indikatoren identifizieren. Für diese gibt es spezielle Systeme, die kontinuierlich die Einhaltung bestimmter Policies oder Datenzustände verifizieren. Solche kontinuierlich überwachenden Systeme werden auch unter dem Begriff des Continuous Control Monitoring oder als Frühwarnsysteme angeboten. Zudem können Workflow-Systeme bei Compliance-gerechten Freigabe- und Genehmigungsprozessen eine Rolle spielen.
Zur Informationsversorgung der hausinternen Compliance-Community sollten außerdem Systeme zur Verfügung stehen, die es erlauben Compliance News zu kommunizieren und Compliance-Themen zu erörtern. Hierfür bieten sich beispielsweise Wikis und Umfragetools an.
Einer Prüfung standhalten
Um das Funktionieren der Compliance den Verantwortlichen oder externen Prüfern nachzuweisen, - Juristen sprechen auch von der "Justiziabilität der Compliance" -, sind Berichte und Audits unverzichtbar. Das Wesen von Audits ist die Überprüfung von Sachverhalten anhand eines festgelegten Prüfungsschemas. Viele Auditierungs-Organisationen veröffentlichen Erwartungsstandards und Prüfkataloge. ISO-Normen, BSI-Grundschutzkataloge, IDW Prüfungsstandards oder Cobit können als hilfreiche Checklisten herangezogen werden, um die eigene Organisation zu optimieren und sich auf Prüfungen vorzubereiten. Als allgemeine Standards sind sie für das einzelne Unternehmen in der Regel viel zu umfassend und bedürfen der Interpretation für das eigene Unternehmen.
Ziel der Prüfungsvorbereitung ist es daher, die Bedeutung einer formulierten Vorgabe oder Frage zu bewerten, den angestrebten Erfüllungsgrad (als SOLL) festzulegen und diesen an der Realität (dem IST) zu spiegeln. Da die Beurteilung der Realität in der Praxis häufig der Einschätzung verschiedener Experten und Verantwortungsträger in der Organisation bedarf, ist das Zusammenstellen und Verteilen der Fragen sowie das Zusammentragen der Einschätzungen oft ein ziemlich aufwendiger Prozess. Entsprechende auditierungsunterstützende Systeme verwalten die Fragebögen der Standards, die Experten für die Fragen sowie die Antworten, identifizierten Defizite und ggf. die bestehenden Maßnahmen.
Die einzelnen Komponenten können für sich bereits große Hilfe bieten. Besondere Vorteile bieten jedoch integrierte Systeme und Cockpits, die es erlauben, die verschiedenen Informationen und Sichten zusammenzuführen und in verschiedenem Kontext zu betrachten.
Der Markt für GRC-Systeme ist noch relativ jung und die oftmals aus einzelnen Projekten entstandenen sehr schmalen Portfolios werden ständig erweitert. Deshalb lohnt es sich, genauer hinzuschauen welche Funktionalitäten mögliche Unterstützungskandidaten tatsächlich mitbringen und wie gut diese integriert sind. Auch sollte beachtet werden, dass man mit vielen der wichtigen Informationsträger im Unternehmen nur gelegentlich in Kontakt treten wird. Deshalb muss für diese Benutzergruppe der Schulungsaufwand minimal gehalten werden.
Fazit
Compliance hat sich für IT-Abteilungen zu einer unverzichtbaren, komplexen Aufgabenstellung entwickelt. Wer das Thema ernst nimmt, wird ein kompetentes IT-Compliance-Team für die Bewältigung der vielfältigen Aufgaben aufbauen oder einen entsprechenden Service-Partner dafür engagieren müssen. Verschiedene Informationstechnologien können dabei unterstützen, die Komplexität zu beherrschen. Die IT kommt jedoch nicht umhin, neben der technischen und wirtschaftlichen Entwicklung ihres Umfelds auch die Compliance-Entwicklung zu managen.