IT-Compliance Erfolgreiches Management regulatorischer Anforderungen

Transkript

1 Rath Sponholz IT-Compliance Erfolgreiches Management regulatorischer Anforderungen Leseprobe, mehr zum Buch unter ESV.info/ ES erich schmidt verl ag

2 IT-Compliance Erfolgreiches Management regulatorischer Anforderungen Leseprobe, mehr zum Buch unter ESV.info/ Von Dr. Michael Rath Rainer Sponholz ERICH SCHMIDT VERLAG

3 Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Weitere Informationen zu diesem Titel finden Sie im Internet unter ESV.info/ ISBN: Alle Rechte vorbehalten Erich Schmidt Verlag GmbH & Co., Berlin Dieses Papier erfüllt die Frankfurter Forderungen der Deutschen Nationalbibliothek und der Gesellschaft für das Buch bezüglich der Alterungsbeständigkeit und entspricht sowohl den strengen Bestimmungen der US Norm Ansi/Niso Z als auch der ISO-Norm Druck und Bindung: Hubert & Co., Göttingen

4 Vorwort Auf einer Konferenz zum Thema IT-Governance wurde (unter Beteiligung der beiden Autoren) intensiv darüber diskutiert, wie man überhaupt die Vielzahl regulatorischer Anforderungen an die im Unternehmen vorhandene Informationstechnologie (IT) erfüllen und damit IT-Compliance gewährleisten könne. Nach Ansicht einiger Teilnehmer dieser Diskussion sei es schon allein deshalb unmöglich, dauerhaft 100% IT-Compliance zu erreichen, da niemand in der Lage sei, alle diesbezüglichen Normen und Anforderungen überhaupt zu kennen: Die Anforderungen reichten von so trivialen Vorgaben wie der Bildschirmarbeitsplatzverordnung über steuerrechtliche Regelungen für die Anerkennung elektronischer Rechnungen bis hin zu den komplexen Bestimmungen in Bezug auf die Archivierung und Auswertung von (privaten und geschäftlichen) s. Darüber hinaus würde der Wirtschaftsprüfer jährlich anfragen, die Betriebsprüfer des Finanzamtes hätten sich neben der inzwischen etablierten Datenübernahme von steuerrelevanten Daten auch für die Sicherheitsmaßnahmen im Unternehmen interessiert gezeigt, und auch das Regierungspräsidium habe eine Datenschutzprüfung angekündigt. Als Ergebnis der Diskussion wurde festgestellt, dass sich nicht nur staatlich beaufsichtigte Branchen, in denen die regulatorischen Anforderungen an die Datenverarbeitung besonders hoch sind, mit den vielfältigen Aspekten von IT-Compliance befassen müssen, sondern grundsätzlich alle Unternehmen, die Informationstechnologie in ihrer täglichen Arbeit anwenden. Die Unternehmensleitung muss demgemäß sicherstellen, dass ihre IT so betrieben wird, dass das Unternehmen auf der einen Seite (gerade wegen seiner Abhängigkeit von der Funktionstüchtigkeit der Datenverarbeitung) auch im Notfall weiterarbeiten kann, auf der anderen Seite aber schutzwürdige Belange wie etwa Daten-, Verbraucher-, Anleger- und Mitarbeiterschutz gewährleistet sind. Wie aber erhält man überhaupt Kenntnis von den zahlreichen Anforderungen an die IT? Bei dem Streben nach der im Unternehmen notwendigen IT-Compliance gilt es zunächst, den Überblick zu bewahren und die Systematik der relevanten Regelungen zu verstehen. Dabei muss man ein- 7

5 Vorwort schätzen, wie verbindlich diese Regeln sind, ob sie also als formelles Gesetz, behördliche Richtline oder nur als Best Practice-Empfehlung zu betrachten sind. Diese Regularien werden in diesem Buch verallgemeinernd als regulatorische Anforderungen bezeichnet, auch wenn eine Vielzahl der hier dargestellten Bestimmungen eben gerade nicht von einem mit Normsetzungsbefugnis ausgestatteten Normgeber stammen. IT-Compliance bedeutet aber weit mehr als die bloße Einhaltung von IT-spezifischen Regularien. Dieses Werk will daher gerade nicht die unterschiedlichen regulatorischen Anforderungen aneinander reihen und schlicht deren stringente Beachtung postulieren. Vielmehr soll versucht werden, die Herkunft dieser Normen, deren unterschiedlichen Ziele sowie die unterschiedlichen Möglichkeiten der Umsetzung und des Management von IT- Compliance darzustellen. Wir sprechen daher in diesem Buch auch über das Wirkungsmodell von IT-Sicherheit, die Kosten von (IT)-Compliance, die entsprechender Prozesse und die passenden Werkzeuge, die sich hinter den Begriffen CobiT, ITIL und UCF verstecken. Dabei geht es uns auch darum, anhand von zunächst profan anmutenden Beispielen und der Darstellung einschlägiger Studien ein Gefühl für diese komplexe Materie zu vermitteln. Unser Dank gilt insbesondere Frau Karin Thelemann, Präsidentin der ISACA Deutschland, und Frau Manuela Buck sowie Herrn Christian Kraft für ihre wertvollen Hinweise und Anregungen. Weiterhin möchten wir den Herren Dr. Detlef Zimmer und Benno Rieger von der SIZ GmbH für die Zurverfügungstellung ihres IT-Sicherheits-Modells, den Herren Jörg Asma und Carsten Schirp von der KPMG AG Wirtschaftsprüfungsgesellschaft für ihre Hinweise zum Harmonised Shield und Herrn Markus Gaulke, ebenfalls von der KPMG, für das Praxisbesipiel zu den gemappten Standards danken. Ganz besondere Anerkennung verdient Herr Tobias Stähle für seine kritischen und zugleich konstruktiven Kommentare. Für die uns gegenüber geübte familiäre Geduld danken wir auch unseren beiden Ehefrauen Ute Sponholz und Gudrun Rath. Wir wünschen Ihnen viel Spaß bei der Lektüre und der anschließenden Umsetzung von IT-Compliance in der Praxis! Die Autoren 8

6 Inhaltsverzeichnis Vorwort... 7 Inhaltsverzeichnis... 9 Abkürzungsverzeichnis Abbildungsverzeichnis Kapitel 1: Ursprung und Ziele von (IT)-Compliance Governance IT-Governance Data Governance Governance-Risk-Compliance (GRC) Interdisziplinarität der IT-Compliance Zusammenfassende Kapitelübersicht Kapitel 2: Wirkungsmodell der IT-Sicherheit Entwicklung der Computersicherheit und Wirkungsmodell der IT- Sicherheit Allgemeines GRC-Wirkungsmodell und Anwendungsbeispiele Pflichtschutzmaßnahmen als regulatorische Anforderungen der IT-Compliance IT-Sicherheit als volkswirtschaftliche Aufgabe Fazit zum Thema IT-Compliance als Pflichtschutzmaßnahme im GRC-Wirkungsmodell Kapitel 3: Treiber von IT-Compliance Überblick Treiber der IT-Compliance im Detail Fazit zum Thema Treiber der IT-Compliance Kapitel 4: Rechtlicher Rahmen der IT-Compliance Regulatorische Anforderungen an IT-Compliance Normenhierarchie und Gültigkeit regulatorischer Anforderungen Regulatorische Institutionen der IT-Compliance und deren Ziele Diskussion der absoluten oder relativen Zielvorgaben für Pflichtschutzmaßnahmen der IT-Compliance Fazit zum rechtlichen Rahmen der IT-Compliance

7 Inhaltsverzeichnis Kapitel 5: IT-Compliance unter Einsatz von CobiT ISACA, ITGI und CobiT Das CobiT-Referenzmodell im Detail Kapitel 6: Kosten der IT-Compliance Grundsätzliche Überlegungen zur Wirtschaftlichkeit von IT- Compliance Anzahl der Anforderungen und Kostenwirkungen in der Praxis Rentabilitätsanalyse Fazit zur Wirtschaftlichkeits- und Nutzenbetrachtung der IT- Compliance Kapitel 7: Management von IT-Compliance Einleitung zum Management der IT-Compliance IT-Compliance-Organisation (Aufbau- und Ablauforganisation) Weitere Elemente der IT-Compliance-Organisation Kapitel 8: Der IT-Compliance-Prozess Gesamtprozess IT-Compliance Identifikation und Analyse von regulatorischen Anforderungen Zuordnung und Behebung von Kontrollschwächen Berichterstattung über Compliance Vorgehensmodell Initialprojekt IT-Compliance Kapitel 9: Werkzeuge des (IT)-Compliance-Managements Einsatz unternehmensübergreifender Standards Compliance-Management-Software Benchmarking des IT-Compliance-Management Ergebnisse aus den Benchmarkstudien der IT Policy Compliance Group Kapitel 10: Wesentliche Maßnahmen der IT-Compliance Managementansatz auf der Basis der wesentlichen Maßnahmen Maßnahmen der IT-Compliance auf Basis der Motivatoren für IT- Sicherheit aus Unternehmenssicht Maßnahmen der IT-Compliance auf Basis des Unified Compliance Framework (UCF) Beschreibung der wesentlichsten IT-Sicherheitsmaßnahmen bzw. IT-Compliance-Anforderungen IT-Sicherheit nach BSI-Leitfaden zur IT-Sicherheit Fazit zum Bereich der wesentlichen Maßnahmen der IT- Compliance Kapitel 11: Outsourcing und IT-Compliance IT-Outsourcing als gesamtwirtschaftliches Risiko? Reifegrad der IT und Auslagerungsfähigkeit

8 Inhaltsverzeichnis 11.3 Umfang der Abhängigkeit vom Auslagerungsunternehmen und Maßnahmen zur Reduzierung Nachweise der IT-Compliance bei Outsourcing Berichtstypen von SAS 70/ ISA 402-basierten Compliance- Nachweisen bei Outsourcing Diskussion zum Thema Nachweis der IT-Compliance bei Outsourcing Fazit zum Thema Outsourcing und IT-Compliance Kapitel 12: Schlussbetrachtung und Ausblick Anhang A/1 Linkliste zu IT-Compliance A/2 Übersicht IT-Compliance-Anforderungen des UCF A/3 Übersicht Compliance-Software A/4 Übersicht der Entwicklung von Gesetzen und Richtlinien für automatisierte Anlagen im Gesundheitsbereich Quellenverzeichnis Literaturverzeichnis Verzeichnis der verwendeten Gesetze, Verordnungen und Entscheidungen Verzeichnis der Internetquellen Stichwortverzeichnis Autorenportraits

9 Kapitel 1: Die Welt ändert sich, die Zeit wechselt, darum ist es gehörig, dass auch die gesetzlichen Ordnungen verändert werden. Lü Buwei, Kaufmann, Politiker und Philosoph 1 Im ersten Kapitel wird das theoretische Grundgerüst für die Definition von Compliance und Governance und die hieraus abgeleiteten Begriffe IT- Compliance, Data- und IT-Governance sowie GRC geschaffen. Für den Oberbegriff (IT)-Compliance 2 wird dabei eine interdisziplinäre Definition entwickelt, welche die normativen, handlungs- und nachweisorientierten Dimensionen dieses schillernden Terminus zusammenführt. Die Multidisziplinarität von IT-Compliance wird anhand verschiedener Rollen vom Juristen bis zum IT- Sicherheitsexperten verdeutlicht. Eine zusammenfassende Kapitelübersicht des vorliegenden Buches wird im letzten Unterkapitel 1.7 dargestellt. 1.1 Ursprung und Ziele von (IT)-Compliance Schon vor über 2300 Jahren formulierte der chinesische Kaufmann, Politiker und Philosoph Lü Buwei (ca v. Chr.) die allgemeingültige Erfahrung der Wandlung von regulatorischen Anforderungen im Zeitablauf, verursacht durch die Änderungen der Umwelt. Die Tatsache, dass sich unsere ökonomische und politische Umwelt sehr dynamisch durch Globalisierung, Technikfortschritt, die industrielle Entwicklung von Ländern wie China und Indien, Konflikte um Ressourcen, etc. ändert, wird uns jeden Tag eindrucksvoll in den Medien präsentiert. Auch die Welt der Informationstechnologie ändert sich, für jedermann erfahrbar und mit teilweise sehr hohem Tempo. Schumacher hat in seinem Essay Wirtschaft in Echtzeit 3 über die Ge Buwei, Lü: Frühling und Herbst des Lü Buwei, Buch XV, Kap. 8. In vielen Fällen gelten die Aussagen sowohl für die allgemeine Compliance wie auch für die IT-Compliance. Schumacher, Ulrich: Wirtschaft in Echtzeit Ein Essay über die Macht der Innovationszyklen, changex Partnerforum, S

10 schwindigkeiten in der IT- und Telekommunikationsindustrie geschrieben, dass diese ihre Zeit in Hundejahren messen müsse, wenn sie wettbewerbsfähig bleiben wolle. Entwicklungen von sieben IT-Hundejahren müssten danach in einem Menschenjahr realisiert werden. Die Produktlebenszyklen in der IT haben sich inzwischen von zehn auf sieben, fünf oder noch weniger Jahre verkürzt. Wenn sich die Umwelt so schnell ändert, dann entstehen damit veränderte Risikolagen und machen entsprechende Anpassungen der Regeln und Gesetze erforderlich. Im vorliegenden Buch werden wir uns vornehmlich mit den Regularien befassen, die sich auf die IT beziehen und daher (IT)-Compliance erfordern. Der Begriff (IT)-Compliance hat somit mehrere Dimensionen: Normative/legalistische Dimension Handlungsorientierte Dimension Nachweisorientierte Dimension Die nachfolgenden Definitionsversuche für (IT)-Compliance orientieren sich an diesen Dimensionen. Normative/legalistische Definitionen der IT-Compliance Der angelsächsische Begriff Compliance lässt sich in einer einfachen Form folgendermaßen übersetzen: 22 Einhaltung, Befolgung, Übereinstimmung und Einhaltung bestimmter Gebote 4 Kurz gesagt, verlangt Compliance danach per se nur die Einhaltung von Recht und Gesetz. K.-R. Müller definiert den Begriff Compliance erweitert: Konformität (Compliance, d.h. Übereinstimmung, Einhaltung) bezeichnet die Kenntnis und Einhaltung gesetzlicher, aufsicht[srecht]licher und vergleichbarer sowie vertraglicher und normativer Vorgaben und Anforde- 4 Hauschka, Günter: Corporate Compliance Handbuch der Haftungsvermeidung im Unternehmen, München, 2007, S. 2.

11 rungen, d.h. die Gesetzeskonformität und die Einhaltung von Standards, Bestimmungen und Verträgen. 5 Die Einhaltung von Regeln und Standards ist kein Selbstzweck. Vielmehr ist ein wesentlicher Schutzzweck der Normen und damit der Rechtsordnung das Interesse der Allgemeinheit an der Aufrechterhaltung einer innerbetrieblichen Organisationsform, mit der den von einem Unternehmen bzw. deren Geschäftstätigkeit ausgehenden Gefahren begegnet wird. Primäre Ziele von Corporate Governance und Compliance sind daher die Prävention von Schäden, der Versuch einer Schadensbegrenzung durch frühzeitige Aufdeckung von Rechtsverletzungen und die Erfüllung von Organisationspflichten. Handlungsorientierte Definition der IT-Compliance Compliance beinhaltet auch die präventive Einrichtung von Maßnahmen gegen Rechtsverstöße. Die tatsächliche Erreichung von Compliance wird damit noch komplexer. Zudem ist Compliance auch kein einmaliger Zustand, sondern erfordert einen fortlaufenden Prozess, der sich kontinuierlich mit Fragen der Aufbau- und Ablauforganisation, der Prozesssteuerung sowie des Risikomanagements beschäftigt. Die rein legalistische Definition von Compliance greift deshalb (auch nach Ansicht von T. Müller) unter Umständen zu kurz, da trotz optimaler Organisation des Unternehmens und umfassender Kontrolle der Geschäftsabläufe das Verhalten der Menschen ( Faktor Mensch ) als operationelles Risiko bestehen bleibt. Compliance soll daher immer auch das Ziel haben, den Mitarbeitern zu vermitteln, dass die Regelkonformität in ihrem Handeln begründet ist. T. Müller definiert den Compliance-Begriff deshalb stärker handlungsorientiert: Compliance umfasst die Aufgabe und die Funktion, in einem Unternehmen die Voraussetzungen und das Bewusstsein zu schaffen, dass alle Mitarbeitenden sämtliche für das Unternehmen relevanten Bestimmungen selbständig einhalten und einhalten können. Zudem ist Compliance für die Kontrolle und die Einhaltung der relevanten Bestimmungen besorgt. 6 5 Müller, Klaus-Rainer: Handbuch Unternehmenssicherheit, Viehweg-Verlag, 2005, 6 S Müller, Thomas: Compliance-Management in Versicherungsunternehmen in: St. Galler Trendmonitor für Risiko- und Finanzmärkte, S. 15 f. 23

12 Das folgende Schaubild zeigt die graphische Umsetzung des handlungsorientierten Compliance-Begriffs nach T. Müller: Abbildung 1: Handlungsorientierter Compliance-Begriff nach T. Müller 7 Umfassende Definition von IT-Compliance Die Einhaltung von Regeln im normativen und handlungsorientierten Sinn war und ist eine Selbstverständlichkeit und Bestandteil der Sorgfaltspflichten eines ordentlichen Kaufmannes. Doch die Bedeutung und der Nachweis der tatsächlichen Einhaltung haben sich durch die des Corporate Governance- Konzeptes in die Unternehmenswelt geändert. Wir wollen deshalb in den nächsten Abschnitten die Begriffe Governance, IT-Governance und Data Governance näher erläutern. Im Ergebnis muss jedenfalls das Management heute aktiv dafür sorgen, dass vorgegebene Regeln eingehalten werden, und muss diese Regelbefolgung jederzeit nachweisen können. Governance und Compliance bedingen sich daher gegenseitig und haben sich von der eigentlich selbstverständlichen Pflicht zu einer nur eingeschränkt delegierbaren Aufgabe des Managements gewandelt. Das Management muss dabei auch den auf die Informationstechnologie entfallenden Anteil der Compliance, die IT-Compliance, als Aufgabe der Geschäftsleitung begreifen. 7 Ebenda S

13 Fasst man nun die Begriffsdefinitionen der (IT)-Compliance zusammen, kommt man zu einer umfassenden Definition des Begriffes, den wir im Rahmen unserer Untersuchung verwenden wollen: Definition (IT)-Compliance: (IT)-Compliance bezeichnet die Kenntnis und Einhaltung sämtlicher regulatorischer Vorgaben und Anforderungen an das Unternehmen, die Aufgabe und die Einrichtung entsprechender Prozesse und die Schaffung eines Bewusstseins der Mitarbeiter für Regelkonformität, sowie die Kontrolle und Dokumentation der Einhaltung der relevanten Bestimmungen gegenüber internen und externen Adressaten. 1.2 Governance Die Begriffe Governance und Compliance stammen aus dem Bereich der Politikwissenschaften und wurden in die Wirtschaftswissenschaften übernommen. Der Begriff Governance wird zudem schon seit dem 13. Jahrhundert in Frankreich als politischer Begriff für die Art und Weise des Regierens und als Synonym für Government verwendet. In der Politikwissenschaft beinhaltet er nach Benz 8 Aspekte des Regierens, Steuerns und Koordinierens. In die Volkswirtschaftslehre wurde Governance als Begriff von Coase (1937) und Williamson (1985) im Zusammenhang mit der Transaktionskostentheorie eingeführt. Governance sind danach institutionelle Regelungen im Unternehmen, die der Verringerung der Transaktionskosten dienen. Die Bedeutung des Begriffes hat sich inzwischen zur Corporate Governance gewandelt, die Organisations- und Leitungsstrukturen oder die Beziehungen zwischen Eigentümern und Management eines Unternehmens meint. Das Forschungsfeld ist die Institutionenökonomie. Es hat sich eine veränderte Sichtweise auf Transaktionen und die Funktionsweise des Marktes ergeben, der nicht mehr nach einfachen Steuerungsmechanismen funktioniert, sondern der für eine effizienten Funktion bestimmter Regeln bedarf: 8 Benz, Arthur (Hrsg.): Governance Regieren in komplexen Regelsystemen, 2004, Wiesbaden, S

14 26 Die Existenz von Regeln und die Art und Weise der Regeldurchsetzung im Wirtschaftsprozess werden ( ) in der Wirtschaftswissenschaft mit dem Governance-Begriff erfasst. 9 Nach Benz gibt es einen konstanten Begriffskern für Governance in Organisationen mit folgenden unterschiedlichen Ausprägungen: 1. Governance bedeutet Steuern und Koordinieren (oder auch Regieren) mit dem Ziel des Managements von Interdependenzen zwischen (in der Regel kollektiven) Akteuren. 2. Steuerung und Koordination beruhen auf institutionalisierten Regelsystemen, welche das Handeln der Akteure lenken sollen, wobei in der Regel Kombinationen aus unterschiedlichen Regelsystemen (Markt, Hierarchie, Mehrheitsregel, Verhandlungsregeln) vorliegen. 3. Governance umfasst auch Interaktionsmuster und Modi kollektiven Handelns, welche sich im Rahmen von Institutionen ergeben (Netzwerk, Koalitionen, Vertragsbeziehungen, wechselseitige Anpassung im Wettbewerb). 4. Prozesse des Steuerns bzw. Koordinierens sowie Interaktionsmuster, die der Governance-Begriff erfassen will, überschreiten in aller Regel Organisationsgrenzen, insbesondere aber auch die Grenzen von Staat und Gesellschaft, die in der politischen Praxis fließend geworden sind. Politik in diesem Sinne findet normalerweise im Zusammenwirken staatlicher und nicht-staatlicher Akteure (oder von Akteuren innerhalb und außerhalb von Organisationen) statt. Das Governance-Konzept, welches sich in den Sozialwissenschaften immer weiter ausbreitet, wurde zu einer konzeptionellen Brücke für eine steigende Anzahl von Fachdisziplinen. Man kann eine Verbindung zur Systemtheorie herstellen, die in ähnlicher Weise in verschiedenen Wissenschaften verwendet wurde, oder kann die Governance-Theorie sogar als moderne Variante der Systemtheorie sehen Vgl. ebenda S. 16. Vgl. Schneider, Volker; Bauer, Johannes M.: Governance: Prospects of Complexity Theory in Revisiting System Theory presented at the annual meeting of the Midwest Political Science Association. Panel Political Theory and the Theories of Political Science, Chicago, Illinois, 14. April 2007, S. 4.

15 Lütz 11 fasst dies folgendermaßen zusammen: Im Kern richtet sich das Interesse der Governance-Debatte auf die Art und Weise, wie kollektives Handeln in der Politik, der Gesellschaft oder auch der Ökonomie koordiniert wird, und wie leistungsfähig unterschiedliche Formen institutioneller Arrangements diesbezüglich sind. Wenn wir mit dem Governance-Konzept die Ausweitung der Regelsysteme erklären und beschreiben können, dann bildet dies die Ausgangslage zur Erläuterung der Compliance, die als passendes Gegenstück zur Governance gesehen werden kann. Die Organisation muss die Einhaltung der Regeln gewährleisten, also einen Zustand der Regelkonformität bewirken. Compliance ist somit ein Teilaspekt der Governance. Zur Umsetzung des Themas Corporate Governance für deutsche Unternehmen wurde im Mai 2000 eine Regierungskommission mit der Bezeichnung Corporate Governance Unternehmensführung Unternehmenskontrolle Modernisierung des Aktienrechts gebildet. Unter anderem hat diese Kommission die Empfehlung ausgesprochen, einen Code of Best Practice für deutsche Unternehmen zu entwickeln. Hierfür wurde vom Bundesministerium der Justiz im September 2001 die Regierungskommission Deutscher Corporate Governance Kodex gebildet, die den Deutschen Corporate Governance Kodex entwickelt hat. Die Erstveröffentlichung erfolgte am 20. August Der Kodex wird seitdem jährlich von der Regierungskommission Deutscher Corporate Governance Kodex überprüft und veröffentlicht. 12 Im Deutschen Corporate Governance-Kodex wird der Begriff Compliance gleich mehrfach verwendet; der Terminus Compliance wird dabei allerdings nicht weiter erläutert, sondern nur indirekt definiert. Es wird dabei festgestellt, dass der Vorstand den Aufsichtsrat über Compliance zu informieren hat (Ziffer 3.4) und dass er für die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und auf deren Beachtung durch die Konzernunternehmen hinzuwirken hat (Compliance) (Ziffer 4.1.3). Der Aufsichtsrat soll dafür einen Prüfungsausschuss (Audit Committee) einrichten, der sich u.a. mit Compliance befassen soll (Ziffer 5.3.2) Lütz, Susanne: Zwischen Pfadabhängigkeit und Wandel Governance und die Analyse kapitalistischer Institutionenentwicklung in: polis Nr. 62 / 2006, S

16 1.3 IT-Governance In den vorangegangenen Abschnitten wurde das Konzept von Governance und Compliance dargestellt. IT-Governance und IT-Compliance lassen sich jedoch nicht auf die Regularien für den Einsatz von Informationstechnologie und deren Konformität reduzieren. IT-Governance wird im Wesentlichen vom volkswirtschaftlich geprägten Begriff der Corporate Governance abgeleitet und bezieht sich auf die Organisations- und Leitungsstrukturen und/oder die Beziehungen zwischen Eigentümern und Management eines Unternehmens. IT Governance liegt in der Verantwortung des Vorstands und des Managements und ist ein wesentlicher Bestandteil der Unternehmensführung. IT Governance besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt. 13 The organised capacity to guide the formulation of IT strategy and plans, direct development and implementation of initiatives and oversee IT operations in order to achieve competitive advantage for the corporation. 14 [Die organisatorische Fähigkeit, die Aufstellung von IT-Strategien und Plänen zu führen, die Entwicklung und Implementierung von Geschäftsinitiativen zu leiten und die IT-Produktion zu überwachen, um Wettbewerbsvorteile für das Unternehmen zu erreichen. Ü.d.V.] IT Governance Institute: IT Governance für Geschäftsführer und Vorstände, S.11. Deloitte Touche Tohmatsu: Cracking the IT Value Code, Deloitte Research Report, 2004, S. 2. Zum Thema Begriffsauffassungen zur IT-Governance vgl. Fröhlich, Martin; Glasner, Kurt; Goeken, Matthias; Johannsen, Wolfgang: Sichten der IT-Governance in: IT- Governance, Juli 2007, Heft 1, S. 3 8.

17 Als Ziele der IT-Governance werden vom IT Governance Institute genannt: Ausrichtung der IT an den Erfordernissen des Unternehmens Realisierung des versprochenen Nutzens Steigerung des Unternehmenswertes und des Nutzens der IT Verantwortungsvoller Umgang mit IT-Ressourcen Angemessenes Management von IT-[Risiken] und verwandten Risiken Am 1. Juni 2008 gab die International Organization for Standardization (ISO) den Standard ISO/IEC 38500:2008(E) Corporate Governance of Information Technology heraus. Der Standard lehnt sich an den Australischen Standard AS an. Der rund 20-seitige Standard richtet sich an die Unternehmensleitung und enthält Definitionen, Prinzipien und ein entsprechendes Modell. Die Prinzipien für eine Good Corporate Governance of IT sollen Grundlage für entsprechende Entscheidungen sein. Sie betreffen 1) Verantwortung, 2) Strategie, 3) Akquisition, 4) Performance, 5) Erfüllung/ Konformität (conformance i.s.v. Compliance) und 6) menschliches Verhalten. 17 Zweck des Standards ist es, den effektiven, effizienten und akzeptablen Einsatz der IT in allen Organisationen zu fördern, indem der Standard den Anteilseignern die Versicherung bietet, damit sie bei seiner Anwendung Zutrauen (Confidence) in die IT-Governance des Unternehmens haben können der Standard die Unternehmensleitung informiert und anleitet bei der Führung (Governing) des Einsatzes der IT in ihrer Organisation der Standard eine Basis bietet für eine objektive Bewertung (Evaluation) der Corporate Governance der IT. In der Entwurfsversion des ISO/IEC 38500:2008(E) wurde IT-Governance folgendermaßen definiert: 16 Standards Australia Committee IT-030, ICT Governance and Management: AS Corporate governance of information and communication technology, ISO: ISO/IEC standard for corporate governance of information technology, 29

18 30 IT Governance: The system by which the current and future use of IT is directed and controlled. It involves evaluating and directing the use of IT to support the organization and monitoring this use to achieve plans. 18 [IT-Governance: Das System, mit welchem die gegenwärtige und zukünftige Nutzung der IT geführt und gesteuert wird. Es umfasst die Bewertung und Führung der IT-Unterstützung für die Organisation und die Überwachung des IT-Einsatzes in Bezug auf die Zielerreichung. Ü.d.V.] Es gab bisher keine allgemein verbindlichen Definitionen der Begriffe IT-Governance und IT-Compliance. Hierauf weisen auch Fröhlich und Glasner 19 hin, die in Interviews herausfanden, dass IT-Vorstände/ IT-Leiter (Chief Information Officer, kurz CIO) nach wie vor kein einheitliches Verständnis von IT-Governance haben. IT-Governance wird demnach u.a. als Instrument zur Erreichung von Compliance, zur Verbesserung des operativen Betriebes z.b. im Bereich IT-Sicherheit oder zur Kostenreduktion gesehen. Dieses Verständnis ist möglicherweise dadurch entstanden, dass viele Berater und auch Softwarehersteller mit dem Aufmacher IT-Governance und IT-Compliance werben, in dem sie im Umfeld von SOX, GDPdU und anderen, im medialen Interesse stehenden Themen für ihre Produkte mit dem Argument der Vermeidung von Sanktionen durch Nicht-Compliance werben. Die Begriffe werden somit eher vom Markt her mit Bedeutung versehen und definiert als durch Forschung. In diese Richtung zielt auch Berlin, der einen Bedarf für Forschung und Ausbildung im Bereich [IT-Governance und] IT-Compliance feststellt. Nach seiner Ansicht ist ohne ein durch Forschung fundiertes Ausbildungsprogramm nicht gewährleistet, dass die Methoden und Techniken, welche Managern und Vorständen zur Verfügung gestellt werden zu nachvollziehbaren Ergebnissen führen. Er schlägt deshalb ein Forschungsmodell vor, das IT Compliance Research Model DIS 29382, ISO/IEC JTC1/SC7,2007 zitiert nach Bosch-Pujol, Antoni: IT- Governance Strategy, Management and Measurement, Präsentation 2nd European Summit: Measuring the Information Society, 24. Januar Vgl. Fröhlich, Martin; Glasner, Kurt: IT-Governance: Leitfaden für eine praxisgerechte Implementierung, S. 111 f. Vgl. Berlin, Victor: Creating the Cutting Edge for IT-Compliance A proposed IT Compliance Applied Research Program in: IT Compliance Magazine, S. 15 ff.

19 1.4 Data Governance Neben dem Begriff der IT-Governance ist auch von der Industrie das Konzept der Data Governance aufgestellt worden, das wie folgt definiert wurde: [T]he orchestration of people, process and technology to enable an organization to leverage data as an enterprise asset. 21 [Das Zusammenspiel von Menschen, Prozessen und Technologie, welches ein Unternehmen in die Lage versetzt, Daten als Vermögensgegenstand des Unternehmens zum eigenen Vorteil zu nutzen. Ü.d.V.] Data Governance is the development and integration of a set of rules (policies, guidelines, and standards) for managing the corporation s data. 22 [Data Governace ist die Entwicklung und Integration von Regeln (Policies, Richtlinien und Standards) für das Management der Unternehmensdaten. Ü.d.V.] Triebfeder für die Entwicklung des Konzeptes der Data Governance sind die häufig anzutreffenden Probleme der Datenqualität in Finanzinstitutionen. Hewlett-Packard beschreibt die Untersuchung einer Finanzinstitution zur Unterstützung im Bereich Datenqualität und macht dann insbesondere Vorschläge für den Aufbau eine [Data] Governance-Organisation 23. IBM stellt ebenfalls einen Lösungsansatz dar (Data Governance Methodology kurz DGM), um eine effektive Data Governance-Struktur (Data Governance Support Structcure) aufzubauen: Gestaltung eines Betriebs- und Organisationsmodells, welches eine Übersicht der Rollen, Verantwortlichkeiten und Prozesse enthält. 21 Gow, Brett W. et al.: Effective Data Governance in Banking Failure is Not an Option, White Paper IBM Global Business Services, 2006, S. 7. Dember, Martha: The Data Governance Maturity Model-Bridging IT and Business Together for Success, Präsentation 2006 Database Grand Conference, 20. September 2006, Seoul. Vgl. McDuffie Brunson, J.: The many moving parts of governance, Hewlett-Packard Development Company, L.P., August

20 Entwicklung eines Data Governance Management Manual (DGMM), welches Phasen und Aktivitäten der DGM-Methodologie enthält. Erstellung eines Data Quality Management User Manual (DQM), das die Durchführung der DGM-Methodologie darstellt. 24 Zusammengefasst ist Data Governance also ein von der Industrie definiertes Teilgebiet der IT-Governance, welches sich mit der Datenqualität befasst Governance-Risk-Compliance (GRC) Das Themenfeld des Governance-Risk-Compliance-Managements wird im angelsächsischen Raum (und zunehmend auch bei uns) mit dem Akronym GRC bezeichnet. Mit diesem Begriff wird in der Unternehmensorganisation der Fachbereich beschrieben, der sich mit diesem Themenfeld befasst und auf die gleiche Ebene wie die Fachbereiche Rechnungswesen/Controlling und Informationstechnologie gestellt wird. Hierdurch wird die GRC- Querschnittaufgabe einer verantwortlichen Organisationseinheit zugewiesen. Der Begriff GRC wird daneben auch als Label für Software (etwa von SAP) verwendet, die das Management von Governance-Risk-Compliance unterstützt. 1.6 Interdisziplinarität der IT-Compliance Der Grundgedanke, auf dem wir in diesem Buch aufbauen, ist die Erkenntnis, dass IT-Compliance-Regeln im weitesten Sinne normative Anforderungen für bestimmte Pflicht-Schutzmaßnahmen sind. Trotz dieses einfachen Grundgedankens ist IT-Compliance im Hinblick auf die unterschiedlichen Disziplinen, die sich mit dem Thema befassen, ein sehr vielschichtiges Thema. Je nachdem, aus welchem Fachbereich man kommt, ergeben sich völlig andere Sichtweisen: 24 Vgl. Gow, Brett W. et al.: Effective Data Governance in Banking Failure is Not an Option, White Paper IBM Global Business Services, S. 9. Vgl. Lee, Su Yong (ITPlus): IT Governance & Data Governance Toward a Unified Framework driven by Corporate Governance, Präsentation 2006 Database Grand Conference, 20. September 2006.