IT Compliance

„Compliance“ in Unternehmen und anderen Organisationen hat in der jüngsten Vergangenheit einen hohen Stellenwert bekommen. Es ist mehr als nur ein Modebegriff. Compliance ist aus dem täglichen Gedankengut von Führungskräften kaum noch wegzudenken.

Aus diesem Grund verwundert es wenig, dass das Thema von Dienstleistern und Anbietern von Tools aller Art als Verkaufsargument genutzt wird. Alles und jedes lässt sich ja mit mehr oder weniger großem Argumentationsaufwand in einen Zusammenhang zu „Compliance“ bringen.

Aber sind auch alle diese Angebote tatsächlich besondere Hilfsmittel zur Wahrung oder Sicherstellung von „Compliance“, also der Einhaltung von Regeln?

Wir möchten nachfolgend einige Werkzeuge vorstellen, von denen wir glauben, dass Sie einen Beitrag zur „Compliance“ leisten können.

Diese Übersicht ist nicht vollständig und kann es auch nie sein. Wir freuen uns aber über gezielte Hinweise, welche Produkte oder Kategorien wir hier noch aufnehmen sollten, um unseren Lesern eine nützliche Übersicht und einen Einstieg ins Thema zu bieten.

Dokumentation, Nachvollziehbarkeit in der IT

Vervis IT:DT ermöglicht effiziente und effektive Dokumentation der IT Infrastruktur

Eine Vielzahl von Vorschriften zwingt Unternehmen dazu, ihr IT-Umfeld zu dokumentieren und diese Dokumentation laufend aktuell zu halten. Zu diesen Vorschriften gehören steuerliche Anforderungen, wie beispielsweise die GoBS (eine Einführung hier), die Regelungen des MaRisk, das Bundesdatenschutzgesetz (BDSG) oder auch Anforderungen der Wirtschaftsprüfer, die im IDW RS FAIT 1 dargelegt sind.

Darin wird einerseits eine Verfahrensdokumentation gefordert und andererseits die Einrichtung eines angemessenen internen Kontrollsystems. Auch Unternehmen, die dem Sarbanes-Oxley Act (SOX) 2002 unterliegen, müssen ein funktionierendes internes Kontrollsystem vorweisen können.

Die Dokumentation des internen Kontrollsystems stellt einen wesentlichen Bestandteil der Nachweise dar, die ein Unternehmen erbringen muss, um den stets wachsenden Anforderungen der häufig so genannten „Compliance“ zu entsprechen.

Das interne Kontrollsystem ist elementarer Bestandteil der Anforderungen des US-Sarbanes-Oxley Acts of 2002-SOX (Section 404) und spätestens seit der Verabschiedung des BilMoG auch von den hiervon betroffenen Unternehmen (in der Regel Unternehmen mit Börsennotierung) in Deutschland in die Berichterstattung aufzunehmen.

IT-Compliance-Erfolgreiches Management regulatorischer Anforderungen.

Von Dr. Michael Rath und Rainer Sponholz (2009)

Die Compliance-Anforderungen an die IT in Unternehmen steigen stetig an. Da stellt sich sehr schnell die Frage, wie können die Unternehmen diese hohen Ansprüche zu wirtschaftlich angemessenen Kosten in der Praxis erfüllen?

Die beiden Autoren, in der Praxis tätige Autoren mit juristischem bzw. betriebswirtschaftlichem Hintergrund, widmen sich in ihrem Buch dieser Frage. Sie zeigen die Möglichkeiten eines effizienten Managements der zahlreichen Vorgaben und Richtlinien für die IT Compliance auf.

Schwerpunktmäßig werden dabei folgende Themen betrachtet:

Da der Begriff "Compliance" oder "Compliance Management System", kurz CMS, nicht durch gesetzliche Auslegungen allgemeinverbindlich formuliert ist, kann jede Organisation, jedes Unternehmen oder auch jeder, der sich mit dieser Thematik beschäftigt, diesen Begriffe so auslegen, wie er dies "benötigt". Eben dieser Umstand führt dazu, dass immer mehr Aufsichtsbehörden und Berufsverbände versuchen, hier dem Gesetzgeber "unter die Arme zu greifen", in dem Sie entsprechende Maßgaben formulieren und verbindlich erlassen.

So wurde zum Beispiel von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) am 7.06.2010 ein Rundschreiben mit dem Titel „Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpflichten nach §§ 31 ff. WpHG (MaComp)" herausgegeben.Einen ausführlichen Beitrag dazu finden Sie hier.

Es ist heutzutage durchaus üblich, dass Unternehmen Teile Ihres operativen Geschäftsbetriebs auf entsprechende Dienstleistungsunternehmen auslagern. Im Rahmen der Abschlussprüfung stellt dies den Wirtschaftsprüfer vor die Problematik, dass er möglicherweise nicht (mehr) alle für die Erstellung und Prüfung des Jahresabschlusses beitragenden Geschäftsprozesse bzw. die Internen Kontrollen in diesen Geschäftsprozessen kennt und/oder prüfen kann.