Von Dr. Michael Rath und Rainer Sponholz (2009)
Die Compliance-Anforderungen an die IT in Unternehmen steigen stetig an. Da stellt sich sehr schnell die Frage, wie können die Unternehmen diese hohen Ansprüche zu wirtschaftlich angemessenen Kosten in der Praxis erfüllen?
Die beiden Autoren, in der Praxis tätige Autoren mit juristischem bzw. betriebswirtschaftlichem Hintergrund, widmen sich in ihrem Buch dieser Frage. Sie zeigen die Möglichkeiten eines effizienten Managements der zahlreichen Vorgaben und Richtlinien für die IT Compliance auf.
Schwerpunktmäßig werden dabei folgende Themen betrachtet:
- Rechtsquellen regulatorischer Anforderungen und Klassifizierung dieser Anforderungen.
- Auswertung von IT-Compliance-Anforderungen am Beispiel des Frameworks „CobiT“.
- Priorisierung notwendiger Schutzmaßnahmen für Notfallplanung, Wiederanlauf, Zugriffsschutz und Datensicherung.
- IT-Compliance-Anforderungen und Standardsoftware am Beispiel SAP.
- Zertifizierung und Testierung von IT-Compliance-Anforderungen.
- ressortübergreifender IT-Compliance-Ansatz.
- Organisationsformen von IT-Compliance.
Das Werk beginnt mit einer allgemeinen Einführung in die Thematik der IT Compliance sowie einer Vorstellung der Treiber der IT-Compliance.
“(IT)-Compliance bezeichnet die Kenntnis und Einhaltung sämtlicher regulatorischer Vorgaben und Anforderungen an das Unternehmen, die Aufgabe und die Einrichtung entsprechender Prozesse und die Schaffung eines Bewusstseins der Mitarbeiter für Regelkonformität, sowie die Kontrolle und Dokumentation der Einhaltung der relevanten Bestimmungen gegenüber internen und externen Adressaten.“
Aus Sicht der Autoren sind die Ziele von IT-Compliance die klare und transparente Darstellung von Prozessen und Kontrollen. Die Nachweisbarkeit der Wirksamkeit von Prozessen und Kontrollen sowie die Erfüllung eines aussagefähigen Reporting gegenüber Vorstand, Aufsichtsrat und Gesellschafter sind dabei ebenfalls notwendige Funktionen.
Anschließend wird die IT Compliance aus rechtlicher, kosten-, management- und prozessorientierter Sicht beschrieben, bevor unterstützende Werkzeuge, exemplarische Maßnahmen sowie von Fragestellungen des Outsourcings im Kontext von IT-Compliance betrachtet werden.
Es wird der Versuch unternommen, die praktische Relevanz aufzuzeigen und dabei eine Einordnung der IT Compliance in den unternehmerischen Gesamtkontext vorzunehmen. Abschließend zeigen die Autoren praxistauglichen Maßnahmen anhand der bekanntesten Modelle/Frameworks zur Umsetzung von IT-Compliance auf. Es wird erläutert wie CobiT in Anlehnung an COSO erstellt wurde, um die Integration der IT-Governance in die Corporate Governance zu gewährleisten. CoBIT dient demnach als Bindeglied zwischen dem unternehmensweiten Steuerungsmodell COSO und den IT-spezifischen Modellen, wie beispielsweise dem „Best-Practice-Ansatz“ von ITIL.
Aufgrund der Bandbreite der behandelten Themen und der leichtverständlichen Schreibweise kann das Werk sowohl für Compliance-Einsteiger als auch für -Experten empfohlen werden. Auch betrieblichen Datenschutzbeauftragten bzw. Compliance Officer, die an einem Einstieg bzw. einem Überblick sowie Managementfragen interessiert sind, kann das Buch daher wertvolle Informationen liefern.
Insgesamt gelingt es den Autoren gut, auch das im Vorwort gesteckte Ziel, einen Überblick über die notwendige IT-Compliance zu bekommen und vor allem die Systematik der relevanten Regelungen zu verstehen. Es werden unterschiedliche Möglichkeiten zur Umsetzung und ebenfalls des Management von IT-Compliance in verständlicher Weise dargestellt. Wie wichtig es ist, die Kosten für eine effektive IT-Compliance im Griff zu haben, wurde bereits 2005 von Jorge Lopez, vice president der Gartner Group, erkannt. „Over the past few years (…) budgets that were dedicated to dealing with regulations were rising at a rate that was twice as fast as the IT budgets.“
Somit ist dieses Werk sicherlich eine lohnenswerte Lektüre für IT Compliance Interessierte.