Für IT-Sys­teme spielt Com­pliance (IT-Com­pliance) eine immer größere Rolle.
Das Thema Com­pliance (auch als Re­gel­kon­formität über­setzbar), also die Ein­hal­tung frei­wil­liger oder ge­setz­li­cher Richt­li­nien und Ko­dizes, be­gleitet Un­ter­nehmen schon seit es Re­gu­la­rien gibt, auch wenn der Be­griff erst in jüngerer Zeit populär ge­worden ist.

Primär dienen die Re­gu­la­rien und Richt­li­nien, die erfüllt sein müssen, um „com­pliant zu sein“ zum Schutz von An­le­gern im Be­son­deren und des Fi­nanz­we­sens im All­ge­meinen sowie zur Gewähr­leis­tung unabhängiger Rech­nungs- und Ab­schlussprüfungen. Die in Folge der spek­takulären Börsens­kan­dale in den USA eingeführten Be­richts- und Do­ku­men­ta­ti­ons­pflichten für Un­ter­nehmen – zum Bei­spiel durch den Sar­banes-Oxley Act (SOX) – haben Com­pliance al­ler­dings eine neue Qualität ge­geben, auch in Deutsch­land.

Un­ter­neh­mensführungen schenken Com­pliance hohe Be­ach­tung

Die ge­for­derte Do­ku­men­ta­tion kom­pletter Geschäftspro­zesse in Ver­bin­dung mit der un­mit­tel­baren Haf­tung des Ma­na­ge­ments für die Rich­tig­keit und Vollständig­keit der Rech­nungs­le­gung stellen für die be­trof­fenen Un­ter­nehmen eine große Her­aus­for­de­rung dar. Dement­spre­chend wird der The­matik Com­pliance bei der Un­ter­neh­mensführung eine hohe Be­ach­tung ge­schenkt.

Com­pliance be­trifft un­mit­telbar IT-Sys­teme

Die gegenüber Un­ter­nehmen all­ge­mein gültigen Com­pliance-An­for­de­rungen haben un­mit­telbar Ein­fluss auf die von Ihnen ver­wen­deten IT-Sys­teme, da die meisten Geschäftspro­zesse in­ner­halb von Un­ter­nehmen mit­hilfe von IT-Sys­temen ge­steuert und ab­ge­wi­ckelt werden. Man spricht hierbei von dem Teil­ge­biet IT-Com­pliance, wel­ches sich auf die­je­nigen Aspekte von Com­pliance-An­for­de­rungen fo­kus­siert, die IT-Sys­teme be­treffen.

In Deutsch­land zählen u.a. fol­gende Re­ge­lungen als be­son­ders wichtig zur Erfüllung einer IT-Com­pliance:

• Bun­des­da­ten­schutz­ge­setz (BDSG) – siehe auch un­sere Dienst­leis­tungen im Be­reich Da­ten­schutz
• Grundsätze zum Da­ten­zu­griff und zur Prüfbar­keit di­gi­taler Un­ter­lagen (GDPdU)
• Ge­setz zur Kon­trolle und Trans­pa­renz im Un­ter­neh­mens­be­reich (Kon­TraG)
• Min­dest­an­for­de­rungen an das Ri­si­ko­ma­na­ge­ment (Ma­Risk)
• Si­gna­tur­ge­setz (SigG)
• Deut­sches Geldwäsche­ge­setz (GWG)
• Te­le­me­dien­ge­setz (TMG)

Im Kern be­treffen diese An­for­de­rungen fol­gende Be­reiche:

• Das Si­cher­heits- und Ri­si­ko­ma­na­ge­ment
• Das Be­richts­wesen
• Das Pro­zess­ma­na­ge­ment
• Die Da­ten­vor­hal­tung
• Die Trans­pa­renz
• Die Verfügbar­keit von Sys­temen und Dienst­leis­tungen

Ins­be­son­dere ERP-, Ar­chi­vie­rungs- und Do­ku­menten-Ma­na­ge­ment-Sys­teme sind zu berück­sich­tigen

Über­tragen auf In­for­ma­ti­ons­sys­teme fo­kus­sieren sie hauptsäch­lich die Be­reiche In­for­ma­ti­ons­si­cher­heit, Verfügbar­keit, Da­ten­auf­be­wah­rung (u.a. auch Sys­teme zur elek­tro­ni­schen Ar­chi­vie­rung) und Da­ten­schutz. Somit sind – neben ERP-Sys­temen, bei­spiels­weise SAP-Sys­teme – auch ins­be­son­dere E-Mail-Sys­teme bzw. -Ar­chive und Do­ku­menten-Ma­na­ge­ment-Sys­teme bei der Berück­sich­ti­gung von IT-Com­pliance-An­for­de­rungen ein­zu­be­ziehen.

Bei IT-Sys­temen sind daher fol­gende Aspekte ins­be­son­dere prüfungs­re­le­vant und stehen daher auch im Fokus un­serer Be­ra­tungen im Be­reich IT-Com­pliance:

• In­for­ma­ti­ons­si­cher­heit und Da­ten­schutz (u.a. auch im Um­gang mit E-Mails)
• Daten- und Do­ku­men­ten­auf­be­wah­rung (z.B. mit­tels elek­tro­ni­schen Ar­chi­vie­rungs­sys­temen)
• E-Mail-Ver­ar­bei­tung und -Auf­be­wah­rung (in­terne Richt­li­nien und E-Mail-Ar­chi­vie­rung)
• dau­er­hafte und je­der­zei­tige Verfügbar­keit von Daten und Do­ku­menten sowie Be­legen

Bei der The­matik Com­pliance und Com­pliance-Überprüfung un­terstützen wir un­sere Kunden ins­be­son­dere in den fol­genden Be­rei­chen: