IT-Compliance und IT-Governance

Im Rahmen der Compliance-Bemühungen eines Unternehmens müssen Informationen und Informationstechnologie (IT) berücksichtigt werden. Dies ist der zunehmenden Bedeutung von Informationen als Produktions- und Wettbewerbsfaktor geschuldet (Spörrer 2014, S. 14). Mit Corporate Compliance wird eine Erweiterung des Gedankens bezüglich Compliance um einen unternehmensweiten, integrativen Ansatz vorgenommen. Dessen Ziel ist letztendlich eine effiziente Unternehmensführung, und zwar im Hinblick auf gesetzestreues, nachhaltiges, risiko- und wertorientiertes sowie ethisch einwandfreies Wirtschaften (Menzies 2006, S. 2).

Die Koordination wirtschaftlicher Aktivitäten mit Normen bleibt ein wichtiger, jedoch häufig übersehener Aspekt. Durch staatliche und unternehmensinterne Maßnahmen im Bereich Compliance und Governance wird versucht, das Auftreten von Schadensfällen zu erschweren oder zu verhindern. Governance betrifft interne Richtlinien, während Compliance sich auf externe regulatorische Anforderungen konzentriert. Für die IT ist dieser Unterschied nicht entscheidend. Die zunehmende Automatisierung von Geschäftsprozessen hat die IT zu einem potenziellen Angriffspunkt für Verstöße gegen Compliance und Governance gemacht, da oft betriebswirtschaftliche Ziele auf Kosten von Kontrollzielen verfolgt werden. IT-Compliance zielt darauf ab, diese Prioritäten zu ändern. In den USA, Europa und Japan entstehen Regelwerke wie SOX (Sarbanes-Oxley Act), Basel II und bald Basel III sowie Solvency II, die Unternehmen zur Festlegung von Kontrollzielen und Risikobewertungen verpflichten. Die technische Umsetzung der IT-Compliance obliegt den Unternehmen selbst. Die Überwachung der Einhaltung von Compliance-Vorschriften erfolgt heutzutage oft noch überwiegend manuell und im besten Fall unter Verwendung von Frameworks wie COBIT (Control Objectives for Information and Related Technology) oder ITIL (IT Infrastructure Library) (Müller, G./Terzidis, O. 2008, 341f.).