HMD 263, 45. Jahrgang, Oktober 2008

Compliance & Risk Management

Herausgeber: Knut Hildebrand, Stefan Meinhardt

IT-Compliance - Begriff, Umfang und relevante Regelwerke

Michael Klotz, Dietrich-W. Dorn

Zusammenfassung

Die ständige Zunahme an Gesetzen, Verordnungen, Normen, Standards, Verträgen, Richtlinien usw. führt für Unternehmen aller Größenordnungen zu einer Intransparenz der zu beachtenden Regelwerke. Hieraus resultiert eine beträchtliche Unsicherheit in Bezug auf die Risiken potenzieller Regelverstöße. Die Vermeidung derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der IT-Compliance. IT-Compliance steht in einem engen sachlogischen Zusammenhang mit IT-Governance und IT-Risk Management. Diese Bezüge werden in der Praxis häufig auf den Einsatz technischer Lösungen verkürzt. Begriffliche Desorientierung und Beliebigkeit sind die Folge. Um dem entgegenzuwirken, gibt der Artikel einen Überblick über Begriff und Umfang der IT-Compliance und systematisiert die Compliance-relevanten Regelwerke.

Inhaltsübersicht

  1. IT-Compliance - ein Modewort?
  2. Governance, Risk Management und Compliance
    1. Corporate Governance
    2. Risk Management
    3. GRC-Trias
  3. Begriffliche Klärung
    1. Enge Auffassung
    2. Weite Auffassung
    3. Abgrenzung gegenüber IT-gestützter Compliance
  4. Umfang von IT-Compliance
    1. Grundsätzliche Erreichbarkeit
    2. Risikoakzeptanz
    3. Organisatorischer Geltungsbereich
  5. Regelwerke der IT-Compliance
    1. Klassifikation der Regelwerke
    2. Rechtliche Vorgaben
      1. Gesetze und Rechtsverordnungen
      2. Rechtsprechung
      3. Verwaltungsvorschriften
      4. In Bezug genommene Regelwerke
    3. Verträge
    4. Unternehmensexterne Regelwerke
    5. Unternehmensinterne Regelwerke
  6. Literatur