Zum Hauptinhalt springen

Compliance

Compliance

Regelkonformität - Einhaltung von Regeln

externen und internen Vorgaben

Nahezu jedes Unternehmen unterliegt externen und internen Vorgaben, welche als Compliance bezeichnet werden. Hierunter fallen zum einen staatliche Vorgaben in Form von Gesetzen und Vordnungen. Zum anderen existieren brachenspezifische bzw. -unabhängige Normen und Standards, welche zur Aufrechterhaltung des Geschäfts einzuhalten sind.

Unter „Compliance“ versteht man die Selbstverständlichkeit, dass man sich an Gesetze und Vorgaben zu halten hat. Das Problem dabei ist herauszubekommen, an welche Gesetze und Vorgaben man sich zu halten hat (welche also im jeweiligen Fall in Anwendung zu bringen sind). Die Anzahl der anwendbaren bzw. anzuwendenden Gesetze steigen laufend an.

image-20221206174551501

Die Aufgabe von Compliance ist es sicher zu stellen, dass Gesetze, Vorordnungen und Richtlinien, aber auch freiwillige Kodizes eingehalten werden (Regelkonformität). Die Bereiche IT-Compliance und IT-Risikomanagement sind eng mit der IT-Governance verbunden GRC-Management. IT-Compliance-Management sorgt hierbei für die Einhaltung aller internen und externen Vorgaben im Kontext der IT.

Unter CMS-Grundsätzen sind allgemein anerkannte Rahmenkonzepte, andere angemessene Rahmenkonzepte oder vom Unternehmen selbst entwickelte Grundsätze für Compliance Management Systeme zu verstehen. Unter allgemein anerkannten Rahmenkonzepten für CMS sind solche Rahmenkonzepte zu verstehen, die von einer autorisierten oder anerkannten standardsetzenden Organisation im Rahmen eines transparenten Verfahrens entwickelt und verabschiedet oder durch gesetzliche oder andere rechtliche Anforderungen festgelegt werden.

Die Konzeption eines Compliance Management System (CMS) umfasst die Förderung einer günstigen Compliance-Kultur sowie die Festlegung der Compliance-Ziele, den Aufbau der Compliance-Organisation (Aufbau- und Ablauforganisation), den Prozess der Feststellung und Analyse der Compliance-Risiken durch das Unternehmen, den Prozess der Erstellung des Compliance-Programms, die Entwicklung eines Kommunikationsprozesses sowie von Verfahren zur Überwachung und Verbesserung des CMS.

Elemente eines Compliance Management System

Die gesetzlichen Vertreter (Führungskräfte) legen auf der Grundlage der allgemeinen Unternehmensziele und einer Analyse und Gewichtung der für das Unternehmen bedeutsamen Regeln die Ziele fest, die mit dem CMS erreicht werden sollen. Dies umfasst insbesondere die Festlegung der relevanten Teilbereiche und der in den einzelnen Teilbereichen einzuhaltenden Regeln. Die Compliance-Ziele stellen die Grundlage für die Beurteilung von Compliance-Risiken dar.

Die Compliance-Kultur stellt die Grundlage für die Angemessenheit und Wirksamkeit des CMS dar. Sie wird vor allem geprägt durch die Grundeinstellungen und Verhaltensweisen des Managements sowie durch die Rolle des Aufsichtsorgans („tone at the top“). Die Compliance-Kultur beeinflusst die Bedeutung, welche die Mitarbeiter des Unternehmens der Beachtung von Regeln beimessen und damit die Bereitschaft zu regelkonformem Verhalten.

Unter Berücksichtigung der Compliance-Ziele werden die Compliance-Risiken festgestellt, die Verstöße gegen einzuhaltende Regeln und damit eine Verfehlung der Compliance-Ziele zur Folge haben können. Hierzu wird ein Verfahren zur systematischen Risikoerkennung und -berichterstattung eingeführt. Die festgestellten Risiken werden im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Folgen (z.B. Schadenshöhe) analysiert.

Das Management regelt die Rollen und Verantwortlichkeiten (Aufgaben) sowie Aufbau- und Ablauforganisation im CMS als integralen Bestandteil der Unternehmensorganisation und stellt die für ein wirksames CMS notwendigen Ressourcen zur Verfügung.

Auf der Grundlage der Beurteilung der Compliance-Risiken werden Grundsätze und Maßnahmen eingeführt, die auf die Begrenzung der Compliance-Risiken und damit auf die Vermeidung von Compliance-Verstößen ausgerichtet sind. Das Compliance-Programm umfasst auch die bei festgestellten Compliance-Verstößen zu ergreifenden Maßnahmen. Das Compliance-Programm wird zur Sicherstellung einer personenunabhängigen Funktion des CMS dokumentiert.

Die jeweils betroffenen Mitarbeiter und ggf. Dritte werden über das Compliance-Programm sowie die festgelegten Rollen und Verantwortlichkeiten informiert, damit diese ihre Aufgaben im CMS ausreichend verstehen und sachgerecht erfüllen können. Im Unternehmen wird festgelegt, wie Compliance-Risiken sowie Hinweise auf mögliche und festgestellte Regelverstöße an die zuständigen Stellen im Unternehmen (z.B. den Compliance-Beauftragten, die gesetzlichen Vertreter und erforderlichenfalls das Aufsichtsorgan) berichtet werden.

Die Angemessenheit und Wirksamkeit des CMS werden in geeigneter Weise überwacht. Voraussetzung für die Überwachung ist eine ausreichende Dokumentation des CMS. Werden im Rahmen der Überwachung Schwachstellen im CMS bzw. Verstöße festgestellt, werden diese an das Management bzw. die hierfür bestimmte Stelle im Unternehmen berichtet. Die gesetzlichen Vertreter sorgen für die Durchsetzung des CMS, die Beseitigung der Mängel und die Verbesserung des Systems.

House of IT-Compliance

Für eine Umsetzung der Compliance-Anforderungen ist es erst einmal notwendig, diese zu kennen. Hier stellen sich beispielsweise folgende Fragen:

  • Welche Gesetze und sonstigen Verordnungen sind für die IT-Organisation relevant?
  • Welche IT-gestützten Prozesse und IT-Services sind betroffen und welche Anforderungen sind von ihnen zu erfüllen?
  • Welche Risiken resultieren in welcher Höhe aus fehlender oder mangelhafter Compliance der IT?
  • Welche Compliance-Anforderungen haben die einzelnen Bereiche der IT (System- und Infrastrukturbetrieb, Anwendungsbetrieb und Entwicklung etc.) zu erfüllen?
  • Welche technischen, organisatorischen und personellen Maßnahmen sind für die Gewährleistung von Compliance der IT umzusetzen?

KLOTZ [2011] unterscheidet drei relevante Gruppen von Regelwerken und ordnet diese in ein sogenanntes „House of IT-Compliance“ ein.

image-20221206174700762

  1. Rechtlichen Regelwerke umfassen Rechtsnormen, also vom Gesetzgeber erlassene Gesetze und Rechtsverordnungen. (UGB Unternehemnsgesetzbuch, Abgabenordnung, DSGVO,…). Dazu zählen im weiteren Sinnen auch brachenspezifische Vorgaben mit Ihren zusätzliche Vorschriften einer Branche, wie etwa IT-Sicherheitsgesetz, BSI-Anforderungen, GLP Good Laboratory Practice, BASEL I – IV, …).
  2. Unternehmensinternen Regelwerke beschreibt alle internen Regelwerke. Dazu zählen interne Notfallrichtlinien, Sicherheitsrichtlinien wie Passwortrichtlinien, Arbeitsanweisungen, …
  3. Unternehmensexternen Regelwerken umfassen Normen und Standards, Referenzmodelle (COBIT, ITIL, IT4IT, …), Frameworks (TOGAF,, CMMI,…) und Prüfstandard von Wirtschaftsprüfern dir im Rahmen von Jahresabschlüssen erfüllt werden müssen (SOX,A ktiengesetz, Standard PS 850 – Projektbegleitende Prüfung bei Einsatz von Informationstechnologie, …). Normen und Standards entfalten ihre Wirkung durch nationale oder internationale Anerkennung.

Verweise

  • Quelle = Compliance Management Systemen (IDW PS 980)
  • [Regelwerke der IT-Compliance.pdf](../../../static/files/eBooks/Regelwerke der IT-Compliance.pdf)