Mit Checkliste fürs IT-Management

Compliant aus reinem Selbstschutz

Dipl. Inform. Johann Baumeister blickt auf über 25 Jahre Erfahrung im Bereich Softwareentwicklung sowie Rollout und Management von Softwaresystemen zurück und ist als Autor für zahlreiche IT-Publikationen tätig. Sie erreichen ihn unter jb@JB4IT.de
Anzeige  Der Begriff "Compliance" weckt Assoziationen mit abstrakten Regelungen und gesetzlichen Vorschriften. Doch die Einhaltung von Regeln und Vorgaben erlebt nicht zuletzt wegen des Finanzdestasters eine Renaissance. Compliance sorgt für Sicherheit der IT und spielt eine bedeutende Rolle zur Absicherung des gesamten Unternehmens gegen Angriffe und Fehler.
Archivierte Daten müssen zwischen sechs und zehn Jahre aufbewahrt und sämtliche geschäftsrelevanten E-Mails gespeichert werden: Das ist nur ein Bruchteil der Regelungen diverser gesetzlicher Vorschriften.
Archivierte Daten müssen zwischen sechs und zehn Jahre aufbewahrt und sämtliche geschäftsrelevanten E-Mails gespeichert werden: Das ist nur ein Bruchteil der Regelungen diverser gesetzlicher Vorschriften.

Der Komplex der Compliance wird häufig auf abstrakte Regelungen reduziert. Basel II, GdpdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen) oder KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) sind die begleitenden Schlagworte hierzulande. In den USA oder für Unternehmen, die an der US-Börse notiert sind, gehören Begriffe wie SOX (Sarbanes-Oxley Act) oder HIPAA (Health Insurance Portability and Accountability Act) zum Compliance-Vokabular.

Der direkte Bezug zum Tagesgeschäft der IT wird nur als gering betrachtet und daher, wenn möglich, eher ignoriert. Gerade in diesen Tagen gewinnen Regeln und Vorgaben allerdings eine enorme Brisanz, wenngleich dabei auch nicht immer das Schlagwort der Compliance fällt. Wenn in den Medien von einer neuen Finanzordnung die Rede ist, geht es im Kern auch immer um Vorschriften der Compliance. Ethik, Moral, Selbstverpflichtung oder schlichtweg die Einhaltung von geschrieben oder auch ungeschrieben Regeln bekommt im Rahmen, der aus dem Ruder gelaufenen Finanzgeschäfte, eine neue Bedeutung. Um diese auch umzusetzen bedarf es der erwähnten gesetzlichen Vorgaben und Vorschriften.

Compliance-Vorschriften fordern sogar die Speicherung von Spam, ein enormer Aufwand.
Compliance-Vorschriften fordern sogar die Speicherung von Spam, ein enormer Aufwand.

Auch Unternehmen, die sich am Kapitalmarkt finanzieren, müssen heute ihre Projekte und Geschäftstätigkeit genauer nachweisen. Damit deren Geschäfte allerdings von den Geldgebern auch nachvollzogen werden können, müssen allgemeine Regeln zur Bewertung eingehalten werden.

Jérôme Kerviel von der Société Générale kannte die Systeme aus dem Effeff

Welche enormen Auswirkungen die Missachtung von Unternehmensregeln haben kann, zeigt allein das Beispiel des Wertpapierhändlers Jérôme Kerviel der französischen Bank Société Générale der im vergangenen Jahr unter Umgehung der Unternehmensvorgaben fünf Milliarden Euro verspielt haben soll. Nach Berichten hatte Kerviel einen guten Einblick in die Funktionsweise der Systeme und konnte so die vorhandenen Kontrollen umgehen. In den USA wiederum lieferte vor einigen Jahren der Enron-Skandal die Vorgaben für SOX.