Der englische Begriff Compliance kursiert bereits seit mehreren Jahren in der Fachpresse und wird häufig von Schlagworten wie SOX oder Basel II begleitet. Doch was verbirgt sich hinter diesem Begriff und warum ist IT-Compliance ein für Unternehmen geschäftskritisches Thema?

Compliance bedeutet wörtlich übersetzt "Einhaltung" und bezeichnet einen Prozess, der Unternehmen schon immer bei ihren täglichen Geschäften begleitet. Firmen müssen ihre Geschäftsaktivitäten durch Kontrollstrukturen und -verfahren überwachen und dabei zahlreiche Verordnungen sowie Gesetze einhalten. Dazu gehören in Deutschland zum Beispiel das Handelsgesetzbuch (HGB), die Abgabenordnung (AO) oder die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), welche die Dokumentation und Archivierung von Daten regeln. Im Prinzip erfüllt also bereits eine Finanzbuchhaltung einige Compliance-Richtlinien.

Rechtliche Vorgaben kontinuierlich einhalten

Neue Gesetze und Normen verlangen von Unternehmen inzwischen mehr Transparenz im Umgang mit Daten, die weit über eine gewöhnliche Buchhaltung hinausgeht. Unternehmen stehen nun in der Pflicht, sämtliche Geschäftsprozesse ständig zu analysieren und zu dokumentieren. Zudem müssen sie jederzeit den Nachweis erbringen können, dass nur berechtigte Personen Zugriff auf die Finanzdaten haben und diese nicht manipuliert wurden. Die Kür des Ganzen: Dieser Prozess muss fortlaufend geschehen und Datensicherheit, Verfügbarkeit sowie Datenschutz damit automatisch gewährleisten.

Sinn und Zweck der IT-Compliance-Richtlinien ist die Nachweisbarkeit aller Geschäftsvorgänge gegenüber Steuerprüfern oder dem Staatsanwalt. Zu den wichtigsten Regelwerken zählen zum Beispiel EuroSOX und die für Banken verpflichtenden Eigenkapitalvorschriften nach Basel II. Eine Nichteinhaltung der Normen kann zivilrechtliche und strafrechtliche Sanktionen nach sich ziehen.

Compliance erfordert eine IT-Struktur

IT-Compliance beschreibt die Aufgabe, Informationen innerhalb festgelegter Richtlinien zu verwalten und abzulegen sowie diese stets abrufbar und überprüfbar zu halten. Im Prinzip lassen sich die IT-Compliance-Anforderungen daher nur mit einer elektronischen Erfassung sämtlicher Daten sinnvoll erfüllen. Doch gerade das stellt viele Unternehmen vor immense Herausforderungen, weil ihre IT-Strukturen IT-Compliance-Vorschriften und -Normen selten genügen.

Geschäftskritische Daten verteilen sich bei vielen Unternehmen auf elektronische Unterlagen wie Excel-Tabellen, PDF-Dokumente, E-Mails und Papierdokumente in Aktenordnern oder Archiven. Ein Compliance-konformer Workflow verlangt jedoch nach durchgängig digitaler Speicherung, weshalb viele Unternehmen ihre Prozess- und IT-Strukturen komplett modernisieren müssen. Mit der Datenlagerung alleine ist es zudem nicht getan, denn abgesehen von den gesetzlich vorgeschriebenen Lagerungszeiten müssen einmal archivierte Daten bei einer Betriebsprüfung auch schnell wieder abrufbereit sein. Was wie und auf welche Datenträger gespeichert werden muss, legen IT-Compliance-Richtlinien teilweise recht genau fest und erfordern damit einmal mehr durchgängige Speicher-Infrastrukturen.

Optimal erst durch individuelle Beratung

Weil sich hinter IT-Compliance ein ganzes Pflichtenheft verbirgt, bietet der Begriff viel Freiraum für Interpretation und Missverständnisse. Die Umsetzung der Richtlinien unterscheidet sich außerdem von Fall zu Fall, weil jedes Unternehmen mit unterschiedlichen internen Prozessen arbeitet. Viele der gesetzlichen Auflagen geben deshalb lediglich das Grundgerüst vor und legen nicht fest, wie die IT-Compliance-Lösung im Detail aussehen soll. Hinzu kommen zahlreiche Empfehlungen, Best Practices und anerkannte Leitlinien. Eine maßgeschneiderte IT-Compliance-Lösung setzt daher viel Unterstützung und kompetente Beratung voraus.