IT-Compliance im Kontext von Enterprise Content Management

0
Fachbegriffe aus der Geschäftswelt erklären wir in der Wikireihe

Was versteht man unter IT-Compliance?

Compliance ist ein omnipräsentes und vieldiskutiertes Thema in Vorstandsetagen und Fachabteilungen. Je nach Standpunkt werden mit Compliance jedoch selbst im wirtschaftswissenschaftlichen Kontext verschiedene Vorstellungen verbunden (vgl. Deutscher Corporate Governance Index (DCGK), Gabler Wirtschaftslexikon, IHK Stuttgart). In diesem Beitrag widme ich mich der Bedeutung von Compliance im Umfeld von Enterprise Content Management (Kurzbeschreibung nach AIIM).

Was ist Compliance? Stark vereinfacht lässt sich Compliance als die Erfüllung regulatorischer und vertraglicher Verpflichtungen definieren. Compliance hat (etwas abstrakt formuliert) zum Ziel, die Transparenz und Überprüfbarkeit der unternehmensweiten Geschäftsprozesse zu erhöhen, Risiken zu minimieren und somit zur Beständigkeit des Geschäftsmodells beizutragen. Wenn nun von IT-Compliance die Rede ist, wird, anders als bei der unternehmensweiten Compliance, lediglich die Informationstechnik als Unternehmensbereich betrachtet. IT-Compliance lässt sich noch weiter anhand der verschiedenen Vorschriften und den dadurch tangierten Informationssystemen untergliedern.

Was konkret bedeutet nun IT-Compliance? IT-Compliance wird mit einer Vielzahl nationaler und internationaler Vorschriften in Verbindung gebracht. Der Begriff beschränkt sich dabei jedoch nicht auf externe Regelwerke, sondern kann auch für interne Vorgaben wie Service Level Agreements (SLAs) oder ein Qualitätsmanagement nach ISO 9001 gelten. Ein naheliegender und daher verlockender Trugschluss ist, dass IT-Compliance aufgrund der Namensgebung ein reines IT-Thema ist und daher durch die zuständige Business Unit eigenständig und zufriedenstellend besetzt werden kann. Das ist jedoch oftmals falsch!

Compliance ist ein interdisziplinäres Thema
Dass IT-Compliance interdisziplinär gesehen werden muss, erkennt man anhand der nachfolgend genannten Vorschriften schnell. Während einige nationale Gesetze – wie beispielsweise das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG) oder das Signaturgesetz (SigG) – zweifelsohne einen starken IT-Fokus haben, erfordert die Einhaltung vieler anderer gesetzlicher Vorschriften ein Höchstmaß an Interdisziplinarität. Wenn „IT-fremde“ Vorschriften – z.B. Regelungen des Handels- und Steuerrechts (HGB/AO) – auf die IT wirken, müssen verschiedene Unternehmensbereiche eng zusammenarbeiten, um ein valides Ergebnis erarbeiten zu können. Neben den Juristen, den Verantwortlichen der involvierten Business Units und den operativ beauftragten Mitarbeitern macht es dabei häufig Sinn, auch externe Sachverständige miteinzubeziehen. Die Koordination der Zusammenarbeit stellt dabei erfahrungsgemäß bereits eine große Herausforderung dar.

IT-Compliance sicherzustellen ist jedoch keinesfalls optional. Reputationsverlust und mögliche Sanktionen bei Verstößen gegen die Vorschriften können abhängig von der jeweiligen Vorschrift ein ernstzunehmendes betriebswirtschaftliches Risiko darstellen. Das Thema muss letzten Endes deshalb nicht nur wegen der oftmals gefürchteten Gesellschafterhaftung aus Sicht der Unternehmensleitung betrachtet werden, sondern auch wegen der strategischen Zielstellungen, die damit verbunden sind. Maßnahmen zur Einhaltung der Vorgaben dienen grundsätzlich der Risikominimierung, indem sie konformes Verhalten fördern. Die Motivation, in IT-Compliance zu investieren, fußt dagegen meistens auf der Hoffnung, Effizienz- und Effektivitätssteigerungen zu erreichen.

IT-Compliance und Enterprise Content Management
Was das Thema im Umfeld von Enterprise Content Management betrifft, so muss man stets die individuelle Situation im Unternehmen betrachten. Welche Vorschriften zu berücksichtigen sind, ergibt sich aus den verwalteten Informationen sowie den Unternehmensspezifika. Neben den eingangs erwähnten, weitverbreiteten Vorschriften gelten für ein Unternehmen häufig auch branchenspezifische Regelwerke. Banken und Kapitalanlagegesellschaften müssen beispielsweise das Wertpapierhandelsgesetzes WpHG berücksichtigen, für die Unternehmen der Pharma und Lebensmittelbranche können hingegen die „Good Manufacturing Practice“ (GMP) der U.S. Food and Drug Administration (FDA) wichtig sein. Je nachdem welche Informationen abgelegt und welche Geschäftsprozesse abgebildet werden, variiert daher der Grad der Regulierung des entsprechenden Informationssystems.

Was heißt das? Kurz ausgedrückt: Enterprise Content Management selbst ist nicht reguliert, wohl aber unter Umständen die darin verwalteten Informationen und/oder die abgebildeten Geschäftsprozesse. Meiner Erfahrung nach sind die beiden am häufigsten diskutierten Themen der IT-Compliance vor dem Hintergrund von Enterprise Content Management:

Was genau das bedeutet und wie sich Compliance-Vorgaben in der Kombination mit Effizienz- und Effektivitätssteigerungen realisieren lassen, thematisiere ich in einem weiteren Blogeintrag.

Lesen Sie zu diesem Thema auch das passende Whitepaper. Es steht Ihnen als kostenloser Download auf unserer Webseite zur Verfügung.

Tags: , , ,

Brian Kurbjuhn – Director Enterprise Information Management
Brian Kurbjuhn leitet den Bereich Enterprise Information Management bei it-novum. Seit vielen Jahren begleitet er Kunden bei der Umsetzung digitaler Geschäftsprozesse, mit Fokus auf deren nachhaltiger Optimierung. Als studierter Wirtschaftsinformatiker legt Kurbjuhn besonderen Wert auf das Zusammenspiel von Business und Technologie. Seine fundierte Open Source-Expertise ist auf zahlreichen Vorträgen und Workshops gefragt.

Webprofile von Brian: Twitter, XING