IT-Compliance im Kontext von Enterprise Content Management

Fachbegriffe aus der Geschäftswelt erklären wir in der Wikireihe
Was versteht man unter IT-Compliance?

Compliance ist ein omnipräsentes und vieldiskutiertes Thema in Vorstandsetagen und Fachabteilungen. Je nach Standpunkt werden mit Compliance jedoch selbst im wirtschaftswissenschaftlichen Kontext verschiedene Vorstellungen verbunden (vgl. Deutscher Corporate Governance Index (DCGK), Gabler Wirtschaftslexikon, IHK Stuttgart). In diesem Beitrag widme ich mich der Bedeutung von Compliance im Umfeld von Enterprise Content Management (Kurzbeschreibung nach AIIM).

Was ist Compliance? Stark vereinfacht lässt sich Compliance als die Erfüllung regulatorischer und vertraglicher Verpflichtungen definieren. Compliance hat (etwas abstrakt formuliert) zum Ziel, die Transparenz und Überprüfbarkeit der unternehmensweiten Geschäftsprozesse zu erhöhen, Risiken zu minimieren und somit zur Beständigkeit des Geschäftsmodells beizutragen. Wenn nun von IT-Compliance die Rede ist, wird, anders als bei der unternehmensweiten Compliance, lediglich die Informationstechnik als Unternehmensbereich betrachtet. IT-Compliance lässt sich noch weiter anhand der verschiedenen Vorschriften und den dadurch tangierten Informationssystemen untergliedern.

Was konkret bedeutet nun IT-Compliance? IT-Compliance wird mit einer Vielzahl nationaler und internationaler Vorschriften in Verbindung gebracht. Der Begriff beschränkt sich dabei jedoch nicht auf externe Regelwerke, sondern kann auch für interne Vorgaben wie Service Level Agreements (SLAs) oder ein Qualitätsmanagement nach ISO 9001 gelten. Ein naheliegender und daher verlockender Trugschluss ist, dass IT-Compliance aufgrund der Namensgebung ein reines IT-Thema ist und daher durch die zuständige Business Unit eigenständig und zufriedenstellend besetzt werden kann. Das ist jedoch oftmals falsch!

Compliance ist ein interdisziplinäres Thema
Dass IT-Compliance interdisziplinär gesehen werden muss, erkennt man anhand der nachfolgend genannten Vorschriften schnell. Während einige nationale Gesetze – wie beispielsweise das Bundesdatenschutzgesetz (BDSG), das Telekommunikationsgesetz (TKG) oder das Signaturgesetz (SigG) – zweifelsohne einen starken IT-Fokus haben, erfordert die Einhaltung vieler anderer gesetzlicher Vorschriften ein Höchstmaß an Interdisziplinarität. Wenn „IT-fremde“ Vorschriften – z.B. Regelungen des Handels- und Steuerrechts (HGB/AO) – auf die IT wirken, müssen verschiedene Unternehmensbereiche eng zusammenarbeiten, um ein valides Ergebnis erarbeiten zu können. Neben den Juristen, den Verantwortlichen der involvierten Business Units und den operativ beauftragten Mitarbeitern macht es dabei häufig Sinn, auch externe Sachverständige miteinzubeziehen. Die Koordination der Zusammenarbeit stellt dabei erfahrungsgemäß bereits eine große Herausforderung dar.

IT-Compliance sicherzustellen ist jedoch keinesfalls optional. Reputationsverlust und mögliche Sanktionen bei Verstößen gegen die Vorschriften können abhängig von der jeweiligen Vorschrift ein ernstzunehmendes betriebswirtschaftliches Risiko darstellen. Das Thema muss letzten Endes deshalb nicht nur wegen der oftmals gefürchteten Gesellschafterhaftung aus Sicht der Unternehmensleitung betrachtet werden, sondern auch wegen der strategischen Zielstellungen, die damit verbunden sind. Maßnahmen zur Einhaltung der Vorgaben dienen grundsätzlich der Risikominimierung, indem sie konformes Verhalten fördern. Die Motivation, in IT-Compliance zu investieren, fußt dagegen meistens auf der Hoffnung, Effizienz- und Effektivitätssteigerungen zu erreichen.

IT-Compliance und Enterprise Content Management
Was das Thema im Umfeld von Enterprise Content Management betrifft, so muss man stets die individuelle Situation im Unternehmen betrachten. Welche Vorschriften zu berücksichtigen sind, ergibt sich aus den verwalteten Informationen sowie den Unternehmensspezifika. Neben den eingangs erwähnten, weitverbreiteten Vorschriften gelten für ein Unternehmen häufig auch branchenspezifische Regelwerke. Banken und Kapitalanlagegesellschaften müssen beispielsweise das Wertpapierhandelsgesetzes WpHG berücksichtigen, für die Unternehmen der Pharma und Lebensmittelbranche können hingegen die „Good Manufacturing Practice“ (GMP) der U.S. Food and Drug Administration (FDA) wichtig sein. Je nachdem welche Informationen abgelegt und welche Geschäftsprozesse abgebildet werden, variiert daher der Grad der Regulierung des entsprechenden Informationssystems.

Was heißt das? Kurz ausgedrückt: Enterprise Content Management selbst ist nicht reguliert, wohl aber unter Umständen die darin verwalteten Informationen und/oder die abgebildeten Geschäftsprozesse. Meiner Erfahrung nach sind die beiden am häufigsten diskutierten Themen der IT-Compliance vor dem Hintergrund von Enterprise Content Management:

Was genau das bedeutet und wie sich Compliance-Vorgaben in der Kombination mit Effizienz- und Effektivitätssteigerungen realisieren lassen, thematisiere ich in einem weiteren Blogeintrag.

Lesen Sie zu diesem Thema auch das passende Whitepaper. Es steht Ihnen als kostenloser Download auf unserer Webseite zur Verfügung.

Es war noch nie so einfach anzufangen

Lassen Sie uns über Ihr Projekt sprechen.

Wir sollten uns kennenlernen!

STANDORTE
it-novum GmbH Deutschland
Hauptsitz:
Edelzeller Straße 44, 36043 Fulda
Niederlassungen:
Ruhrallee 9, 44139 Dortmund
Kaiserswerther Str. 229, 40474 Düsseldorf
E-Mail: info@it-novum.com
Tel.: +49 661 103-434
it-novum Zweigniederlassung Österreich
Ausstellungsstraße 50 / Zugang C
1020 Wien

E-Mail: info@it-novum.at
Tel.: +43 1 205 774 1041

it-novum Schweiz GmbH
Hotelstrasse 1
8058 Zürich

E-Mail: info@it-novum.ch
Tel.: +41 44 567 62 07