Compliance Audit - Einhaltung klar definierter Vorgaben

Abgeleitet vom englischen "to comply with sth." (deutsch: etwas einhalten) respektive "in compliance with" (deutsch: in Übereinstimmung mit) bezeichnet Compliance die Einhaltung von Bestimmungen die sowohl intern als auch extern auf eine Organisation einwirken. Intern können sich diese Bestimmungen aus unternehmensintern definierten Richtlinien oder Verfahren ergeben. Extern leiten sie sich beispielsweise aus allgemeinen und branchenspezifischen Gesetzen, Richtlinien, vertraglichen Rahmenbedingungen oder auch freiwilligen Kodizes ab.

Nicht erst seit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) oder dem Deutschen Corporate Governance – Kodex ist eines klar: Compliance liegt in der Verantwortung des Managements.

Die vitalen Prozesse eines Unternehmens werden in zunehmendem Maße mit der Informationstechnologie (IT) abgebildet. Die Folge: Compliance Anforderungen sind zu meist nur noch mit Hilfe geeigneter IT-Kontrollmaßnahmen umsetzbar. Die IT rückt somit zunehmend in den Fokus der Wirtschaftsprüfer. Für ein Unternehmen bedeutet dies, dass es für sich und seine vitalen Prozesse geeignete Kontrollgrößen implementieren muss, mit denen dann ein Nachweis zur Umsetzung von Compliance-Anforderungen zu führen ist.

Die Information Systems Audit and Control Association (ISACA) hat mit den „Control Objectives for Information and related Technology“ (CobiT) ein international anerkanntes Framework publiziert, das ein generisches Prüf- und Kontrollmodell darstellt. Die Aufgaben der Informationstechnologie werden durch CobiT in 34 Prozesse und über 300 Kontrollziele (Control Objectives) gegliedert. Für Unternehmen stellt CobiT ein ideales Rahmenwerk dar, um mit Hilfe generischer Prozesse und Kontrollziele geeignete Kontrollmaßnahmen zu implementieren und somit Compliance Anforderungen gerecht zu werden.

Die Kunst besteht nun darin, im Sinne einer Kosten / Nutzenbetrachtung, geeignete Kontrollgrößen zu finden. Des Weiteren müssen diese Kontrollgrößen einer stetigen Überwachung unterliegen. Es gehört einiges an Erfahrung und die Sichtweise der Wirtschaftsprüfer dazu, um geeignete und zielgerichtete Kontrollgrößen zu finden.

Zum anderen ist ein geeignetes Management- und Kontrollsystem zu implementieren, das diese Größen möglichst in einer automatisierten Form überwacht. Die Forderung nach einer automatisierten Überwachung zielt des Weiteren auf ein geeignetes Tool ab.

Es liegt auf der Hand, dass Compliance Anforderungen nur aus einem Zusammenspiel von organisatorischen, prozessorientierten und technischen Aspekten zu lösen sind. Ein ideales Instrument hierzu ist ein Information Security Management System (ISMS).

ISMS – Fundament für zielgerichtetes Sicherheits- und Risikomanagement

Das Managementsystem für Informationssicherheit (Information Security Management System, ISMS) ist ein System von Verfahren und Regeln eines Unternehmens, die dazu dienen, die Informationssicherheit dauerhaft zu steuern und zu kontrollieren. Als Schutzziele werden die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen adressiert. Im Kern handelt es sich um einen risikoorientierten Ansatz, der die Risiken der Wertschöpfungskette eines Unternehmens in den Fokus rückt.