Direkt zur zweiten Navigationsebene, fallls vorhanden.Direkt zum Seiteninhalt
plone_banner_fb
Sie sind hier: FB 02 → Prof. Schwickert

Projekt: Control-Framework für IT-Compliance im Kontext der Corporate Governance


Kurzbeschreibung:
Compliance bedeutet Übereinstimmung mit Anforderungen – und diese Anforderungen an die IT müssen aus einschlägigen gesetzlichen Rahmenbedingungen, vertraglichen Verpflichtungen und internen Richtlinien unternehmensspezifisch abgeleitet werden. Inhaltlich überschneiden sich diese Anforderungen in großen Teilen, was im Unternehmen zu Ineffizienzen aufgrund von Doppelarbeit führt.
Beginn:
18.12.2008
Ende:
01.05.2009
Problemstellung:
Die Schlagwörter Compliance und Governance finden in den letzten Jahren – nicht zuletzt aufgrund spektakulärer Schadensereignisse in großen internationalen Unternehmen und darauf folgender regulatorischer Normierung – immer größere Beachtung in Wissenschaft und Praxis. Hinsichtlich der Reichweite entsprechender Untersuchungen kann man einerseits auf totalanalytischer (auf Ebene des Gesamtunternehmens; Corporate Governance/Compliance) und partialanalytische (auf Ebene einer betriebswirtschaftlichen Ressource; z. B. IT-Governance/Compliance) Ansätze unterscheiden. Dabei beschreiben Governance-Konzepte die grundsätzlichen Prinzipien der Steuerung und Kontrolle des betrachteten Bezugsobjekts, die Compliance zielt dagegen auf die Erfüllung unternehmensinterner wie –externer Anforderungen an die Bezugsobjekte. Allerdings muss konstatiert werden, dass insbesondere der Begriff der IT-Compliance mittlerweile inkorrekterweise als Modewort für die strategische Bedeutung der IT im Unternehmen gebraucht und mit Themen wie Risk Management und IT-Business-Alignment vermischt wird.


Der Ursprung der Compliance-Debatte liegt aber an anderer Stelle. Compliance bedeutet Übereinstimmung mit Anforderungen – und diese Anforderungen an die IT müssen aus einschlägigen gesetzlichen Rahmenbedingungen, vertraglichen Verpflichtungen und internen Richtlinien unternehmensspezifisch abgeleitet werden. Inhaltlich überschneiden sich diese Anforderungen in großen Teilen, was im Unternehmen zu Ineffizienzen aufgrund von Doppelarbeit führt. Häufig
lässt sich in Folge der zunehmenden Anforderungen auch die Reaktion „was sich nicht vermeiden lässt, wird gemacht. Was nicht reguliert ist, wird erst recht nicht gemacht“ beobachten. Vor dem Hintergrund dieser Überregulierungsvermutung suchen Unternehmen nach effizienten Wegen, ihre IT-Landschaft „sicher“ – im Hinblick auf die Erfüllung der maßgeblichen Rechtsnormen - zu gestalten. Es stellt sich also die Frage, wie ein Unternehmen eine rechtsnormenkonforme IT-Implementierung effizient und effektiv realisieren kann.


Lösungsansätze liefern eine ganze Reihe von Standards und Referenzmodellen, die inhaltlich ein effektives und effizientes IT-Management bzw. IT-Sicherheitsmanagement adressieren. Zu nennen sind hier ISO/IEC 20000/27001, Cobit und ITIL. COSO und ISO/IEC 38500 dagegen fokussieren Fragen der Corporate- bzw. IT-Governance. Ebenso gibt es für die konkrete Umsetzung im IT-Bereich internationale (ISO/IEC 27002) und nationale (Grundschutzhandbuch) Empfehlungen. Allerdings bleibt unklar, welcher Standard als Orientierungsrahmen zu verwenden ist. Sinnvollerweise sollte sich als eine rechtsnormenkonforme Ausgestaltung der IT an den Unternehmenszielsetzungen und damit an den Governance-Prinzipien anlehnen. Dazu sind die Governance-Standards inhaltlich auf die Compliance-Anforderungen abzubilden.
Ziel:
Die Arbeit konsolidiert im ersten Schritt Standards- und Referenzmodelle und leitet Kategorien (Dimensionen) für ein generisches Kontrollrahmenwerk ab, dass Fragestellungen der ITCompliance und -Governance in die Corporate Governance integriert. Im zweiten Schritt werden alle Dimensionen dieses Rahmenwerk mit Kontrollbeschreibungen füllt. Neben der Definition der Kontrollen bietet das konsolidierte Framework folgenden Mehrwert:

  • a) Risikobeschreibung
  • b) Verantwortung
  • c) Zuordnung zu bekannten Referenzmodellen (um Ineffizienzen durch Überschneidung zu vermeiden)
  • d) Definition von (kontrollierbaren) Nachweisen zur externen Prüfung
  • e) Schadensausmaße bzw. Schadenskategorien
Ergebnis der Arbeit sollte also eine tabellarische Auflistung der über die betrachteten Standards und Referenzmodelle konsolidierten Dimensionen sein, denen jeweils ein Set an Maßnahmen (incl. Der o. g. Merkmale a-e) zugeordnet ist, mit denen die rechtsnormenkonforme Umsetzung der Dimensionen effizient überprüft werden kann.
Ablaufplan:

Leiter:
Betreuer:
Team-Mitglieder:
Praxispartner:
Jörg Asma 
Partner 
KPMG AG, KPMG Europe LLP 
Barbarossaplatz 1a, 50674 Köln, Deutschland
Fachbereich & Campus  |  Studiengänge  |  Service für Studierende  |  Forschung & Vernetzung  |  Career Center