Compliance ist ein omnipräsentes und vieldiskutiertes Thema in Vorstandsetagen und Fachabteilungen. Je nach Standpunkt werden mit Compliance aber selbst im wirtschaftswissenschaftlichen Kontext verschiedene Vorstellungen verbunden. [...]
Stark vereinfacht lässt sich Compliance als die Erfüllung regulatorischer und vertraglicher Verpflichtungen definieren. Etwas komplizierter formuliert hat Compliance zum Ziel, die Transparenz und Überprüfbarkeit der unternehmensweiten Geschäftsprozesse zu erhöhen, Risiken zu minimieren und dadurch zur Beständigkeit des Geschäftsmodells beizutragen.
COMPLIANCE IST INTERDISZIPLINÄR
Wenn von IT-Compliance die Rede ist, wird, anders als bei der unternehmensweiten Compliance, lediglich die Informationstechnik als Unternehmensbereich betrachtet. Ein naheliegender und daher verlockender Trugschluss ist, dass IT-Compliance aufgrund der Namensgebung ein reines IT-Thema ist und daher durch die zuständige Business Unit eigenständig und zufriedenstellend besetzt werden kann. Das ist jedoch oftmals falsch!
Dass IT-Compliance interdisziplinär gesehen werden muss, erkennt man anhand der folgenden Regelwerke schnell. Während einige nationale Gesetze – wie beispielsweise das Bundesdatenschutzgesetz (BDSG) oder das Signaturgesetz (SigG) – zweifelsohne einen starken IT-Charakter haben, erfordert die Einhaltung vieler anderer gesetzlicher Vorschriften ein Höchstmaß an Interdisziplinarität. Wenn „IT-fremde“ Vorschriften (z.B. Regelungen des Handels- und Steuerrechts (HGB/AO)) auf die IT wirken, müssen verschiedene Unternehmensbereiche eng zusammenarbeiten, um ein valides Ergebnis zu erarbeiten. Bereits die Koordination der Zusammenarbeit stellt dabei erfahrungsgemäß eine große Herausforderung dar.
IT-Compliance sicherzustellen ist jedoch keinesfalls optional. Reputationsverlust und mögliche Sanktionen bei Verstößen gegen die Vorschriften können abhängig von der jeweiligen Vorschrift ein ernstzunehmendes betriebswirtschaftliches Risiko darstellen. Das Thema muss letzten Endes deshalb nicht nur wegen der oftmals gefürchteten Gesellschafterhaftung aus Sicht der Unternehmensleitung betrachtet werden, sondern auch wegen der strategischen Zielstellungen, die damit verbunden sind.
IT-COMPLIANCE UND ECM
Was das Thema im Umfeld von Enterprise Content Management betrifft, so muss man stets die individuelle Situation im Unternehmen betrachten. Welche Vorschriften zu berücksichtigen sind, ergibt sich aus den verwalteten Informationen und den Unternehmensspezifika. Neben den eingangs erwähnten weitverbreiteten Vorschriften gelten für ein Unternehmen häufig auch branchenspezifische Regelwerke. Je nachdem welche Informationen abgelegt und Geschäftsprozesse abgebildet werden, variiert daher der Grad der Regulierung des entsprechenden Informationssystems.
Was heißt das? Kurz ausgedrückt: Enterprise Content Management selbst ist nicht reguliert, wohl aber unter Umständen die darin verwalteten Informationen und/oder die abgebildeten Geschäftsprozesse.
Aus diesem Grund erfordert die enge Verzahnung von Technik und Organisation bei der Umsetzung von Enterprise Content Management-Vorhaben ein solides Projektmanagement. Um IT Compliance zu erhalten, muss zum einen die Kommunikation über Fachabteilungsgrenzen hinweg reibungslos funktionieren. Zum anderen ist es wichtig, dass IT-Compliance als Prozess, nicht als Zustand, betrachtet wird.
* Brian Kurbjuhn ist ECM Consultant der it-novum GmbH.
Be the first to comment