Cover Heft 20

Heft 19, November 2014

Buchbesprechung

IT-Compliance. Erfolgreiches Management regulatorischer Anforderungen Michael Rath, Rainer Sponholz IT-Compliance Erfolgreiches Management regulatorischer Anforderungen 2., neu bearb. Auflage ESV Erich Schmidt Verlag, Berlin 2014 312 Seiten
ISBN 978-3-503-14458-7 € 49,95 (D)

Das Buch von Rath und Sponholz stellte im Jahr 2009 die erste Monografie zu IT-Compliance dar und zählt seitdem zu den Standardwerken zum Thema. Insofern durfte man gespannt sein, wie die Autoren die beträchtliche Entwicklung der IT-Compliance in den fünf Jahren, die zwischen der ersten und der aktuellen zweiten Auflage liegen, verarbeitet haben. Zuerst fallen die formalen Aspekte ins Auge. Die 2., neu bearbeitete Auflage ist fast 50 Seiten umfangreicher. Nach dem Vorwort der Autoren wurden die Ausführungen auf den aktuellen Stand gebracht. Diese Aktualisierung bewegt sich im Rahmen der bisherigen Kapitelstruktur. Auch die Abschnittsgliederung in den zwölf Kapiteln wurde überwiegend beibehalten. Der Text wurde neu gesetzt, einzelne Passagen (Definitionen, Zitate etc.) wurden optisch hervorgehoben. Insgesamt ist das Buch damit gegenüber der ersten Auflage besser lesbar geworden. Als neues, interessantes Element sind 2- bis 6-seitige Berichte von Unternehmensvertretern und Beratern enthalten, die die einzelnen Ausführungen aus praktischer Perspektive beleuchten.

Das erste Kapitel enthält die begriffliche Diskussion zu (IT-)Governance, IT-Compliance, Data Governance und GRC (Governance, Risk & Compliance). Im zweiten Kapitel wird die IT-Sicherheit fokussiert. Im Rahmen der Ausführungen zum Wirkungsmodell der IT-Sicherheit wird dieses auf ein GRC-Wirkungsmodell übertragen. Erweitert wurden die Ausführungen zur IT-Sicherheit als volkswirtschaftlicher Aufgabe. Umfangreichere Veränderungen musste das dritte Kapitel zu den Treibern von IT-Compliance erfahren. Als zusätzlicher Treiber wurde mit Recht das Thema »Cloud Computing« neu aufgenommen. Zudem wurden aktuelle Entwicklungen in der Ablösung der alten GoBS durch die neuen (ab dem 01.01.2015 anzuwendenden) GOBD berücksichtigt. Die Änderungen zu den GoBS/GOBD fanden dann auch notwendigerweise Niederschlag im vierten Kapitel zum rechtlichen Rahmen der IT-Compliance. Weiterhin finden sich hier jetzt Ausführungen zu Standards für Compliance-Management-Systeme (IDW PS 880 und CMS 101:20111 des TÜV Rheinland), zu den MAComp, zur E-Bilanz u. a.m. Ebenfalls thematisiert werden relevante Standards und Normen als Rahmen für IT-Compliance. Das fünfte Kapitel wurde komplett von Markus Gaulke überarbeitet. Das Kapitel beschreibt die neue Struktur von COBIT ® 5, insbesondere die Dokumentenstruktur, die Prinzipien und das Prozessmodell. Die Kosten der IT-Compliance werden im sechsten Kapitel grundlegend motiviert, wobei eher Wirtschaftlichkeit und Wertbeitrag durch IT-Compliance im Vordergrund stehen. Die Autoren verarbeiten hierbei neuere Studienergebnisse, die allerdings zumeist nicht spezifisch auf IT-Compliance ausgerichtet sind. Zum Management der IT-Compliance zählen die Autoren die Organisation, den Prozess und die Werkzeuge der IT-Compliance. Hierbei fällt auf, dass das Konzept eines IT-Compliance-Management-Systems nicht thematisiert wird. Stattdessen werden die drei genannten Elemente in den Kapiteln 7 bis 9 einzeln abgehandelt. In Bezug auf die Organisation der IT-Compliance werden ebenfalls neuere Studien verarbeitet und auch die Weiterbildung für IT-Compliance wird erörtert. Der IT-Compliance-Prozess im achten Kapitel gliedert sich in die vier grundlegenden Schritte Anforderungsund Abweichungsanalyse, Ableitung des Handlungsbedarfs und Berichterstattung. Als Werkzeuge der IT-Compliance (Kapitel 9) beziehen sich die Autoren zuerst auf die Nutzung unternehmensübergreifender Standards, wie COBIT ® , ITIL ® oder die ISO/IEC 27002. Dies ist insofern richtig, als diesen Standards bzw. der ISO/ IEC-Norm Hinweise für die Ausgestaltung eines IT-Compliance-Management-Systems entnommen werden können. Die Ausführungen zu Compliance-Management-Software als weiterem Werkzeug der IT-Compliance wurden aktualisiert und erweitert; integrierte GRC-Anwendungen finden nunmehr umfangreich Berücksichtigung. Kapitel 10 enthält einige wesentliche, auf IT-Sicherheit fokussierte Maßnahmen. In diesem Kapitel findet sich auch die Behandlung des Unified Compliance Framework (UCF), dessen Angaben jedoch weiterhin den Stand 2008 haben. So wird die Zahl der Kontrollen noch mit 2.402 angegeben, während sie im 3. Quartal 2014 tatsächlich bereits bei 9.276 lagen. Auf der Höhe der Zeit befindet sich dann wieder das elfte Kapitel zum IT-Outsourcing. Insbesondere die Ausführungen zu den Compliance-Nachweisen bei Outsourcing wurden aktualisiert und erweitert. Das zwölfte Kapitel beschließt den inhaltlichen Teil mit einem Ausblick, der sich auf die Fortentwicklung von IT-Governance, IT-Compliance und GRC-Management richtet. In inhaltlicher Hinsicht fällt auf, dass die bereits in der ersten Auflage enthaltene Fokussierung auf IT-Sicherheit auch in der zweiten Auflage fortbesteht. Dass IT- Sicherheit eine zentrale Rolle auch in der IT-Compliance einnimmt, ist unstrittig. Trotzdem hat in den letzten Jahren – verstärkt durch den GRC-Ansatz – auch eine Risikoorientierung in der IT-Compliance Fuß gefasst, beispielsweise bei der Ermittlung der Relevanz von IT-Compliance-Anforderungen. Daneben besteht ein integraler Zusammenhang zwischen der Corporate und der IT-Compliance. Auch hier liegen mittlerweile Erfahrungen vor, die bei einer Ausgestaltung der IT-Compliance zu berücksichtigen sind, insbesondere was die Vorgaben der Standards für Compliance-Management-Systeme anbelangt. Aus akademischer Sicht ist zu konstatieren, dass nur relativ wenig nach 2009 datierte Literatur verarbeitet wurde, obwohl IT-Compliance sowohl in der Fachliteratur als auch in wissenschaftlichen Medien zunehmend behandelt wird. Trotzdem gelingt es den Autoren insgesamt, die gewachsene Bedeutung von IT-Compliance zu reflektieren und anhand der Entwicklungen der letzten Jahre, insbesondere im Bereich der gesetzlichen und sonstigen regulatorischen Vorgaben, zu belegen. Hiermit wird auch der Praxis eine sicherlich willkommene Argumentationsgrundlage an die Hand gegeben.

Prof. Dr. Michael Klotz
FH Stralsund, Fachbereich Wirtschaft

michael [dot] klotz [at] fh-stralsund [dot] de

Zum Inhaltsverzeichnis