IT-Compliance-Anforderungen mit einem Framework begegnen
IT-Compliance bezeichnet die Einhaltung der relevanten Gesetze und Rechtsverordnungen, der vertraglichen Verpflichtungen sowie der externen und internen Richtlinien die IT einer Organisation betreffend. Dazu muss die Organisation entsprechende Prozesse einrichten sowie in der Lage sein, die Einhaltung der relevanten Bestimmungen zu überwachen und gegenüber internen und externen Interessengruppen nachzuweisen.
Mit der Bedeutung der IT, nehmen auch die Anforderungen an die IT zu. Inzwischen existiert eine Vielzahl von gesetzlichen und anderen regulativen Vorgaben, die direkt oder indirekt Anforderungen an die IT einer Organisation stellen. Daneben steigen die Ansprüche von interner und externer Seite, die durch die zunehmende Verbreitung von Referenzmodellen und Standards neue Maßstäbe an die IT anlegen. Dieses geschieht vor allem um Regelverstösse mit zivil- und strafrechtlichen Folgen sowie dem damit einhergehenden Reputationsverlust zu verhindern.
Daneben ist aber auch der Nutzen von IT-Compliance für ein wertorientiertes Management zu betonen. Eine gute IT-Compliance trägt zu einer langfristen Wertschöpfung bei, indem durch die Anwendung von Referenzmodellen Defizite in Prozessen beseitigt, Prozesse standardisiert und Kontrollen verbessert werden. Auch bringt IT-Compliance am Ende mehr Sicherheit, Zuverlässigkeit und Stabilität in die IT-Prozesse und entlastet damit die IT-Funktion, nicht zuletzt auch in Form von weniger Vorbereitungsaufwand auf externe Prüfungen.
Angesichts der Vielzahl von Anforderungen an die IT, bedarf es eines strukturierten Ansatzes um gegenwärtige, aber auch um zukünftige Anforderungen zu erfüllen und die Erfüllung den einzelnen Interessengruppen nachzuweisen. COBIT bietet einen strukturierten Ansatz, durch den IT-Prozesse klar strukturiert und die Anforderungen an diese IT-Prozesse zu den gängigen Anforderungen in Beziehung gesetzt werden können. Dadurch wird eine klare Zuordnung der internen Prozesse zu den externen Anforderungen möglich und über die Kennzahlen und Reifegradbeschreibungen liefert COBIT auch die notwendigen Instrumente für eine effektive Steuerung und Überwachung der IT-Prozesse.
Im Rahmenwerk COBIT gibt es sogar ein eigenes Managementziel MEA03 »Compliance mit externen Anforderungen wird gemanagt«, das Unternehmen unterstützen soll, alle anwendbaren externen Anforderungen zu erfüllen. Dazu müssen alle externen Compliance-Anforderungen identifiziert werden, um diese Compliance-Anforderungen dann nachweislich zu erfüllen.
Aber IT-Compliance ist in COBIT nicht nur über das Managementziel MEA03 »Compliance mit externen Anforderungen wird gemanagt« abgedeckt, sondern auch in anderen Governance- und Managementzielen enthalten. In COBIT 2019 können über die Designfaktoren »Unternehmensziele«, »Risikoprofil«, »IT-bezogene Probleme« und »Compliance-Anforderungen« die relevanten Governance- und Managementziele selektiert werden.
In meinem Buch Praxiswissen COBIT erläutere ich detailliert den Einsatz von COBIT zum Aufbau eines IT-Compliance-Rahmenwerks anhand eines Praxisbeispiels. Aufgabe des durchgeführten Projekts war die Implementierung eines transparenten Anweisungswesens, dass die gegenwärtigen IT-Compliance-Anforderungen erfüllt und für zukünftige Anforderungen gewappnet ist.