Ratschläge für IT-Führungskräfte

Alptraum Compliance-Verletzungen

Folker Scholz schreibt zu den Themen Governance, Risk, Compliance, Nachhaltigkeit/CSR und Veränderungsmanagement. Als selbständiger Berater und Coach hilft er Unternehmen das dynamische IT-Umfeld und den Innovationsdruck neuer Geschäftsmodelle zu beherrschen. Er engagiert sich in der Fachgruppe Cloud der ISACA, in der Risk Management Association (RMA) und im Deutschen Netzwerk Wirtschaftsethik (DNWE).
Die VW-Krise zeigt das Alptraum-Potenzial von Compliance-Verletzungen. Anlass genug, sich auch in der IT um die Compliance zu kümmern.

Noch sind die Folgen des VW-Skandals gar nicht vollumfänglich absehbar. Wahrscheinlich werden sie deutlich im zweistelligen Milliarden Euro Bereich liegen. Doch eins ist sicher, ein Satz wird sich bei allen VW-Managern tief eingebrannt haben. Er ist nicht neu, aber an Aktualität kaum zu toppen: "Wenn Sie glauben ComplianceCompliance ist teuer, probieren Sie es mal mit Non-Compliance!" Alles zu Compliance auf CIO.de

Die hohen Kosten ergeben sich unter anderem aus der Internationalität des Geschäfts. Jedes betroffene Land kann Strafzahlungen erheben. In vielen Ländern gibt es die Möglichkeit von Sammelklagen, die es auch Normalbürgern leicht machen, ihre Schadensersatzforderungen geltend zu machen. Es ist die Kehrseite der einfachen Globalisierung der Geschäftsmodelle, die vor allem von Cloud Anbietern so sehr geschätzt wird.

Compliance-Bedrohungen sind in der IT angekommen

Spätestens mit dem Thema DatenschutzDatenschutz ist die Compliance-Bedrohung auch in der IT angekommen. Es ist allerdings nur eines von vielen Compliance-Themen: Urheber- und Lizenzrecht, Verrechnungspreisgestaltung im Rahmen internationaler Leistungserbringung, Korruption oder Verletzungen der Corporate Social Responsibility sind ebenfalls IT-relevante Themen, die unangenehme Strafen, negative Einträge in Wohlverhaltensregister oder massive Image-Schäden erzeugen können. Alles zu Datenschutz auf CIO.de

Als Kerntechnologie von Industrie 4.0 schickt sich die IT außerdem an, für verschiedenste Ausfälle von Maschinen oder Versorgungseinrichtungen mit zur Verantwortung gezogen zu werden. Cloud-Computing, steht zudem für die Idee, IT-Services „on-demand“ über Plattformen und Marktplätze einzukaufen und zu kombinieren. In solchen Lieferketten wächst die Komplexität und Unübersichtlichkeit zwangsläufig. Das Bedrohungspotential im Verantwortungsbereich der IT nimmt rasant zu.

IT-Verantwortliche kümmern sich lieber um Technik

Wer die Hoffnung hat, dass sich die Hausjuristen oder die Compliance-Abteilung schon um alle rechtlichen Dinge kümmern, handelt naiv und fahrlässig. Legal- und Compliance-Offices kümmern sich in der Regel um die grundsätzlichen Vorgaben in Form von Richtlinien, die im Kern die Ansprüche zwar allgemein formulieren, die konkrete Ausgestaltung jedoch den Fachabteilungen überlassen. Auch stehen sie für konkrete Fragen oder Prüfungen zur Verfügung. Die richtigen Fragen zu stellen, erfordert allerdings eine intensive Beschäftigung mit den relevanten Themen.

Natürlich befassen sich IT-Verantwortliche lieber mit der Produktion von IT-Services, statt sich mit den Policies ihrer Compliance-Abteilungen zu beschäftigen. Die immer kürzere Taktung von Business-Anforderungen, die rasante technische Entwicklung und der Kostendruck stehen im Fokus ihrer Zielvereinbarungen und des Tagesgeschäfts. Die Beschäftigung mit etwas Unproduktivem und Wesensfremden wie Compliance bietet daher keine Attraktivität für die Mehrzahl der IT-Beschäftigten.

Unwissenheit schützt nicht vor Strafen

Dennoch, Unwissenheit schützt nicht vor Strafen. Von einem modernen IT-Manager wird zunehmend erwartet, dass er die Gefährdungspotenziale der IT-Compliance kennt und im Rahmen seiner Aufgabenstellung geeignete Vorsorgemaßnahmen ergreift. Diese Verantwortung erzeugt ein persönliches Haftungsrisiko.

Zeitbomben in der IT

Compliance-Abteilungen sind in der Praxis ohnehin zumeist viel zu weit von den konkreten IT-Verfahren entfernt, um alle Bedrohungen frühzeitig erkennen zu können. Teilweise kann die IT-Revision helfen, Compliance-Defizite aufzudecken. Doch diese prüft üblicherweise erst, wenn Systeme bereits laufen und einige Zeit genutzt werden. Ein bereits eingeführtes teures IT-Projekt aufgrund von Compliance-Mängeln abzuschalten, ist ein organisatorischer und finanzieller Alptraum für jedes Unternehmen. Lieber wird das Risiko einer Entdeckung kleingeredet und auf das Prinzip Hoffnung gesetzt.

In so mancher IT-Abteilung dürften solche Zeitbomben für das Unternehmen und die verantwortlichen Manager ticken. Aus kaufmännischer Sicht ist es sogar nachvollziehbar, dass bestimmte Compliance-Risiken wirtschaftlich als tragfähig angesehen werden, weil die notwendigen Heilungsmaßnahmen über das Risiko hinausgehen. Problematisch wird es allerdings, wenn die entsprechenden Risiken nicht in die Gesamtrisiko-Kalkulation einfließen und Image- oder andere Folgeschäden nicht ausreichend berücksichtigt werden.

IT-Abteilungen müssen sich selbst um Compliance kümmern

Das Beispiel VW zeigt sehr eindrücklich, dass vermeintliche kleine Schummeleien und Kavaliersdelikte sich durchaus zu einem Alptraum entwickeln können, wenn ihre Auswirkungen nicht überblickt werden. Ziel sollte es sein, die Bedrohungen durch Compliance wirklich zu kennen und die Risiken gering zu halten. Dazu müssen sie frühzeitig entdeckt und durch geeignete Maßnahmen kontrolliert werden. Compliance-Checks, Kontrollen und Aufgaben sind in den IT-Prozessen der Vorhaben und des Betriebs zu verankern. Anwachsende Cloud-Infrastrukturen mit ihren komplexen Lieferantenketten lassen zudem den Management- und Kontrollaufwand weiter ansteigen.

Die meisten IT-Abteilungen werden nicht umhinkommen, eigene Risiko- und Compliance-Verantwortliche einzusetzen und unterstützende Managementsysteme zu etablieren. Im Zeichen der VW-Krise ist es wahrscheinlich ein günstiger Zeitpunkt, Ressourcen für System-Unterstützung, Knowhow-Aufbau und professionelles Coaching für Compliance-Themen bei den IT- und Unternehmensleitungen zu adressieren.

Zur Startseite