Compliance in der Digitalisierung
Die Herausforderung in der digitalen Compliance meistern
Veröffentlicht in: DiALOG - DAS MAGAZIN FÜR ENTERPRISE INFORMATION MANAGEMENT | MÄRZ 2019
Einleitung
Unsere Welt wandelt sich kontinuierlich. Von Zeit zu Zeit ist dieser Wandel so groß, dass er die bestehenden Strukturen und Prozesse nachhaltig erschüttert und dann spricht man von einer Revolution, wie zum Beispiel der „Industriellen Revolution“. Dieser Prozess erfolgt nicht von heute auf morgen, sondern er sendet seine Vorboten, um dann immer schneller und einschneidender voranzuschreiten. Mit der Digitalisierung sind wir wieder in einer solchen Situation. Diesmal kommt erschwerend hinzu, dass die Menschheit mittlerweile wirtschaftlich und kommunikationsseitig global viel stärker und unmittelbarer verbunden ist. Es gilt also neben den technisch bedingten Möglichkeiten der Digitalisierung auch die Globalisierung und weltweite Vernetzung zu berücksichtigen. Und genau dieser Umstand steigert die bereits in der Digitalisierung begründete Komplexität noch erheblich, insbesondere wegen deren Unberechenbarkeit. Des Weiteren besteht die Anforderung, bestehende Vorgaben an Recht und Ordnung auch in der Digitalisierung einzuhalten und nachzuweisen. Wie das genau funktionieren soll, ist bisher alles andere als allgemeingültig geklärt.
Es kommt also darauf an, eine Systematik zu finden, die es auf der einen Seite ermöglicht, diese Umstände generisch zu berücksichtigten und auf der anderen Seite Entscheidungs- und Handlungssicherheit im Hier und Jetzt bietet.
Ausgangslage
Die Herausforderung für die Compliance in der Digitalisierung ist die Virtualisierung bisheriger Prozesse und den damit verbundenen Folgen für die Rechts- und Revisionssicherheit sowie deren Ordnungsmäßigkeitsnachweis im Ganzen.
In diesem Zusammenhang heben sich folgende Risikofaktoren besonders heraus:
- Fehlen von physischen Merkmalen die zur sicheren Identifikation bzw. Authentifikation dienen können;
- Fehlen von gewohnten, natürlichen Schutzbarrieren wie Grenzen, Räumlichkeiten;
- weltweite Vernetzung und Zugriffsmöglichkeiten;
- neue Sicherheitsrisiken (z.B. Spionage, Manipulation, Verwundbarkeit);
- fortlaufender Wandel in der Technik, der sich zumeist unsynchronisiert vollzieht.
Mit einer nativen Abbildung bisheriger Prozesse in die digitale Welt ist es somit nicht getan. Es müssen Maßnahmen ergriffen werden, diese Faktoren zu beherrschen.
Was ist zu tun?
Die Antwort lautet, einen Entwicklungs- und Kontrollprozess für das geeignete Zusammenwirken von Technik und Organisation aufzusetzen.
Ein grundlegender Schlüsselfaktor in diesem Prozess ist, für hinreichende Transparenz und Nachvollziehbarkeit zu sorgen. Auf organisatorischer Seite steht dabei eine umfassende Verfahrensdokumentation, auf technischer Seite ausreichende Kontrollmöglichkeiten und Systemprotokolle. Die erforderliche Ausgestaltung richtet sich dabei jeweils nach der fallbezogenen und zumeist individuellen Sachlage, die sich mit folgendem Vorgehen bestimmen lässt:
Compliance-Faktoren ergeben sich u.a. aus den einzuhaltenden Gesetzen und Vorschriften, Standards und Normen, vertraglichen Vereinbarungen sowie sozioökonomischen Gegebenheiten.
Relevante Risikofaktoren der Digitalisierung sind für den Individualfall schwieriger zu bestimmen. In Deutschland gibt es z.B. zur Bestimmung von Risiken zur Informationssicherheit die etablierte Methodik des IT-Grundschutzes (BSI Bundesamt für Sicherheit in der Informationstechnik).
Bei der Gestaltung sind ferner zu beachten:
- Die Maßnahmen für Transparenz und Nachvollziehbarkeit sollten beweistauglich und belastbar sein. Hierfür empfiehlt es sich insbesondere in Fragen von Gesetzen und öffentlichen Vorschriften die Absicherung durch jeweilige Experten einzuholen!
- Der Prozess sollte sowohl technisch als auch organisatorisch bezüglich seiner Wirkungsweise und seines Wirkungsspektrums präzise abgegrenzt werden.
Ergänzend der Hinweis auf zwei dazu korrespondierende Normen:
- ISO 27001 Information technology – Security techniques – Information security management systems – Requirements
- ISO 19600 Compliance Managements Systems - Guidelines
Komplexität managen
Die Komplexität des Compliance-Prozesses zur Digitalisierung lässt sich mittels der vorgenannten strukturierten und systematischen Vorgehensweise bereits deutlich eingrenzen.
Jedoch reicht dies allein nicht aus, weil hierhin nur ein statischer Teil in Form einer Momentaufnahme abgebildet ist. Im nächsten Schritt steht die dynamische Komponente, fortlaufende Veränderungen unmittelbar zeitgerecht zu berücksichtigen. Dafür empfiehlt es sich, einen Regelkreis aufzusetzen. Im Rahmen etlicher ISO-Standards (wie z.B. ISO 27001/2) setzt man hierfür auf das PDCA-Modell.
Ergänzende Maßnahmen
Je nach Auswirkung der Digitalisierung in wirtschaftlicher, rechtlicher und ethischer Hinsicht kann es sinnvoll sein, sich seine Maßnahmen durch sachverständige Dritte bestätigen zu lassen. Damit ein solches Gutachten selbst belastbar ist, empfiehlt es sich, auf folgende Punkte zu achten:
- Der Gutachter muss neutral und unabhängig sein.
- Das Gutachtenverfahren muss transparent und nachvollziehbar sein.
- Der Gutachter darf nicht seine eigene Beratungsleistung auditieren und/oder zertifizieren.
Für ein solches Vorgehen bieten sich verschiedene Modelle an, deren Wahl sich aus dem konkreten Einzelfall bestimmen lässt. Manche Vorgehensweisen, wie sie zum Beispiel von ISO-Standards empfohlen werden, sind für kleine Organisationsformen schlicht zu aufwendig und stünden nicht im wirtschaftlichen Verhältnis. Grundsätzlich sollte sich jedoch immer an solchen Standards orientiert werden. Zu diesem Zweck bieten sich flexiblere an, welche die Aspekte der wirtschaftlichen Angemessenheit und die Tatsache des Nachweises von Rechts- und Revisionssicherheit fokussieren. Im Idealfall zeigen solche Modelle auch die inhaltlichen Abdeckungen zu relevanten ISO-Standards auf. Ein solches Verfahren bietet z.B. der Branchenfachverband VOI Verband Organisations- und Informationssysteme e.V. mit der VOI PK-DML Compliance-Methode, welches die Gestaltung, Prüfung und Zertifizierung von „Digitalen Dokumentenprozessen und IT-Lösungen“ umfasst.
Konfliktsituation
Eine weitere bedeutsame Herausforderung ergibt sich aus dem Umstand, dass die erforderlichen Maßnahmen einen zusätzlichen Aufwand darstellen, den es sorgsam zu kalkulieren gilt. Unter dem Hintergrund von Fachkräftemangel, Kostendruck, wirtschaftlicher Leistungsorientierung der Mitarbeiter und Wettbewerb lässt sich diese Herausforderung nicht nebenbei und Ad hoc umsetzen. Es kommt darauf an, diesen neuen Faktor als Teil der Organisationskultur zu integrieren und alle beteiligten Mitarbeiter intensiv zu begleiten. Insbesondere der „Faktor Mensch“ erfordert aufgrund seiner Unsicherheit besonderer Aufmerksamkeit. Motivation und Verständnis nehmen hierbei eine entscheidende Rolle ein. Es empfiehlt sich, einen Regelkreis für einen interaktiven Kommunikationsprozess Dialog „Top down – Bottom up“ aufzusetzen und das aktive Mitwirken zum Element des Leistungsbeitrags und der Vergütung zu verankern.
Fazit
Compliance ist kein Selbstläufer und muss in jeder Organisationsform individuell gestaltet werden. Dem zuzuordnende Entwicklungen der letzten Jahre, wie zum Beispiel die GoBD (BMF „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zu Datenzugriff“) und die EU DS-GVO (Datenschutzgrundverordnung), zeigen deutlich, dass nicht nur konkrete Nachweisführung des ordnungsmäßigen Betriebes verlangt wird, sondern dass Verstöße auch wirksam, schnell und empfindlich bestraft werden sollen. Compliance im Kontext des Einsatzes von IT-Technologie (IT-Compliance) erfordert von Organisationen technisch, organisatorisch und wirtschaftlich neue Maßnahmen und aktives Handeln. Ein signifikanter Anteil für den Erfolg liegt in der Einbindung und Motivation aller Mitarbeiter sowie der Gestaltung einer ernsthaften Compliance-Kultur. Dies führt zur Erkenntnis, dass im Zusammenhang mit Digitalisierung ein systematisches „Compliance-Management“ zukünftig als ein unverzichtbares Handlungsfeld der obersten Leitungsebene verstanden werden sollte.
Dipl. Inform. Ralf Kaspras ist Inhaber der InnoDataTech. Ralf Kaspras Unternehmensberatung für Informationstechnik, spezialisiert auf IT-Compliance und Informationssicherheit. Im Fachverband VOI e.V. (Bonn) engagiert er sich seit 1997 für die Entwicklung von Best-Practise-Verfahren im Themenkomplex von IT-Compliance.