:quality(80)/p7i.vogel.de/wcms/af/3d/af3de6ad104f6e703fa211f6487e6595/0107845077.jpeg "Im Rahmen einer festlichen Abendgala wurden am 20. Oktober 2022 die Gewinner der diesjährigen IT-Awards gekürt. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/16/26/1626dac9b4d82bb34d1c5700378bb35e/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1953800/1953889/original.jpg "Die Leserwahl zum Storage-Insider-Award hat begonnen! (Vogel IT-Medien)")
:quality(80)/images.vogel.de/vogelonline/bdb/1883400/1883428/original.jpg "Die Gewinner der diesjährigen IT-Awards stehen fest – und hier sind Ihre Storage-Insider-Preisträger: (Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/af/84/af8417c08be608010d5ac4b7c83c8e10/0113926537.jpeg "Warum sollten Unternehmen in Backup für SaaS-Daten investieren, und warum gerade jetzt? (Bild: jackykids - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2a/fa/2afa1f10c8c249aeae742e5baf649e49/0114002417.jpeg "Zerto In-Cloud for AWS will einfache Migrationen zu, von und zwischen AWS-Sites bieten. (Bild: Zerto)")
:quality(80)/p7i.vogel.de/wcms/37/68/37680a0654fab479e2a0599917562d39/0113949228.jpeg "Nicht trivial, doch dringend nötig: eine Backup-Strategie für Kubernetes. (Bild: Kalyakan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/ad/18ad6960e6096c3d89a70292296a4ec7/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/db/73/db7312527eda703c03c251ae1edc62c5/0114061076.jpeg "Swissbits iShield Archive sorgt dafür, dass keine Unbefugten Zugriff auf gespeicherte Fotos und Videos erhalten. (Bild: Swissbit)")
:quality(80)/p7i.vogel.de/wcms/ab/75/ab7505d7b2c40476f09081abcebe037d/0114175057.jpeg "Im Zuge der strategischen Partnerschaft wurde Fujitsus Primergy-M7-Plattform von Qumulo zertifiziert. (Bild: Hensel - Fujitsu / Screenshot)")
:quality(80)/p7i.vogel.de/wcms/f4/88/f488f674080cb35d7f8811f25e5cd21b/0114378164.jpeg "Das Ziel: autonomes Fahren. Der Weg: KI. Die Grundlage: eine Cloud für Accelerated Computing. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/7c/0b/7c0b1198c043d3106685314a036fd7f2/0113922410.jpeg "Ralf Baumann, Country Manager Germany bei Veritas Technologies. (Bild: Ralf Baumann)")
:quality(80)/p7i.vogel.de/wcms/98/30/98302fbc752c9de4596c4b55a492aa89/0114055919.jpeg "Was die Integration einer KI in die Unternehmens-IT mit Kakteen zu tun hat und wie sich das auf die Speicherlandschaft auswirkt, erläutert Mark Molyneux im Gastbeitrag. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/c4/b0/c4b00dc7bc9a9cd5e747a3543c8e9f58/0114147199.jpeg "Mit dem neuen Angebot stellt AWS dedizierte Clouds für einzelne Kunden oder Kundengruppen bereit. (Bild: © Nmedia - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/30/0730fe30afb6689ea68d669560c940d4/0114013240.jpeg "Anliegen der Entwickler von Quantum ist die Möglichkeit, „flexible hybride Cloud-Workflows zu erstellen, die auf individuelle Bedürfnisse zugeschnitten sind“. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/ac/daac116164c7cd9315782f6e2e344ce1/0113367637.jpeg "Ralf Baumann, Country Manager von Veritas. (Bild: Veritas)")
:quality(80)/p7i.vogel.de/wcms/c4/d1/c4d16b0a5151f0bdbb3f3ae95cf2d7c1/0113559207.jpeg "Mit entsprechender Open-Source-Software lässt sich ein Unternehmens-NAS einrichten. (Bild: momius - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4b/75/4b75a11897ae3cde59864da829a150a9/0112932732.jpeg "KGS Software bietet eine kostenlose Qualitätsanalyse des aktuellen Archivzustandes an. (Bild: meenkulathiamma - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e0/ab/e0ab0c52cfdc96062651e5799f3e48ba/0111368459.jpeg "Das OVHcloud Cold Archive ist für die sichere und langfristige Datenspeicherung vorgesehen. (Bild: Screenshot / OVHcloud)")
:quality(80)/p7i.vogel.de/wcms/9f/e7/9fe773a0b8dbfda7a213ffbeea58dd08/0109971847.jpeg "Unternehmen setzen zunehmend auf digitale Lösungen, und die Anforderungen an Dokumentenmanagementsysteme steigen – nicht zuletzt auf Grund von Compliance-Vorgaben. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/37/a4/37a466bc88ecc01e02771b0f753deb17/0114014762.jpeg "Künstliche Intelligenz bietet enorme Chancen – dennoch sollten wir „auch die Frage stellen, wer die Verantwortung trägt, wenn bei der KI etwas schiefläuft“, betont Edwin Weijdema von Veeam. (Bild: kentoh - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/da/6e/da6e66163c979498a73d8801f41e3348/0113957391.jpeg "Durch HP Universal Print Driver 2023 gehören Treiberprobleme der Vergangenheit an – auch bei älteren HP-Druckern. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/02/9c/029c3c0aef1536f1c54d432695fcd3f5/0113934269.jpeg "Angesichts der immensen Datenmengen, die online gesammelt werden, und der Komplexität moderner digitaler Systeme brauchen Nutzer dringend neue Lösungen, die persönliche Daten schützen. (Bild: jirsak - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/42/134292b4fa9648c154f9440eacdb1fbd/0113971424.jpeg "Herkömmliche Lösungen und Ansätze, auf die sich private IT-Nutzer und professionelle IT-Teams jahrelang verlassen haben, reichen mittlerweile nicht mehr aus, um eine effiziente Data-Protection und Cyber-Security zu gewährleisten. (Bild: James Thew - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/d9/e5d9ce8b6c9b1bc3ee76e6be25c2ef10/0113932083.jpeg "Wer Daten in der Cloud speichert, läuft Gefahr, dass diese von Dritten abgegriffen werden. Das droht vor allem durch Quantencomputertechnik. Zwar liege das Problem noch in der Zukunft, doch Wuppertaler Forscher wollen schon heute Gegenmaßnahmen entwickeln. (Bild: Zisselfan)")
:quality(80)/p7i.vogel.de/wcms/4a/71/4a7172030a8dac5fb0dd439cbce13187/0113261283.jpeg "IBM zeigt in einem Report: Die Kosten für Sicherheitsvorfälle steigen. Ein Weckruf für Unternehmen weltweit, eine proaktive Haltung zur Cybersicherheit einzunehmen und in fortschrittliche Bedrohungserkennungssysteme sowie Security-Awareness-Schulungen zu investieren. (Bild: Bo Dean - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/31/41/31410fb65c6b788bedb54cb55613d21b/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/09/3e/093e9e226804164ac5043a5d49dbab93/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/p7i.vogel.de/wcms/cb/4b/cb4b292ff61c2aeb4025d0348e55b296/0101801795.jpeg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (Bild: © aga7ta - Fotolia)")
:quality(80)/images.vogel.de/vogelonline/bdb/1552300/1552323/original.jpg "Cloud-Speicher für Einsteiger – Microsoft OneDrive zusammen mit macOS und iOS nutzen. (©georgejmclittle - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1644500/1644561/original.jpg "Online-Speicher bei Web.de und GMX: So funktioniert die Verwaltung. (© stokkete - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1641800/1641842/original.jpg "All-Flash-Arrays versprechen unschlagbar niedrige Latenzen. (© pozdeevvs - stock.adobe.com)")
Rechtliche Rahmenbedingungen strukturiert umsetzen Teil 1 Governance, Risk Management und Compliance – eine Einführung
Die Compliance- und Risikomanagement-Landschaft unterliegt einem ständigen Wandel: Zunehmend mehr Gesetze und Richtlinien fordern von Unternehmen Transparenz im Umgang mit Daten sowie die Trennung, Überwachung und Dokumentation von Geschäftsprozessen. Gleichzeitig findet eine Ausweitung der noch für die Papierwelt geschriebenen Gesetze auf die elektronische Welt statt: Die Aufbewahrungs- und Dokumentationspflichten für elektronische Geschäftsunterlagen nehmen zu.
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/82900/82937/65.jpg "PointLogo4Cabgeschnitten.jpg ()")
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/134300/134357/65.jpg "logo_iTernity_620x620.jpg ()")
Unternehmen stehen vor der großen Herausforderung, ihr Geschäft in Einklang mit den bestehenden und zukünftigen Regularien zu bringen und ein effektives Risikomanagement zu betreiben. Die Zusammenführung von Governance, Risikomanagement und Compliance, kurz GRC, ist ein wichtiger Schritt in der Bewältigung dieser Herausforderung.
GRC - die Buchstaben werden auch gern in anderer Reihenfolge kombiniert – bietet dabei einen ganzheitlichen Ansatz, der das Entstehen von Insellösungen verhindert. Die Führung von Unternehmen, die Einhaltung gesetzlicher Vorschriften und die Bewertung von Risiken gehen dabei zunehmend Hand in Hand. Die Abgrenzung der Aufgaben und der unterschiedlichen Auffassungen des Umfanges führen dabei jedoch zu sehr verschiedenen Ansätzen.
Um Klarheit in das Verhältnis der drei zugrundeliegenden Akronymbestandteile von GRC zu bringen, ist es erforderlich sie zunächst einzeln zu definieren.
Governance
Governance für privatwirtschaftliche Unternehmen wird als Corporate Governance bezeichnet. Corporate Governance umfasst die rechtlichen und institutionellen Rahmenbedingungen, auf nationaler und internationaler Ebene, die mittelbar oder unmittelbar Einfluss auf die Führungsentscheidungen eines Unternehmens und somit auf den Unternehmenserfolg haben. Der Ursprung für Corporate Governance liegt bereits in den 30er-Jahren, als man sich verstärkt Gedanken über die Rechte der Aktionäre machte.
Corporate Governance ist dabei sehr vielschichtig und umfasst sowohl obligatorische als auch freiwillige Maßnahmen für die verantwortungsvolle Unternehmensführung: Compliance mit Gesetzen und Regelwerken, das Befolgen anerkannter Standards und Empfehlungen sowie das Entwickeln und Befolgen eigener Unternehmensleitlinien. Ein weiterer Aspekt der Corporate Governance ist die Entwicklung und Einrichtung von Leitungs- und Kontrollstrukturen.
Eine wesentliche Komponente von Corporate Governance ist die IT-Governance, die auf die Transparenz und Beherrschbarkeit der eingesetzten IT- und Kommunikationsinfrastruktur zielt. Besonders bei der technischen Unterstützung der Governance-Anforderungen spielt die IT-Governance eine wichtige Rolle.
Compliance
Auch wenn es Compliance-Anforderungen schon immer, auch im Ursprungsland des Begriffes - den USA - gab, so haben sie nach den Skandalen um Enron und Worldcom eine brisante Qualität erhalten: neue, strafbewehrte Anforderungen zur Aufbewahrung geschäftsrelevanter elektronischer Informationen.
In der Vergangenheit gab es schon immer eine Reihe von rechtlichen Anforderungen; so musste beispielsweise Finanzbuchhaltungssoftware schon immer Compliance-Standards erfüllen. Mit dem steigendem Aufkommen und der wachsenden Bedeutung von E-Mails und E-Commerce gewann die Notwendigkeit der Dokumentation und elektronischen Archivierung von Geschäftsvorgängen immer mehr Bedeutung.
Im Folgenden wird für den Begriff Compliance nachstehende Übertragung verwendet: „Übereinstimmung mit und Erfüllung von gesetzlichen und regulativen Vorgaben.“ Compliance umfasst sowohl direkte gesetzliche Vorgaben wie auch regulative Branchenvorgaben und interne Richtlinien, die aus der Governance abgeleitet werden.
Risk Management
Die Risiken müssen erhoben, aufbereitet und bewertet werden. Maßnahmen zur Vermeidung der Risiken und zur Einhaltung der relevanten Compliance-Anforderungen sind zu treffen. Dabei obliegt es der Geschäftsführung bezwiehungsweise dem Vorstand eines Unternehmens, die Verantwortung für den Umfang der Maßnahmen und deren Einhaltung zu übernehmen.
Entsprechend Corporate Governance und Unternehmensgesetzen ist das auch genau die Aufgabe der für die Geschäftstätigkeit verantwortlichen Personen und Gremien. Diese Verantwortung schließt heute bei Aktiengesellschaften auch den Aufsichtsrat ein.
Risiko-Management bezieht sich jedoch nicht nur auf die Bewertung von Compliance-Anforderungen, sondern vielmehr auf den planvollen Umgang mit allen Risiken, die ein Unternehmen betreffen.
Wie aus den Definitionen bereits deutlich wird, können die Bereiche Governance, Risiko Management und Compliance nicht losgelöst von einander betrachtet werden: Compliance-Anforderungen beinhalten Verpflichtungen zu Risikomanagement und der Einhaltung von Governance-Richtlinien. Risikomanagement beinhalt die Bewertung von Compliance-Anforderungen, und Corporate Governance umfasst sowohl Compliance als auch Risiko-Management. Lange jedoch wurden diese Aufgabenkomplexe als einzelne Säulen aufgefasst und auf verschiedene Bereiche und Rollen verteilt sowie in spezifischen Lösungen umgesetzt.
GRC fordert nun die ganzheitliche Betrachtung und Umsetzung der Anforderungen und damit auch eine technische Infrastruktur, die die Implementierung und Überwachung von Prozessen, die Definition und Kontrolle von Risiken, sowie die Dokumentation und Archivierung von Geschäftsvorfällen ermöglicht.
Internationale Normen, Standards, Gesetze und Regularien
Für GRC kommen auf verschiedenen Ebenen sehr unterschiedliche Gesetze, Richtlinien und Standards zur Geltung.
Auf europäischer Ebene gibt es bisher nur eine lose Organisation. Die Europäische Kommission hat im Jahr 2004 ein European Corporate Governance Forum als Beratungsgremium eingerichtet, ohne jedoch bisher eine verbindliche Richtlinie herauszugeben. So gelten in Europa sehr unterschiedliche Maßstäbe: in einigen Ländern regeln die Corporate-Governance Gesetze, in anderen Codes of Best Practice oder Selbstverpflichtungserklärungen.
Der Corporate-Governance-Kodex
In Deutschland hat das Bundesministerium der Justiz im Jahr 2002 den Corporate-Governance-Kodex veröffentlicht. Dieser hat Auswirkungen auf die Unternahmensgesetze KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) und UMAG (Gesetz zur Unternehmenintegrität und Modernisierung des Anfechtungsrechts) sowie auf das Handels- und Steuerrecht und auf den Verbraucherschutz.
In Österreich gibt es den ÖCGK – den Österreichischen Corporate Governance Kodex, der im Jahr 2002 veröffentlicht wurde und sich an den internationalen Vorgaben orientiert. In der Schweiz gibt es nur einen freiwilligen Swiss Code of Best Practice aus dem Jahr 2002.
Für die IT-Governance kommen immer mehr Verfahrensmodelle und Werkzeuge wie COBIT (Control Objectives for Information and Related Technology), ITIL (IT Infrastructure Library) und andere in Gebrauch, die Transparenz und Überprüfbarkeit der ITK-Landschaft im Unternehmen ermöglichen sollen. Verbände wie die ISACA (Information Systems Audit and Control Association) schaffen hier ein international gültiges Rahmenwerk, das einheitliche Kriterien und Vergleichbarkeit umsetzt. Jedoch sind die Aufwände für die Umsetzung nicht zu unterschätzen. Letztlich geht es auch hier um die Dokumentation von Lösungen und Prozessen.
Beim Thema Compliance geht es direkt um die Umsetzung von Anforderungen in Organisation und Technik. Auch hier geht es um Lösungen und Prozesse. Allein die Anzahl der Gesetze und Verordnungen in Deutschland, die Auswirkungen auf die Ausgestaltung von GRC-Lösungen haben, sind schier endlos.
Das Handelsgesetzbuch (HGB), die Abgabenordnung (AO), die Gewinnabgrenzungsaufzeichnungsverordnung (GaufZ), die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) und die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) beschäftigen sich dagegen sehr konkret mit den Anforderungen, wie Information bereitgehalten werden muss.
Governance und Compliance greifen ineinander
Ebenso wie beim Thema E-Mail-Archivierung gibt es hier sehr konkrete Vorgaben, die direkt in technischen Lösungen münden. Grundlage sind aber auch hier Vorgaben der Governance im Unternehmen und Regelwerke, Policies im Englischen, die den Umgang mit Information verbindlich machen. Hier greifen Governance und Compliance direkt ineinander.
Führungs-, Organisations- und Technik-Aspekte lassen sich hier nicht mehr trennen. Da immer mehr Information originär elektronisch entsteht und ein Ausdruck in Papier nur eine mögliche Form der Repräsentation des originär elektronischen Inhalts darstellt, muss sich die gesamte Organisation des Unternehmens auf die elektronische Welt einlassen und Informationssysteme bei allen Governance- und Compliance-Fragen berücksichtigen.
Man sollte sich auch in diesem Umfeld auf verschärfte Vorgaben einrichten, wie sie zum Beispiel in den USA mit dem Sarbanes-Oxley Act, E-Discovery oder dem Patriot Act bereits gang und gäbe sind. Mit der sogenannten 8. Direktive wurde bereits eine Richtlinie der Europäischen Kommission verbindlich, die ähnlich wie der Sarbanes-Oxley Act die Prüfung der Unternehmen regelt und damit auch automatisch eine Brücke zwischen Compliance- und Governance-Fragen schlägt.
Risiko-Management – eine wichtige Ergänzung
Würde man alle nur denkbaren und eine spezifische Situation betreffenden Compliance-Anforderungen im Unternehmen vollständig umsetzen und durch technische Systeme unterstützen wollen, käme die Geschäftstätigkeit zum Erliegen. Risiko-Management ist daher eine wichtige Ergänzung von Corporate Governance und Compliance. Auch für das Risikomanagement gibt es vermehrt Normen und Standards, die vereinheitlichte Bewertungs- und Vorgehensmodelle bieten sollen, beispielsweise die ISO-Norm 14971. Das Risikomanagement liefert sozusagen die Messlatte für den Aufwand, der für Governance- und Compliance-Management in einem Unternehmen betrieben werden kann.
Nebeneffekt Kosteneinsparung
Unter diesen Gesichtspunkten betrachtet, ist ein ganzheitlicher Blick auf das Unternehmen gefordert. Die separate Betrachtung von Governance, IT-Governance, Compliance, Risk Management und Quality Management führt nicht zur geforderten Transparenz, Nachvollvollziehbarkeit und Durchgängigkeit.
Abgesehen von den Anforderungen aus Dokumentationssicht ist hier auch ein wirtschaftlicher Faktor zu berücksichtigen – Governance, Compliance und Risikomanagement ermöglichen durch die geschaffene Transparenz auch die Einsparung von Kosten und ein wirtschaftlicheres Arbeiten. So können zum Beispiel auch die erheblichen Kosten für die Umsetzung von Governance- und Compliance-Anforderungen ins Positive gewendet werden und zum wirtschaftlichen Erfolg des Unternehmens beitragen.
Am Montag im zweiten Teil: Records Management, E-Mail-Management, die elektronische Archivierung und GRC-Lösungsaspekte.
Artikelfiles und Artikellinks
(ID:2009278)
:quality(80)/p7i.vogel.de/wcms/1c/68/1c684902a6bacfdb683155afadcbe91c/0103923313.jpeg "Die rechtskonforme Umsetzung unternehmerischer Sorgfaltspflichten zur Einhaltung von Compliance-Richtlinien ist für Unternehmen ein strategischer, kontinuierlicher, vor allem aber sehr individueller Prozess. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/images.vogel.de/vogelonline/bdb/1962200/1962278/original.jpg "Die wichtigsten IT-Fachbegriffe verständlich erklärt. (© aga7ta - Fotolia)")