Herausforderung
Die Führung eines Unternehmens ist dafür verantwortlich und haftbar, viele Regelungen zu beachten und einzuhalten.
Die Risiken einer Verletzung solcher Regelungen sind dabei hoch: Gesetzesverstöße, Kundenverlust, IT-Sicherheitslücken und hohe Kosten.
Daher muß sie deren Einhaltung auch regelmäßig überprüfen.
Diese Regelungen können regulatorischen Ursprungs sein, also von Gesetzen, Richtlinien und Normen herrühren (z.B. Datenschutzgesetz, ISO-Norm, Branchen- oder Industriestandard). Sie können aber auch aus vertraglichen Verpflichtungen entspringen oder unternehmensinterne Regelungen, also Selbstverpflichtungen, betreffen. Dabei ändern sich diese Regelungen und das Umfeld stetig. Neue Gesetze und Aufträge erfordern Anpassung und ggf. Einzelfallbehandlung.
IT-Compliance als Teilgebiet der Compliance beschreibt dabei den Zustand der Einhaltung aller Regelungen bezogen auf IT-Systeme und die Nutzung von IT in Geschäftsprozessen, unabhängig davon, ob diese intern oder extern sind,
Chancen
Neben dem Abwenden von Risiken birgt IT-Compliance auch Potential und Chancen:
- Erhöhung von Transparenz und Qualität von IT-Prozessen
Die Prüfung Ihrer Prozesse in Hinsicht auf IT-Compliance kann maßgeblich dazu beitragen, die Transparenz und damit auch die Qualität ihrer IT-Prozesse sowie der durch IT unterstützten Geschäftsprozesse insgesamt zu steigern. Die dabei gewonnenen Erkenntnisse und Daten können für Audits und Zertifizierungen sowie für Business Intelligence Verwendung finden.
- Reduktion von Risiken, Erhöhung der Sicherheit
Die Überprüfung der IT-Compliance eines Unternehmens deckt einen Großteil der IT-Sicherheitsziele ab. Davon profitieren die IT-Sicherheit und das Risikomanagement eines Unternehmens gleichermaßen.
- Kosteneinsparung und Erhöhung des Unternehmenswertes
Durch das Einhalten von IT-Compliance lassen sich nicht nur Risiken abwenden und Kosten reduzieren. Ebenso profitieren Sie von der Erhöhung Ihres Unternehmenswertes. Die Erfüllung bestimmter Standards kann Ihnen einen Wettbewerbsvorteil verschaffen und den Wert Ihres Unternehmens steigern. Insbesondere in Bezug auf Wachstum und Fusionen, Übernahmen und Unternehmenstransaktionen spielt dies im Rahmen einer Unternehmensbewertung eine große Rolle.
Unsere Expertise für Sie
Damit Sie den Überblick behalten und auch Ihren Kunden, z.B. im Rahmen einer Vereinbarung zur Dienstegüte (Service Level Agreement - SLA) stets einwandfreie und zuverlässige Ergebnisse liefern können, unterstützen wir Sie gerne bei der Einhaltung Ihrer IT-Compliance:
- Erstellung von Compliance-Konzepten, Durchführung von Schulungen und Sensibilisierungs-Planspielen (z.T. in Zusammenarbeit mit unseren Kooperationspartnern)
- Ableitung und Dokumentation von Anforderungen
- Identifikation von Prozessen, die aus Sicht der IT-Compliance relevant sind
- Erstellung von IT-Sicherheitskonzepten
- Schaffung einer innerbetrieblichen Organisation von Verfahren, Regelungen und Prozessen zur Anpassung und Einhaltung der IT-Compliance
- Unterstützung bei der Vorbereitung von externen Audits
- Überprüfung der Einhaltung von Regelungen, etwa hinsichtlich der IT-Nutzung, Berechtigungskonzepte, Datenschutz, Archivierung, Aufbewahrungspflichten, Ordnungsmäßigkeit von IT-Systemen für die Verarbeitung von Finanzdaten und zugehörige Pflichten. Dazu zählen - als nur ein Beispiel - die "Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff" (GoBD), welche die "Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen" (GDPdU) und die "Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme" (GoBS) abgelöst haben. In der Praxis werden diese Pflichten oft vernachlässigt, insbesondere die Pflicht zur Aufbewahrung digitaler Geschäftsunterlagen (E-Mails und Dokumente).
Erfolgsgeschichten
- Während einer IT-Compliance-Überprüfung erhebliche IT-Sicherheitslücken gefunden und daher Notfall-Empfehlungen für die sofortige Umsetzung ausgesprochen, bei der Umsetzung mitgewirkt und so erhebliche Risiken von einem Unternehmen abgewendet
- Bei der konkreten Überprüfung der Einhaltung von Regelungen zur IT etliche Verletzungen gefunden, z.B. Duldung der Privatnutzung, Überberechtigungen und Berechtigungen für schon längst ausgeschiedene Mitarbeiter, fehlende Verschlüsselung und Zugriffsschutz für Mobilgeräte
- Einige "blinde Flecken" in IT-Sicherheitskonzepten von Unternehmen sowie in der Umsetzung konkreter Sicherheitsziele und -regelungen in Unternehmen aufgedeckt, z.B. Mängel in der physischen Sicherheit, fehlende Backups oder ein nicht ausreichend hohes Schutzniveaus für später hinzugekommene IT-Systeme mit besonders schützenswerten Daten
- Im Nachgang zu etlichen IT-Sicherheitsvorfällen und IT-Forensik-Projekten hilfreiche Empfehlungen für die Compliance und IT-Compliance ausgesprochen
Bitte kontaktieren Sie uns für nähere Informationen zu dieser Dienstleistung!