Einleitung
Das Thema Compliance, unter dem die Einhaltung (inter-)nationaler gesetzlicher Bestimmungen, regulatorischer Standards und Anforderungen der Stakeholder verstanden wird, ist in vielen Unternehmen angekommen und bedingt durch Skandale in Konzernen vermehrt in der öffentlichen Wahrnehmung. Die steigende Anzahl von Regeln und Anforderungen sowie harte Strafen und Reputationsverslust bei Nichtanwendung haben zu einem erhöhten Bewusstsein geführt.
Ebenso erlebt die Informationstechnologie (IT) einen regelrechten Aufschwung. IT-Systeme werden durch die weitere Automatisierung von Geschäftsprozessen einen höheren Durchdringungsgrad erreichen und damit einen immer größeren Stellenwert einnehmen. Die effiziente Einbindung und Ausgestaltung der IT in Geschäftsprozesse mittels Best-Practice-Ansätzen wie Control Objectives for Information and Related Technology (COBIT) oder IT Infrastructure Library (ITIL) haben sich etabliert und tragen zu einem Wertbeitrag und einer erhöhten Compliance der IT bei.
Für kapitalmarktorientierte Konzerne ist die Ausgestaltung der IT nach diesen Ansätzen und damit die Einhaltung von IT-Compliance selbstverständlich. Ganz anders sieht es bei mittelständisch geprägten Unternehmen (KMU) aus. Wie Studien zeigen haben sie diesem Thema bisher wenig Aufmerksamkeit gewidmet. Betrachtungsweise der Publikationen ist überwiegend das Thema Compliance im Generellen. Eine Fokussierung auf IT-Compliance erfolgt nicht. Dies bietet den Anlass für Untersuchungen, explizit für den Teilbereich IT-Compliance in KMU. Die steigende Anzahl von Veröffentlichungen, die sich mit Teilaspekten von Compliance und KMU beschäftigen, zeigen dass Handlungsbedarf vorhanden ist. Zudem werden technologische Veränderungen eine größere Aufmerksamkeit bei KMU erfordern.
Auf dieser Grundlage wird das Ziel der Arbeit definiert. Mithilfe einer Literaturstudie sollen die wissenschaftlichen Beiträge zu den Themen IT-Compliance in KMU untersucht und der aktuelle Forschungsstand aufgezeigt werden.
Grundlegendes zu IT-Compliance in KMU
Seit Anfang der 1990er-Jahre rückt das Thema Compliance infolge von Bilanzskandalen verstärkt in das Blickfeld der Wirtschaftswelt und hat in den letzten Jahren enorm an Bedeutung gewonnen. IT-Compliance ist ein Teilbereich der Corporate Compliance, in dem sämtliche gesetzliche und regulatorische Vorgaben hinsichtlich des betrieblichen Einsatzes von IT adressiert werden. Unter der IT-Governance, die sich als Teilbereich zur Corporate Governance versteht, wird IT-Compliance als Zustand bezeichnet, der durch geeignete Maßnahmen anzustreben ist und somit eine Zielgröße der IT-Governance darstellt. Zudem sind Schnittmengen mit Themen des IT-Risikomanagement vorhanden. Einzuordnen ist IT-Compliance demzufolge als eigenständiger Forschungsbereich.
Grundsätzlich werden in der Literatur vier Perspektiven der IT-Compliance betrachtet:
- IT-Compliance als Verhalten, bei den von den Mitarbeitern für die IT relevanten Vorgaben beachtet und erfüllt werden (z. Verhaltenskodex).
- IT-Compliance als Zustand, indem für die IT relevanten Vorgaben nachvollziehbar eingehalten werden (zur Erfüllung der Interessengruppen).
- IT-Compliance als Managementsystem (Identifikation der relevanten Regelwerke, die Ableitung der Anforderungen, Implementierung und Überwachung von Maßnahmen zur Erfüllung der Compliance-Anforderungen) sowie
- IT-Compliance als Institution, zur Durchführung und Zuweisung von Verantwortlichkeiten (z. Ausrichtung zentral vs. dezentral).
Innerhalb der Literaturrecherche wird kein Fokus auf einzelne Perspektiven gelegt, da zunächst generell analysiert werden soll, welche Beiträge vorhanden sind.
Weiterhin kann hinsichtlich der Compliance von IT sowie Compliance durch IT unterschieden werden. Dabei wird bei Erstem die IT als Bewertungsobjekt betrachtet, um für die jeweiligen IT-Systeme Compliance-Anforderungen herzustellen. Aufgrund der ansteigenden und komplexer werdenden Systeme wird mit einer wachsenden Bedeutung dieser Thematik in der Praxis und in der Wissenschaft zu rechnen sein. Aus diesem Grund wird diese Perspektive besonders in die Betrachtungen mit einbezogen. Bei Compliance durch IT wird die IT als Hilfsmittel zur Erfüllung der Anforderungen bezeichnet. Die auf dem Markt befindlichen Softwarelösungen umfassen entweder einen ganzheitlichen Ansatz, wie BWise IT GRC (Governance, Risk & Compliance) und SAP GRC oder fokussieren sich auf einzelne Teilaspekte der genannten Bereiche. Beide Sichtweisen greifen ineinander.
Nachdem die unterschiedlichen Perspektiven der IT-Compliance aufgezeigt wurden, sind im nächsten Abschnitt generelle Anforderungen an IT-Compliance beschrieben.
Unternehmen müssen eine Vielzahl von gesetzlichen und regulatorischen Vorgaben beachten. Nicht zuletzt aufgrund des Neuigkeitsgrades und ständigen Veränderungen wie beispielsweise die EU-DSGVO (EU-Datenschutzgrundverordnung) gibt es diverse Anforderungen. Grundsätzlich können die Anforderungen in vier Gruppen unterteilt werden. Die erste Gruppe bezieht sich auf rechtliche Vorgaben, die gesetzliche Regelungen oder auf dessen Grundlage erlassene Vorschriften abbilden. Beispiele hierfür sind Gesetze, Rechtsprechungen oder Verwaltungsvorschriften, die sich auf den betrieblichen Einsatz von IT auswirken. In der zweiten Gruppe werden Verträge sowohl allgemeiner Art als auch IT-spezifischer Art mit Kunden, Lieferanten oder Dienstleistern verstanden. Eine weitere Gruppe sind interne Regelwerke, die vor allem Richtlinien, Unternehmensstandards und Verfahrensanweisungen beinhalten, die unternehmensinterne Festlegungen bezüglich der IT enthalten. Diese werden oftmals verwendet, um externen Interessensgruppen (z. B. Wirtschaftsprüfungsgesellschaften) die Einhaltung darzulegen. Zur Gruppe der externen Regelwerke gehören überwiegend Rahmenwerke, Normen und Standards, die sich durchgesetzt haben und eine gewisse Art von Best-Practice-Ansätzen der Ausgestaltung von IT darstellen. Dieser Gruppe kommt eine besondere Beachtung zu Teil, da die Erfüllung der Vorgaben bei der Auftragsvergabe von Kunden erwartet oder vorgeschrieben wird. Oftmals werden die Vorgaben auch freiwillig erfüllt, um ein positives Unternehmensimage zu erreichen.
Für die Erreichung von IT-Compliance sind ein gezieltes Management und die Implementierung von Prozessen notwendig. In zahlreichen empirischen Untersuchungen werden verschiedene Aspekte der Implementierung einzelner Referenzmodelle betrachtet. Die höchste Anwendung erfahren die Frameworks COSO, COBIT und ITIL. ISO/IEC stellt unterstützende Methoden und internationale Standards bereit. ITIL adressiert dabei eher die operative Ebene. COBIT 5 hingegen umfasst IT-Prozesse der IT-Governance und Compliance und hebt nach einigen Quellen, wie zum Beispiel Brand und Boonen (2005) sowie Heschl und Middelhof (2005), die besondere Bedeutung hervor. Begründet wird dies mit dem Abdeckungsgrad des Modells bezogen auf die Kernaufgabengebiete. Meist liegen den einzelnen Frameworks Partikularinteressen zugrunde, die wiederum nur einzelne Prozesse und Risiken abdecken. Jedoch sind durchaus Anknüpfungspunkte und Schnittmengen einzelner Frameworks vorhanden, die eine Kombination von Modellen ermöglichen.
Ergebnisse und Diskussion der Literaturrecherche
Im Folgenden werden die Ergebnisse der Literaturrecherche dargestellt. Zunächst werden allgemeine Ergebnisse beschrieben, um dann im nächsten Schritt auf die einzelnen Schwerpunktthemen einzugehen. Dabei erfolgt jeweils die Darstellung der Ergebnisse mit einer anschließenden Diskussion.
Es zeigt sich, dass viele Publikationen im Suchbereich Compliance den Fokus auf die Themen IT-Risikomanagement, IT-Security, Cloud Computing, IT-Governance und der Implementierung von Referenzmodellen haben. IT-Compliance wird oftmals nur als Teilbereich innerhalb dieser Beiträge beschrieben. Zudem werden Begriffe wie IT-Governance, IT-Risk-Management oder IT-Business in der Literatur häufig als Synonyme für Aspekte der IT-Compliance verwendet. Vor allem bei den Beiträgen in Verbindung mit KMU zeigt sich, dass sich diese fast ausschließlich auf die Thematiken Digitalisierung, Compliance-Management-Systeme sowie auf das Outsourcing von IT beziehen. Aufgrund dessen sind die drei Schwerpunktthemen identifiziert worden, auf die im Folgenden näher eingegangen werden soll. Zur konkreten Kombination von IT-Compliance in KMU wurden nur sehr wenige Artikel gefunden.
Digitalisierung/Industrie 4.0
Der deutsche Mittelstand, als das Rückgrat der Wirtschaft bezeichnet und Weltmarktführer in vielen Spezialgebieten, könnte an Innovationskraft verlieren, wenn die aktuellen Trends nicht verfolgt werden, da sind sich fast alle Studien einig. Komplexere Verbindungen von Maschinen, Standorten und Unternehmen sowie dazugehörende Mitarbeiter- und Arbeitsstrukturen werden zu einer Veränderung in den Arbeitsabläufen führen. Neben den sozialpartnerschaftlichen Fragestellungen steht oftmals die Durchdringung der IT in weitere Geschäftsprozesse und dessen Implikationen für die Organisation im Fokus der Publikationen. Speziell für KMU weisen die Studien von Capgemini (2016) und Zimmermann (2017) gegenüber dem Einsatz von Digitalisierung eine eher abwartende Haltung im Vergleich zu Konzernen auf. Konzepte zur neuen Ausgestaltung wie New Work, agile Arbeit und weitere Schlagwörter werden in der Wissenschaft kontrovers diskutiert. Aus der Compliance-Perspektive werden dabei überwiegend mögliche Gefahren unter dem Schlagwort Cyber Security, IT-Security oder ähnlich lautenden Begriffen erörtert, die mit einer steigenden Nutzung der IT einhergehen. Die ansteigende Vernetzung von Systemen, das Kommunizieren der Systeme untereinander, könnten vor allem Bedrohungen von Extern mit sich ziehen. In einer Fallstudie mit einem mittelständischen Unternehmen wurde untersucht, welche Möglichkeiten bestehen, das Geschäftsmodell nachhaltig zu transformieren und dabei die Chancen mittels Industrie 4.0 zu nutzen und gleichzeitig die Risiken gering zu halten. Ergebnis dieser Studie war, dass die wichtigste Voraussetzung die Kooperation mit Technologiepartnern ist und die Verfügbarkeit einfacher und vertikal integrierbarer Plattformen. Eine weitere Veröffentlichung stellt ein ähnliches Ergebnis dar, mit der Ergänzung, dass als wichtige Grundvoraussetzung das Bewusstsein für Risiken steht. Denn nur wenn auch die Risiken richtig eingeschätzt werden, kann die passende Behandlungsstrategie gefunden werden. Ein wichtiger Baustein ist hierfür das Verständnis für Ursache-Wirkungsketten. Gerade nicht-technische Schwachstellen müssen ob ihrer hohen Bedeutung für den Einsatz neuer IT-Lösungen richtig erkannt und eingeschätzt werden. Der Autor beschreibt einen systematischen Risikomanagement-Prozess als wichtigste Herausforderung. Erst auf diesem Fundament könnten weiterführende Überlegungen zur zielgerichteten und besonnenen Auseinandersetzung mit den Risiken der Digitalisierung diskutiert werden.
Aus den Ergebnissen werden folgende Punkte besonders deutlich. Die potenziellen Möglichkeiten, die die Digitalisierung von Prozessen mit sich bringt, werden in KMU bisher noch kritischer als in Konzernen gesehen. Die Veränderungen in der Organisation und der Informationstechnik werden jedoch voranschreiten. Die Informationstechnik wird im Wettbewerb zu einem entscheidenden Faktor für den Unternehmenserfolg werden. Sowohl in der Perspektive Compliance durch IT als auch Compliance von IT entstehen dadurch neue Risiken. Der Themenschwerpunkt Digitalisierung behandelt viele Themen, die aber nur teilweise Berührungspunkte mit Compliance aufweisen. Eine direkte Betrachtung in Bezug auf Compliance durch und von IT erfolgt nicht. Damit bildet es den Trigger für weitere Forschungen, explizit im interdisziplinären Gebiet von KMU und IT-Compliance. Die daraus resultierende Fragestellung ist, wie damit umgegangen wird und welche Möglichkeiten bestehen, auf diese Veränderungen zu reagieren. Die Ergebnisse hierzu werden im nächsten Themenschwerpunkt beschrieben.
Compliance-Management-Systeme & Best-Practice-Ansätze
Ein weiterer Themenschwerpunkt zielt auf Compliance-Management-Systeme und Best-Practice-Ansätze (Rahmenwerke) ab. Wie bereits im Abschn. 2 beschrieben, decken diese Rahmenwerke unterschiedliche Anforderungen, mit dem Ziel einer Sicherstellung von IT-Compliance ab. Kardel beschreibt die meist sehr begrenzten Ressourcen in KMU und der damit erschwerten Umsetzung gängiger Rahmenwerke. Als mögliche Vorgehensweise sieht er eine Kombination von verfügbaren IT-Managementmodellen. Zunächst sollte mittels der Risikoanalysemethode OCTAVE die Identifizierung von Assets und ihren Schutzbedarf ermittelt werden. Im nächsten Schritt erfolgt die Evaluierung von IT-Komponenten nach dem BSI-Grundschutzkatalog, um zuletzt nach dem Reifegradmodell CCMI eine Bewertung der Verbesserung der Prozesse durchzuführen.
Eine empirische Studie befasste sich mit der Eignung von IT-Sicherheitsmanagement-Standards für KMU in Frankreich mit dem Ergebnis, dass weniger als 20 % dieser Unternehmen ein betriebliches IT-Sicherheitsmanagement oder einen Notfallplan vorliegen haben. Dies stellt einen offensichtlichen Schwachpunkt im Vergleich zu Großunternehmen dar. Des Weiteren stellte die Studie heraus, dass eindeutige Unterschiede zwischen den tatsächlich eingeführten IT-Sicherheitsmaßnahmen und den vorhandenen IT-Sicherheitslücken vorhanden sind. KMU fokussieren sich überwiegend auf die Vermeidung der mit niedriger Eintrittswahrscheinlichkeit existierenden Bedrohungen, anstatt kostspieligerer und häufig auftretender Bedrohungen vorzubeugen. Zudem werden überwiegend die Anreize einseitig auf einen technologischen Schwerpunkt, wie Virenschutz gesetzt und nicht im Sinne einer ganzheitlichen Sicherheitsstruktur auch organisatorische Maßnahmen gelebt.
In einer weiteren Studie wurde die Akzeptanz von IT-Rahmenwerken in Deutschland erforscht. Inhalt war deren Eignung hinsichtlich Unternehmensgröße sowie auftretende Herausforderungen bei deren Einführung. Der Untersuchungsgegenstand wurde begrenzt, sodass nur Unternehmen betrachtet wurden, die einen Umsatz von mehr als 2 Mio. € pro Jahr erzielten und mehr als 40 Mitarbeiter beschäftigen. Eine große Herausforderung für diese Unternehmen ist das mangelnde Wissen über die effiziente Umsetzung von Rahmenwerken und Standards. Dies ist insbesondere auf große Schwierigkeiten mit bereits etablierten IT-Rahmenwerken und deren extreme Anzahl an Anforderungen zurückzuführen, die in keinem Verhältnis zur Kapazität eines mittelständischen Unternehmens stehen. Die Rahmenwerke sind generisch aufgebaut, um idealerweise alle Anforderungen an Compliance innerhalb eines Unternehmens abzudecken. Es fehlt ein Vorgehen, das die Möglichkeiten und Fähigkeiten von KMU berücksichtigt, um IT-Prozesse eigenständig und im Sinne einer effizienten Compliance-Struktur umzusetzen. Eine weitere Ursache ist die komplexer werdende Architektur der IT, die nicht mehr nur aus klassischen Mainframe-Systemen besteht, sondern dezentraler aufgebaut ist. Hinzu kommen sich ständig beschleunigende Technologiezyklen, die die Etablierung einer effizienten Compliance erschweren.
Aus den genannten Gründen sollte nochmal genauer bewertet werden, inwiefern die Übertragbarkeit von Konzepten aus großen Unternehmen in KMU übernommen werden kann. Dabei sollten KMU-spezifische Merkmale wie geringe Verfügbarkeit von Ressourcen beachtet werden. Wie Studien zeigen, stellt die Anwendung der Referenzmodelle hier offensichtlich ein Problem dar. Zudem gibt es keine empirische Untersuchung, die explizit die Gründe und Motive von fehlenden IT-Compliance-Maßnahmen in KMU untersucht.
IT Outsourcing und Compliance
Als dritter Themenschwerpunkt wurde der Bereich IT-Outsourcing und Compliance identifiziert. Hierbei geht es um eine alternative Möglichkeit, IT-Compliance sicher zu stellen. Neben dem Outsourcing klassischer Bereiche wie der Betrieb der Infrastruktur oder des Rechnungswesens stellt das Auslagern von operativen IT-Compliance-Aufgaben auf externe Dienstleister eine besondere Form dar. Darunter wird die ganzheitliche Auslagerung der Planung und Durchführung aller operativen Aufgaben entlang des IT-Compliance-Prozesses und dessen kontinuierliche und nachweisbare Erfüllung der relevanten Vorgaben verstanden. Die Auslagerung dieser Prozesse können Vorteile mit sich bringen, wie eine breite Fachexpertise des Dienstleisters, Neutralität oder der Einsatz standardisierter Verfahren.
Die steigende Nutzung von Cloud-Anwendungen könnte diesen Trend ebenfalls verstärken. Ferner muss aber auch beachtet werden, dass beim Outsourcing von IT-Compliance-Aufgaben die Risiken sowie die Verantwortung nicht auf externe Dienstleister übertragen werden kann und somit immer im eigenen Unternehmen verbleiben. Nichtsdestotrotz könnte dieses Modell, das aktuell noch eine Marktlücke darstellt, insbesondere für KMU von Interesse sein, da hiermit vor allem das teure Vorhalten von Personal entfallen würde.
Fazit und Ausblick
Festzustellen ist, dass die Literaturrecherche sehr heterogene Ergebnisse geliefert hat. Es gibt keine Publikation, die sämtliche Fragestellungen des Themas wissenschaftlich fundiert vereint. Notwendig sind ein Vergleich und eine kritische Auseinandersetzung mit den von den Autoren vorgestellten Forschungen.
Die dynamischen Themenbereiche rund um Digitalisierung und deren Auswirkungen werden in der Wissenschaft und Praxis kontrovers diskutiert und zeigen eindeutig auf, dass es zu Veränderungen in der Organisation und IT Architektur kommen wird. Welche Auswirkungen damit auf die Compliance-Maßnahmen von KMU bestehen, werden nur im Generellen beschrieben. Eine Spezifizierung auf den Teilbereich IT-Compliance wird nicht durchgeführt. Dies ist generell herauszustellen und begründet somit eine Grundlage für weitere Forschungen in diesem Bereich.
In der Theorie geben die Rahmenwerke den Soll-Zustand mit dem Ziel einer Sicherstellung von IT-Compliance vor. Bei der Implementierung, respektive Nutzung dieser Rahmenwerke, scheint jedoch eine große Lücke zwischen KMU und großen Unternehmen vorhanden zu sein. Die Rahmenwerke sind generisch aufgebaut, um idealerweise alle Anforderungen abzudecken. Für große Unternehmen, die mit den nötigen Ressourcen ausgestattet sind, stellt die Anwendung und Anpassung der eigenen Prozesse und Strukturen an die Modelle keine großen Probleme dar. Bei KMU hingegen fehlt ein Vorgehen, unter Berücksichtigung der Möglichkeiten und Fähigkeiten von mittelständischen Unternehmen, um ihre Prozesse eigenständig und im Sinne einer effizienten Compliance-Struktur anzupassen. Die Anwendung der Referenzmodelle stellt hier offensichtlich ein Problem dar. Wie Studien zeigen liegen bei mittelständischen Unternehmen die Compliance Strukturen weit hinter den notwendigen Maßnahmen zurück. Allerdings liegen bislang keine Ergebnisse einer übergreifenden empirischen Untersuchung vor, die die Gründe und Motive von fehlenden IT-Compliance-Maßnahmen in KMU untersucht. Dies bildet eine weitere Forschungsgrundlage und sollte im Rahmen einer weiteren Arbeit beantwortet werden.
Gerade mittelständische Unternehmen, die mit ihrer Innovationskraft und Wertschöpfung die Wirtschaft vorantreiben, sollten eine effiziente IT-Compliance nicht vernachlässigen. Die Veränderungen werden die Notwendigkeit noch weiter verstärken. Demzufolge scheint es angeraten, weitere Forschungen in diesem Bereich durchzuführen und neben den Motiven und Gründen, weshalb IT-Compliance-Maßnahmen nicht in der notwendigen Form umgesetzt werden, auch Handlungsempfehlungen zu eruieren. Die bereits genannten Möglichkeiten wie Outsourcing-Modelle könnten eine durchaus plausible Möglichkeit darstellen, die IT-Compliance in KMU zu verbessern.
Die Fussnoten, Grafiken, die Erläuterungen zur Recherchemethode und Verweise wurden zur einfacheren Lesbarkeit entfernt
HMD Praxis der Wirtschaftsinformatik; Nico Deistler, Christopher Rentrop; 2020
https://link.springer.com/article/10.1365/s40702-020-00612-z