COMPLIANCEdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

Neu auf COMPLIANCEdigital

Compliance-Partner intern

mehr …

IT-Compliance

Management regulatorischer Anforderungen. Von Michael Rath, Rainer Sponholz. Erich Schmidt Verlag, Berlin 2009, Preis: 44,00 €.

Die Autoren Michael Rath und Rainer Sponholz beleuchten in ihrem Buch ‚IT-Compliance‘ auf 267 Seiten die verschiedenen Möglichkeiten eines effizienten Managements der heutigen regulatorischen Anforderungen an die IT. Das Buch richtet sich daher an alle Leser, die sich mit den Themen IT-Governance und IT-Compliance beschäftigen und einen kompakten Wegweiser benötigen. Als Einführung in die Materie werden die Herkunft, Entwicklung, verschiedene Definitionsansätze und Ziele der Begriffe IT-Compliance und IT-Governance beschrieben.

Im zweiten Kapitel werden zunächst kurz die Entwicklungsphasen der IT-Sicherheit zu eigenständigen Disziplinen dargestellt (IT-Compliance, IT-Sicherheit, IT-Revision und IT-Risiko Management) und die Veränderungen der verschiedenen Anforderungen durch unterschiedliche Institutionen erläutert. Im Anschluss daran leiten die Autoren ein sog. GRC-Wirkungsmodell her (Governance-Risk-Compliance), das als Modell für IT-Sicherheit, IT-Revision, IT-Risiko-Management wie auch IT- Compliance dienen kann.

Kapitel 3 stellt die verschiedenen Treiber der IT-Compliance Anforderungen dar, um ein besseres Verständnis für die Quellen, Motive und die Weiterentwicklung zu vermitteln. Es wird auch auf den Regelungsbedarf hingewiesen, dem sich Unternehmen stellen müssen, die im Ausland mit Unternehmensniederlassungen vertreten sind.

In Kapitel 4 wird der rechtliche Rahmen der IT-Compliance durch gesetzliche Regelungen bis hin zur Best Practice abgesteckt. Mit der dreidimensionalen Normenhierarchie wird sehr anschaulich dargestellt, welchen Stellenwert Pflichtanforderungen haben, in welchem Gültigkeitsbereich diese zur Anwendung kommen und welche Schutzziele die regulatorischen Institutionen verfolgen. Zudem wird hier auf die schwierige Umsetzung der Pflichtschutzmaßnahmen durch ihre meist relativen Formulierungen aufmerksam gemacht.

Die Entstehung der Berufsverbände ISACA und der Schwesterorganisation ITGI, die gemeinsamen den Standard CobiT entwickeln und vorantreiben, wird in Kapitel 5 beschrieben. Das CobiT Referenzmodell, das sowohl für Belange der IT-Revision als auch der IT-Governance zum Einsatz kommt und als Meta-Standard mit nahezu allen wichtigen IT-Standards verbunden ist, wird kurz erläutert.

In der Praxis führen Wirtschaftlichkeitsüberlegungen und oftmals auch das subjektive Empfinden einzelner Entscheidungsträger über die Angemessenheit von Maßnahmen zu den größten Widerständen bei der Umsetzung der IT-Compliance. Die Autoren stellen daher in Kapitel 6 sehr ausführlich und anschaulich dar, welche Kostenwirkungen sich durch die stetig zunehmende Zahl der Anforderungen ergeben bzw. auch welchen Wertbeitrag IT- Compliance liefert.

Die Kapitel 7 bis 9 befassen sich schwerpunktmäßig mit dem Management der IT-Compliance. In Kapitel 7 wird zunächst der Begriff IT-Compliance-Management hergeleitet. Daran anschließend werden detailliert die verschiedenen Elemente des (IT-)Compliance Management dargestellt.

Die Umsetzung der (IT-)Compliance Anforderungen ist immer auch als ein Prozess zu verstehen, mit dem der Reifegrad des Unternehmens erhöht wird. Die wesentlichen Teilprozesse hierzu, nämlich die Identifikation und Analyse der regulatorischen Anforderungen, die Überwachung der Einhaltung und die Dokumentation des Compliance-Status, werden in Kapitel 8 dargestellt.

In Kapitel 9 werden dann Werkzeuge vorgestellt, die das Management der (IT-) Compliance unterstützen. Neben verschiedenen Standards oder Rahmenwerken (z. B. CobiT, BSI) werden auch verschiedene Compliance-Management Software Produkte vorgestellt. Dies geschieht mit vielen wertvollen Informationen und wird durch Praxisbeispiele abgerundet.

Kapitel 10 beschreibt, wie sich mittels des hergeleiteten GRC-Wirkungsmodells eine Komplexitätsreduzierung erreichen lässt. Die Autoren vertreten dabei die These, dass sich bereits durch die Umsetzung bzw. Gruppierung einiger wesentlicher Maßnahmen der IT-Sicherheit ein hohes Compliance-Niveau erreichen lässt.

Im letzten Kapitel werden die IT-Compliance Risiken durch Outsourcing der IT und die daraus resultierenden besonderen Anforderungen besprochen.

Das Buch ist aufgrund seiner Themenbreite, der verständlichen Darstellung und der Beispiele aus der Praxis durchaus für den Neueinsteiger geeignet. Vor allem aber richtet sich das Werk an diejenigen, die im Unternehmen ein effektives Management der verschiedenen Anforderungen einführen wollen oder müssen und dafür einen kompakten ganzheitlichen Überblick benötigen. Für eine weitere Recherche überaus nützlich ist der Anhang, der u. a. eine Linkliste zu IT-Compliance, ein Übersicht über IT-Compliance-Anforderungen und ein umfangreiches Literaturverzeichnis enthält. Insgesamt ein gelungenes Buch zu einem komplexen Themengebiet.

Quelle: Reiner Eickenberg, ZIR Zeitschrift Interne Revision, Heft 2/2010, S. 89

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        Zeitschrift für Corporate Governance        Consultingbay        Zeitschrift Interne Revision        Risk, Fraud & Compliance