Klare Sicht

Die IT-Branche ist nicht gerade für ihre leicht verständliche Sprache bekannt. »Fragen Sie doch einmal, was die Leute unter Virtualisierung verstehen. Sie werden zehn verschiedene Antworten bekommen, die meisten werden weit von einer Definition entfernt sein«, heißt es in der Branche. Die babylonische Sprachverwirrung gilt als hausgemacht, in der IT schwingen seit dem Siegeszug von IBM und Microsoft die Anglizismen das Zepter. Und auch gegen Begriffe der rechtschaffenen Wirtschaft wie »Compliance« und »Governance« kommt heute keiner mehr an. Wer das Beste daraus machen möchte, wagt den Sprung in die Mathematik. Der Begriff Compliance ist nichts anderes als das Ergebnis der Addition von Erwartung und Erfüllung. Erwartung, in Form gesetzlicher Vorgaben etwa, und Erfüllung im vertrauenswürdigen Nachweis dieser. Der Hang zu Regelwerken für Aufzeichnung von Prozessen ist in der Industrie freilich nichts Neues: In der Pharmazie ist Compliance schon lange großes Thema - wenn auch unter anderen Namen. Der Aufwand, den dort die Dokumentation in der Entwicklung und Zulassung von Medikamenten verursacht, stellt die komplexesten IT-Projekte in den Schatten. Das Bekenntnis zu Compliance ist aber für alle in österreich tätigen Unternehmen verbindlich - unabhängig von Firmengröße und Branche. Der Klassiker unter den Compliance-Themen ist die Bundesabgabeverordnung, Geschäfts- und Rechnungsbelege sieben Jahre aufzubewahren.

Was bedeutet Compliance nun in der IT? Sie ist das Bekenntnis, zur technischen Unterstützung Daten des Geschäftsverkehrs revisionssicher zu protokollieren und aufzubewahren. Von diesem Prozess betroffen sind in der Regel nicht nur prüfungsrelevante Daten für die Finanz, sondern auch geschäftsrelevante E-Mails und sogar Sprachaufzeichnungen. Revisionssicher heißt auch, Schutz vor Veränderung und Verfälschung zu gewährleisten sowie die Nutzung dieser Aufzeichnungen ausschließlich durch Berechtigte zu gestatten. Dabei wird die IT zur Killerumgebung: Ist doch die elektronische Archivierung wesentlich fälschungssicherer als das Medium Papier. »Elektronische Daten sind unveränderbar. Entsprechende Softwarelösungen lassen keinerlei Manipulationen zu«, zählt Branchenexperte Martin Rajsp ein ganze Reihe technischer Sicherheitsaspekte auf: Prüfsummen, sogenannte Hash-Codes, die das Dokument und jegliche Manipulation umfassend sichern. Archive, die im Read-only-Modus nicht einmal durch den IT-Administrator änderbar sind. Dennoch wird mit dem Begriff Compliance Schindluder getrieben. »Da werden noch Festplatten als IT-compliant verkauft. Das ist schlichtweg ein Blödsinn«, ärgert sich Rajsp. Compliance sei weder Produkt noch Label sondern bezeichne einen Prozess, ein Regelwerk samt dafür zertifizierten Applikationen. Freilich kann sich nicht jeder Unternehmer mit den aufwendigen Prozeduren, über alle Prozesse lückenlos Aufzeichnung zu führen, anfreunden. »Die meisten Unternehmer betrügen ja nicht und fragen sich zu Recht, wie sie überhaupt dazu kommen.«