Die ständige Zunahme an Gesetzen, Verordnungen, Normen, Standards, Verträgen, Richtlinien usw. führt für Unternehmen aller Größenordnungen zu einer Intransparenz der zu beachtenden Regelwerke. Hieraus resultiert eine beträchtliche Unsicherheit in Bezug auf die Risiken potenzieller Regelverstöße. Die Vermeidung derartiger Risiken durch Sicherstellung der Befolgung von Vorgaben ist Zielsetzung der Corporate Compliance, im IT-Bereich speziell der IT-Compliance. IT-Compliance steht in einem engen sachlogischen Zusammenhang mit IT-Governance und IT-Risk Management. Diese Bezüge werden in der Praxis häufig auf den Einsatz technischer Lösungen verkürzt. Begriffliche Desorientierung und Beliebigkeit sind die Folge. Um dem entgegenzuwirken, gibt der Artikel einen Überblick zum Begriff und zum Umfang der IT-Compliance und systematisiert die compliance-relevanten Regelwerke.

Inhaltsübersicht
1. Einleitung
2. Governance, Risk Management und Compliance
2.1 Corporate Governance
2.2 Risk Management
2.3 GRC-Triade
3. Begriffliche Klärung
3.1 Enge Auffassung
3.2 Weite Auffassung
3.3 Abgrenzung gegenüber IT-gestützter Compliance
4. Umfang von IT-Compliance
4.1 Grundsätzliche Erreichbarkeit
4.2 Risikoakzeptanz
4.3 Organisatorischer Geltungsbereich
5. Regelwerke der IT-Compliance
5.1 Gruppierung der Regelwerke
5.2 Rechtliche Vorgaben
5.2.1 Gesetze und Rechtsverordnungen
5.2.2 Rechtsprechung
5.2.3 Verwaltungsanordnungen, Grundsätze u. ä.
5.2.4 Verweisungen
5.3 Verträge
5.4 Unternehmensexterne Regelwerke
5.5 Unternehmensinterne Regelwerke
6. Literatur