Bei \emph{Compliance} handelt es sich um einen Begriff aus der betriebswirtschaftlichen Fachsprache. Das englische Wort \enquote{Compliance} bedeutet übersetzt soviel wie Einhaltung, Befolgung, Regelkonformität. Das dazugehörige Verb \enquote{to comply} steht für einwilligen, nachgeben, den Auflagen entsprechen.
Der Begriff Compliance bedeutet also die Einhaltung von Gesetzen und Vorschriften im Unternehmen\cite{wiki:bwlcompl}. Beispiele hierfür sind Gesetze wie die Abgabenordnung (AO), das Jugendarbeitsschutzgesetz (JArbSchG) oder das Bundesdatenschutzgesetz (BDSG). Neben Gesetzen müssen Unternehmen sich in der Regel noch an weitere Regeln und Richtlinien halten, wie zum Beispiel EU-Richtlinien, internationale Konventionen oder Normen.
Die Menge der zu berücksichtigenden Regeln ist von dem konkreten Unternehmen abhängig, welches Compliance erreichen möchte. Ab einem gewissen Umfang ist hierfür juristische Unterstützung (beispielsweise durch Beratung) notwendig. Je nach Größe des Unternehmens reichen mögliche Optionen hierfür von dem Einkauf juristischer Beratung über das Einstellen eines Mitarbeites für juristische Fragen bis zum Aufbau einer eigenen Rechtsabteilung. Hierbei ist direkt ersichtlich, dass in jedem Fall erste Kosten entstehen, die direkt mit durch das Anstreben von Compliance verursacht werden.
Nachdem ein erster Einstieg in die Welt der Compliance erfolgt ist, kommt nun schnell die Frage auf, wie man durchgehend sicherstellen kann, dass man Regelkonform mit dem Unternehmen unterwegs ist. Hier stellt das \emph{Compliance Management System} (CMS) ein betriebswirtschaftliches Werkzeug dar, welches genau diesen Zweck verfolgt\cite{wiki:cms}. Es beinhaltet Maßnahmen und Prozesse zur Sicherstellung von Regelkonformität im Unternehmen und integriert sich hierfür unter anderem in Unternehmensprozessen.
Ziel des CMS ist es, Risiken für Regelverstöße rechtzeitig zu erkennen, diese zu analysieren und Maßnahmen zu ergreifen, um die Risiken zu vermeiden. Sollte es nicht möglich sein, einen Regelverstoß zu vermeiden, so bietet das CMS an dieser Stelle die Möglichkeit, angemessen auf den Umstand zu reagieren und somit angebracht Schadensbegrenzung zu betreiben. Durch die Integration eines CMS im Unternehmen entsteht natürlich ein erhöhter Aufwand für alle Mitarbeiter, welches wiederrum zu erhöhten Kosten führt. Allerdings ist an dieser Stelle nicht zu vernachlässigen, dass durch die Risikoanalyse und aktive Minimierung von Risiken langfristig Kosten --- ähnlich wie bei einer Versicherung --- vermieden werden.
\paragraph{Begriff: IT-Compliance}
Nachdem nun der Grundbegriff der Compliance aus dem Kontext der BWL eingeführt wurde, soll nun auf \emph{IT-Compliance} eingegangen werden. IT-Compliance ist Compliance konkret für den IT-Bereich und betrifft die Prozesse und Systeme der IT des Unternehmens. Dabei sollen die folgenden Kern-Anforderungen durch IT-Compliance umgesetzt werden\cite{wiki:itcompl}:
IT-Compliance minimiert Risiken im IT-Betrieb im Unternehmen, bringt allerdings ebenso wie Compliance zusätzliche Kosten mit sich. Laut einer Studie von CSC\cite{csc:study} fließen ca. $2/3$ des IT-Budgets einer Bank in IT-Compliance und Instandhaltung von Systemen; je nach Unternehmen kann IT-Compliance also zu einer größeren Belastung führen.
Die Einhaltung von Gesetzen oder Vorschriften wird nicht belohnt, allerdings führen Verstöße gegen Gesetze oder Vorschriften häufig zu Strafen. Diese können wirtschaftliche Folgen für das Unternehmen in Form von Bußgeldern, Gewinnabschöpfungen oder Gewinnverfall haben, oder sogar zu Haftstrafen führen. (Beispielsweise für den Vorstand einer AG oder den Geschäftsführer einer GmbH) Neben den direkten Kosten der Strafe wird das Unternehmen allerdings auch von Kosten durch Folgeschäden belastet. Diese Folgeschäden beinhalten unter anderem Verfahrenskosten, Schadenersatzansprüche, Rückabwicklungen, Imageverluste und Vertrauensverluste. Je nach Schwere der Folgeschäden kann dies für ein Unternehmen eine Existenzbedrohung darstellen, somit ist IT-Compliance (und Compliance) ein grundlegendes Unternehmensziel.
\paragraph{Vorteile von IT-Compliance}
Das Einführen von IT-Compliance bringt Vorteile mit sich, die sich hauptsächlich mit Risikominimierung durch vorausschauendes Handeln befassen. So wird innerhalb des Unternehmens durch frühzeitige Betrachtung von relevanten Gesetzen und Risiken ein Risikobewusstsein geschaffen. Durch strukturiertes Vorgehen wird auch Datensicherheit geschaffen.
Nach außen hin schafft IT-Compliance Vertrauen bei Vertragspartnern und Kunden und demonstriert Stabilität und Robustheit des Unternehmens. Weiterhin ist es dem Unternehmen möglich, Garantien bezüglich der Datensicherheit auszusprechen, sowie Anforderungen von Kunden oder Vertragspartnern diesbezüglich zu erfüllen. Es bleibt einzig und allein das Problem, wie die IT-Compliance einem Kunden oder Vertragspartner gegenüber nachgewiesen werden kann. Hierrauf wird in Kapitel~\ref{cpt:iso27001} näher eingegangen.
