Compliance durch IT-Service Management

Von Walter Steigauf

Compliance, das regelkonforme Verhalten von Unternehmen in ihrem Umfeld, äußert sich zum einen in der Außenwirkung des Unternehmens, basiert aber zum großen Teil darauf, wie es seine internen Prozesse organisiert. Da es gegenwärtig kaum noch möglich ist, Ge­schäfts-Prozesse ohne IT zu organisieren, steht die IT zwangsläufig im Fokus wenn es darum geht, die Prozesse regelkonform, also compliant zu gestalten.

Diese Erkenntnis ist keineswegs neu, wenngleich insbesondere im Mittelstand bislang we­nig beachtet. Schon seit 1995 warten die GoBS (Grundsätze ordnungsmäßiger DV-gestütz­ter Buchführungssysteme) mit einem Regelwerk auf, das die Unternehmens-IT im Mittel­punkt des Handelns sieht. Mit dem Erlass des KonTraG (Gesetz zur Kontrolle und Transpa­renz im Unternehmensbereich) im Jahr 1998 wurde den Vorständen von großen Kapital­gesellschaften zusätzlich nahe gelegt, für die Sicherheit der Prozesse zu sorgen, freilich ohne die IT extra zu erwähnen. Erst durch die Verschärfung der §§ 146 und 147 der AO (Abgabenordnung) und die anschließende Veröffentlichung der GDPdU wurde vielen Unter­nehmen bewusst, dass sich der Gesetzgeber auch für ihre IT interessiert. Inzwischen exis­tieren eine ganze Reihe von nationalen und internationalen Vorschriften, die ohne funktio­nierende IT nicht zu umzusetzen sind und eine solche deshalb ausdrücklich einfordern.

Kein Unternehmen kann dem (deutschen) Gesetzgeber aber vorwerfen, er würde sie mit Compliance nur fordern aber nicht fördern. Zumindest sagt er, was er erwartet und wie es umzusetzen geht. In den GoBS ist recht detailliert beschrieben, welche Maßnahmen dazu angetan sind, die Ordnungsmäßigkeit der Buchführungssysteme zu gewährleisten. Wobei unter Buchführungssysteme alle DV-Anwendungen zu verstehen sind, in welchen steuerlich relevante Daten erzeugt oder verarbeitet werden. Hinsichtlich der IT-Sicherheit gibt das BSI (Bundesamt für Sicherheit in der Informationstechnik) jede erdenkliche Hilfe. Die aktuellen IT-Grundschutz-Kataloge sprechen im wahren Sinne des Wortes Bände. Und dann gibt es noch ITIL, die IT Infrastructure Library.

Wie es die Namensgebung vermuten lässt, stammt ITIL aus England. Dabei handelt es sich um eine von der britischen Regierung seit dem Jahr 1989 unter dem Sammelbegriff IT Service Management (ITSM) betriebene Sammlung von „Best Practices“, also von best­möglichen Verfahren, mit deren Hilfe sich die IT-basierten Prozesse in Verwaltung und Un­ternehmen sicher, transparent und nachvollziehbar gestal­ten lassen. Nach ITIL zu ver­fah­ren bedeutet gleichzeitig einen Schritt in Richtung ISO 9000 Zertifizierung. In Deutsch­land aufbereitet wird ITIL durch das deutsche Chapter des IT Service Management Forums (itSMF).

ITIL definiert und empfiehlt nicht nur die Prozesse zum Umsetzen der Sicherheits-Maß­nahmen, sondern alle für das reibungslose Funktionieren der EDV im Dienste des Unter­nehmens notwendigen. Die damit verknüpfte Forderung nach einer aussagekräftigen Dokumentation zieht sich wie ein roter Faden durch das Rahmenwerk.

In den IT-Grundschutz-Katalogen werden die sicherheitsrelevanten Komponenten (Bau­steine) der Unternehmens-IT katalogisiert, wird beschrieben, welchen Gefahren sie ausge­setzt sind und schließlich werden Maßnahmen empfohlen, durch welche die Gefährdung beseitigt oder auf ein Minimum reduziert werden kann. Die notwendigen Prüfungen lassen sich durch Software-Tools automatisieren.

Womit sich weder die IT-Grundschutz-Kataloge noch ITIL befassen, ist aber der Umgang mit den installierten Anwendungs-Applikationen aus Verfahrens-Sicht. Sie beleuchten ledig­lich die Aspekte der Anschaffung und Installation sowie die des sicheren und störungsfreien Be­triebs. Im Hinblick auf die GoBS fehlen noch die Beschrei­bungen der Programme und die Verfahrensdokumentatio­nen samt Handlungs-Anweisun­gen. Diese müssen in Form von - von den Herstellern zu liefernder - Programm-Dokumentationen und individueller Ablauf-Beschreibungen beigestellt bzw. erstellt werden.

Eine wichtige Forderung der GoBS lässt sich durch Beachtung der IT-Grundschutzkataloge und von ITIL zumindest teilweise erfüllen: die nach einem „Internen Kontroll-System“ (IKS). Viele der Prozesse schließen eine laufende Überprüfung von Wirksamkeit und Sicherheit mit ein. Die aus fiskalischer Sicht kritischen Abläufe rund um korrektes Abrechnen und Verbuchen bedürfen aber in jedem Falle der gesonderten Betrachtung.

Zusammenfassung

Unternehmen sind durch verschiedene Gesetzte und Verordnungen dazu angehalten, ihre IT sicher aufzustellen sowie die Prozesse nachvollziehbar und transparent zu gestalten. Ab­gesehen davon, dass sie ihre Strukturen und Abläufe allein schon deshalb sachlich richtig aufsetzen müssen, damit sie ihre Geschäftsziele erreichen können, müssen sie auch viele formale Anfor­derungen einhalten. Insbesondere die GoBS von 1995 sind dafür ein bered­tes Beispiel, geben andererseits aber auch einen umfassenden Rah­men vor. Mit gutem ITSM lässt sich dieser zum großen Teil füllen. Der Rest ist Fleißarbeit, die sich auch softwaregestützt erledigen lässt.

Unternehmen, die ihre IT nach den hier erwähnten Regeln aufstellen und entsprechend betreiben, sind auf dem besten Weg zur Compliance. Und Compliance nützt niemanden mehr als den Unternehmen selbst.

Diese Seite wurde im Juli 2006 in das Forum aufgenommen und im Juli 2006 zuletzt geändert.

© Copyright Compario 2012, Autorenrechte bei den Autoren

Newsletter

Anzeige

Anzeige