Ressourcen
Lösungen für die SOX-Konformität bei der IT-Architekturplanung
Einleitung
Der anfänglich als rasche Gesetzesinitiative gedachte Sarbanes-Oxley Act (kurz SOX) aus dem Jahr 2002 hat uns den ungewöhnlichen Weg von der Unternehmensethik hin zu IT-Implementierungen gewiesen – und aufgezeigt, wie untrennbar Geschäft und IT in heutigen Unternehmen miteinander verflochten sind. Obwohl IT-Kontrollen in den wichtigsten Bestimmungen des SOX nicht ausdrücklich erwähnt werden, hat dieses Gesetz weitreichende Auswirkungen für die IT-Abteilung. Selbst Prüfungsergebnisse spiegeln nicht den enormen Aufwand wieder, der in die IT gesteckt wird, um ein Unternehmen SOX-konform zu gestalten. In der Tat standen im ersten SOX-Berichtszeitraum lediglich 3% der materiellen Schwächen im Zusammenhang mit der IT. Da die IT jedoch den Unterbau nahezu aller Finanzberichtsverfahren eines Unternehmens darstellt, hat sie das Potenzial, Ursache für andere grundlegende Schwächen zu sein.
Daher ist es erforderlich, bis an die Wurzeln der IT zu gehen.
Die SOX-Vorschriften mit der höchsten Relevanz für die IT fordern eine Bestätigung der Ordnungsmäßigkeit der Abschlüsse durch den CEO und den CFO und die Prüfung und Offenlegung der internen Kontrollen und Berichtsverfahren. Die Verarbeitung, Speicherung und Sammlung der Daten, die in die Finanzberichte aufgenommen werden, sowie der Betrieb der Infrastruktur und der Workflow-Systeme, die zu Kontrollzwecken durchgeführte Business-Prozesse unterstützen, erfolgen unter der Schirmherrschaft der IT. Daher hat die IT die Aufgabe, das Ausmaß SOX-relevanter Systeme festzulegen, jegliche für die Systeme drohenden Gefahren zu vermeiden, die SOX-Relevanz von Systemänderungen zu überwachen, zu dokumentieren und zu bewerten und dem SOX Project Management Office (PMO) Änderungen mitzuteilen sowie das PMO an Entscheidungen bezüglich Systemänderungen teilhaben zu lassen.
Obwohl das SOX-Gesetz zweifellos zusätzliche Belastungen für die IT-Abteilungen in Organisationen jeglicher Größe und Branche mit sich gebracht haben, gestehen auch IT-Profis bereitwillig ein, dass dieses Gesetz erhebliche Verbesserungen mit sich gebracht hat. Hierzu gehören insbesondere:
- die Erkennung der Schwächen im IT-Bereich
- die Verbesserte Sicherheit von Informationssystemen
- ein besseres Verständnis für und eine Verbesserung der Trennung von Pflichten
- verbesserte Zugangskontrollen und eine verbesserte Zugriffsüberwachung
- verbesserte Testverfahren und eine verbesserte Verwaltung von Programmänderungen
- verbesserte Verfahren zur Dokumentation von Richtlinien, Verfahren und Kontrollen
sowie die Möglichkeit, die für die SOX-Konformität genutzten Technologien auch vorteilhaft zur Unterstützung anderer Konformitätsverfahren einzusetzen. Außerdem hat SOX mit der Anerkennung der Bedeutung der IT für das Business auch zu einem aufpolierten Image der IT beigetragen und das Bewusstsein für die IT-Governance gesteigert, indem es genau festgelegte Entscheidungsfindungsverfahren und dokumentierte Pläne fordert.
In diesem Zusammenhang hat das Gesetz zu einer engagierteren Kontrollumgebung mit aktiver Beteiligung durch den Vorstand, den Revisionsausschuß, das Management und andere Interessengruppen geführt.
Es kann sicherlich noch mehr erreicht werden, da die Unternehmen erst jetzt so langsam erkennen, dass die SOX-Konformität kein einmaliges Projekt sondern eine fortdauernde Tätigkeit bei der Bewertung der Kontrollen im Rahmen der Weiterentwicklung der IT-Landschaft eines Unternehmens ist. Wenn die Unternehmen lernen, Kontrollverfahren und -ziele in der IT-Architektur zu verankern, werden sie in der Lage sein, Risiken effizienter zu erkennen und zu beurteilen und größere Effizienzen bei der Einhaltung von Standards zu erzielen.
Frameworks als Richtschnur für die SOX-Konformität
Was sind die grundlegenden Tätigkeiten zur Gewährleistung der SOX-Konformität? Die meisten Unternehmen nutzen die COSO und/oder COBIT-Frameworks als Richtschnur. Das COSO-Framework ist von der US-amerikanischen Börsenaufsichtsbehörde als ein Verfahren zur Erreichung der Konformität klassifiziert worden. Es definiert die interne Kontrolle als einen Prozess, dessen Ziel eine angemessene Gewährleistung der Erfüllung einer festgelegten Vorgabe ist. Es ist vom Ansatz her allgemeiner als COBIT und richtet sich an das Unternehmen als Ganzes, umfasst jedoch bereits fünf Bereiche, die einen Einfluss auf die IT-Abteilung haben:
Risikobeurteilung:
Identifikation aller von IT-Systemen oder von veralteten Systemdokumentationen ausgehenden Risiken, die zu einer Unvollständigkeit oder Ungenauigkeit der Bilanzen führen können.
Kontrollumfeld:
Schaffung eines Umfelds, das die persönliche Verantwortung für den Erfolg von Projekten fördert. Die Mitarbeiter sollten gemeinsam mit Design-, Implementierungs-, Qualitätssicherungs- und Deployment-Teams geschult werden, um den gesamten technologischen Lebenszyklus besser zu verstehen.
Kontrolltätigkeiten:
Definition und Dokumentation, wie jedes im Zusammenhang mit den Finanzen stehende IT-System genutzt wird. Projekte sollten im Hinblick auf Sicherheitsprotokolle, technische Spezifikationen, Business-Anforderungen und die zugehörige Dokumentation eindeutig beschrieben werden. Erstellung eines Audit Trail zur Überwachung von Normabweichungen.
Überwachung:
Leistung häufiger interner Prüfungen durch das IT-Personal. Externe Prüfer sollten in regelmäßigen Abständen Kontrollen durchführen; die Intervalle müssen an den Grad des Risikos angepasst sein.
Information und Kommunikation:
Alle im Zusammenhang mit der Kontrolle stehenden Informationen sollten zeitgemäß und präzise sein, um zu gewährleisten, dass das IT-Management aktiv Gefahrenbereiche erkennen und vermeiden kann.
COBIT dagegen konzentriert sich speziell auf IT-Kontrollen und unterstützt das Management bei der Definition eines strategischen IT-Plans, bei der Festlegung der Informationsarchitektur und bei der Anschaffung der erforderlichen IT-Hardware und -Software für die Ausführung einer IT-Strategie. COBIT impliziert, dass Kontrollen und eine gewisse Sicherheit vorhanden sind, um diese Prozesse zu regeln, und dass diese Tätigkeiten regelmäßig ausgeführt werden. COBIT legt vier Hauptbereiche fest: Planung und Organisation, Beschaffung und Implementation, Auslieferung und Unterstützung und Überwachung und Beurteilung. Jeder Bereich umfasst Teilbereiche der ‘Kontrollziele der höchsten Ebene‘ (siehe nächste Seite), die die spezifischen Aufgaben beschreiben, die ausgeführt werden müssen, um die Nutzung der Technologie durch das Unternehmen so zu lenken, dass die Ziele und Vorgaben des Unternehmens bestmöglich erreicht werden.
Im Rahmen dieser beiden Leitstrukturen sucht das IT-Management nach Lösungen und ergreift Maßnahmen, um zu gewährleisten, dass die IT-Systeme des Unternehmens die Tätigkeiten zur Erreichung der SOX-Konformität unterstützen.
