Zum Newsletter anmelden

Jetzt kostenlosen Newsletter abonnieren und einmal im Monat neue Ideen, interessante Artikel, Inspirationen und viele Tipps erhalten! Wir geben Ihre Daten nicht weiter! Eine Abmeldung ist jederzeit möglich.
I agree with the Nutzungsbedingungen
 
 

Compliance in der IT – nur wer die Risiken managen kann, wird überleben

Compliance in der IT – nur wer die Risiken managen kann, wird überleben - Bild 1

Ein Gastbeitrag unseres IT-Experten  und Referenten Holger Schellhaas.

Und wieder ein neuer Begriff, ein neues „Buzzword“ in der IT: Compliance. Was ist das eigentlich?

Ein Beispiel: Sie wollen, dass mit Hilfe der in Ihrem Unternehmen eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen optimal eingesetzt und Risiken minimiert werden? Klar, keine Frage! Dann haben Sie bestimmt Grundsätze, Verfahren und Maßnahmen etabliert, die dies sicherstellen. Sie haben dokumentiert, wie Sie die Anforderungen Ihrer Anwender in IT-Lösungen überführen, Ihren IT-Betrieb aufrechterhalten, die Vertraulichkeit von Informationen und Ihre IT-Sicherheit im Griff haben - und Sie kontrollieren das auch regelmäßig. Dann haben Sie das, was IT-Compliance fordert, bereits weitgehend umgesetzt.

 

IT Compliance ist ein Gesamtkonzept organisatorischer Maßnahmen, mit denen die Einhaltung gesetzlicher Vorgaben und interner Regularien gewährleistet wird: Schutz gegen Bedrohungen und Informationsverlust, Transparenz und Überprüfbarkeit, Durchsetzung der geltenden Regeln.

Ein Unternehmen, das mit Hilfe der eingesetzten IT die angestrebten Geschäftsziele wirksam unterstützen will, muss bestimmte Grundsätze, Verfahren und Maßnahmen etablieren, die dies garantieren. Die IT benötigt ein vernünftiges Kontrollsystem, um diese Vielzahl von Anforderungen und die damit verbundenen Risiken in der IT effektiv und kostenoptimiert zu steuern.

Seit COBIT ist die Welt der IT-Compliance wieder in Ordnung

Weltweit gelten mittlerweile mehr als 25.000 Regulierungen und gesetzliche Auflagen zur Kontrolle und Transparenz im Unternehmen oder zur Dokumentationspflicht von Geschäftsabläufen, die sich über alle Branchen hinweg massiv auf die IT auswirken. Darüber hinaus entstehen Compliance-Anforderungen von nationalen und internationalen Kunden und Lieferanten, wenn beispielsweise ein US-Investor oder ein wichtiger Großkunde dies fordert.

Das bislang noch viel zu wenig etablierte COBIT-Modell (Control Objectives for Information and related Technology) bietet einen integrativen “Best Practice”-Lösungsansatz: Entwickelt von Revisoren aus der Industrie und Finanzwirtschaft und der ISACA - Information Systems and Control Association - auf Basis bestehender Revisionsrichtlinien, Kontrollmodelle sowie branchenspezifischen Regularien stellt COBIT ein Rahmenmodell zur Verfügung,

  • mit dem sich die Risiken nachweislich und nachhaltig minimieren lassen (Kennzahl: z.B. Anzahl schwerwiegender sicherheitsrelevanter Vorfälle in einem definierten Zeitraum).
  • mit dem geprüft werden kann, ob die Maßnahmen zur Risikominimierung überhaupt umgesetzt sind (Kennzahl: z.B. Anzahl implementierter Präventiv-Maßnahmen).
  • das dabei hilft, den Erfolg von konkreten Maßnahmen zu messen (Kennazhl: z.B. Umsetzungsdauer von Vorsorgemaßnahmen).

Damit hat sich ein Verfahren etabliert, mit dem es gelingt, ein Audit-fähiges Kontrollsystem unter vertretbarem Aufwand zu entwickeln sowie ungeliebte Auflagen letztlich in Erfolgsfaktoren umzumünzen - und damit die Ausrichtung der eigenen IT auf die unternehmerischen Ziele messbar und steuerbar zu machen. Entgegen der weit verbreiteten Ansicht, dass IT-Anpassungen aufgrund gesetzlicher oder regulatorischer Vorgaben außer einer Verbesserung der Datensicherheit kaum etwas zum Unternehmenserfolg beitragen. Alle namhaften Wirtschaftsprüfer haben sich zu COBIT bekannt; was liegt da näher, als sich als IT-Abteilung ebenfalls daran zu orientieren.

Was ist konkret zu tun? Was ist „essential - nice-to-have - luxury“?

Es wird viel Panik vor allem über die neuen Gesetze und Normen verbreitet. Viele Inhalte werden teilweise schon längst in den Unternehmen befolgt. Vieles gebietet der gesunde Menschenverstand und die unternehmerische Logik, vieles ist allerdings nicht sauber dokumentiert. Wirklich neu ist, dass die IT jetzt im Visier der Wirtschaftsprüfer ist - kein Wunder, wenn immer mehr Geschäftsprozesse von der IT durchdrungen sind. Hier liegt die Chance von IT-Compliance: Der Zwang zur Transparenz leistet einen nicht unerheblichen Beitrag zur Performance-Verbesserung. Compliance rentiert sich!

Wichtig ist zu verstehen, dass das Thema IT-Compliance eine gesamtheitliche, strategische Betrachtung und Herangehensweise verlangt. Wer weiß heute schon, welchen Bedrohungen wir morgen ausgesetzt sein werden? Organisatorisch muss jedes Unternehmen in der Lage sein, neue Anforderungen oder Risiken schnell bewerten zu können. Dafür benötigen Sie Rollen, klare Verantwortlichkeiten und vor allem transparente Prozesse. Eine kritische Anmerkung sei hier erlaubt. Man hört oft, IT-Compliance und Sicherheit seien eher Verhinderer und Störfaktor als “Enabler”. Dies zeigt klar, dass das notwendige Bewusstsein im Unternehmen noch nicht angekommen ist.

Aus Compliance-Gründen ist auch ein Umstieg auf eine modern IT-Infrastruktur zwingend erforderlich. Wenn Microsoft ab dem 14.Juli 2015 keinen Support für Windows 2003 Server anbietet, dann warden Unternehmen, die nicht migrieren, keinen Audit mehr bestehen. Wichtig ist also auch, eine IT Compliance Roadmap zu erstellen, anhand der das Management, aber auch der zuständige Wirtschaftsprüfer oder Auditor sehen kann, dass die IT auf dem richtigen Weg ist. Dazu gehört

  • die Systematik eines umfassenden internen Kontrollsystems (IKS)
  • die Festlegung von Kontrollzielen und Durchführung von geeigneten Kontrollen,
  • die Erfassung und Dokumentation der Abweichungen
  • die Dokumentation der eingeleiteten und umgesetzten Maßnahmen
  • die jährliche Prüfung des IKS durch einen internen oder externen Auditor

Aber das geht nur in kleinen Schritten, vor einer “Hauruck-Aktion” muss dringend gewarnt werden. Wer mit beiden Füßen gleichzeitig läuft, stolpert meistens.

IT-Compliance ist auch bei kleinen Budgets möglich und wirtschaftlich sinnvoll machbar

Es drängt sich natürlich die Frage auf, ob IT-Compliance kostenwirtschaftlich umgesetzt werden kann und die Maßnahme auch Vorteile mit sich bringen und nicht nur Strafen vorbeugen. Die Antwort ist ohne zu zögern „JA”. Die Praxis zeigt, wenn es gelingt, das interne Kontrollsystem in der IT effizient zu gestalten und damit die Prozessqualität zu erhöhen, führt dies zu deutlichen Einsparungen.

Das gilt in gleicher Weise für KMUs. Es geht im Kern um die Festlegung von Kontrollzielen und die Durchführung von geeigneten Kontrollen und um die Dokumentation der eingeleiteten und umgesetzten Maßnahmen. Je kleiner ein Unternehmen ist, desto weniger Aufwand bedeutet das. Dass die IT nicht gerne dokumentiert, ist bekannt. Dass das aber so bleiben muss (und kann), das steht nirgends. Die Kunst besteht darin, mit einer passenden Lösung die Mindestanforderungen zu erfüllen, ohne die Performance der IT kaputt zu machen.

Wer dieses Thema vertiefen möchte hat die Gelegenheit dies im Rahmen unseres Seminars

IT Compliance Management - Risiken in der IT minimieren” am 11.-12.05.2015 in München, 2 Tage

mehr darüber hier:

https://www.gotscharek-company.com/academy/trainingsangebot/it-compliance-management

Cookies erleichtern die Bereitstellung unserer Dienste. Mit der Nutzung unserer Dienste erklären Sie sich damit einverstanden, dass wir Cookies verwenden.
Datenschutzerklärung stimme zu