computerwoche.de

Compliance & Recht

IT-Compliance

Wieso ist EuroSOX eigentlich ein IT-Problem?

23.09.2008
Von Jürgen Obermann

Was die IT für EuroSOX leisten kann - und muss

Die Anforderungen, die in diesem Zusammenhang wichtig sind, gliedern sich grob in drei zentrale Aufgaben:

  1. Wissen, was man tut, also Ordnung in die eigentlichen IT-Prozesse bringen. Davon betroffen sind die IT-spezifischen Organisationsabläufe, sprich: die Prozesse im Zusammenhang mit Anwendungsentwicklung, -pflege und -betrieb. Hierzu zählt beispielsweise das Benutzer- und Berechtigungs-Management.

  2. Alle Informationen langfristige sichern und verarbeiten. Wichtig sind hier vor allem die Vorbereitung auf eventuelle Störfälle (Desaster Recovery) und die Sicherstellung des ungehinderten Zugriffs auf die Informationen im Rahmen der Aufbewahrungsfristen.

  3. Transparenz herstellen! Das ermöglichen vor allem leistungsstarke Suchfunktionen und Analysemöglichkeiten über alle Informationen im Unternehmen.

Die erste Aufgabe ist sehr stark interpretierbar. Im Zweifelsfall wird das Unternehmen deshalb etwaige Schwachstellen im Audit oder in einer Prüfung wegdiskutieren können. Die Punkte zwei und drei hingegen sind klar und unmissverständlich. Ein E-Mail beziehungsweise ein Dokument ist entweder vorhanden - oder aber nicht; entweder es gibt eine leistungsstarke, übergreifende Suche - oder es gibt sie nicht. Deshalb werden sich die Prüfungen besonders auf diese Punkte konzentrieren. Und aus diesem Grund besteht für die IT an dieser Stelle akuter Handlungsbedarf. (Siehe auch: "Stiefkind E-Mail-Archivierung")

Letztlich hat der EuroSOX-Hype für die IT denn auch eine gute Seite. Das im Management gewachsene Bewusstsein für Fragen der langfristigen Archivierung und unternehmensweiten Transparenz lässt sich nutzen, um erfolgreich entsprechende Budgets zu beantragen. (qua)

Empfehlungen an die IT-Abteilung

  1. Beschäftigen Sie sich nicht mit einzelnen gesetzlichen Vorschriften wie EuroSOX etc. Überlassen Sie deren Interpretation den Fach- beziehungsweise Rechstabteilungen.

  2. Konzentrieren Sie sich auf die Umsetzung der übergreifenden Anforderungen aller Compliance-Richtlinien, sprich: Sorgen Sie (a) für Transparenz in den IT Prozessen. Ermöglichen Sie (b)eine revisionssichere Langzeitarchivierung, und planen Sie ein Desaster Recovery. Schaffen Sie (c) eine übergreifenden Such- und Analyse-Plattform.

  3. Fokussieren Sie sich kurzfristig auf (b) und (c). Diese harten Anforderungen lassen sich nicht wegdiskutieren.

  4. Nutzen Sie die Gelegenheit, um neues Budget zu erschließen.