Mit der Bedeutung der IT wachsen auch die an sie gerichteten Compliance-Anforderungen. Inzwischen existiert eine Vielzahl von gesetzlichen und anderen regulativen Vorgaben, die direkt oder indirekt Anforderungen an die IT-Funktion einer Organisation stellen. Die jüngsten kommen vom Committee of Sponsoring Organizations of the Treadway Commission (COSO).

IT-Compliance bedeutet heute, ein dynamisches Marktumfeld, damit verbundene Risiken und ständig steigende Anforderungen zur Einhaltung gesetzlicher Vorschriften im Auge zu behalten und zu managen. Dabei hat sich das "COSO Internal Control - Integrated Framework" in vielen Unternehmen als Leitfaden für die Implementierung eines wirksamen internen Kontrollsystems etabliert.

Anforderungen aus COSO 2013

Im Mai dieses Jahres hat COSO eine aktualisierte Version seines Hauptwerks (COSO 2013) veröffentlicht. Grundsätzlich wurden die bestehenden Konzepte (Ziele und Komponenten) beibehalten. Neu ist jedoch die Zuordnung von bestimmten Prinzipien zu den einzelnen COSO-Komponenten.

COSO liefert ein grundlegendes Rahmenkonzept für die Sicherstellung des internen Kontrollsystems im Unternehmen. Damit ermöglicht es eine strukturierte Erfassung der bedeutsamen Risiken sowie deren Management. Ausgehend von einem unternehmensspezifisch zu definierenden Kontrollumfeld lassen sich Schwachstellen identifizieren, damit verbundene Risiken bewerten, Kontrollen zur Minimierung einrichten und deren Wirksamkeit durch regelmäßiges Überwachen gewährleisten.

Gesetze und Vorschriften im Fokus

Der neue COSO-Leitfaden berücksichtigt den in den vergangenen zehn Jahren eingetretenen Wandel der Geschäftsmodelle und Organisationsstrukturen. Besonders Globalisierung, technische Neuerungen und der Wettbewerb um fähige Mitarbeiter, aber auch die steigenden Anforderungen durch Gesetze und Vorschriften sowie Richtlinien und Standards im Unternehmen standen im Fokus der Überarbeitung.

Die Ziele des internen Kontrollsystems fokussieren sich auch im neuen Framework auf drei Bereiche:

1. Zunächst sind das die betrieblichen Ziele. Sie sind auf eine hohe Effektivität und Effizienz des operativen Geschäfts ausgerichtet; sie umfassen unter anderem die operative und finanzielle Leistungserbringung sowie den Schutz vor Vermögensverlusten.

2. Ein anderer Bereich widmet sich den Zielen im Berichtswesen. Während im ursprünglichen Framework ausschließlich die finanzielle Berichterstattung als relevant erachtet wurde, schließt dieser Zielbereich im neuen Framework neben einer Differenzierung in die interne und externe finanzielle Berichterstattung auch die nichtfinanzielle Berichterstattung an die Anspruchsgruppen (Stakeholder) ein. In den Blickpunkt gerückt ist auch die Einhaltung von Unternehmensrichtlinien oder Standards.

3. Der letzte Zielbereich für eine erfolgreiche Unternehmensführung ist die Compliance. Hier geht es um die Befolgung zwingend zu erfüllender Gesetze und Vorschriften im Unternehmen.

Um diese Ziele erreichbar zu machen, definiert COSO fünf in wechselseitiger Beziehung stehende Komponenten, die für ein effektives internes Kontrollsystem implementiert und wirksam sein müssen. Neu in COSO 2013 ist, wie bereits erwähnt, die Zuordnung von 17 Prinzipien zu den einzelnen Komponenten. Unter dem Begriff "Prinzipien" werden hier Grundsätze verstanden, die für eine effiziente interne Kontrolle notwendig sind.

Ein Prinzip ist stark IT-bezogen

Anhand dieser Prinzipien ist es möglich, die Effizienz des internen Kontrollsystems strukturiert und nachvollziehbar zu beurteilen. Dabei verdeutlicht Prinzip 11 ("Das Unternehmen entwickelt allgemeine Kontrollaktivitäten für die Unternehmstechnologie, um eine effektive Zielerreichung zu unterstützen") den hohen Stellenwert der IT. Als Schwerpunktthemen für dieses Prinzip werden in COSO 2013 genannt:

• Die Abhängigkeiten zwischen der Verwendung von Technologie in Geschäftsprozessen und allgemeinen IT-Kontrollen werden festgelegt.

• Um die Zuverlässigkeit des Technikeinsatzes zu erhöhen, muss das Management den Zusammenhang von Geschäftsprozessen, automatisierten Kontrollen und allgemeinen technologiebezogenen Kontrollen im Unternehmen verstehen.

• Über die technische Infrastruktur sind relevante Kontrollaktivitäten einzurichten.

• Die auf die Infrastruktur bezogenen Kontrollaktivitäten unterstützen Vollständigkeit, Fehlerfreiheit und Verfügbarkeit von technischen Prozessen. Zudem umfassen sie die Implementierung von Datensicherungsprozessen und Notfallplänen.

• Daneben werden relevante Kontrollaktivitäten über den Sicherheits-Management-Prozess etabliert.

• Auf das Sicherheits-Management bezogene Kontrollaktivitäten sind unter anderem auf Datenzugriffsrechte, Systemsoftware und IT-Anwendungen ausgerichtet. Sie schützen das Unternehmen vor unautorisierten Zugriffen auf Informationen, Daten und Systeme. Zudem helfen sie, die Funktionstrennung einzuhalten.

• Auch hinsichtlich Technikbeschaffung, -entwicklung und -betrieb müssen Kontrollaktivitäten eingerichtet werden.

Die letztgenannten Kontrollaktivitäten hängen von der Komplexität und dem Ausmaß der Risiken ab, denen die Unternehmen in diesen Bereichen ausgesetzt sind. Sie umfassen die Autorisierung, um Änderungen vorzunehmen, die Auswertungen von Testergebnissen oder die Produktivitätssetzung.