Welche Regeln betreffen direkt die IT?

Zum einen muss die IT regelkonforme Systeme bereitstellen, zum anderen lässt sich die Compliance nur mit Hilfe der IT-Systeme durchsetzen. In Deutschland haben die Unternehmen noch ein halbes Jahr Zeit, die Dokumentation für alle abschlussnahen Prozesse zu erstellen sowie ein Risiko-Management und die zugehörigen Kontrollsysteme einzuführen. Nur ein halbes Jahr!

Die Verantwortlichen in den Unternehmen müssen sich überlegen, wo eigentlich die Daten entstehen und mit welchen Applikationen sie unterstützt werden. Aber sie sollten sich auch fragen, auf welchen Plattformen diese Anwendungen laufen. Die IT-Landschaft, die dahinter liegenden Prozesse (Firewall-Sicherung, Updates, Zugriffe, Berechtigungen etc.) sowie selbstverständlich auch die Infrastruktur sind im Detail zu betrachten und zu analysieren.

Dass die Richtlinien eingehalten werden, muss auch im Zusammenspiel unterschiedlicher komplexer Systeme gewährleistet sein. Es ist beispielsweise durchaus möglich, dass Berechtigungen innerhalb eines Systems oder bei systemübergreifenden Prozessen zu SoD-Konflikten (Segregation of Duties, deutsch: Aufgabentrennung oder Vieraugenprinzip) führen. Dabei müssen vor allem die Prozesse unter die Lupe genommen werden, die externe Geldflüsse in den Unternehmen regeln, zum Beispiel P2P (Purchase to Pay) oder O2C (Order to Cash).

Die wichtigsten Anforderungen von EuroSOX an die IT sind:

• Steuerung der Infrastruktur, der Organisation, der Applikationsentwicklung und Pflege,

• Kontrolle und Steuerung der logischen Sicherheit (Berechtigungswesen), der physikalischen Verbindungen und der umfeldbedingten Sicherheit,

• Planung für den langfristigen Erhalt des Betriebs und Erstellung eines Notfallkonzepts,

• Überwachung der Systempflege und Weiterentwicklung, der Verarbeitungsdaten, des täglichen Geschäfts sowie der Projekte bis hin zur

• Archivierung aller relevanten Daten, Dokumente und Unterlagen.