Die IT-Abteilungen der Unternehmen müssen natürlich auch ihre eigenen Prozesse an den Corporate Governance und Compliance-Regelungen ausrichten. Dazu müssen alle IT-Prozesse klar definiert werden, IT-Service-Management auf ITIL-Basis wird zum absoluten Muss für eine effiziente Leistungserbringung, Qualitätsmanagement und das Controlling. Einen wesentlichen Beitrag zur effizienten Umsetzung von Compliance-Anforderungen leistet spezielle Software für das Identitätsmanagement, die sicherstellt, dass nur Berechtigte Zugang zu bestimmten IT-Systemen haben. Diese Berechtigungen können Software-gestützt vergeben und entzogen werden, im Idealfall geschieht dies automatisiert auf Basis der voreingestellten Rolle, die ein Mitarbeiter im Unternehmen hat. Um dann auch nachzuvollziehen, wer zum Beispiel einen Computer benutzt oder auf bestimmte Systeme und Daten zugegriffen hat, werden die An- und Abmeldungen mitprotokolliert. Dieses Protokoll dient als Nachweis dafür, dass das Unternehmen alle Vorschriften eingehalten hat. Wichtig ist darüber hinaus, wer einem Mitarbeiter diesen Zugriff genehmigt hat. Weiterhin muss sichergestellt werden, dass ein Mitarbeiter nicht gleichzeitig mehrere Rollen einnehmen und damit einen Auftrag oder eine Transaktion sowohl beantragen als auch genehmigen kann (segregration of duties).

Was die Umsetzung der SOX-Vorschriften in der Praxis betrifft, gibt es aufgrund der noch neuen Materie derzeit wenig Erfahrungenswerte. Als Orientierungshilfe können die Control Objectives for Information and Related Technology (Cobit) dienen, die vom internationalen IT-Prüfer-Verband Information Systems Audit and Control Association (Isaca,
http://www.isaca.org) kostenfrei zur Verfügung gestellt werden.

Tatsache bleibt: Handlungsbedarf ist da. Und wer nun erleichtert feststellt, dass sein Unternehmen nicht unter die Regelungen des Sarbanes-Oxley-Acts fällt, ist leider noch nicht ganz aus dem Schneider. Auch europäische Regelungen wie Basel II oder Solvency II enthalten ähnliche Vorgaben zum Thema Compliance und Corporate Governance. Bei Verstössen sind teilweise drastische Strafen vorgesehen. So droht der Sarbanes-Oxley-Act nicht nur mit einer zivil-, sondern auch einer strafrechtlichen Verfolgung, der sich nach den Grundsätzen der Gesellschafterhaftung Geschäftsleitung und Verwaltungsrat eines Unternehmens zu unterwerfen haben.

[Vorherige]  1 2 3 4 5  [Nächste]