Seite 60 - CONTROLLER_Magazin_2006

CM Controller magazin 3/06 - Matthias Bauer

Zuordnung CM-Themen-Tableau

04

31

39

G

F

R

IT-CONTROLLING UNTER

GESETZLICHEN ASPEKTEN

Plattform für die Automatisierung des IT Service-

Managements sichert Nachweis jeglicher

Zugriffsberechtigungen

von Matthias

Bauer,

Berlin

D e u t s c h e Ak t i e n g e s e l l s c h a f t e n , d i e a n

a m e r i k a n i s c h e n B ö r s e n n o t i e r t s i n d ,

un t e r l i e g e n n e u e n ,

in den USA einge–

führten, staatlichen Regulierungen.

Sei t

d e m Erlass d e s

Sarbanes-Oxley-Act

(SOX)

haften Vorstandsvorsitzende und

Finanzvorstände (CEO und CFO) per–

sönlich.

Eine A u s d e h n u n g de r Be s t im–

m u n g e n v o n b ö r s e n n o t i e r t e n Un t e r n e h –

m e n auf j ede Art v o n Kapi ta l gese l l schaf –

t e n wi rd v o n v i e l en B e o b a c h t e r n ftjr wahr –

s c h e i n l i c h g e h a l t e n . Eu r o p ä i s c h e u n d

d e u t s c h e Ge s e t z e z i e l en in d i e g l e i c h e

Ri ch t ung . Da Ge s c h ä f t s p r o z e s s e g e w i s –

s e r m a ß e n auf d e n S c h i e n e n d e r Infor

ma t i o n s t e c h n i k l au f en , d e l e g i e r e n s i c h

d i e

Pflichten aus solchen Regulierun–

gen inweiten Teilen auf die IT-Verant–

wortlichen.

Da s ITControl l ing erhä l t auf

d i e s e m We g e z u s ä t z l i c h e Au f g a b e n , d i e

nur

mi t e n t s p r e c h e n d e n t e c h n i s c h e n

Mi t t e l n g e l ö s t w e r d e n k ö n n e n .

Ziel

d e s n a c h d e n S e n a t o r e n S a r b a n e s

u n d Ox l e y b e n a n n t e n Ge s e t z e s ist d i e

Wi e d e r h e r s t e l l u n g d e s Ve r t r au e n s d e r

An l e g e r in d i e Ri cht i gke i t d e r veröf f ent –

l i c h t e n F i n a n z d a t e n v o n Un t e r n e hme n ,

d i e d e n ame r i k a n i s c h e n Recht svorschr i f –

ten

un t e r l i e g e n .

Die Regularien

Zu den wichtigen Bestandteilen des

Sarbanes Oxley Act zählen:

X

s t r a f r e c h t l i c h e u n d z i v i l r e c h t l i c h e

St ra f en ftir S i c h e r h e i t s v e r s t ö ß e ,

X

U n a b h ä n g i g k e i t d e r i n t e r n e n u n d

e x t e r n e n Un t e r n e hme n s p r ü f u n g e n ,

X

e r h ö h t e M i t t e i l u n g s p f l i c h t ü b e r

Gehä l t e r d e r Un t e r n e hme n s l e i t u n g

u n d übe r z u v e r ö f f e n t l i c h e nd e Unter–

n e hme n s i n f o rma t i o n e n .

Das deutsche Gesetz zur Kontrolle und

Transparenz im Untemehmensbereich

(KonTVaG)

ha t e i n e ähn l i ch g e l a g e r t e Ziel–

s e t z u n g . Br a n c h e n s p e z i f i s c h e Regu l ar i en

w i e d a s

Kreditwesengesetz

o d e r d i e Re–

g e l u n g e n de r

Food & Drug Association,

FDA, s t e l l en we i t e r e s o l c h e r n e u e n Her–

a u s f o r d e r un g e n a n d i e IT-Abtei lungen d a r

Au c h d i e

Eigenkapitalrichtiinien nach

Basel II verlangen

d i e

Einrichtung von

Untemehmensprozessen zur Kontrol–

le undManagement von Risiken

u n d

An l a g e w e r t e n e i n e s U n t e r n e hm e n s u n d

h a b e n s om i t Au s w i r k u n g e n auf d i e

IT,

S a r b a n e s Ox l e y g i k b i s h e r nur fiir Unt er –

n e h m e n , d i e a n d e n US -Bö r s en g e l i s t e t

s i nd , a b e r a u c h in Europa i s t d a m i t b a l d

z u r e c h n e n ,

dass Brüssel demnächst

die Richüinien verschärfen wird.

De s –

h a l b s t e l l t s i c h IT-Verantwor t l i chen d i e

Frage , w i e s i e s i c h b e r e i t s h e u t e mi t

e i n e m L ö s u n g s s y s t e m au f d i e s e Si tuat i –

o n v o r b e r e i t e n k ö n n t e n , d a s

durch au–

tomatisch ablaufende Prozessketten

zur Identifikation, Rechtezuweisung

und Kontrolle für eine hieb- und stich–

feste Dokumentation aller mit der IT

zusammenhängenden Geschäftsvor–

gänge sorgt.

Da e s nu r n o c h s e l t e n

Ge s c h ä f t i s p r o z e s s e g i b t , in d i e k e i n e IT-

Abläufe

i n v o l v i e r t s i n d , l i e f e r t e i n

s o l c h e s S y s t e m d i e Gr und l a g e für regu–

l a t o r i s c h e K o n f o r m i t ä t s m a ß n a h m e n

insgesamt.

Diplom-Ingenieur Matthias Bauer ist Leiter der

Entwicklung bei Völcker Informatik AG, Berlin. Er

trat dort vor

1

0 Jahren ein und ist heute Mitgesell–

schafter. Der hier vorgelegte Beitrag ist Grundla–

ge einer gemeinsamen Studie der internationa–

len Untemehmensberatung Gärtner Group und

des Berliner IT-Entwicklungsunternehmens.

Kontakt: matthiasb@voelckercom

Welche unmittelbaren Auswirkungen

haben die regulatorischen Anforde–

rungen auf die IT?

Sarbanes-Oxley-Act:

Von d i r ek t e r Be–

d e u t u n g für d i e IT s i nd vo r a l l em d i e

Ab s c h n i t t e 3 0 2 , 4 0 4 u n d 4 0 9 .

Abschnitt 302: Testierung der Finanz–

berichte.

Die Un t e r n e hme n s l e i t u n g m u s s

be i An d r o h u n g s t raf recht l i cher Folgen d i e

Ri cht i gke i t u n d Vo l l s t änd i gke i t de r veröf-

f e n d i c h t e n Be r i ch t e s i che r s t e l l en . Für d i e

IT b e d e u t e t d i e s , d a s s d i e S i c h e r un g u n d

Ver fügbarke i t de r I TS y s t eme n a c hwe i s –

bar

s i nd .

Abschnitt 404: Testierung der internen

Kontrollen.

Di e s er Ab s c hn i t t ist fiir d i e

IT

der w i c h t i g s t e . Wä h r e nd im Ab s c hn i t t

3 0 2 d i e Vo l l s t änd i gke i t und Ri cht igke i t

der Ber i cht e b e h a n d e l t wi rd, rege l t Ab–

s chn i t t 4 0 4 d i e Korrekthei t , Nachvo l l z i eh –

barke i t und S i che rhe i t de r Pr o z e s s e .

Für d i e IT b e d e u t e t d i e s , d a s s j ederze i t

d i e B e r e c h t i g u n g s v e r g a b e fiir j e d e n Teil–

p r o z e s s z u r E r s t e l l u n g e i n e s Un t e r –

n e hm e n s b e r i c h t e s t e s t i e rba r u n d h i s t o –

risch v e r f ügba r s e i n mu s s , u n d d a s s im

s c h l i mm s t e n Falle j ede Ve r ä nd e r un g ei–

n e s S y s t e m s e i n e n e u e T e s t i emn g d e s

G e s am t p r o z e s s e s erfordert .

Section 409: Berichtspflicht über Ver–

änderungen des Bestands.

Di e s e r Ab–

s c hn i t t b e h a n d e l t d e n S c hu t z v o n Inve–

s t or en g e g e n v e r s p ä t e t e Of f en l egung übe r

Ve r ä n d e r u n g e n d e s B e s t a n d s u n d

der

Vorrät e e i n e s U n t e r n e hm e n s u n d d am i t

möglicher drohender Veriuste.

264

Seite 60 - CONTROLLER_Magazin_2006_03