Newsfeed abonnieren
Welche Verpflichtungen kommen durch Sarbanes-Oxley-Act (SOX) auf Unternehmen zu?
In den USA börsennotierte Unternehmen werden durch SOX verpflichtet, Kontrollmaßnahmen zu treffen, die eine korrekte Berichterstattung über die wirtschaftlichen Verhältnisse gewährleisten. Die Auflagen ziehen für die verantwortlichen IT-Dienstleister Investitionen nach sich, so muss z.B. das Management der ERP-Services strengeren Richtlinien genügen: Änderungen an ERP-Systemen müssen definierten Genehmigungsprozessen unterliegen. Auch die Verwaltung der entsprechenden Userprofile muss im selben Ausmaß überwacht werden. Die Durchführung dieser Tätigkeiten folgt in den meisten IT-Organisationen nach bereits festgelegten Vorgaben. Die für SOX Compliance notwendige Granularität und Vollständigkeit stellt allerdings ohne entsprechende Prozessdefinition und Toolunterstützung eine große Herausforderung dar.
Wie sieht das in Europa aus?
Auch in Europa nutzen immer mehr Unternehmen die Ideen der Prozessoptimierung und der Qualitätssicherung, die hinter den Überlegungen des Sarbanes-Oxley-Act stehen, um ihre internen Abläufe und die damit verbundenen Investitionen in die IT-Umgebungen fit zu machen für einen kontinuierlichen Verbesserungsprozess - und natürlich auch um den rasch steigenden Anforderungen an die IT im Umfeld der Corporate Governance zu erfüllen.
Wie soll dabei vorgegangen werden?
Grundlage für die notwendigen Prozesse bilden ausreichend detaillierte Konfigurations-Daten über die finanzrelevanten IT-Services. Diese werden strukturiert erfasst und bilden die Basis (Baseline) aller aufbauenden Überlegungen. Änderungen an den ERP-Systemen und Userprofilen sind über einen standardisierten Prozess abzuwickeln und zu dokumentieren. Schließlich werden bei regelmäßigen Audits die tatsächlichen Systemkonfigurationen mit der Baseline verglichen. Dabei wird überprüft, ob zu jeder Differenz zwischen aktuellen Daten und Baseline ein korrekter Change-Prozess durchlaufen und dokumentiert wurde.
Diese Konzepte lassen sich ideal mit den Kernelementen der ITIL-Prozesse Change- und Configuration-Management abbilden: Änderungen an IT-Services und Userprofilen werden über den Change-Management Prozess gesteuert. Dieser sieht Rollenkonzepte und Genehmigungsschritte vor, die für die Erlangung der SOX Compliance eingesetzt werden können. Die Datengrundlage stellt der Configuration-Management-Prozess mit der CMDB zur Verfügung, in der IT-Services, Hardware, Software und auch Userprofile abgelegt und entsprechend verlinkt werden können. Schließlich stellt dieser Prozess auch das für SOX essentielle Audit-Konzept zur Verfügung. Diese Anforderungen machen eine Prozess-Unterstützung durch eine ITIL kompatible Software-Lösung notwendig: Eine state-of-the-art CMDB mit Partitionen für aktuelle Daten und Baselines stellt das Kernstück der Lösung dar. Der Change-Management-Prozess setzt darauf auf und unterstützt die lückenlose Dokumentation und notwendige Genehmigungen bei vertretbarem Dokumentationsaufwand.
Welche Erfahrungen hat Softlab bereits in diesem Umfeld gesammelt?
Softlab implementiert derzeit mit einigen seiner Kunden derartige Prozesse und Software- Lösungen. Eines der Projekte wird gemeinsam mit Steyr-Daimler-Puch Spezialfahrzeug GmbH durchgeführt und soll noch heuer den Betrieb aufnehmen, um ein erfolgreiches SOX-Audit im vierten Quartal effizient zu unterstützen. Softlab und die Steyr-Daimler-Puch Spezialfahrzeug GmbH setzen dabei auf die ITIL kompatiblen Software-Lösungen von BMC Remedy.
Hier gratis downloaden!
1/2012
8/2011
7/2011
Lothar Lochmaier studierte nach einer Ausbildung zum Groß- und Außenhandelskaufmann Sozial-und Wirtschaftsgeschichte sowie Politikwissenschaft in München, Madrid und Berlin. Heute arbeitet er als freiberuflicher Fach- und Wirtschaftsjournalist für diverse Print- und Online-Medien. Seine Schwerpunkte sind die Bereiche Informationstechnologie, Energiefragen und Managementthemen. 