Was ist der „Sarbanes Oxley Act (SOX)“?

Der Sarbanes Oxley Act von 2002 zählt zu den tiefgreifendsten US amerikanischen Gesetzen zum Anlegerschutz seit den 30er Jahren. Erlassen in Folge der gravierenden Kursverluste durch den Zusammenbruch einstiger Börsenstars wie Enron oder Worldcom verankert das Gesetz weitreichende Haftungsbestimmungen für das Management in Bezug auf die Einrichtung und Prüfung interner Kontrollsysteme zur Sicherstellung der Richtigkeit der Finanzberichterstattung. Darüberhinaus werden die Haftungsbestimmungen auf den unabhängigen Wirtschaftsprüfer ausgedehnt und wirken bis in verbundene Unternehmensteile und genutzte Service-Provider hinein. Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US amerikanischen Handelsplätzen notiert sind.

Welche Anforderungen haben europäische IT-Dienstleister in Zusammenhang mit SOX?

Die Gültigkeit des Sarbanes Oxley Acts erstreckt sich auch auf europäische IT Unternehmen, wenn diese entweder selbst an US Börsenplätzen notiert sind, oder Dienstleistungen als Service Provider für Unternehmen erbringen, die dieses Kriterium erfüllen.

 

In letzterem Fall gelten die Anforderungen nur für die erbrachten Leistungen und nicht für den Dienstleister als solches. In der Regel können Dienstleister in diesen Fällen von ihren Kunden dazu aufgefordert werden, die SOX Konformität der von Ihnen verantworteten Prozesse nachzuweisen, oder ein diesbezügliches Audit im Auftrag der Kunden zuzulassen.

 

SOX konform sind Prozesse und Dienstleistungen dabei genau dann, wenn finanzberichterstattungsrelevante Risiken (Falschaussagen, Unvollständigkeit, etc) durch die Dokumentation und Implementierung geeigneter Kontrollen minimiert werden, und deren Effektivität durch Tests in Bezug auf Kontrolldesign und operativer Durchführung belegt werden können.

 

Der Prüfungsbericht SAS-70 Typ II eines externen Wirtschaftsprüfers wird dabei als geeigneter Nachweis der SOX Konformität eines IT Dienstleisters angesehen, dessen Dienste von US-börstennotierten Unternehmen in Anspruch genommen werden.

Was ist ein SAS 70 Bericht?

Der Statement on Auditing Standard 70 (SAS-70) ist ein vom PCAOB (Public Company Accounting Oversight Board) herausgegebener Prüfungsstandard, dessen praktische Bedeutung vor allem darin liegt, dass ein entsprechender Prüfungsbericht als geeigneter Nachweis für die SOX-konforme Leistungserbringung eines IT Service Providers angesehen wird.

 

Man unterscheidet dabei den Typ-I und den Typ-II Nachweis, wobei nur der letzt genannte als ausreichend in Bezug auf SOX angesehen wird. Denn ein SAS-70-Typ-II "Zertifikat" beschränkt sich nicht auf die Dokumentation bestimmter Verfahrenskontrollen durch den Dienstleister selbst (Typ-I), sondern schließt auch eine Bestätigung über deren Effektivität durch einen externen Wirtschaftsprüfer ein, dessen Bericht auf einem Testing derselben basiert.

Kann ITIL/Cobit als Basis zur Erreichung der SOX bzw. Euro-SOX-Compliance dienen?

Die offen verfügbaren und auf Standards basierenden Prozesse der ITIL oder COBIT Rahmenwerke bilden eine hervorragende Basis zur Abdeckung der Dokumentations- und Kontrollanforderungen, da durch sie der Großteil der IT Leistungsprozesse bereits beschrieben vorliegt.

Ein Rückgriff auf sie empfielt sich daher nicht nur wegen ihrer unmittelbaren freien Verfügbarkeit, sondern auch aus Kostengesichtspunkten, da nötige Anpassungsaufwände deutlich kleiner ausfallen, als die Kosten einer individuellen Dokumentation der Leistungsabläufe.

ITIL und CObIT sind darüberhinaus Gegenstand kontinuierlicher Aktualiserungen, so dass deren Nutzung nicht nur eine vollständige Abdeckung relevanter Dokumentationsteile sondern auch deren Zeitgemäßigkeit sicherstellt. Letztere Vorzüge empfehlen sie auch für die Qualitätssicherungsnormen  ISO 20000 ehemals BS 15000.

Die verfügbare Dokumentation gelebter Prozesse und ihrer Kontrollen ist eine wesentliche Grundlage für die Beurteilung der SOX Konformität von Prozessen und Leistungen und daher zwingend erforderlich.

Worin liegen die Auswirkungen von SOX auf die IT?

Gemäß SOX sind Unternehmen nicht nur dazu verpflichtet eine ordnungsgemäße Bilanzierung und Finanzberichterstattung zu leisten, sondern sie müssen diese auch über interne Kontrollsysteme sicherstellen, deren Effektivität von unabhängiger Seite bestätigt werden muss. Aus dieser Anforderung folgen eine Reihe von Dokumentationspflichten bezüglich der eingesetzten Prozesse und Verfahren einerseits, wie auch der durchgeführten Kontrollen andererseits. Nachdem die IT die Grundlage für einen Großteil des internen Rechnungswesens bereitstellt, liegen entsprechende Verfahren ebenso im Fokus.

Was unterscheidet SOX von anderen Gesetzen, die für die IT gelten?

SOX ist vielleicht der erste prominente Vertreter einer neuen Rechtsauffassung, nach der eine ordnungsgemäße Bilanzierung nicht nur allein durch das angewendete kaufmännische Handwerk bestimmt wird (z.B.: 4-Augen-Prinzip), sondern auch den beteiligten, immer komplexer werdenden IT Verfahrenslandschaften eine massgebliche Rolle zuordnet. Vor allem dem Einsatz „gewachsener“ Systeme, in deren Natur eine Vielzahl von Systembrüchen und Schnittstellen liegt, aber auch nicht zeitgemäßen Abläufen im IT Service werden durch SOX die Grenzen aufgezeigt – weil für inhomogene Systeme und Abläufe in vielen Fällen nur äußerst schwer der Nachweis erbracht werden kann, dass eine Ordnungsmäßigkeit aller Transaktionen jederzeit gewährleistet ist.

Warum ist SOX bedeutend und welche Auswirkungen hat es auf deutsche Unternehmen?

Aus Sicht des Managements machen insbesondere die persönlichen Risiken, die mit den Haftungsbestimmungen von SOX einhergehen, den Unterschied zu den meisten anderen Bestimmungen aus. Unternehmen, die an der US Börse notiert sind, unterwerfen sich dabei nicht nur der Aufsicht der SEC, sondern auch der US-amerikanischen Rechtsprechung, welche entsprechende Gesetzesverstöße mit empfindlichen Geld- und Haftstrafen gegen das Unternehmen, sowie Mitglieder des Managements ahnden kann. Massgeblich ist dabei nicht das persönliche Verschulden allein, sondern auch die Verantwortung für Versäumnisse anderer im Unternehmen.

Welche Gesetze und Richtlinien sind für die IT noch relevant?

Die einfache, wenn auch nicht ganz präzise Antwort lautet „erst mal alle“. Natürlich gelten für Unternehmen in Deutschland andere Gesetze, wie für ein amerikanisches Unternehmen. Komplex wird die Sache z.B. beim Datenschutz. Welches Gesetz gilt, wenn ein deutsches Unternehmen Teile seiner Prozesse an ein amerikanisches Unternehmen ausgliedert, welches wiederum seine europäischen Kunden über eine angemietete Serverfarm von Frankreich aus betreut? Die Antwort ist leider zu komplex um hier dargestellt werden zu können.
Für deutsche Unternehmen sind unter anderem folgende Gesetze und Richtlinien zu berücksichtigen.

• Sarbanes-Oxley Act
• 8.EU-Richtlinie ("EuoroSOX")
• Basel II
• KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
• IFRS - International Financial Reporting Standards
• BSI GsHb - Bundesamt für Sicherheit in der Informationstechnik - Grundschutzhandbuch
• BS 7799 / ISO 17799 / ISO/IEC 2700X - ISO Security Standard
• GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
• GoBS - Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
• BDSG - Bundesdatenschutzgesetz

Eine kurze Beschreibung finden Sie unter IT-relevante Gesetze und Richtlinien

 

Was hilft es mir, SOX-Compliant zu sein, wenn ich nicht SOX-pflichtig bin?

SOX Compliance ist vor allem für externe Dienstleister zwingend, die ihre Leistungen für Firmen erbringen, die selbst SOX unterliegen. Dabei ist es nicht massgeblich, ob der IT Dienstleister selbst den SOX Anforderungen genügen muss – er muss lediglich sicherstellen, dass seine Leistungen für den Kunden den Anforderungen genügen. Aber auch in anderen Fällen erscheint die Bestrebung nach SOX Compliance sinnvoll, da sich ein entsprechendes Zertifikat auch als Qualitätsmerkmal der gebotenen Leistungen interpretieren lässt – und derartig eingeführte Standards gleichzeitig eine Grundlage für zukünftige Gesetzesinitiativen ist (EuroSOX).

Was ist CObIT?

CObIT steht für Control Objectives for Information and related Technology. Es ist ein Rahmenwerk und ein Best Practice Ansatz für die IT Governance. CObIT stellt Beschreibungen der Steuerungswerkzeuge für IT Prozesse zur Verfügung und liefert Vorlagen zur Ermittlung von Prozessreifegraden. CObIT unterstützt beim Aufbau eines IT internen Kontrollsystems, das externe Compliance Vorgaben an die IT erfüllt und dies kontinuierlich nachweist.

Was sind Control Objectives und wie kann ich diese auf Gesetze bzw. auf die IT mappen?

„Control Objectives“ – auch: Kontrollziele – definieren, was die IT bezüglich bestimmter Risiken sicherstellen muss, um diese zu minimieren. In Summe definiert das CobiT-Framework 34 IT-Prozesse, denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Wo kann ich CObIT herunterladen?

Auf der Seite des IT Governance Institutes (http://www.itgi.org) steht die neueste Version des CObIT Frameworks (aktuelle Version 4.1) als PDF zum Download zur Verfügung. Eine deutsche Version - allerdings "nur" 4.0 - ist unter http://www.isaca.at/Ressourcen/CobiT%204.0%20Deutsch.pdf zu finden.

 

Was ist das Maturity Modell von CObIT?

Das Maturity Modell von CObIT basiert auf dem Capability Maturity Modell, das von der SEI (Software Engineering Institute) entwickelt wurde. CObIT liefert für jeden der 34 CObIT Prozesse präzise Zustandsbeschreibungen für die 6 möglichen Reifegrade, in denen sich ein Prozess befinden kann.

Was sind die Kernbereiche der IT Governance?

• Strategische Ausrichtung (Strategic Alignment)
• Wertbeitrag (Value Delivery)
• Ressourcen Management (Resource Management)
• Risiko Management (Risk Management)
• Leistungsmessung (Performance Measurement).

Was ist COSO?

COSO ist ein Rahmenwerk, das Vorgaben zur Corporate Governance macht. Es wurde vom „Committe of Sponsoring of the Treadway Commission“ erstellt und fokussiert stark auf die Finanzberichterstattung. Vorgaben an die Finanzberichterstattung und das Umgehen mit Risiken werden im COSO Modell formuliert und werden im Bereich der IT von CObIT realisiert.

 

Was ist der Unterschied zwischen einer Policy und einer Guideline?

Der Unterschied zwischen Policy und Guideline ist schwimmend. Am einfachsten kann man es sich folgendermaßen merken: Eine Policy ist eine Vorschrift, die eingehalten werden muss und entsprechend vom Management oder Vorgesetzen „erlassen“ wird. Eine Guideline hingegen ist ein Vorschlag  wie eine Policy, also eine Vorschrift einzuhalten ist bzw. welche Tätigkeit zu erledigen ist, um die Policy einzuhalten. Anbei ein Beispiel:

Die Vorschrift lautet „das Passwort muss hinreichend komplex sein“, so dass es nicht leicht erraten werden kann. Der Hintergrund dieser Vorschrift ist natürlich klar: Einfache Passwörter können auch schnell geknackt werden, also müssen Passwörter komplex sein. Je nach Autorisierungssystem ist dies natürlich unterschiedlich technisch realisierbar sein. Eventuell  ist ein Durchsetzen der Vorschrift durch ein technisches System sogar gar nicht möglich. Dieser Umstand wird hier aber außen vor lassen. Zudem gibt es eine zweite Vorschrift: „Passwörter dürfen nicht aufgeschrieben und Dritten nicht zugänglich gemacht werden“.

In einer Guideline (Vorschlag) beschreibt man dann, wie es einem normalen Benutzer möglich ist, die Vorschrift einzuhalten. Dies geht bei der Passwort-Bildung los. Man definiert also, was „ausreichend komplex“ ist. Dies kann man eventuell schon in der Vorschrift tun, dann würde die Vorschrift aber einen technischen Touch bekommen.

Das Passwort muss mindestens 8 Zeichen lang sein und drei der folgenden vier Bedingungen erfüllen:

 

• mindestens einen Großbuchstabe
• einen Kleinbuchstaben
• ein Sonderzeichen
• eine Ziffer enthalten

An den  Vorschlag sollte man zum bessern Verständnis ein Beispiel zur einfachen Passwortbildung anhängen, das den Vorgaben genügt.

 

• Man denkt sich eine Satz in dem eine Zahl vorkommt  - . „Mein Adler ist gestern 259km geflogen“
• Löscht alle  Leerzeichen - „MeinAdleristgestern259kmgeflogen“
• Löscht alle Vokale - „Mndlrstgstrn259kmgflgen“
• Ersetzt die letzte Ziffer durch das entsprechende Sonderzeichen -„Mndlrstgstrn25)kmgflgen“

Eine Diskussion zu Thema finde Sie unter IT-Audit.de

Welche Domänen gibt es in CObIT?

CObIT ist in vier Domänen gegliedert:

 

• Plan & Organize (PO) - plane und organisiere
• Acquire & Implement (AI)- beschaffe und implementiere
• Deliver & Support (DS)- erbringe und unterstütze
• Monitor & Evaluate (ME) - überwache und beurteile

Die Abfolge dieser Domänen wird auch als Management Kreislauf bezeichnet und wurde den Herren Hopstaken und Kranendonk entworfen.

 

Welche Prozesse gibt es in „Plan & Organize“?

• PO01 Define a strategic IT plan - Definiere einen strategischen IT-Plan
• PO02 Define the information architecture - Definiere die Informationsarchitektur
• PO03 Determine technological direction - Bestimme die technologische Richtung
• PO04 Define the IT processes, organization and relationships - Definiere die IT-Prozesse, Organisation und Beziehungen der IT
• PO05 Manage the IT Investment - Manage IT-Investitionen
• PO06 Communicate management aims and direction - Kommuniziere Ziele und Richtung des Managements
• PO07 Manage IT human resources  - Manage die IT-Human-Ressourcen
• PO08 Manage quality - Manage Qualität
• PO09 assess and manage IT risks - Beurteile und Manage IT-Risiken
• PO10 Manage projects - Manage Projekte

Welche Prozesse gibt es in „Acquire & Implement“?

• AI01 Identify automated solutions - Identifiziere automatisierte Lösungen
• AI02 Acquire and maintain application software - Beschaffe und warte Anwendungssoftware
• AI03 Acquire and maintain technology infrastructure - Beschaffe und warte technologische Infrastruktur
• AI04 Enable operation and use - Ermögliche Betrieb und Verwendung
• AI05 procure IT resources - Beschaffe IT-Ressourcen
• AI06 Manage changes - Manage veränderungen
• AI07 Install and accredit solutions and changes - Installiere und akkreditiere Lösungen und Changes

Welche Prozesse gibt es in „Deliver & Support“?

• DS01 Define and manage service levels - Definiere und manage Service Levels
• DS02 Manage third party services - Manage Leistungen von Dritten
• DS03 Manage performance and capacity - Manage Performance und Kapazität
• DS04 Ensure continuous service - Stelle den kontinuierlichen Betrieb sicher
• DS05 Ensure systems security - Stelle Security von Systemen sicher
• DS06 Identify and allocate costs - Identifiziere und verrechne Kosten
• DS07 Educate and train users - Schule und trainiere User
• DS08 Manage service desk and incidents - Manage den Service Desk und Incidents
• DS09 Manage the configuration - Manage die Konfiguration
• DS10 Manage problems - Manage Probleme
• DS11 Manage data - Manage Daten
• DS12 Manage the physical environment - Manage die physische Umgebung
• DS13 Manage operations - Manage den Betrieb

Welche Prozeduren gibt es in „Monitor & Evaluate“?

• ME01 Monitor and evaluate IT performance - Monitore und evaluiere IT-Performance
• ME02 Monitor and evaluate internal control - Monitore und evaluiere Internal Controls
• ME03 Ensure compliance with external requirements - Stelle Compliance mit Vorgaben sicher
• ME04 Provide IT governance - Sorge für IT-Governance

Ihre mITSM Experten zu diesem Thema