Der Sarbanes Oxley Act von 2002 zählt zu den tiefgreifendsten US-amerikanischen Gesetzen zum Anlegerschutz seit den 30er Jahren. Erlassen in Folge der gravierenden Kursverluste durch den Zusammenbruch einstiger Börsenstars wie Enron oder Worldcom, verankert das Gesetz weitreichende Haftungsbestimmungen für das MCCOBITanagement in Bezug auf die Einrichtung und Prüfung interner Kontrollsysteme zur Sicherstellung der Richtigkeit der Finanzberichterstattung. Darüberhinaus werden die Haftungsbestimmungen auf den unabhängigen Wirtschaftsprüfer ausgedehnt und wirken bis in verbundene Unternehmensteile und genutzte Service-Provider hinein. Der Sarbanes Oxley Act gilt für alle Unternehmen, die an US amerikanischen Handelsplätzen notiert sind.

Die Gültigkeit des Sarbanes Oxley Acts erstreckt sich auch auf europäische IT Unternehmen, wenn diese entweder selbst an US Börsenplätzen notiert sind oder Dienstleistungen als Service Provider für Unternehmen erbringen, die dieses Kriterium erfüllen.

In letzterem Fall gelten die Anforderungen nur für die erbrachten Leistungen und nicht für den Dienstleister als solchen. In der Regel können Dienstleister in diesen Fällen von ihren Kunden dazu aufgefordert werden, die SOX Konformität der von ihnen verantworteten Prozesse nachzuweisen, oder ein diesbezügliches Audit im Auftrag der Kunden zuzulassen.

SOX-konform sind Prozesse und Dienstleistungen dabei genau dann, wenn finanzberichterstattungsrelevante Risiken (Falschaussagen, Unvollständigkeit, etc) durch die Dokumentation und Implementierung geeigneter Kontrollen minimiert werden, und deren Effektivität durch Tests in Bezug auf Kontrolldesign und operative Durchführung belegt werden kann.

Der Prüfungsbericht SAS-70 Typ II eines externen Wirtschaftsprüfers wird als geeigneter Nachweis der SOX-Konformität eines IT-Dienstleisters angesehen, dessen Dienste von US-börsennotierten Unternehmen in Anspruch genommen werden.

Der Statement on Auditing Standard 70 (SAS-70) ist ein vom PCAOB (Public Company Accounting Oversight Board) herausgegebener Prüfungsstandard, dessen praktische Bedeutung vor allem darin liegt, dass ein entsprechender Prüfungsbericht als geeigneter Nachweis für die SOX-konforme Leistungserbringung eines IT Service Providers angesehen wird.

Man unterscheidet dabei den Typ-I und den Typ-II Nachweis, wobei nur der letzt genannte als ausreichend in Bezug auf SOX angesehen wird. Denn ein SAS-70 Typ II "Zertifikat" beschränkt sich nicht auf die Dokumentation bestimmter Verfahrenskontrollen durch den Dienstleister selbst (Typ-I), sondern schließt auch eine Bestätigung über deren Effektivität durch einen externen Wirtschaftsprüfer ein, dessen Bericht auf einem Testing derselben basiert.

Auch in Europa haben die Auswirkungen der Börsenturbulenzen des Jahres 2001 und entsprechende Gesetzesinitiativen in den USA zu ähnlich gelagerten Gesetzesvorhaben geführt. Im Zuge der EU-weiten Rechtsharmonisierung wurde dazu die EU Richtlinie zum Thema "Abschlussprüfungen von Jahresabschlüssen" ´(2006/43/EG bzw. 2008/30/EG "Änderung der Richtlinie 2006/43/EG") verabschiedet, die die bisherigen Vorgaben zur Vereinheitlichung der Wirtschaftsprüfungsverfahren von europäischen Unternehmen und zur verbindlichen Etablierung von Kontroll- und Risikomanagementsystemen weiter präzisiert. Diese auch „Euro-SOX“ genannte Richtlinie muss allerdings im Sinne der EU-weiten Gesetzgebung erst in nationales Recht umgewandelt und dort weiter präzisiert werden, bevor sie eine bindende Wirkung entfalten kann.

In Deutschland ist zur Umsetzung eine große Reform des Handelsbilanzrechts, das sogenannte Bilanzrechtsmodernisierungsgesetz (BilMoG) in Arbeit. Es wird jedoch nicht wie geplant bereits für Wirtschaftsjahre gelten, die nach dem 31.12.2008 beginnen. Es soll damit auch eine Annäherung an die internationalen Rechnungslegungsstandards (IFRS) erreicht werden. Der Bundestagsrechtsausschuss hatte den Termin für die Durchführung der öffentlichen Expertenanhörung zum BilMoG auf den 17.12.2008 festgelegt. Wann das Gesetz Gültigkeit haben wird, ist derzeit nicht klar.

Die offen verfügbaren und auf Standards basierenden Prozesse der ITIL oder COBIT Rahmenwerke bilden eine hervorragende Basis zur Abdeckung der Dokumentations- und Kontrollanforderungen, da durch sie der Großteil der IT Leistungsprozesse bereits beschrieben vorliegt.

Ein Rückgriff auf sie empfielt sich daher nicht nur wegen ihrer unmittelbaren freien Verfügbarkeit, sondern auch aus Kostengesichtspunkten, da nötige Anpassungsaufwände deutlich kleiner ausfallen als die Kosten einer individuellen Dokumentation der Leistungsabläufe.

ITIL und COBIT sind darüberhinaus Gegenstand kontinuierlicher Aktualisierungen, so dass deren Nutzung nicht nur eine vollständige Abdeckung relevanter Dokumentationsteile sondern auch deren Zeitgemäßigkeit sicherstellt. Letztere Vorzüge empfehlen sie auch für die Qualitätssicherungsnormen ISO 20000, ehemals BS 15000.

Die verfügbare Dokumentation gelebter Prozesse und ihrer Kontrollen ist eine wesentliche Grundlage für die Beurteilung der SOX Konformität von Prozessen und Leistungen und daher zwingend erforderlich.

Gemäß SOX sind Unternehmen nicht nur dazu verpflichtet eine ordnungsgemäße Bilanzierung und Finanzberichterstattung zu leisten, sondern sie müssen diese auch über interne Kontrollsysteme sicherstellen, deren Effektivität von unabhängiger Seite bestätigt werden muss. Aus dieser Anforderung folgen eine Reihe von Dokumentationspflichten bezüglich der eingesetzten Prozesse und Verfahren einerseits, wie auch der durchgeführten Kontrollen andererseits. Nachdem die IT die Grundlage für einen Großteil des internen Rechnungswesens bereitstellt, liegen entsprechende Verfahren ebenso im Fokus.

SOX ist vielleicht der erste prominente Vertreter einer neuen Rechtsauffassung, nach der eine ordnungsgemäße Bilanzierung nicht nur allein durch das angewendete kaufmännische Handwerk bestimmt wird (z.B.: 4-Augen-Prinzip). Neben der manuellen Tätigkeit müssen verstärkt auch die IT-Systeme betrachtet werden, mit deren Hilfe die Bilanzierung erfolgt. Dabei erweisen sich vor allem „gewachsene“ Verfahrensstrukturen als tückisch, weil bei ihnen einerseits häufig diverse Systembrüche und Schnittstellenproblematiken bei der Datenverarbeitung auftreten können und andererseits die Serviceprozesse für die Bereitstellung der Dienste inhomogen ausgeprägt sein könnten. In solchen IT-Landschaften sind Nachweispflichten zur ordnungsgemäßen Datenverarbeitung üblicherweise schwierig, entsprechende Kosten zur Beweissicherung und Auditierung unverhältnismäßig hoch.

Aus Sicht des Managements machen insbesondere die persönlichen Risiken, die mit den Haftungsbestimmungen von SOX einhergehen, den Unterschied zu den meisten anderen Bestimmungen aus. Unternehmen, die an der US-Börse notiert sind, unterwerfen sich dabei nicht nur der Aufsicht der SEC, sondern auch der US-amerikanischen Rechtsprechung, welche entsprechende Gesetzesverstöße mit empfindlichen Geld- und Haftstrafen gegen das Unternehmen sowie Mitglieder des Managements ahnden kann. Maßgeblich ist dabei nicht das persönliche Verschulden allein, sondern auch die Verantwortung für Versäumnisse anderer im Unternehmen.

Die einfache, wenn auch nicht ganz präzise Antwort lautet „erst mal alle“. Natürlich gelten für Unternehmen in Deutschland andere Gesetze als für ein amerikanisches Unternehmen. Komplex wird die Sache z.B. beim Datenschutz. Welches Gesetz gilt, wenn ein deutsches Unternehmen Teile seiner Prozesse an ein amerikanisches Unternehmen ausgliedert, welches wiederum seine europäischen Kunden über eine angemietete Serverfarm von Frankreich aus betreut? Die Antwort ist leider zu komplex, um hier dargestellt werden zu können.
Für deutsche Unternehmen sind unter anderem folgende Gesetze und Richtlinien zu berücksichtigen.

• Sarbanes-Oxley Act
• 8.EU-Richtlinie ("EuoroSOX")
• Basel II
• KonTraG - Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
• IFRS - International Financial Reporting Standards
• BSI GsHb - Bundesamt für Sicherheit in der Informationstechnik - Grundschutzhandbuch
• BS 7799 / ISO 17799 / ISO/IEC 2700X - ISO Security Standard
• GDPdU - Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen
• GoBS - Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme
• BDSG - Bundesdatenschutzgesetz

Eine kurze Beschreibung finden Sie unter IT-relevante Gesetze und Richtlinien

SOX-Compliance ist vor allem für externe Dienstleister zwingend, die ihre Leistungen für Firmen erbringen, die selbst SOX unterliegen. Dabei ist es nicht maßgeblich, ob der IT-Dienstleister selbst den SOX Anforderungen genügen muss – er muss lediglich sicherstellen, dass seine Leistungen für den Kunden den Anforderungen genügen. Aber auch in anderen Fällen erscheint die Bestrebung nach SOX-Compliance sinnvoll, da sich ein entsprechendes Zertifikat auch als Qualitätsmerkmal der gebotenen Leistungen interpretieren lässt – und derartig eingeführte Standards gleichzeitig eine Grundlage für zukünftige Gesetzesinitiativen sind (EuroSOX).

Ebenso wie alle anderen Prüfungshandlungen eines Wirtschaftsprüfers, erfolgt auch die Prüfung von IT Verfahren auf Basis fester Prüfungsstandards. Einer der wesentlichen Grundlagen dabei ist das COBIT Rahmenwerk, das generisch jene Zielsetzungen definiert, welche eine bestimmte IT-Organisation umsetzen muss. Der Best Practice Ansatz von ITIL beschäftigt sich mit dem "Wie?" der Umsetzung dieser Ziele. COBIT und ITIL sind anerkannte Standards, deren konsequente Anwendung eine wichtige Grundlage für Compliance in der IT ist.

COBIT steht für Control Objectives for Information and related Technology. Es ist ein Rahmenwerk und ein Best Practice Ansatz für die IT Governance. COBIT stellt Beschreibungen der Steuerungswerkzeuge für IT-Prozesse zur Verfügung und liefert Vorlagen zur Ermittlung von Prozessreifegraden. COBIT unterstützt beim Aufbau eines IT-internen Kontrollsystems, das externe Compliance Vorgaben an die IT erfüllt und dies kontinuierlich nachweist.

„Control Objectives“ – auch: Kontrollziele – definieren, was die IT bezüglich bestimmter Risiken sicherstellen muss, um diese zu minimieren. In Summe definiert das COBIT-Framework 34 IT-Prozesse, denen die Control Objectives zugeordnet sind. Die Control Objectives sind wesentliche Bereiche, die im Prozess berücksichtigt sein müssen, um das Prozess-Ziel (und somit über das IT-Ziel das Unternehmensziel) zu erreichen. Die Summe der Control Objectives stellt eine verlässliche und dem Unternehmensbedarf angemessene Informationsfunktion sicher.

Um IT-Ziele zu erreichen, die auf Unternehmensanforderungen ausgerichtet sind, ist es notwendig, IT-Ressourcen durch IT-Prozesse zu managen. Dieses Grundprinzip des COBIT Frameworks ist im COBIT-Würfel dargestellt.

Auf der Seite des IT Governance Institutes (http://www.itgi.org) steht die neueste Version des COBIT Frameworks (aktuelle Version 4.1) als PDF zum Download zur Verfügung. Eine deutsche Version des COBIT Frameworks gibt es akutell "nur" in 4.0.

Das Maturity Modell von COBIT basiert auf dem Capability Maturity Modell, das von der SEI (Software Engineering Institute) entwickelt wurde. COBIT liefert für jeden der 34 COBIT-Prozesse präzise Zustandsbeschreibungen für die 6 möglichen Reifegrade, in denen sich ein Prozess befinden kann.

• Strategische Ausrichtung (Strategic Alignment)
• Wertbeitrag (Value Delivery)
• Ressourcen Management (Resource Management)
• Risiko Management (Risk Management)
• Leistungsmessung (Performance Measurement).

COSO ist ein Rahmenwerk, das Vorgaben zur Corporate Governance macht. Es wurde vom „Commitee of Sponsoring of the Treadway Commission“ erstellt und fokussiert stark auf die Finanzberichterstattung. Vorgaben an die Finanzberichterstattung und das Umgehen mit Risiken werden im COSO Modell formuliert und werden im Bereich der IT von COBIT realisiert.

Der Unterschied zwischen Policy und Guideline ist schwimmend. Am einfachsten kann man es sich folgendermaßen merken: Eine Policy ist eine Vorschrift, die eingehalten werden muss und entsprechend vom Management oder Vorgesetzen „erlassen“ wird. Eine Guideline hingegen ist ein Vorschlag, wie eine Policy, also eine Vorschrift einzuhalten ist bzw. welche Tätigkeit zu erledigen ist, um die Policy einzuhalten. Anbei ein Beispiel: Die Vorschrift lautet: „Das Passwort muss hinreichend komplex sein“, so dass es nicht leicht erraten werden kann. Der Hintergrund dieser Vorschrift ist natürlich klar: Einfache Passwörter können auch schnell geknackt werden, also müssen Passwörter komplex sein. Je nach Autorisierungssystem ist dies natürlich unterschiedlich technisch realisierbar. Eventuell ist ein Durchsetzen der Vorschrift durch ein technisches System sogar gar nicht möglich. Dieser Umstand wird hier aber außen vor gelassen. Zudem gibt es eine zweite Vorschrift: „Passwörter dürfen nicht aufgeschrieben und Dritten nicht zugänglich gemacht werden“. In einer Guideline (Vorschlag) beschreibt man dann, wie es einem normalen Benutzer möglich ist, die Vorschrift einzuhalten. Dies geht bei der Passwort-Bildung los. Man definiert also, was „ausreichend komplex“ ist. Dies kann man eventuell schon in der Vorschrift tun, dann würde die Vorschrift aber einen technischen Touch bekommen.Das Passwort muss mindestens 8 Zeichen lang sein und drei der folgenden vier Bedingungen erfüllen:

• mindestens einen Großbuchstabe
• ein Kleinbuchstaben
• ein Sonderzeichen
• eine Ziffer

• Man denkt sich einen Satz aus, in dem eine Zahl vorkommt: „Mein Adler ist gestern 259 km geflogen“
• Löscht alle Leerzeichen - „MeinAdleristgestern259kmgeflogen“
• Löscht alle Vokale - „Mndlrstgstrn259kmgflgen“
• Ersetzt die letzte Ziffer durch das entsprechende Sonderzeichen -„Mndlrstgstrn25)kmgflgen“

Eine Diskussion zum Thema finden Sie unter IT-Audit.de

COBIT ist in vier Domänen gegliedert:

• Plan & Organize (PO) - plane und organisiere
• Acquire & Implement (AI)- beschaffe und implementiere
• Deliver & Support (DS)- erbringe und unterstütze
• Monitor & Evaluate (ME) - überwache und beurteile

Die Abfolge dieser Domänen wird auch als Management Kreislauf bezeichnet und wurde von den Herren Hopstaken und Kranendonk entworfen.

• PO01 Define a strategic IT plan - Definiere einen strategischen IT-Plan
• PO02 Define the information architecture - Definiere die Informationsarchitektur
• PO03 Determine technological direction - Bestimme die technologische Richtung
• PO04 Define the IT processes, organization and relationships - Definiere die IT-Prozesse, Organisation und Beziehungen der IT
• PO05 Manage the IT Investment - Manage IT-Investitionen
• PO06 Communicate management aims and direction - Kommuniziere Ziele und Richtung des Managements
• PO07 Manage IT human resources - Manage die IT-Human-Ressources
• PO08 Manage quality - Manage Qualität
• PO09 assess and manage IT risks - Beurteile und Manage IT-Risiken
• PO10 Manage projects - Manage Projekte

• AI01 Identify automated solutions - Identifiziere automatisierte Lösungen
• AI02 Acquire and maintain application software - Beschaffe und warte Anwendungssoftware
• AI03 Acquire and maintain technology infrastructure - Beschaffe und warte technologische Infrastruktur
• AI04 Enable operation and use - Ermögliche Betrieb und Verwendung
• AI05 procure IT resources - Beschaffe IT-Ressourcen
• AI06 Manage changes - Manage Veränderungen
• AI07 Install and accredit solutions and changes - Installiere und akkreditiere Lösungen und Change

• DS01 Define and manage service levels - Definiere und manage Service Levels
• DS02 Manage third party services - Manage Leistungen von Dritten
• DS03 Manage performance and capacity - Manage Performance und Kapazität
• DS04 Ensure continuous service - Stelle den kontinuierlichen Betrieb sicher
• DS05 Ensure systems security - Stelle Security von Systemen sicher
• DS06 Identify and allocate costs - Identifiziere und verrechne Kosten
• DS07 Educate and train users - Schule und trainiere User
• DS08 Manage service desk and incidents - Manage den Service Desk und Incidents
• DS09 Manage the configuration - Manage die Konfiguration
• DS10 Manage problems - Manage Probleme
• DS11 Manage data - Manage Daten
• DS12 Manage the physical environment - Manage die physische Umgebung
• DS13 Manage operations - Manage den Betrieb

• ME01 Monitor and evaluate IT performance - Monitore und evaluiere IT-Performance
• ME02 Monitor and evaluate internal control - Monitore und evaluiere Internal Controls
• ME03 Ensure compliance with external requirements - Stelle Compliance mit Vorgaben sicher
• ME04 Provide IT governance - Sorge für IT-Governance

• Anwendungssysteme
• Informationen
• Infrastruktur
• Personen

• Wirksamkeit
• Wirtschaftlichkeit
• Vertraulichkeit
• Verfügbarkeit
• Ordnungsmäßigkeit
• Verlässlichkeit
• Integrität

• Internes Umfeld
• Zielfestlegung
• Ereignisidentifikation
• Risikobeurteilung
• Risikosteuerung
• Kontrollaktivitäten
• Information & Kommunikation
• Überwachung

• Board Briefing on IT Governance
• COBIT Online
• COBIT Control Practices
• IT Assurance Guide
• IT Control Objectives for Sarbanes-Oxley
• IT Governance Implementation Guide
• COBIT Quickstart
• COBIT Security Baseline
• COBIT Mappings
• Information Security Governance

• 0 Non-existent (nicht existent)
• 1 Initial (initial)
• 2 Repeatable (wiederholbar)
• 3 Defined (definiert)
• 4 Managed (gemanagt)
• 5 Optimised (optimiert)
  

• Bewusstsein und Kommunikation
• Policies, Standarts und Verfahren
• Werkzeuge und Automatisierung
• Skills und Expertise
• Zielsetzung und Messung
  

• Strategische Ausrichtung
• Schaffen von Werten
• Ressourcenmanagement
• Risikomanagement
• Messen von Performance
  

• Fokussiert auf das Geschäft
• Orientiert an Prozessen
• Basierend auf Anforderungen
• Gesteuert durch Messungen