Die Anforderungen von EUROSOX an IT-Prozesse : ein Umsetzungsleitfaden für Führungskräfte zur Implementierung von IT-Governance

Abstract

Als Konsequenz aus den europäischen Finanzskandalen veröffentlichte die Europäische Kommission in Anlehnung an den US-amerikanischen Sarbanes-Oxley Act die 8. EU-Richtlinie, auch bekannt unter EUROSOX. Sie verfolgt denselben Zweck wie der Sarbanes-Oxley Act, nämlich die Sicherstellung der Transparenz und Korrektheit der Finanzberichterstattung. Sichere ERP-Systeme, welche heutzutage oft Informationen für die Finanzberichterstattung verarbeiten und bereitstellen, sind gefordert und damit von hoher Bedeutung für Unternehmen. Das Ziel der Arbeit ist, einen pädagogischen Umsetzungsleitfaden zu erarbeiten, der Führungskräfte in Unternehmen bei der Einführung eines wirksamen internen Kontrollsystems (IKS) für IT-Prozesse und bei der Implementierung von IT-Governance unterstützt. Die aktuellen und international anerkannten Modelle COSO, CobiT 4.1, ITIL v3, ISO/IEC 27002: 2005 sowie die IT-Grundschutz-Kataloge wurden auf ihre Eignung untersucht, ein IKS für IT-Prozesse und IT-Governance zu imple¬mentieren. Aufgrund ihres hohen Umfangs oder Detaillierungsgrades wurden CobiT als primäres Modell und ITIL und ISO27002 als unterstützende Modelle ausgewählt. Ein pädagogischer Umsetzungsleitfaden für Führungskräfte wurde ausgearbeitet, der stufenweise die Umsetzung der EUROSOX Vorgaben und die Er¬reichung von IT-Governance in der Praxis ermöglichen kann. Für die vier erfolgskritischen Funktionen Aufsichtsrat/Prüfungsausschuss, Geschäftsführung/Vorstand (CEO), IT-Manager (CIO) und Projektmanager wurden die wichtigsten Aufgaben strukturiert beschrieben. Basierend auf der Audit- und Beratungserfahrung des Autors wurden ausschließlich notwendige IT-Prozesse und interne Kontrollen vorgeschlagen, damit IT-Compliance mit EUROSOX erreicht werden kann. Weitere IT-Prozesse und Projektphasen (Projektplanung, Identifikation und Dokumentation der Kontrollen, Beurteilung der Wirksamkeit der Kontrollen, Sanierung von IT-Prozess- und -Kontrollschwachstellen, sowie Reporting und Monitoring) wurden detailliert beschrieben, um IT-Governance implementieren zu können.

As a consequence of various financial scandals the European Commission passed the 8th EU Directive, also known as EUROSOX. EUROSOX follows the same purpose as the American Sarbanes-Oxley Act and has the goal to protect investors by improving the accuracy and reliability of corporate financial disclosures. ERP- and IT-systems process important financial data in modern companies. Therefore safe IT-systems and adequate IT-processes are of high importance. The goal of this master thesis was to elaborate a pedagogic and systematic guideline for executives, which focuses on internal controls and IT-processes and helps reaching compliance with EUROSOX (IT-compliance) and implementing IT-Governance. Since EUROSOX requires a systematic approach to implement internal controls, internationally recognized models were investigated and compared to each other for specific criteria, such as scope and level of detail. CobiT 4.1 was considered to be appropriate to implement and assess internal controls in IT-processes. Furthermore, the model ITIL v3 and the standard ISO/IEC 27002: 2005 were chosen as supporting models to reach an adequate level of detail within the respective IT-processes. Based on the requirements of EUROSOX and the chosen models, important duties and responsibilities are described for the board of directors, CEOs, CIOs and project managers. The following project phases are described in detail, which need to be run through in an IT-Governance implementation project: Project Planning, Identification and Documentation of internal controls, Assessment of the Control Effectiveness, Remediation of IT-process weaknesses, and Reporting and Monitoring. Based on the IT-auditing and IT-process consulting experience of the author, only necessary IT-processes and internal control requirements are described in detail to ensure IT-compliance with EUROSOX. Further necessary activities are mentioned in detail for implementing IT-Governance.