04.12.2024
|
Compliance durch IT-Service ManagementVon Walter Steigauf
Walter Steigauf ist Geschäftsführer der UnITeK GmbH und der Steigauf Daten Systeme GmbH. Er ist IT-Kaufmann und seit über 15 Jahren auf dem Gebiet des Informations- und Dokumenten Management tätig. Spezialgebiet: elektronische Archivierung. Compliance, das regelkonforme Verhalten von Unternehmen in ihrem Umfeld, äußert sich zum einen in der Außenwirkung des Unternehmens, basiert aber zum großen Teil darauf, wie es seine internen Prozesse organisiert. Da es gegenwärtig kaum noch möglich ist, Geschäfts-Prozesse ohne IT zu organisieren, steht die IT zwangsläufig im Fokus wenn es darum geht, die Prozesse regelkonform, also compliant zu gestalten.Diese Erkenntnis ist keineswegs neu, wenngleich insbesondere im Mittelstand bislang wenig beachtet. Schon seit 1995 warten die GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) mit einem Regelwerk auf, das die Unternehmens-IT im Mittelpunkt des Handelns sieht. Mit dem Erlass des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmensbereich) im Jahr 1998 wurde den Vorständen von großen Kapitalgesellschaften zusätzlich nahe gelegt, für die Sicherheit der Prozesse zu sorgen, freilich ohne die IT extra zu erwähnen. Erst durch die Verschärfung der §§ 146 und 147 der AO (Abgabenordnung) und die anschließende Veröffentlichung der GDPdU wurde vielen Unternehmen bewusst, dass sich der Gesetzgeber auch für ihre IT interessiert. Inzwischen existieren eine ganze Reihe von nationalen und internationalen Vorschriften, die ohne funktionierende IT nicht zu umzusetzen sind und eine solche deshalb ausdrücklich einfordern. Kein Unternehmen kann dem (deutschen) Gesetzgeber aber vorwerfen, er würde sie mit Compliance nur fordern aber nicht fördern. Zumindest sagt er, was er erwartet und wie es umzusetzen geht. In den GoBS ist recht detailliert beschrieben, welche Maßnahmen dazu angetan sind, die Ordnungsmäßigkeit der Buchführungssysteme zu gewährleisten. Wobei unter Buchführungssysteme alle DV-Anwendungen zu verstehen sind, in welchen steuerlich relevante Daten erzeugt oder verarbeitet werden. Hinsichtlich der IT-Sicherheit gibt das BSI (Bundesamt für Sicherheit in der Informationstechnik) jede erdenkliche Hilfe. Die aktuellen IT-Grundschutz-Kataloge sprechen im wahren Sinne des Wortes Bände. Und dann gibt es noch ITIL, die IT Infrastructure Library. Wie es die Namensgebung vermuten lässt, stammt ITIL aus England. Dabei handelt es sich um eine von der britischen Regierung seit dem Jahr 1989 unter dem Sammelbegriff IT Service Management (ITSM) betriebene Sammlung von Best Practices, also von bestmöglichen Verfahren, mit deren Hilfe sich die IT-basierten Prozesse in Verwaltung und Unternehmen sicher, transparent und nachvollziehbar gestalten lassen. Nach ITIL zu verfahren bedeutet gleichzeitig einen Schritt in Richtung ISO 9000 Zertifizierung. In Deutschland aufbereitet wird ITIL durch das deutsche Chapter des IT Service Management Forums (itSMF). ITIL definiert und empfiehlt nicht nur die Prozesse zum Umsetzen der Sicherheits-Maßnahmen, sondern alle für das reibungslose Funktionieren der EDV im Dienste des Unternehmens notwendigen. Die damit verknüpfte Forderung nach einer aussagekräftigen Dokumentation zieht sich wie ein roter Faden durch das Rahmenwerk. In den IT-Grundschutz-Katalogen werden die sicherheitsrelevanten Komponenten (Bausteine) der Unternehmens-IT katalogisiert, wird beschrieben, welchen Gefahren sie ausgesetzt sind und schließlich werden Maßnahmen empfohlen, durch welche die Gefährdung beseitigt oder auf ein Minimum reduziert werden kann. Die notwendigen Prüfungen lassen sich durch Software-Tools automatisieren. Womit sich weder die IT-Grundschutz-Kataloge noch ITIL befassen, ist aber der Umgang mit den installierten Anwendungs-Applikationen aus Verfahrens-Sicht. Sie beleuchten lediglich die Aspekte der Anschaffung und Installation sowie die des sicheren und störungsfreien Betriebs. Im Hinblick auf die GoBS fehlen noch die Beschreibungen der Programme und die Verfahrensdokumentationen samt Handlungs-Anweisungen. Diese müssen in Form von - von den Herstellern zu liefernder - Programm-Dokumentationen und individueller Ablauf-Beschreibungen beigestellt bzw. erstellt werden. Eine wichtige Forderung der GoBS lässt sich durch Beachtung der IT-Grundschutzkataloge und von ITIL zumindest teilweise erfüllen: die nach einem Internen Kontroll-System (IKS). Viele der Prozesse schließen eine laufende Überprüfung von Wirksamkeit und Sicherheit mit ein. Die aus fiskalischer Sicht kritischen Abläufe rund um korrektes Abrechnen und Verbuchen bedürfen aber in jedem Falle der gesonderten Betrachtung. ZusammenfassungUnternehmen sind durch verschiedene Gesetzte und Verordnungen dazu angehalten, ihre IT sicher aufzustellen sowie die Prozesse nachvollziehbar und transparent zu gestalten. Abgesehen davon, dass sie ihre Strukturen und Abläufe allein schon deshalb sachlich richtig aufsetzen müssen, damit sie ihre Geschäftsziele erreichen können, müssen sie auch viele formale Anforderungen einhalten. Insbesondere die GoBS von 1995 sind dafür ein beredtes Beispiel, geben andererseits aber auch einen umfassenden Rahmen vor. Mit gutem ITSM lässt sich dieser zum großen Teil füllen. Der Rest ist Fleißarbeit, die sich auch softwaregestützt erledigen lässt. Unternehmen, die ihre IT nach den hier erwähnten Regeln aufstellen und entsprechend betreiben, sind auf dem besten Weg zur Compliance. Und Compliance nützt niemanden mehr als den Unternehmen selbst. © Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialBetriebsprüfung bei Kleinunternehmen nur alle 50 Jahre? Aus dem BMFFAQ des BMF zur Einführung der E-Rechnungspflicht PaketAus der FinanzverwaltungNeue Task Force zur Geldwäschebekämpfung in Schleswig-Holstein (IT-)ManagementBSI veröffentlicht Bericht zur Lage der IT-Sicherheit in Deutschland Geschenkidee„Tax Quiz“ – Lernkartenspiel zu den GoBD (Andrea Köchling) Aus dem BMFErgebnis der steuerlichen Betriebsprüfung 2023 Aus dem BMF(IT-)ManagementLiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Partner-PortalVeranstalter |
04.12.2024