Compliance für SOA

Vertrauen ist gut, interne Kontrolle besser

07. November 2008
Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
Die rechtzeitige und umfassende Berücksichtigung von Compliance-Anforderungen durch Service-basierte interne Kontrollsysteme (IKS) ist für SOA-Einführungen ein Muss. Doch nach Ansicht der Management-Beratung Detecon International fristen SOA-konforme IKS nach wie vor ein Mauerblümchen-Dasein.
Eine servicebasierte IKS-Implementierung erfüllt sowohl Compliance-Anforderungen für Geschäftsprozesse als auch für die aufgerufenen Services.
Eine servicebasierte IKS-Implementierung erfüllt sowohl Compliance-Anforderungen für Geschäftsprozesse als auch für die aufgerufenen Services.

Die Automobil-, Medizintechnik- oder Prozessindustrie verfolgt bereits sämtliche Geschäftsvorfälle nach und dokumentiert sie - von der Entwicklung bis zur Finanzbuchhaltung. Geschäftsprozessschritte werden analysiert und an bestimmten Schnittstellen mit Kontrollpunkten versehen - etwa zwischen Produktionssystemen und Geschäftsanwendungen. In anderen Branchen ist das jedoch nicht die Regel.

Dabei ist ein internes Kontrollsystem unerlässlich: Zu diesem Schluss kommt das Opinion Paper "Service-orientierte Architekturen (SOA) als Chance für effiziente IKS-Implementierung" der Management-Beratung Detecon International. Wer SOA implementieren möchte, benötigt demnach zur Erfüllung regulatorischer Anforderungen bereits in einer frühen Phase ein Service-orientiertes, effizientes sowie flexibel IKS.

"Traditionelle" IKS genügen diesen Anforderungen meist nur unzureichend, denn es fehlt an der notwendigen Flexibilität, um auf Änderungen in der Organisation, in den Geschäftsprozessen oder im IT-Umfeld rasch zu reagieren. Dort sind die einzelnen Kontrollen meist in Form zusätzlicher Arbeitsschritte in bestehende Prozesse eingebunden.

Wiederverwendbare Kontrollen

Der Vorteil eines Service-orientierten IKS besteht darin, dass einzelne Kontrollen an Service-Schnittstellen und nicht an einzelne Arbeitsschritte innerhalb der Services geknüpft werden. Damit erfüllen nicht nur Geschäftsprozesse regulatorische Vorgaben, sondern auch die zugrundeliegenden Services bzw. Geschäftsfunktionen.