Zentrale Komponenten von IT-Governance identifizieren

Der Druck auf Governance- und Compliance-Themen wird sich in den kommenden Jahren weiter signifikant erhöhen. Sarbanes-Oxley-ähnliche Gesetzeswerke wurden in Ländern wie Japan, Korea und Indien verabschiedet. Auf EU-Ebene werden die Governance-Anforderungen mit der 4., 7. und 8. EU-Richtline deutlich verschärft. Das im Januar 2007 in Deutschland verabschiedete Transparenzrichtlinien-Umsetzungsgesetz (TUG) enthält neben dem sogenannten "Bilanzeid", den Vorstände künftig zu leisten haben, auch erstmals die Androhung von Freiheitsstrafen gegen Vorstände bei Verstößen gegen dieses Gesetz.

IT muss zwingender Bestandteil der Compliance-Prozesse sein, um eine effiziente Umsetzung der regulatorischen und gesetzlichen Anforderungen zu ermöglichen. Dabei lässt sich das Thema IT-Compliance in prozessbezogene Bestandteile (z.B. Umsetzung von integrierten Kontrollen in Geschäftsprozessen) und infrastrukturbezogene Bestandteile (z.B. zuverlässige Datenbanken, umfassender Virenschutz, etc.) differenzieren.

Bei ersteren geht es meist um die Ausgestaltung von immanenten Kontrollen durch Customizing oder die Umsetzung von Vier-Augen-Prinzipien mittels Berechtigungsvergabe. Für die IT-Infrastruktur können Compliance-Anforderungen in höherem Maße standardisiert werden; daher bietet sich die Nutzung vorhandener Best Practice Benchmarks in Form von Standards und Rahmenvorgaben (Frameworks) an.

Peter Ratzer ist Berater für IT-Strategie bei Deloitte.