Erfüllung von Compliance-Aufgaben
Ein Großteil der Compliance-Kontrollmechanismen liegt im Aufgabenfeld der IT
Am effektivsten ist die Lösung aller Compliance-Aufgaben mit einer einzigen, umfassenden Compliance-Plattform und einem Compliance-Programm
(27.11.06) - Compliance bezeichnet eine Managementaufgabe, deren Zweck die Einhaltung aller branchenübergreifenden (z.B.Sarbanes-Oxley Act), branchenspezifischen (Basel II) oder US-amerikanischen (OMB Circular A-123) bzw. nationalen Gesetze und Vorschriften ist. Organisationen sind verpflichtet, Compliance-Richtlinien, -prozeduren und -kontrollmaßnahmen zu definieren, zu überwachen und zu validieren, schnell Korrekturmaßnahmen zu treffen und kontinuierliche Audits durchzuführen, um sicherzustellen, dass ihre Compliance-Maßnahmen wirksam sind und die Auflagen an das Berichtswesen erfüllt werden.
Compliance ist von Unternehmen mit hoher Priorität zu behandeln, da die Nichteinhaltung von Compliance-Auflagen signifikante Strafen zur Folge haben kann. Compliance-Management-Lösungen von CA können Organisationen bei der Automatisierung dieser Prozesse unterstützen, damit den verantwortlichen Personen die erforderlichen Informationen sofort zur Verfügung stehen, verschiedenste Richtlinientypen überwacht und gegebenenfalls automatisch Korrekturmaßnahmen eingeleitet werden sowie die Problemlösung nachverfolgt wird, um so die kontinuierliche Einhaltung von Regierungs- und Behördenauflagen zu gewährleisten.
Was ist Compliance?
Ein Großteil der Compliance-Kontrollmechanismen liegt im Aufgabenfeld der IT. Aus diesem Grund ist es wichtig, das interne Kontrollsystem sorgfältig zu überprüfen:
>> Prozesssteuerung
>> Systemzugriffssteuerung
>> Gewaltentrennung
>> Prozeduren für Systemänderungen (Änderungsmanagement)
>> Integritätssteuerung
>> Überwachung/Reporting
>> Reaktive Maßnahmen
>> Notfall- und Recovery-Maßnahmen
Allgemeine Compliance-Anforderungen
Globale Transparenz
>> Bessere Sichtbarkeit von unternehmerischen Risiken und Unternehmensleistung
>> Wahrung von Unternehmenswert und Anlegervertrauen
Kosteneffiziente Compliance-Umsetzung
>> Verbesserung der betrieblichen Effizienz
>> Senkung der laufenden Kosten
>> Anpassungsfähige und flexible Rahmenbedingungen
>> Automatische Kontrollmechanismen
Einhaltung zwingender Vorschriften
>> Entwicklung und Dokumentation nachhaltiger, wiederholbarer Richtlinien, Prozeduren und Kontrollmechanismen
>> Sicherstellung der korrekten Definition von Funktionen und Zugriffsberechtigungen
>> Wertschöpfung für das Unternehmen durch Nutzung von Compliancemaßnahmen als Grundlage besserer Unternehmensentscheidungen
Warum Compliance für die DNA der Organisation unverzichtbar ist
Die Einhaltung gesetzlicher Auflagen ist längst keine rein rechtliche Angelegenheit mehr, sondern eine wichtige Unternehmensfunktion. Echte Compliance muss tief im Kern eines Unternehmens verankert sein – sozusagen in der DNA.
Ein Unternehmen benötigt Rahmenbedingungen, ein Grundverhalten und eine unternehmensweite Verwaltungsstruktur als Grundlage von Effizienzsteigerungen – völlig unabhängig davon, welche gesetzlichen Auflagen für das Unternehmen gelten. Ebenso erfordert Compliance die Fähigkeit, Unternehmens- und Compliance-Anforderungen in echte Lösungen für den gesamten IT-unterstützten Unternehmensbetrieb zu übersetzen.
Die Verwaltung von Prozessen, Zugriffssteuerung, Identitäts-, Konfigurations- und Speichermanagement sind Kernkomponenten jeder Compliance-DNA, die wiederum zur Unterstützung vielfältiger Compliance- und Corporate-Governance-Fragen eingesetzt werden kann. Es handelt sich dabei nicht um einen einmaligen Vorgang, sondern um eine kontinuierliche Anforderung während des gesamten Informationslebenszyklus im Unternehmen.
Am effektivsten ist die Lösung aller Compliance-Aufgaben mit einer einzigen, umfassenden Compliance-Plattform und einem Compliance-Programm. Unternehmen, die Compliance-Aufgaben proaktiv, konsequent und umfassend umsetzen, erfüllen nicht nur die regulatorischen Auflagen, sondern steigern auch die Effizienz ihres Unternehmens. Umgekehrt zahlen Unternehmen, die versuchen, Compliance-Auflagen zu umgehen, den höchsten Preis und profitieren am wenigsten von ihren Bemühungen.
Es gibt Überschneidungen zwischen den verschiedenen Compliance-Anforderungen. Empfehlenswert ist es daher, eine Reihe allgemeiner Kontrollanforderungen auf Grundlage von Best Practices wie COBIT, ITIL, COSO und ISO 17799 aufzubauen – also die Compliance-Rahmenbedingungen und das Compliance-Grundverhalten.
Verwalten und Behandeln von Risiken mit internen Kontrollsystemen
Interne Kontrollsysteme sind Aktivitäten in einem Geschäftsprozess (ungeachtet der Branche oder Ebene) zur Verwaltung oder Behandlung von Risiken. Die Kontrollmechanismen können präventiv oder reaktiv funktionieren und manuell oder automatisch ausgeführt werden. IT-Kontrollmechanismen betreffen die gesamte Unternehmens-IT und deren Governance-Struktur.
Gemäß COSO sind für einen wirksamen Kontrollmechanismus fünf Komponenten erforderlich.
Kontrollumgebung
• Kontrolle dezentraler IT-Abläufe
• Besitzverhältnisse in Bezug auf
• Trennung von Aufgaben
• Vorleben ethischer Standards für die IT durch das Management ("Tone at the Top")
• IT-Organisationsstruktur
• IT-Personalwesen, -Training und -Kennzahlen
• IT-Richtlinien, -Prozeduren und -Standards
Risikobeurteilung
• IT-Portfoliomanagement
• IT-Bedarfsmanagement
• IT-Programmmanagement
• IT-Änderungsmanagement
• IT-Service-Level-Management
• IT-Risikomanagement
• Vorhandensein einer SDLCMethodik
• Strategische IT-Planung
• Management von ITFehlerbehebung und -Tests
• IT-Lieferantenmanagement
• IT-Outsourcing-Management
Information und Kommunikation
• IT-Wissensmanagement
• IT-Programmmanagement und Reporting
• Kommunikation zwischen Finanzwesen und IT
• Einbindung und Zufriedenheit von IT-Benutzern
Kontrollaktivitäten
• Dokumentation von IT-Prozessen
• Dokumentation von Systemen und Kontrollmechanismen
• Trennung von IT-Aufgaben
• Automatische Anwendungskontrollmechanismen
• Verwendung automatisch generierter Informationen
• Prozeduren zur Änderungskontrolle
• Sicherheit von Daten und anderen ITVermögenswerten
• Prozeduren zur Anwendungs-/Datensicherung
• Disaster-Recovery/Business Continuity
• Softwarevertragsa-Audits
Überwachung
• Automatische Erkennung und Verwaltung von IT-Ressourcen
• Erkennung von Eindringversuchen
• Interne IT-Audits
• Überwachung der ITLeistungsfähigkeit
Wichtige Begriffe:
COSO-Überblick:
Bericht des "Committee of Sponsoring Organizations" of the Treadway Commission (COSO): Internal Control-Integrated Framework (integriertes internes Kontrollsystem).
COBIT:
Control Objectives for Information and related Technology. COBIT wurde 1996 als System allgemein anwendbarer und akzeptierter Governance- und Kontrollmaßnahmen für die Informations-technologie (IT) eingeführt. Es überbrückt die Lücken zwischen unternehmerischen Risiken, Steuerungsbedarf sowie technischen Problemen und dokumentiert Best Practices.
ISO 17799:
Umfassende, international anerkannte Kontrollmechanismen einschließlich Best Practices bei der Informationssicherheit. ITIL-Referenz:
Eine 1983 von einer britischen Regierungsbehörde entwickelte IT-Integrationsbibliothek zur Bewertung der IT-Abläufe bei der Abwicklung von Regierungsaufträgen, in der die Prozesse und Aktivitäten zur Unterstützung von ITDienstleistungen definiert sind.
Die Bedeutung der IT
Unternehmen benötigen umfassende, präzise Informationen, um Entscheidungen zu treffen und den laufenden Betrieb zu führen. Diese Informationen werden von ITS-ystemen bereitgestellt. Ohne diese umfassenden, präzisen Informationen können Unternehmen nicht von einem ordnungsgemäßen Risikomanagement ausgehen.
Die Technologie leistet also einen wichtigen Beitrag zur Umsetzung von Risikomanagementprozessen. Eine Organisation ist mit einem Gebäude vergleichbar. Die IT stellt in diesem Gebäude das Fundament dar, also die Infrastruktur, auf der die gesamte Konstruktion ruht. Schwachstellen im Fundament könnten Schäden verursachen. Schlimmer noch, das Gebäude könnte in sich zusammenbrechen, beispielsweise durch Betrug oder Bankrott.
Integrierte Sicht auf Risiko und Compliance
Erreichen eines nachhaltigen Compliance-Programms
Unternehmen sollten im Hinblick auf ein nachhaltiges Compliance-Programm eine dreistufige Compliance-Infrastruktur aufbauen, die wiederholbares, zuverlässiges Handeln ermöglicht. Das Ziel ist es:
Menschen zu verbinden
• Festlegen neuer oder geänderter Funktionen und Zuständigkeiten zur Definition und Zuweisung der Verantwortlichkeit für Compliance und Offenlegungsmaßnahmen
• Einrichten von Schulungsinitiativen mit neuen Schulungsplänen und Standards
• Ermöglichen eines vielfältigen, offenen Kommunikationssystems in der Gesamtorganisation
Prozesse zu verbessern
• Einrichten von Prozessen zur Bewertung, Überprüfung, Anpassung, Überwachung und Zertifizierung interner Kontrollmechanismen auf vierteljährlicher oder ganzjährlicher Basis
• Integration von Aktivitäten zur Risikoidentifizierung, Bewertung von Kontrollmechanismen und Überwachung in die täglichen betrieblichen Abläufe des internen Kontrollmanagements
• Besseres Verständnis der Unternehmensabläufe
• Einrichten fortschrittlicher Compliance-Management-Prozesse
Technologie zu optimieren
• Bewertung und Implementierung von Technologien zur Verwaltung interner Kontrollmechanismen
• Entwurf und Implementierung von Technologie zur Verbesserung der Steuerungs- und Überwachungsprozesse
• Implementierung einer zentralen Anzeige, die Ansichten der Reporting- und Überwachungsinformationen zur finanziellen und internen Kontrolle sowie zu Qualitätskennzahlen und Compliance-Status bietet
• Ermöglichen von Überwachungs-, Reporting- und Analysefunktionen in Echtzeit
• Nutzung vorhandener und/oder Implementierung neuer Technologien
Managementvorteile durch Compliance
Proaktive, umfassende und konsequente Compliance-Maßnahmen können zu Effizienzsteigerungen und Kostensenkungen beitragen, wodurch sich die Unternehmensleistung in dreifacher Hinsicht verbessert:
Geringeres Risiko
>> Weniger Negativberichterstattung
>> Weniger Sicherheitsverletzungen, dadurch geringere Ressourcenbelastung
>> Bessere Transparenz der Unternehmensabläufe, um geeignete Korrekturmaßnahmen zu erlauben
>> Höhere Flexibilität
Höhere Effizienz
>> Besseres Verständnis und Optimierung vorhandener interner Kontrollmechanismen
>> Geringerer Bedarf an Help Desk-Ressourcen (bis zu 50 % aller Support-Anfragen beziehen sich auf eine
Kennwortrücksetzung)
>> Höhere Produktivität, da Mitarbeiter dank automatischer Kontobereitstellung schneller Zugriff auf interne
Anwendungen erhalten
>> Niedrigere laufende Kosten (durch zentrale Verwaltung aller Benutzeridentitäten und Zugriffsrechte sinken
die Verwaltungskosten)
Gesteigerte Effektivität
>> Besseres Verständnis und Optimierung vorhandener interner Kontrollmechanismen
>> Besserer Zugriff auf zeitnahe Informationen, dadurch erleichterte Budgetierung, Planung und Analyse
>> Erhöhte Wettbewerbsfähigkeit
>> Fundiertere Geschäftsentscheidungen
>> Höhere Flexibilität zur Nutzung neuer Chancen
>> Automatisierung von Kontrollmechanismen zur Verbesserung der Transparenz
Compliance-Lösungen von CA
Compliance ist eine Tatsache, und sie wird durch mehr und mehr Gesetze und Richtlinien zukünftig noch komplexer werden. Unkoordinierte Compliance-Bemühungen sind zum Scheitern verurteilt und verschlingen Ressourcen, Zeit und Geld. Eine gut konzipierte und ausgeführte Compliance-Plattform und ein entsprechendes Compliance-Programm können einen wertvollen Beitrag zur Verbesserung des Unternehmenserfolgs leisten und so beträchtliche Vorteile mit sich bringen.
Die Compliance-Lösungen von CA tragen zu Datenschutz und Datensicherheit bei und ermöglichen die Verwaltung und den Audit von Systemen und Informationsänderungen im Rahmen von Compliance-Maßnahmen. Außerdem tragen sie zur Automatisierung bei, bieten Schutz vor nicht autorisierten Aktionen und identifizieren Compliance-Verstöße.
Das breit gefächerte Sortiment von Management-Software-Lösungen von CA für die Automatisierung von Kontrollmechanismen, die als Compliance-Auflagen zwingend erforderlich sind, bietet gleichzeitig die Fähigkeit, die kurzfristigen Anforderungen zu erfüllen und die Investition durch die Implementierung von Best Practices für zukünftige komplexe und dynamische Unternehmensanforderungen langfristig zu nutzen.
Sicherheitsmanagement
Die "eTrust"-Compliance-Plattform von CA umfasst eine Reihe integrierter Lösungen, mit denen Unternehmen ihre internen IT-Kontrollmechanismen deutlich vereinfachen und automatisieren können. Sie ist somit ein wichtiger Bestandteil eines erfolgreichen Programms zur Einhaltung von Compliance-Auflagen. Sie bietet Identitätsmanagement, Zugriffsmanagement, Provisionierung und Überwachung/Auditing in einer einzelnen, integrierten und umfassenden Plattform. Sie ermöglicht Kunden die Stärkung ihrer internen IT-Kontrollmechanismen zur Verbesserung der Sicherheit und des Datenschutzes in der gesamten Umgebung.
Business Service Optimization
BSO-Lösungen (Business Service Optimization) von CA unterstützen Compliance- und Risikomanagementinitiativen, indem sie COBIT-Kontrollmaßnahmen (auf Anwendungsebene und allgemeiner IT-Ebene) durch eine breite Unterstützung von ITIL-Prozessen (Incident-, Problem-, Änderungs-, Konfigurations-, Release-, Service-Level- und Finanzmanagement) automatisieren. Unsere BSO-Lösungen bieten Echtzeitinformationen zu IT-Vermögenswerten über Desktop-, Lizenz- und Servicefunktionen hinweg. Sie liefern einen standardisierten Kontrollmechanismus zur Verwaltung, Verfolgung und Dokumentation von Änderungen an den ITSystemen und eine Portfolioansicht aller IT-Projekte, Assets und Ressourcen.
Enterprise Systems Management
ESM-Lösungen (Enterprise Systems Management) von CA unterstützen die Compliance-Anforderungen der IT-Infrastruktur durch die Integration des IT-Betriebsmanagements. Diese Lösungen ermöglichen die Nutzung bestehender Investitionen in Managementtechnologien, stellen eine ordnungsgemäße Verwaltung von Netzwerken und Systemen, eine Optimierung von Aufträgen und Ereignissen durch Automatisierung, die leistungsorientierte Verwaltung von Anwendungen und Datenbanken und die Bereitstellung und Konfiguration von Desktops und Servern sicher.
Storage-Management
Storage-Management-Lösungen von CA ermöglichen die Optimierung von Investitionen in Speicherlösungen und tragen zusätzlichen Speicheranforderungen zur Erfüllung gesetzlicher Auflagen und Unternehmensrichtlinien Rechnung. CA bietet integrierte Lösungen für Storage-Management und Datenverfügbarkeit vom Laptop bis hin zum Mainframe und ermöglicht somit skalierbare und kostengünstige Datensicherheit und Wiederherstellbarkeit von Daten im Katastrophenfall. Intelligente Storage-Management-Lösungen von CA ermöglichen Organisationen die Vereinfachung, sichere Verwaltung und den Schutz von Informationen und Speicherwerten, während sie gleichzeitig eine optimale Ausrichtung an den Unternehmenszielen bieten. bessere Erträge aus IT-Investitionen. (CA: ra)