Sie sind hier: Home » Markt » Interviews

Interview mit Holger Schellhaas, evoltas


IT-Governance-Experte Holger Schellhaas: Compliance-Management - Zwang zur Transparenz leistet Beitrag zur Performance-Verbesserung
Weltweit mehr als 25.000 Regulierungen und gesetzliche Auflagen zur Kontrolle und Transparenz im Unternehmen oder zur Dokumentationspflicht von Geschäftsabläufen


(26.01.07) - IT-Governance Experte Holger Schellhaas, evoltas solutions ltd, aus München und berät Unternehmen beim Umsetzen von IT Governance. Auf dem "Business Circle Seminar - COBIT 4.0 - Fit für EuroSOX, SOX" etc. gibt Holger Schellhaas einen Überblick über die wichtigsten Compliance Anforderungen an die IT. Als Gastsprecher ist Dr. Alexander Renner dabei, IT-Chef von Boehringer Ingelheim und CIO des Jahres 2006. Michael Ghezzo hat mit ihm ein Gespräch über die Bedeutung von Compliance geführt.

Michael Ghezzo: Und wieder ein neuer Begriff, ein neues "Buzzword" in der IT: Compliance. Was ist das eigentlich?

Holger Schellhaas:
Ein Beispiel: Sie wollen, dass mit Hilfe der eingesetzten IT die Geschäftsziele abgedeckt, Ressourcen verantwortungsvoll eingesetzt und Risiken angemessen überwacht werden? Klar, keine Frage! Dann haben Sie bestimmt Grundsätze, Verfahren und Maßnahmen etabliert, die dies garantieren. Wie Sie die Anforderungen Ihrer Anwender in Systemlösungen überführen, Ihren Systembetrieb aufrechterhalten, Ihre IT-Sicherheit im Griff haben - das alles haben Sie dokumentiert und Sie kontrollieren es auch kontinuierlich. Dann haben Sie genau das, was IT-Compliance fordert, bereits weitgehend umgesetzt.

Weltweit gelten mittlerweile mehr als 25.000 Regulierungen und gesetzliche Auflagen zur Kontrolle und Transparenz im Unternehmen oder zur Dokumentationspflicht von Geschäftsabläufen - wie die GDPdU, GoBS, Basel II, KonTraG, Solvency II, FDA-Compliance oder der Sarbanes-Oxley-Act, die sich über alle Branchen hinweg massiv auf die IT auswirken. Bereits auf der zweiten September-Plenartagung am 28. September 2005 in Straßburg stimmte eine breite Mehrheit im Europäischen Parlament für die "EurooSOX"-Richtlinie, so dass sich auch Regelungen, die eigentlich nur für die an der US-Börse notierten Firmen gedacht war, in Euroopa durchsetzen. Darüber hinaus entstehen Compliance-Erfordernisse durch Anforderungen von nationalen und internationalen Kunden und Lieferanten, wenn beispielsweise ein US-Investor oder ein US-Großkunde dies fordert.

Ghezzo: Was ist konkret zu tun? Was ist "essential - nice-to-have - luxury"?

Schellhaas:
Es wird viel Panik vor allem über die neuen Gesetze und Normen verbreitet. Viele Inhalte dieser Gesetze werden aber zumindest teilweise schon längst in den Unternehmen aufgrund bestehender Regelungen befolgt. Vieles gebietet der gesunde Menschenverstand und die unternehmerische Logik, vieles ist allerdings nicht sauber dokumentiert. Wirklich neu ist, dass die IT mittlerweile im Visier der Wirtschaftsprüfer ist - kein Wunder, wenn immer mehr Geschäftsprozesse von der IT durchdrungen sind. Hier liegt auch die Chance des Compliance Managements: Der Zwang zur Transparenz leistet einen nicht unerheblichen Beitrag zur Performance Verbesserung. Compliance rentiert sich also! Wichtig ist, eine IT Compliance Roadmap zu erstellen, anhand der der zuständige Wirtschaftsprüfer oder Auditor sehen kann, dass die IT auf dem richtigen Weg ist. Dann kann man mit realistischen Schritten die IT Compliance schrittweise umsetzen.

Seit COBIT 4.0 ist in der IT die Welt wieder in Ordnung: Das COBIT-Modell (Control Objectives for Information and related Technology) wurde von Revisoren aus der Industrie und dem Berufsstand (ISACA - Information Systems and Control Association) auf Basis bestehender Revisionsrichtlinien, Kontrollmodellen und branchenspezifischen Regularien und Richtlinien entwickelt. Bei der Entwicklung galt es, ein Rahmenmodell zur Verfügung zu stellen, mit dem die Ausrichtung der eigenen IT in Bezug auf die unternehmerischen Ziele messbar und steuerbar ermöglicht wird. Mit der neuen Version 4.0 - an der deutschen Fassung hat die KPMG maßgeblich mitgewirkt - hat sich ein bewährtes Verfahren etabliert, mit dem es gelingt, ein "Audit-fähiges" Kontrollsystem mit vertretbarem Aufwand zu entwickeln und ungeliebte Auflagen letztlich in Erfolgsfaktoren umzumünzen.

Vor der umfassenden Neu-Ausrichtung nach den neuen Gesetzen muss allerdings gewarnt werden. "Wer mit beiden Füßen gleichzeitig läuft, stolpert" oder: E = Q*A - Effektivität = Qualität * Akzeptanz. Gleichzeitig kann aber auch die Einführung von COBIT ohne Berücksichtigung von bestehenden Best Practice-Modellen zum Projektmisserfolg führen. Bei Best Practices ist natürlich vor allem der de facto Standards ITIL hervorzuheben. Beide Ansätze ergänzen sich hervorragend in einem komplementären Sinne, da der Ansatz von COBIT der Kontrollgedanke ist und ITIL den Servicegedanken trägt.

Wie kriege ich die Kosten in den Griff und wie lässt sich Nutzen daraus ziehen?

Ghezzo: Schellhaas:
Es drängt sich natürlich die Frage auf, ob die Einführung von COBIT und damit von IT-Compliance kostenwirtschaftlich erfolgen kann und die aufgezwungenen Prozesse letztlich umfassende Vorteile mit sich bringen und nicht nur Strafen vorbeugen. Die Antwort ist ohne zu zögern "JA". Die Bedeutung von Information und den zugrunde liegenden Technologien ist zweifelsohne nicht nur akzeptiert, sondern mittlerweile auch wissenschaftlich bewiesen. COBIT ist der erste integrative Ansatz, der den Ansprüchen aus Kontrollgesichtspunkten ganzheitlich gerecht wird.

Risiko Management heißt, die Risiken in der IT und aufgrund der IT durch das Aufstellen eines angemessenen Risikobudgets zu bewältigen, d.h. es ist ein Prozess zu etablieren, in dem die IT-Risiken regelmäßig identifiziert, anhand von Kennzahlen auf ihre Geschäftsauswirkungen hin bewertet und in einer Risikomatrix nach Handlungsbedarf klassifiziert werden. Das lässt sich durchaus pragmatisch mit Hilfe strukturierter Templates und standardisierter Verfahren umsetzen. Die Praxis zeigt, wenn es gelingt, das interne Kontrollsystem in der IT effizient zu gestalten, führt dies zu deutlichen Einsparungen. Damit sich der Aufwand für diese Prozessqualität rechnet, ist eine sorgfältige Planung und Umsetzung erforderlich. (evoltas: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Interviews

  • Orientierung am "Goldstandard" DSGVO

    "Ich bin der festen Überzeugung, dass wir weltweit eine Art "Dominoeffekt" bei der Einführung von Datenschutzvorschriften sehen werden, die sich alle am "Goldstandard" DSGVO orientieren. Aber dies ist weniger auf die Corona-Pandemie zurückzuführen, sondern hat eher mit dem Druck der Bevölkerung zu tun, die nicht mehr bereit ist, rücksichtsloses Verhalten zu akzeptieren", Michael Hambsch, Director Solution Consulting Continental Europe bei Snow Software äußert sich zum Thema Umgang mit Datenschutz und -sicherheit.

  • Elektronischer Rechnungsaustausch

    Die Experten Prof. Dr. Georg Rainer Hofmann vom eco - Verband der Internetwirtschaft e.V., Stefan Groß vom VeR, Verband elektronische Rechnung sowie Ha Doan von Comarch diskutieren Status und Entwicklung der elektronischen Rechnung. Sie alle sind beim Impulstag Digitalisierung am 25.06. in Garching vor Ort und werden dort mit Mirjana Stanisic-Petrovic vom Fraunhofer IAO umfangreiche Einblicke in ihre Erfahrungen geben.

  • Test auf das Down-Syndrom

    Der Theologe und Vorsitzende des Ethikrates, Peter Dabrock, befürwortet die kostenlose Abgabe eines Bluttests zur Früherkennung der Trisomie 21 bei schwangeren Frauen. Angesichts der Rechtslage und im Vergleich zu dem, was schon bezahlt werde, sehe er keinen Grund dafür, weshalb die Gesetzliche Krankenversicherung (GKV) diesen Test auf das Down-Syndrom bei Risikoschwangerschaften nicht bezahlen sollte, sagte Dabrock der Wochenzeitung "Das Parlament" (Montagausgabe). Der Wissenschaftler von der Friedrich-Alexander-Universität Erlangen-Nürnberg geht nicht davon aus, dass mit der kostenlosen Abgabe eines solchen Tests die Zahl der Schwangerschaftsabbrüche stark steigt. Er sagte: "Wir haben jetzt schon eine sehr hohe Zahl an Abbrüchen nach identifizierter Trisomie 21. Die würde vielleicht noch etwas steigen, aber es würde nicht auf ein Vielfaches hochschnellen mit der Neuregelung." Was die Spätabtreibungen betreffe, dürften die Zahlen eher rückläufig sein. Dabrock betonte: "So zu tun, als würde mit dem nichtinvasiven Test ein Damm gebrochen oder eine Grenze überschritten, das trifft einfach nicht zu."

  • Gut für Anwälte, schlecht für Anwender

    Das Bundeskabinett hat einen Gesetzentwurf zum Datenschutz beschlossen. Das geplante Ausführungs- bzw. Anpassungsgesetz soll die ab Mai 2018 geltende EU-Datenschutz-Grundverordnung (DSGVO) in nationales Recht umsetzen. Im Folgenden bewerten und erläutern drei Experten den Gesetzentwurf: Dr. Stefan Brink: Landesbeauftragter für Datenschutz und Informationsfreiheit in Baden-Württemberg; Mitherausgeber eines der führenden Datenschutzkommentare in Deutschland, Jan Philipp Albrecht: Mitglied des Europaparlaments; Berichterstatter des EU-Parlaments für die DSGVO-Gesetzgebungsverfahren, und Tim Wybitul: Partner der Wirtschaftskanzlei Hogan Lovells; JUVE führt ihn als einen der führenden deutschen Rechtsanwälte im Datenschutz; Herausgeber der Zeitschrift für Datenschutz (ZD) und Autor des Praxisleitfadens EU-Datenschutz-Grundverordnung im Unternehmen. Die Fragen stellte Peter Herkenhoff, Corporate Communications Manager bei Hogan Lovells in Düsseldorf.

  • Forderungsmanagement: Aufgabe für die Kommune

    Kirsten Pedd, Präsidentin des Bundesverbands Deutscher Inkasso-Unternehmen (BDIU), kritisiert in einem Interview die schlechte Zahlungsmoral der öffentlichen Hand. Pedd sagt: "Kommunale Forderungen werden zu fast 90 Prozent vollständig und pünktlich beglichen. Die 10 Prozent, bei denen das nicht der Fall ist, bereiten aber Probleme."

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen