Auch Pharma-Firmen nehmen Euro-SOX noch nicht ernst genug
(03.11.2008, Pharma-Zeitung.de)
Die Wirtschaft nimmt die ab Ende Juni des Jahres gültigen Richtlinien Euro-SOX offenbar noch nicht ernst, und dazu gehören auch die Pharma-Unternehmen. So ist nach einer Erhebung der exagon consulting GmbH einem Großteil der Unternehmen noch nicht klar, ob sie selbst den damit verbundenen Pflichten unterliegen. Gleichzeitig fühlen sich viele Firmen auch nicht ausreichend darauf vorbereitet, legen aber trotzdem kein besonders großes Engagement an den Tag, um die gesetzlichen Anforderungen zu erfüllen.
Besonders hapert es dabei an dem internen Kontrollsystem. Nur 47 Prozent glauben, dass es hohen Ansprüchen gerecht werden könnte. Auch das Riskmanagement sieht jeder Zweite nicht auf einem Level, das den Anforderungen von Euro-SOX entsprechen würde. Brisant ist dies für das Management der Unternehmen deshalb, weil sie persönlich haften, sofern keine nachweisbare Dokumentation beispielsweise des internen Kontrollsystems (IKS), Revisionssystems und Risk-Managements besteht.
Das IT Service Management spielt eine zentrale Rolle
Und daran knüpft sich die Frage nach dem IT Service Management (ITSM). Es hat deshalb eine herausragende Rolle, weil es in alle Kontrollsysteme hineinspielt. Insofern: Wer sein IT Service Management (ITSM) nicht in Ordnung hat, wird die Anforderungen von Euro-SOX kaum erfüllen können, weil in der EU-Richtlinie explizit auf die Informationssicherheit und die Dokumentation der IT-Infrastruktur samt ihrer Prozesse ein besonderes Augenmerk gelegt wird. So macht sie zur Pflicht, dass bei der Bewertung durch Abschlussprüfer „internationale Standards“ anzulegen sind. Diese Anforderung läuft letztlich darauf hinaus, dass die Unternehmen in Richtung einer Zertifizierung der Informationstechnik etwa durch ISO 27001 oder ISO/IEC 20000 denken müssen.
Allerdings ist davor zu warnen, sich diesem Thema erst dann zu widmen, wenn die Prüfung bevorsteht. Nach immer wieder bestätigten Praxiserfahrungen weisen die Prozessstrukturen vielfach deutliche Mängel auf und machen deshalb umfangreichere Maßnahmen erforderlich. Die IT-Prozesse lassen sich nicht im Handumdrehen den Anforderungen anpassen, deshalb bedarf es einer frühzeitigen Analyse der gegebenenfalls erforderlichen Verbesserungen oder Anpassungen der bestehenden ITSM-Verhältnisse. Dabei muss nicht zwangsläufig auf eine Zertifizierung hingearbeitet werden, die Orientierung an internationalen Standards ist aber in jedem Fall unerlässlich.
Controls für die Steuerungssysteme
Die sehr konkrete und gleichzeitig zentrale Frage für die Unternehmen lautet aber, wo sie die Messpunkte für die Steuerungssysteme setzen. Aus den typischen Regelwerken für die Gestaltung der IT-Prozesse wie Cobit oder ITIL können diese Controls für das Reporting nicht unmittelbar in Form einer fertigen Rezeptur abgeleitet werden. Wohl aber bieten diese Frameworks eine wesentliche Grundlage dafür und sind deshalb auch ein zentraler Bestandteil spezieller Lösungen wie beispielsweise Euro-SOX-Patronage. Sie unterstützt die Unternehmen darin, ein grundsätzliches Raster für die Messpunkte als Basis der Kontrollverfahren zu entwickeln, wodurch sich eine deutliche Zeit- und Aufwandsersparnis von mindestens 30 Prozent erreichen lässt.
Solch eine Struktur der Controls ist angesichts der meist sehr intransparenten und schlecht dokumentierten IT-Verhältnisse mit ihren vielfältigen und oft nicht standardisierten Prozessen keineswegs eine triviale Angelegenheit. Hinzu kommt, dass Euro-SOX es jedem Unternehmen freistellt, wie die Vorschriften umgesetzt werden. So enthält die Richtlinie anders als das amerikanische Vorbild keine konkreten Vorschriften, wie die IT-Systeme auf ihre Wirksamkeit beziehungsweise auf Schwachstellen zu prüfen sind.
Umso wichtiger ist deshalb zur endgültigen Definition der Controls eine frühzeitige und enge Abstimmung mit den Wirtschaftsprüfern. Denn aufgrund der relativ unkonkreten Richtlinien mit ihren großen Interpretationsspielräumen sind sie letztlich der Maßstab für das Testat. Insofern muss mangels verbindlich definierter Detailbewertungen zunächst eine übereinstimmende Festlegung der Anforderungen vorgenommen werden.
Fazit:
Damit ist für ein Business bzw. an der Wertschöpfung orientiertes dynamisches IKS der Weg frei. Wirtschaftprüfer werden diesem Gedankengang gerne folgen, lehnt es sich doch an der neuen IDW PS 261 (ISA 315/330) ehemals IDW PS 260 an. Die ISA sprechen nunmehr vom "Verstehen der Einheit und ihrem Umfeld" statt von "Kenntnissen über die Geschäftstätigkeit".
Damit können die Anforderungen an ein internes Steuerungs- und Überwachungs-system(IKS) wertschöpfungsorientiert und mit einem „Nutzen-Plus“ umgesetzt werden.
Über exagon consulting & solutions gmbh
Über exagon:
Die exagon consulting & solutions GmbH ist seit 1994 als unabhängiges IT-Beratungsunternehmen am Markt etabliert. Der Geschäftsfokus richtet sich auf die ganzheitliche Unterstützung ihrer Kunden bei der Einführung eines professionellen IT-Service Management, hinsichtlich der strategischen, organisatorischen wie auch operativen Aspekte. Dabei beinhaltet das exagon Leistungsportfolio sowohl Beratungsleistungen wie umfangreiche Schulungsangebote. Zu den Kunden gehören Unternehmen und Institutionen wie BASF, Bayer, das Bundesverteidigungsministerium, DEKRA, Deutsche Bank, Heraeus, Hessische Zentrale für Datenverarbeitung, Postbank, T-Systems, TÜV Süd, Vodafone D2 und die Deutsche Woolworth.
www.exagon.de
Weitere Informationen anfordern
Kontaktieren Sie den Autor um weitere Informationen zu erhalten. Füllen Sie das folgende Formular aus und erhalten Sie kostenfrei und unverbindlich weitere Informationen vom Anbieter.
Weitere Pressemitteilungen von exagon consulting & solutions gmbh
