Software für die Compliance im Unternehmen
Die Münchner Econet AG hat eine Publikation mit einer Untersuchung von Gartner zum Thema Compliance und Risk Management veröffentlicht.
Risiko-Management, Corporate Governance und Compliance seien Herausforderungen, denen sich IT-Verantwortliche gegenwärtig zu stellen haben, heißt es darin.
Die zunehmende Unübersichtlichkeit bei Systemen, Anwendern und Ressourcen stelle die bisherige Praxis bei der Verwaltung und Kontrolle von Zugriffsrechten in Frage. Hinzu kämen Richtlinien und Gesetze – wie etwa die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU), das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG), das Bundesdatenschutzgesetz und EuroSOX, die kommende achte EU-Richtlinie.
Econet empfiehlt als Lösung den eigenen Ansatz. Der Knackpunkt beim Aufbau einer Compliance-konformen IT sei der schrittweise Aufbau einer Management-Lösung für Benutzer, Identitätsdaten, Rechte und Ressourcen, hieß es. Mit dem Econet-Produkt ‘cMatrix’ lasse sich ein System schaffen, das die Basis für regulatorische Maßnahmen auf dem Gebiet unternehmensweiter Zugriffsrechte bilde.
In einem ersten Schritt erhalten IT-Abteilungen damit die Möglichkeit, Berechtigungen aus historisch gewachsenen Dateistrukturen per Werkzeug auszulesen. Damit lassen sich bereits erste Fragen klären – wie etwa zu Dateiberechtigungen. Anschließend können Datei- und Rechtestrukturen automatisiert in eine frei wählbare Zielstruktur übernommen werden.
Aus den Analysen des Ist-Zustandes und den Vorgaben über die neue Dateistruktur lassen sich Reports über potenzielle Auswirkungen und Abläufe des Zielszenarios generieren. Nach der Prüfung und Freigabe des Reports durch Fachabteilungen und Administration strukturiert die Lösung die Dateisysteme entsprechend der Vorgaben neu. Darüber hinaus werden die Dateistruktur reorganisiert und Berechtigungen aktualisiert.
Als nächsten Schritt zur Erfüllung regulatorischer Anforderungen an die IT nennt Econet die Einführung eines standardisierten und automatisierten Fileservice Managements. Damit sind IT-Administratoren in der Lage, Dateistrukturen und Berechtigungen regelbasiert zu verwalten. Klar definierte Prozesse für die Versorgung von Abteilungen, Projektgruppen und einzelne Mitarbeiter mit Projekt- und Dateiablagen sorgen dafür, einen erneuten Wildwuchs zu verhindern.
Um Risiken wie nicht gelöschte Benutzerkonten ehemaliger Mitarbeiter, inkonsistente Zugriffsbedingungen oder die Fehler bei der manuellen Administration zu vermeiden, sei ein umfassendes Management von Anwendern und Identitäten, Rechten und Ressourcen nötig. Hier könnten Provisioning-Lösungen helfen. Dazu gehören die Erstellung und Verwaltung digitaler Identitäten und Kennungen, die Realisierung von Rollen- und Mandanten-basierten Berechtigungskonzepten, Self-Service-Funktionen mit gesicherten Genehmigungs- und Freigabe-Workflows sowie Reporting- und Audit-Funktionen.
“Die kürzlich verabschiedete achte EU-Richtlinie besagt, dass börsennotierte Unternehmen und Organisationen öffentlichen Interesses interne Kontrollsysteme und gegebenenfalls interne Revisions- und Risikomanagement-Systeme aufsetzen und deren Wirksamkeit gewährleisten müssen”, sagte Max Peter, CEO von Econet.
Diese Vorschrift müsse ab dem 29. Juni 2008 in nationales Recht umgesetzt werden und nehme in hohem Maße auch Einfluss auf die IT im Unternehmen. Bei der Einhaltung der Compliance im IT-Umfeld sei ein zentraler Aspekt, wer auf welche Informationen im Unternehmensnetzwerk zugreifen könne. Dass Management und Aufsichtsrat unter Umständen persönlich haftbar gemacht werden können, sei hinlänglich bekannt.
“Vielen IT-Verantwortlichen fehlt es jedoch sowohl an praxisorientierten Informationen, als auch an Tools, um die Herausforderungen zeitgerecht meistern zu können.” Die Untersuchung von Gartner ‘The 2007 Compliance and Risk Management Planning Guidance: Governance Becomes Central’ ist online erhältlich.