SERVIEW: ITIL und Compliance

Transkript

1 SERVIEW: ITIL und Compliance Seite 1 /7

2 ITIL und Compliance Definition des Begriffs Compliance (Quelle: Wikipedia): In der betriebswirtschaftlichen Fachsprache wird der Begriff Compliance verwendet, um die Einhaltung von Gesetzen und Richtlinien, aber auch freiwilligen Rahmenbedingungen in Unternehmen zu bezeichnen. Die Sicherstellung von Compliance in Unternehmen kann durch organisatorische Maßnahmen gestützt werden. Hierzu werden, vor allem bei Pharma-Unternehmen, Kreditinstituten und Finanzdienstleistern, Compliance- Abteilungen eingerichtet. Diese wachen beispielsweise darüber, dass die nationalen und internationalen Gesetze und Richtlinien eingehalten werden. Der Begriff Compliance bezeichnet die Gesamtheit aller Maßnahmen, die das regelkonforme Verhalten eines Unternehmens, seiner Organisationsmitglieder und seiner Mitarbeiter im Hinblick auf alle gesetzlichen Ge- und Verbote begründen. In diesem Zusammenhang tauchen immer wieder Schlagwörter wie SOX (Sarbanes-Oxley- Act) oder Basel II (die Baseler Eigenkapitalvereinbarung) auf. Mögen viele CIOs (vor allem im Mittelstand) das Thema bereits als Hype abgetan haben, handelt es sich um ein Thema, welches in den nächsten Monaten und Jahren im Schatten der aktuellen Finanz- und Eurokrisen erst richtig ins Rollen geraten wird. CIOs die sich nicht frühzeitig damit auseinander setzen, laufen Gefahr, davon überrollt zu werden. Wirtschaftskrisen und -skandale rücken den Begriff Governance und damit auch die Compliance in den Fokus In den USA rückten Wirtschaftsskandale (Enron und Worldcom), die auf geschönte Geschäftsberichte zurückgingen, den Begriff Governance in den Fokus. Dies führte 2002 zum Sarbanes-Oxley-Act (SOX), der durch Kontrollsysteme in der Rechnungslegung und die Beglaubigung der Richtigkeit der Jahres- und Quartalsberichte die Transparenz in den Unternehmen verbessern soll. SOX ist bindend für alle Unternehmen, die an der New Yorker Börse gelistet sind. Auch in Deutschland gibt es gesetzliche Vorgaben. Dazu gehören unter anderem das Handelsgesetzbuch und die Baseler Eigenkapitalvereinbarung (Basel II). Eine rigorose Überprüfung dieser Vorgaben findet allerdings noch nicht statt. Dabei ist es nur eine Frage der Zeit, bis auch hier auf eine konsequente Umsetzung geachtet wird. Eine europäische Variante des amerikanischen SOX ist bereits seit 2008 in Kraft. Eine effektive und effiziente Erfüllung der Compliance Vorgaben stellt für den CIO eine Kernaufgabe dar Unter diesem Gesichtspunkt stellt die effektive und effiziente Gestaltung bzw. Erfüllung der Compliance Vorgaben für die IT und somit für den CIO eine Kernaufgabe dar. Die genannten Gesetze und Regularien (SOX, Basel II, GxP, FDA, etc.) sind nur ein Ausschnitt aus einer Reihe von Vorgaben, jedoch zeigen sie, dass sich die IT heutzutage mit einer Copyright SERVIEW GmbH Seite 2 /7

3 Vielzahl von externen Vorgaben auseinandersetzen muss. Eine der Fragen, die sich folgerichtig aufdrängt ist, inwiefern die zunehmende Ausrichtung der Wertschöpfungskette auf die Unterstützung oder gar vollständige Abwicklung von Prozessen durch die Informationstechnologie in der Gesamtheit dieser Vorgaben Berücksichtigung findet. Zwar setzen sich die Gesetze und Regularien, Richtlinien und Standards mit Kontrollmedien und daraus resultierenden Maßnahmen auseinander, jedoch findet die Informationstechnologie nur geringe Beachtung. In vielen IT-Organisationen wird ein enormer Aufwand betrieben, um den Vorgaben aus Regularien wie SOX gerecht zu werden. Es existieren häufig sehr viele unterschiedliche und individuelle Regelungen und Vorgehensweisen. Erschwerend kommt hinzu, dass die festgelegten Richtlinien häufig für jedes System im Rechenzentrum neu interpretiert und individuell umgesetzt werden, wodurch zu viele Ressourcen eingebunden werden. An dieser Stelle müssen die Vorgaben der Compliance standardisiert werden, um ein höheres Maß an Effektivität zu erreichen. Dabei stellt sich immer wieder die Frage, wie viel Aufwand für die Dokumentation und für die Validierung im Optimalfall kalkuliert werden sollte. Hierfür gibt es innerhalb der IT keine einheitliche Sichtweise. Darüber hinaus mangelt es oftmals an einer einheitlichen Sprache zwischen der IT-Organisation und der Revision, so dass eine strukturierte Bearbeitung dieser Problemstellung nur schwer möglich erscheint. ITIL bietet in seiner Grundstruktur Lösungen für wichtige Anforderungen gängiger Compliance Vorgaben Copyright SERVIEW GmbH Seite 3 /7

4 Das in den 80iger Jahren entwickelte und mittlerweile in der Version 2011 existierende Framework ITIL (IT Infrastructure Library) stellt ein wirkungsvolles Werkzeug zur Verfügung, um vielen Compliance-Anforderungen gerecht zu werden. Durch die konsequente Anwendung der Empfehlungen aus dem Framework ITIL erwirbt eine IT- Organisation das Potential, seine Betriebsmittel (finanzielles Kapital, Infrastruktur, Applikationen, Informationen und Menschen) mit der heute durch die Compliance geforderten Transparenz und Kontrolle zur Verfügung zu stellen. Denn durch die in ITIL beschriebenen Prozesse, Funktionen und Grundprinzipien werden die Anforderungen der Business-Prozesse an die IT konkret definiert und in IT Services umgesetzt. Damit bietet ITIL für den IT Provider die Struktur und Transparenz in Komposition der IT Services sowie der Kosten, die er benötigt, um den meisten Compliance-Anforderungen gerecht zu werden. Der in ITIL beschriebene Service Lifecycle, seine Prinzipien und Prozesse bieten einen optimalen Rahmen, um Compliance effizient umzusetzen. Der ITIL Lifecycle besteht aus fünf Phasen. Das Zentrum des Lifecycles bildet die Service Strategy. Im Rahmen der Service Strategy werden die strategischen Ziele und Rahmenbedingungen für die Serviceerbringung festgelegt. Umgeben wird die Strategie von den Phasen Service Design, Service Transition und Service Operation. Mit diesen drei Phasen wird sichergestellt, dass die Services in Ihren Ausprägungen den Kundenanforderungen entsprechen, dynamisch und flexibel umgesetzt und tagtäglich wertschöpfend betrieben werden. Für die kontinuierliche Verbesserung sorgt die Phase Continual Service Improvement, die den Service Lifecycle nach ITIL ganzheitlich umspannt. Neben den Prozessen führt die konsequente Umsetzung von ITIL in der IT Organisation zu eine klaren Vergabe von Rollen und Verantwortlichkeiten (Ergebnis- und Durchführungsverantwortlichkeiten). Ebenfalls eine häufige Forderung der gängigen Compliance Richtlinien. Trotzdem muss auch gesagt werden, dass ITIL nicht das Allheilmittel für die Erreichung gängiger Compliance-Vorgaben ist. Gerade wenn es darum geht, konkret aus Themen wie SOX, GxP, o.ä. die Anforderungen für die IT abzuleiten, stellt ITIL wenig Hilfe zur Verfügung. Hier helfen dann eher Frameworks wie COBIT. Ein Werkzeug, um sich dieser Problemstellung zu nähern, ist das Framework COBIT (Control Objectives for Information and related Technology). COBIT wurde entwickelt, um die Lücke zwischen der Revision und der IT-Organisation zu schließen. COBIT ist somit als Modell zur effizienten und effektiven Kontrolle der eingesetzten Informationstechnologie zu klassifizieren. Die COBIT Produkte kombinieren nationale und internationale Anforderungen aus den Bereichen Qualität, Sicherheit und Ordnungsmäßigkeit (unter anderem ISO2700x, SOX, COSO, uvm.). Das Resultat ist ein durchgängiges Modell, welches für sämtliche IT- Ressourcen (Daten, Anwendungen, Technologien, Anlagen und Personal) alle notwendigen Anforderungen klar festgelegt von der Planung, über Beschaffung und/oder Entwicklung, Betrieb und Unterstützung bis hin zur Überwachung. Copyright SERVIEW GmbH Seite 4 /7

5 Die Umsetzung eines Compliance-Konzeptes muss mit großer Disziplin und Sorgfalt erfolgen Trotz der vorhandenen Vorteile eines Governance-Konzeptes mit z.b. ITIL oder COBIT (oder besser einer Kombination aus Beidem) muss die Umsetzung mit großer Disziplin und Sorgfalt erfolgen. Grundvoraussetzung für eine erfolgreiche und effiziente Umsetzung eines Governance-Konzeptes ist die konsequente Analyse des Ist-Zustandes der Compliance-relevanten Prozesse und die Qualitätssicherung. Zusätzlich sollte in Zusammenarbeit mit den entsprechenden Fachbereichen und den Projekt- sowie Budgetverantwortlichen ein Sollkonzept definiert werden. Der Weg zu einer bestimmten Prozessreife stellt eines der Ziele dar, denn ein integraler Bestandteil von z.b. ITIL ist die Etablierung von Rahmenbedingungen zur Ermöglichung der kontinuierlichen Verbesserung. Darin liegt grundsätzlich auch die Herausforderung. Neben der Kenntnis der projektspezifischen Parameter müssen darüber hinaus die Governance-Initiativen, Gesetze, Regularien und Richtlinien sowie deren potentielle, zukünftige Entwicklung mit berücksichtigt werden. Das geht nur in enger Zusammenarbeit der IT-Organisation mit der Revision. Compliance kann nur durch die Kombination von verschiedenen Frameworks wie z.b. ITIL und COBIT erreicht werden. Ist die Aufnahme der Ist-Situation erfolgt, muss das Sollkonzept skizziert und in einem weiteren Schritt definiert werden. Hierbei muss die Kompatibilität von ITIL zu anderen, im Unternehmen potentiell vorherrschenden Governance-Initiativen, Projekten zur Prozessoptimierung oder regulierung (EFQM, ISO9000, SixSigma, ISO20000, ISO2700x, COBIT, M_o_R, etc.) berücksichtigt werden. In einer Analyse müssen mögliche Schnittstellen, Überschneidungen oder Konflikte identifiziert werden. Zudem sollte analysiert werden, ob Methodologie oder Best Practices existieren, welche die Erreichung der gewünschten Compliance unterstützen können. Hier ist dann insbesondere wieder ITIL hervorzuheben. Copyright SERVIEW GmbH Seite 5 /7

6 Ist ITIL das Allheilmittel zur Beantwortung aller IT-Governance und Compliance Fragen? Wie viele andere Frameworks auch ist ITIL nicht der Weisheit letzter Schluss. Die dogmatische Anwendung wird nicht zu den gewünschten Ergebnissen führen, da sie häufig zu generischen und praxisfernen Ansätzen verleitet. ITIL als führendes Element in Kombination mit anderen Frameworks kann aber ein wichtiges Hilfsmittel sein, um als IT- Organisation auf die Fragestellung der Compliance die richtigen Antworten zu finden. Die Praxiserfahrung zeigt, dass eine Kombination von ITIL mit anderen Prozess Frameworks ganz wesentlich zum Geschäftserfolg beiträgt. Häufig werden in Projekten bei der Einführung von IT Service Prozessen mit Hilfe von ITIL die Kontrollziele aus COBIT verwendet, um sicher zu stellen, dass beim Design der IT Service Prozesse die Anforderungen der Compliance und somit der Revision von Beginn an ausreichend Berücksichtigung finden. Dadurch wird verhindert, dass im Nachhinein teure und ineffiziente Sonderlösungen eingesetzt werden müssen, um die Anforderungen vollständig zu erfüllen. Somit spart diese Vorgehensweise Zeit und Ressourcen und unterstützt den CIO bei der Beantwortung der Compliance Fragen. Der neue Trend: Die Best Management Practice Frameworks Das große Potential einer stark gesteigerten Wertschöpfung aus der sinnvollen Kombination verschiedener Frameworks mit unterschiedlichen Schwerpunkten liegt voll im Trend. Der intellektuelle Eigentümer von ITIL, die AXELOS hat unter der Label Best Management Practice eine Reihe von Frameworks zusammengefasst, die in ihrer Kombination für das Thema Compliance eine großen Beitrag leisten können. Diese Frameworks sind neben den bereits bekannten Frameworks ITIL (für das Thema Service Management) und PRINCE2 (für Projektmanagement), die Themen Risiko-, Programsowie Portfolio Management. Hier ist weniger das Ziel, alle diese Frameworks restlos einzuführen, sondern die verschiedenen Herausforderungen der IT aus Ihrer speziellen Perspektive zu betrachten und dann zu einer Gesamtsicht zusammen zu führen. Ist das geschafft, kann der CIO gelassen auf die Revision schauen, denn die Compliance stellt für ihn dann eine gut beherrschbare Herausforderung dar. Copyright SERVIEW GmbH Seite 6 /7

7 Copyright SERVIEW GmbH Seite 7 /7