IT-Risikomanagement - Aktuell

Die am 1. Juli letzten Jahres in Kraft getretene 8. EU-Richtlinie (EuroSOX) stellt hohe Anforderungen für den Datenschutz im Unternehmen. Auch ein Jahr nachdem in Deutschland das Gesetz in Kraft getreten ist, besteht in Unternehmen akuter Handlungsbedarf in Bezug auf IT-Sicherheitssysteme, um den gesetzlichen Regelungen gerecht zu werden. Denn nur wenige Unternehmen wissen konkret, was dies für sie bedeutet. Drimalski & Partner hat die wichtigsten Anforderungen von EuroSOX an die IT im Überblick für Sie zusammengestellt.

Mit der EuroSOX-Richtlinie hat das europäische Parlament auf internationale Finanzskandale reagierte. Die Abschlussprüfung von Kapitalgesellschaften soll vereinheitlicht und international vergleichbar gemacht werden. Im Netzwerk finden sich die Informationen, die für die Prüfung des Finanzabschlusses relevant sind. Der IT kommt daher als zentralem Bestandteil des Kommunikationsflusses im Unternehmen eine entscheidende Rolle zu. Die Notwendigkeit, dass die IT-Sicherheitssysteme zuverlässig arbeiten und die sensiblen Informationen effektiv vor Gefahren aus dem Internet schützen, ist von zentraler Bedeutung.

Die IT muss zum einen regelkonforme Systeme bereitstellen, zum anderen lässt sich die Einhaltung der Richtlinien (Compliance) nur mit Hilfe der IT-Systeme durchsetzen. Grundlage für die kontinuierliche Bereitstellung von IT-Services und eine sichere IT-Infrastruktur ist eine automatische, regelmäßige Überprüfung auf Schwachstellen, deren Bewertung, die Planung und Implementierung korrigierender Maßnahmen sowie eine abschließende Erfolgskontrolle. Drimalski & Partner hat für Sie dies in einem 5-Punkte-Plan zusammengefasst:

1. Planung für den langfristigen Erhalt des Betriebs und Erstellung eines Notfallkonzepts (IT-Notfallplan)
2. Steuerung und Pflege von Infrastruktur, Organisation und Anwendungen
3. Kontrolle und Steuerung der Berechtigungen, der physikalischen Verbindungen und der Sicherheit
4. Überwachung und Systempflege der Daten, des täglichen Geschäfts und der Projekte
5. Archivierung der relevanten Daten, Dokumente und Unterlagen

Die Prüfungspflicht für Kapitalgesellschaften ergibt sich aus §§ 316 Abs. 1 und 267 Abs. 1 HGB. Weiterhin verweisen wir auf die Prüfungsstandards des Instituts für Wirtschaftsprüfer in Deutschland e. V. (IDW), auf deren Grundlage die Abschlussprüfung bei Einsatz von Informationstechnologie vorgenommen wird (IDW PS 330).