IT-Compliance – Beitrag zu Transparenz und Qualität

IT-Compliance - Beitrag zur Kostensenkung, Transparenz und Qualität im Unternehmen.Unter der IT-Compliance versteht man die Einhaltung und Umsetzung von Gesetzen und Richtlinien innerhalb eines Unternehmens. Hierfür ist eine enge Zusammenarbeit der Führungsebene im IT-Bereich mit der Geschäftsführung bzw dem Vorstand notwendig. Mit Hilfe der IT-Compliance kann sowohl die Transparenz und die Qualität der IT-Prozesse eines Unternehmens verbessert und die Kosten reduziert werden.

Beispielsweise konnten bei Hewlett-Packard in Österreich durch eine konsequente Berücksichtigung der IT-Compliance insgesamt 50 Prozent der Kosten für Beratung, Arbeitsaufwand und Technologie reduziert werden.

 

ACL Software zur Massendatenanalyse

ACL steht für Audit Command Language, eine Software der ACL Services Ltd. Vancouver (Kanada) und bietet effiziente Werkzeuge zur Analyse von Massendaten.

Die bewährte Technologie der ACL Software ermöglicht es,

  • die Beachtung von Kontrollen sicherzustellen,
  • Risiken zu reduzieren,
  • Betrug aufzudecken und
  • die Rentabilität zu erhöhen

und das bei einem ROI, der sich in Wochen, nicht in Monaten messen lässt.

Mit Hilfe der ACL Software können Unternehmen durch eine unabhängige Verifizierung der Transaktionsdaten eine unternehmensweite Überprüfung und Überwachung von Kontrollen erreichen und damit neues Vertrauen in ihre eigenen Ergebnisse und Prozesse gewinnen.

ACL Services Ltd. ist der führende globale Anbieter von Software für Wirtschaftsprüfung und vergleichbare Berufsgruppen, z.B. IT-Revisoren. Mit einer Kombination aus marktführender Software und Fachwissen stärken ACL-Lösungen das Vertrauen von Unternehmen, in die Genauigkeit und Integrität ihrer Transaktionen, die die Grundlage der immer komplexer werdenden Geschäftsabläufe bilden, sowie in die Effektivität von interner Kontrollen.

SITACS verfügt im Bereich des Einsatzes von ACL über eine langjährige Erfahrung und setzt diese Software im Rahmen von einzelnen Projekten bei Bedarf für Sie kostenlos ein.

Advanced Encryption Standard

Der Advanced Encryption Standard – kurz AES genannt – ist der Nachfolger des in der Vergangenheit genutzten Data Encryption Standards, auch DES genannt.

Der Verschlüsselungsalgorrithmus DES verfügt über Schlüssellängen von 56 (Single-DES), 112 und 168 (Triple-DES) und gilt heute als nicht mehr sicher.

Der Advanced Encryption Standard (AES) verfügt über Schlüsselgrößen von 128, 192 und 256 Bit und bietet somit einen wesentlich größeren Schlüsselraum als der DES-Verschlüsselungsstandard.

Common Criteria

Common Criteria sind Teil des internationalen Standards ISO/IEC 15408, der zum 1.12.1999 von der Internationalen Standardisierungsorgansation (ISO) für die Prüfung und Bewertung der Sicherheit von Informationstechnik veröffentlicht worden ist.

Die Kriterien (Common Criteria) sind nicht nur Grundlage für die systematische Prüfung, Evaluation und Sicherheit in der Informationstechnik, sondern bieten den IT-Herstellern auch einen Maßstab für die möglichen Sicherheitsmaßnahmen in ihren Produkten. Die Einführung der Common Criteria in Deutschland eröffnet der Wirtschaft die Möglichkeit, IT-Sicherheitszertifikate auf der Basis dieser weltweit einheitlichen Kriterien zu erhalten und somit uneingeschränkt am internationalen Wettbewerb auf dem Gebiet der IT-Sicherheitsprüfung teilzunehmen.

COSO Modell

COSO Modell bildet gemeinsam mit CobiT ein Framework für die Basis zur Umsetzung der Steuerung der Enterprise Governance und des Risikomanagements im Zusammenhang mit der Beachtung von Sarbanes-Oxley auf internationaler Ebene.

COSO steht hierbei für das Committee of Sponsoring Organizations of the Treadway Commission. Urheber des COSO Modells ist das Internal Control-Integrated Framework.

 

Data Mining Software Monarch

Die Data Mining Software Monarch dient der Analyse von unstrukturierten Daten und wird in Deutschland von der Datawatch GmbH, München, vertrieben. Diese Software wird von uns immer dann eingesetzt, wenn Daten nicht mehr mit ACL oder Excel analysiert werden können, die Daten also vorher aufbereitet werden müssen. Diesbezüglich stellt die Software Monarch einfache Werkzeuge zur Verfügung mit deren Hilfe unstrukturierte Daten für Analysezwecke strukturiert werden können.

Für Monarch spielt es keine Rolle, ob die zu analysierenden Daten hierbei als Druckdatei (*.dat, *.prn, *.prt, *.txt), PDF-, XPS-, HTML-Datei oder als CSV-, XLS-, MDB-Datei vorliegen. Selbst Logdateien aus den verschiedensten IT-Systemen können mit Hilfe von Monarch in strukurierter Form aufbereitet werden.

Die mit der Data Mining Software Monarch aufbereiteten Daten können anschließend in Monarch selbst weiter analysiert oder zur weiteren Analyse nach ACL übergeben werden.

Monarch als Data Mining Software Tool

Beispielsweise haben wir Monarch für die Übernahme von Daten aus tausenden von Rechnungen, die im PDF-Format vorlagen,  eingesetzt und konnten somit die Vollständigkeit und Richtigkeit der in den Rechnungen ausgewiesenen Daten prüfen. Oder in einem anderen Fall die Log-Daten eines Windows Server  und Linux Systems aufbereiten und analysieren.

Permanentes Audit mit Hilfe von Monarch

Im Rahmen eines permanenten Audits bzw. Continius Audit kann die Data Mining Software Monarch um weitere Produkte von Datawatch ergänzt werden. Beispielsweise können mit Hilfe der Datawatch Data Pump bestimmte wiederkehrende Analysen automatisiert werden. Mit Hilfe des Datawatch Enterprise Servers können die mit Hilfe von Monarch in einem Unternehmen aufbereiteten Daten unternehmensweit zur Verfügung gestellt werden.

Dolose Handlungen

Dolose Handlungen liegen vor, wenn beispielsweise von Mitarbeitern eines Unternehmens

  • Bilanzmanipulationen,
  • Untreuehandlungen,
  • Unterschlagung sowie
  • weitere Handlungen zum Schaden eines Unternehmens

vorsätzlich durchgeführt werden.

Insbesondere im Sprachgebrauch von Revisoren und Wirtschaftsprüfer kommt dieser Begriff vor.

GDPdU Archivierung

GDPdU Archivierung

Die Anforderungen an die Archivierung digitaler Unterlagen sind in den Grundsätzen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen, vom 16. Juli 2001, beschrieben.

Die Grundsätze beinhalten konkrete Anwendungsregeln zur Umsetzung des Rechts der Finanzbehörden auf Datenzugriff und zum allgemeinen Umgang mit elektronischen Unterlagen. Die Grundsätze sind offiziell zum 1. Januar 2002 in Kraft getreten. Details gehen aus dem BMF-Rundschreiben vom 16. Juli 2001 (IV D 2 S 0316-136/01 hervor.

GoBD

Die GDPdU wurden Ende 2014 in die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ überführt.

GoB / GoBS

Bei der Abwicklung der Buchführung sind die „Grundsätze ordnungsmäßiger Buchführung“ (GoB) zu beachten. Da die Buchführung i.d.R nicht mehr manuell, sondern mit Hilfe der IT abgewickelt wird, hat auch der Gesetzgeber seinerzeit erkannt, dass die GoB um die spezifischen Belange der Informationstechnik erweitert werden müssen. Hieraus sind die „Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme“, kurz GoBS genannt entstanden.

Die GoBS wurden in einem Schreiben des Bundesministeriums der Finanzen an die obersten Finanzbehörden der Länder vom 7. November 1995 veröffentlicht (BStBl 1995 I S. 738).

Gegen Ende 2014 wurden die GoBS von den „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD)“ abgelöst.

IDW

Das Institut der Wirtschaftsprüfer in Deutschland e. V. (IDW) ist eine Vereinigung von Wirtschaftsprüfern und  Wirtschaftsprüfungsgesellschaften in Deutschlands auf freiwilliger Basis. Das IDW ist ein eingetragener Verein, dessen Zweck gemäß Satzung nicht auf einen wirtschaftlichen Geschäftsbetrieb ausgerichtet ist. Der Sitz des IDW ist in Düsseldorf. Eines der Ziele des IDW ist die Unterstützung der Mitglieder bei der Tagesarbeit. Dazu hat das IDW u.a. die sogenannte Prüfungsstandards (IDW PS) und Stellungnahmen zur Rechnungslegung (IDW RS) erstellt, die für die Mitglieder inhaltlich bei der Ausübung der Prüfungstätigkeit zu berücksichtigen sind.

NSA (National Security Agency)

Die National Security Agency (NSA) ist Mitglied der Intelligence Community und auf Kryptologie spezialisiert. Die NSA hat u.a. Empfehlungen zur Sicherheit von IT-Systemen herausgebracht. Hierzu zählen insbesondere die Security Configuration Guides, beispielsweise für

  • Anwendungen
  • Datenbank-Server (Oracle, Microsoft SQL Server)
  • Internet Protocol Version 6 (IPv6)
  • Betriebssysteme (iOS5, Mac OS X, Linux, Windows Systeme)
  • u.v.a.m

Es lohnt sich, im Rahmen entsprechender Prüfungungen bei der NSA einmal reinzuschauen.