“Euro-SOX wertet das IT Service Management auf”

Ohne ein funktionierendes IT Service Management (ITSM) kann ein Unternehmen die Euro-SOX-Anforderungen kaum erfüllen. Diese Auffassung vertritt die Unternehmensberatung Exagon.

Exagon verweist darauf, dass in der ab Ende Juni gültigen EU-Richtlinie auf die Informationssicherheit und die Dokumentation der IT-Infrastruktur samt ihrer Prozesse ein besonderes Augenmerk gelegt wird. So macht Euro-SOX zur Pflicht, dass bei der Bewertung durch Abschlussprüfer internationale Standards anzulegen sind.

“Diese Anforderung läuft letztlich darauf hinaus, dass die Unternehmen in Richtung einer Zertifizierung der IT etwa durch ISO 27001 oder ISO/IEC 20000 denken müssen”, sagte Exagon-Geschäftsführer Joachim Fremmer.

Euro-SOX betrifft alle Unternehmen von so genanntem öffentlichem Interesse mit einer Bilanzsumme von über 80 Millionen Euro. Dazu gehören etwa die DAX-notierten Firmen ebenso wie Banken, Versicherungen, Energieversorger oder Monopolunternehmen.

Brisant ist die Richtlinie für das Management der Unternehmen deshalb, weil sie persönlich haften, sofern keine nachweisbare Dokumentation beispielsweise des internen Kontrollsystems (IKS), Revisionssystems und Risk Management besteht. “ITSM spielt dabei eine herausragende Rolle, weil es in alle Kontrollsysteme hineinspielt”, so Fremmer.

Der Exagon-Chef warnte davor, sich diesem Thema erst dann zu widmen, wenn die Prüfung bevorsteht – da die Prozessstrukturen oft vielfach Mängel aufwiesen und deshalb umfangreichere Maßnahmen erforderlich seien. “Die IT-Prozesse lassen sich nicht im Handumdrehen den Anforderungen anpassen, deshalb bedarf es einer frühzeitigen Analyse der Verbesserungen oder Anpassungen der ITSM-Verhältnisse.” Es müsse nicht zwangsläufig auf eine Zertifizierung hingearbeitet werden, “die Orientierung an internationalen Standards ist aber in jedem Fall unerlässlich.”

Andererseits erwartet der Exagon-Chef, dass die Euro-SOX-Anforderungen dem ITSM eine höhere Wertigkeit verleihen werden. “Vermutlich wird durch die Beschäftigung mit den EU-Vorschriften in den Führungsetagen mancher Unternehmen erstmals die Bedeutung von ITSM wahrgenommen”, so Fremmer.

Dadurch seien auch positive Effekte für die ITSM-Verantwortlichen in den Firmen zu erwarten. “Ihr Tun braucht eine Akzeptanz, die ihrer Bedeutung für den Geschäftsbetrieb angemessen ist.”