Kontrollziele erleichtern Vorgehen
Der zeitliche Aufwand für die Einführung von CObIT beträgt – abhängig von der Größe eines Unternehmens - üblicherweise etwa ein Jahr. Da das Framework aus den USA stammt, sind viele Begriffe nicht direkt übersetzbar. Zudem müssen viele Prozesse interpretiert werden, damit sie auf die eigenen Anforderungen passen. Dennoch zeichnet sich das Framework durch seine Praxisnähe aus, da letztlich eine Checkliste mit 34 Prozessen und 215 Kontrollzielen entsteht, die ein Unternehmen durchgehen kann. Typische Kontrollziele prüfen etwa die Vorgaben für die Batch- und Schnittstellenverarbeitung, Aufbewahrungsfristen, den Genehmigungsprozess für das User-Account-Management oder den zeit- und qualitätsgerechten Eingang von Konformitätsbescheinigungen der IT-Dienstleister. Auch COSO verlangt Kontrollaktivitäten: Dabei lassen sich beispielhaft für die Prozessgruppe Einkauf Kriterien wie korrekte Verarbeitungsfreigaben für Bestellanforderungen, das Monitoring von Einkaufsumgehungen, die Klärung von Bestandsdifferenzen oder die korrekte Prüfung von Anzahlungen und Währungen ableiten. Da COSO zudem auch als Framework für das Risk Management dient, greift es weiter als SOX und berücksichtigt auch externe Risiken. Folglich eignen sich damit sowohl COSO als auch CObIT nicht nur, um die SOX-Compliance zu erfüllen, sondern gestalten auch das Interne Kontrollsystem insgesamt leistungsfähiger. Generell empfiehlt Anne Bernzen, frühzeitig mit den potentiellen Wirtschaftsprüfern in Kontakt zu treten und zu vereinbaren, dass diese CObIT und ITIL als Standard für die Prüfung der SOX-Anforderungen anerkennen. „Ansonsten laufen Unternehmen Gefahr, dass die Wirtschaftsprüfer höhere Anforderungen stellen als eigentlich notwendig sind.“ Mit CObIT kann hingegen der Aufwand im IT-Umfeld von vorneherein klar beschränkt werden. Dies lässt sich zudem erhärten, wenn unabhängige Beratungsgesellschaften mit CObIT-Know-how herangezogen werden. Auch in der Detecon-Studie wurden der Beratungsaufwand und die Abschlussprüfungsgebühren als Kostentreiber identifiziert: So beträgt der Anteil von Wirtschaftsprüfern und Beratern an den Gesamtkosten für die Einführung von SOX durchschnittlich 42 Prozent. In jedem Falle entstehe durch SOX und CObIT nicht nur Aufwand, sondern auch Nutzen: „Bisher glaubten die Verantwortlichen lediglich, ihre Risiken zu kennen. Jetzt beginnen die Unternehmen tatsächlich, sie systematisch aufzuzeichnen und mit gezielten Maßnahmen zu mildern“, führt Detecon-Berater Wolfram Hohaus aus. Damit sei auch ein geschärftes Bewusstsein entlang eines Prozesses entstanden und Mitarbeiter würden sich gegenseitig auf unterlassene Kontrollen aufmerksam machen. Die Notwendigkeit, flexible Dokumentationssysteme einzuführen, sei in jedem Falle Pflicht für zukunftsorientierte Unternehmen, zumal die 8. EU-Richtlinie bis Juni 2008 ähnliche Vorgaben wie SOX einfordere. „Der künftige Prüfungsaufwand wird auch deshalb steigen, weil die Halbwertszeiten von Umorganisationen immer kürzer werden. Wenn Dokumentationen dann nicht auf dem aktuellen Stand sind, erhält ein Unternehmen nicht nur keine SOX-Compliance, sondern es entgleitet ihm auch die Kontrolle über die eigenen Prozesse.“