Management regulatorischer Anforderungen. Von Michael Rath, Rainer Sponholz. Erich Schmidt Verlag, Berlin 2009, Preis: 44,00 €.
Die Autoren Michael Rath und Rainer Sponholz beleuchten in ihrem Buch ‚IT-Compliance‘ auf 267 Seiten die verschiedenen Möglichkeiten eines effizienten Managements der heutigen regulatorischen Anforderungen an die IT. Das Buch richtet sich daher an alle Leser, die sich mit den Themen IT-Governance und IT-Compliance beschäftigen und einen kompakten Wegweiser benötigen. Als Einführung in die Materie werden die Herkunft, Entwicklung, verschiedene Definitionsansätze und Ziele der Begriffe IT-Compliance und IT-Governance beschrieben.
Im zweiten Kapitel werden zunächst kurz die Entwicklungsphasen der IT-Sicherheit zu eigenständigen Disziplinen dargestellt (IT-Compliance, IT-Sicherheit, IT-Revision und IT-Risiko Management) und die Veränderungen der verschiedenen Anforderungen durch unterschiedliche Institutionen erläutert. Im Anschluss daran leiten die Autoren ein sog. GRC-Wirkungsmodell her (Governance-Risk-Compliance), das als Modell für IT-Sicherheit, IT-Revision, IT-Risiko-Management wie auch IT- Compliance dienen kann.
Kapitel 3 stellt die verschiedenen Treiber der IT-Compliance Anforderungen dar, um ein besseres Verständnis für die Quellen, Motive und die Weiterentwicklung zu vermitteln. Es wird auch auf den Regelungsbedarf hingewiesen, dem sich Unternehmen stellen müssen, die im Ausland mit Unternehmensniederlassungen vertreten sind.
In Kapitel 4 wird der rechtliche Rahmen der IT-Compliance durch gesetzliche Regelungen bis hin zur Best Practice abgesteckt. Mit der dreidimensionalen Normenhierarchie wird sehr anschaulich dargestellt, welchen Stellenwert Pflichtanforderungen haben, in welchem Gültigkeitsbereich diese zur Anwendung kommen und welche Schutzziele die regulatorischen Institutionen verfolgen. Zudem wird hier auf die schwierige Umsetzung der Pflichtschutzmaßnahmen durch ihre meist relativen Formulierungen aufmerksam gemacht.
Die Entstehung der Berufsverbände ISACA und der Schwesterorganisation ITGI, die gemeinsamen den Standard CobiT entwickeln und vorantreiben, wird in Kapitel 5 beschrieben. Das CobiT Referenzmodell, das sowohl für Belange der IT-Revision als auch der IT-Governance zum Einsatz kommt und als Meta-Standard mit nahezu allen wichtigen IT-Standards verbunden ist, wird kurz erläutert.
In der Praxis führen Wirtschaftlichkeitsüberlegungen und oftmals auch das subjektive Empfinden einzelner Entscheidungsträger über die Angemessenheit von Maßnahmen zu den größten Widerständen bei der Umsetzung der IT-Compliance. Die Autoren stellen daher in Kapitel 6 sehr ausführlich und anschaulich dar, welche Kostenwirkungen sich durch die stetig zunehmende Zahl der Anforderungen ergeben bzw. auch welchen Wertbeitrag IT- Compliance liefert.
Die Kapitel 7 bis 9 befassen sich schwerpunktmäßig mit dem Management der IT-Compliance. In Kapitel 7 wird zunächst der Begriff IT-Compliance-Management hergeleitet. Daran anschließend werden detailliert die verschiedenen Elemente des (IT-)Compliance Management dargestellt.
Die Umsetzung der (IT-)Compliance Anforderungen ist immer auch als ein Prozess zu verstehen, mit dem der Reifegrad des Unternehmens erhöht wird. Die wesentlichen Teilprozesse hierzu, nämlich die Identifikation und Analyse der regulatorischen Anforderungen, die Überwachung der Einhaltung und die Dokumentation des Compliance-Status, werden in Kapitel 8 dargestellt.
In Kapitel 9 werden dann Werkzeuge vorgestellt, die das Management der (IT-) Compliance unterstützen. Neben verschiedenen Standards oder Rahmenwerken (z. B. CobiT, BSI) werden auch verschiedene Compliance-Management Software Produkte vorgestellt. Dies geschieht mit vielen wertvollen Informationen und wird durch Praxisbeispiele abgerundet.
Kapitel 10 beschreibt, wie sich mittels des hergeleiteten GRC-Wirkungsmodells eine Komplexitätsreduzierung erreichen lässt. Die Autoren vertreten dabei die These, dass sich bereits durch die Umsetzung bzw. Gruppierung einiger wesentlicher Maßnahmen der IT-Sicherheit ein hohes Compliance-Niveau erreichen lässt.
Im letzten Kapitel werden die IT-Compliance Risiken durch Outsourcing der IT und die daraus resultierenden besonderen Anforderungen besprochen.
Das Buch ist aufgrund seiner Themenbreite, der verständlichen Darstellung und der Beispiele aus der Praxis durchaus für den Neueinsteiger geeignet. Vor allem aber richtet sich das Werk an diejenigen, die im Unternehmen ein effektives Management der verschiedenen Anforderungen einführen wollen oder müssen und dafür einen kompakten ganzheitlichen Überblick benötigen. Für eine weitere Recherche überaus nützlich ist der Anhang, der u. a. eine Linkliste zu IT-Compliance, ein Übersicht über IT-Compliance-Anforderungen und ein umfangreiches Literaturverzeichnis enthält. Insgesamt ein gelungenes Buch zu einem komplexen Themengebiet.
Quelle: Reiner Eickenberg, ZIR Zeitschrift Interne Revision, Heft 2/2010, S. 89
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: