Bilanzskandale wie Enron oder Worldcom haben den US-Gesetzgeber zum Handeln gezwungen. Die Sektion 404 des Sarbanes Oxley Acts (SOX) sieht seither vor, dass alle an der US-Börse notierten Unternehmen bis Ende 2006 ein internes Kontrollsystem für die Finanzberichterstattung aufbauen und dessen Wirksamkeit dokumentieren müssen. Die Kontrollen betreffen auch die IT-Umgebung, da elektronische Informationssysteme heute die Grundlage für eine korrekte Finanzberichterstattung bilden. Verstoßen Unternehmen gegen die SOX-Vorschriften, drohen den Verantwortlichen empfindliche Geld- oder im schlimmsten Fall sogar Haftstrafen.
Was aber ist, wenn das Unternehmen mit einem externen IT-Provider zusammenarbeitet? Dann steht auch dieser in der Verantwortung. Mit einem SAS 70-Type II Report belegt der Dienstleister, dass er den Dokumentationspflichten durch SOX nachkommt. Er bietet seinen Kunden damit nicht nur die Basis für einen rechtlich einwandfreien Jahresabschluss, sondern auch besseren Service.
Weltweit anerkannter Standard
Der SAS 70-Type II Report ist weltweit der de-facto-Standard für Kontrollen durch Wirtschaftsprüfungen bei IT-Service-Organisationen. Ein Provider muss hierbei gegenüber seinen Kunden nachweisen, dass er die an ihn ausgelagerten Prozesse zuverlässig überwacht. Dafür führt bei ihm ein unabhängiger Wirtschaftsprüfer mindestens ein bis zweimal pro Jahr ein so genanntes SAS 70 Type II Audit durch.
Bislang jedoch – das zeigen mehrere Studien – kümmern sich viele europäische IT-Dienstleister noch nicht um die Folgen von Sarbanes-Oxley oder gar ein SAS 70-Type II Audit. Doch die Zeit wird knapp: Neben den Vorgaben aus den USA stehen mit Basel II und der 8. EU-Audit Richtlinie bis 2007 bereits weitere europäische Regelungen zur Corporate Compliance vor der Tür.
Bereits 2004 hat der IT-Serviceprovider SAP Hosting daher die Initiative ergriffen und bis Mitte 2005 das Zertifizierungsverfahren erfolgreich durchlaufen. Seitdem lässt die SAP-Tochter regelmäßig Prüfungen nach dem SAS 70-Standard durchführen. Dabei begreifen die Verantwortlichen das Verfahren nicht als reines Finanzkontrollinstrument, sondern vielmehr als willkommenes Mittel für ein Qualitätsmanagement. „SAS 70 belegt die Sicherheit und ist zugleich ein Gütesiegel für die Servicequalität des Dienstleisters. Das hat Signalwirkung für alle Kunden – nicht nur für Unternehmen, die direkt von SOX betroffen sind“, sagt Projektleitern Nicole Fuchs.
„Gleichbleibende Servicequalität“
Die Anforderungen innerhalb des SAS 70-Type II Audits sind umfangreich. So beinhaltete die Prüfung bei SAP Hosting − durchgeführt von der Wirtschaftsprüfungsgesellschaft KPMG − die Systempflege, das Problem und Change Management, logische und physische Sicherheit, Business Environment sowie Computer Operations. Durch den SAS 70 Type II Report bescheinigte KPMG dem IT-Provider abschließend in allen Bereichen effiziente und vor allem sichere Prozesse.„Ein SAS 70-Audit ist ein globales Verfahren. Unsere Prozesse sind unternehmensweit einheitlich, präzise aufeinander abgestimmt und klar strukturiert. Das garantiert unseren Kunden weltweit eine gleich bleibend hohe Servicequalität“, sagt Dagmar Oeldemann, IT Service Manager bei SAP Hosting. Vor allem in drei Bereichen verbesserte SAP Hosting durch die Kontrollen ihren Kundenservice.
Sichere Freigabeverfahren im Change Management
Im Change Management führte der Provider ein noch sichereres Freigabeverfahren ein. Wollen Kunden ihre gehosteten Lösungen oder Prozesse anpassen, unterteilt SAP Hosting diese Änderungen entsprechend ihrer möglichen Auswirkungen auf die Systemverfügbarkeit und Datenintegrität in drei Kategorien – von geringfügig („Minor changes“) über signifikant („Significant changes“) bis hin zu komplexen „Major changes“. Eingriffe der ersten beiden Kategorien zeichnen sich durch ein geringes Risiko in Hinblick auf Systemperformance und -verfügbarkeit aus. Dazu gehören beispielsweise das Umverteilen von Festplattenspeicherplatz und das Einspielen von UNIX-Service-Packs („Minor“) oder die Durchführung von Datenbank- oder SAP-Patches („Significant“). Bei der höchsten Kategorie handelt es sich hingegen um Systemänderungen, die erhebliche Auswirkungen auf die Integrität, Verfügbarkeit und den Transport von Daten haben können. So etwa, wenn ein umfassendes Upgrade einer Lösung ansteht, beispielsweise ein SAP-R/3-Releasewechsel, oder große Datenbestände wieder hergestellt werden müssen (Database Restores).
Während geringfügige und signifikante Änderungen keine oder lediglich eine so genannte „passive“ Genehmigung, also bloße Kenntnisnahme entsprechender Meldungen von SAP Hosting durch den Kunden erfordern, gelten für komplexe Eingriffe verbindliche, aktive Genehmigungsverfahren. „Major Changes erfolgen nur nach expliziter Kundenautorisierung. Genehmigte Eingriffe werden zudem zunächst in einer Testumgebung erprobt, ehe tatsächlich das Live-System angepasst wird“, erklärt Dagmar Oeldemann. Im entsprechenden Änderungsauftrag muss explizit eine Genehmigung vermerkt werden. Diese ist später im Verlaufsprotokoll (Action log) eines Vorgangs jederzeit nachvollziehbar. Das gewährleistet, dass der jeweils zuständige Systemverantwortliche alle Änderungen vor der Durchführung evaluiert und freigibt. Durch dieses Verfahren sind die Verantwortlichkeiten für Änderungen eindeutig geklärt. Sowohl Kunde und Dienstleister sind somit auf der sicheren Seite.
Umfassendes Kontrollsystem im Problem-Management
Das Management von SAP Hosting kümmert sich außerdem persönlich darum, dass klar definierte Serviceabläufe im Bereich des Problem-Managements zuverlässig eingehalten werden. Alle festgehaltenen außerplanmäßigen Vorfälle (Problem Records) leiten die Verantwortlichen direkt an die jeweils zuständigen Spezialisten weiter. Diese untersuchen dann, was das Problem verursacht hat. Sämtliche offenen Vorfälle unterliegen einem ständigen Review. Dabei prüft das Management eingehend, ob Fehlerursachen richtig festgestellt und Probleme zeitnah und korrekt behoben wurden.
Proaktives Ereignismanagement
Darüber hinaus hat SAP Hosting ein proaktives Ereignismanagement eingeführt. Regelmäßige System-Performance-Kontrollen stellen sicher, dass die Kunden kontinuierlich und proaktiv über unvorhergesehene Systemereignisse (Incidents) − wie beispielsweise die temporäre Nichtverfügbarkeit von Anwendungen und Systemen (Downtimes) − informiert werden. Dieses Vorgehen sorgt dafür, dass der Kunde von jedem einzelnen Vorfall erfährt und die Problembehebung abnimmt.
Motor für kontinuierliche Verbesserungen
Dass sich SAP Hosting frühzeitig auf die strengen gesetzlichen Vorgaben vorbereitet hat, macht sich für das Unternehmen und vor allem für seine Kunden schon jetzt bezahlt. Denn bei der Entscheidung für einen IT-Provider spielen die Faktoren Sicherheit und Prozesseffizienz eine Schlüsselrolle. Beide werden im Rahmen von SAS 70 ebenfalls regelmäßig durch eine unabhängige Instanz bewertet. „Insgesamt entsteht so ein kontinuierlicher Verbesserungsprozess, den wir außerdem mit freiwilligen internen Audits weiter vorantreiben“, sagt Nicole Fuchs. Für Unternehmen, die IT Services an externe IT-Provider auslagern möchten oder bereits ausgelagert haben, bietet das Gütesiegel SAS 70 also in jedem Fall eine wichtige Orientierungshilfe – auch dann, wenn die Einhaltung von Sarbanes-Oxley-Richtlinien aus rechtlicher Sicht nicht erforderlich ist.
