Ohne eine aktuelle Dokumentation der IT-Prozesse wird kein Audit bestanden. Das wissen Unternehmen, die einen testierten Jahresabschluss benötigen oder sich beispielsweise bereits einer ISO-Zertifizierung unterzogen haben. Gerade aber viele klein- und mittelständische Unternehmen sind der Auffassung, dass eine Dokumentation der IT-Strukturen und -Prozesse ausschließlich Geld und Zeit kostet.
Aus diesem Grund bestehen Geschäftsleitungen häufig nicht auf einer ordentlichen Dokumentation für den IT-Betrieb bzw. planen hierfür kein Budget und keine Ressourcen ein. Und den Mitarbeitern in den IT-Fachbereichen, die die Dokumentation vornehmen müssten, fehlt im hektischen Alltag die Zeit dafür.
IT-Dokumentation: 3 Faktoren, die nicht bedacht werden
1. IT-Dokumentation spart langfristig Zeit
Eine gute Dokumentation spart langfristig Zeit und Geld, weil beispielsweise bei Anpassungen oder Problemen zielgerichtet gehandelt werden kann und die Einarbeitung neuer Mitarbeiter weniger Ressourcen bindet.
2. Dokumente für die Wiederherstellung aller IT-Systeme sind notwendig
Eine Dokumentation aller IT-Systeme ist die Voraussetzung für deren Wiederherstellung im Notfall. Zusätzlich werden spezielle Notfallvorgaben benötigt, die die IT-Notfallprozesse regeln. Bei einem Notfall hängt die Handlungsfähigkeit des Unternehmens vor allem auch von der Qualität, der Aktualität und der Verfügbarkeit dieser IT-Notfalldokumente ab.
3. Gesetzliche Vorgaben verpflichten zur IT-Dokumentation
Schließlich gibt es zudem eine Reihe von gesetzlichen Auflagen, die zur Erstellung einer Dokumentation für den IT-Betrieb und vor allem zur Erstellung einer Notfalldokumentation verpflichten.
Dokumentation des IT-Betriebs: Gesetzliche Verpflichtungen
Insbesondere das Erfordernis zur Dokumentation aufgrund gesetzlicher Regelungen wird gerne beiseite geschoben. Dabei ergeben sich bereits aus dem Handelsgesetzbuch Ansätze, nach denen eine Verfahrensdokumentation zu pflegen ist. Auch die Abgabenordnung enthält Forderungen, die in Richtung einer nachvollziehbaren Dokumentation der Geschäftsvorfälle und -abläufe abzielen.
5 gesetzliche Maßnahmen zur IT-Dokumentation
Bei den gesetzlichen Verpflichtungen stehen vor allem Fragen der Nachvollziehbarkeit und des Datenschutzes im Fokus. Zusätzlich gewinnt die IT-Sicherheit immer stärker an Bedeutung. Auch hier nimmt der Gesetzgeber die IT-Verantwortlichen mehr und mehr in die Pflicht und fordert mehrere Maßnahmen zur Datensicherheit zu ergreifen und diese auch zu dokumentieren:
1. Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
Vielfach vergessen werden die Anforderungen, die sich aus den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) ableiten. Diese gelten für jedes Unternehmen, das eine DV-gestützte Buchhaltung einsetzt.
Die GoBS fordern eine Verfahrensdokumentation aus der Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein muss. Die Anforderungen an die Verfahrensdokumentation sind unabhängig von der Größe der genutzten Daten verarbeitenden Anlage und gelten sowohl für Großrechnersysteme, als auch für PC-Systeme.
Für bilanzierende Unternehmen wird außerdem aus den allgemeinen Bilanzierungserfordernissen heraus eine Bestandsdokumentation benötigt (so ist beispielsweise sowohl für Hard- als auch für Software ein Anlagenverzeichnis zu führen).
2. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
So ist nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren. Mittelbar betrifft dies auch Risiken aus der IT-Sicherheit.
EXTRA: Darum ist IT-Sicherheit für dein Startup so wichtig
3. Mindestanforderungen an das Risikomanagement
Und nicht erst mit der Finanzkrise werden an die Sicherheit von Finanzdienstleistern zusätzliche hohe gesetzliche und aufsichtsrechtliche Anforderungen gestellt. So haben diese bereits heute die Mindestanforderungen an das Risikomanagement (MaRisk) zu erfüllen. Und diese fordert in Bezug auf die IT-Organisation und -Dokumentation ausdrücklich ein Notfallhandbuch, das Geschäftsfortführungs- sowie Wiederanlaufpläne umfasst.
4. ISO 27001: Zertifizierung auf Basis von IT-Grundschutz
Aus diesem Grund ist die Sicherheit des IT-Betriebs mittlerweile Gegenstand der meisten Prüfungen. Zu nennen ist hier vor allem die ISO 27001, die die Grundlage der Prüfungen des Bundesamts für Sicherheit in der Informationstechnik darstellt. Und auch bei den Jahresabschlussprüfungen sowie bei den Prüfungsaktivitäten der Internen Revision ist die IT-Sicherheit ein wichtiger Prüfungsschwerpunkt.
5. BSI-Standard 100-4: Notfallmanagement
In diesem Zusammenhang fordert beispielsweise der BSI-Standard 100-4 des Bundesamt für Sicherheit in der Informationstechnik unter anderem folgende Dokumente:
- Leitlinie zum Notfallmanagement
- Bericht der Business Impact-Analyse
- Bericht der Risikoanalyse
- Notfallvorsorgekonzept
- Notfallhandbuch inkl. Geschäftsfortführungsplänen
- Melde- und Eskalationswege
- Übungskonzept, Übungspläne und Übungsanlagen
Vor allem aber ist die IT-Sicherheit die Grundlage für einen störungsfreien Betrieb, der sicherstellt, dass alle erforderlichen Daten verfügbar sind und, dass schützenswerte Daten vertraulich bleiben.
Generative KI ist der Assistent, den ich mir schon immer gewünscht habe und der (fast) alles weiß. Und Machine Learning…
Interessanter Artikel zum RWE Aktienkurs, vielen Dank für die detaillierte Analyse! Ziemlich überraschend, wie stark die Aktie in letzter Zeit…
Ganz ohne Kapital klappt es nicht, aber bootstrappen bringt auch viele Vorteile. Ich bin froh kein Fremdkapital aufgenommen zu haben.…