Der menschliche Risikofaktor „Eigenverantwortung“

Funktionentrennung in der IT als Security- und Compliance-Maßnahme

15.12.2009 | Autor / Redakteur: Silvia Hänig / Stephan Augsten

Gewaltenteilung: In der IT sorgen rollenbasierte Berechtigungen und das Vier-Augen-Prinzip für mehr Sicherheit.
Gewaltenteilung: In der IT sorgen rollenbasierte Berechtigungen und das Vier-Augen-Prinzip für mehr Sicherheit.

Mit der Funktionentrennung lässt sich vermeiden, dass ein Mitarbeiter seine eigene Arbeit kontrolliert bzw. die Verantwortung für „unvereinbare Prozesse oder Funktionen“ trägt. In der Finanzwelt ist die Funktionentrennung gang und gäbe, in der IT wird sie aber oft lax gehandhabt oder ist gar nicht präsent. Dabei beugt ein Unternehmen durch ihren organisierten Einsatz betrügerischen Absichten vor und erfüllt eine wichtige Compliance-Voraussetzung.

Vor dem Hintergrund großer öffentlich gewordener Betrugsfälle rückt die IT zunehmend in den Mittelpunkt der Aufmerksamkeit. Gerade bei mangelnder Funktionentrennung ist es leicht möglich, betrügerisch gegen das eigene Unternehmen vorzugehen und illegale Aktivitäten gekonnt zu verschleiern.

Durch Funktionentrennung muss das Management dauerhaft sicherstellen, dass unvereinbare Geschäftsprozesse klar voneinander getrennt werden. Das heißt, hier darf nicht ein und dieselbe Person für zusammenhängende Prozesse zuständig sein.

Die Herausforderung besteht darin, einerseits den Datenzugriff soweit zu ermöglichen, dass die Arbeit verrichtet werden kann. Andererseits muss der Rahmen so stark eingeschränkt werden, um Betrug unmöglich zu machen.

Funktionentrennung als Compliance-Maßgabe

Die Funktionentrennung ist mittlerweile bereits mehr als ein formales Prinzip – seine Einhaltung wird gesetzlich vorgeschrieben. Sie gilt als eine der wichtigsten Voraussetzungen für ein effizientes internes Kontrollsystem (IKS), dessen Aufbau innerhalb gesetzlicher Richtlinien wie Sarbanes-Oxley-Act (SOX), 8. EU-Richtlinie (Euro-Sox), KontraG oder auch Basel II gefordert wird.

Auch die ISO/IEC 2700x Familie sieht die Funktionentrennung zwingend vor. Um geschäftliche Risiken auf ein Mindestmaß zu reduzieren, verlangt ein IKS die Dokumentation, Definition und Implementation von Kontrollen. Sie können beispielsweise mit Hilfe von Rahmenwerken wie CoBIT (das internationale Standard-Rahmenwerk zur IT Governance) unterstützt werden.

Die Compliance-Thematik macht sehr deutlich, welchen Stellenwert die IT bei der Unterstützung der Unternehmensziele genießt. Funktionentrennung hat zum Ziel, IT-Ressourcen bewusst und verantwortungsvoll einzusetzen, um Risiken durch angemessene Überwachung entlang definierter Standards vorzubeugen.

Seite 2: Einführung der Funktionentrennung

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 2042642 / Mitarbeiter-Management)