IT-Dokumentation: Welche gesetzlichen Vorgaben sind wichtig?

Veröffentlicht am 6. Februar 2017 in der Kategorie Recht & Gesetze von

Themen:

IT-Dokumentation: Welche gesetzlichen Vorgaben sind wichtig?Ohne eine aktuelle Dokumentation der IT-Prozesse wird kein Audit bestanden. Das wissen Unternehmen, die einen testierten Jahresabschluss benötigen oder sich beispielsweise bereits einer ISO-Zertifizierung unterzogen haben. Gerade aber viele klein- und mittelständische Unternehmen sind der Auffassung, dass eine Dokumentation der IT-Strukturen und -Prozesse ausschließlich Geld und Zeit kostet.

Aus diesem Grund bestehen Geschäftsleitungen häufig nicht auf einer ordentlichen Dokumentation für den IT-Betrieb bzw. planen hierfür kein Budget und keine Ressourcen ein. Und den Mitarbeitern in den IT-Fachbereichen, die die Dokumentation vornehmen müssten, fehlt im hektischen Alltag die Zeit dafür.

IT-Dokumentation: 3 Faktoren, die nicht bedacht werden

1. IT-Dokumentation spart langfristig Zeit

Eine gute Dokumentation spart langfristig Zeit und Geld, weil beispielsweise bei Anpassungen oder Problemen zielgerichtet gehandelt werden kann und die Einarbeitung neuer Mitarbeiter weniger Ressourcen bindet.

2. Dokumente für die Wiederherstellung aller IT-Systeme sind notwendig

Eine Dokumentation aller IT-Systeme ist die Voraussetzung für deren Wiederherstellung im Notfall. Zusätzlich werden spezielle Notfallvorgaben benötigt, die die IT-Notfallprozesse regeln. Bei einem Notfall hängt die Handlungsfähigkeit des Unternehmens vor allem auch von der Qualität, der Aktualität und der Verfügbarkeit dieser IT-Notfalldokumente ab.

3. Gesetzliche Vorgaben verpflichten zur IT-Dokumentation

Schließlich gibt es zudem eine Reihe von gesetzlichen Auflagen, die zur Erstellung einer Dokumentation für den IT-Betrieb und vor allem zur Erstellung einer Notfalldokumentation verpflichten.

Dokumentation des IT-Betriebs: Gesetzliche Verpflichtungen

Insbesondere das Erfordernis zur Dokumentation aufgrund gesetzlicher Regelungen wird gerne beiseite geschoben. Dabei ergeben sich bereits aus dem Handelsgesetzbuch Ansätze, nach denen eine Verfahrensdokumentation zu pflegen ist. Auch die Abgabenordnung enthält Forderungen, die in Richtung einer nachvollziehbaren Dokumentation der Geschäftsvorfälle und -abläufe abzielen.

5 gesetzliche Maßnahmen zur IT-Dokumentation

Bei den gesetzlichen Verpflichtungen stehen vor allem Fragen der Nachvollziehbarkeit und des Datenschutzes im Fokus. Zusätzlich gewinnt die IT-Sicherheit immer stärker an Bedeutung. Auch hier nimmt der Gesetzgeber die IT-Verantwortlichen mehr und mehr in die Pflicht und fordert mehrere Maßnahmen zur Datensicherheit zu ergreifen und diese auch zu dokumentieren:

1. Die Grund­sät­ze ord­nungs­mä­ßi­ger DV-ge­stütz­ter Buch­füh­rungs­sys­te­me

Vielfach vergessen werden die Anforderungen, die sich aus den Grundsätzen ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) ableiten. Diese gelten für jedes Unternehmen, das eine DV-gestützte Buchhaltung einsetzt.

Die GoBS fordern eine Verfahrensdokumentation aus der Inhalt, Aufbau und Ablauf des Abrechnungsverfahrens vollständig ersichtlich sein muss. Die Anforderungen an die Verfahrensdokumentation sind unabhängig von der Größe der genutzten Daten verarbeitenden Anlage und gelten sowohl für Großrechnersysteme, als auch für PC-Systeme.

Für bilanzierende Unternehmen wird außerdem aus den allgemeinen Bilanzierungserfordernissen heraus eine Bestandsdokumentation benötigt (so ist beispielsweise sowohl für Hard- als auch für Software ein Anlagenverzeichnis zu führen).

Unser Vorlagentipp: Checkliste GoBS-sicherer Einsatz

IT-Dokumentation: Welche gesetzlichen Vorgaben sind wichtig?

Checkliste zur Entwicklung von Verfahrensdokumentationen

Details:
- Rechtliche Grundlagen der Verfahrensdokumentation
- 6 GoBS-Grundsätze aus dem HGB und dem AO

Download-Preis: 49,00 €

Vorlage ansehen

2. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

So ist nach dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) die Geschäftsleitung verpflichtet, ein System zur frühzeitigen Erkennung von den Fortbestand des Unternehmens bedrohenden Entwicklungen und Risiken zu implementieren. Mittelbar betrifft dies auch Risiken aus der IT-Sicherheit.

3. Mindestanforderungen an das Risikomanagement

Und nicht erst mit der Finanzkrise werden an die Sicherheit von Finanzdienstleistern zusätzliche hohe gesetzliche und aufsichtsrechtliche Anforderungen gestellt. So haben diese bereits heute die Mindestanforderungen an das Risikomanagement (MaRisk) zu erfüllen. Und diese fordert in Bezug auf die IT-Organisation und -Dokumentation ausdrücklich ein Notfallhandbuch, das Geschäftsfortführungs- sowie Wiederanlaufpläne umfasst.

4. ISO 27001: Zertifizierung auf Basis von IT-Grundschutz

Aus diesem Grund ist die Sicherheit des IT-Betriebs mittlerweile Gegenstand der meisten Prüfungen. Zu nennen ist hier vor allem die ISO 27001, die die Grundlage der Prüfungen des Bundesamts für Sicherheit in der Informationstechnik darstellt. Und auch bei den Jahresabschlussprüfungen sowie bei den Prüfungsaktivitäten der Internen Revision ist die IT-Sicherheit ein wichtiger Prüfungsschwerpunkt.

5. BSI-Standard 100-4: Notfallmanagement

In diesem Zusammenhang fordert beispielsweise der BSI-Standard 100-4 des Bundesamt für Sicherheit in der Informationstechnik unter anderem folgende Dokumente:

  • Leitlinie zum Notfallmanagement
  • Bericht der Business Impact-Analyse
  • Bericht der Risikoanalyse
  • Notfallvorsorgekonzept
  • Notfallhandbuch inkl. Geschäftsfortführungsplänen
  • Melde- und Eskalationswege
  • Übungskonzept, Übungspläne und Übungsanlagen

Vor allem aber ist die IT-Sicherheit die Grundlage für einen störungsfreien Betrieb, der sicherstellt, dass alle erforderlichen Daten verfügbar sind und dass schützenswerte Daten vertraulich bleiben.

Das Buch passend zum Thema:

Praxisbuch IT-Dokumentation: Vom Betriebshandbuch bis zum Dokumentationsmanagement

IT-Dokumentation: Welche gesetzlichen Vorgaben sind wichtig?

Inhaltliche Fragen des Buches:

- Was gehört zur Dokumentation für den IT-Betrieb?
- Was sind notwendige Dokumente der Notfalldokumentation?
- Wie können Anforderungen in der Praxis umgesetzt werden?

Buch: 44,99 €
eBook: 35,99 €

Jetzt ansehen

(Dieser Artikel wurde am 27.01.2017 überarbeitet.)