HMD 250, 43. Jahrgang, August 2006

IT-Governance

SOX-IT-Compliance bei Novartis

Alexander Ritschel, Axel Hochstein, Monika Josi, Walter Brenner

Zusammenfassung

Regulatorische Anforderungen und deren Compliance haben in den letzten Jahren im IT-Management stetig an Bedeutung gewonnen. Der branchenübergreifend wahrscheinlich einschneidenste regulatorische Eingriff der letzten Jahre kommt aus den USA - der Sarbanes-Oxley Act. Der vorliegende Beitrag beschreibt das Compliance-Projekt der IT von Novartis. Dabei wird insbesondere auf die Vorbereitung des Projektes und den Rollout eingegangen. Anschließend wird die Verwendung von CobiT im Rahmen des Projektes erläutert. Anhand der Lessons Learned des Projektes werden Chancen und Herausforderungen im Rahmen von Compliance-Projekten dargestellt.

Am SOX-Projekt bei Novartis kann man sehr gut sehen, dass ein SOX-Projekt grundsätzlich ein Projekt ist wie jedes andere. Der Business Value dieses ursprünglichen Compliance-Projektes entsteht nicht unmittelbar nach Abschluss des Projektes durch Compliance mit gesetzlichen Anforderungen, sondern durch Prozessstandardisierung, - dokumentation und Durchsetzung von standardisierten Prozessen. Compliance-Projekte müssen also nicht zwangsläufig ausschließlich eine Belastung sein, sondern können auch Business Value generieren, wenn sie richtig angegangen werden.

Inhaltsübersicht

  1. Compliance als geschäftskritische Herausforderung
  2. Das Unternehmen Novartis
  3. Ausgangslage und Problemstellung
  4. Projektvorbereitungen
    1. Projektorganisation
    2. Geografische und fachliche Abgrenzung des Projektes
    3. Inhaltliche Abgrenzung des Projektes
  5. Rollout-Projekt
    1. Document Key Controls
    2. Document Gaps
    3. Remediate Gaps
    4. Test Key Controls
    5. Audit / Reviews
  6. Nutzung von CobiT zur SOX-Compliance
  7. Lessons Learned
    1. Projektbezogene Lessons Learned
    2. Lessons Learned aus dem Einsatz von SOX
  8. Literatur