In einer Zeit, in der Daten längst zu einem der wertvollsten Vermögenswerte von Organisationen geworden sind, steht das Vertrauen in die Datenverarbeitung und adäquater compliance-konformer Archivierung und Löschung dieser an vorderster Stelle. Datenverarbeitung umfasst nicht nur das Sammeln und Speichern von Informationen, sondern auch die Sicherstellung ihrer Integrität, Verfügbarkeit und Vertraulichkeit. Für Revisor:Innen ist die Gewährleistung dieser Vertrauenswürdigkeit von besonderer Bedeutung, um sowohl Mitarbeiter:Innen, als auch Kund:Innen Vertrauen durch einen verantwortungsvollen Umgang mit den anvertrauten Daten zu erlauben.
Eine toolgestützte Data Governance – wie etwa durch die im Folgenden näher beleuchtete Software SAP ILM – schafft die compliance-konforme Basis für den Lebenszyklus von Daten und Informationen. Es spielt eine entscheidende Rolle für Unternehmen und deren Revisor:Innen, um die Qualität, Sicherheit und Integrität von Daten zu gewährleisten. Dadurch wird es ermöglicht Risiken zu identifizieren, Datenlecks zu verhindern und die Datenintegrität zu wahren, wodurch das Vertrauen in die Datenverarbeitung wesentlich gestärkt wird.
Herausforderungen für Revisor:Innen in der Datenverarbeitung
Die fortschreitende Digitalisierung und die stetig steigende Menge an Daten stellen Revisor:Innen vor neue Herausforderungen, die eine Anpassung ihrer Fähigkeiten und Prüfmethoden erfordern. Im Folgenden sind einige der Herausforderungen beleuchtet, denen Revisor:Innen bei der Bewertung der Datenverarbeitung in Unternehmen gegenüberstehen:
- Wachsende Datenkomplexität: In der heutigen Geschäftswelt entsteht eine immense Menge an Daten, unter anderem u.a. aus finanziellen Transaktionen, Kund:Innen-Informationen, Mitarbeiter:Innen-Informationen/-aufzeichnungen, Betriebs- und Sensordaten. Revisor:Innen müssen diese Daten effizient prüfen und analysieren, um potenzielle Risiken und Unregelmäßigkeiten zu identifizieren. Dies erfordert technisches Verständnis und die Fähigkeit, die richtigen Werkzeuge und Analysemethoden anzuwenden.
- Sicherstellung von Datenschutz und -sicherheit: Geleitet unter anderem durch das Risiko von Cyberangriffen und Datenschutzverletzungen bietet sich das Prüfthema an, dass sensible Daten angemessen geschützt sind. Das Fehlen angemessener Sicherheitsmaßnahmen – etwa die frühzeitige Identifizierung von Schwachstellen, die Überwachung von Zugriffsrechten oder die Prüfung von Richtlinien – kann zu schwerwiegenden Konsequenzen wie Datenlecks, finanziellen Verlusten und rechtlichen Folgen führen. Die Gewährleistung von Datenintegrität und Vertraulichkeit ist entscheidend, da Verstöße nicht nur das Kund:innenvertrauen gefährden, sondern auch rechtliche und teils finanzielle Konsequenzen haben können.
- Verlagerung von Prozessen (und Daten) in die Cloud: Durch die zunehmende Verlagerung von Geschäftsprozessen und Daten in die Cloud rückt in das potenzielle Prüffeld der Revisor:Innen, ob die dortige Datenspeicherung und -verarbeitung Sicherheits- und Compliance-Standards entspricht, in den Fokus. Dies erfordert ebenfalls angepasste Prüfmethoden und -werkzeuge, um Datenrisiken auch in dezentralen Umgebungen effektiv zu überwachen.
- Veraltete Daten: Eine weitere bedeutende Herausforderung für Revisor:Innen in der Datenverarbeitung besteht darin, mit veralteten Daten und ineffizienten Prozessen umzugehen. In vielen Unternehmen werden Daten über einen langen Zeitraum gespeichert, ohne dass klare Aufbewahrungsrichtlinien oder Bereinigungsverfahren vorhanden sind. Die Aufgabe des Unternehmens besteht darin, effiziente Datenmanagementpraktiken zu implementieren. Dies erfordert die Definition klarer Aufbewahrungsfristen, welche in entsprechenden Richtlinien bzw. Konzepten festgehalten werden müssen, um sicherzustellen, dass Daten nur so lange aufbewahrt werden, wie es gesetzlich erlaubt und für die Geschäftsprozesse von Nöten ist. Hierdurch entsteht die Aufgabe, die konträren Interessen von Gesetzgebung und firmeninternen Prozessen abzuwägen und im Rahmen eines aktiv geführten Diskurses zu einer beidseitigen Zufriedenheit beizutragen.
- Prozessineffizienz und Dateninkonsistenzen: Die Anpassung an neue Technologien und effiziente Datenverarbeitungsprozesse ist eine weitere Herausforderung. Unternehmen setzen kontinuierlich neue Software, Systeme und Datenbanken ein, was dazu führen kann, dass veraltete Technologien und Prozesse parallel existieren. Revisor:Innen können prüfen, dass die Integration und Aktualisierung von Datenverarbeitungssystemen reibungslos verläuft und keine Konflikte oder Dateninkonsistenzen verursacht. Die Prüfung und Optimierung von Datenverarbeitungsprozessen erfordert detaillierte Kenntnisse der Geschäftsabläufe, um sicherzustellen, dass die Datenverarbeitung ordnungsgemäß und auf die Bedürfnisse des Unternehmens zugeschnitten ist. Insgesamt ist es eine wesentliche Aufgabe einer Unternehmensrevision Datenverarbeitungsprozesse auf Effizienz und Transparenz zu prüfen, indem sie mit der IT-Abteilung und den Fachbereichen zusammenarbeiten und die Praktiken kontinuierlich betrachten, um den ständigen Veränderungen in der Datenverarbeitung gerecht zu werden.
Zusammenfassend lässt sich sagen, dass Revisor:Innen vor vielfältigen Herausforderungen durch Datenverarbeitung und dessen Lebenszyklus stehen. Die Bewältigung dieser Herausforderungen erfordert eine kontinuierliche Weiterentwicklung von Fähigkeiten und die Anpassung von Prüfverfahren, um sicherzustellen, dass die ständig wachsenden Anforderungen an Datenmanagement, Sicherheit und Compliance erfüllt werden können. Benutzt das Unternehmen bereits eine Data Governance Software wie SAP ILM, so können viele der dargelegten Herausforderungen proaktiv behandelt und gemanagt werden.
SAP Information Lifecycle Management (ILM)
SAP wird von Unternehmen weltweit verwendet, um verschiedene Geschäftsprozesse und die dazugehörigen Daten und Informationen zu verwalten – darunter Finanzwesen, Personalwesen, Beschaffung, Produktion und vieles mehr.
SAP ILM (Information Lifecycle Management) ist eine spezielle Lösung von SAP, die es Unternehmen ermöglicht, ihre Daten und Informationen effektiv zu verwalten – einschließlich Archivierung, Datenverwaltung, Löschung und Compliance. SAP ILM zeichnet sich durch seine nahtlose Integration in bestehende SAP-Systeme aus, wodurch es Revisor:Innen ermöglicht wird, Datenmanagement und -sicherheit in den täglichen Geschäftsprozessen zu prüfen. Mit SAP ILM können Unternehmen den Lebenszyklus ihrer Daten und Informationen steuern, sensible Daten schützen, Daten längerfristig aufbewahren und die Anforderungen an die Datenschutzregelungen erfüllen. Zudem sei erwähnt, dass SAP ILM kostenfrei seitens SAP zur Verfügung gestellt wird (lediglich ausgewählte Funktionen sind zusätzlich zu erwerben).
Der Fokus auf ein ordnungsgemäßes Managen des Daten-Lebenszyklusermöglicht es Revisor:Innen, die Daten von ihrer Entstehung bis zur Vernichtung zu überwachen und zu kontrollieren. Dies schafft Transparenz und Vertrauen in den gesamten Datenverarbeitungsprozess. Vorhandene Lösungen wie SAP ILM unterstützen Revisor:Innen bei der Prüfung von Datenaufbewahrungsrichtlinien, der Identifizierung und Klassifizierung sensibler Informationen und dem Review einer Zugriffsrechtverwaltung. Darüber hinaus erleichtert es der Revision, die Konformität mit gesetzlichen Anforderungen nachzuverfolgen und sicherzustellen, dass Daten sicher und rechtskonform aufbewahrt und rechtzeitig gelöscht werden. Dieses datenbasierte Lifecycle Management stärkt ebenso die Glaubwürdigkeit der Revisionsprozesse und gewährleistet eine zuverlässige Überwachung der Datenverarbeitung in Unternehmen.
Durch die Integration von SAP ILM in die bestehende IT-Infrastruktur erhalten Revisor:Innen einen ganzheitlichen Überblick über die Datenverarbeitung in Echtzeit. Dadurch wird die Möglichkeit geschaffen, potenzielle Risiken zu identifizieren und proaktiv Maßnahmen zu ergreifen, um Verstöße zu verhindern. Diese Lösung stärkt also das Vertrauen in die Datenverarbeitung und trägt dazu bei, dass Organisationen den strengen Anforderungen der Compliance gerecht werden.
Funktionsweise
SAP Information Lifecycle Management (ILM) bietet vor allem die Möglichkeit zur revisionssicheren Archivierung und Löschung von personenbezogenen Daten. Dies geschieht anhand der vorab in Abstimmung zwischen dem Fachbereich und dem Datenschutz vereinbarten Löschfristen, um sicherzustellen, dass dies zum richtigen Zeitpunkt und gemäß gesetzlicher Vorschriften erfolgt. Ein typischer Aufbewahrungszeitraum könnte beispielsweise sieben Jahre betragen, nach dessen Ablauf die Daten gelöscht werden (= aktuelle Aufbewahrungspflicht in Österreich für Finanzdaten lt. BAO).
Durch die bereits erwähnte Bewegung in Richtung Cloud sind neben einer Performancesteigerung auch die geringeren Kosten als Beweggründe für eine Datenarchivierungs- und Löschlösung anzusehen. Geringere Datenmengen im Produktivsystem verringert die Indexgröße und steigert die Performance. Zudem sind Archivspeicher um ein Vielfaches kostengünstiger als vergleichbare Produktivspeicherlösungen.
Die Löschung von Daten erfolgt in der SAP ILM Lösung wie folgt: Zuerst werden nach Ablauf der Dauer, in welcher Schreibzugriff benötigt wird (= Zweck der Verarbeitung), die Daten in ein Archiv übertragen (= Startpunkt der Sperrzeit), und erst nach Ablauf der definierten Aufbewahrungsfrist endgültig gelöscht.
SAP ILM besteht aus drei Grundmodulen, die zu einer einzigen Software-Lösung kombiniert sind:
- Datenarchivierung: Dieser Baustein ermöglicht die Verwaltung verschiedener Daten im System, einschließlich Archivierung und gezielter Löschung großer Datenmengen und ganzer Datenbanken. SAP ILM erweitert die traditionelle Datenarchivierung um eine Integration mit anderen Bausteinen und zusätzliche Funktionen wie einer Snapshot-Erstellung.
- Retention Management: Der Information Retention Manager (IRM) ist ein wesentlicher Bestandteil von ILM und spielt eine zentrale Rolle, indem der gesamte Lebenszyklus der Daten von ihrer Entstehung bis zur gezielten Vernichtung damit regelt wird. Es lassen sich spezifische Regeln für Aufbewahrungsfristen festlegen, und Dokumente können gemäß diesen Fristen vernichtet werden. Durch die Festlegung spezifischer Regeln für Aufbewahrungsfristen ermöglicht der IRM die geordnete Vernichtung von Dokumenten. Dieser Baustein bietet verschiedene Tools und Methoden für alle Aspekte der Datenaufbewahrung und berücksichtigt dabei gesetzliche Vorschriften sowie andere Regelwerke.
- Retention Warehouse: Das ILM Retention Warehouse vereinfacht die Stilllegung von Altsystemen, indem es sämtliche Daten eines nicht mehr benötigten Systems gemäß ILM-Regeln ordnet und sicher in der ILM-Ablage speichert. Dieser Baustein fokussiert sich auf Szenarien am Ende einer Systemlebensdauer und bietet eine standardisierte Methode zur Stilllegung von Legacy-Systemen (z.B. SAP ECC 6.0 nach einer Transformation auf S/4 HANA). Der Prozess umfasst das Ablegen von Daten des Altsystems in ein Retention Warehouse, gefolgt von der Übertragung der archivierten Daten für Berichts- und Auditzwecke in eine Zielumgebung.
Weitere, für Revisor:Innen relevante Features sind:
- ILM-fähige Ablage: Die ILM-fähige Ablage stellt sicher, dass die im IRM (Information Retention Manager) erfassten Regeln und Regelwerke korrekt ausgeführt werden. Sie ermöglicht die Integration des Ablagesystems über eine Web-basierte Schnittstelle und die Anwendung von Aufbewahrungseigenschaften.
- Legal Case Management: Diese Funktion unterstützt die Verwaltung von Daten in Zusammenhang mit rechtlichen Vorgängen. Sie ermöglicht die Anlage von Rechtsfällen und die Verknüpfung relevanter Daten. Dank der Legal-Hold-Funktion können Daten zu Rechtsfällen „eingefroren“ werden, selbst wenn die Aufbewahrungsfrist bereits abgelaufen ist und die Daten eigentlich gelöscht werden würden.
Implementierung von SAP ILM
Die technische Umsetzung von SAP Information Lifecycle Management (ILM) muss in enger Zusammenarbeit zwischen dem:der Datenschutzbeauftragen/-verantwortlichen, der IT-Abteilung und den Fachabteilungen erfolgen. Im Allgemeinen umfasst die technische Implementierung von SAP ILM folgende Schritte:
Systemintegration: SAP ILM wird in die vorhandene SAP-System-Landschaft integriert, um den Daten-Lebenszyklus nahtlos zu überwachen und zu steuern. Dies erfordert eine enge Abstimmung mit den technischen und fachlichen Expert:Innen, um sicherzustellen, dass die Lösung reibungslos in die bestehenden Geschäftsprozesse integriert wird.
Datenklassifizierung: Ein wesentlicher Schritt ist die Klassifizierung von Daten, um festzulegen, welche Daten als sensibel gelten und spezielle Schutzmaßnahmen erfordern. Dies kann mithilfe von Tags und Metadaten erfolgen. Die Klassifizierung der Daten liegt in der Verantwortung der Fachbereiche (= Daten-Owner:Innen).
Erstellung von Aufbewahrungsrichtlinien: Basierend auf den Datenklassifikationen werden Aufbewahrungsrichtlinien erstellt, die festlegen, wie lange Daten aufbewahrt werden sollen und wann sie gelöscht werden können. Die Richtlinie bildet die Basis für die technische Einstellungen je Datenobjekt in SAP ILM.
Überwachung und Steuerung: Auch die Überwachung und Steuerung von SAP ILM will geplant sein: Diese ermöglicht die automatisierte Datenlöschung, wenn die Aufbewahrungsfrist abgelaufen ist.
Die technische Umsetzung von SAP ILM erfordert eine sorgfältige Planung und eine klare Kommunikation zwischen den IT-Expert:Innen, Datenschutzbeauftragten und anderen relevanten Stakeholder:Innen (Fachbereichen). Revisor:Innen sind hier angehalten, die erfolgreiche Implementierung durch eine begleitende Prüfung zu unterstützen. Dies trägt zur Sicherheit und Wirksamkeit des Systems bei und stärkt das Vertrauen in die Datenverarbeitung.
Ziele und Vorteile von SAP ILM
Die Implementierung und Nutzung von SAP ILM bietet mehrere Vorteile für Unternehmen und damit einhergehend auch Revisor:Innen. Zu diesen gehören:
Transparente Datenverarbeitung: Revisor:Innen erhalten einen klaren Überblick über den Daten-Lebenszyklus und können Verstöße und Abweichungen leicht identifizieren.
Effiziente Compliance-Prüfungen: Die Lösung erleichtert die Dokumentation und Überprüfung der Compliance, wodurch Revisionsprozesse effizienter gestaltet werden können.
Datenintegrität und Sicherheit: Die Lösung bietet umfassende Kontrollmechanismen, um die Integrität und Sicherheit von Daten zu gewährleisten. Revisor:Innen können so sicherstellen, dass sensible Informationen vor unbefugtem Zugriff geschützt sind.
Optimierung der Datenverwaltung: SAP ILM ermöglicht eine effiziente Verwaltung des Daten-Lebenszyklus, einschließlich der automatisierten Löschung von Daten, die nicht mehr benötigt werden. Dies führt zu einer Reduzierung von Speicherkosten und einer verbesserten Datenqualität. Durch die optimale Datenarchivierung und die nachfolgende Datenvernichtung mit SAP ILM ergeben sich erhebliche finanzielle Einsparungen. Dies zeigt sich beispielsweise in reduzierten Kosten für Arbeitsspeicher. Gleichzeitig verbessert sich die Effizienz der Datenbank durch den freien Speicherplatz, wodurch es zu einer beschleunigten Datenverarbeitung kommen kann.
Zusätzliche Datenkontrolle: Ein weiterer großer Vorteil von SAP ILM liegt in der gesteigerten Datenkontrolle. Da die Löschung der Daten auf regelbasierten und automatisierten Prozessen beruht, ist eine umfassende Nachverfolgung der Vorgänge im Falle einer Prüfung gewährleistet. Dies erleichtert die Einhaltung der Anforderungen der Datenschutz-Grundverordnung (DSGVO) erheblich – sofern sichergestellt ist, dass konzeptionell korrekte Vorarbeit geleistet wurde und die Implementierung dessen entspricht.
Insgesamt unterstützt SAP ILM nicht nur das Unternehmen, sondern auch die Revisor:Innen dabei, das Vertrauen in die Datenverarbeitung zu stärken, die Compliance sicherzustellen und den Lebenszyklus von Daten effektiv zu managen, was wiederum in einer datengetriebenen Welt von entscheidender Bedeutung ist.
Zukunftsausblick: Die Rolle von SAP ILM in der sich entwickelnden Prüfungslandschaft
Die Prüfungslandschaft unterliegt einem kontinuierlichen Wandel, da sich Unternehmensprozesse und die genutzten IT-Systeme in Zeiten der Digitalisierung stetig verändern und damit die Prüflandschaft um einige neue Themen erweitert wird.
In diesem sich verändernden Umfeld wird SAP Information Lifecycle Management (ILM) voraussichtlich eine noch prominentere Rolle spielen. Die steigende Menge an Daten und die verschärften gesetzlichen Vorschriften und die S/4 HANA Transformation werden die Bedeutung effizienter Datenverwaltung und Compliance weiter unterstreichen.
Darüber hinaus wird die Integration von SAP ILM mit neuen Technologien wie künstlicher Intelligenz (KI) und maschinelles Lernen eine tiefgreifendere Überwachung und Analyse von Daten ermöglichen. Revisor:Innen können von fortschrittlichen Analysewerkzeugen profitieren, um Muster und Anomalien in den Daten zu erkennen und Compliance-Verstöße proaktiv zu identifizieren.
Hier sind einige, potenziell absehbare zukünftige Prüfungsanforderungen:
- Erweiterte Datenanalytik und KI: Revisor:Innen werden verstärkt auf Analysetools und KI-Technologien angewiesen sein, um große Datensätze effizient zu prüfen und um Muster, Anomalien und Compliance-Verstöße zu erkennen. Die korrekte Datenbasis hierfür stellt SAP ILM sicher.
- Cybersicherheitsprüfungen: Da Cyberangriffe zunehmen, werden Prüfungen von Cybersicherheitsmaßnahmen und -praktiken eine wachsende Bedeutung erlangen, um die Risiken für Datenverluste und Datenschutzverletzungen zu minimieren. SAP ILM unterstützt proaktiv das Recht auf Vergessen lt. der Datenschutzgrundverordnung umzusetzen.
- Datentransparenz und -integrität: Die Prüfung von Datenintegrität und -transparenz wird essentiell sein, um sicherzustellen, dass Unternehmen die Genauigkeit und Vollständigkeit ihrer Daten gewährleisten können.
- Verwaltung von unstrukturierten Daten: Die Prüfung von unstrukturierten Datenquellen wie E-Mails, sozialen Medien und anderen digitalen Kommunikationskanälen wird an Bedeutung gewinnen, da sie in Unternehmen zunehmend für die Datenverarbeitung genutzt werden. Eine korrekte Archivierung und Löschung muss bestehen.
In Anbetracht dieser zukünftigen Prüfungsanforderungen werden Revisor:Innen vermehrt auf technisches Wissen und die Anwendung fortschrittlicher Prüfungsmethoden angewiesen sein. Die Fähigkeit zur effektiven Zusammenarbeit mit IT- und Security-Expert:Innn sowie den Fachbereichen und die Nutzung von spezialisierten Prüfungstools wird unerlässlich sein, um den steigenden Anforderungen gerecht zu werden und die Datenverarbeitung transparent, sicher und compliant zu gestalten.
Zusammenfassung
In einer Ära des exponentiellen Datenwachstums und der rasanten technologischen Entwicklung stehen Revisor:Innen vor immer komplexeren Aufgaben. Ihre Rolle bei der Gewährleistung von Datenintegrität, Datenschutz und Compliance ist von entscheidender Bedeutung, um das Vertrauen in die Datenverarbeitung zu stärken und Risiken zu minimieren.
SAP Information Lifecycle Management (ILM) bietet eine leistungsstarke Lösung, um Revisor:Innen bei ihren Aufgaben zu unterstützen, insbesondere in Bezug auf die Prüfung von Datenaufbewahrung und -löschung, Datenklassifikation und -kategorisierung, Revisionssicherheit und Nachvollziehbarkeit. Mit dem richtigen Wissen, den geeigneten Tools und der kontinuierlichen Anpassung an sich ändernde Anforderungen werden Revisor:Innen auch weiterhin eine Schlüsselrolle bei der Prüfung und Überwachung der Datenverarbeitung in Organisationen spielen.