ITIL, CobiT, SOX , EuroSOX und GMP, GAMP5©, cGxP - widersprüchliche oder komplementäre Sichtweisen für qualitätsgesicherte IT-Prozesse?

Während SOX (Sarbanes Oxley Act, USA) / EuroSOX (8.EU-Richtlinie 2006/43/EG, Abschlussprüfungsrichtlinie) und eine cGxP-gerechte IT über Gesetze verbindlich für die regulierten Unternehmen sind, sind ITIL (Information Technology Infrastructure Library) / CobiT (Control Objectives for Information and Related Technology) und GAMP5© freiwillige Industrie-Standards. Leider sind die Inhalte nicht deckungsgleich. Zusätzliche Anforderungen entstehen durch Corporate Governance-Anforderungen, welche in IT-Governance-Richtlinien umgesetzt und bei Unternehmensprüfungen durchaus abgefragt werden.

Folgerungen für IT-Prozesse
Für die Unternehmens-IT, insbesondere mittelständischer Firmen, ergibt sich nun die Frage: wie soll man mit vertretbarem Aufwand so vieler verschiedener Herren Diener sein?

Um dies zu beantworten, müssen die Schnittmengen der Anforderungen und ihre Besonderheiten erarbeitet werden. So betrachten cGxP und GAMP in einem Unternehmen vorwiegend die Prozesse, welche unmittelbar mit der Herstellung, Qualität und dem Inverkehrbringen von Produkten verbunden sind. SOX/EuroSOX legen Augenmerk auf die Finanz- und Kostenströme im Unternehmen, während ITIL und CobiT die IT-Service-Prozesse und -strukturen im Blickfeld haben.

Im Prinzip sind die Forderungen an die IT aus allen diesen Richtungen dieselben:

• Sicherstellung der Produktivität
• Sicherstellung der Qualität
• Grössere Effektivität der IT-Services
• Minderung von Risiken (Produktrisiken ebenso wie Finanzrisiken)

ITIL und CobiT stellen Werkzeuge und Zielgrössen für den sicheren Betrieb einer Unternehmens-IT zur Verfügung:

• Service Desk
• Incident Management
• Problem Management
• Change Management
• Release Management
• Configuration Management
• Availability Management
• Capacity Management
• IT Service Continuity Management
• Financial Management for IT Services
• Service Level Management

Jedes Unternehmen muss sich allerdings den eigenen Weg definieren und implementieren.

Zwischen den O-Anhängen im GAMP5© oder den Ausführungen des Kapitels 4.3 und ITIL/CobiT sind die Unterschiede eher im Detail zu sehen als in den grundlegenden Anforderungen für einen sicheren IT-Betrieb. Nach einer validierten Einführung eines Systems muss auch der weitere Betrieb qualitätsgesichert durchgeführt werden. Der Schwerpunkt liegt aber auf den Prozessen, welche einen direkten Einfluss auf die Produkt- und/oder Patientensicherheit haben können. Betriebswirtschaftliche Prozesse sind nur im Hintergrund von Belang. Die Anforderungen an gesicherte Nachweise in Form schriftlicher oder elektronischer Aufzeichnungen sind höher als bei ITIL/CobiT.

SOX/EuroSOX fordern ebenso transparente und stabile Prozesse im kaufmännischen Bereich der Unternehmens-IT. Worte wie valide, stabile Systeme, sicherer Betrieb, Management von Störfällen usw. tauchen hier ebenso auf. Im Fokus stehen die Systeme oder Module eines ERP-Systems, welche das Finanz- und Rechnungswesen, Werte- und Mengenflüsse im Unternehmen und damit die betriebswirtschaftlichen und steuerrelevanten Daten im Unternehmen beeinflussen. Betriebs- und Wirtschaftsprüfer schauen im Zuge der Abschlussprüfungen intensiver denn je nach diesen Dingen und dokumentierten Nachweisen.

Fazit
Eine Ausrichtung der IT nach ITIL/CobiT-Standards hilft durch den klar strukturierten Ansatz für die IT-Service-Prozesse, dass die Anforderungen an eine sichere und stabile Unternehmens-IT erfüllbar sind. Sie können damit als Ausgangsbasis dienen. Umgekehrt können Unternehmen mit einer klar nach GAMP5© ausgerichteten IT mit wenig Zusatzaufwand ITIL/CobiT einführen.

Ziel muss es sein, Projektmanagement, Testverfahren und -reports, Betriebs-SOPs, Change Control, Operational Controls und insbesondere die Dokumentationsstrukturen so auszurichten, dass die jeweiligen Anforderungen in gemeinsame Abläufe integriert werden. So müssen Prozess- und Ergebnisdokumentationen für Audits und Betriebsprüfungen nur einmal erzeugt werden.

Da die GMP-Anforderungen den höchsten Dokumentationsstandard setzen, sollten diese als Ausgangspunkt dienen und mit den ITIL-Prozessen ergänzt oder den CobiT-Controls verbunden werden. Die Ziele der jeweiligen Standards sollten nicht als widersprüchlich, sondern als verschiedene Seiten eines Anforderungswürfels gesehen werden, um die verschiedenen Richtlinien mit vertretbarem Aufwand zu erfüllen.

Dr. Thomas Karlewski
Managing Consultant, Compliance Consulting
Chemgineering - The Business Designers