20070910f arxes Corporate Governance Corporate Compliance
|
|
|
»manage
it«
als
|
Corporate Compliance aus Bordmitteln Das Erfüllen nationaler wie internationaler Corporate Governance Anforderungen an die IT gemäß des Sarbanes-Oxley Act oder des Deutschen Corporate-Governance-Kodex verunsichert Unternehmen zunehmend. Dabei ist die Umsetzung kein Hexenwerk und oftmals mit bereits vorhandenen »Bordmitteln« zu realisieren.
ie deutsche
Gesetzgebung hat bereits seit 1998 mit dem Kontroll- und Transparenzgesetz (KonTraG),
dem Transparenz- und Publikationsgesetz (TransPuG) oder dem Deutschen
Corporate-Governance-Kodex Kapitalgesellschaften dazu verpflichtet, sich mit
Governance-Themen auseinander zu setzen – also lange vor dem 2001 erlassenen
Sarbanes-Oxley Act, der amerikanische Unternehmensrecht reformierte. § Mehr Transparenz und verbesserte Informationspolitik § Unabhängigkeit der Prüfungsorgane und mehr Überwachung § Verantwortungsvoller Umgang mit Risiken sowie
§
Ausrichtung auf eine langfristige Wertschöpfung Die vier Elemente des Risikomanagement Abgebildet sind diese vertrauensbildenden Ziele in einem integrierten Risikomanagementsystem (i.w.S.) mit den folgenden vier Kernaufgaben (siehe Abbildung 1). Das Controlling hat die Funktion der Planung, Steuerung und Kontrolle im Unternehmen und sorgt somit durch die Sicherstellung von Effektivität und Effizienz für eine gesicherte, langfristige Wertschöpfung.
Das interne Kontrollsystem wiederum umfasst alle Formen von prozess- und organisationsimmanenten Steuerungs- und Kontrollmaßnahmen. Diese sind in die Wert schöpfenden Geschäftsprozesse integriert und sorgen somit für eine korrekte Prozessdurchführung sowie eine verlässliche Berichterstattung. Die interne Revision ist eine unabhängige, unternehmensinterne Funktion, die auf einer übergeordneten Ebene eingesetzte Kontrollmaßnahmen stets auf ihre Wirksamkeit überprüft und die Einhaltung gesetzlicher Vorschriften überwacht.
Die Konzeption
eines solchen Governance-Systems, die Anpassung an Wert schöpfende
Geschäftsprozesse sowie die gleichzeitige Ausrichtung an den
Unternehmensanforderungen gelten hierbei als größte Herausforderung. Der einfache Weg zu Corporate Compliance Um die unternehmerischen, IT-bezogenen Risiken zu managen und die damit verbundenen Kontrollen in einem IT-Governance-Modell systematisch zu implementieren, empfiehlt sich die Verwendung von Referenzmodellen wie COBIT und ITIL. Da die gänzliche Umsetzung der Modelle aber als kostspielig und sehr aufwendig gilt, sehen sich vor allem mittelständische Unternehmen (KMUs) oftmals überfordert und nicht in der Lage, die Auflagen zu erfüllen. Mit der Fokussierung auf die Anforderungen einer mittelständischen Kapitalgesellschaft hat beispielsweise die arxes NCC AG das Konzept »Corporate Compliance für den Mittelstand« entwickelt. Damit gelingt es, unter Einsatz bewährter und praxisorientierter Bordmittel sowie Teilen aus COBIT und ITIL, den Anforderungen gerecht zu werden, ohne die vollständigen Modelle implementieren zu müssen. Innerhalb eines Vorgehensmodells werden die gesetzlichen Richtlinien aufgegriffen und auf Basis der Geschäftsanforderungen sowie ausgesuchter Kontrollziele aus dem COBIT-Framework konkretisiert. Anschließend werden diese durch pragmatische und erprobte Vorgehensweisen operativ umgesetzt (siehe Abbildung 2).
Anhand dieser Anforderungen wird nun das COBIT-Framework herangezogen, welches Referenz-Prozesse und Kontrollen zur Verfügung stellt. Dies gewährleistet ein wirkungsvolles IT-Risikomanagement. Für die Einführung des Gesamtwerkes von COBIT spricht natürlich der sich daraus ergebende Wettbewerbs- und Kostenvorteil. Damit aber mittelständische Unternehmen die Anforderungen der Corporate-Governance-Richtlinien nach dem Minimalprinzip erfüllen und die daraus resultierenden Vorteile ausschöpfen können, genügen lediglich einige elementare Kontrollen aus dem reichhaltigen Angebot von COBIT. Nach Identifikation geeigneter Kontrollen müssen diese mit einer Projektmethodik operativ umgesetzt werden. Dies kann etwa über die Projektmanagementmethode PRINCE2 realisiert werden. Für den Betrieb der IT-Organisation hat sich ITIL als die Service-Management-Methode durchgesetzt. Auch hier muss die umfassende Version, welche alle Aspekte einer großen IT-Organisation berücksichtigt, auf ein kleineres Anforderungsniveau adaptiert werden. Allein durch das Zusammenfassen und Anpassen von Rollen, Support- und Delivery-Prozessen können mittelständisch geprägte Organisationen das ITIL-Framework sinnvoll nutzen, ohne dass zu viel organisatorischer Aufwand entsteht. Da ITIL einen großen Teil der geforderten Maßnahmen abdeckt, ist für Organisationen, die ITIL bereits vollständig oder teilweise eingeführt haben, der Weg zur Corporate Compliance um ein Vielfaches leichter. Ein weiterer wichtiger Aspekt im Rahmen der Corporate Compliance ist es, alle sicherheitsrelevanten Anforderungen, die unternehmens- und branchenspezifisch variieren, zu erfüllen. Dazu können in Unternehmen so genannte »Security Health Checks« auf Grundlage des BSI Grundschutzhandbuchs durchgeführt werden. Sicherheitslücken werden identifiziert und durch nachgelagert organisatorische, technische Maßnahmen behoben. Durch das somit geschaffene praxisorientierte, interne Kontrollsystem entstehen für mittelständische Gesellschaften nur minimale Kosten bei der Umsetzung der Anforderungen. Diese stehen in einem gesunden Verhältnis zur Leistungsfähigkeit. Alles in allem, benötigt so ein gut organisierter IT-Betrieb meistens nur einige überschaubare Anpassungen und Optimierungen bestehender »Bordmittel«, um so zusätzliche Produktivitätspotenziale in Aufbau- und Ablauforganisation aufzudecken. Stephan Brendel _____________________________________________________________________ Stephan Brendel ist Leiter Consulting bei der arxes NCC AG
Bordmittel im Überblick:
Stephan Brendel,
Leiter Consulting bei der arxes NCC AG:
Abbildung 1: Elemente eines Risikomanagementsystems (Quelle: arxes)
Abbildung 2: Schematische Darstellung des »Bordmittel-Konzepts« (Quelle: arxes)
|
|
Unter
Risikomanagement (i.e.S.) werden hier alle Aktivitäten zusammengefasst, die
sich mit den eher schwer quantifizierbaren Risikofaktoren beschäftigen, die den
Geschäftsbetrieb und die wertschöpfenden Prozesse behindern oder gar verhindern
können.
Die jeweiligen
Anforderungen an die Leistungsfähigkeit eines zu etablierenden Risikomanagement
werden idealerweise in einem gemeinsamen Strategie-Workshop von Unternehmen und
IT-Dienstleister sowie anhand einer aus der Balanced Scorecard abgeleiteten
Methode erarbeitet. Die daraus resultierenden Ergebnisse ergänzen und
spezifizieren die für das Unternehmen geltenden rechtlichen Aspekte und bilden
den Anforderungskatalog an das Risikomanagement.
