Analysten-Kolumne

Zentrale Komponenten von IT-Governance identifizieren

09.05.2007 von Peter Ratzer
Im Kontext strategischer IT-Fragestellungen spielt IT Governance eine zentrale Rolle. Unter ihr versteht man eine organisierte Funktion, um die Formulierung von IT-Strategie und IT-Plänen zu steuern, die Entwicklung und Implementierung von Initiativen zu lenken sowie zu kontrollieren. Überdies können so IT-Operationen mit dem Ziel, das Risiko zu minimieren, überwacht, der Gewinn maximiert und ein aktueller und zukünftiger Nutzen aufgebaut werden.

Vor diesem Hintergrund lassen sich im Wesentlichen vier zentrale Komponenten von IT Governance herausarbeiten:

  1. Struktur, Verantwortlichkeit und Kompetenz

    Organisations- und Gremienstruktur; definierte Rollen, Verantwortlichkeiten und Kompetenzen innerhalb der IT-Organisation; Controlling-Kultur, Ethik und Werte

  2. Prozesse und Koordination

    Festgelegte Abläufe für IT-Aufgaben, Entscheidungszyklen, strategische und taktische Planung, Risiko-Management, programmbezogenes Governance-Reporting

  3. Ziele und Erfolgsmessung

    Definition von Leistungszielen sowie Zielerreichungsermittlung und -bewertung; Information und Kommunikation, die Managern die Geschäfts- und IT-Steuerung ermöglicht; Transparenz von Geschäftsabläufen und Leistungsständen

  4. Compliance

    Einhaltung von internen wie externen Regelungen bzw. Gesetzen; gezielte Steuerungsmitteilungen an Einzelpersonen, Abteilungen und das Management, Korrelation von Leistung und Belohnung, Monitoring von internen Kontrollprozessen

Insbesondere IT-Compliance gewinnt durch die wachsende Zahl relevanter Gesetze und Vorschriften zunehmend an Bedeutung. Diese basieren auf Geschäftsprozessanforderungen, die sich beispielsweise in handelsrechtlichen Vorschriften für Buchführung und Bilanzierung (GoB) widerspiegeln.

Weitere prominente Beispiele sind der US-amerikanische Sarbanes-Oxley-Act und Basel II sowie branchenspezifische Regularien wie das Kreditwesengesetz (KWG), das Telekommunikationsgesetz (TKG), das Teledienstegesetz (TDG), der "Health Insurance Portability and Accountability Act" (HIPAA) sowie die Verlautbarungen der Food and Drug Association (FDA). Die daraus resultierenden Anforderungen an die unterstützenden IT-Systeme folgen den Kriterien Qualität, Sicherheit und Ordnungsmäßigkeit. Konkrete - jedoch nicht abschließende - Arbeitsfelder sind Effizienz, Zuverlässigkeit, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten.

Darüber hinaus werden Anforderungen an die IT Compliance in einigen Gesetzen/ Regularien auch direkt adressiert:

Bundesdatenschutzgesetz (BDSG): Ziel dieses Gesetzes ist der Schutz der Vertraulichkeit von personenbezogenen Daten gegenüber dem Missbrauch durch Dritte. Dabei zielen die Anforderungen auf den sachgerechten Umgang und die kontrollierte Weitergabe von schützenswerten Daten ab.

Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Diese vom Bundesministerium der Finanzen veröffentlichten Grundsätze sehen vor, dass im Rahmen einer Betriebsprüfung sämtliche elektronisch erzeugten Daten in elektronisch auswertbarer Form vorliegen müssen, sofern sie steuerlich relevant sind. Hierfür sind unterschiedliche Zugriffsverfahren sowie Möglichkeiten des Datenextrakts vorgesehen.

Mindestanforderungen an das Risiko-Management für Finanzdienstleister (MaRisk): Die Bundesanstalt für Finanzdienstleistungsaufsicht hat mit den MaRisk eine Konkretisierung der im Kreditwesengesetz (KWG) kodifizierten Grundsätze mit klarem IT-Bezug im Sinne einer Best-Practice-Betrachtung definiert. Es werden explizit Anforderungen an Informationssicherheit, Change Management und Notfallplanung gestellt. Für die Umsetzung wird die Orientierung an geltenden IT-Sicherheitsstandards wie z. B. BSI-Grundschutz oder ISO 17799 / 27001 gefordert.

Compliance richtig planen und überprüfen.

Um auf die steigende Anzahl von Vorschriften auch in einem dynamischen Umfeld reagieren zu können, ist eine statische Betrachtung nicht ausreichend. Vielmehr ist es erforderlich, einen Prozess zu installieren, der eine kontinuierliche Anpassung an geänderte Anforderungen in allen Ländern, in denen das Unternehmen tätig ist, sicherstellt. Prozessverantwortlicher ist meist der CCO (Chief Compliance Officer), bei nicht börsennotierten Gesellschaften werden die Aufgaben des CCO entweder vom Finanzvorstand mit übernommen oder - nicht selten zum Nachteil des Unternehmens - nicht systematisch bearbeitet.

Prozessdefinitionen und Aktivitäten bei Compliance.

Der Druck auf Governance- und Compliance-Themen wird sich in den kommenden Jahren weiter signifikant erhöhen. Sarbanes-Oxley-ähnliche Gesetzeswerke wurden in Ländern wie Japan, Korea und Indien verabschiedet. Auf EU-Ebene werden die Governance-Anforderungen mit der 4., 7. und 8. EU-Richtline deutlich verschärft. Das im Januar 2007 in Deutschland verabschiedete Transparenzrichtlinien-Umsetzungsgesetz (TUG) enthält neben dem sogenannten "Bilanzeid", den Vorstände künftig zu leisten haben, auch erstmals die Androhung von Freiheitsstrafen gegen Vorstände bei Verstößen gegen dieses Gesetz.

IT muss zwingender Bestandteil der Compliance-Prozesse sein, um eine effiziente Umsetzung der regulatorischen und gesetzlichen Anforderungen zu ermöglichen. Dabei lässt sich das Thema IT-Compliance in prozessbezogene Bestandteile (z.B. Umsetzung von integrierten Kontrollen in Geschäftsprozessen) und infrastrukturbezogene Bestandteile (z.B. zuverlässige Datenbanken, umfassender Virenschutz, etc.) differenzieren.

Bei ersteren geht es meist um die Ausgestaltung von immanenten Kontrollen durch Customizing oder die Umsetzung von Vier-Augen-Prinzipien mittels Berechtigungsvergabe. Für die IT-Infrastruktur können Compliance-Anforderungen in höherem Maße standardisiert werden; daher bietet sich die Nutzung vorhandener Best Practice Benchmarks in Form von Standards und Rahmenvorgaben (Frameworks) an.

Peter Ratzer ist Berater für IT-Strategie bei Deloitte.