CIO als Risikomanager in den Vorstand

Für den CIO bedeutet das, eine neue Rolle einzunehmen. „Die IT war bis dato nicht am Risikomanagement der Unternehmen beteiligt", konstatiert Ragnar Nilsson, Ex-CIO von Bertelsmann und Aventis und nun Inhaber der Beratungsfirma CIO Consults in Mülheim. „Neben IT-Security-Aspekten kommen nun immer mehr prozessgetriebene Risiken auf Unternehmen zu", so Nilsson, „Zahlen müssen richtig generiert werden, ordnungsgemäß und aktuell und transparent gehalten werden." Der CIO nimmt also eine Schlüsselposition ein: „Fehler in der Dokumentation liegen in seiner Verantwortung – und die haben Auswirkungen auf das Gesamtgeschäft", so Nilsson, der den CIO wegen dieser Verantwortung organisatorisch im Vorstand als Risikomanager verankern und unterstützen will. Doch jetzt, wo CIOs den Karrieresprung schlechthin machen könnten, ziehen viele zurück.

CIOs scheuen Compliance-Verantwortung

Die gestiegene Verantwortung bringt den CIO in die Zwickmühle: „Einerseits hat er sich immer gewünscht, in die obere Ebene hineinzugelangen, doch jetzt kommen die regulatorischen Anforderungen auf oberster Führungsebene ... ", so Brenner. Für Nilsson ist das Zögern der CIOs ein Zeichen dafür, dass sie in der IT-Organisation noch nicht im Risikomanagement angekommen sind. „Da allerdings Unternehmensziele zu IT-Zielen werden müssen, wird die Entwicklung des CIO unweigerlich in die Ebene des Risikomanagements gehen", ist Nilsson überzeugt.

Im mittelständischen und an der New Yorker Börse notierten Unternehmen Pfeiffer Vacuum Technologie fühlt sich der IT-Leiter für dieses Thema überhaupt nicht zuständig: „Das ist Sache des Controllings." Und ansonsten gibt man sich gelassen. „SOX passt in unser Revisionsschema", sagt die Leiterin der Abteilung FinanzenFinanzen und Controlling Nathalie Benedikt. „Zudem weiß man später, was eine Prozessoptimierung wirklich bringt." Top-Firmen der Branche Finanzen

Vergleichsweise einfach hat es auch Joachim Jagomast, der alle Verantwortung an den Mutterkonzern zurückgibt. Der IT-Chef der mittelständischen Tochter des US-Pharmakonzerns Bausch & Lomb, von Gerhard Mann Pharma, bekommt regelmäßig „Technical Rise Bulletins" (TRGs) aus den USA übermittelt, die er dann umsetzt. Zusammen mit dem Corporate Audit hat er einen Aktionsplan entworfen, um die US-Vorgaben zu erfüllen. Inzwischen hat er 39 Prozesse festgeschrieben. Zehn Prozent der ursprünglichen Kosten fallen nun für SOX an – Geld, das von IT-Projekten abgeht. „Ich gehe davon aus, dass damit alle Anforderungen erfüllt sind", sagt Jagomast, der die Verantwortung postwendend wieder in die USA zurückschickt.

Syngenta-CIO Steve Holt setzte bereits in der Vergangenheit darauf, dass Business- und IS-Leute eng zusammenarbeiten. Und doch gibt es gravierende Unterschiede: „Die IT ist gewohnt, mit Deficiencies umzugehen", erläutert Schneeberger, „Betriebswirtschaftler neigen zur Ansicht: Irgendwer merkt das schon, wenn ich einen Fehler gemacht habe und nicht jeder formale Mangel ist Match-entscheidend." Deshalb setzt Syngenta nun auf stärkere Kontrolle und Null-Fehler-Toleranz.