Vor diesem Hintergrund lassen sich im Wesentlichen vier zentrale Komponenten von IT Governance herausarbeiten:
-
Struktur, Verantwortlichkeit und Kompetenz
Organisations- und Gremienstruktur; definierte Rollen, Verantwortlichkeiten und Kompetenzen innerhalb der IT-Organisation; Controlling-Kultur, Ethik und Werte
-
Prozesse und Koordination
Festgelegte Abläufe für IT-Aufgaben, Entscheidungszyklen, strategische und taktische Planung, Risiko-Management, programmbezogenes Governance-Reporting
-
Ziele und Erfolgsmessung
Definition von Leistungszielen sowie Zielerreichungsermittlung und -bewertung; Information und Kommunikation, die Managern die Geschäfts- und IT-Steuerung ermöglicht; Transparenz von Geschäftsabläufen und Leistungsständen
-
Compliance
Einhaltung von internen wie externen Regelungen bzw. Gesetzen; gezielte Steuerungsmitteilungen an Einzelpersonen, Abteilungen und das Management, Korrelation von Leistung und Belohnung, Monitoring von internen Kontrollprozessen
Insbesondere IT-Compliance gewinnt durch die wachsende Zahl relevanter Gesetze und Vorschriften zunehmend an Bedeutung. Diese basieren auf Geschäftsprozessanforderungen, die sich beispielsweise in handelsrechtlichen Vorschriften für Buchführung und Bilanzierung (GoB) widerspiegeln.
Weitere prominente Beispiele sind der US-amerikanische Sarbanes-Oxley-Act und Basel II sowie branchenspezifische Regularien wie das Kreditwesengesetz (KWG), das Telekommunikationsgesetz (TKG), das Teledienstegesetz (TDG), der "Health Insurance Portability and Accountability Act" (HIPAA) sowie die Verlautbarungen der Food and Drug Association (FDA). Die daraus resultierenden Anforderungen an die unterstützenden IT-Systeme folgen den Kriterien Qualität, Sicherheit und Ordnungsmäßigkeit. Konkrete - jedoch nicht abschließende - Arbeitsfelder sind Effizienz, Zuverlässigkeit, Vertraulichkeit, Integrität und Verfügbarkeit von Systemen und Daten.
Darüber hinaus werden Anforderungen an die IT Compliance in einigen Gesetzen/ Regularien auch direkt adressiert:
Bundesdatenschutzgesetz (BDSG): Ziel dieses Gesetzes ist der Schutz der Vertraulichkeit von personenbezogenen Daten gegenüber dem Missbrauch durch Dritte. Dabei zielen die Anforderungen auf den sachgerechten Umgang und die kontrollierte Weitergabe von schützenswerten Daten ab.
Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU): Diese vom Bundesministerium der Finanzen veröffentlichten Grundsätze sehen vor, dass im Rahmen einer Betriebsprüfung sämtliche elektronisch erzeugten Daten in elektronisch auswertbarer Form vorliegen müssen, sofern sie steuerlich relevant sind. Hierfür sind unterschiedliche Zugriffsverfahren sowie Möglichkeiten des Datenextrakts vorgesehen.
Mindestanforderungen an das Risiko-Management für Finanzdienstleister (MaRisk): Die Bundesanstalt für Finanzdienstleistungsaufsicht hat mit den MaRisk eine Konkretisierung der im Kreditwesengesetz (KWG) kodifizierten Grundsätze mit klarem IT-Bezug im Sinne einer Best-Practice-Betrachtung definiert. Es werden explizit Anforderungen an Informationssicherheit, Change Management und Notfallplanung gestellt. Für die Umsetzung wird die Orientierung an geltenden IT-Sicherheitsstandards wie z. B. BSI-Grundschutz oder ISO 17799 / 27001 gefordert.
Um auf die steigende Anzahl von Vorschriften auch in einem dynamischen Umfeld reagieren zu können, ist eine statische Betrachtung nicht ausreichend. Vielmehr ist es erforderlich, einen Prozess zu installieren, der eine kontinuierliche Anpassung an geänderte Anforderungen in allen Ländern, in denen das Unternehmen tätig ist, sicherstellt. Prozessverantwortlicher ist meist der CCO (Chief Compliance Officer), bei nicht börsennotierten Gesellschaften werden die Aufgaben des CCO entweder vom Finanzvorstand mit übernommen oder - nicht selten zum Nachteil des Unternehmens - nicht systematisch bearbeitet.
Der Druck auf Governance- und Compliance-Themen wird sich in den kommenden Jahren weiter signifikant erhöhen. Sarbanes-Oxley-ähnliche Gesetzeswerke wurden in Ländern wie Japan, Korea und Indien verabschiedet. Auf EU-Ebene werden die Governance-Anforderungen mit der 4., 7. und 8. EU-Richtline deutlich verschärft. Das im Januar 2007 in Deutschland verabschiedete Transparenzrichtlinien-Umsetzungsgesetz (TUG) enthält neben dem sogenannten "Bilanzeid", den Vorstände künftig zu leisten haben, auch erstmals die Androhung von Freiheitsstrafen gegen Vorstände bei Verstößen gegen dieses Gesetz.
IT muss zwingender Bestandteil der Compliance-Prozesse sein, um eine effiziente Umsetzung der regulatorischen und gesetzlichen Anforderungen zu ermöglichen. Dabei lässt sich das Thema IT-Compliance in prozessbezogene Bestandteile (z.B. Umsetzung von integrierten Kontrollen in Geschäftsprozessen) und infrastrukturbezogene Bestandteile (z.B. zuverlässige Datenbanken, umfassender Virenschutz, etc.) differenzieren.
Bei ersteren geht es meist um die Ausgestaltung von immanenten Kontrollen durch Customizing oder die Umsetzung von Vier-Augen-Prinzipien mittels Berechtigungsvergabe. Für die IT-Infrastruktur können Compliance-Anforderungen in höherem Maße standardisiert werden; daher bietet sich die Nutzung vorhandener Best Practice Benchmarks in Form von Standards und Rahmenvorgaben (Frameworks) an.
Peter Ratzer ist Berater für IT-Strategie bei Deloitte.