Mit diesem Beitrag möchte ich eine neue Kategorie mit Informationen zu den Themen IT Governance, Risk und Compliance im Blog veröffentlichen. Die folgenden Beiträge sollen die sehr technische Seite des IT-Security Blogs um eine fachliche Komponente erweitern. Inspiriert wurde ich zu der neuen Kategorie durch mein berufliches Umfeld sowie mein postgraduales Studium, welches die genannten Themen im Schwerpunkt behandelt.
Bevor ich etwas tiefer in die Thematik einsteigen möchte, beginne ich mit den Grundlagen: Was wird unter IT-GRC verstanden? Was ist GRC, also Governance, Risk und Compliance? Was bedeutet IT-GRC?
Corporate Governance
Unter Corporate Governance wird allgemein der Rahmen für die Leitung und Überwachung eines Unternehmens verstanden. Die für IT-Governance interessante Norm ISO/IEC 38500 (Information technology - Governance of IT for the organization) bezeichnet Governance als "system of directing and controlling". In der deutschen Ausgabe des ISACA Rahmenwerks für Governance und Management der Unternehmens-IT COBIT 5 stellt "Governance sicher, dass die Anforderungen, Rahmenbedingungen und Möglichkeiten der Anspruchsgruppen evaluiert werden, um ausgewogene und vereinbarte Unternehmensziele zu bestimmen, die es zu erreichen gilt. Sie gibt die Richtung durch die Festlegung von Prioritäten und das Fällen von Entscheidungen vor und überwacht die Leistung und Regeleinhaltung gegen vereinbarte Vorgaben und Ziele [1]."
Auch wenn umgangssprachlich oft gleichgesetzt, muss der Governance Begriff vom Begriff der Unternehmensführung und des Managements abgegrenzt werden. Das Management ist nach COBIT 5 zuständig, um die durch die Governance vorgegebene Richtung im Rahmen von Aktivitäten zu planen, erstellen, betreiben und zu überwachen [2]. Prinzipiell wäre die Unternehmensführung auch ohne Berücksichtigung von Governance möglich, prinzipbedingt jedoch nicht umgekehrt. Corporate Governance impliziert die „verantwortungsvolle Unternehmensführung und -kontrolle“.
Die Motivation für ein Governance-System lässt sich vielfältig begründen:
- Asymmetrische Informationsverteilung: Zwischen den Stakeholdern eines Unternehmens herrscht zwangsläufig eine Informationsasymmetrie: Die Finanzabteilung oder ein Fachexperte hat andere Anforderungen als das Management. Eine Informationsasymmetrie lässt sich sowohl zu Gunsten als auch Ungunsten gegenüber anderen Stakeholdern bzw. dem Unternehmen einsetzen. Ein Governance-System kann durch Transparenz unterstützen, die asymmetrische Informationsverteilung zu reduzieren.
- Agenturkonflikt: Durch die Trennung von Eigentum und Verfügungsgewalt entstehen unterschiedliche Interessenslagen bei den Anspruchsgruppen. Die Autorin Yuldon Gyana Tshang beschreibt etwa in ihrem Buch, dass im Rahmen einer Prinzipal-Agent-Beziehung, die Agenten "annahmegemäß die Maximierung des eignen Nutzens verfolgen und somit Interessenkonflikte zwischen den Parteien auftreten [3]." Corporate Governance kann hier helfen, indem der Handlungsspielraum der Akteure durch Vorgaben und Maßnahmen eingeschränkt und überwacht wird. Interessenkonflikte könnten z.B. durch Anreizsysteme verringert werden.
In Deutschland wurden grundlegende Corporate Governance Regeln im Deutschen Corporate Governance Kodex (DCGK) festgehalten. Der DCGK selbst ist keine Norm, sondern wiederholt in weiten Teilen geltendes Recht und gibt darüber hinaus Empfehlungen. Rechtlich stützt sich der Kodex auf zahlreiche Normen, etwa auf die mit dem Artikelgesetz "Gesetz zur Kontrolle und Transparenz im Unternehmensbereich" (KonTraG) 1998 vom Bundestag unter anderem beschlossenen Änderungen des Handelsgesetzbuchs und Aktiengesetzes. Nach §161 Aktiengesetz (Erklärung zum Corporate Governance Kodex) müssen börsennotierte Gesellschaft jährlich eine Erklärung abgeben, inwieweit sie den DCGK befolgt haben.
Durch eine gute Corporate Governance wird somit das Ziel verfolgt, Interessenkonflikte und Informationsasymmetrien zu reduzieren und somit die Agenturkosten zu mindern. Weitere Effekte eines effektiv sowie effizienten Governance Systems sind die Förderung des Vertrauens sowie eine Risikominderung in Bezug auf ungewollte Sachverhalte und Handlungen.
Risikomanagement
Landläufig gilt ein Risiko als etwas negatives, was es zu verhindert oder mindestens zu minimieren gilt. Doch dieser Ansatz ist deutlich zu kurz gegriffen, was ich in den folgenden Zeilen erläutern möchte.
Der Begriff "Risiko" beschreibt nur eine Unsicherheit. Der vom britischen Joint Venture AXELOS herausgegebene Best Practise Leitfaden "Management of Risk" (M_o_R) definiert im Kapitel 3.2 ein Risiko wie folgt: "Risk is definied as an uncertain event or set of events that, should it occour, will have an effect of the archivement of objectives. A risk is measured by the combination of the probability of a perceived threat or opportunity occurring and the magnitude of its impact on objectives [4]." Eine, wie ich finde, gelungene Definition. Sie beschreibt, dass ein Risiko nicht nur als Bedrohung, sondern auch als Chance verstanden werden kann und sollte. Investiert jemand beispielsweise Geld an der Börse, so hat er klar ein Risiko, aus dem jedoch nicht zwangsläufig negative Auswirkungen resultieren. Ein Risiko ist somit nur die Unsicherheit, aus der Chancen oder Bedrohungen resultieren können.
Unternehmen und Projekte jeder Größe sollten ein System für das Management von Risiken implementiert haben. Von den offensichtlichen Vorteilen abgesehen, gibt es auch zahlreiche handfeste Gründe, ein Risikomanagementsystem zu implementieren. Beispielsweise war der Kern des KonTraG 1998 eine Vorschrift, die die Leitung eines Unternehmens verpflichtet, ein unternehmensweites Früherkennungssystem für Risiken einzuführen und zu betreiben [5]. Compliancevorgaben bieten weitere Gründe zur Implementierung eines RMS. Auch im Deutschen Corporate Governance Kodex steht, dass "der Vorstand für ein angemessenes Risikomanagement und Risikocontrolling sorgen muss [6]."
Ein Risikomanagementsystem umfasst neben dem eigentlichen Prozess zahlreiche weitere Dokumente. Beispiele hierfür sind unternehmensweite Richtlinien, ein daraus abgeleitetes Prozesshandbuch sowie eine organisationsspezifische Risikostrategie. Risiken werden hierbei oftmals in einem Risikoregister zusammengefasst.
Die Risiken aus den einzelnen Organisationsbereichen werden in einem ERM (Enterprise Risk Management) zusammengefasst. Nur durch eine solche Zusammenfassung ist sichergestellt, dass sich gegenseitig beeinflussende Risiken umfassend und vollständig identifiziert und bewerten werden können.
Der Risikomanagementprozess muss organisationsspezifisch definiert werden. Der M_o_R Leitfaden sieht folgende Schritte im Prozess vor [7]:
- Identifizieren: Die Phase der Identifikation besteht aus den Subprozessen "Kontext" und "Risiken". Der Subprozess "Kontext" hat das Ziel, Informationen über den Kontext zu sammeln: Was ist der Scope der Aktivität? Wer sind die Stakeholder? Welche Annahmen wurden getroffen? In welcher Umwelt ist die Organisation tätig? Im Subprozess "Identifizieren" geht es um die Identifizierung der eigentlichen Risiken, mit dem Ziel, Bedrohungen zu minimieren und Chancen zu maximieren. Gefundene Risiken werden in einem Risikoregister festgehalten.
- Bewerten: Auch diese Phase ist zweigeteilt. Im Rahmen der ersten Phase "Einschätzen" werden die Eintrittswahrscheinlichkeit und Auswirkungen ermittelt. Im Rahmen des Subprozesses "Beurteilen" werden Einzelrisiken in einem Gesamtrisikoprofil festgehalten.
- Planen: Im Rahmen dieses Prozess-Tasks werden Maßnahmen geplant um Bedrohungen zu verhindern bzw. zu reduzieren und Möglichkeiten zu maximieren. Hierbei gibt es verschiedenen Strategien, um auf Risiken zu reagieren.
- Implementieren: In der letzten Phase wird die Maßnahme implementiert, darauffolgend das Gesamtrisikoprofil aktualisiert.
Der gesamte Prozess wird von einer Risikokommunikationsstrategie begleitet. Wichtig im Risikomanagement ist insbesondere, dass es die Unternehmensziele unterstützt, die wichtigsten Stakeholder einbindet, eine positive Risikokultur in der Organisation schafft und klare Leitlinien bereitstellt.
Das IT-Risikomanagement hat durch die hohe Relevanz der IT in den meisten Unternehmen eine herausgehobene Bedeutung.
Compliance
Auf den Compliance Officer Seminaren des TÜV Rheinlands wird Compliance mit Regelkonformität übersetzt und wie folgt definiert "Compliance bedeutet die Einhaltung bzw. Konformität mit Vorgaben in Form von Gesetzen, Verordnungen, unternehmensinternen Reglungen bzw. Prozessabläufen, (Industrie-)Standards, behördliche (Genehmigungs-)Auflagen, Weisungen, etc... [8]".
Wichtig hierbei ist der Fakt, dass Compliance sich nicht nur mit der Einhaltung von gesetzlichen Normen und Auflagen beschäftigt, sondern deutlich darüber hinausgeht. Abgegrenzt werden muss Compliance jedoch von Ethik, Corporate Social Responsibility oder Governance. Gerade im Rahmen der Globalisierung ist es eine Herausforderung, einen Überblick über die bestehenden Compliance-Anforderungen zu behalten. Compliance trifft nicht nur große Konzerne, sondern auch kleine und mittlere Unternehmen.
Wie schon beim Risikomanagement angesprochen, spielt auch bei Compliance die Unternehmenskultur eine unverzichtbare Rolle. Eine Kultur, die die "Erreichung wirtschaftlicher oder anderer Ziele gegenüber dem Ziel der Wahrung und Einhaltung von Compliance priorisiert, birgt ein großes Risiko von Compliance-Verstößen [9]". Wichtig ist eine auf Compliance und Integrität ausgerichtete Kultur.
Der an den Standard ISO/IEC 19600 angelehnte Leitfaden TR CMS 101:2015 sieht die Unternehmensführung in Bezug auf die Entwicklung, Verwirklichung und Weiterentwicklung eines Compliance-Management-Systems (CMS) in der Pflicht. Zu den wesentlichen Führungsaufgaben zählen hierbei insbesondere die Sicherstellung,
- dass ein Compliance-Regelwerk und Compliance-Ziele aufgestellt werden,
- dass Reglungen, Verfahren und Prozessabläufe entwickelt und umgesetzt werden, sowie
- die Bereitstellung der hierfür notwendigen Ressourcen.
Führungskräfte üben hierbei eine wesentliche Vorbildfunktion aus. Die möglichen Konsequenzen von Non-Compliance sind umfangreich. Sie reichen von Bußgeldern, Schadenersatzansprüchen, arbeitsrechtliche Sanktionen, dem Verlust von Wettbewerbsfähigkeit bis hin zu Straften für Führungskräfte und Mitarbeiter.
Beispiele für Compliance-Themen sind das Kartellrecht, Anti-Korruption, Wirtschaftskriminalität, Arbeitsschutz, Arbeitsrecht, Steuerrecht, Produkthaftung, Zollvorschriften und Datenschutz.
Auch für die IT hat Compliance eine herausragende Bedeutung, gerade im Zusammenhang mit Datenschutz oder Informationssicherheit.
IT-GRC
Die kurze Vorstellung von Governance, Risk und Compliance zeigt, dass es erhebliche Abhängigkeiten zwischen den Bereichen gibt, weshalb meist von "GRC" gesprochen wird. Governance legt das Rahmenwerk und die Grundwerte für die Unternehmensführung fest und hat somit Wirkung auf Compliance und Risikomanagement. Im Rahmen der Compliance können Regelverstöße auftreten, die wiederum im Rahmen des Risikomanagement betrachtet werden müssen.
Der komplette Ansatz lässt sich auf die IT herunterbrechen. Eine isolierte Betrachtung der einzelnen Themen ist in der heutigen Zeit weder möglich, noch zweckmäßig.
Quellen / Bildnachweis:
- [1] ISACA: COBIT 5, Ausgabe 2012, dt. Fassung, Seite 16
- [2] ISACA: COBIT 5, Ausgabe 2012, dt. Fassung, Seite 16 ff
- [3] Tshang, Y. G.: Corporate Governance bei Organisationskomplexität: eine empirische Untersuchung moderierender Effekte in deutschen Aktiengesellschaften, Ausgabe 2011, Seite 14
- [4] OGC: Management of Risk, Ausgabe 2010, Seite 4
- [5] Bundesministerium der Justiz und für Verbraucherschutz, §91 (2) Aktiengesetz, https://www.gesetze-im-internet.de/aktg/__91.html
- [6] Deutscher Corporate Governance Kodex, Nr 4.1.4, http://www.dcgk.de/de/kodex/aktuelle-fassung/vorstand.html
- [7] OGC: Management of Risk, Ausgabe 2010, Seite 29 ff
- [8] Seyed-Mahdavi Ruiz, S.: Compliance Officer Seminar Tag 1 und 2, Ausgabe 2017, Seite 11
- [9] Seyed-Mahdavi Ruiz, S.: Compliance Officer Seminar Tag 1 und 2, Ausgabe 2017, Seite 33
- Beitragsbild: © leowolfert - Fotolia.com
Sehr guter Beitrag und sehr viele interessante Informaitonen zu IT Governance und Compliance. Weiter so! Sehr lesenswert.
Toller Beitrag! Echt sehr lesenswert und informativ
Hey toller informativer Beitrag zum Thema IT Governance. Sehr lesenswerter Text! Liebe Grüsse
Super Überblick, sehr gut zu lesen und viele hilfreiche, weiterführende Quellen.