Das Topmanagement hat gemäß den neuen Richtlinien die Richtigkeit seiner Finanzzahlen und damit auch der Sicherheit und Wirtschaftlichkeit der Organisationsprozesse persönlich zu verantworten. Also müssen Unternehmer sicherstellen, dass ihre Daten, Auswertungen und Planungen richtig sind. Das können sie allerdings nur, wenn sie ein effektives IT-Risiko-Management installieren. Geschäftskritische Prozesse sind zu identifizieren, zu sichern und kosteneffizient zu managen. Auf diese Weise wird Basel II sogar zu einer reellen Chance, die Zukunftsfähigkeit des Unternehmens zu verbessern.
Natürlich gibt es traditionell bereits Risiko-Manager in Unternehmen, die unternehmensinterne IT mussten diese jedoch bisher nicht verantworten. Das ändert sich nun. Denn durch die neue Forderung nach einem transparenten und messbaren IT-Risiko-Management sind die IT-Direktoren nun direkt für die Zukunftsfähigkeit eines Unternehmens zuständig.
Management der IT-Risiko-Faktoren
Wirksame Informationsflüsse im Unternehmen sowie die sinnvolle Modifikation und Dokumentation interner Prozesse gehören zu den Grundvoraussetzungen, um den Anforderungen aus Basel II und SOX gerecht zu werden. Für ein nachhaltiges Management der IT-Risiko-Faktoren müssen organisatorische Mängel behoben, Verantwortliche benannt und die technischen Leistungen sichergestellt werden. Darüber hinaus gilt es, die Risiken in den Betriebsverfahren zu erheben. Ein geeignetes Eskalations-Management, adäquate Datenentsorgung, Regelungen für den Systemzugriff und effektive IT-Sicherheitsmaßnahmen kommen hinzu.
Noch in diesem Jahr wird der Sarbanes-Oxley Act (SOX) relevant. Die US-Regierung hatte das Gesetz im Juli 2002 erlassen. Es gilt für alle Unternehmen, die bei der SEC (Securities and Exchange Commission) registriert sind und damit ihrer Aufsicht unterstehen. Für US-Unternehmen war die Deadline zum 15. November 2004 gesetzt. Europäische und andere ausländische Unternehmen, darunter die Tochterunternehmen von SEC-registrierten Gesellschaften, müssen bis 15. Juli 2005 so weit sein. Die SOX-Richtlinien schreiben beispielsweise die Einrichtung eines Audit Committee vor (Section 301). Des Weiteren verlangen die Richtlinien nun eidesstattliche Erklärungen des Managements zur Korrektheit der Angaben in Finanzberichten (Sec. 302). Auch eine Einschätzung der Wirksamkeit interner Kontrollen durch einen Abschlussprüfer ist verpflichtend (Sec. 404). Vor diesem Hintergrund sind IT-Prozesse so zu gestalten, dass die ordnungsgemäße Verarbeitung und Integrität der Daten jederzeit gewährleistet ist. |