Der Vorstand ist direkt betroffen
Die Pflicht zur Einrichtung eines IT- Risiko-Management-Systems trifft direkt den Vorstand der AG beziehungsweise die Geschäftsführung der GmbH. Kommen die Verantwortlichen der Pflicht zur Einrichtung nicht in ausreichendem Maße nach, schafft das unter Umständen den Grund für eine außerordentliche Kündigung. Wird das IT-Risiko nicht ordnungsgemäß überwacht oder die Überwachung nicht ausreichend dokumentiert, kann dies dazu führen, dass der Vorstand nicht entlastet wird. So entschieden in einem Urteil des Landgerichts München aus dem vergangenen Jahr.
Die "EuroSOX"-Richtlinien (Bilanzrichtlinie in der Fassung der Änderungsrichtlinie und Abschlussprüferrichtlinie) haben für die Vorstände von Aktiengesellschaften im Hinblick auf das IT-Risiko-Management vor allem zwei Änderungen gebracht: Zum einen sind nunmehr im Lagebericht der Gesellschaft die wesentlichen Merkmale des IT-Risiko-Management-Systems zu beschreiben. Zum anderen kann der Vorstand der Aktiengesellschaft einen Prüfungsausschuss damit betrauen, die Wirksamkeit des Systems zu überwachen. Die Verantwortlichkeit verbleibt aber unverändert beim Vorstand. Inhaltlich werden in diesen Richtlinien keine über die bereits bestehenden Anforderungen hinausgehenden Pflichten begründet.
Basel II wird oft nur im Zusammenhang mit den Finanzdienstleistern gesehen. Tatsächlich haben diese Richtlinien aber nicht nur Auswirkungen auf das Risiko-Management im Finanzsektor, sondern auch auf Unternehmen anderer Branchen. Die Entscheidung über die Kreditvergabe wird hierin an eine umfassende Bonitätsprüfung geknüpft. Dazu bewertet das Kreditinstitut die operationellen Risiken. Ein gut dokumentiertes IT-Risiko-Management senkt das operationelle Risiko, kann also die Kreditkonditionen günstig beeinflussen.
Was beim Outsourcing zu beachten ist
Aus der Auslagerung der IT an einen externen Dienstleister ergibt sich zwangsläufig eine hohe Abhängigkeit von dessen Leistungsfähigkeit. Die hieraus entstehenden Risiken sind vertraglich abzusichern. Beim Outsourcing sollte die Verfügbarkeit der IT in Service-Level-Agreements (siehe auch: "Starthilfe für SLAs") so genau wie möglich festgelegt werden. Für den Fall der Nichtverfügbarkeit von IT-Services sind Haftungsfolgen (beispielsweise Vertragsstrafe oder Schadensersatz) zu vereinbaren. Anderenfalls bleibt das Anwenderunternehmen auf den häufig empfindlichen Schäden sitzen.
Selbstverständlich ist der Outsourcing-Partner auch im Hinblick hierauf besonders sorgfältig auszuwählen und zu überwachen. Darüber hinaus muss er zur Einhaltung der eigenen IT-Sicherheitsvorgaben verpflichtet werden.