CIOs liefern Tools für die Risikovorsorge

04.07.2005
Von Ragnar Nilsson
Neue Corporate-Governance-Regulierungen wie Basel II und der Sarbanes-Oxley Act (SOX) bürden den Unternehmen ein transparentes und messbares Risiko-Management auf.

Ob Autoindustrie, Warenhausketten oder Bauunternehmen - immer wieder stellt der Niedergang populärer Namen unter Beweis, wie schnell nicht rechtzeitig erkannte Bedrohungen ein Unternehmen ruinieren können. Derartige Krisen haben Regierungen veranlasst, Gesetze zur Steuerung und Überwachung von Unternehmensrisiken - also auch IT-Risiken - zu formulieren. Im Rahmen der internationalen Corporate-Governance-Regeln müssen beispielsweise seit Anfang dieses Jahres kapitalmarktorientierte und konsolidierungspflichtige deutsche Unternehmen nach den International Financial Reporting Standards (IFRS) bilanzieren. Deutlich anspruchsvoller sind die Regulierungen des Sarbanes-Oxley Act (siehe Kasten: "Was SOX von Unternehmen verlangt") und die Ende 2006 in Kraft tretenden Richtlinien von Basel II. Mit Ersterem soll das Vertrauen der Anleger in die Rechnungslegung wiederhergestellt werden, Letztere betreffen die Sicherheiten, die Unternehmer Banken für Kredite bieten müssen.

Um es stärker als bisher vom Risiko abhängig zu machen, wie viel Kapital Banken vorhalten müssen, formulierte der Baseler Ausschuss für Bankenaufsicht die Basel-II-Regelungen. Sie teilen die unternehmerischen Risiken in Markt-, Kredit- und operationelle Risiken ein. Bei der dritten Gruppe handelt es sich um die Gefahr von Verlusten, die aus der Unangemessenheit oder dem Versagen von internen Verfahren, Menschen und Systemen oder infolge externer Ereignisse auftreten. Banken und Finanzinstitute sind verpflichtet, sich dagegen systematisch zu schützen. Als Richtlinie dafür gab der Baseler Ausschuss die "Sound Practices of the Management and Supervision of Operational Risk" heraus. Diese fordern als Mindestgrundlage eine definierte Aufbau- und Ablauforganisation mit einer Risikoleitlinie im Verantwortungsbereich der Geschäftsführung und die Prüfung dieser Organisation durch die interne Revision und einen externen Wirtschaftsprüfer.

Basel II betrifft nicht nur Banken

Die Finanzinstitute geben ihre Risiko-Schutz-Verpflichtung direkt an kreditsuchende Unternehmen weiter und zwingen damit auch diese zum Aufbau eines dezidierten und messbaren Risiko-Managements.

Im Mittelpunkt von Basel II steht das Rating, mit dem sich die Wahrscheinlichkeit eines Kreditausfalls einschätzen lässt. Je niedriger das Risiko erscheint, desto weniger Eigenkapital muss die Bank als Kreditgeber vorhalten. Dem Kreditnehmer bringt ein gutes Rating unter anderem einen höheren Kreditrahmen zu günstigeren Zinsen. Unternehmen, deren Daten und Prognosen sich auch extern nachvollziehen lassen, sind dadurch wettbewerbsfähiger. Kreditsuchende Unternehmen müssen demnach spätestens Ende 2006 in der Lage sein, ihre Erfolgsfaktoren und Risiken zu erkennen und zu dokumentieren.

IT muss Frühwarnsysteme aufbauen

Die Einschätzung eines Unternehmens hängt von dokumentierbaren Daten und Kontrollen ab, deren Qualität und Aktualität transparent sein müssen. Sowohl Basel II wie auch SOX erfordern deshalb bessere interne Kontrollsysteme sowie ein aktives Risiko-Management. Diese Anforderungen lassen sich nur mit IT-Prozessen erfüllen, die ihrerseits überprüft werden. Ein transparentes und wirtschaftliches Management der Informationssysteme ist daher die Voraussetzung, um den Anforderungen eines Ratings unter Basel II gerecht zu werden. Zudem ist es Aufgabe der IT, ein funktionierendes Frühwarnsystem für den Vorstand aufzubauen.

Das Management der IT-Sicherheit gewinnt dabei an Bedeutung, denn sie darf keinerlei Schwachstellen mehr aufweisen. Die Daten müssen jederzeit verlässlich sein und sich ordnungsgemäß verarbeiten lassen. Zudem sind Kontrollmechanismen und Prozesse der IT-Sicherheit zu dokumentieren. Die neuen Richtlinien fordern außerdem die Langzeitarchivierung von finanzrelevanten Daten und Dokumenten sowie ein geregeltes Zugriffsschutzverfahren. Änderungen an Dokumenten und Daten müssen nachvollziehbar sein.

Regulierungsvorschriften als Chance nutzen

Das Topmanagement hat gemäß den neuen Richtlinien die Richtigkeit seiner Finanzzahlen und damit auch der Sicherheit und Wirtschaftlichkeit der Organisationsprozesse persönlich zu verantworten. Also müssen Unternehmer sicherstellen, dass ihre Daten, Auswertungen und Planungen richtig sind. Das können sie allerdings nur, wenn sie ein effektives IT-Risiko-Management installieren. Geschäftskritische Prozesse sind zu identifizieren, zu sichern und kosteneffizient zu managen. Auf diese Weise wird Basel II sogar zu einer reellen Chance, die Zukunftsfähigkeit des Unternehmens zu verbessern.

Natürlich gibt es traditionell bereits Risiko-Manager in Unternehmen, die unternehmensinterne IT mussten diese jedoch bisher nicht verantworten. Das ändert sich nun. Denn durch die neue Forderung nach einem transparenten und messbaren IT-Risiko-Management sind die IT-Direktoren nun direkt für die Zukunftsfähigkeit eines Unternehmens zuständig.

Management der IT-Risiko-Faktoren

Wirksame Informationsflüsse im Unternehmen sowie die sinnvolle Modifikation und Dokumentation interner Prozesse gehören zu den Grundvoraussetzungen, um den Anforderungen aus Basel II und SOX gerecht zu werden. Für ein nachhaltiges Management der IT-Risiko-Faktoren müssen organisatorische Mängel behoben, Verantwortliche benannt und die technischen Leistungen sichergestellt werden. Darüber hinaus gilt es, die Risiken in den Betriebsverfahren zu erheben. Ein geeignetes Eskalations-Management, adäquate Datenentsorgung, Regelungen für den Systemzugriff und effektive IT-Sicherheitsmaßnahmen kommen hinzu.

Das Pflichtenheft der CIOs wird dicker

Die permanente Analyse eines Unternehmens sollte jene Risikofelder ausfindig machen, die ein Rating negativ beeinflussen können. Zum modernen "Pflichtenheft" des CIO gehört deshalb auch, die Instrumente für das Controlling und die Planung zu liefern. Verwundbare Großunternehmen etwa aus der Luftfahrt- und Bankenbranche erweisen sich dem Risiko-Management aufgeschlossen. Doch die Forderungen durch Basel II betreffen alle Unternehmen. Mittelständler mit kleinen IT-Abteilungen sind mit dem Dschungel der komplexen Anforderungen und neuen bürokratischen Maßnahmen oft überfordert. Aber auch große Aktiengesellschaften hadern mit ihrem Schicksal. So hat beispielsweise Ex-Siemens-Chef Heinrich von Pierer in seiner Abschiedsrede als Vorstandsvorsitzender auf Belastungen hingewiesen: "Wir unterstützen und begrüßen die Anforderungen durch Basel II und SOX. Aber ich frage mich manchmal, ob der dadurch hervorgerufene Anstieg an Bürokratie und letztlich auch an finanziellem Aufwand den Rahmen nicht etwas sprengt."

Dokumentation der Bedrohungsszenarien

Dennoch werden Unternehmen nicht umhinkönnen, Risiken zu identifizieren, ihre Auswirkungen zu analysieren und Gegenmaßnahmen sowie deren Überwachung bekannt zu geben. Die Ergebnisse fließen in dokumentierte Bedrohungsszenarien ein, die eine Schadensbewertung nach Wahrscheinlichkeit des Eintretens und der erwarteten Schadenshöhe enthalten. Der organisatorische Rahmen sowie die risikopolitische Leitlinie sollten in der Zuständigkeit der jeweils betroffenen Unternehmensbereiche bleiben, von der internen Revision jedoch jederzeit nachvollziehbar sein.

Auf Ebene der Bereichs- und Prozessverantwortlichen umfasst das Risiko-Management vor allem die frühzeitige Identifizierung und Beurteilung der Risiken am Ort ihres Entstehens. Die interne Revision bildet die unabhängige Überwachungsinstanz zur Überprüfung der Wirksamkeit, Angemessenheit und Effizienz des Risiko-Managements. Außerdem dokumentieren risikopolitische Leitlinien Verhaltensregeln, die alle Mitarbeiter im Unternehmen zu einem vernünftigen Umgang mit den Risiken anleiten. Formulierung und Kommunikation der risikopolitischen Leitlinien fallen in den Aufgaben- und Verantwortungsbereich der Unternehmensleitung und dienen als Grundlage für das konkrete Risiko-Management.

Zu den Inhalten eines solchen Konzepts zählen Risikoklassifizierung, Handbücher für Mitarbeiter, Manager, Revisoren und externe Prüfer sowie ein Abgleich mit rechtlichen Erfordernissen. Nach einer technischen und betriebswirtschaftlichen Risikobewertung werden Maßnahmen und Handlungsalternativen aufgesetzt, Governance-Strukturen installiert, Investitionspläne überprüft und Mitarbeiter geschult. (rg)