Risiko-Management rückt immer stärker ins Blickfeld der Wirtschaftsprüfer. Vom Gesetzgeber wurde bereits 1998 durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (Kontrag) die Einführung eines Risiko-Management-Systems zur Pflicht für Aktiengesellschaften und meist auch für GmbHs erklärt. Das Gesetz besagt, dass der Wirtschaftsprüfer den Bestätigungsvermerk im Jahresabschlussbericht verweigern kann, sofern kein geeignetes Risiko-Management-System in allen Bereichen des Unternehmens integriert ist. Erst jetzt akzeptieren viele Firmen die IT als Basis ihrer Geschäftsfähigkeit und beginnen, sie in das Risiko-Management-System zu integrieren. Ein Vabanque-Spiel, denn die Unternehmensleitung kann bei fahrlässigem Verhalten, das bereits durch die Unkenntnis eines Risikos gegeben ist, persönlich haftbar gemacht werden.
Die Unternehmens-IT stellt einen wichtigen Bereich bei der Beurteilung der Geschäftsfähigkeit einer Gesellschaft dar. Risiko-Management bedeutet hier im Wesentlichen, dass Informationen nutzbar sind. Das betrifft besonders die Vollständigkeit der Daten und ihre Verfügbarkeit.
Viele Unternehmen sind nicht in der Lage, bislang die Kosten eines Systemausfalls genau beziffern zu können. Mit ziemlicher Sicherheit würde für viele ein Ausfall immense Kosten nach sich ziehen, die den Aufwand für geeignete Vorbeugemaßnahmen um ein Vielfaches übersteigen. Schließlich geht es nicht nur um Produktionsausfall, sondern auch um Imageverlust gegenüber dem Kunden, Erfüllung vertraglicher Vorgaben und so weiter.
Schaden vermeiden
Die Frage ist, wo im Unternehmen angesetzt werden sollte, um das im Kontrag geforderte "geeignete Risiko-Management-System" zu integrieren. Dabei kann nur eine ganzheitliche Betrachtungsweise zum Erfolg führen. Schließlich stellt die IT keinen Selbstzweck dar, sondern dient dazu, die Geschäftsprozesse am Leben zu halten. Es ist unvermeidbar, die IT- gegen die Unternehmensprozesse zu spiegeln. Auf beiden Seiten müssen diese Prozesse erkannt und durch Kommunikations-Schnittstellen verbunden werden.
Das bedeutet, dass bei der Einführung eines Risiko-Management-Systems eine Ist-Analyse der Umgebung auf Basis der Prozesse zu den Grundlagen gehört, anhand derer der Schutzbedarf der Informationen klassifiziert werden muss. Auch wenn dies im ersten Moment nach einer Sisyphos-Aufgabe klingt: Einmal umgesetzt, bewirkt es eine Wertsteigerung für das Unternehmen. Zudem handelt es sich um einen einmaligen Aufwand, der im weiteren Verlauf lediglich aktualisiert werden muss und im Tagesgeschäft ein grundlegendes Werkzeug zur Informationsverwaltung und damit zum Risiko-Management darstellen wird.
Der Mehrwert für das Unternehmen liegt neben der Informationsverfügbarkeit darin, dass Gewinne auch Gewinne bleiben und nicht in Schadensbeseitigungsmaßnahmen reinvestiert werden müssen. Insbesondere ist dies für AGs und deren Dividendenausschüttung maßgeblich.
Hilfreiche Standards
Um einen multidimensionalen Ansatz bei der Einführung eines Risiko-Management-Systems zu finden, gibt es inzwischen verschiedene Hilfsmittel, die den Prozess strukturgebend unterstützen. Wesentlich dabei ist, dass man auf diese Weise mit Hilfe bestimmter Standards die Konformität zum Kontrag erreicht:
- Der British Standard (BS) 7799 (Code of Practice for Information Security Management) findet sich inzwischen in der ISO 17 799 wieder und behandelt das Thema von der Seite der Informationssicherheit. Das bedeutet, dass Informationen, die sich auf Papier, in den Köpfen der Mitarbeiter oder in Computersystemen befinden, verfügbar, vollständig und vertraulich gehalten werden müssen. BS/ISO 17 799 stellt zur Erfüllung dieser Aufgabe den organisatorischen Überbau zur Verfügung.
- Als De-facto-Standard hat sich die IT Infrastructure Library (ITIL) etabliert. Anhand von Best-Practice-Ansätzen werden dort Wege zur Organisation der IT-Geschäftsprozesse aufgezeigt, so etwa IT-Service-Continuity-Management, Service-Level-Management oder Security-Management.
- Dicht daran angelehnt ist der BS 15000, der die übergeordnete Strukturierung der IT-Geschäftsprozesse zum Inhalt hat und in absehbarer Zeit auch zum ISO-Standard erklärt werden soll.
- Von deutscher Seite ist das IT-Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnik zu nennen, welches einen umfassenden Maßnahmenkatalog zur praktischen Umsetzung von geeigneten Methoden zur Sicherung der IT zusammengestellt hat.
Die Erfahrung zeigt allerdings, dass die Organisation der Prozesse in diesem Umfeld mit einer ganzheitlichen Informationsverwaltung steht und fällt. Es ist wenig sinnvoll, gesammelte Daten separat voneinander zu betrachten. Vielmehr müssen alle Informationen in einem Pool zusammenfließen, dort jederzeit für sämtliche IT-Geschäftsprozesse zur Verfügung stehen und von allen beteiligten Bereichen aktuell gehalten werden. Mehr noch, es müssen Abhängigkeiten zwischen den einzelnen Systemen und Prozessen erfasst werden können, um sicherzustellen, dass eine schlüssige Verbindung zwischen den Informationen herstellbar ist. Die Einführung einer relationalen Dokumentation, in der diese Abhängigkeiten abgebildet werden können und der ein umfassendes Datenmodell zugrunde liegt, sollte deswegen mit hoher Priorität im Unternehmen verfolgt werden.
Alle Beteiligten an einem Tisch
Neben dem Informationspool ist die klare Definition von Kommunikations-Schnittstellen im Unternehmen Grundlage eines effizienten Risiko-Management-Systems. Ein häufiges Problem hierbei ist jedoch, dass in vielen Firmen die Fachabteilungen so daran gewöhnt sind, separat zu arbeiten, dass gerade dieser eigentlich selbstverständliche Vorgang der Kommunikation untereinander zum größten Problem wird. Externe Berater haben oftmals den Vorteil, dass sie neben der neutralen Sicht auf die (IT-)Geschäftsprozesse in der Lage sind, diese Schnittstellen herzustellen.
Gelingt es also, Wirtschaftsprüfer, interne Revisoren sowie die Entscheider aus dem Unternehmens-Management und die IT-Verantwortlichen an einen Tisch zu bekommen, kann man ein Risiko-Management-System im Unternehmen integrieren, das allen Beteiligten gerecht wird. (js)
*Anke Guski ist Projektleiterin bei Schwirz Consulting in Düsseldorf.