IT-Governance-Risk-und-Compliance-Management

Die Gover­nan­ce-Dis­kus­si­on wur­de durch spek­ta­ku­lä­re Fir­men­zu­sam­men­brü­che am Anfang des neu­en Jahr­tau­sends aus­ge­löst, Ziel die­ser Dis­kus­si­on war es, Instru­men­te bereit­zu­stel­len, mit denen eine Unter­neh­mung sich gegen das Fehl­ver­hal­ten ein­zel­ner Mana­ger absi­chern kann[1]. Dazu die­nen auf der Ebe­ne des Gesamt­un­ter­neh­mens kla­re und ins­be­son­de­re durch Exter­ne über­prüf­ba­re Rege­lun­gen, die fest­le­gen, wie betrieb­li­che Zie­le bestimmt und wie betrieb­li­che Leis­tun­gen erbracht und gemes­sen wer­den[2]. Der betriebs­wirt­schaft­li­che Sinn sol­cher Gover­nan­ce Maß­nah­men liegt vor allem in ihrer Wür­di­gung durch Kapi­tal­ge­ber, ver­bun­den mit gerin­ge­ren Kapi­tal­kos­ten[3], aber auch in der Wür­di­gung durch Mit­ar­bei­ter, Kun­den und Lie­fe­ran­ten. Mitt­ler­wei­le exis­tie­ren jedoch auch gesetz­li­che Vor­ga­ben, die bestimm­te Gover­nan­ce-Maß­nah­men zwin­gend vor­schrei­ben.

In insti­tu­tio­nel­ler Hin­sicht kann die Bezie­hung von Gover­nan­ce und Manage­ment als soge­nann­te Prin­zi­pal-Agen­ten-Bezie­hung abs­tra­hiert wer­den. Der Prin­zi­pal beauf­tragt den Agen­ten mit der Wahr­neh­mung sei­ner Inter­es­sen, z. B. beauf­tragt der Geschäfts­füh­rer den IT-Lei­ter damit, IT im Sin­ne des Unter­neh­mens ein­zu­set­zen. Der Agent ver­folgt aber durch­aus auch eige­ne Inter­es­sen, die den Inter­es­sen des Prin­zi­pals ent­ge­gen­ste­hen kön­nen und er hat gegen­über dem Prin­zi­pal einen Informationsvorsprung.

Die Prin­zi­pal-Agen­ten-Theo­rie[4] beschäf­tigt sich als eige­ner Zweig der Wirt­schafts­wis­sen­schaf­ten mit sol­chen Pro­ble­men und hat eini­ge abs­trak­te Lösun­gen her­vor­ge­bracht, die sich auch in kon­kre­ten Gover­nan­ce-Ansät­zen wiederfinden.

Die Gover­nan­ce auf Gesamt­un­ter­neh­mens­ebe­ne wur­de schnell auf Detail­be­rei­che des Unter­neh­mens, wie z. B. die IT aus­ge­dehnt[5]. Eine IT-Gover­nan­ce dient dazu: „…die IT zu einem wün­schens­wer­ten Ver­hal­ten anzu­re­gen.“[6] Die­se weit ver­brei­te­te Begriffs­auf­fas­sung the­ma­ti­siert zunächst deren Moti­va­ti­ons­funk­ti­on auf die IT. Was ein wün­schens­wer­tes Ver­hal­ten ist, hängt natür­lich vom kon­kre­ten Ein­zel­fall ab, so ist es z. B. für ein sehr inno­va­ti­ves Unter­neh­men bedeu­tend, dass die IT die­se Inno­va­tio­nen auch ermög­licht und nicht durch ihr Ver­hal­ten behin­dert[7]. Für ein sehr auf Sicher­heit bedach­tes Unter­neh­men ist es dage­gen beson­ders wich­tig, dass die IT kei­ne Sicher­heits­lü­cke darstellt.

Zwei wich­ti­ge Ursa­chen der Gover­nan­ce-Dis­kus­si­on waren die erheb­li­chen Risi­ken, die ein­zel­ne Füh­rungs­kräf­te ein­ge­gan­gen sind und die durch ein­zel­ne Füh­rungs­kräf­te ver­schul­de­ten Regel­ver­let­zun­gen. Meist tre­ten sol­che Regeln in Form der Geset­ze auf, z. B. dem Gesetz, das den Daten­schutz regelt, aber auch Regeln von Bran­chen­ver­bän­den, Kun­den oder Lie­fe­ran­ten, denen die Unter­neh­mung zuge­stimmt hat, müs­sen ein­ge­hal­ten wer­den[8] [9]. Das IT-Com­pli­an­ce-Manage­ment the­ma­ti­siert, wie die­se Ein­hal­tung von Regeln gesteu­ert wird und wel­che Risi­ken durch deren Nicht­ein­hal­tung ent­ste­hen[10].

Ein Bei­spiel für ein umfang­rei­ches Regel­werk ist der Sar­ba­nes-Oxley-Act (SOX)[11]. Die­ses US Gesetz soll die Trans­pa­renz bör­sen­no­tier­ter Unter­neh­men sicherstellen.

Das IT-Risk-Manage­ment the­ma­ti­siert die Steue­rung der mit dem Ein­satz der IT ver­bun­de­nen Risi­ken. Ein Risi­ko ist all­ge­mein aus­ge­drückt eine Ver­lust­ge­fahr[12] oder genau­er „ein mög­li­ches Ereig­nis, wel­ches Ver­lus­te, Feh­ler oder ein ver­rin­ger­tes Ver­mö­gen, Zie­le zu errei­chen, ver­ur­sacht“.[13]

Ein Risi­ko kann in den zwei Dimensionen:

  • Ein­tritts­wahr­schein­lich­keit und
  • Aus­fall­vo­lu­men

bewer­tet werden.

Es las­sen sich drei Kern­auf­ga­ben des Risi­ko­ma­nage­ments unter­schei­den, die auch auf das IT-Risk-Manage­ment anzu­wen­den sind:[14]

  1. Risi­ko­ana­ly­se,
  2. Risi­ko­pla­nung und ‑steue­rung und
  3. Risi­ko­über­wa­chung.

[1]      Vgl. z. B. Klotz/Dorn (2008), S. 6 und Weill/Ross (2004), S. 4.

[2]      Vgl. OECD (1999), S. 5.

[3]      Kapi­tal­kos­ten sind die Kos­ten, die eine Orga­ni­sa­ti­on für das ihr zur Ver­fü­gung gestell­te Kapi­tal auf­wen­den muss. Kapi­tal­kos­ten las­sen sich in Fremd­ka­pi­tal­kos­ten, dies sind meist Bank­zin­sen und Eigen­ka­pi­tal­kos­ten unter­tei­len. Eigen­ka­pi­tal­kos­ten wer­den in Form von an die Kapi­tal­ge­ber aus­ge­schüt­te­ten Gewin­nen, z. B. in Form von Akti­en­di­vi­den­den, aus­be­zahlt. Der von den Eigen- und Fremd­ka­pi­tal­ge­bern erwar­te­te Zah­lungs­be­trag schwankt ins­be­son­de­re mit dem Risi­ko, wel­ches sie mit der Kapi­tal­über­las­sung eingehen.

[4]      Vgl. Jensen/Meckling (1976), S. 305 ff.

[5]      Vgl. Weill/Ross (2004), S. 5 für eine Übersicht.

[6]      Weill/Ross (2004), S. 8.

[7]      Vgl. für ein Bei­spiel Weill/Ross (2004), S. 9.

[8]      Vgl. Teich/Kolbenschlag/Reiners (2008), S. 12.

[9]      Ist ledig­lich die Ein­hal­tung von Geset­zen und nicht die von ande­ren Regeln Gegen­stand der Com­pli­an­ce, han­delt es sich um Com­pli­an­ce in einer enge­ren und sonst in einer wei­te­ren Auf­fas­sung, vgl. Klotz/Dorn (2008), S. 8 f.

[10]      Vgl. Klotz/Dorn (2008), S. 5 und 7.

[11]      Benannt nach dem Sena­tor Paul S. Sar­ba­nes und dem Kon­gress­ab­ge­ord­ne­ten Micha­el G. Oxley.

[12]      Vgl. Hor­vath (2001), S. 130.

[13]      OGC (2007b), S. 308.

[14]      Vgl. Hor­vath (2001), S. 1781 ff., Bertele/Lehner (2008), S. 12 ff. und Zahrnt (2005), S.09 f. und aus­führ­li­cher Heinrich/Lehner (2005), S. 487 ff.

Zur Start­sei­te
Auf­ga­ben IT-Governance-Risk-und-Compliance