Erfüllung von Basel II und Sarbanes-Oxley

Compliance braucht Risikomanagement

1. März 2006, 0:15 Uhr | Diethelm Siebuhr/wg Diethelm Siebuhr ist Geschäftsführer der Easynet Deutschland.

IT-Governance - die ganzheitliche Kontrolle über IT-Ressourcen und -Prozesse - ist nicht erst seit Basel II und dem amerikanischen Sarbanes-Oxley Act (SOX) ein wichtiges Thema. Doch viele Unternehmen sind mit den Anforderungen der gesetzlichen Vorschriften überfordert. Zudem bleibt nur wenig Zeit, bis die Vorgaben verbindlich werden. Was bedeutet IT-Governance für IT-Abteilungen und wie viel Verantwortung können externe Dienstleister dabei übernehmen?

Viele Unternehmen nehmen IT-Sicherheit ernst. Sie achten darauf, dass Daten nur demjenigen zur
Verfügung stehen, der diese auch benötigt und verwenden darf, und schützen das Unternehmensnetz vor
Ausfällen sowie vor Angriffen von außen und innen. Diese Maßnahmen sind zweifellos wichtig, genügen
allerdings nicht, um Gesetzesvorgaben wie Basel II und den Sar- banes-Oxley Act zu erfüllen. Oft
fehlt ein übergreifendes, strukturiertes Risikomanagement.

Was hinter den Schlagworten steckt

Der Sarbanes-Oxley Act (SOX) und Basel II sind zum Synonym für verschärfte Regulierung und
Kontrolle durch den Gesetzgeber geworden. Basel II umfasst die Empfehlungen des Baseler Ausschusses
für Bankenaufsicht. Diese betreffen unmittelbar alle Banken und mittelbar alle Unternehmen, die
künftig einen Kredit bei einer Bank beantragen. Banken müssen ab dem 1. Januar 2007 vor der Vergabe
eines Kredits das Kreditrisiko in einem Rating beurteilen. Neben der wirtschaftlichen Lage und der
Bonität des Unternehmens fließen jetzt auch operationelle Risiken in die Bewertung mit ein.
Darunter versteht Basel II alle Probleme, die durch unzulängliche oder ausfallende Verfahren und
Systeme sowie durch Fehlverhalten von Mitarbeitern entstehen können. Basel II ist als Richtlinie
zwar nur für Banken bindend; die Erfüllung der Vorschriften fällt aber indirekt auf die Kredit
beantragenden Unternehmen zurück: Sie werden ein möglichst gutes Rating anstreben, um in den Genuss
günstiger Kreditkonditionen zu kommen.

Im Gegensatz zu Basel II betrifft SOX die Unternehmen direkt. Ziel ist es, nach spektakulären
Finanzskandalen in den USA das Vertrauen der Anleger in die von Unternehmen veröffentlichten
Finanzdaten wiederherzustellen. Alle Unternehmen, die selbst oder deren Konzernmütter an der
US-Börse notiert sind, unterliegen dem Sarbanes-Oxley Act. Die Abschlussprüfung durch einen
Wirtschaftsprüfer findet erst statt, wenn die von SOX geforderten Bedingungen erfüllt sind.

Ein erheblicher Teil von SOX, die Section 404, befasst sich mit internen Kontrollen für das
Finanzberichtswesen. SOX fordert vor allem Transparenz: Alle Prozesse, die in direktem oder
indirektem Zusammenhang mit der Rechnungslegung stehen, müssen wirksame Kontrollsysteme vorweisen,
die ausführlich dokumentiert und regelmäßig überprüft werden. Dies hat weit reichende Konsequenzen
für die Unternehmens-IT, da diese nahezu alle Geschäftsprozesse unterstützt und schließlich die
Daten für das Controlling liefert und aufbereitet.

Verantwortung des Managements

Abschnitt 404 des Sarbanes-Oxley Acts unterteilt sich in zwei Bereiche. Abschnitt 404a
beschreibt die Verantwortlichkeiten des Managements. Das Gesetz nimmt die Geschäftsführung in die
Pflicht, angemessene und wirksame interne Kontrollsysteme für alle mit dem Finanz-Reporting
zusammenhängenden Prozesse zu etablieren. Es fordert zudem die regelmäßige Überprüfung der
Funktionalität und Effektivität dieser Kontrollen. Wenn ein Unternehmen gegen diese Regeln
verstößt, kann dies auch rechtliche Konsequenzen nach sich ziehen. Abschnitt 404b definiert den
Verantwortungsbereich des unabhängigen Prüfers.

Die Vorbereitung auf das erste SOX-Audit ist sehr komplex, zeit- und ressourcenintensiv. Das
Unternehmen muss ausführliche Informationen sammeln. Dazu empfiehlt es sich, den Rat eines Experten
einzuholen. Die Umsetzung der einzelnen Schritte nimmt ebenfalls viel Zeit in Anspruch, und auch
für das Audit selbst muss man ein Zeitfenster einkalkulieren. Um die SOX-Compliance (Erfüllung) zu
sichern, ist ein transparentes Risikomanagement zu implementieren, das mindestens jährlich
Prüfungen (Audits) unterliegt. Auf den Chief Information Officer (CIO) kommt dabei verstärkt die
Rolle eines Risikomanagers zu.

Schritt für Schritt

Soweit die Theorie; in der Praxis bedeutet dies, dass IT-Verantwortliche zunächst eine
umfassende Analyse der Systeme und Prozesse durchführen sollten. Sie müssen mögliche Schwachstellen
und daraus resultierende Riskien hinsichtlich der Vertraulichkeit, der Integrität und der
Verfügbarkeit von Daten prüfen. Dabei müssen sie zunächst definieren, welche Prozesse es zu
analysieren gilt. SOX zielt auf die Kontrolle des Finanzberichtswesens; so sind beispielsweise die
Warenwirtschaft, der Auftragseingang sowie das Controlling betroffen – also im Prinzip nahezu alle
geschäftsrelevanten Prozesse und die darunter liegenden IT-Systeme. Auf der Basis einer
kombinierten Risiko- und Prozessanalyse kann das Unternehmen nun hinterfragen, welche
Sicherheitsmaßnahmen bereits implementiert und welche noch nötig sind. Manager und
IT-Verantwortliche sollten demnach gemeinsam einen ausführlichen Fragenkatalog zum Thema
Risikomanagement erstellen.

Weit mehr als nur IT-Sicherheit

Das Beispiel IT-Sicherheit stellt einen wichtigen Teilbereich der IT-Governance dar. Es
verdeutlicht, wie umfangreich ein solcher Fragenkatalog tatsächlich ausfallen kann. Allein für
dieses Thema ist folgende Unterteilung in zu betrachtende Bereiche denkbar:

Business Continuity,

Systementwicklung,

Zugangskontrollen,

Kommunikation und Betrieb,

physikalische Sicherheit,

Mitarbeiter,

Klassifizierung der Anlagen,

IT-Organisation und

Sicherheitsrichtlinien.

Für alle Bereiche gilt es nun, sicherheitsrelevante Fragen zu formulieren. Für den Punkt "
Zugangskontrollen" könnten diese beispielsweise lauten: Wer hat Zugang zum Rechenzentrum? Wie hat
sich der Mitarbeiter beim Zugang zu authentifizieren? Welches Zutrittsverfahren findet Anwendung
(Keycards, Schlüssel, Code-Eingabe etc.)? Wer administriert das Zugangssystem? Erfolgt eine
regelmäßige Prüfung, ob die richtigen Mitarbeiter den Zugangscode kennen und ob sich der Kreis
erweitert hat? Wird der Zugangscode regelmäßig erneuert?

In den Teilbereich "Kommunikation und Betrieb" wiederum könnten alle Fragen rund um die
E-Mail-Kommunikation, die Sicherheit des Internetzugangs sowie die Viren- und Spam-Problematik
fallen. Ebenso wichtige Themen sind die Datensicherung und -archivierung sowie die Kommunikation
einzelner IT-Systeme und Applikationen untereinander.

Unter "IT-Organisation" fällt der Aufbau der Infrastruktur: Welche Netzstruktur kommt zum
Einsatz? Gibt es ein VPN und über Remote-Zugänge angebundene Heimarbeitsplätze? Bestehen WLANs, die
besondere Sicherheitsvorkehrungen erfordern, und wie muss der Remote-Datenverkehr verschlüsselt
werden? Die Liste ließe sich fast beliebig fortsetzen. Ihr Inhalt und ihre Detailgenauigkeit hängt
dabei von der Art des Geschäfts und der Sensibilität der eigenen und der Kundendaten ab. Nach wie
vor gilt die Faustregel: IT-Sicherheit ist weniger ein Produkt als vielmehr ein kontinuierlicher
Prozess.

Einbezug der Mitarbeiter

Auch die eigenen Mitarbeiter gehören zu den Risikofaktoren. Deshalb ist es wichtig, sie in die
Betrachtung mit einzubeziehen und gezielt zu hinterfragen, welches Sicherheitsverständnis in der
Belegschaft vorherrscht: Kennen die Mitarbeiter die internen Sicherheits-Policies und beachten sie
diese? Wie wird deren Einhaltung kontrolliert?

Um das Bewusstsein der Mitarbeiter für die Problematik zu stärken, sollte das Unternehmen sie in
den gesamten Prozess integrieren. Regelmäßige Schulungen und die offene Kommunikation über das
gesamte Risikomanagementprojekt und dessen Entwicklung sind zwei mögliche Wege. Die enge
Kooperation mit dem Betriebsrat, falls vorhanden, kann sich ebenfalls als sehr nützlich und
hilfreich erweisen.

Dokumentation und Maßnahmenkatalog

Nachdem das Projektteam alle betroffenen Teilbereiche erfasst und die implementierten
Sicherheitsmaßnahmen hinterfragt hat, sollte es eine ausführliche Dokumentation erstellen. Diese
schildert möglichst detailliert, wie das Unternehmen die erforderlichen Maßnahmen konkret in die
Praxis umsetzt. Zu jedem identifizierten Risiko gehört an dieser Stelle eine Sicherheitsbetrachtung
mit entsprechenden Kontrollen. Welcher Mitarbeiter jeweils die Verantwortung trägt, ist dabei ein
elementarer Teil der Dokumentation.

Da die SOX-Compliance ein laufender Prozess ist, lohnt es sich, die Dokumentation teilweise zu
automatisieren. Die Unternehmensberater von KPMG empfehlen dafür beispielsweise so genannte "
Control Assesment Templates". Die Vorlagen weisen den Verantwortlichen für jede Prüfmaßnahme aus
und geben auch vor, welche Bedingungen zu erfüllen sind. Anhand der eingegebenen Daten lassen sich
Grafiken generieren, die die Wirksamkeit der Kontrollmechanismen verdeutlichen. Aus der
Dokumentation ergibt sich mittels Risiko- und Schwachstellenanalyse ein Maßnahmenkatalog, der durch
interne und externe Audits einer regelmäßigen Kontrolle unterliegen sollte.

IT-Governance und Outsourcing

Unternehmen, die mit externen Dienstleistern arbeiten, sollten auch deren Risikomanagement
überprüfen. Vor allem im Fall des IT-Outsourcings oder -Outtaskings geht auch Verantwortung auf den
Service-Provider über. Die Auswahl des richtigen Partners ist deshalb wichtig. Zertifikate können
dabei als Richtungsweiser dienen. Besonders der Standard BS7799 des British Standard Institute
(BSI) hat sich für den Bereich Informationssicherheit und Risikomanagement etabliert. Der
Service-Provider weist damit einerseits die Einhaltung strenger Anforderungen nach. Andererseits
lässt sich mit BS7799 auch der Aufwand für ein SOX-Compliance-Projekt senken. Denn das Zertifikat
deckt die so genannte "SAS70"-Methode beinahe komplett ab, mit der Wirtschaftsprüfer die Einhaltung
von SOX kontrollieren. Wichtig ist es zudem, darauf zu achten, welche Unternehmensbestandteile und
Geschäftsfelder die Zertifikate der Dienstleister abdecken. Denn nicht jeder Dienstleister nimmt
den Aufwand einer umfangreichen Gesamtzertifizierung auf sich.

Ein Beispiel: In einem Unternehmen laufen geschäftskritische Prozesse über ein VPN ab. Das
Unternehmen lagert dieses VPN an einen externen Dienstleister aus, muss aber gleichzeitig
SOX-konform arbeiten. Dann hat der Dienstleister ebenfalls die rechtlichen Vorschriften einzuhalten
– unabhängig davon, ob er selbst dazu verpflichtet ist oder nicht. Dem Kunden gegenüber weist er
seine SOX-Compliance nach, dieser übernimmt die benötigten Angaben in seine Dokumentation.

Prüfung als Chance nutzen

Der Aufwand für solche Corporate-Compliance-Strategien bringt hohe Kosten mit sich. Die Experten
der Unternehmensberatung KPMG prognostizieren, dass SOX den europäischen Großkonzernen Kosten im
zweistelligen Milliardenbereich verursachen wird. Da wundert es nicht, wenn sich bei den
Unternehmen Ärger und Kritik regt. Doch die Regularien sind nicht entwickelt worden, um den
Unternehmen das Geschäftsleben zu erschweren, sondern um Geschäftsrisiken rechtzeitig zu erkennen
und zu minimieren. Die skandalösen Insolvenzen namhafter amerikanischen Unternehmen zeigten, wie
notwendig ein systematisches Risikomanagement ist.

Die Notwendigkeit, sich ausführlich mit SOX oder Basel II zu beschäftigen, birgt auch Vorteile:
Die Analyse der bestehenden Prozesse fördert mit großer Wahrscheinlichkeit Optimierungs- und
Kostensenkungspotenzial zu Tage. Sie schafft die Gelegenheit, Transparenz in die eigenen Prozesse
zu bringen und damit bei Kunden wie auch Investoren größeres Vertrauen aufzubauen. Zertifizierte,
professionelle Dienstleister können hier einen klaren Mehrwert bieten.


Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Lampertz GmbH & Co. KG

Matchmaker+