Werkzeugunterstützung für Governance, Risk und Compliance Management. Anforderungen und Marktüberblick

Transkript

1 Werkzeugunterstützung für Governance, Risk und Compliance Management Anforderungen und Marktüberblick

2 Autorin: Sandra Weuster, Master of Science Wirtschaftsinformatik Softwareforen Leipzig GmbH Hainstraße Leipzig T F E info@softwareforen.de I Vertretungsberechtigter Geschäftsführer: Dr. André Köhler Registergericht: Amtsgericht Leipzig, HRB Inhaltlich verantwortlich gemäß 6 MDStV: Dr. André Köhler Softwareforen Leipzig GmbH, Leipzig, Deutschland, Alle Rechte vorbehalten.

3 Werkzeugunterstützung für Governance, Risk und Compliance Management Anforderungen und Marktüberblick

4 Inhaltsverzeichnis Abbildungsverzeichnis...5 Tabellenverzeichnis...6 Abkürzungsverzeichnis Einführung Grundlagen und Begriffsabgrenzungen Anforderungen an eine Werkzeugunterstützung Ziele und Grundlagen der Werkzeugunterstützung Ziele der Werkzeugunterstützung Grundlagen der Werkzeugunterstützung Anforderungen gemäß GRC Risiko-Anforderungen Compliance-Anforderungen Governance-Anforderungen Werkzeugunterstützung für IT-gestütztes GRC Allgemeine Vorgehensweise Erfüllung der GRC-Anforderungen Fazit...32 Literaturverzeichnis

5 Abbildungsverzeichnis Abb. 1: Die Trias»Governance-Risk-Compliance« Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen Abb. 3: Referenzmodelle als Grundlage für IT-Governance-Ansätze Abb. 4: Klassifikation existierender Softwarelösungen

6 Tabellenverzeichnis Tab. 1: Übersicht der Risiko-Anforderungen Tab. 2: Übersicht der Compliance-Anforderungen Tab. 3: Übersicht der Governance-Anforderungen Tab. 4: Übersicht der gesamten GRC-Anforderungen Tab. 5: Marktüberblick relevanter Management- und Prozessphasen-Tools Tab. 6: Gesamtübersicht der Anforderungen und Software-Lösungen

7 Abkürzungsverzeichnis BaFin Basel II BSI CobiT COSO egrc GRC ISACA ISO IT ITGI ITIL KonTraG MaRisk PwC Bundesanstalt für Finanzdienstleistungsaufsicht Gesamtheit der Eigenkapitelvorschriften, die vom Basler Ausschuss für Bankenaufsicht vorgeschlagen wurden Bundesamt für Sicherheit in der Informationstechnik Control Objectives for Information and Related Technology Committee of Sponsoring Organizations of the Threadway Commission Enterprise Governance, Risk und Compliance Governance, Risk, Compliance Information Systems Audit and Control Association International Organization for Standardization Internationale Organisation für Normung Informationstechnologie IT-Governance Institute IT Infrastructure Library Gesetz zur Kontrolle und Transparenz im Unternehmensbereich Mindestanforderungen an das Risikomanagement PricewaterhouseCoopers (Wirtschaftsprüfungsgesellschaft) 7

8 1. Einführung 8

9 Governance, Risk und Compliance und die effiziente Erfüllung durch oder mittels verfügbarer Informationstechnologien (IT) ist gegenwärtig von großer Bedeutung für eine Vielzahl von Unternehmen. Eine kontinuierlich wachsende Zahl von Gesetzen, Regularien sowie Standards und Best Practices tragen dazu bei, dass die Mehrheit der Unternehmen sich nicht nur verstärkt mit diesen Anforderungen auseinandersetzt, sondern auch nach geeigneten technologischen Lösungen sucht, um diese Aufgabe beherrschbar zu machen. Ziel dieser Studie ist es, den Zusammenhang von Governance, Risk und Compliance-Management im Unternehmen darzulegen und darauf aufbauend auf die Ansätze zur IT-gestützten Umsetzung dieser drei Kernbereiche einzugehen. Folgende zwei zentrale Fragen sollen im Rahmen dieser Studie beantwortet werden: 1. Welche Anforderungen ergeben sich aus dem Governance, Risk und Compliance-Management sowie aus etablierten Standards, wie CobiT und ITIL, an eine Softwarelösung? 2. Welche Softwarelösungen sind bereits am Markt verfügbar, um die jeweiligen Verantwortlichen im Unternehmen in ihren Aufgaben bestmöglich zu unterstützen? Die Beantwortung dieser Fragen soll es zukünftig den Verantwortlichen für GRC ermöglichen, ihre Aufgaben bestmöglich im Sinne der Unternehmensziele und Unternehmensstrategien zu erfüllen. 9

10 2. Grundlagen und Begriffsabgrenzungen 10

11 2.1 Governance, Risk und Compliance Der Begriff Governance, Risk und Compliance-Management (GRC) fasst drei wesentliche Handlungsebenen der Unternehmensführung zusammen, welche nachfolgend kurz beschrieben werden. Der Begriff Corporate Governance kann mit den Bezeichnungen Unternehmensleitung und -kontrolle gleichgesetzt werden und ist dahingehend eng mit der Unternehmensführung verknüpft. Er trägt wesentlich zur Effizienz des Unternehmens bei [Zöll07, Falk12, Homm09] und hat zur Aufgabe, einen»rechtlichen und faktischen Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens«[Homm09] festzulegen. Betrachtet man nun in einem weiteren Schritt die Corporate-Governance aus dem Blickwinkel der IT-Abteilungen, so ergibt sich der Begriff der IT-Governance. So liegt gemäß des IT-Governance-Institutes die IT-Governance in der Verantwortung des Vorstandes und des Managements und ist daher als wesentlicher Bestandteil der Unternehmensführung anzusehen. Sie besteht aus Führung, Organisationsstrukturen und Prozessen, die sicherstellen, dass die IT die Unternehmensstrategie und -ziele unterstützt [Thom06]. Aus den zahlreichen Definitionen, welche in der Literatur zu finden sind, wird ersichtlich, dass die IT-Governance und die Corporate-Governance eng miteinander verbunden sind und dass eine getrennte Betrachtung beider Begriffe weder in der Wissenschaft noch im Unternehmen zielführend erscheint. Fasst man den Begriff der IT-Governance weiter, also über den Bereich der IT-Abteilungen hinaus, hin zu anderen Fachbereichen des Unternehmens, welche ebenfalls IT-Systeme nutzen, so spricht man von der IT-gestützten Governance. Diese betrachtet die IT-Governance nicht allein aus Sicht der IT-Abteilungen, sondern aus der gesamten Unternehmensperspektive. Ihr Ziel ist es, zu klären, welchen Beitrag die IT leisten kann (IT Alignment), um die Unternehmensführung optimal zu unterstützen. Dies kann beispielsweise mittels geeigneter Softwarelösungen erfolgen, welche die Geschäftsprozesse im Sinne der Unternehmensziele und -strategie bestmöglich unterstützen. Der Begriff Risiko kann sowohl als negative als auch als positive Abweichung eines tatsächlichen von einem erwarteten Ereignis definiert werden [Seib06]. Das Risikomanagement ist hier als ein Prozess zu verstehen, welcher diese negativen bzw. positiven Ereignisse erkennt und hinreichende Sicherheit in Bezug auf die Erreichung der Ziele des Unternehmens gewährleistet [COSO04]. Das Compliance-Management ist ebenfalls als Teilbereich der (Corporate-)Governance zu verstehen. Compliance wird als die Summe»aller Maßnahmen zur Einhaltung von gesetzlichen und anderen Regeln, die dem Unternehmen extern vorgegeben sind, und die Ausarbeitung von Regeln, die sich das Unternehmen selber gegeben hat, sowie die dazu eingeführten Maßnahmen«[Behr10] definiert. Das Compliance-Management ist nun als eine Erweiterung des Begriffs Compliance zu verstehen. Es bezeichnet die Auseinandersetzung mit Fragen der Gestaltung von Compliance der Unternehmen (bzw. der betrieblichen Praxis) und stellt somit die Verbindung zur Corporate-Governance dar. Die IT-Compliance stellt einen wesentlichen Teilbereich der Corporate Compliance dar, welche wiederum mit der Corporate sowie der IT-Governance eng verbunden ist. 11

12 2.2 Zusammenspiel der Bereiche Governance, Risk und Compliance Die Betrachtung des Themenbereichs GRC als zusammenhängendes Konstrukt ist für die Bearbeitung der in dieser Studie vorgestellten Fragestellung unerlässlich. Die nachfolgende Abbildung 1 gibt eine Vorstellung von den Zusammenhängen zwischen Governance, Risk und Compliance. Dem übergeordnet ist die Corporate-Governance als wichtiges Führungsinstrumentarium. Sie legt für das Risiko- und Compliance-Management die Verantwortlichkeiten fest und hat im Hinblick auf die Unternehmensziele die richtigen Entscheidungen auf Grundlage der Erkenntnisse aus dem Risiko- und Compliance- Corporate Governance IT-Governance Compliance Management IT Risk Management IT-Compliance Management IT-Risk Management Abb. 1: Die Trias»Governance-Risk-Compliance«[Klot09] Vor dem Hintergrund zunehmender gesetzlicher Anforderungen, Standards und Best Practices, welche ein Unternehmen zu erfüllen hat, steigt der Bedarf an Risiko-Managementsystemen, mit deren Hilfe Risiken im Unternehmen effektiv und effizient identifiziert, bewertet und gesteuert werden können. Diese Risiken können verschiedene Ursachen haben. So können sie aus der Nichteinhaltung von Compliance (Verletzung gesetzlicher Bestimmungen) und aus dem alltäglichen Geschäftsbetrieb herrühren oder IT-Risiken darstellen, die in Zusammenhang mit der nicht ordnungsgemäßen Verwendung der IT und ihrer Bestandteile entstehen. Um ein effizientes und effektives Risikomanagement zu gewährleisten, ist es daher notwendig, alle gesetzlichen Auflagen zu kennen und für deren Erfüllung zu sorgen. Dies ist Aufgabe des Compliance-Managements. Es zeigt sich somit die enge Verflechtung zwischen Risiko-Management und Compliance-Management, welche sich gegenseitig beeinflussen. Zum einen führt die Nichteinhaltung von Compliance zu neuen Risiken, andererseits entstehen durch neu entdeckte Risiken veränderte oder neue (interne) Compliance-Vorschriften. Management zu treffen. Somit finden Einflüsse sowohl von der Corporate-Governance auf das nachgelagerte Risiko- und Compliance-Management statt, als auch umgekehrt beeinflussen das Risiko- und Compliance-Management die Entscheidungen auf der Ebene der Unternehmensleitung. Aufgrund dieser inhaltlichen Zusammenhänge wird in der Literatur vielfach von der Trias»Governance-Risk-Compliance«(GRC) gesprochen, welche eine»integrierte Strategie und ein gemeinsames Management«erfordert [Klot09]. Neben den zuvor erwähnten regulatorischen Anforderungen sehen sich die Unternehmen auch einer hohen Marktdynamik gegenüber, welche aus schnellen technologischen Entwicklungen, kurzen Produktlebenszyklen sowie der Internationalisierung resultieren. Daraus folgt, dass Unternehmen zum einen ihre Geschäftsrisiken genauer im Blick behalten und zum anderen die Flexibilität ihrer Geschäftsprozesse gewährleisten müssen, um schnell auf marktbezogene Veränderungen reagieren zu können [MaNi09]. Dies erfordert eine agile und kundenorientierte IT-Unterstützung [MaNi09] wel- 12

13 che die Relevanz der IT-gestützten GRC zunehmend in den Mittelpunkt rückt. Von besonderer Wichtigkeit sind hierbei ganzheitliche und unternehmensweite Ansätze, welche insbesondere beim Einsatz von Softwarelösungen von ausschlaggebender Bedeutung sind. Vielfach findet jedoch eine Abgrenzung der verschiedenen Themenbereiche entweder auf Risiko- oder auf Compliance-Management statt. Diese Sichtweise ist jedoch nicht zielführend im Umgang mit GRC im Unternehmen und führt in der Praxis vielfach zu Verwirrungen. Der Aufbau von Insellösungen im Unternehmen (einerseits Risiko- und andererseits Compliance-Managementsysteme) führt hingegen zu Intransparenzen, Redundanzen und Inhomogenität von Daten. Um dem entgegenzuwirken, ist es sinnvoller, ein Managementsystem im Unternehmen zu implementieren, welches den Regelkreislauf der Aufbau- und Ablauforganisation beinhaltet [Sche11]. Es ist also von besonderer Bedeutung, den Themenbereich GRC immer als Ganzes zu betrachten und dementsprechend Softwarelösungen zu implementieren, die dieser Anforderung gerecht werden. 13

14 3. Anforderungen an eine Werkzeugunterstützung 14

15 3.1 Ziele und Grundlagen der Werkzeugunterstützung Ziele der Werkzeugunterstützung Zur Erfüllung der GRC-Anforderungen steht den Unternehmen ein breites Spektrum an Software zur Verfügung. Dieses reicht von einfachen Standardlösungen wie Microsoft Excel, welche durch spezielle Add-Ons erweitert werden können, bis hin zu integrierten Gesamtlösungen, welche damit werben, alle Anforderungen aus GRC gleichermaßen zu erfüllen. Obwohl den Unternehmen damit viele Möglichkeiten zur Erfüllung ihrer Aufgaben gegeben sind, ist nach wie vor zu beobachten, dass Excel als Werkzeugunterstützung vorrangig genutzt wird [Gund10, CW13]. Dies ist auf unterschiedliche Gründe zurückzuführen. Zum einen bestehen Vorteile in der starken Verbreitung der Anwendung, auch standort- und länderübergreifend. Ein Unternehmen muss sich um die Implementierung in die bestehende Systemlandschaft sowie die Schulung seiner Mitarbeiter nur bedingt kümmern, da Microsoft Excel als Standardsoftware bereits hinreichend unter den Nutzern von Microsoft Office bekannt ist. Vielfach wird sogar davon ausgegangen, dass auch neue Mitarbeiter fähig sind, mit dieser Software umzugehen. Zudem ist eine hohe Kompatibilität zwischen Excel und anderen Microsoft-Produkten (wie Word oder Power Point) gegeben. Dennoch ist die Verwendung von Microsoft Excel im Bereich des Risiko- und Compliance-Managements auch mit Nachteilen verbunden, denn Excel als Werkzeugunterstützung sowie andere Tools, welche als Insellösungen in den Unternehmen vorherrschen, sind zumeist wenig effizient und verursachen zudem langfristig gesehen zu hohe Kosten [CW13]. Durch den Einsatz von Insellösungen entstehen so unter anderem Redundanzen in den Datensätzen, eine mangelnde Vergleichbarkeit der Ergebnisse sowie Ineffizienzen [Gund10, Sche11], da verschiedene Abteilungen zumeist ihre eigenen Daten bezüglich des Risikos erheben. Der Einsatz von geeigneten Softwarelösungen kann dem entgegenwirken und ist somit außerhalb des gängigen Office-Pakets von entscheidender Bedeutung. Speziallösungen sowie integrierte GRC-Lösungen ermöglichen eine Qualitätssteigerung der Prozesse, eine einfachere Darstellung der Daten sowie einen leichteren Umgang mit den Daten. Weitere Gründe für die Einführung einer geeigneten Softwarelösung können rechtlicher, wirtschaftlicher oder betrieblicher Natur sein [Hoff10]. Zu den rechtlichen Gründen zählen die Zunahme von gesetzlichen Anforderungen in Form von Gesetzen, wie 43 GmbH-Gesetz, 93 Aktiengesetz, KonTraG, SOX und weitere sowie die in diesem Zusammenhang steigende Komplexität in der Bewältigung dieser Vorschriften. Zu den wirtschaftlichen Gründen zählen die Möglichkeit, durch geeignete Automatisierungsprozesse und Software-Unterstützung Kosten, Personal und Ressourcen einzusparen. Die betrieblichen Gründe schließlich sind von besonderer Relevanz, da sich aus dem IT-Einsatz rückführend Kosteneinsparungspotenziale generieren lassen [Hoff10, Sche11]. Neben diesen Gründen sind noch weitere in Literatur und Praxis zu finden, welche den gleichen Tenor aufweisen. So beschreiben Nemeyer und Pricewaterhouse- Coopers (PwC) neben allgemeinen Anforderungen an eine Tool-Unterstützung auch wesentliche Vorteile. Im Gegensatz zu Excel müssen Änderungen im System nicht manuell kommuniziert werden. Stattdessen werden Normen und Entscheidungen sofort durchgesetzt und vereinfachen so das Berichtswesen und führen zu einer höheren Aktualität der Daten. Auch die Modellierung der Geschäftsprozesse ist auf ein akzeptables 15

16 Maß vereinfacht und flexibilisiert. Manuelle Aufwände und die damit verbundenen Kosten können so reduziert werden. Darüber hinaus entfällt die im Fall von Excel notwendige Formelpflege, Fehlersuche, Datenzusammenführung und Verhinderung von Datenredundanzen. Nicht zuletzt ermöglicht der Einsatz von geeigneten Softwarelösungen eine effiziente und transparente Unternehmenssteuerung sowie die dauerhafte Sicherung der Unternehmensziele, was zu mehr Sicherheit und Wirksamkeit führt [PwC12, Neme10]. In Unternehmen mit komplexen GRC-Strukturen ist die Verwendung von Speziallösungen bzw. integrierten Lösungen demnach von entscheidendem Vorteil Grundlagen der Werkzeugunterstützung Nachfolgend werden die spezifischen Governance-, Risiko- und Compliance-Anforderungen (Abschnitt 3.2) sowie die Anforderungen aus relevanten Rahmenwerken und Standards (Abschnitt 3.3) anhand einer detaillierten Literaturanalyse erhoben. Dabei ist zu beachten, dass es zwischen den einzelnen Bereichen und Anforderungskategorien zu Redundanzen kommen kann. Aufgrund dessen, das sich viele Governance-Anforderungen meist indirekt aus denen des Risiko- und Compliance-Managements ergeben, werden nachfolgend zunächst jene des Risiko- und Compliance-Managements erörtert bevor anschließend detailliert auf die Governance-Anforderungen eingegangen wird (siehe Abbildung 2). Risk Management Compliance Management Governance Abb. 2: Zusammenhang zwischen den einzelnen Anforderungen 3.2 Anforderungen gemäß GRC Risiko-Anforderungen Die Anforderungen des Risikomanagements ergeben sich zunächst aus den detaillierten regulatorischen Anforderungen, welche auf Gesetzen, Best Practices sowie internen Richtlinien beruhen. Hier ist bereits ein konkreter Zusammenhang zum Compliance-Management und dessen Anforderungen erkennbar. So ergibt sich eine Vielzahl der Risiken aus dem Umstand, dass das Unternehmen nicht compliant ist. Eine vollständige und stets aktuelle Kommunikation zwischen dem Compliance- und dem Risikomanagement ist daher unabdingbar und stellt eine der wesentlichen Anforderungen an die Software dar. Eine erste Anforderung, welche sich hieraus ableiten lässt, ist die vollständige und aktuelle Darstellung aller risikorelevanten Vorschriften, seien sie nun extern (KontraG, BilMog) vorgegeben oder intern festgelegt, sowie die sich daraus ergebenden Maßnahmen, welche das Unternehmen umzusetzen hat. Darüber hinaus lässt sich eine Vielzahl von Anforderungen aus dem Risikomanagement-Prozess [ISAC10] des Unternehmens ableiten. Dieser Prozess besteht im Wesentlichen aus den Prozessschritten (1) Risikoidentifikation, (2) Risikobewertung, (3) Risikoanalyse, (4) Risikosteuerung und Risikokontrolle sowie (5) Risikoüberwachung und Risikoreporting [Mele09]. So sollte die entsprechende Software im Rahmen der Risikoidentifikation dafür Sorge tragen, dass das gesamte Risikoinventar (d. h. die Risiken bzw. die Risikoszenarien) ebenso wie die schlagend gewordenen Risiken darin abbildbar sind. Dies kann dadurch erreicht werden, 16

17 Risiko-Anforderungen Vollständige und aktuelle Darstellung aller risikorelevanten Vorschriften Erfassung und einheitliche Aufbereitung aller internen und externen Daten Gewährleistung eines reibungslosen Informations- und Kommunikationsflusses zwischen den einzelnen Organisationseinheiten und Beteiligten Darstellung der Unternehmensrisikoposition Abbildung der realen Risikobereitschaft und deren Umsetzung in Richtlinien Abbildung des Risikomanagements als kontinuierlichen Prozess: Risiko-Identifikation: -- Kontinuierliche Erhebung, Dokumentation und Analyse der gesamten Unternehmensrisiken -- Abbildung von Ursache-Wirkungs-Beziehungen und von Korrelationen zwischen Risiken Risikobewertung: -- Quantitative und qualitative Bewertung der Risiken (Risikomaß) -- Erfassung der Risikokosten -- Beurteilung der Wirksamkeit bestehender risikopolitischer Bewältigungsmaßnahmen und Ansatzpunkte zur Verbesserung -- Priorität, mit welcher die Maßnahmen zur Bewältigung realisiert werden sollen (Handlungsbedarf) Risikoanalyse: -- Berechnung der Risiken und risikoorientierter Kennzahlen -- Beschreibung der Risiken (mittels Wahrscheinlichkeitsverteilungen) -- Festlegung von Risikobewältigungsmaßnahmen (Maßnahmencontrolling) Risikosteuerung und -kontrolle mittels der Analyse der Auswirkungen der Risiken Risikoüberwachung und -reporting: -- Zuweisung eines Risikoverantwortlichen (Risk Owner) -- Anwenderspezifische Auswertung und Aufbereitung der durchgeführten Risikoanalysen -- Soll-Ist-Vergleich zur Erfolgskontrolle umgesetzter Maßnahmen Schnittstelle zum Compliance-Management Tab. 1: Übersicht der Risiko-Anforderungen dass die Software einen Risikokatalog, bestehend aus Risikokategorien, zur Verfügung stellt. Die Erfassung und Verarbeitung aller aussagekräftigen internen (aus Buchhaltung und Controlling) und externen (aus öffentlich zugänglichen Datenbanken) Informationen, welche in direktem Zusammenhang mit den Risiken stehen, sind somit ebenfalls vorzunehmen [GlRo05]. Darüber hinaus sollte eine automatisierte Risikoumfrage zur Identifizierung (neuer) Risiken Bestandteil der Software sein [Mele09, GlRo05]. Die Risikobewertung gibt vor, dass eine Priorisierung der zuvor evaluierten Risiken möglich sein sollte. Die Bewertung der Risiken kann dabei anhand eines einheitlichen Risikomaßes, wie bspw. dem Value-at-Risk, vorgenommen werden. Daraus lassen sich die Risiken hinsichtlich ihres Gefährdungspotenzials kategorisieren und so aussagekräftige Informationen über die Risikolage des Unternehmens generieren. Von entscheidender Bedeutung ist hierbei vor allem, dass sich die Risiken zu einem Gesamtrisiko aggregieren lassen [GlRo05]. Zusätzlich ließen sich so Bruttobewertungen (Auswirkungen vor Maßnahmenergreifung), Nettobewertung (Schadensausmaß nach Umsetzung der Maßnahmen) sowie Zielbewertungen (Auswirkungen von zusätzlichen, noch nicht umgesetzten Maßnahmen) vornehmen [Mele09]. Zur Risikoanalyse gehört gemäß Seibold und Meletiadou et al. ein eigenständiges Frühwarnsystem für die Risikoindikatoren, welches in den Risikomanagement-Prozess integriert sein sollte [Seib06, Mele09]. Ebenso sollten die Maßnahmen, welche zu einem konkreten Risikosachverhalt erfasst werden können, abgebildet werden [Mele09]. Des Weiteren stellen eine gute Analysemöglichkeit der Datenbestände sowie gute Simulations- und Prognosemöglichkeiten ebenfalls eine Grundvoraussetzung für die Einführung einer Software-Lösung dar [Seib06]. Im Rahmen der Risikosteuerung und -kontrolle ist es notwendig, dass eine Analyse der Auswirkungen eines Sachschadens bzw. Betriebsunterbrechungsszenarios möglich ist. Es ist erforderlich, aus der Steuerung der Risikomaßnahmen die Risikolage des Unternehmens nachzuvollziehen und die Risikosituation durch geeignete Maßnahmen zu beeinflussen [GlRo05]. 17

18 Aus dem letzten Prozessschritt Risikoreporting ergibt sich die nachweislich bedeutendste Anforderung für viele Unternehmen. Hiernach sollten sämtliche Risiken und deren Bewältigung im Rahmen des Reportings vollständig erfasst und entsprechend der jeweiligen Zielgruppe aggregiert dargestellt werden. Dies erfordert die Zuweisung eines Risiko-Verantwortlichen (Risk Owner) und schließt die flexible Gestaltung und die grafische Darstellung, das Layout sowie die mediale Weiterverarbeitung der Berichte mit ein [GlRo05, Mele09]. Darüber hinaus ist es notwendig, den Umsetzungsgrad von Gegenmaßnahmen zu ermitteln sowie eine Workflow-Darstellung zu gewährleisten, indem unterschiedliche Aufgaben an unterschiedliche Personen und Rollen delegiert werden können. Dies setzt die Mandantenfähigkeit des Systems voraus sowie ein durchdachtes und an das Unternehmen anpassbares Berechtigungsmodell [Gund11]. Tabelle 1 fasst die erhobenen Anforderungen nochmals zusammen Compliance-Anforderungen Wie die Risiko-Anforderungen ergeben sich auch die Anforderungen des Compliance-Managements zunächst aus den regulatorischen Anforderungen, welche sich vorrangig in Gesetzen, Best Practices und internen Richtlinien finden [Inte, ISAC10]. Die Darstellung der relevanten regulatorischen Anforderungen muss vollständig sowie nachvollziehbar gewährleistet werden. Dies kann mittels eines Compliance-Registers sowie eines hinterlegten Dokumenten-Management-Systems umgesetzt werden. Gemäß [RaSp09] sind drei Arten von Funktionen von Compliance-Management-Software zu unterscheiden: (1) kontrollbezogene Funktionen bzw. automatisierte Kontrollen, welche die Durchführung von Kontrollen auf allen Ebenen der IT-Architektur ermöglichen, (2) Anwendungen zum Nachweis der Compliance, d. h. kontrollierte Prozessmodellierung und dokumentation sowie Ermittlung der Differenz zwischen Ist- und Soll-Zustand und (3) Anwendungen zur Unterstützung des gesamten Compliance-Prozesses. In diesem Sinne sollte das Tool über eine Anforderungsdatenbank zur Identifikation, Analyse und Aufnahme von regulatorischen Anforderungen sowie über eine Reportfunktion verfügen. Aus dieser ersten Kategorisierung der Anforderungen ist bereits erkennbar, dass auch das Compliance-Management mittels eines kontinuierlichen Prozesses (PDCA-Kreislauf) abzubilden ist. Dieser beinhaltet im Wesentlichen die Prozessschritte Plan, Do, Check und Act. In einem ersten Schritt wird die Erfassung, Verwaltung, Speicherung, Aufbewahrung, Archivierung und Bereitstellung von Dokumenten und Daten gefordert, um die Compliance-Anforderung der Nachvollziehbarkeit zu gewährleisten [RaSp09]. Die systematische Analyse von Unternehmensdaten und die darauf aufbauende Unternehmensbewertung (inwieweit das Unternehmen compliant ist) zählen ebenso zu den wichtigen Anforderungen an eine Software. Darüber hinaus finden sich noch weitere Anforderungen in der 2012 erschienenen Dissertation von Falk, welcher zahlreiche (IT-)Compliance-Anforderungen anhand der Anspruchsgruppen eines Unternehmens identifiziert hat [Falk12]. Tabelle 2 fasst wiederum die relevanten Compliance - -Anforderungen zusammen. Compliance-Anforderungen Übersichtliche, verständliche und aktuelle Darstellung der relevanten rechtlichen Vorgaben Einhaltung aller regulatorischen Anforderungen (rechtliche Vorgaben, Verträge, interne sowie externe Regelwerke) Etablierung eines internen Kontrollsystems (IKS) Zusammenfassung ähnlicher Compliance-Vorschriften im Sinne der Effizienz Überwachung von gesetzlichen und unternehmensinternen Veränderungen Überwachung von Maßnahmen und deren Fortschritte Erstellung von anwenderspezifischen Berichten (auch Ad hoc-berichte) zum Compliance-Status Analyse der Unternehmensdaten und darauf aufbauend Bewertung des Unternehmens (inwieweit es compliant ist) Tab. 2: Übersicht der Compliance-Anforderungen 18

19 3.2.1 Governance-Anforderungen Wie bereits in Abschnitt 2.1 dargelegt, sind in der Literatur wie auch in der Praxis verschiedene Definitionsversuche der Begriffe Corporate-Governance und IT-Governance zu finden. Es ist zu beobachten, dass das Verständnis von Governance je nach wissenschaftlichem oder praktischem Hintergrund unterschiedlich ausgeprägt ist. Dies kann zum einen darauf zurückgeführt werden, dass Governance als ein strategischer Begriff anzusehen ist, welcher im Gegensatz zu den Begriffen Risiko und Compliance nur schwer operationalisierbar und messbar ist. Er beruht im Wesentlichen auf individuellen Prinzipien und allgemeinen Rahmenbedingungen, welche das Unternehmen für sich festgelegt hat. Zudem ist die Governance auf der Metaebene angesiedelt, welche einen Rahmen zur Steuerung und Kontrolle der gesamten Unternehmensprozesse vorgibt. Die sich daraus ergebende Unschärfe und Heterogenität des Begriffs Governance erschwert es, die für eine erfolgreiche Software-Auswahl relevanten Anforderungen zu eruieren. Für viele Unternehmen stellt sich daher zunächst die Frage, wie sie für sich den Begriff Governance definieren und wie ihre Governance-Strukturen in einer Software-Lösung integriert werden können. Der Abschnitt 2.1 hat hierzu bereits eine erste Hilfestellung gegeben, auf der nachfolgend aufgebaut werden kann. Hat das Unternehmen für sich dann den Begriff Governance geklärt und weiß es, wodurch er sich auszeichnet, können erste Anforderungen an eine Software formuliert werden. Bei der Erarbeitung der Risiko- und Compliance-Anforderungen hat sich gezeigt, dass sich viele Governance-Anforderungen bereits aus diesen ableiten lassen. Dies ist darauf zurückzuführen, dass eine enge Verbindung zwischen diesen drei Teilbereichen besteht. So lässt sich die Anforderung»Festlegung eines Risiko-Verantwortlichen«auch auf das Compliance-Management übertragen (Festlegung eines Compliance Verantwortlichen) sowie anschließend auf die Corporate-Governance (Festlegung eines übergeordneten Verantwortlichen, welcher zudem die Unternehmensziele im Blick hat) überführen. Viele Anforderungen aus dem Governance-Bereich sind demnach bereits indirekt bei den Risiko- und Compliance-Anforderungen formuliert. Darüber hinaus ergeben sich aus den Aufgabenbereichen von Governance als auch aus den verschiedenen Frameworks, wie CobiT und ITIL noch weitere konkrete Anforderungen an die Software. Zu den wesentlichen Anforderungen zählen die Festlegung von Verantwortlichkeiten sowie die sich daraus ergebende Erstellung eines Berechtigungskonzepts [Gund10, Lars06]. Dieses beschreibt, wer welche Daten sehen bzw. verändern darf und wie die einzelnen Reports auszusehen haben. Beispielsweise hat der Risiko-Verantwortliche eine wesentlich detailliertere Sicht auf das Risikomanagement, als es eine höher gestellte Führungskraft haben würde. Letztere benötigt eine aggregierte Darstellung der Daten, um auf deren Grundlage Entscheidungen im Sinne der Unternehmensziele treffen zu können. Es ist also notwendig, dass das Reporting von Prozessen, Maßnahmen und Prüfungen anwenderspezifisch (individuell) erfolgt. Damit einhergehend ist auch die anwenderspezifische Darstellung von Informationen mittels Dashboards ausschlaggebend bei der Auswahl einer geeigneten Tool-Unterstützung [Inte]. Bevor jedoch die Verantwortlichkeiten festgelegt werden können, sollte die Software zunächst in der Lage sein, die Organisationsstrukturen des Unternehmens sowie die einzelnen für die Erfüllung von GRC notwendigen Prozesse abzubilden [ISAC12]. Darüber hinaus sollte die Software ein geeignetes Tool zur Steuerung der Unternehmensziele darstellen. Die Steuerung der Einhaltung der Zielvorgaben und das Monitoring der Ziele sind demnach als wichtige Governance-Anforderungen aufzuführen. Zur Umsetzung dieser Anforderungen sollte die Software über ein Steuerungstool, Prozess Monitoring sowie ein geeignetes Maßnahmencontrolling verfügen. Das Maßnahmencontrolling [Inte] könnte derart gestaltet sein, dass zu entsprechenden (externen) Prüfungen nicht nur aufgezeigt wird, welche Maßnahmen zu ergreifen sind, sondern auch wie der Bearbeitungsstand der Maßnahme ausschaut. Als wichtige Anforderungen können hieraus Transparenz, Nachvollziehbarkeit, Wirksamkeit sowie Angemessenheit der Maßnahmen abgeleitet werden. Es sollte demnach die Möglichkeit bestehen, bereits umgesetzte Maßnahmen in einem abschließenden Schritt auch zu dokumentieren (Transparenz und Nachvollziehbarkeit) und zu bewerten (Wirksamkeit und Angemessenheit). Eine weitere Anforderung, welche sich bei den Risikound Compliance-Anforderungen wiederfindet, stellt die Anpassbarkeit der Software an die Bedürfnisse des Unternehmens dar. Zum einen sollte es dem Unternehmen möglich sein, seine Organisationsstruktur (Abteilungen mit jeweiligen Verantwortlichkeiten sowie den Prozessen) zu hinterlegen und zum anderen eigene interne Richtlinien einzupflegen. Diese internen Richtlinien sind gesondert zu den gesetzlichen Anforderungen zu be- 19

20 trachten, welche für alle Unternehmen verpflichtend sind. So sollte es dem System möglich sein, auf das Unternehmen zugeschnittene Maßnahmenkataloge zu generieren und jedem Verantwortlichen die für ihn relevanten Aufgaben aufzuzeigen. Auf diese Weise ist eine langfristige Nutzung der Software gewährleistet. Des Weiteren ist es notwendig, dass die Software ein Dokumenten-Managementsystem beinhaltet, welches die Versionierung und Verwaltung aller relevanten Daten koordiniert. Hierzu zählt die Implementierung eines Dokumentationsprozesses für alle Richtlinien, Handlungsanweisungen und Vorgehensweisen, welcher es ermöglicht, alle Dokumente konsistent zu halten und deren Wiederverwendung zu ermöglichen [PwC12]. Tabelle 3 fasst nochmals alle wichtigen Governance- Anforderungen an die Software zusammen. Governance-Anforderungen Abbilden von Organisationsstrukturen und Prozessen (standort- und länderübergreifend sowie hierarchiebezogen) Festlegung von Verantwortlichkeiten durch Rollen- und Berechtigungskonzept Erstellung anwenderspezifischer Dashboards und Reportings Integriertes Berichtswesen Schnittstellen zum Risiko und Compliance-Management (Erweiterbarkeit) Festlegung und Überwachung der Unternehmensziele Integration von (unternehmensinternen) Governance-Richtlinien und -Praktiken Anpassung an sich ergebende (interne und extern) Veränderungen Maßnahmen-Controlling Dokumenten-Management(-System) Tab. 3: Übersicht der Governance-Anforderungen 3.3 Anforderungen gemäß relevanter Standards Neben den allgemeinen Anforderungen und den Anforderungen, welche sich aus den Aufgaben von GRC ergeben, lassen sich noch weitere Anforderungen an eine Software-Lösung aus bereits bekannten Rahmenwerken wie beispielsweise CobiT und ITIL ableiten. Solche Rahmenwerke bzw. Standards werden vielfach in der Unternehmenspraxis eingesetzt [Krcm10]. Besonders im Rahmen des Risiko- und Compliance-Managements gelten sie als unverzichtbar. Die nachfolgende Abbildung gibt einen Überblick über die verschiedenen Referenzmodelle und Methoden und deren Einsatzhäufigkeit in Unternehmen. Hierbei wurden 450 Unternehmen aus der Branche IT befragt. So zeigt sich, dass der Einsatz von ITIL, CobiT und ISO in den Unternehmen am weitesten verbreitet ist. Johannsen und Goeken stellen zudem fest, dass diese Rahmenwerke vielfach für die Unterstützung bei der Ausgestaltung von IT-Governance, aber auch dem Risiko- und Compliance-Management eingesetzt werden [JoGo06]. Das Framework»CobiT«(Control Objectives for Information and Related Technology) gilt als umfassendes, die Unternehmens-IT adressierendes Rahmenwerk. Erstmals 1993 von der ISACA (Information Systems Audit and Control Accosciation) entwickelt, ist es 2012 in der fünften Version erschienen [Klot14, ISAC12]. Besonders hervorzuheben ist bei dieser Version die Trennung zwischen Governance und Management. Demnach richtet sich nun eine Domain explizit auf die IT-Governance, während die anderen Domains das IT-Management adressieren. Begründet wird dies damit, dass beide Disziplinen mit unterschiedlichen Arten von Aktivitäten verbunden sind, welche dadurch jeweils unterschiedlichen Zwecken dienen und damit einhergehend auch unterschiedliche Organisationsstrukturen erfordern [ISAC12]. Es findet demnach eine Unterscheidung zwischen der strategischen (Governance) und der operativen (Management-)Ebene statt. Die Verfolgung eines ganzheitlichen Ansatzes stellt für CobiT 5 eines der fünf Prinzipien dar. Ziel ist es dabei, alle funktionalen Zuständigkeitsbereiche von Unternehmen und IT lückenlos zu integrieren und sowohl die IT-bezogenen Interessen interner als auch externer Anspruchsgrup-