Zeitschrift Informatik-Spektrum der deutschen Gesellschaft für Informatik Ursula Sury IT-GOVERNANCE Corporate Governance Unter Corporate Governance versteht man das Verhältnis zwischen den Aktionären, also den Eigentümern einer Gesellschaft, dem Verwaltungsrat und der Geschäftsleitung. In diesem Sinne geht es um grundlegende Verhaltenspflichten im Bereich Organisation und Führung mit dem Ziel der Optimierung und Kontrolle der Organisation des Unternehmens. In einem umfassenderen Sinn versteht man unter Corporate Governance die Beziehung einer Unternehmung zu weiteren am Unternehmungsgeschehen interessierten Wirtschaftssubjekten, so genannten Stakeholders, wie Kreditgeber, Kunden, Zulieferer, Arbeitnehmer, der Staat etc. (vgl. dazu Definition des Staatsekretariats für Wirtschaft der Schweiz, Seco, unter www.secoadmin.ch). Verschiedene wirtschaftliche Probleme der letzten Zeit, wie die Asienkrise, der Enron-Skandal, übermässig hohe Bezüge von Geschäftsleitungsmitgliedern etc. haben den Ruf nach verbindlicher Einhaltung von Corporate Governance grundsätzlich ausgelöst. Sogar die OECD hat dazu sogenannte Corporate Governance Grundsätze ausgearbeitet. Diese sind in fünf Kapitel gegliedert, es geht im wesentlichen um: 1. die Rechte der Aktionäre, insbesondere um Informations-, Wahl- und Mitwirkungsrechte 2. die gerechte Behandlung der Aktionäre, insbesondere um die Gleichbehandlung innerhalb einer Aktionärskategorie und das Verbot des Insiderhandels 3. die Rechte der Stakeholder, wie Arbeitnehmer, Kreditgeber oder die öffentliche Hand und die aktive Zusammenarbeit der Unternehmen mit den Stakeholdern 4. Rechnungslegung und Offenlegung, dabei geht es um die rechtzeitige und sorgfältige Vermittlung wesentlicher und relevanter Informationen betreffend der finanziellen Situation, der Ertragslage, der Eigentumsverhältnisse, aber auch um die Information über die zentralen
Grundsätze der Leitung der Gesellschaft, die Unternehmensziele, voraussehbare Risiken, die Struktur, die Unternehmenspolitik etc. 5. die Verantwortlichkeit des Verwaltungsrates, wobei das Ziel verfolgt wird. Ziel dabei ist, eine professionelle strategische Führung der Unternehmung und somit auch eine effiziente Überwachung der operativen Geschäftsleitung sicherzustellen. Deshalb ist eine rechtzeitige korrekte Information, die Befähigung (fachliche Kompetenz), die Respektierung von Gesetzen und die faire Behandlung der Aktionäre zwingend (vgl. dazu auch die Volkswirtschaft, das Magazin für Wirtschaftspolitik, 8-2001). Als weltwirtschaftspolitische Schlüsselbegriffe für Corporate Governance wurden Integrity, Corporate Accountability und Transparency genannt. Law und Softlaw Wirft man einen Blick auf die geltende Gesetzgebung in der Schweiz, Deutschland und Österreich, so stellt man fest, dass die Corporate Governance-Anforderungen schon länger Einfluss ins geltende Recht gefunden haben. Eine sorgfältige, im Sinn des Gesamtunternehmens stehende, und professionelle Umsetzung der aktuellen gesetzlichen Vorgaben wären mit den Corporate Governance Forderungen vollständig kongruent. Das Problem scheint offensichtlich eher darin zu liegen, dass das Gesetz nicht durchwegs im Corporate Governance-Sinne umgesetzt wird. Hier steht, auch nach einer Aussage gemäss einer Untersuchung von Herrn Peter Böckli, Aktienrechtsexperte der Schweiz, ein kultureller Wandel zwingend bevor (vgl. die Volkswirtschaft, das Magazin für Wirtschaftspolitik 8-2001 und dortige weitere Zitate). Auf die verschiedenen Probleme wegen mangelnder Corporate Governance, insbesondere auf den Enron-Skandal, hat die USA mit dem so genannten Sarbanes Oxley Act (SOA), einem Gesetz, reagiert. Der SOA verlangt insbesondere die genaue Nachvollziehbarkeit und eindeutige Zuordnung unternehmerischer Handlungen von und auf Personen und die absolute Unabhängigkeit der Revisionsstelle von der Unternehmung. So darf die Revisionsstelle nebst dem Revisionsmandat keine weiteren Aufträge, insbesondere keine Beratungsaufträge für die Unternehmung wahrnehmen und die Revisionsstelle ist regelmässig auszuwechseln. Auch im Bereich der Selbstregulierungen hat sich im Sinne des Corporate Governance-Geistes einiges getan. Speziell zu erwähnen ist dabei das Basel II-Abkommen, in welchem sich die Banken sämtlicher Industrienationen verpflichtet haben, sich freiwillig strengen Kriterien in Bezug
auf die Kreditvergabe, den eigenen Finanzierungsgrad und die eindeutige Zuordnung und Nachprüfbarkeit von Geschäftshandlungen auf und zu Personen zu unterwerfen. Managementverantwortung und IT Managementprozesse umfassen alle grundlegenden Managementaufgaben, die mit der Gestaltung, Lenkung (Steuerung) und Entwicklung einer zweckorientierten soziotechnischen Organisation zu tun haben. Mit anderen Worten vollzieht sich in den verschiedenen Managementprozessen die unternehmerische Führungsarbeit von wem auch immer diese geleistet wird. Dazu zählen z.b sämtliche Planungs-, Koordinations-, Qualitäts-, und Controllingtätigkeiten für die einzelnen Geschäfts- und Unterstützungsprozesse (Johannes Rüegg-Stürm, das neue St. Galler Management-Modell, S. 69). Folglich umfasst die Führung die Verantwortung für den Managementprozess als solchen, aber auch für die Geschäfts- und Unterstützungsprozesse. Die Geschäftsprozesse verkörpern den praktischen Bezug marktbezogener Kernaktivitäten (Johannes Rüegg-Stürm, das neue St. Galler Management-Modell, a.a.o.), wozu auch IT und IT- Sicherheit zählen. Auf jeden Fall aber ist die IT ein wesentlicher Bestandteil der Infrastruktur, die für die Erbringung von Leistungen zwingend notwendig sind, weshalb sie wesentlicher Bestandteil der Unterstützungsprozesse sind (Johannes Rüegg-Stürm, das neue St. Galler Management-Modell, a.a.o.). Sowohl der normative als auch der strategische und operative Managementprozess müssen darauf ausgerichtet sein, dass die Unternehmung als Gesamtsystem zweckorientiert funktionieren kann. Deshalb ist es entsprechend den verschiedenen Handlungsebenen für jede Prozessebene wichtig, die Parameter und Möglichkeiten für eine funktionierende IT und somit IT-Sicherheit zu schaffen. Informationen und Daten Die meisten der IT-Governance-Forderungen bedingen den korrekten Umgang mit Informationen oder Daten. So können beispielsweise Aktionäre nur rechtzeitig und inhaltlich korrekt informiert werden, wenn die notwendigen Daten verlässlich erhoben und aufbearbeitet wurden. Das Risiko von Insiderhandel kann mit eingeschränkten Zugriffsrechten und mit strengen Authentifizierungsregeln reduziert werden. So besteht nämlich die Möglichkeit, immer zu belegen,
wer, wann, wem, welche Information übermittelt hat. Auch die Anforderungen an die Rechnungslegung bedingen zwingend einen hochprofessionellen IT-Einsatz, um den Anforderungen von Integrität und Verfügbarkeit ab Entstehung bis zum Ende der Archivierungszeit zu genügen. Auch Vertraulichkeit und eindeutige Zuordnung von Handlungen auf Personen ist so möglich. Was die Verantwortlichkeit des Verwaltungsrates anbelangt, so kann er ohne verlässliche Managementinformationen, die sich analytisch aus der unternehmerischen Tätigkeit, aber auch aus Umfeldfaktoren generieren, seine Verantwortung für unternehmerisches Handeln nicht wahrnehmen. Die Planungen und Entscheidungen des Verwaltungsrates stützen sich nämlich zwingend auf Informationen, die mit IT-Hilfsmitteln gesammelt und aufbereitet werden. In vielen Unternehmungen wird aber auch mit dem Umgang von Daten als solchen auch eigentlicher Mehrwert geschaffen. Dank sogenanntem Wissensmanagement wird Know-how einer Unternehmung rechtzeitig und in adäquater Form allen zur Verfügung gestellt, was ein wesentlicher Wettbewerbsvorteil oder auch nur eine Überlebensbedingung für die Unternehmung sein kann. Aus betriebswirtschaftlicher Sicht gilt die Information nebst Boden, Arbeit und Kapital schon seit längerer Zeit als vierter Produktionsfaktor. Diese Informationen werden heute fast ausschliesslich mit IT-Hilfsmitteln erfasst, aufbereitet, verteilt und archiviert. Auf dem Hintergrund der Tatsache, dass in der Informationsgesellschaft sehr viele Unternehmungen und Personen im Rahmen ihrer beruflichen Tätigkeit den ganzen Tag nur mit Informationen umgehen und dies durch die IT unterstützt wird, dürfen die Schranken des Zulässigen nie aus den Augen verloren werden. Der Datenschutz und somit der Persönlichkeitsschutz ist trotz der schier unbegrenzten Möglichkeiten im Informationsmanagement immer zwingend einzuhalten. IT-Governance Der Einsatz von Informationstechnologie ist in der Informationsgesellschaft Basis und Instrument jeglichen unternehmerischen Handelns. Durch die IT generierte Informationen bilden die Basis für normative und strategische Entscheidungen. Mittels IT werden die notwendigen Dokumente erstellt und übermittelt das Management Dokumente an Akteure im äusseren Umfeld
der Unternehmung und innerhalb der Unternehmung. Die IT bildet sämtliche Handlungen und Unterlassungen der Mitarbeitenden ab. Die gesamte Finanzwirtschaft wird mit IT-Hilfsmitteln geführt abgebildet und archiviert etc. Die Informationstechnologie ist somit sowohl Voraussetzung als auch Instrument und Abbild jedes unternehmerischen Handelns schlechthin. In diesem Sinne ist IT-Governance implizit und explizit Teil von Corporate Governance. Der korrekte Einsatz von Informationstechnologie ist somit Basis und Instrument für die Einhaltung der Corporate Governance-Grundsätze. IT und somit IT-Governance sind der eigentliche Schlüssel, um die Forderungen von Integrity Corporate Accountability und Transparency einhalten zu können. Ursula Sury ist selbständige Rechtsanwältin in Luzern (CH) und leitet den Fachhochschul- Lehrgang Wirtschaftsinformatik an der Hochschule für Wirtschaft HSW Luzern der Fachhochschule Zentralschweiz. Sie ist zudem Dozentin für Informatikrecht an verschiedenen Nachdiplomstudien, welche am Institut für Wirtschaftsinformatik der Hochschule durchgeführt werden. Die Autorin ist hauptsächlich im Bereich Informatikrecht und Datenschutz tätig. Informieren Sie sich unter www.hsw.fhz.ch 23.12.2004