Die Motivation zur effektiven Umsetzung von IT-Governance entspringt in erster Linie den wirtschaftsrechtlichen Entwicklungen der letzten Jahre. In besonderem Maße hebt sich dabei der im Jahr 2002 in den USA verabschiedete Sarbanes-Oxley Act (SOX) hervor, der weitreichende Konsequenzen für die Konzernrechnungslegung hat und dafür explizit die Umsetzung von Corporate Governance verlangt. Im Rahmen dieses Buches soll untersucht werden, inwieweit sich die Bestimmungen des Sarbanes-Oxley Act auf die IT-Governance auswirken und inwiefern IT-Governance unter Berücksichtigung des Sarbanes- Oxley Act mit dem ITIL-Framework und dem COBIT-Referenzmodell umgesetzt werden kann. Die vorliegende Arbeit stützt sich auf den Grundgedanken, dass Standards des IT-Qualitätsmanagements wertvolle Methoden und Prozesse zur Verfügung stellen, die zur Umsetzung von IT-Governance beitragen können. In diesem Zusammenhang spielt die Ausrichtung von Geschäftsprozessen eine zentrale Rolle, sodass eine Annäherung an die Thematik aus prozessorientierter Sicht vorgenommen wird. Ziel der Untersuchung ist es, die Möglichkeiten und Grenzen dieser Standards aufzuzeigen.

Textprobe: Kapitel 3, IT-Governance und Sarbanes-Oxley Act: 3.2, IT-Governance als Bestandteil der Corporate Governance Strategie: 3.2.2, Integration in die Corporate Governance Strategie: Die Komplexität heutiger Unternehmensstrukturen und Markrelationen resultiert in einer steigenden Anzahl von Kommunikationsbeziehungen in der Informationstechnik. Das Wachstum von Organisationsstrukturen ist im Regelfall mit der Schaffung neuartiger Stellen verbunden, was wiederum zu steigender Heterogenität zwischen den Stellen führt. Angesichts dieser Entwicklung, die durch den Trend zum IT-Outsourcing noch verstärkt wird, sieht sich das IT-Management mit Schnittstellenproblemen und Intransparenz konfrontiert. Einen Lösungsansatz bietet hier die Integration der IT-Governance in die übergeordneten Management-Strategien: ‘Die Übertragung von Verantwortung der Corporate Governance auf die IT ist erforderlich’. Als integraler Bestandteil der Unternehmensführung und Corporate Governance Strategie ist die IT-Governance vorrangig auf die Informationstechnik eines Unternehmens ausgerichtet. Dabei ist jedoch zu berücksichtigen, dass die IT-Governance als wesentlicher Aspekt in die Corporate Governance eingebettet ist und daher nicht als isolierte Disziplin oder Aktivität verstanden werden darf. Die Gartner Group beschreibt beispielsweise: ‘Like governance generally, IT governance is about the decision rights and accountabilities that encourage desirable behavior in the use of IT. It is a joint effort between IT and the business.’ Eine integrierte IT-Governance wirft dabei eigene Fragestellungen auf: Inwieweit muss die gegenwärtige Situation (IT-Strategie, IT-Infrastruktur, IT-Prozesse) verändert werden? Wie sind die Veränderungen am besten zu gestalten? Wie viel Kontrolle ist dabei notwendig? Wann und wie muss das Management intervenieren? Beeinflusst IT-Governance die Definition und Umsetzung strategischer Unternehmensziele? Werden die Anforderungen der IT-Governance durch das Management nicht in ausreichendem Maße berücksichtigt, so besteht die Gefahr, dass IT-Abteilungen sich weit von der unternehmenseigenen Corporate Governance Strategie entfernen. Entscheidend ist hierbei auch die Feststellung, dass getroffene Regelungen der IT-Governance innerhalb des gesamten Unternehmens Anwendung finden müssen: ‘An effective IT Governance framework should be an integral part of your existing corporate governance and reporting structure, fully supported by executive management an deployed throughout your organisation’. Die Integration der IT-Governance in die Corporate Governance Strategie wird durch die starke positive Korrelation in der Proportion zwischen dem Verständnis der IT-Governance Prozeduren (seitens des Managements) und dem Integrationsgrad der Informationstechnik in die Corporate Governance Prozesse bestärkt. Idealerweise wird IT-Governance deshalb auf verschiedenen Management-Ebenen gelebt: Teamleader, die an die Manager berichten und Weisungen empfangen Manager, die an die Top-Manager berichten Top-Manager, die an den Vorstand berichten. Auch im Hinblick auf die komplexen Kapitalstrukturen großer Unternehmen und die Risiken, die sich durch den Einsatz hoher Kapitalvolumina ergeben, erscheint die wichtige Rolle der IT-Governance innerhalb der Corporate Governance mehr als gerechtfertigt: ‘Given the high amount of investment and risk, as well as the central role of employees, IT governance is an important component of corporate governance’. 3.2.3, Motivation und Zielsetzung der IT-Governance: Zu den Zielsetzungen der IT-Governance gehört die Sicherstellung von Synergien durch den Einsatz und im Einsatz von Informationstechnik in einer IT-Organisation. Es ist daher zu gewährleisten, dass die IT-Prozesse eines Unternehmens stets mit den folgenden Grundsätzen konform bleiben: Ausrichtung der Informationstechnik auf die Erfordernisse des Unternehmens sowie die Realisierung der angestrebten Unternehmensziele Steigerung des Unternehmenswertes und Maximierung des Nutzens durch den Einsatz der Informationstechnik Verantwortungsvoller Umgang mit IT-Ressourcen Angemessenes Management der IT-bedingten Risiken. Um die IT-Governance effektiv gestalten zu können, bedarf es jedoch nicht nur ihrer Umsetzung sondern auch eines umfassenden Verständnisses der IT-Governance Prozesse durch alle Beteiligten. Dies erfordert mitunter eine wirksame Kommunikation, die auf konstruktiven Beziehungen, einer gemeinsamen Sprache und dem Bewusstsein für die Notwendigkeit von IT-Governance basiert. Deloitte & Touche stellen dazu treffend fest: ‘Effective IT Governance requires communication between governance policy decision makers and those who execute it through the frequent use of mechanisms known to be effective within an organisation’. Die IT-Governance kann daher nicht effektiv umgesetzt werden, solange Strategie und Ziele noch nicht auf das ganze Unternehmen ausgerollt sind. Dies erfordert mitunter die Definition, welche Aufgaben und Kompetenzen auf welche Organisationseinheiten zu übertragen sind. Gerade die Abgrenzung von Verantwortungsbereichen ist fester Bestandteil der Zielsetzungen der IT-Governance und wirft eine Reihe von Fragestellungen in den Raum: Wie ist die IT-Architektur gestaltet? Welche Prinzipien und Richtlinien sind notwendig? Wie und wofür erfolgt der Einsatz der Informationstechnik? Welche Geschäftsprozesse sollen ausgeführt werden? Wer entscheidet über IT-Investitionen und Prioritäten? Wie erfolgt die Verrechnung der IT-Kosten? Wie lässt sich die Effektivität der IT-Governance messen? Die Motivation zur Umsetzung der IT-Governance in einem Unternehmen lässt sich – ausgehend von obigen Grundsätzen und Fragestellungen – prinzipiell in zwei wesentlichen Aspekten verdichten: 1. Nutzenzuwachs durch die (kosteneffiziente) Erstellung von IT-Dienstleistungen – Grundsätzlich muss IT-Governance hierbei die strategische Ausrichtung der IT an den Geschäftsprozessen vornehmen, die Kosten der Leistungserstellung minimieren, den verantwortungsvollen Umgang mit IT-Ressourcen gewährleisten und den Wertzuwachs mittels Performanz-Messung verifizieren. 2. Minimierung von IT-spezifischen Risiken – Durch eine entsprechende risikoorientierte Organisation der IT-Infrastruktur müssen mitunter die Haftungsrisiken in allen Unternehmensbereichen im Rahmen der Corporate Governance des Unternehmens minimiert werden. Voraussetzung hierfür ist ein effektives Risiko-Management, das die IT-spezifischen Risiken minimiert und somit für eine kontinuierliche Leistungserstellung sorgt. Dem ersten Aspekt wird innerhalb der strategischen Ausrichtung der Informationstechnik auf die Geschäftsprozesse Rechnung getragen. Der zweite Aspekt wird durch die Einbindung von Verantwortlichkeiten (Embedding Accountability) in das Unternehmen gewährleistet. Beide Aspekte sind durch ein effektives Management der IT-Ressourcen zu unterstützen und resultieren somit in fünf Aufgabenbereichen der IT-Governance. Im Mittelpunkt steht hierbei der Nutzenzuwachs seitens der Stakeholder. 3.3.3, IT-spezifische Anforderungen des Sarbanes-Oxley Act: 3.3.3.1, Vorbemerkung: Der Sarbanes-Oxley Act of 2002 setzt im Rahmen seiner Forderungen an das Management von Kapitalgesellschaften neue Maßstäbe im Bereich der internen Informationskontrolle. PricewaterhouseCoopers schreiben dazu: ‘In combination with new rules from the SEC and certain stock exchanges, The Act has set significantly higher corporate governance and financial disclosure standards. While currently the provisions of Sarbanes-Oxley are directed at public companies, their impact on the overall business environment is becoming dramatically more far reaching’. Vom Sarbanes-Oxley Act betroffen sind jene Unternehmen, die bei der U.S. Securities and Exchange Commission (SEC) registriert sind. Mit der Verpflichtung zur Bilanzbeeidung durch den Vorstand von SEC-regulierten Unternehmen hat der Sarbanes-Oxley Act im Rahmen der Corporate Governance Initiative ein deutliches Zeichen gesetzt. Die damit verbundenen Konsequenzen für die unternehmensinterne Informationspolitik spiegeln sich unübersehbar in den IT-spezifischen Anforderungen wider. Das Gesetz zieht dabei die Aufmerksamkeit auf die internen Kontrollmechanismen zur Überwachung des Rechnungswesens und der Finanzberichterstattung: ‘Die Forderung nach der Installierung und Fortentwicklung eines effektiven internen Kontrollsystems durch den CEO und CFO ist das Kernstück dieser Bestrebung.’ Für die betroffenen Unternehmen ergibt sich daraus ein unmittelbarer Handlungsbedarf, um die neuen Anforderungen rechtskonform zu erfüllen. So stehen der Konformität mit dem Sarbanes-Oxley Act oftmals zahlreiche Hindernisse im Weg, obgleich Unternehmen im Normalfall bereits über integrierte Kontrollmechanismen in ihren Geschäftsprozessen verfügen. 3.3.3.2, Section 302: Management Anforderungen: SECTION 302 CORPORATE RESPONSIBILITY FOR FINANCIAL REPORTS des Sarbanes-Oxley Act of 2002 verpflichtet sowohl CEO (Chief Executive Officer) als auch CFO (Chief Financial Officer) einer Kapitalgesellschaft zu folgenden Beeidigungen: CEO und CFO haben die Quartals- und Jahresberichte, die bei der U.S. Securities and Exchange Commission (SEC) eingereicht werden, überprüft. Gemäß ihres Wissens enthalten sie keine unwahren Aussagen oder Halbwahrheiten. Die Finanzdaten der Berichte werden korrekt repräsentiert. CEO und CFO müssen darüber hinaus bestätigen, dass sie für die Umsetzung und Einhaltung der internen Finanzkontrollen ihrer Gesellschaften voll verantwortlich sind. Sie sind verpflichtet, die Gestaltung solcher Finanzkontrollen in einer Weise vorzunehmen, die den korrekten Informationsfluss zum Management garantiert. Des Weiteren bestätigen sie eine kürzlich durchgeführte Evaluierung der Effektivität der internen Finanzkontrollen sowie die Präsentation der Schlussfolgerungen aus den Evaluierungen. Zusätzlich bescheinigen CEO und CFO die wahrheitsgemäße Berichterstattung an die Wirtschaftsprüfer einschließlich aller signifikanten Mängel und materiellen Schwachstellen der internen Kontrollen. Abschießend müssen CEO und CFO Auskunft darüber geben, ob nach der erfolgten Evaluierung signifikante Veränderungen an den Kontrollen vollzogen wurden, um eventuelle Einflüsse auf das Evaluierungsergebnis zu dokumentieren.

• IT-Qualitätsmanagement

• SOX

• Framework

• Referenzmodell

• Geschäftsprozess

René Pierre Moch, Dipl.-Wirtschaftsinformatiker und Bankkaufmann, wurde 1977 in Frankfurt am Main geboren. Sein Studium der Wirtschaftsinformatik an der Technischen Universität Darmstadt sowie der UNICAMP in Brasilien schloss der Autor im Jahr 2007 erfolgreich ab. Bereits während des Studiums beschäftigte er sich umfassend mit den Themen IT-Qualitätssicherung und IT-Governance. Anschließend war er für PricewaterhouseCoopers als Consultant im Bereich Financial Services tätig und beriet namhafte Kreditinstitute bei der Optimierung ihrer IT-gestützten Geschäftsprozesse. Heute ist der Autor selbständiger Unternehmensberater und IT-Projektmanager.