BESt-PRACtiCE-LEitfADEn zuR EinfühRunG DER. SAP BuSinESSOBjECtS GRC-LöSunGEn

Best-Practice-Leitfadenreihe zur Einfhrung der SAP BusinessObjects GRC-LsungenDeutschsprachige SAP-Anwendergruppe e.V.

DSAG-ARBEITSGRUPPE GOVERNANCE, RISK MANAGEMENT UND COMPLIANCETEIL 2: SAP BUSINESS OBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011

SAP BusinessObjects Risk ManagementBEST-PRACTICE-LEITFADENREIHE ZUR EINFHRUNG DER SAP BUSINESSOBJECTS GRC-LSUNGEN TEIL 2, STAND 15. AUGUST 2011DSAG e. V. Deutschsprachige SAP-Anwendergruppe

Seite 2

1 EinleitungDer Best-Practice-Leitfaden SAP BusinessObjects Risk Management setzt die DSAG-Leitfadenreihe zur SAP BusinessObjects GRC Suite fort mit dem Ziel, Empfehlungen zu Einfhrung und Betrieb von SAP BusinessObjects Risk Management 10.0 zu geben. Die Best-Practice-Empfehlungen erheben keinen Anspruch auf Vollstndigkeit, sondern geben die Projektund Praxiserfahrung der Autoren wieder, die Mitglieder der DSAG-Arbeitsgruppe Governance, Risk Management, Compliance (GRC) innerhalb des Arbeitskreises Revision und Risikomanagement sind. Insofern ist das Autorenteam auch dankbar fr jede Art von Anregungen und Hinweisen zur weiteren Vervollstndigung und Verbesserung des Leitfadens. Dieser Leitfaden soll insbesondere den Unternehmen eine Hilfestellung bieten, die sich mit verschiedensten Anforderungen gesetzlicher, fachlicher und organisatorischer Art bei der Gestaltung ihres Risikomanagementsystems konfrontiert sehen. Hinzuweisen ist hier insbesondere auf die Anforderungen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) mit der Gestaltung und berwachung von internen Kontroll- und Risikomanagementsystemen sowie generell auf Anforderungen eines modernen Compliance-Managements bei der Sicherstellung von wirksamen Kontrollen zur Risikoerkennung und -minimierung innerhalb der Unternehmensorganisation. Die Autoren sind Mitglieder der Arbeitsgruppe Governance, Risk Management & Compliance (GRC) innerhalb des DSAG-Arbeitskreises Revision und Risikomanagement. Die Verantwortung fr den Inhalt tragen die Autoren. Die redaktionelle Bearbeitung und das Layout liegen bei der DSAG.

COPYRIGHT 2011 DER AUTOREN:Herr Oliver Derksen Herr Siegfried Filla Herr Marko Hamel Herr Dr. Gero Mder SAP Deutschland AG & Co. KG PricewaterhouseCoopers AG SAP AG SAP AG

Hinweis: Die vorliegende Publikation ist urheberrechtlich geschtzt (Copyright). Alle Rechte liegen soweit nicht ausdrcklich anders gekennzeichnet bei: DEUTSCHSPRACHIGE SAP ANWENDERGRUPPE E. V. Altrottstrae 34a 69190 Walldorf Deutschland Jede Verwertung auerhalb der engen Grenzen des Urheberrechts ist ohne Zustimmung der Urheber unzulssig und strafbar. Das gilt insbesondere fr Vervielfltigungen, bersetzungen, Mikroverlmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen / digitalen Medien. Die Autoren des vorliegenden Best-Practice-Leitfadens sind fr Verbesserungs- sowie nderungs- und Ergnzungswnsche dankbar. Dies gilt sowohl fr Vorschlge zur Vertiefung der einzelnen Kapitel als auch fr die Nennung von Beispielen aus konkreten Projekt- oder Prfungserfahrungen. Nutzen Sie hierzu bitte das entsprechende Forum der AG GRC im DSAGNet unter INFO/Service Foren AG Governance, Risk Management, Compliance.

Seite 3

Inhaltsverzeichnis1 EINLEITUNG 2 BERBLICK 3 REGULATORISCHE ANFORDERUNGEN3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8 3.9 3.10 3.11 3.12 Deutscher Corporate Governance Kodex (DCGK) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) IDW RS FAIT 1 IDW RS FAIT 2 IDW RS FAIT 3 IDW Prfungsstandard PS 261 (u.a. internes Kontrollsystem) IDW PS 330 IDW PS 340 IDW PS 525 IDW PS 980 Bundesdatenschutzgesetz (BDSG) Bilanzrechtsmodernisierungsgesetz (BilMoG) 3.12.1 Lagebericht ( 289, 315 HGB n.F.) 3.12.2 Pichten des Aufsichtsrates 3.12.3 Handlungsfelder fr den Vorstand Basel II Basel III Mindestanforderungen an Compliance MaComp Mindestanforderungen an das Risikomanagement MaRisk Markets in Financial Instruments Directive MiFiD Solvabilittsverordnung SolvV Solvency II Sarbanes-Oxley Act (SOX) Normen (DIN ISO / IEC) 3.21.1 ISO / IEC 27001 3.21.2 ISO 27002 (vorher ISO 17799) 3.21.3 ISO 27005 3.21.4 Weitere Standards der Reihe ISO 2700x 3.21.5 Zertizierung nach ISO 27001 auf Basis von IT-Grundschutz 3.21.6 Risikomanagement nach ISO 31000

3 6 89 10 10 11 11 12 13 13 14 15 16 17 17 17 17 18 19 19 19 20 20 20 20 21 21 21 21 21 22 22

3.13 3.14 3.15 3.16 3.17 3.18 3.19 3.20 3.21

4 ZIELMARKT4.1 Mittelstand 4.2 Grounternehmen / Konzerne

2424 25

5 MOTIVATION FR IT-GESTTZTES RISIKOMANAGEMENT 6 RAHMENBEDINGUNGEN / ERFOLGSFAKTOREN6.1 6.2 6.3 6.4 Organisatorischer Rahmen RMS / IKS-Methodik Risiko-Governance- und Risikostrategie GRC-Organisation

26 2727 27 29 30

7 UMSETZUNG DES RISIKOMANAGEMENTPROZESSES IN RM7.1 Grundlegende berlegungen und Einstellungen 7.2 Erstellen der zentralen Kataloge 7.3 ZielmanagementSeite 4

3233 35 36

7.4 7.5 7.6 7.7 7.8 7.9 7.10 8.1 8.2 8.3 8.4 8.5 8.6

Risikoidentikation Risikobewertung Risikoadressierung / Gegenmanahmen Reporting Monitoring Chancenmanagement Incident Management Projektvorbereitung (Strategie & Planung) Sollkonzept (Business Blueprint und Design) Weitere Projektphasen (Implementierung, Roll-out, Go-Live) Einfhrung eines zentralen integrierten Risk-Management- und Process-Control-Systems Einfhrungsvarianten (schrittweise versus Big Bang) Weiterfhrende Informationen

39 41 44 45 45 46 47

8 EINFHRUNGSMANAGEMENT

4848 48 49 49 50 51

9 PHASE SOLLKONZEPTION (BUSINESS BLUEPRINT UND DESIGN)9.1 Risk Management 9.1.1 Projekt Scoping & SWOT-Analyse 9.1.2 Planung 9.1.3 Risiko-Assessment 9.1.4 Risikoidentikation 9.1.5 Risikoanalyse 9.1.6 Steuerung 9.1.7 Monitoring & Reporting 9.2 Berechtigungskonzept Risk Management / Process Control 9.2.1 ABAP-Basisrollen 9.2.2 ABAP-Entittsrollen 9.2.3 SAP NetWeaver Portal Roles 9.2.4 SAP NetWeaver Business Client

5252 52 53 56 56 57 58 58 59 61 62 67 67

10 PHASE REALISIERUNG (IMPLEMENTIERUNG)10.1 RM standalone 10.1.1 Grundstzliches Aufsetzen des Systems 10.1.2 Einrichten der Risikomanagement-Applikation 10.1.3 Wichtige Einstellungen fr die Analyse 10.1.4 Einstellungen fr Risikomanahmen 10.1.5 Einstellungen fr Risikofrhwarnindikatoren 10.2 Besonderheiten bei der Einfhrung eines integrierten Szenarios 10.2.1 berlegungen beim Aufsetzen der Stammdaten 10.2.1.1 Organisationseinheiten 10.2.1.2 Verwendung eines gemeinsamen Risikokatalogs in beiden Applikationen 10.2.1.3 Aktivitts-Hierarchie 10.2.2 Gemeinsame Softwarekomponenten 10.2.3 Kontrollen als Risikomassnahmen 10.2.4 Kontrollvorschlge als permanente Verbesserung des Risikomanagement-Prozesses 10.2.5 Automatische Bewertung der Effektivitt von Risikogegenmanahmen aus Kontrolltests und Kontrolldesign-Assessments

6969 69 70 71 75 76 78 78 78 78 79 79 79 80 81

11 TECHNISCHE RAHMENBEDINGUNGEN / INFRASTRUKTUR

83Seite 5

BEST-PRACTICE-LEITFADEN SAP BUSINESSOBJECTS RISK MANAGEMENT, STAND 15. AUGUST 2011, DSAG e. V.

2 berblickSAP hat die Standard-Softwarelsungen fr den Themenbereich Governance, Risk Management und Compliance (GRC) im SAP BusinessObjects-Portfolio gebndelt (siehe Abb. 1). Das SAP BusinessObjects-Portfolio enthlt Lsungen, um mehr Transparenz in Geschftsablufen zu erreichen, um die Performance innerhalb von Geschftsprozessen zu managen und um die Risiken und die Compliance von Unternehmen zu berwachen und zu steuern. Im Einzelnen sind dies Business-Intelligence- und Information-Management-Lsungen, Anwendungen fr Governance, Risikomanagement und Compliance sowie Lsungen zum Management der Unternehmensperformance. GRC umfasst dabei die Applikationen fr Access Control, Process Control, Risk Management, Global Trade Services und Environment, Health and Safety.

Das SAP BusinessObjects-Portfolio

Seite 6

Die SAP BusinessObjects GRC-Lsungen basieren auf der SAP NetWeaver Technologie-Plattform und den entsprechenden sog. content shipments. Sie sollen Unternehmen dabei helfen, ihre strategische und operative Effektivitt durch die Verdichtung und Steuerung von Aktivitten bezglich signikanter Risiken (key risks) sowie durch die Automatisierung von Kontrollen ber alle Geschftsprozesse hinweg und die berwachung von Risiken und Kontrollen ber verschiedenste Systeme hinweg zu maximieren. Die SAP Release und Wartungsstrategie fr die hier besprochenen GRC-Lsungen kann unter folgendem Link eingesehen werden: http://service.sap.com/PAM

Mit SAP BO Risk Management knnen Unternehmensrisiken identiziert, bewertet, minimiert und berwacht werden. Die entsprechenden Funktionsbausteine umfassen > Risikoplanung (u.a. Denition risikorelevanter Geschftsaktivitten, Risikoklassizierung, Einrichtung von Risikoindikator-Frameworks), > Risikoidentizierung (u.a. Risiken und Chancen identizieren, Risikoindikatoren zuordnen, Risikozusammenhnge denieren), > Risikoanalyse (u.a. Risiken qualitativ und quantitativ analysieren, Risiken priorisieren, Risikoszenarios erstellen), > Risikomanahmen (u.a. Risikomanahmen dokumentieren, Manahmen zur Risikominierung festlegen, Prozesskontrollen zuordnen), > Risikoberwachung (u.a. Risikoindikatoren berwachen, Wirksamkeit der ergriffenen Manahmen berwachen, eingetretene Risikovorflle und Verluste dokumentieren).

Seite 7


3 Regulatorische AnforderungenIn Deutschland haben sich Gesetzgeber, das Institut der Wirtschaftsprfer in Deutschland (IDW) sowie das DRSC Deutsches Rechnungslegungs Standards Committee e.V. schon seit vielen Jahren mit den Themen Governance, Risk Management und Compliance beschftigt. Hervorzuheben sind dabei die Regelungen zum Deutschen Corporate Governance Codex1, zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG2), zum internen Kontrollsystem von Unternehmen3, zum Bilanzrechtsmodernisierungsgesetz (BilMoG)4 und aktuell zum Compliance-Management.5 Den Mastab fr die Umsetzung regulatorischer Anforderungen in deutschen Unternehmen bilden im Rahmen der Prfung der Finanzberichterstattung durch Wirtschaftsprfer im Wesentlichen folgende gesetzliche Regelungen und Prfungsstandards des Instituts der Wirtschaftsprfer (IDW): > die handels- und steuerrechtlichen Vorschriften zur Ordnungsmigkeit der Buchfhrung ( 238 f. und 257 HGB sowie 145 bis 147 AO), > die IDW-Stellungnahme zur Rechnungslegung Grundstze ordnungsmiger Buchfhrung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002), > die IDW-Stellungnahme zur Rechnungslegung Grundstze ordnungsmiger Buchfhrung bei Einsatz von Electronic Commerce (IDW RS FAIT 2, Stand: 29. September 2003), > der IDW-Prfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006), > der IDW-Prfungsstandard zur Abschlussprfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002), > der IDW-Prfungsstandard Die Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340 vom 11.09.2000), > der IDW-Prfungsstandard Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprfung (IDW PS 525 vom 26.06.2010) > sowie die von der Arbeitsgemeinschaft fr Wirtschaftliche Verwaltung e.V. erarbeiteten Grundstze ordnungsmiger DV-gesttzter Buchfhrungssysteme (GoBS) sowie das dazu ergangene Schreiben des Bundesministers der Finanzen vom 7. November 1995. Die vorgenannten gesetzlichen Vorschriften und fachlichen Stellungnahmen sind generell zu beachtende Anforderungen und beziehen sich berwiegend auf rechnungslegungsrelevante Sachverhalte. Gleichwohl sind sie aufgrund gleicher Kontrollziele geeignet, auch Aussagen zur Ordnungsmigkeit bei Fragestellungen auerhalb der Buchfhrung zu treffen. Darber hinaus knnen im Einzelfall weitere Prfungsstandards anzuwenden sein (z.B. fr Dienstleistungsunternehmen oder Shared Service Center, die administrative Aufgaben u.a. im Bereich der Benutzeradministration und des Zugriffsschutzes bernommen haben (z.B. der IDW-Prfungsstandard zur Prfung des internen Kontrollsystems bei Dienstleistungsunternehmen fr auf das Dienstleistungsunternehmen ausgelagerte Funktionen (IDW PS 951, Stand: 19. September 2007). Dieser GRC-Best-Practice-Leitfaden mchte lediglich in Kurzform auf wesentliche zu beachtende regulatorische Anforderungen insbesondere in jngerer Zeit eingehen und erhebt deshalb auch keinen Anspruch auf Vollstndigkeit der hier vorgestellten Regelungen. Wer sich intensiver mit diesem Thema beschftigen mchte, kann dies u.a. in folgenden Bchern nachlesen:

Seite 8

1 2 3 4 5

Deutscher Corporate Governance Kodex (DCGK Juni 2009) Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1. Mai 1998 IDW-Prfungsstandard Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprfers auf die beurteilten Fehlerrisiken (IDW PS 261, Stand 6. September 2006) Bilanzrechtsmodernisierungsgesetz (BilMoG) vom 25. Mai 2009 (BGBl. I S. 1102) IDW Prfungsstandard: Grundstze ordnungsmiger Prfung von Compliance Management Systemen (IDW PS 980, Stand: 11.03.2011)

> > > > > >

SAP Access Control, 2008, ISBN 978-3-8362-1141-3 Governance, Risk und Compliance mit SAP, 2008, ISBN 978-3-8362-1140-6 SOX Compliance with SAP Treasury and Risk Management, 2008, ISBN 978-1-59229-2004 Datenschutz in SAP-Systemen: Konzeption und Implementierung, 2011, ISBN 978-3836216852 Handbuch SAP-Revision: IKS, Audit, Compliance, 2010, ISBN 978-3836216036 Corporate Governance, Risk Management und Compliance: Innovative Konzepte und Strategien, 2010, ISBN 978-3834915580 > COBIT und der Sarbanes-Oxley Act, 2007, ISBN 978-3-8362-1013-3 > Sicherheit und Berechtigungen in SAP-Systemen, 2005, ISBN 978-3-89842-670-1 Als ergnzende Lektre empfehlen wir die folgenden DSAG-Leitfden, jeweils als E-Book: Den DSAG-BestPractice-Leitfaden zu SAP BO GRC Access Control (www.dsag.de/go/e-grc), den DSAG-Datenschutzleitfaden SAP ERP 6.0 (www.dsag.de/go/e-datenschutz) sowie den DSAG-Preitfaden SAP ERP 6.0 (www.dsag.de/ go/e-prueeitfaden). Alle Leitfden der DSAG sind unter www.dsag.de/go/leitfaeden verffentlicht.

3.1 DEUTSCHER CORPORATE GOVERNANCE KODEX (DCGK)Die Themen Risikomanagement und Compliance sind im DCGK in folgenden Abschnitten angesprochen: > Abschnitt 3 Zusammenwirken von Vorstand und Aufsichtsrat Der Vorstand informiert den Aufsichtsrat regelmig, zeitnah und umfassend ber alle fr das Unternehmen relevanten Fragen der Planung, der Geschftsentwicklung, der Risikolage, des Risikomanagements und der Compliance. > Abschnitt 4 Aufgaben und Zustndigkeiten des Vorstands Der Vorstand hat fr die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung durch die Konzernunternehmen hin (Compliance). Der Vorstand sorgt fr ein angemessenes Risikomanagement und Risikocontrolling im Unternehmen. > Abschnitt 5 Aufgaben und Befugnisse des Aufsichtsratsvorsitzenden Der Aufsichtsratsvorsitzende soll mit dem Vorstand, insbesondere mit dem Vorsitzenden bzw. Sprecher des Vorstands, regelmig Kontakt halten und mit ihm die Strategie, die Geschftsentwicklung und das Risikomanagement des Unternehmens beraten. > Abschnitt 5.3 Bildung von Ausschssen Der Aufsichtsrat soll einen Prfungsausschuss (Audit Committee) einrichten, der sich insbesondere mit Fragen der Rechnungslegung, des Risikomanagements und der Compliance befasst.

Seite 9


3 Regulatorische Anforderungen3.2 GESETZ ZUR KONTROLLE UND TRANSPARENZ IM UNTERNEHMENSBEREICH (KONTRAG)Kern des KonTraG ist eine Vorschrift, die Unternehmensleitungen dazu zwingt, ein unternehmensweites Frherkennungssystem fr Risiken (Risikofrherkennungssystem) einzufhren und zu betreiben sowie Aussagen zu Risiken und zur Risikostruktur des Unternehmens im Lagebericht des Jahresabschlusses der Gesellschaft zu verffentlichen. Die Einrichtung eines Risikofrherkennungssystems (RFS) gem. 91 Abs. 2 AktG ist unmittelbar nur fr Aktiengesellschaften gesetzlich vorgeschrieben. Das RFS muss demnach gewhrleisten, dass alle bestandsgefhrdenden Unternehmensrisiken frhzeitig identiziert, bewertet, kommuniziert und lfd. berwacht werden. Das Risikofrherkennungssystem unterscheidet sich von einem Risikomanagementsystem (RMS) durch die fehlende Risikosteuerungsfunktion, d.h. Risiko-Gegenmanahmen sind in einem RFS nicht vorgesehen. Sie wren Teil eines Risikomanagementsystems. Die Einrichtung, Funktionsweise und Dokumentation des Risikofrherkennungssystems ist durch den Abschlussprfer im Rahmen der Jahresabschlussprfung zu beurteilen. Die Prfung wird nach dem IDW-Prfungsstandard PS 340 durchgefhrt.

3.3 IDW RS FAIT 16RS FAIT 1 deniert u.a. Sicherheitsanforderungen an rechnungslegungsrelevante Daten. Im Einzelnen werden gefordert: IT-Systeme haben daher die folgenden Sicherheitsanforderungen zu erfllen: > Vertraulichkeit verlangt, dass von Dritten erlangte Daten nicht unberechtigt weitergegeben oder verffentlicht werden. Organisatorische und technische Manahmen wie bspw. Verschlsselungstechniken umfassen u.a. Anweisungen zur Beschrnkung der bermittlung personenbezogener Daten an Dritte, die verschlsselte bermittlung von Daten an berechtigte Dritte, die eindeutige Identizierung und Verizierung des Empfngers von Daten oder die Einhaltung von Lschfristen gespeicherter personenbezogener Daten. > Integritt von IT-Systemen ist gegeben, wenn die Daten und die IT-Infrastruktur sowie die IT-Anwendungen vollstndig und richtig zur Verfgung stehen und vor Manipulation und ungewollten oder fehlerhaften nderungen geschtzt sind. Organisatorische Manahmen sind geeignete Test- und Freigabeverfahren. Technische Manahmen sind z.B. Firewalls und Virenscanner. Die Ordnungsmigkeit der IT-gesttzten Rechnungslegung setzt voraus, dass neben den Daten und IT-Anwendungen auch die IT-Infrastruktur nur in einem festgelegten Zustand eingesetzt wird und nur autorisierte nderungen zugelassen werden. > Verfgbarkeit verlangt zum einen, dass das Unternehmen zur Aufrechterhaltung des Geschftsbetriebs die stndige Verfgbarkeit der IT-Infrastruktur, der IT-Anwendungen sowie der Daten gewhrleistet. Zum anderen mssen die IT-Infrastruktur, die IT-Anwendungen und Daten sowie die erforderliche IT-Organisation in angemessener Zeit funktionsfhig bereitstehen. Daher sind z.B. geeignete Back-up-Verfahren zur Notfallvorsorge einzurichten. Manahmen zur Sicherung der Verfgbarkeit sind erforderlich, um den Anforderungen nach Lesbarmachung der Buchfhrung gerecht zu werden.

6

Seite 10

IDW-Stellungnahme zur Rechnungslegung Grundstze ordnungsmiger Buchfhrung bei Einsatz von Informationstechnologie (IDW RS FAIT 1, Stand: 24. September 2002).

> Autorisierung bedeutet, dass nur im Voraus festgelegte Personen auf Daten zugreifen knnen (autorisierte Personen) und dass nur sie die fr das System denierten Rechte wahrnehmen knnen. Diese Rechte betreffen das Lesen, Anlegen, ndern und Lschen von Daten oder die Administration eines IT-Systems. Dadurch soll ausschlielich die genehmigte Abbildung von Geschftsvorfllen im System gewhrleistet werden. Geeignete Verfahren hierfr sind physische und logische Zugriffsschutzmanahmen (z.B. Passwortschutz). Organisatorische Regelungen und technische Systeme zum Zugriffsschutz sind die Voraussetzung zur Umsetzung der erforderlichen Funktionstrennungen. Neben Identittskarten werden zuknftig biometrische Zugriffsgenehmigungsverfahren an Bedeutung gewinnen. > Authentizitt ist gegeben, wenn ein Geschftsvorfall einem Verursacher eindeutig zuzuordnen ist. Dies kann bspw. ber Berechtigungsverfahren geschehen. Beim elektronischen Datenaustausch bieten sich fr eine Identizierung des Partners bspw. digitale Signatur- oder passwortgesttzte Identikationsverfahren an. > Unter Verbindlichkeit wird die Eigenschaft von IT-gesttzten Verfahren verstanden, gewollte Rechtsfolgen bindend herbeizufhren. Transaktionen drfen durch den Veranlasser nicht abstreitbar sein, weil bspw. der Geschftsvorfall nicht gewollt ist.

3.4 IDW RS FAIT 27Risiken knnen sich innerhalb des E-Commerce insbesondere aus der fehlenden Kontrolle ber den Datentransfer im Internet ergeben: > > > > > > Unzureichender Schutz vor Verflschung (Verlust der Integritt) Unsichere Datenverschlsselung (Verlust der Vertraulichkeit) Gefhrdung der Verfgbarkeit (Verlust der Verfgbarkeit) Unwirksame Authentisierungsmechanismen (Verlust der Authentizitt) Unauthorisierte Zugriffe mit Hilfsprogrammen (Verlust der Autorisierung) Unzureichende Protokollierung der Transaktionsdaten (Verlust der Verbindlichkeit)

Mangelnde Authentizitt und Autorisierung bewirken bspw., dass Geschftsvorflle inhaltlich unzutreffend abgebildet werden (Verletzung des Grundsatzes der Richtigkeit). Die Autorisierung soll insbesondere sicherstellen, dass keine unberechtigten bzw. keine ktiven Geschftsvorflle in das System eingehen. Es ist festzulegen, wann, wie und durch wen die Autorisierung erfolgt. Autorisierungsverfahren sind Teil der Verfahrensdokumentation und fr zehn Geschftsjahre aufbewahrungspichtig. Im Rahmen des durch den Anwender zu erstellenden Sicherheitskonzeptes sind auch fr E-CommerceAnwendungen Sicherungsmanahmen abzuleiten, die physische Sicherungsmanahmen und logische Zugriffskontrollen sowie Datensicherungs- und Auslagerungsverfahren umfassen.

3.5 IDW RS FAIT 38Konkretisiert werden die aus 257 HGB resultierenden Anforderungen an die Archivierung aufbewahrungspichtiger Unterlagen sowie die in FAIT 1 dargestellten Aufbewahrungspichten beim Einsatz von elektronischen Archivierungssystemen.

7 8

Seite 11

IDW Stellungnahme zur Rechnungslegung: Grundstze ordnungsmiger Buchfhrung bei Einsatz von Electronic Commerce (IDW RS FAIT 2) IDW Stellungnahme zur Rechnungslegung: Grundstze ordnungsmiger Buchfhrung beim Einsatz elektronischer Archivierungsverfahren (IDW RS FAIT 3)


3 Regulatorische AnforderungenTechnische und organisatorische Risiken aus dem Einsatz von Archivierungsverfahren knnen die Sicherheit und Ordnungsmigkeit der Rechnungslegung beeintrchtigen: > Unzureichende organisatorische Festlegungen und Verfahrensanweisungen knnen die Nachvollziehbarkeit und Anwendbarkeit der Archivierungsverfahren gefhrden. > Mangelhafte Zugriffskontrollen innerhalb des Archivierungssystems ermglichen die missbruchliche oder unauthorisierte Einsichtnahme der archivierten Dokumente und Daten. > Durch Vernderungen, Manipulationen oder Lschung der archivierten Daten und Dokumente wird deren Integritt, Authentizitt oder Verfgbarkeit verletzt.

3.6 IDW PRFUNGSSTANDARD PS 261 (U.A. INTERNES KONTROLLSYSTEM)Gem. IDW PS 261 werden unter einem internen Kontrollsystem die vom Management im Unternehmen eingefhrten Grundstze, Verfahren und Manahmen (Regelungen) verstanden, die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen des Managements > zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschftsttigkeit (hierzu gehrt auch der Schutz des Vermgens, einschlielich der Verhinderung und Aufdeckung von Vermgensschdigungen), > zur Ordnungsmigkeit und Verlsslichkeit der internen und externen Rechnungslegung sowie > zur Einhaltung der fr das Unternehmen mageblichen rechtlichen Vorschriften.9 Als organisatorische Sicherungsmanahmen sind z.B. deniert laufende, automatische Einrichtungen. Sie umfassen fehlerverhindernde Manahmen, die sowohl in die Aufbau- als auch die Ablauforganisation eines Unternehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewhrleisten sollen (z.B. Funktionstrennung, Zugriffsbeschrnkungen im IT-Bereich)10. Damit sind u.a. alle im Rahmen von Zugriffsberechtigungen getroffenen Manahmen Teil des internen Kontrollsystems und damit auch wesentlicher Bestandteil der Umsetzung der Compliance-Anforderungen durch das Management eines Unternehmens. Die Regelungsbereiche des internen Kontrollsystems werden lt. IDW PS 261 wie folgt deniert:INTERNES KONTROLLSYSTEM (IKS)

INTERNES STEUERUNGSSYSTEM

INTERNES BERWACHUNGSSYSTEM

Prozessunabhngige berwachungsmanahmen

Prozessunabhngige berwachungsmanahmen

Organisatorische Sicherheitsmanahmen

Kontrollen

Interne Revision

Sonstige

Elemente des internen Kontrollsystems

9 IDW PS 261, Tz. 19 10 IDW PS 261, Tz. 20

Seite 12

Neben den o.g. organisatorischen Sicherungsmanahmen sind auch Kontrollen prozessintegrierte berwachungsmanahmen, z.B. die berprfung der Vollstndigkeit und Richtigkeit verarbeiteter Daten (u.a. nderungen von Berechtigungen und Benutzerprolen).

3.7 IDW PS 33011Dieser Prfungsstandard beschftigt sich im Wesentlichen mit den Anforderungen an ordnungsmige und sichere Rechnungslegungssysteme und der Sicherstellung der Vollstndigkeit, Richtigkeit, der in diesem System erfassten, verarbeiteten und ausgegebenen Daten. In diesem Zusammenhang werden u.a. folgende Risiken des IT-Einsatzes hervorgehoben: > IT-Anwendungsrisiken (fehlende oder nicht aktuelle Verfahrensregelungen und -beschreibungen, unzureichende Zugriffsberechtigungskonzepte und Zugriffskontrollsysteme) > IT-Geschftsprozessrisiken (u.a. unzureichende Transparenz der Datensse, unzureichende Integration der Systeme oder mangelhafte Abstimm- und Kontrollverfahren in Schnittstellen zwischen Teilprozessen mit der Gefahr, dass IT-Kontrollen bspw. Zugriffsrechte, Datensicherungsmanahmen, nur hinsichtlich der Teilprozesse, jedoch nicht hinsichtlich der Gesamtprozesse wirksam werden.) Wesentliches Beurteilungsobjekt sind im Hinblick auf SAP BusinessObjects Access Control die logischen Zugriffskontrollen. Logische Zugriffskontrollen sind wesentliche Elemente der Datensicherheit und des Datenschutzes und Voraussetzung zur Gewhrleistung der Vertraulichkeit. Die Sicherheitsanforderungen Autorisierung und Authentizitt bedingen zwingend logische Zugriffskontrollen: > Implementierung eines organisatorischen Verfahrens zur Beantragung, Genehmigung und Einrichtung von Benutzerberechtigungen in IT-Systemen > Berechtigungen auf Betriebssystemebene (Anmeldung gegenber Rechnern in einem Netzwerk) > Rechte zur Ausfhrung von Transaktionen in einer IT-Anwendung Zugriffskontrollen sind als angemessen zu beurteilen, wenn sie geeignet sind sicherzustellen, dass die Berechtigungsverwaltung und die eingerichteten Systemrechte den Festlegungen im Sicherheitskonzept entsprechen und damit unberechtigte Zugriffe auf Daten sowie Programmablufe zur Vernderung von Daten ausgeschlossen sind. Zudem mssen Zugriffskontrollen so ausgestaltet sein, dass sie die Identitt des Benutzers eindeutig feststellen und nicht autorisierte Zugriffsversuche abgewiesen werden.

3.8 IDW PS 34012Dieser Prfungsstandard regelt die Systemprfung des Risikofrherkennungssystems nach 91 Abs. 2 AktG (das berwachungssystem ist durch den Vorstand einzurichten) bei brsennotierten Aktiengesellschaften ( 3 Abs. 2 AktG) im Rahmen der Abschlussprfung ( 317 Abs. 4 HGB). Das Risikofrherkennungssystem soll bestandsgefhrdende Risiken frhzeitig erkennen und dem Management rechtzeitig die Mglichkeit zur Gegensteuerung erffnen. Die Manahmen zur Einrichtung eines solchen Systems sind auch Prfungsgegenstand fr die interne Revision, die z.B. folgende Bereiche abdeckt:

Seite 13

11 IDW-Prfungsstandard zur Abschlussprfung bei Einsatz von Informationstechnologie (IDW PS 330, Stand: 24. September 2002) 12 IDW Prfungsstandard: Die Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340, Stand: 11.09.2000)


3 Regulatorische Anforderungen> > > > Erfassung der Risikofelder im Unternehmen Beurteilung der Manahmen zur Risikoerfassung und Risikokommunikation Beurteilung der Nachhaltigkeit der getroffenen Manahmen Einhaltung der integrierten Kontrollen

Alle getroffenen Manahmen zur Einrichtung eines Risikofrherkennungssystems sind vom Unternehmen zu dokumentieren. In diesem Zusammenhang verdeutlicht ein Urteil des Landgerichts Mnchen die entsprechenden Vorstandspichten: Der Vorstand einer Aktiengesellschaft ist nicht nur verpichtet, ein funktionsfhiges Warnsystem hinsichtlich der wirtschaftlichen Entwicklung des Unternehmens einzurichten, sondern hat auch dafr zu sorgen, dass unmissverstndliche Zustndigkeiten begrndet, ein engmaschiges Berichtssystem eingefhrt und eine entsprechende Dokumentation sichergestellt werden. Hat der Vorstand dies versumt, kann das Gericht auf Klage eines Aktionrs einen Hauptversammlungsbeschluss zur Entlastung des Vorstands fr nichtig erklren (Urteil des LG Mnchen I vom 05.04.2007, 5 HKO 15964/06, ZIP 2007, 1951). Es liegt auf der Hand, dass fr eine systematische Erfassung und Steuerung aller bestandsgefhrdenden Risiken eines Unternehmens eine IT-Untersttzung unabdingbar ist. Gerade bei komplexen brsennotierten Unternehmen reichen dafr Ofce-Produkte nicht mehr aus, obwohl sie noch vielfach im Einsatz sind.

3.9 IDW PS 52513Der Prfungsstandard PS 525 regelt die Prfung des Risikomanagementsystems bei Kreditinstituten. Geprft wird, inwieweit das Kreditinstitut die Grundstze zur Zielsetzung, zum Umfang und zu den verantwortlichen Organisationseinheiten fr die zu ttigenden Geschfte und einzugehenden Risiken (Strategie) schriftlich xiert und ein Bewusstsein ber diese Risiken in der Gesamtorganisation (Risikobewusstsein) geschaffen hat. Es wird beurteilt, inwieweit das Kreditinstitut hinsichtlich der Einrichtung und Funktionsfhigkeit des Risikomanagements folgende Kriterien erfllt: > > > > Risikoerkennung (frhzeitiges und vollstndiges Erkennen aller wesentlichen Risiken) Risikoanalyse (Beurteilung der Risiken bezglich der Bedeutung fr die geschftspolitischen Ziele) Risikosteuerung (gezielte Steuerung im Einklang mit der Strategie und der Risikotragfhigkeit) Risikokommunikation (systematische und entscheidungsorientierte Aufbereitung und Berichterstattung an das Management) > Risikoberwachung Darber hinaus haben auch Aktiengesellschaften nach 91 Abs. 2 AktG eine gesetzliche Verpichtung zur Einfhrung eines Risikomanagementsystems. Diese bezieht sich jedoch nur auf die Vermeidung bestandsgefhrdender Risiken. Sofern die Aktiengesellschaft brsennotiert ist, besteht auch eine Prfungspicht durch den zustndigen Abschlussprfer. Art und Umfang der notwendigen Prfungshandlungen ergeben sich aus dem IDW PS 340, welcher hinsichtlich der Anforderungen dem IDW PS 525 weitgehend entspricht.

13 IDW Prfungsstandard: Die Prfung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprfung (IDW PS 525, Stand: 26.06.2010)

Seite 14

3.10 IDW PS 98014Am 11. Mrz 2011 wurde vom Institut der Wirtschaftsprfer (IDW) der Prfungsstandard Grundstze ordnungsmiger Prfung von Compliance-Management-Systemen verabschiedet. Dieser Standard ist erstmals fr Prfungen anzuwenden, die nach dem 30. September 2011 durchgefhrt werden. Dabei handelt es sich um freiwillige Prfungen, d.h., es besteht derzeit keine Prfungspicht. Man kann jedoch davon ausgehen, dass sich zunehmend Unternehmen einer Prfung ihres CMS unterziehen, um zumindest von Aufsichtsrats- oder Vorstandsseite nachzuweisen, dass alle Aufsichtspichten erfllt worden sind und man sich z.B. kein pichtwidriges Verhalten nach 93 Absatz 1 AktG vorzuwerfen hat. Der Prfungsstandard legt einen einheitlichen Rahmen fr Compliance-Management-Systeme (CMS) fest. Damit gibt es jetzt erstmalig in Deutschland ein seitens der Wirtschaftsprfung deniertes Rahmenkonzept mit Leitlinien und Vorgaben fr Unternehmen, die sich zur Verbesserung ihrer Compliance mit der Einrichtung eines Compliance-Management-Systems oder hnlichen Strukturen beschftigen oder dies bereits weitgehend umgesetzt haben. Damit ist davon auszugehen, dass durch diesen Prfungsstandard auch eine zunehmende Standardisierung der Compliance-Organisation erzielt wird und die ComplianceAufgaben innerhalb der Corporate Governance deutscher Unternehmen wirksam und nachhaltig erfllt werden knnen. Als eines der ersten Unternehmen unterzieht z.B. ThyssenKrupp sein Compliance-System in 2011 einer Wirksamkeitsprfung seines CMS nach IDW PS 980 mit den Schwerpunkten Kartellrecht und Korruptionsbekmpfung15. Nachfolgend sind einige Kernelemente des Prfung des Compliance-Management-Systems nach dem Prfungsstandard IDW PS980 dargestellt, die derzeit auch in der Arbeitsgruppe GRC der DSAG behandelt werden mit dem Ziel, den DSAG Mitgliedsrmen praktische Hilfestellung bei der nachhaltigen Einrichtung und dem Management von Compliance-Systemen zu geben.

Audit Compliance Management (nach IDW PS 980)> Compliance-Management-System (CMS) ist ein Teilbereich des Risikomanagementsystems (RMS) > IDW PS 980 ersetzt nicht > Die Prfung des Risikofrherkennungssystems nach 317 Abs. 4 HGB (IDW PS 340) > Die Beurteilung des Risikomanagements von Kreditinstituten im Rahmen der Abschlussprfung (IDW EPS 525) > Auftrags-(Prfungs-)typen > Prfung der Konzeption des CMS > Prfung von Angemessenheit und Implementierung des CMS > Prfung von Angemessenheit, Implementierung und Wirksamkeit des CMS > Prfungsgebiete (Aufbau- und Funktionsprfung abhngig vom Auftragstyp) > Compliance-Kultur > Grundlagen fr die Angemessenheit und Wirksamkeit des CMS > Grundeinstellung und Verhaltensweisen des Managements (Tone from the Top) > Compliance-Ziele > Festlegung wesentlicher Ziele, die mit dem CMS erreicht werden sollen

Seite 15

14 IDW Prfungsstandard: Grundstze ordnungsmiger Prfung von Compliance-Management-Systemen (IDW PS 980, Stand: 11.03.2011) 15 Vgl. Prsentation ThyssenKrupp Compliance-Programm, Dr. Thomas Kremer, Chefjustitiar und Chief Compliance Ofcer ThyssenKrupp AG, 26. Mai 2011


3 Regulatorische Anforderungen> > Festlegung wesentlicher Teilbereiche und in den Teilbereichen einzuhaltenden Regeln Compliance-Organisation > Rollen und Verantwortlichkeiten > Aufbau- und Ablauforganisation > Ressourcenplanung Compliance-Risiken > Identikation von wesentlichen Compliance-Risiken > Systematische Risikoerkennung mit Risikobeurteilung Compliance-Programm > Auf Grundlage der identizierten Risiken werden Grundstze und Manahmen eingefhrt, die risikominimierend wirken Compliance-Kommunikation > Betroffene Mitarbeiter und ggfs. Dritte werden ber das Compliance-Programm sowie Rollen/ Verantwortlichkeiten informiert > Festlegung eines Berichtsweges ber identizierte Risiken, festgestellte Regelverste sowie eingehende Hinweise Compliance-berwachung und Verbesserung > berwachung der Angemessenheit und Wirksamkeit (inkl. Reporting) > Voraussetzung: ausreichende Dokumentation > Management trgt Verantwortung

>

>

>

>

3.11 BUNDESDATENSCHUTZGESETZ (BDSG)Gem 9 BDSG sind zur Sicherstellung des Datenschutzes bei personenbezogenen Daten technische und organisatorische Manahmen erforderlich. Hinsichtlich der Zugriffskontrollen wird gefordert, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschlielich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen knnen und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verndert oder entfernt werden knnen (Zugriffskontrolle). Ferner ist zu gewhrleisten, dass personenbezogene Daten bei der elektronischen bertragung oder whrend ihres Transports oder ihrer Speicherung auf Datentrger nicht unbefugt gelesen, kopiert, verndert oder entfernt werden knnen und dass berprft und festgestellt werden kann, an welche Stellen eine bermittlung personenbezogener Daten durch Einrichtungen zur Datenbertragung vorgesehen ist (Weitergabekontrolle), Gem. Ziff. 5 der Anlage zu 9 BDSG ist zu gewhrleisten, dass nachtrglich berprft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verndert oder entfernt worden sind (Eingabekontrolle), Weiterhin ist lt. Ziff. 7 zu gewhrleisten, dass personenbezogene Daten gegen zufllige Zerstrung oder Verlust geschtzt sind (Verfgbarkeitskontrolle). Einzelheiten zum Datenschutz im SAP-Umfeld knnen Sie im DSAG Datenschutzleitfaden nachlesen.16

16 Leitfaden Datenschutz SAP ERP 6.0 (Stand 20. September 2009), Download ber DSAGNet

Seite 16

3.12 BILANZRECHTSMODERNISIERUNGSGESETZ (BILMOG)Die neuen Bilanzierungsregelungen sind verpichtend fr Geschftsjahre ab dem 01. Januar 2010 anzuwenden. Sie sind anzuwenden durch kapitalmarktorientierte Konzernunternehmen im Sinne des 264d HGB n.F. Neben einer Vielzahl neuer HGB Regelungen zur Bilanzierung und Bewertung innerhalb der Rechnungslegung eines Unternehmens werden mit dem BilMoG auch wesentliche Vorgaben aus EU-Recht (8. EU-Richtlinie) umgesetzt. Auch das interne Kontrollsystem und das Risikomanagementsystem rcken durch BilMoG strker in den Blickpunkt von Vorstnden und Aufsichtsrten und insofern stehen in den Unternehmen die entsprechenden aufbau- und ablauforganisatorischen Fragestellungen (auch zu Themen wie Funktionstrennung und sichere Berechtigungskonzepte und -systeme) im Fokus. Bei unzureichender Ausbung der Managementpichten mit entsprechenden Schadensfllen knnen sich Haftungsansprche ergeben (Organisationsverschulden gem. 130 OWiG, 93 Abs. 2 AktG bzw. 43 GmbHG).

3.12.1 LAGEBERICHT ( 289, 315 HGB N.F.)Im Lagebericht sind die wesentlichen Merkmale des rechnungslegungsbezogenen internen (IKS) und des Kontroll- und Risikomanagementsystems (RMS) zu beschreiben.

3.12.2 PFLICHTEN DES AUFSICHTSRATESDer Aufsichtsrat hat die Verpichtung zur berwachung folgender Bereiche: > > > > Rechnungslegungsprozess Internes Kontrollsystem (IKS) Risikomanagementsystem (RMS) Internes Revisionssystem (Interne Revision)

Diese berwachungspichten werden dazu fhren, dass sich Aufsichtsrte entsprechende Berichtswege mit wirksamen berwachungsstrukturen einrichten und dies auch Auswirkungen auf efziente und effektive Kontrollen insbesondere in solchen Unternehmensbereichen haben wird, die Daten zur Finanzberichterstattung beisteuern (insbesondere Rechnungs- und Finanzwesen, Personalwesen, Materialwirtschaft, Produktion, Vertrieb).

3.12.3 HANDLUNGSFELDER FR DEN VORSTANDDer Vorstand trgt die Verantwortung fr Einrichtung, angemessene Ausgestaltung und den Nachweis der Wirksamkeit u.a. des IKS und des RMS. Dies erfordert eine Bestandsaufnahme der vorhandenen Instrumente zum IKS/RMS: > Systematische Aufnahme vorhandener wesentlicher Instrumente (u.a. Softwareuntersttzung) und deren Verzahnung > Analyse der Angemessenheit, insbesondere der Nachweisfhigkeit > Manahmen zur Verbesserung des IKS/RMS

Seite 17


3 Regulatorische AnforderungenDarber hinaus ist ein Nachweis der Wirksamkeit von IKS/RMS zu fhren: > Externe Zertizierung der internen Revision (IR) > Etablierung eines Regelprozesses zum Monitoring der Wirksamkeit (Self Assessment, Prfungsplanung der IR, Prfung durch Externe, Konsolidierung der berwachungsergebnisse) > Initiierung von Verbesserungsmanahmen bei festgestellten Schwchen > Berichterstattung an den Aufsichtsrat Durch eine mglichst integrierte Steuerung und berwachung der Risiken und Kontrollen innerhalb fr das Unternehmen besonders kritischer Geschftsablufe mit Hilfe von SAP BO GRC Access Control, Process Control und Risk Management kann ein effektives und efzientes Management der Risiken und Kontrollen erreicht werden. Dies ist eine wesentliche Voraussetzung fr die praktische Umsetzung der BilMoG-Anforderungen an Vorstand und Aufsichtsrat im Rahmen der berwachung des internen Kontrollsystems und internen Risikomanagementsystems. Eine der wesentlichen Manahmen zur Verbesserung des internen Kontrollsystems ist die Beseitigung von Risiken aufgrund von fehlender oder unzureichender Funktionstrennung beim Daten- und Programmzugriff (Stichwort: Segregation of Duties) und damit dem unkontrollierten, umfassenden Zugriff auf wesentliche IT-Systeme zur Abwicklung wesentlicher nanzkritischer Geschftsprozesse. Eine unter IKS-Gesichtspunkten wirksame Funktionstrennung in der Ablauforganisation eines Unternehmens lsst sich durch ein entsprechendes Benutzerkonzept mit auf den Arbeitsplatz zugeschnittenen Benutzerberechtigungen erreichen. Der geschilderte Handlungsbedarf gilt brigens nicht nur fr groe brsennotierte Unternehmen, sondern ist auch fr kapitalmarktorientierte Mittelstandsunternehmen verpichtend, die ein funktionierendes internes Kontroll- und Risikomanagementsystem sicherstellen wollen.

3.13 BASEL IIUnter dem Begriff Basel II werden die Eigenkapitalvorschriften fr Kreditinstitute zusammengefasst, die vom Basler Ausschuss fr Bankenaufsicht in den letzten Jahren vorgeschlagen wurden. Auf der Grundlage der EU-Richtlinien 2006/48/EG und 2006/49/EG erfolgte in Deutschland die Umsetzung mit Wirkung ab 1. Januar 2007 durch das Kreditwesengesetz, die Solvabilittsverordnung und die MaRisk (Mindestanforderungen an das Risikomanagement). Die Rahmenvereinbarung von Basel II basiert auf den drei Sulen > Mindestkapitalvorschriften (Berechnung einer angemessenen Eigenkapitalausstattung) > aufsichtsrechtliche berprfungsverfahren > Marktdisziplin (hheres Ma an Transparenz bei der Offenlegung von Informationen der Bank. Sie verlangt die Offenlegung quantitativer und qualitativer Aspekte der von der Bank verwendeten Methoden fr das Management ihrer Eigenkapitalanforderungen)

Seite 18

Kreditinstitute mssen zu jedem einzelnen Risikobereich (z.B. Kredit-, Markt-, operationelles Risiko, Zinsnderungsrisiko des Anlagebuchs und Beteiligungspositionen) die internen Ziele und Grundstze des Risikomanagements beschreiben. Dazu gehren: > > > > Strategien und Prozesse Struktur und Organisation der relevanten Risikomanagement-Funktion Art und Umfang der Risikomeldungen und/oder -messsysteme Grundstze der Absicherung und/oder Minderung von Risiken sowie Strategien und Prozesse zur berwachung der fortgesetzten Effektivitt dieser Absicherungen/Risikominderungen

Innerhalb der Mindestanforderungen an das Risikomanagement (MaRisk) ist hinsichtlich der internen Kontrollverfahren festgelegt, dass Adressausfallrisiken, Marktpreisrisiken, Zinsnderungsrisiken, Liquidittsrisiken und operationelle Risiken anhand wirksamer Risikosteuerungs- und Controllingprozesse zu berwachen sind und darber zu berichten ist.

3.14 BASEL IIIDie neuen Empfehlungen (Basel III) wurden im November 2010 verabschiedet und basieren einerseits auf den Erfahrungen mit Basel II und andererseits auf den Erkenntnissen und Erfahrungen aus der weltweiten Finanz- bzw. Wirtschaftskrise. Sie sind bis 2018 umzusetzen. Von den Banken wird die Erhhung der Mindesteigenkapitalanforderungen und die Einfhrung von Kapitalpuffern gefordert. Damit sollen die Banken im Falle einer Krise besser gewappnet sein.

3.15 MINDESTANFORDERUNGEN AN COMPLIANCE MACOMPAm 7.Juni 2010 wurden von der Bundesanstalt fr Finanzdienstleistungsaufsicht (BaFin) die Mindestanforderungen an Compliance und die weiteren Verhaltens-, Organisations- und Transparenzpichten nach 31 ff. WpHG (MaComp) verffentlicht17. Die neuen Vorgaben sind bis Ende 2010 umzusetzen. Durch die Anforderungen sollen insbesondere Unsicherheiten innerhalb der Wertpapier-Compliance ausgerumt werden. Die MaComp richten sich an alle Wertpapierdienstleistungsunternehmen im Sinne des 2 Abs. 4 WpHG. Eine Compliance-Funktion, die prozessbegleitend und prventiv arbeiten soll, ist einzurichten. Dabei ist die Compliance-Funktion Teil des internen Kontrollsystems.

3.16 MINDESTANFORDERUNGEN AN DAS RISIKOMANAGEMENT MARISKDie aktuellen MaRisk wurden mit BaFin-Rundschreiben vom 15. Dezember 2010 verkndet. Im Einzelnen sind u.a. folgende Handlungsfelder przisiert18 : > Risiken > Geschfte > Gesamtverantwortung der Geschftsleitung > Allgemeine Anforderungen an das Risikomanagement > Internes Kontrollsystem mit Aufbau- und Ablauforganisation, Risikosteuerungs- und -controllingprozesse, Stresstests > Interne Revision > Risikomanagement auf Gruppenebene > Organisationsrichtlinien

Seite 19

17 BaFin: Rundschreiben MaComp WA 4/2010 vom 07. Juni 2010 18 BaFin: Rundschreiben 11/2010 (BA) - Mindestaforderungen an das Risikomanagement MaRisk vom 15. Dezember 2010


3 Regulatorische Anforderungen> Technisch-organisatorische Ausstattung (u.a. mssen die IT-Systeme und die IT-Prozesse die Integritt, die Verfgbarkeit, die Authentizitt sowie die Vertraulichkeit der Daten sicherstellen) > Outsourcing (Regelung der Modalitten bei Auslagerung von Dienstleistungen an Dritte, wie z.B. Festlegung von Informations- und Prfungsrechten, Sicherstellung der Datenschutzbestimmungen)

3.17 MARKETS IN FINANCIAL INSTRUMENTS DIRECTIVE MIFIDBei der MiFiD handelt es sich um eine EU-Richtlinie, die in Deutschland im Wesentlichen in 2007 mit dem Finanzmarktrichtlinie-Umsetzungsgesetz (FRUG) in nationales Recht berfhrt worden ist. Das FRUG regelt insbesondere die Verhaltens-, Organisation- und Transparenzpichten der Wertpapierdienstleistungsunternehmen. Damit sind entsprechende Informations- und Berichtspichten sowie Dokumentatons- und Archivierungsanforderungen verbunden, die letztlich nur durch geeignete IT-Systeme und Applikationen umzusetzen sind.

3.18 SOLVABILITTSVERORDNUNG SOLVVHierbei handelt es sich um eine Verordnung ber die angemessene Eigenmittelausstattung von Instituten, Institutsgruppen und Finanzholding-Gruppen des Bundesministeriums der Finanzen vom 14. Dezember 2006. Die SolvV deckt die erste und dritte Sule aus Basel II ab. Die vom Gesetzgeber geforderte Markttransparenz wird durch spezielle Offenlegungsvorschriften untermauert.

3.19 SOLVENCY IIMit Solvency II (Solvabilitt II) wird zurzeit ein neues europisches Aufsichtssystem fr Versicherungsunternehmen entwickelt. Es wird insbesondere die Kapitalanforderungen an Versicherungsunternehmen grundlegend reformieren. Das bestehende Solvenzmodell, Solvency I, wurde in den frhen 1970er-Jahren eingefhrt und deniert pauschale Kapitalanforderungen (Solvenzspannen) auf relativ einfach Weise. Diese bilden nur bedingt die tatschlichen Risiken des Versicherungsgeschfts ab. In einigen Fllen stehen die heutigen Regelungen im Widerspruch zu gutem Risikomanagement.19 Solvency II ist eines der wichtigsten Projekte im Bereich Aufsicht ber Finanzdienstleistungen auf EU-Ebene. Ziel des Projektes ist es, die heutigen Solvabilittsvorschriften (Eigenmittelanforderungen) fr Versicherungsunternehmen zu einem konsequent risikoorientierten System der Finanzaufsicht weiterzuentwickeln. Die Versicherer werden animiert, ihr eigenes, internes Risikomanagement zu verbessern. Versicherer mssen das Vorhandensein einer Risikostrategie, einer angemessenen Aufbau- und Ablauforganisation, eines internen Steuerungs- und Kontrollsystems und einer internen Revision nachweisen. Darber hinaus wird mit Solvency II eine angemessene Harmonisierung der Aufsicht in Europa angestrebt. Solvency II wird voraussichtlich zum 1. Januar 2013 in Kraft treten.20

3.20 SARBANES-OXLEY ACT (SOX)SOX ist ein Oberbegriff fr gesetzliche Anforderungen an interne Kontrollen der Finanzberichterstattung und betrifft alle an US-Brsen gelisteten Unternehmen. Insofern fallen auch deutsche Unternehmen unter dieses US-Gesetz von 2002, sofern ihre Wertpapiere an einer US-Brse gelistet sind. Unternehmen mssen gem. SOX nachweisen, dass wirksame interne Kontrollen (unternehmensweite Kontrollen und Geschftsprozesskontrollen) zur Sicherstellung einer zutreffenden und vertrauenswrdigen Finanzberichterstattung eingerichtet sind. Dieser Nachweis ist durch das Management gegenber der amerikanischen Brsenauf-

Seite 20

19 Siehe Gesamtverband der Deutschen Versicherungswirtschaft e.V. (GDV) 20 Auszge BaFin Solvency II 21 COSO (Committee of Sponsoring Organizations of the Treadway Commission). Entsprechende Informationen und Detailbeschreibungen des Internal Control Framework nach COSO sind u.a. ber folgenden Link verfgbar: http://www.coso.org/guidance.htm.

sicht (SEC) zu erbringen und durch einen Wirtschaftsprfer zu besttigen. Die mit der berwachung der Einhaltung von SOX befasste amerikanische Aufsichtsbehrde ist die PCAOB (Public Company Accounting Oversight Board). Ein von der SEC und dem PCAOB empfohlener Standard zur Einrichtung und berwachung interner Kontrollen ist das sog. COSO-Framework21, das detaillierte Kontrollstrukturen und Umsetzungsvorschlge enthlt und in Deutschland in der Regel auch Mastab fr die Umsetzung der US-amerikanischen Anforderungen ist. Zur Umsetzung der SOX-Anforderungen auf Kontrollen im IT-Bereich hat sich das COBIT-Rahmenwerk als hilfreich erwiesen. Eine entsprechende Gegenberstellung von COSO-Regelungen zu den Kontrollempfehlungen von COBIT wurde vom amerikanischen IT Governance Institute (ITGI) mit dem Leitfaden IT Control Objectives for Sarbanes-Oxley22 empfohlen.

3.21 NORMEN (DIN ISO/IEC)3.21.1 ISO/IEC 27001Die ISO/IEC 27001:2005 wurden auf Basis des britischen Standards BS 7799-2:2002 entwickelt und erstmals am 15. Oktober 2005 verffentlicht. Mit Ausgabe 9.2008 liegt die Norm auch als DIN-Norm DIN ISO/IEC 27001 vor. Der ISO-Standard 27001 Information technology Security techniques Information security management systems requirements specication ist der erste internationale Standard zum Informationssicherheitsmanagement, der auch eine Zertizierung ermglicht. ISO 27001 gibt auf ca. 10 Seiten allgemeine Empfehlungen. In einem normativen Anhang wird auf die Controls aus ISO/IEC 27002 verwiesen. Die Leser erhalten aber keine Hilfe fr die praktische Umsetzung.

3.21.2 ISO 27002 (VORHER ISO 17799)Das Ziel von ISO/IEC ISO 27002 Information technology Code of practice for information security management ist es, ein Rahmenwerk fr das Informationssicherheitsmanagement zu denieren. ISO 27002 befasst sich daher hauptschlich mit den erforderlichen Schritten, um ein funktionierendes Informationssicherheitsmanagement aufzubauen und in der Organisation zu verankern. Die erforderlichen Informationssicherheitsmanahmen werden kurz auf den ca. 100 Seiten des ISO-Standard ISO/IEC 27002 angerissen. Die Empfehlungen sind auf Management-Ebene und enthalten kaum konkrete technische Hinweise. Ihre Umsetzung ist eine von vielen Mglichkeiten, die Anforderungen des ISO-Standards 27001 zu erfllen.

3.21.3 ISO 27005Dieser ISO-Standard Information security risk management enthlt Rahmenempfehlungen zum Risikomanagement fr Informationssicherheit. Unter anderem untersttzt er bei der Umsetzung der Anforderungen aus ISO/IEC 27001. Hierbei wird allerdings keine spezische Methode fr das Risikomanagement vorgegeben. ISO/IEC 27005 lst den bisherigen Standard ISO 13335-2 ab. Dieser Standard, ISO 13335 Management of information and communications technology security, Part 2: Techniques for information security risk management, gab Anleitungen zum Management von Informationssicherheit.

22 IT Control Objectives for Sarbanes-Oxley, The Role of IT in the Design and Implementation of Internal Control over Financial Reporting, 2nd edition, Sept. 2006: http://www.itgi.org

Seite 21


3 Regulatorische Anforderungen3.21.4 WEITERE STANDARDS DER REIHE ISO 2700XDie Normenreihe ISO 2700x wird voraussichtlich langfristig aus den ISO-Standards 27000 27019 und 27030 27044 bestehen. Alle Standards dieser Reihe behandeln verschiedene Aspekte des Sicherheitsmanagements und beziehen sich auf die Anforderungen der ISO 27001. Die weiteren Standards sollen zum besseren Verstndnis und zur praktischen Anwendbarkeit der ISO 27001 beitragen. Diese beschftigen sich beispielsweise mit der praktischen Umsetzung der ISO 27001, also der Messbarkeit von Risiken oder mit Methoden zum Risikomanagement.

3.21.5 ZERTIFIZIERUNG NACH ISO 27001 AUF BASIS VON IT-GRUNDSCHUTZDas Bundesamt fr Sicherheit in der Informationstechnik bietet seit Januar 2006 die ISO 27001-Zertizierung auf der Basis von IT-Grundschutz an. Hierber kann nachgewiesen werden, dass in einem Informationsverbund die wesentlichen Anforderungen ISO 27001 unter Anwendung der IT-Grundschutz-Vorgehensweise (BSI-Standard 100-2) und ggf. einer ergnzenden Risikoanalyse (BSI-Standard 100-3) umgesetzt wurden. Nach Umsetzung aller fr die Zertizierung relevanten Manahmen kann die Institution einen beim BSI lizenzierten ISO-27001-Auditor beauftragen, den Informationsverbund gem dem Prfschema des BSI zu berprfen. Die Ergebnisse dieser unabhngigen Prfung werden in einem Auditreport festgehalten. Ein ISO-27001-Zertikat auf der Basis von IT-Grundschutz kann zusammen mit der Einreichung des Auditreports beim BSI beantragt werden. Nach Prfung des Reportes durch Experten des BSI erteilt die Zertizierungsstelle das Zertikat, das ebenso wie die Auditor-Testate vom BSI verffentlicht wird. Alle zertizierungsrelevanten Informationen wie das Zertizierungsschema und die Namen der lizenzierten Auditoren sind ffentlich verfgbar und knnen unter www.bsi.bund.de/gshb/zert eingesehen werden.

3.21.6 RISIKOMANAGEMENT NACH ISO 31000Die Ende 2009 eingefhrte ISO-Norm 31000 Risk management Principles and guidelines regelt die Anforderungen und deren Umsetzung fr ein international anerkanntes Risikomanagementsystem.

Establish the Context

Communicate and Consult

Risk Assesent

Identify Risks

Analyse Risks

Monitor and Review

Evaluate Risks

Treat Risks

Risikomanagement nach ISO 31000Seite 22

ISO 31000

Eine deutsche bersetzung wird im Laufe des Jahres 2011 verfgbar sein. Fr sterreich liegt bereits seit Februar 2010 eine deutschsprachige Version als NORM ISO 31000 Risikomanagement Grundstze und Richtlinien vor. Es handelt sich um ein Regelwerk im Sinne einer Best Practice, das nicht zertiziert wird. Die Norm ist auf alle Unternehmens- und Organisationformen anwendbar und deniert folgende Risikomanagementprozesse, ber die ein Unternehmen verfgen sollte: > > > > > > > Kommunikation und Konsultation der Risiken Erstellung des Zusammenhangs Risikoidentikation Risikoanalyse Risikobewertung Risikobewltigung berwachung und berprfung der Risiken

Das sterreichische Normungsinstitut (ON) hat darber hinaus mit der ONR 49000 Risikomanagement fr Organisationen und Systeme Begriffe und Grundlagen Umsetzung von ISO 31000 in die Praxis (siehe auch 49001, 49002, 49003) ein Rahmenwerk zur praktischen Umsetzung der ISO 31000 bei Unternehmen, Behrden und Institutionen geschaffen. Ziel ist dabei auch die Integration mit anderen Regelwerken: > ISO 9000:2008 Qualittsmanagement > ISO/IEC 50051:1999 Safety aspects > ISO/IEC Guide 73:2002 Riskmanagement > ISO 14001 Umweltmanagement > ISO27001/17799/(BS7799) Informationssicherheitsmanagementsysteme Insbesondere sollen Qualitts- und Risikomanagement verbunden werden, wobei sich die ONR 49000 sehr stark beim Aufbau an der Norm ISO 9001 orientiert.

Seite 23


4 Zielmarkt4.1 MITTELSTANDIn Kapitel 3 ist ausfhrlich von Gesetzen, Vorschriften und Verordnungen die Rede, die sich in erster Linie an brsennotierte grere Unternehmen sowie grere GmbHs richten. Der Ursprung der Compliance-Idee und des Risikomanagements kommt aus den USA; in Europa wurde diese Idee in einer etwas gemilderten Version (8. EU-Richtlinie)23 in nationale Gesetze umgesetzt. Im Mittelstand ist insbesondere bei den kleineren und mittleren Unternehmen (KMU) das Risikomanagement vielfach immer noch nicht ausreichend ausgeprgt und organisiert. Zunehmend wird man jedoch aufgrund des Drucks der Banken aktiv, da eine fehlende oder unzureichende Risikoorganisation notwendige Kreditvergaben beeintrchtigt bzw. verteuert oder verhindert. Mittelstndische Unternehmen mit eigenverantwortlicher IT-Infrastruktur sind oftmals gesellschaftlich vernetzt und somit an die Vorschriften der Mutter oder des zentralen Audits gebunden mit i.d.R. unternehmensweiten Governance- und Compliance-Richtlinien. Hier stellt sich nicht die Frage ob, sondern eher wann die Umsetzung und in welcher Form durchzufhren ist. Mittelstndische Unternehmen sind oftmals Zulieferer fr Konzerne oder deren Vertriebspartner. Diese Konzerne achten verstrkt darauf, dass auch die Partner ihre Regelwerke akzeptieren und vielleicht nicht in vollem Umfang implementieren und einhalten. Fast jedes grere mittelstndische Unternehmen ist international aufgestellt und deniert fr die Zentrale wie auch fr die nationalen Gesellschaften ein internes Kontrollsystem und ein Risikomanagement, um das Zusammenwirken auf eine einheitliche, nachvollziehbare Geschftsgrundlage zu stellen. Der globale Wettbewerb zwingt zur Spezialisierung und damit zunehmend als Wettbewerbsvorteil auch zu einer Zertizierung der Produkte und Ablufe; sensible Produktionsverfahren und geschftskritische Rezepturen sind in mittelstndischen Unternehmen genauso verbreitet wie in Grounternehmen und existenziell zu schtzen. Eine Zertizierung ohne verlssliche und sichere Finanz- und Geschftsprozesse mit wirksamem Datenschutz ist nicht mehr zu erlangen und hierzu gehren als wesentlicher Bestandteil ein wirksames internes Kontroll- und Risikomanagement mit Transparenz und Nachvollziehbarkeit. Prfungsgesellschaften sind verpichtet, die Unternehmensprozesse mit in ihre Prfverfahren aufzunehmen und zu bewerten. Da der Mittelstand sich in nicht unerheblichem Mae ber Kredite nanziert, ist gelebte Ordnungsmigkeit und Sicherheit in den Unternehmensprozessen und damit ein gutes Prfungsergebnis auch ausschlaggebend fr die Kreditvergabe der Banken und Investoren. Darber hinaus erfolgen im Rahmen von Basel II Risikobeurteilungen durch die Kreditinstitute (Ratings). Die Liste lsst sich beliebig fortsetzen; es gibt viele Grnde fr die Einfhrung von SAP BusinessObjects GRC bei mittelstndischen Unternehmen.

23 RICHTLINIE 2006/43/EG DES EUROPISCHEN PARLAMENTS UND DES RATES vom 17. Mai 2006

Seite 24

4.2 GROSSUNTERNEHMEN/KONZERNEEine wirksame und efziente Corporate Governance zur Sicherstellung einer verantwortungsbewussten, transparenten und risikominimierenden Unternehmensfhrung steht heutzutage ganz oben auf der Priorittenliste der brsennotierten deutschen Unternehmen. Danach hat der Vorstand fr die Einhaltung der gesetzlichen Bestimmungen und der unternehmensinternen Richtlinien zu sorgen und wirkt auf deren Beachtung und Einhaltung durch die Konzernunternehmen hin (Compliance).24 Die operative Umsetzung der Corporate Governance erfolgt durch ein unternehmensweites Compliance-Management. ComplianceVerste knnen Schadensersatzforderungen, Geldbuen, Strafverfahren und bleibende Imageschden nach sich ziehen. Mit der Einfhrung des Bilanzrechtsmodernisierungsgesetzes (BilMoG) wurden insbesondere Prfungsausschsse bzw. Aufsichtsrte dazu verpichtet, Compliance-Elemente wie internes Kontrollsystem, internes Risikomanagementsystem sowie das interne Revisionssystem zu berwachen. Diese Regelung verstrkt die bisher schon bestehenden Empfehlungen des Deutschen Corporate Governance Kodex, wonach der Aufsichtsrat einen Prfungsausschuss (Audit Committee) einrichten soll, der sich u.a. mit Fragen des Risikomanagements und der Compliance beschftigen soll.25 Hilfreich ist in diesem Zusammenhang der neue Prfungsstandard des IDW Grundstze ordnungsmiger Prfung von Compliance-ManagementSystemen (IDW PS980), der anerkannte Standards fr Compliance-Systeme schafft und sieben Grundelemente eines Compliance-Management-Systems przisiert (siehe auch Seite 18 ff.). Wesentlicher Schutz- und Kontrollbereich im Rahmen des Compliance-Managements sind die Schlsselkontrollen in den Unternehmensprozessen und das Erkennen und Abwehren von Unternehmensrisiken. Aufgrund der Komplexitt und fehlenden Transparenz der Prozessablufe und der Risiken sind untersttzende Tools mit prventiven und detektivischen Schutzmechanismen erforderlich. Ideal sind unternehmensweite, integrierte Lsungen mit einem breiten Anwendungsspektrum. Gerade in Grounternehmen und Konzernen ist ein wirksames, proaktives Risiko- und Kontrollmanagement nur mit Softwareuntersttzung umzusetzen.

Seite 25

24 Deutscher Corporate Governance Kodex, Abschnitt 4.1.3 in der Fassung vom 18. Juni 2009 25 Deutscher Corporate Governance Kodex, Abschnitt 5.3.2 in der Fassung vom 18. Juni 2009


5 Motivation fr IT-gesttztes RisikomanagementBis vor einigen Jahren wurde Risikomanagement in den Unternehmen im Wesentlichen zur Erfllung gesetzlicher Vorgaben durchgefhrt. Insbesondere die deutschen Aktiengesellschaften waren mit der Einfhrung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 ( 91 II AktG) verpichtet, ein Risikofrherkennungssystem einzufhren mit einer entsprechenden Chancen- und Risikoberichterstattung, die zu verffentlichen ist. Das zugrundeliegende Risikomanagement dieser Unternehmen war zumeist high-level bzw. strategisch ausgerichtet, d.h., ein operatives Risikomanagement fand eher weniger oder gar nicht statt. Das Bilanzrechtsmodernisierungsgesetz (BilMoG) ging dann 2009 ber diesen Ansatz hinaus, indem der Begriff des Risikomanagementsystems eingefhrt wurde und jetzt insbesondere der Aufsichtsrat verpichtet wurde, sich mit der Wirksamkeit des RMS zu beschftigen ( 107 III AktG). Neuere Studien zeigen, dass die Anzahl der Firmen abnimmt, welche Risikomanagement im Wesentlichen aufgrund gesetzlicher Vorgaben verfolgen.26 Danach wird Risikomanagement zunehmend als unverzichtbares Instrument der Unternehmenssteuerung gesehen, wobei durchaus die damit einhergehende IT-Untersttzung als notwendig, aber auch als herausfordernd gesehen wird. Bei den Unternehmen auch im Mittelstand steigt die Einsicht, dass hier sog. Ofce-Produkte nicht mehr ausreichen, sondern dass es zunehmend professioneller Risikomanagement-Software bedarf, um die komplexen Risikozusammenhnge in den Unternehmen transparent zu erfassen und ihre Auswirkungen auf die Ertrags- und Vermgenslage zeitnah zu bewerten. Eine Studie von PricewaterhouseCoopers kommt zu dem Ergebnis, dass nur 38 Prozent der befragten Unternehmen eine professionelle Risikomanagement-Software einsetzen.27 Hier ist wohl noch groer Handlungsbedarf. Die Wirtschaftskrise der vergangenen Jahre scheint auch zu einem Umdenken bei den Verantwortlichen gefhrt zu haben. Whrend vorher eher Einzelrisiken mehr oder weniger isoliert bewertet worden sind, will man zuknftig Wechselwirkungen bercksichtigen und damit einen mehr ganzheitlichen Ansatz erreichen.28 Nicht zuletzt wird auch zunehmend ein funktionierendes Risikomanagementsystem als strategischer Wettbewerbsvorteil gesehen. Insgesamt sind folgende Motivationsfelder im Hinblick auf die Einfhrung und Ausgestaltung oder auch Verbesserung eines Risikomanagementsystems in der deutschen Unternehmenspraxis anzutreffen: > > > > > > Optimierung und Beschleunigung von Entscheidungsprozessen Minimierung von Schadensfllen und Haftungsrisiken Wirksameres Notfall- und Krisenmanagement Erzielung gnstigerer Kredit- und Versicherungskonditionen Erreichung einer besseren Unternehmensreputation am Markt Mehr Risikotransparenz und damit rechtzeitiges Gegensteuern in allen Kernprozessen eines Unternehmens (z.B. kostengnstige und sichere Beschaffung, weniger Produktionsausflle, bessere Ergebnisse im Treasury) > Schaffung einer Risikokultur mit positiven Auswirkungen auf die Unternehmensentwicklung und die Akzeptanz bei den Mitarbeitern

Seite 26

26 Studie Risikomanagement im Unternehmen, BeOne und Risk Management Association RMA e.V., Heise Verlag, Januar 2010 27 Vgl. PwC Studie Risk-Management-Benchmarking 2010, Seite 28 28 Vgl. auch die PwC Studie Risk-Management-Benchmarking 2010

Die im Folgenden dargestellten Rahmenbedingungen und Erfolgsfaktoren fr die Einfhrung von SAP BO Risk Management basieren auf den Erfahrungen durchgefhrter Implementierungsprojekte bei Unternehmen aus unterschiedlichen Branchen und unterschiedlicher Unternehmensgren. Dabei hat sich gezeigt, dass Projekte dieser Art als bergreifend anzusehen sind und nicht von der IT alleine durchgefhrt werden knnen. Aus diesem Grund ist es notwendig, alle Interessensgruppen frhzeitig einzubinden (z. B.: Fachbereichsverantwortliche, IT, Internal /External Audit). Fr eine erfolgreiche Projektdurchfhrung muss das Top-Management die Verantwortung tragen und das Projekt bei notwendigen Entscheidungen begleiten. Es hat sich als vorteilhaft erwiesen, frhzeitig die Einfhrungsstrategie festzulegen.

6.1 ORGANISATORISCHER RAHMENUm hier die richtige Lsung entwickeln zu knnen, muss in einem ersten Schritt die Unternehmung an sich und deren Geschftsfelder sowie die organisatorischen Rahmenbedingungen betrachtet werden. Da die inhrenten Risiken wesentlich vom Geschftsfeld beeinusst werden, sind die Risiken eines produzierenden Unternehmens andere als die eines Dienstleistungsunternehmens. Eine rein technische Implementierung ohne Betrachtung dieser Gesichtspunkte fhrt zu erheblichen Kosten, ohne das gewnschte Ziel die Bereitstellung eines effektiven und efzienten RMS/IKS zu realisieren. Hierfr ist eine Erhebung smtlicher Risikofelder und deren Gewichtung im Rahmen der Risikostrategie/Kontrollstrategie notwendig. Aufgrund der Komplexitt wird empfohlen, hier in Teilschritten vorzugehen, um frhzeitig Erfolge fr das Unternehmen und die beteiligten Mitarbeiter zu generieren.

6.2 RMS / IKS-METHODIKIm Folgenden wird die RMS/IKS Methodik beispielhaft dargestellt. Diese beschriebene Vorgehensweise ist grundstzlich auch relevant fr Unternehmen, die nicht der BilMoG oder SOX Gesetzgebung unterliegen, aber dennoch im Sinne einer guten Unternehmensfhrung wirksame Risikomanagement- und Kontrollmechanismen einrichten oder optimieren mchten. Welche Inhalte fr das Risikomanagement bzw. Kontrollsystem relevant sind, kann mittels eines Top-downAnsatzes ermittelt werden. In einem ersten Schritt sind die relevanten Bereiche festzustellen, die im Unternehmen betroffen sind. Externe Anforderungen ergeben sich nach herrschender Ansicht, zumindest mittelbar, aus 91 Abs. 2 AktG und den 76 Abs. 1, 93 Abs. 1 AktG. Wesentlicher Treiber fr die Inhalte eines Risikomanagementsystems ist darber hinaus die Strategie des Unternehmens mit den dafr erforderlichen Erfolgsfaktoren und den daraus abgeleiteten operativen Zielen. Risikomanagement wird hug auf nanzielle Risiken eingegrenzt. Dabei wird bersehen, dass eine Reihe weiterer Betrachtungsrume existieren:

Seite 27


6 Rahmenbedingungen/Erfolgsfaktoren

6 Rahmenbedingungen /Erfolgsfaktoren> Unternehmensstrategie (Dynamik der Mrkte und Globalisierung, Markteintritt neuer Wettbewerber) > Informationssysteme (Umsetzung von Compliance-Anforderungen, Untersttzung neuer Geschftsablufe, Wertbeitrag der IT) > Politische & geopolitische Einsse (wechselnde Politikziele, Terrorismus) > Umwelt & Gesundheit (Klimawechsel und Umweltverschmutzung, Seuchen) > Finanzen (schwankende Wechselkurse, vernderte Bilanzierungsregeln) > Betrieb (Unterbrechung der Fertigung, Ausfall eines Hauptlieferanten, Zerstrung einer Lagersttte) > Regeleinhaltung (Betrug, Produktsicherheit, nicht fristgerechte Umsetzung neuer Vorschriften) > Imageverlust Zur Umsetzung eines solchen ganzheitlichen IKS/RMS-Systems hat sich das COSO-Rahmenwerk als De-facto-Standard bewhrt. Bei COSO (Committee of Sponsoring Organizations of the Treadway Commission) handelt es sich um eine freiwillige privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensfhrung qualitativ zu verbessern. Gem des COSO-IC-Modells von 1992 umfasst ein internes Kontrollsystem fnf Komponenten. Im Jahr 2004 hat COSO das COSO-ERM-Framework als eine Ergnzung zu seinem ursprnglichen Modell publiziert und den Bereich Risikobeurteilung weiter untergliedert und so mittels der denierten acht Bestandteile prozessorientierter ausgestaltet: Internes Kontrollumfeld, Zielsetzung, Ereignisidentikation, Risikobeurteilung, Risikoreaktion, Kontrollaktivitten, Information und Kommunikation sowie berwachung. Es bietet sich zur Einfhrung eines IKS/RMS nach COSO die folgende Vorgehensweise an: 1. Kontrollumfeld: Die Unternehmenskultur als wichtiger Bestandteil des Kontrollumfelds bildet die Grundlage fr das Kontrollbewusstsein der Mitarbeiter. In diesem Zusammenhang ben die Faktoren Integritt, Ethik- und Sachkompetenz des Personals, Organisationsstruktur sowie der Fhrungsstil den grten Einuss aus. Der Aufbau eines Kontrollumfelds ist der entscheidende Schritt auf dem Weg zur Errichtung eines efzienten IKS/RMS. 2. Denition der Ziele: Das Management legt eindeutige Kriterien fest, anhand derer die Erreichung der strategischen Unternehmensziele gemessen werden kann. Bei den Zielen werden drei Gruppen unterschieden: Betriebliche Ziele wie Effektivitt und Efzienz der operativen Geschftsprozesse; Ziele der Berichtserstattung und Konformittsziele im Hinblick auf die Befolgung von Gesetzen und Vorschriften. 3. Evaluierung der Risiken: Organisationen sind einer Vielzahl von Risiken ausgesetzt, welche die Erreichung der Unternehmensziele im Hinblick auf die festgelegte Geschftsstrategie gefhrden knnen. Diese Risiken mssen identiziert, anhand ihres Schadenpotenzials und ihrer Eintrittswahrscheinlichkeit beurteilt und mittels entsprechender Kontrollen auf ein akzeptables Ma gemindert beziehungsweise gnzlich vermieden oder gar akzeptiert werden knnen. 4. Integration der Kontrollaktivitten: Zur Minderung des Schadens bzw. der Wahrscheinlichkeit des Eintritts eines Risikos sind bestimmte Manahmen und damit verbunden Kontrollaktivitten notwendig. Die entsprechenden Kontrollen nden in allen relevanten Organisationseinheiten und Prozessebenen statt und betreffen Ttigkeiten wie: Funktionstrennung, berprfen und Abstimmen, Genehmigung, Vermgensschutz. Um efzient zu sein, mssen die Kontrollaktivitten auch konsequent bis in alle Prozessschichten vordringen. Die in einem Reglement oder einer Weisung festgelegte Funktionentrennung muss sich neben der Unterschriftenregelung auch in der Form der Zugangsrechte zu Transaktionen und Informatikdaten uern.

Seite 28

5. Informations- und Kommunikationsmanagement: Zur Wahrnehmung von Verantwortung durch den Mitarbeiter mssen wichtige Informationen gesammelt, verarbeitet und zeitgerecht zur Verfgung gestellt werden. Das Informationssystem eines Unternehmens leistet in diesem Zusammenhang einen kritischen Wertbeitrag. Dieses kann die effektive und efziente Ausgestaltung eines IKS/RM aber nur untersttzen, wenn es von Seiten des Managements klare Vorgaben fr den Informationsuss von oben nach unten, von unten nach oben und quer durch das Unternehmen sicherstellt. 6. berwachung: Ein Internes Kontrollsystem ist kein Fhrungsinstrument, das einmalig in einer bestimmten und unabnderlichen Form errichtet wird. Bestimmte Vernderungen in den Unternehmensprozessen oder der Unternehmenskultur knnen Anpassungen notwendig machen. Aus diesem Grund muss das IKS/RMS periodisch berprft werden, um die Wirksamkeit und die kontinuierliche Nutzung auf allen Ebenen in der Organisation sicherzustellen.

6.3 RISIKO-GOVERNANCE UND RISIKOSTRATEGIESteigende Ansprche der Stakeholder, eine zunehmende Dynamik und Komplexitt des Umfelds und nicht zuletzt als eine Reaktion auf die jngste Finanz- und Wirtschaftskrise haben viele Unternehmen ihre Einstellung zum Risikomanagement gendert oder planen eine entsprechende Adjustierung ihrer Systeme. Damit Risikomanagement gezielt als ein Instrument der Unternehmenssteuerung eingesetzt werden kann, gilt es, die vorhandenen und oft gewachsenen Silos fr das Management von Risiken und Kontrollen zu einem unternehmensweit ausgestalteten System zu integrieren und die an Bedeutung gewinnenden Anforderungen an eine werte- und risikoorientierte Unternehmensfhrung zu untersttzen. Risikoorientierte Unternehmensfhrung beschreibt dabei einen ganzheitlichen Ansatz, der alle Funktionen, Bereiche und Prozesse eines Unternehmens umfasst.29 Ausgehend von einem gemeinsamen Konsens, dass ein Unternehmen, ohne Risiken einzugehen, nicht berlebensfhig ist, gilt es, die richtigen Risiken einzugehen, ohne dabei die Risikotragfhigkeit des Unternehmens zu berlasten, und so den Erfolg des Unternehmens nachhaltig und damit langfristig zu sichern. Dabei sind die Anforderungen an ein modernes Risikomanagement vielfltig: Es ist unternehmensweit eingefhrt, werteorientiert und nachhaltig. Nachhaltigkeit bedeutet in diesem Zusammenhang nicht, nur einen groen Nutzen durch efzienten Einsatz der Ressourcen zu bieten, sondern auch im Sinne einer Corporate Responsibility die Anforderungen eines erweiterten Kreises an Interessenvertretern zu bercksichtigen, wie seit der nderung des Deutschen Corporate Governance Kodex im Jahr 2009 gefordert wird.30 Risikomanagement dient also letztendlich dazu, das Erreichen der Unternehmensziele abzusichern und die Unternehmenswerte zu schtzen. Die Risiko Governance formuliert die Leitlinien des unternehmensweiten Risikomanagements, ihre Hauptbestandteile sind die Risikostrategie sowie die Anforderungen an eine Risikokultur, wobei Letztere darauf ausgerichtet sein sollte, Risikomanagement nicht als eine Funktion einzelner Mitarbeiter oder Bereiche, sondern vielmehr als eine Aufgabe der gesamten Belegschaft zu formulieren und Risikobewusstsein aktiv zu frdern. Der sog. Tone from the Top hat hier eine wichtige Vorbildfunktion: Nur wenn die Unternehmensfhrung Risikomanagement lebt, bildet sich bei den Mitarbeitern ein entsprechendes Bewusstsein. Dazu zhlen nicht zuletzt ein transparenter Umgang mit Risiken, ein offener Kommunikationsstil und regelmige Schulungen als ankierende Manahmen. Risiko beschreibt Planung unter Unsicherheit. Ein ganzheitliches Risikoverstndnis bedeutet Risiko als die volle Bandbreite positiver und negativer Abweichungen, um geplante oder erwartete Werte zu betrachten. Insbesondere sind negative Risiken, also Gefahren, unter denen die Nichterreichung eines Zieles verstanden wird, von Bedeutung. Der Schutz der Unternehmenswerte ist also das bergeordnete Ziel von

Seite 29

29 Vgl. Romeike, Hager: Erfolgsfaktor Risikomanagement 2.0, Seite 105f. 30 Vgl. Farbisch: Neuausrichtung des DCGK mit Schwerpunkt auf Nachhaltigkeitsmanagement, ZCG 3/10, Seite 119f.


6 Rahmenbedingungen /ErfolgsfaktorenRisikomanagement. Dies setzt einen bewussten Umgang mit Risiken in allen Bereichen voraus. Basis fr die Ausrichtung des Risikomanagements ist die Risikostrategie. Die Risikostrategie beschreibt die grundstzliche Haltung zur Erkennung von und zum Umgang mit Risiken. Die Risikostrategie als eigenstndiges Regelwerk ist aus der Unternehmensstrategie abzuleiten, um so das Risikomanagement an den Unternehmenszielen zu orientieren. Zugleich ist sie Ausgangspunkt fr die unternehmensweite Umsetzung des Risikomanagements. Die Risikostrategie stellt damit einen integralen Bestandteil unternehmerischen Handelns dar und ist daher analog zur Unternehmensstrategie regelmig zu berprfen, um daraus abgeleitete Vorgaben ggf. anzupassen und so deren Aktualitt zu sichern. Neben der Vision und den Zielen des Unternehmens beeinusst auch die jeweilige Branche, in der das Unternehmen ttig ist, bspw. ber spezische regulatorische Anforderungen, die Formulierung der Risikostrategie und damit die Ziele des Risikomanagements. Mgliche Bestandteile einer Risikostrategie knnen u.a. folgende Aspekte sein > Etablieren und strken eines Risikobewusstseins im Unternehmen > Denition der fr die Unternehmensperformance mageblichen Risikofelder > Harmonisierung gewachsener siloartiger Einzellsungen zu einem unternehmensweiten und integrierten Risikomanagement > Integration von Performance und Strategy Management mit dem Risikomanagement Mgliche Anforderungen und Ziele hinsichtlich der konkreten Ausgestaltung eines Risikomanagementsystems als Teile der Strategie sind bspw. > Steuerung und berwachung von Einzelrisiken > Aggregation der Einzelrisiken zur Gesamtrisikoposition und berwachung aller ergebnis- und bestandsgefhrdenden Risiken > Berichterstattung an den Risikoausschuss und die Geschftsfhrung > Funktionstrennung zwischen risikobernehmenden und risikosteuernden Akteuren einerseits (bspw. den Fachbereichen) und der Risikomanagementorganisation andererseits > Ad-hoc-Berichte > Regelmige berprfung der Wirksamkeit der Systeme > berwachung durch die interne Revision > Dokumentation der wesentlichen Elemente des Systems in verbindlichen Anweisungen Verantwortlich fr die Risikostrategie ist das Top-Management. Die starke Untersttzung der Unternehmensleitung ist fr das Etablieren eines nachhaltigen unternehmensweiten Risikomanagements unerlsslich.

6.4 GRC-ORGANISATIONCompliance- und Risikomanagement sind Aufgabenfelder, die das gesamte Unternehmen betreffen. Oft werden Mitarbeiter danach unterschieden, ob sie aktiv in das Risikomanagement involviert sind oder lediglich innerhalb der normalen Geschftsablufe ttig sind. Die Sichtweise ist nicht unproblematisch, da alle Mitarbeiter in Geschftsprozesse involviert sind, die sich auf die Erreichung der Unternehmensziele auswirken. Es ist daher von groer Wichtigkeit, dass Risikomanagement sowie das damit im direkten Zusammenhang stehende Compliance Management im Bewusstsein der Organisation und ihrer Mitglieder fest verankert ist. Die Aufsichtsorgane berwachen die Geschftsleitung und setzen Leitlinien fr das Management. In dieser Rolle deniert der Aufsichtsrat Werte hinsichtlich Integritt und Ethik. Zudem kommt dem Aufsichtsrat eine berwachende Funktion zu. Als Anforderung aus dem BilMoG ergibt sich fr den Aufsichtsrat die Picht zur

Seite 30

Prfung, ob seine Anforderungen erfllt wurden, indem er kontrolliert, ob die Geschftsfhrung ein wirksames Risikomanagement implementiert hat. Die oberste Geschftsfhrung ist unmittelbar verantwortlich fr alle Aktivitten im Unternehmen und dafr, dass ein RMS/IKS implementiert ist. Der Vorstand/CEO trgt die Gesamtverantwortung fr die Managementsysteme und muss fr die Schaffung eines gnstigen Kontrollumfeldes sorgen und durch die Aufstellung und Befolgung von unternehmensweiten Verhaltensregeln mit gutem Beispiel vorangehen. In zunehmendem Mae installieren Unternehmen zentrale Risikomanager, um das Risikomanagement in der Organisation zu verankern und fortzuentwickeln. Der zentrale Risikomanager sollte als Stabsstelle direkt dem Vorstand angegliedert sein und ist somit fr die Umsetzung der festgelegten risikopolitischen Vorgaben im Konzern verantwortlich. Als zentraler Risikomanager berichtet er sowohl dem Konzernvorstand als auch dem Risikoausschuss des Aufsichtsrats regelmig ber die Gesamtrisikolage der Organisation. Aber auch die Fhrungskrfte der Hauptgeschftsprozesse Rechnungswesen, Controlling, Einkauf, Fertigung und Vertrieb haben wesentlichen Einuss auf die einzelnen Bereiche des Unternehmens, da sie hug an unternehmensweiten Planungen und Budgetierungen beteiligt sind. Sie sollten daher in den Aufbau und den Betrieb des IKS/RMS eingebunden sein und als Prozessverantwortliche einen wesentlichen Beitrag zu Wirksamkeit der beiden Managementsysteme liefern. Diese Fhrungsebene verantwortet somit die Entwicklung und Umsetzung der internen Kontrollverfahren, die in ihrer Abteilung bzw. ihren Prozessen die Zielerreichung gewhrleisten sollen. Innerhalb der Geschftsbereiche sind lokale Risikomanager zu benennen, welche innerhalb eines unternehmensweiten Netzwerks an Risikomanagern organisiert sind und um Interessenskonikte zu vermeiden, organisatorisch direkt an den zentralen Risikomanger berichten. Eine weitere wichtige Einheit bildet die Interne Revision: zu deren Aufgaben die berprfung der Zuverlssigkeit und Integritt der Finanzinformationen, die Konformitt des Unternehmens mit gesetzlichen Anforderungen sowie die Wirtschaftlichkeit und Wirksamkeit der operativen Geschftsablufe gehrt. Des Weiteren prft und berichtet die Interne Revision regelmig ber die Wirksamkeit des unternehmensweiten RMS/IKS. Alle Mitarbeiter des Unternehmens sind explizit oder implizit beteiligt. Zum einen spielen praktisch alle Mitarbeitenden bei der Umsetzung der Kontrollen eine Rolle, sei es bei der Durchfhrung von Abstimmungen oder physischen Kontrollen, bei der Nachkontrolle von Anomalien oder Fehlern sowie bei der Analyse verschiedener Abweichungen oder anderer Leistungsindikatoren. Die Sorgfalt, mit der die Mitarbeitenden diese Ttigkeiten ausfhren, beeinusst direkt die Wirksamkeit des IKS. Zum andern sollten alle Mitarbeitenden angehalten werden, Verletzungen des Verhaltenskodex oder der internen Vorschriften und Weisungen sowie jede gesetzwidrige Handlung mitzuteilen. Hierzu bietet sich die Bestellung eines Ombudsmanns an. Zu den externen Teilnehmern am Risikomanagementprozess zhlen Wirtschaftsprfer und externe Auditoren, der Gesetzgeber und sonstige Regulierungsbehrden sowie Geschftspartner, externe Dienstleister, Finanzanalysten, RatingAgenturen und die Medien. Mit SAP BO GRC Risk Management knnen smtliche organisatorischen Strukturen in jeder gewnschten Detailtiefe dargestellt werden. Der jeweiligen Organisationsebene werden die entsprechenden Prozesse, Subprozesse und Kontrollen zugeordnet. Hierbei gibt es drei Mglichkeiten der Zuordnung (Kopie, Referenz und Ohne Kontrolle zuordnen). Die Zuordnungsmethode bestimmt, wie die zentral verknpften Daten des Prozesskatalogs zu den betreffenden Organisationen transferiert bzw. zugeordnet werden. Darber hinaus knnen auch direkt in der jeweiligen Organisationseinheit Kontrollen deniert werden. Unsere Empfehlung ist es, aus Grnden der bersichtlichkeit Kontrollen weitgehend referenzierend anzulegen. Dadurch werden bei einer zentralen nderung auch die Inhalte in der jeweiligen Kontrolle in den Organisationseinheiten gendert. Diese Vorgehensweise erfordert eine entsprechende Standardisierung in der Vorbereitungsphase.

Seite 31


7 Umsetzung des Risikomanagementprozesses in RMSAP BusinessObjects Risk Management untersttzt als Tool die Einfhrung eines geordneten, berichtsorientierten Risikomanagementprozesses in einer zentralen Installation. Dies kann auch in einer engen Abstimmung mit der Einfhrung eines internen Kontrollsystems stehen, welches als Bestandteil der GRC-Suite Teil einer umfassenden Lsung fr Governance Risk und Compliance ist. Besonderes Augenmerk der SAP-Lsung liegt hier auf der Untersttzung einer groen Anzahl von Benutzern, automatisierten Workows zur Koordination und Untersttzung von regelmigen Aktualisierungen des Datenbestandes, einem revisionssicheren System und automatisierten Datenerhebungen fr Risikofrhwarnindikatoren aus angeschlossenen Vorsystemen. Der untersttzte Prozess im Tool folgt der Methodologie aus Risikoplanung Risikoidentikation Risikoanalyse Risikogegenmanahmen treffen Monitoring und Reporting.

BERWACHUNG

Proaktives Risikomonitoring ber bestehende Geschftsprozesse und strategische Aktivitten

MASSNAHMEN

Entwicklung von Lsungsstrategien fr Toprisiken, um eine hohe Kapitalrendite zu erzielen

IDENTIFIKATION/ ANALYSE

Identizieren und Bewertung aller Toprisiken innerhalb des Unternehmens

PLANUNG

Festlegung von Toprisiken, Schwellenwerten und Risikobereitschaft

Risikomethodologie

Seite 32

7.1 GRUNDLEGENDE BERLEGUNGEN UND EINSTELLUNGENBevor ein Risikomanagementprozess im Unternehmen implementiert wird, ist es notwendig, sich im Vorfeld Gedanken ber verschiedene Aspekte des Prozesses zu machen und grundlegende Annahmen zu treffen, so z.B.: > Wer ist der Auftraggeber des Risikomanagementprozesses und was sind seine Erwartungen bezglich der Ergebnisse des Risikomanagements? > Welche Unternehmensbereiche und Prozesse sollen in das Risikomanagement einbezogen werden? > Welche Managementmethodologie soll untersttzt werden? > Welche Klassikation und Meldestufen werden im Unternehmen verwendet? > Welche Berichtsfrequenz und welche Berichtsumfnge sind zu untersttzen? > Wie viel Risikoexposure kann sich das Unternehmen leisten ohne in eine bestandsgefhrdende Situation zu gelangen? All diese Fragen werden im Allgemeinen VOR Beginn der Implementierung zu klren sein, indem man den Scope des Implementierungsprojektes festlegt. Nheres dazu im Kapitel Business Blueprint weiter unten. Eines der Hauptziele von SAP BO Risk Management ist ein unternehmensweites konsistentes Berichtswesen ber Risiken und ihre Gegenmanahmen hinweg. Zur Sicherstellung dieses konsistenten Berichtswesens mssen in der Startphase des Implementierungsprojektes Einstellungen festgelegt werden. Das betrifft zentrale Einstellungen wie: > Wie viele Risikostufen sollen verwendet werden, z.B. 3 (niedrig, mittel, hoch), oder ist eine feinere Abstufung gewnscht? > Wie viele Stufen in der Eintrittswahrscheinlichkeit sind gewnscht? > Welche Benutzer/Rollen nehmen am Risikomanagementprozess teil? > Welche Schadenskategorien sollen verwendet werden, um eine einheitliche Nomenklatur zu erreichen? > Welche Analyseverfahren werden im Unternehmen angewendet (z.B. qualitative, quantitative oder gemischte Analysen)? > Ist eine Integration mit dem internen Kontrollsystem gewnscht? Hierbei knnen dann interne Kontrollen als Risikogegenmanahmen hinterlegt und bewertet werden All diese Einstellungen im Einfhrungsleitfaden haben einen zentralen und verbindlichen Charakter fr den spteren operativen Betrieb des Risikomanagementsystems. SAP liefert beispielhaft Einstellungen ber BC-Sets aus, die auf den Empfehlungen des Customer Advisory Ofces basieren. Diese knnen im Implementierungsprojekt bernommen werden.

Seite 33


7 Umsetzung des Risikomanagementprozesses in RM

GRC-Einstellungen im IMG 1

Seite 34

7.2 ERSTELLEN DER ZENTRALEN KATALOGENachdem die grundstzlichen Systemeinstellungen ber den IMG getroffen wurden, ist es notwendig fr ein unternehmensweites System die entsprechenden Klassizierungen und zentralen Kataloge aufzubauen. Dies betrifft die Organisationsstruktur mit ihren relevanten Einstellungen fr das Risikomanagement, den Katalog der Risikoklassizierungen, den Katalog der Unternehmensziele, den Katalog der gemeinsamen Gegenmanahmenvorschlge etc. All diese Kataloge knnen entweder von Hand ber Webmasken eingepegt werden, oder ber File-UploadSchnittstellen als csv-Dateien in das System en bloc hochgeladen werden. Die Struktur speziell der Organisationshierarchie ist wichtig, denn sie deniert auch die Berechtigungen innerhalb der Applikation. In SAP BO Risik Management knnen alle organisatorischen nderungen leicht nachvollzogen werden, denn sie sind zeitlich abgegrenzt und knnen ber die Webmaske leicht gendert werden. Durch die Stammdaten-Integration innerhalb GRC knnen auch Organisationseinheiten des internen Kontrollsystems verwendet werden, eine Doppelpege und damit potenzielle Dateninkonsistenz ist damit ausgeschlossen.

Pege der Organisationsstruktur 1

Seite 35


7 Umsetzung des Risikomanagementprozesses in RMFr jede dieser Organisationseinheiten werden nachfolgend die relevanten Einstellungen fr das Risikomanagement getroffen. Insbesondere sind hier die Schwellwerteinstellungen von Interesse, die festlegen, wie die Risikostufen pro Organisationseinheit berechnet werden. Es ist natrlich von der Gre und dem Geschftsvolumen einer Organisationseinheit abhngig, ab welcher Hhe ein Schaden als bestandsgefhrdend gilt. Somit kann auch fr kleinere Geschftseinheiten ein lokales angepasstes Berichtswesen ermglicht werden.

Pege der Schwellwerte Schadensstufen 1

7.3 ZIELMANAGEMENTEs ist zunehmend wichtig, Risikomanagement nicht allein zu betreiben, sondern es in den Kontext unternehmerischen Handelns zu stellen, um die Relevanz der Risikoinformation klar herauszustellen und dem Management klarzumachen, welche Unternehmensziele derzeit stark risikobehaftet sind. In einigen Risikodenitionen spricht man auch dediziert vom Risiko als potenzieller Abweichung von der Zielerreichung eines Performance-Indikators. Um diesen Prozess zu untersttzen, ist es mglich, in SAP BO Risik Management die Risiken mit Unternehmenszielen zu verknpfen.

Seite 36

Setzt man dieses konsequent um, hat man einen Prozess prventiven Strategiemanagements etabliert, und damit schafft ein strategisches Risikomanagement einen

BESt-PRACtiCE-LEitfADEn zuR EinfühRunG DER. SAP BuSinESSOBjECtS GRC-LöSunGEn

Documents

Transcript of BESt-PRACtiCE-LEitfADEn zuR EinfühRunG DER. SAP BuSinESSOBjECtS GRC-LöSunGEn