• jobs.nzz.ch
  • Neue Zürcher Zeitung
    Neue Zürcher Zeitung

    Webpaper

    E-Paper

    Die Ausgabe von heute, optimiert für Smartphones, Tablets und Computer Webpaper lesen

    Die Ausgabe von heute, abgebildet im klassischen Zeitungslayout E-Paper lesen

    Weitere Informationen
  • NZZ am Sonntag
    NZZ am Sonntag

    Webpaper

    E-Paper

    Die Ausgabe von heute, optimiert für Smartphones, Tablets und Computer Webpaper lesen

    Die Ausgabe von heute, abgebildet im klassischen Zeitungslayout E-Paper lesen

    Weitere Informationen

IT-Governance aus der Sicht der Revision

Rundsicht
jobs.NZZ.ch IT Governance aus Sicht der Revision

Bild: Fotolia


IT ist von einem Hilfsmittel zu einem strategisch zentralen Instrumentarium für fast jedes Unternehmen und jede Unternehmensgrösse geworden. IT-Probleme, IT-Versäumnisse und IT-Investitionen sind nicht nur für den internen Informationsfluss relevant, sondern entfalten ihre Wirkung über die gesamte Wertschöpfungskette mit gewaltigen finanziellen Auswirkungen. Neben geschäftsmodellrelevanten technischen Fragestellungen treten auch immer stärker regulatorische Vorschriften in das ganze Gefüge, und nicht nur aus dem Heimatland. Damit wird IT-Governance immer mehr zu einer existenziellen Aufgabe des Verwaltungsrats.

Thomas Braun, Gründer der Sokrates Group und Mitbegründer des VR-Netzwerk.ch im Gespräch mit Angelica Bienz, Inhaberin der Firma Audit & Risk GmbH 

Thomas Braun: Wie ist die IT-Governance im schweizerischen Recht verankert?

Angelica Bienz: Die Grundgesetze der Schweiz wie beispielsweise das Obligationenrecht äussern sich nicht explizit zur Informatik. Auch der englische Begriff “Governance” kommt in diesen Gesetzen nicht vor.

Heisst das nun, der Verwaltungsrat braucht sich nicht um die Informatik zu kümmern?

Nein, absolut nicht! Es gibt eine Vielzahl von gesetzlichen Regelungen, die auch in der Informatik zu gelten haben, wie beispielsweise der Grundsatz von Treu und Glauben, oder auch gesetzliche Bestimmungen zum Schutz des Individuums und zum Umgang miteinander in der Gemeinschaft. Das Rechtsempfinden der Menschen wird zum Teil durch die Informatik gestört, insbesondere wenn sie damit manipuliert oder blossgestellt werden. In diesem Zusammenhang ist das Gerichtsurteil des europäischen Gerichtshof im Fall Google und Suchmaschine wegweisend. Hier wurde auf Basis bestehender gesetzlicher Regelungen ein Recht auf “Vergessenwerden” und somit auf die Löschung von persönlicher Informationen im Internet abgeleitet. Die Gerichte haben die Aufgabe, die bestehenden, und zum Teil Jahrhunderte alten Grundsätze, bzw. Gesetze auf die neue technologisierte Welt anzuwenden. Alle Rollen in einer Organisation, insbesondere die obersten Leitungsorgane von Unternehmens sind heute mehr denn je herausgefordert, die historisch gewachsenen Grundsätze und Werte, die in der Rechtsordnung und in Gesetzen verankert sind, (in deren ursprünglichen Sinn und Geist) auf die neue Umwelt anzuwenden. Ansonsten setzen sich Verwaltungsräte potentiellen Gefahren aus, weil man ihnen und ihrem Unternehmen pflichtwidrigen Verhaltens vorwerfen kann.

Was heisst dies nun für die IT-Governance von Unternehmen?

Governance steht für mich für Unternehmensführung, und beinhaltet für mich Transparenz, Klarheit, Ordnungsmässigkeit, Gesetzmässigkeit und Effizienz in den Entscheidungsprozessen, vor allem auf den oberen Führungsetagen. Dies gilt natürlich auch für die immer wichtiger werdende IT. Auch hier gilt es transparente nachvollziehbare Entscheidungsprozesse in den verschiedenen Unternehmen zu etablieren. Und dies bis auf Stufe Verwaltungsrat. Früher orientierte man sich in der Unternehmensführung vor allem an den Eigentümerinteressen, an den Aktionären. Kennzahlen wie z.B. ROE waren das Credo. Heute heisst es “gute verantwortungsvolle Unternehmensführung” (Integrated Corporate Governance). Diese Führung ist auf die Erwartungen der wichtigsten Stakeholder ausgerichtet. Dies umfasst nicht nur den Aktionär, sondern auch Kunden, Lieferanten, Mitarbeiter und die Öffentlichkeit. Dieses neue Verständnis zeigt sich auch bei den Änderungen im Swiss Code of Best Practice for Corporate Governance. Vor allem für die Öffentlichkeit wird dies immer wichtiger, u.a. weil die neuen Medien sehr sensibel und meinungsbildend agieren können.

Warum muss IT Governance im VR wahrgenommen werden? Warum kann das nicht an die GL delegiert werden mit der Begründung, dass ja die IT der operativen Basis genügen muss?

IT Governance bedeutet für mich als Revisorin, dass der Verwaltungsrat seine ihm gesetzlich übertragenen Verantwortlichkeiten wahrnimmt, auch in Bezug auf die Informatik. Der Artikel 716a im Obligationenrecht definiert die undelegierbaren Aufgaben eines Verwaltungsrats. Obwohl dort nichts von IT Governance steht, geht es eben heutzutage vor allem darum, dass er diese Verantwortlichkeiten auf die neue technologische Welt appliziert/anwendet. Dies ist die Erwartung der Stakeholder an den Verwaltungsrat, gesetzlich verankert in 716a OR. . Dieser Artikel widerspiegelt das Rechtsempfinden, nämlich das, was die Gemeinschaft als richtig und ordentlich auf Stufe des Verwaltungsrat erachtet. Und, weil die Informatik die Unternehmen und die Wertschöpfungsketten heute voll durchdringt und viele Prozesse im Unternehmen auf Informationstechnologien basieren, muss sich auch der Verwaltungsrat darum kümmern.

Wie kann ein VR nun seine Verantwortung in der IT Governance wahrnehmen?

Indem er seine gesetzlich verankerte Funktion der Oberleitung auch in Bezug zur Informatik wahrnimmt. Dies bedeutet, er kann nicht alles an die Geschäftsleitung delegieren. Aber es heisst auch nicht, dass er sich um jedes Detail in der Informatik zu kümmern braucht. Er hat insbesondere für eine gute Governance, für gute Entscheidungsprozesse zu sorgen. Dies beinhaltet beispielsweise das Festlegen klarer Kompetenzen und Freiheiten, auch in Bezug zur Informatik. Noch wichtiger ist dann dafür zu sorgen, dass gemäss diesen Governance Strukturen, nach seinen Anweisungen, gelebt und gehandelt wird. Macht er dies nicht, setzt sich der Verwaltungsrat persönlichen Gefahren und Risiken aus, neben dem dann meistens einhergehenden Imageschaden.

Wie schützt die Revision den VR, bzw. das VR-Gremium?

Ein wichtiges Schutzinstrument für den Verwaltungsrat, vor allem in grösseren Unternehmen, ist die interne und externe Revision. Meine Erfahrung aus der praktischen Arbeit mit VRs ist, dass diese nicht so genau wissen, was die interne und externe Revision für ihren Schutz bereits tut, bzw. tun könnte. Weil viele Prozesse, so beispielsweise auch die Buchhaltung, mit Hilfe der Informatik abgewickelt werden, ergeben sich daraus beispielsweise auch prüferische Pflichten für die Revisionsstelle. Im Weiteren hat der Gesetzgeber in Art. 728a Obligationenrecht verankert, dass bei der Prüfung der Jahresrechung auch zu überprüfen ist, ob ein internen Kontrollsystem existiert. Ein solches beinhaltete heutzutage auch die generellen Informatik -und Applikationskontrollen. Die externe Revision funktioniert mit ihrer Prüfung der Jahresrechnung vor allem im Interesse der Geldinvestoren und Gläubiger. Die interne Revision hingegen arbeitet vor allem für den Schutz des Verwaltungsrats und des Unternehmens. Der Leistungsumfang der internen Revision ist deshalb viel breiter und deshalb spezifisch auf die Bedürfnisse und gesetzlichen Aufsichtspflichten des Verwaltungsrats ausgerichtet. Dem Audit Committee im Verwaltungsrat kommt bei der Arbeit der Revision eine Schlüsselrolle
zu. Es sorgt primär für den qualitativen Schutz durch die Revision und zwar im Interesse des Gesamtverwaltungsrats.

Was kann nun der Verwaltungsrat konkret tun? Was wären so die ersten Schritte?

Ein wichtiger Schritt wäre sicher, eine Berichterstattung durch das für die Informatik verantwortlichen Geschäftsleitungsmitglied zu etablieren, wie ihn bereits viele Unternehmen mit dem CFO kennen. Doch dies reicht noch nicht. Wichtig, wie bei den Zahlen des CFO ist, dass der Verwaltungsrat für Entscheidungen neben der Meinung der Geschäftsleitung noch eine objektive unabhängige Sichtweise wie es die Berufsstandards der internen und externen Revision fordern, einholt . Ansonsten besteht die Gefahr, dass Geld für IT Projekte ausgegeben wird, die einer näheren objektiven Prüfung nicht standhalten. Als einen weiteren Schritt drängt sich die Integration der Informatikstrategie und damit der IT Governance Prozesse in die Gesamtstrategie des Unternehmens auf. Viele Verwaltungsräte beschäftigen sich im Rahmen von Workshops mit ihrer strategischen Führungsaufgabe. Ein recht gutes Hilfsmittel für solche Workshops ist das am Swisscom Anlass präsentierte Sokrates Map Konzept. Mit diesem Konzept lassen sich die verschiedenen strategischen Fragestellungen systematisch und strukturiert besprechen und die relevantesten Optionen effizient herauskristallisieren. Dass damit heutzutage auch IT strategische Fragestellungen verknüpft sind, ist ja klar. Die im Rahmen des Swisscom Anlasses präsentierte IT Governance Landkarte gibt dazu gute Hilfestellung. Im Weiteren kann diese dann auch gerade als Prüflandkarte durch die Revision weiterverwendet werden.

Was sind die Haupttreiber der Risiken in der IT Governance?

Es sind die täglich zunehmende Komplexität und die täglich zunehmende Veränderungsgeschwindigkeit. Die IT Entwicklung selbst ist ein Treiber und vernetzt und beschleunigt die Geschäftsprozesse nicht nur in der eigenen Organisation, sondern auch organisationsübergreifend. Die Arbeit als Verwaltungsrat und die ihn schützende interne Revision wird dadurch auch ständig anspruchsvoller – Langweile wird bis auf weiteres nicht mehr aufkommen.

 

Angelica Bienz

ist geschäftsführende Inhaberin der Firma Audit & Risk GmbH. Sie unterstützt den Verwaltungsrat, das Management sowie deren Stabstellen zu Themen der Corporate Governance, der Revision, des Risikomanagements und des internen Kontrollsystems.

Thomas Braun

leitet die international tätige SokratesGroup. Sie ist spezialisiert komplexe und sich schnell ändernde Fragestellungen in gehirngerechte Informationen aufzubereiten, so dass die Verantwortungsträger innert Minuten sich einen Überblick kombiniert mit umfassenden Detailinformationen verschaffen können.

0 Kommentare

Diesen Artikel kommentieren

Ihr Beitrag wird nach Prüfung veröffentlicht. Beleidigende, rassistische, nicht in Schriftsprache verfasste oder nicht sachbezogene Beiträge werden gelöscht.

* Pflichtfelder