Corporate Compliance für den Mittelstand (Fortsetzung)

Die Geschäftsanforderungen an die Leistungsfähigkeit des zu etablierenden Risikomanagements werden in einem gemeinsamen Strategie-Workshop von Unternehmen und IT-Dienstleister sowie anhand einer aus der Balanced Scorecard abgeleiteten Methode erarbeitet. Die daraus erarbeiteten Ergebnisse ergänzen und spezifizieren die für das Unternehmen geltenden rechtlichen Aspekte und bilden den Anforderungskatalog an das Risikomanagement. Anhand dieser Anforderungen wird nun das Cobit-Framework herangezogen, das Referenzprozesse und Kontrollen zur Verfügung stellt. Dies gewährleistet ein wirkungsvolles IT-Risikomanagement. Für die Einführung des Gesamtwerkes von Cobit spricht natürlich der daraus resultierende Wettbewerbs- und Kostenvorteil. Damit aber mittelständische Unternehmen die Anforderungen der Corporate Governance-Richtlinien nach dem Minimalprinzip erfüllen und die daraus resultierenden Vorteile ausschöpfen können, genügen lediglich einige elementare Kontrollen aus dem reichhaltigen Angebot von Cobit. Nach Identifikation geeigneter Kontrollen müssen diese mit einer Projektmethodik operativ umgesetzt werden. Dies kann etwa über die Projektmanagementmethode Prince2 realisiert werden. Für den Betrieb der IT-Organisation hat sich ITIL als eine Art Standard Service-Management-Methode durchgesetzt. Auch hier muss die umfassende Methode, die alle Aspekte einer großen IT-Organisation berücksichtigt, an die Anforderungen des Mittelstands angepasst werden. Allein durch das Zusammenfassen und Anpassen von Rollen, Support- und Delivery-Prozessen können mittelständische Organisationen das ITIL-Framework sinnvoll nutzen, ohne dass zuviel organisatorischer Aufwand entsteht. Da ITIL einen großen Teil der geforderten Maßnahmen abdeckt, ist für Organisationen, die ITIL bereits vollständig oder teilweise eingeführt haben, der Weg zur Corporate Compliance um ein Vielfaches leichter. Ein weiterer wichtiger Aspekt von Corporate Compliance ist das Erfüllen aller sicherheitsrelevanten Anforderungen, die unternehmens- und branchenspezifisch variieren. Dazu können in Unternehmen sogenannte »Security Health Checks« auf Grundlage des BSI Grundschutzhandbuchs durchgeführt werden. Sicherheitslücken können identifiziert und durch nachgelagerte organisatorische und technische Maßnahmen behoben werden. Durch das somit geschaffene praxisorientierte, interne Kontrollsystem entstehen für mittelständische Gesellschaften nur minimale Kosten bei der Umsetzung der Anforderungen. Diese stehen in einem gesunden Verhältnis zur Leistungsfähigkeit. Alles in allem, benötigt ein gut organisierter IT-Betrieb meistens nur einige überschaubare Anpassungen und ­Optimierungen bestehender »Bordmittel«, um so zusätzliche Produktivitätspotenziale in Aufbau- und Ablauforganisation aufzudecken.

Stephan Brendel ist Leiter Consulting bei arxes NCC