Governance, Risk and Compliance ‑ CFO und CIO in der Pflicht

Governance, Risk and Compliance – CFO und CIO in der Pflicht Werner Keller, Vice President Sales Financial Services & Service Industries ORACLE Deutschland GmbH Die jüngste Kapitalmarktkrise hat wieder einmal gezeigt, dass die Bedeutung von Governance, Risk and Compliance (GRC) für Unternehmen höchste Priorität haben muss und sogar den Lebensnerv von Unternehmen trifft. GRC muss künftig zum Standard in Unternehmen und zuverlässig, effektiv und dabei kosteneffizient umgesetzt werden. Dies ist nur mit einer leistungsfähigen IT möglich, denn ständig neue Gesetze und damit verbundene Kostensteigerungen für die Umsetzung sowie ein stark gestiegenes Haftungsrisiko für Vorstände und Aufsichtsräte erfordern durchgängige, integrierte und automatisierte GRC-Prozesse, die durch ein umfassendes Anwendungsportfolio voll und ganz unterstützt werden. Finanz- und IT-Abteilung vor gemeinsamer Herausforderung Nach der Verabschiedung des Sarbanes-Oxley Act im Jahr 2002 richteten sich alle Augen auf die Corporate Governance. Die Gesetzgebung, bei der es in erster Linie um die transparente Darstellung und Prüfung von Finanzinformationen geht, stellt klare Anforderungen an Geschäftsprozesse, Unternehmensrichtlinien, Berichterstattung und Prüfung. Es handelt sich dabei jedoch nur um den letzten Schritt in einer Reihe nationaler und internationaler Gesetze, die den Rahmen für transparente und effektive Corporate Governance geschaffen haben. Da die überwiegende Mehrheit der Finanzinformationen eines Unternehmens in IT- Anwendungen gespeichert ist, können die damit verbundenen Prozesse und die Berichterstattung darüber unmöglich isoliert von der IT-Infrastruktur des Unternehmens betrachtet werden. Und doch geschieht genau dies in den meisten Unternehmen. Mangelnde Zusammenarbeit zwischen der Finanz- und der IT-Abteilung behindert die Compliance-Aktivitäten und setzt die Unternehmen unnötigen Risiken aus. Bei vielen der Verfahren, die jetzt durch Sarbanes Oxley vorgeschrieben sind, handelt es sich um nichts anderes als anerkannte Best-Practice-Methoden, deren Anwendung viele Aktionäre ohnehin erwarten. Dennoch bereitet die Einhaltung dieser Verfahren zum Beispiel in den USA vielfach immer noch Schwierigkeiten. Im letzten Jahr reichten 1.876 Unternehmen bei der Securities and Exchange Commission (US-Aufsichtsbehörde für Wertpapierhandel) 1 berichtigte Gewinnzahlen ein, verglichen mit 1.296 Unternehmen im Jahr 2005 und 650 im Jahr 2004 (Glass, Lewis and Co) 2 . Im Jahr 2001, als das Sarbanes-Oxley-Gesetz noch nicht in Kraft war, gab es nur 452 Korrekturmeldungen 3 . Aber auch viele europäische Unternehmen sind betroffen. Compliance durch IT unterstützen CFOs müssen einige grundsätzliche Dinge beachten, wenn ihr Unternehmen die regulatorischen Anforderungen erfüllen soll, die an seine Finanzberichte gestellt werden: • Richtlinien – Einführung und Verankerung der erforderlichen Richtlinien und Verfahren 1 Entnommen aus Restatements set record in 2006, WebCPA, 13. Februar 2007 2 Entnommen aus Restatements surged in 2005, says study, CFO.com, 3. März 2006 3 Entnommen aus Restatements set record in 2006, WebCPA, 13. Februar 2007 1 • Wechselseitige Kontrollen – Einrichtung von Kontrollen für Arbeitsabläufe, Transaktionen und Genehmigungen im Unternehmen, Einführung rigoroser Reporting- und Prüfprozesse und klare Aufgabenteilung • Sicherheit – Übernahme der Verantwortung für den Datenschutz und die Gewährung angemessener Zugangsrechte für die Mitarbeiter entsprechend ihren Funktionen und Zuständigkeiten IT-Systeme liefern den Rahmen für das Management all dieser Anforderungen. Die Automatisierung von Geschäftsprozessen, Transaktionen und Genehmigungen ermöglicht die unternehmensweite Einführung standardisierter Verfahren, die die Einhaltung der Richtlinien unterstützen. Je mehr ein Unternehmen diesen Datenstrom automatisiert, desto besser sind die Kontrollen und desto geringer ist die Gefahr regelwidriger Transaktionen. Standardisierte Prozesse sind zudem äußerst wertvoll zur Unterstützung der Integration eigenständiger Unternehmen bei Fusionen und Übernahmen, da sie eine Vorlage für das Gesamtunternehmen liefern. Für die wechselseitigen Kontrollen stellen Reporting-Tools klare Prüfprotokolle der Aktivitäten zur Verfügung und sind in der Lage, von der Normalität abweichende Vorgänge zu erkennen. In Bezug auf die Sicherheit liefert die IT Erkenntnisse, wie Informationen in den Systemen eines Unternehmens verwaltet, gespeichert, gesichert, aufbewahrt und abgerufen werden. Ein zentrales Element dieser Tätigkeit ist die Steuerung des Systemzugangs der Datenbank-Administratoren, um sicherzustellen, dass sie keine uneingeschränkte Kontrolle und keinen Zugang zu vertraulichen Informationen haben. Die Informationssysteme können Tests durchführen, um zu gewährleisten, dass die Systeme und Prozesse des Unternehmens die vorgeschriebenen aufsichtsrechtlichen Bestimmungen erfüllen. IT als strategisches Rückgrat von Unternehmen Die IT ist von einer Support-Funktion zur Steigerung der Produktivität zu einem zentralen Element geworden, das von größter Bedeutung für die Geschäftsabwicklung ist und ohne das Unternehmen nicht mehr bestehen könnten. In Branchen wie dem Banken- und Versicherungswesen, der Kommunikations-, Medien- und Versorgungsbranche erfolgt die Interaktion zwischen Kunden und Lieferanten häufig ausschließlich elektronisch. Deshalb ist es für Unternehmen wichtiger als je zuvor, dass ihre IT-Infrastruktur sicher, zuverlässig, effizient und regelkonform arbeitet. Im Zuge des Wandels zu einer strategischen Funktion muss die IT konsequent an den geschäftlichen Erfordernissen ausgerichtet werden. Die IT-Abteilung muss die strategischen Unternehmensziele verstehen, IT-Investitionen unter Berücksichtigung dieser Ziele priorisieren und sicherstellen, dass IT-Projekte die gewünschte Funktionalität und den erwarteten Nutzen aufweisen. Dazu gehört auch, dass die IT-Abteilung in der Lage sein muss, Anträge auf neue Projekte zurückzuweisen, wenn diese Projekte für die strategischen Ziele der Organisation nicht relevant sind. Ebenso muss sie das Unternehmen darüber aufklären, was mit den vorhandenen finanziellen Mitteln und Ressourcen in der verfügbaren Zeit erreicht werden kann und was nicht. Eine enge Zusammenarbeit zwischen dem CIO und dem CFO ebnet den Weg für eine Erfolg versprechende Kommunikation darüber, wie die IT-Abteilung die strategischen Bedürfnisse des Unternehmens am effektivsten unterstützen kann. 2 Gut für das Geschäft Die Aktienperformance von Unternehmen, die in den Jahren 2004 und 2005 keine wesentlichen Schwächen im Sinne von SOX aufwiesen, stieg um 28 %, während der gleiche Wert bei Unternehmen, die in beiden Jahren deutliche Schwächen zu vermelden hatten, um 6 % zurückging (Lord & Benoit) 4 . In einem Bericht der Economist Intelligence Unit war zu lesen, dass gute Corporate Governance (58 %) und die Transparenz der Unternehmensaktivitäten (51 %) für die befragten Führungskräfte zu den drei wichtigsten Aspekten verantwortlicher Unternehmensführung gehören. Bei den institutionellen Anlegern waren diese Zahlen sogar noch höher. 5 Die Einrichtung geeigneter Compliance-Verfahren bewirkt mehr als nur die Vermeidung von Ärger mit den Aufsichtsbehörden – sie stützt den Aktienkurs und führt zu einer besseren Wahrnehmung bei Anlegern und anderen Stakeholdern im Markt: Unternehmen, die GRC beherrschen, haben die besten Voraussetzungen, erfolgreich zu sein. Mit der umfassenden GRC-Managementlösung von Oracle investieren Unternehmen damit in ihre Zukunft. Informieren Sie sich hier über den Oracle Governance, Risk and Compliance Manager Oracle Governance, Risk and Compliance Manager ist eine der weltweit umfassendsten GRC-Managementlösungen, geeignet für Unternehmen jeder Größe unabhängig von Standort und Branche. Nur Oracle bietet eine so umfassende GRC-Managementlösung. Erzielen Sie: Ihr Vorteil: Kosten- und Risikokontrolle durch Durch das Management von mehreren Compliance- umfassende GRC-Anwendungen Anforderungen in einer einzigen Plattform reduzieren sich Kosten und Komplexitäten. Für alle Abteilungen und Standorte steht eine einzige Informationsquelle zur Verfügung. Tests, das Auditing und das Berichtswesen lassen sich in einer einzigen Umgebung integrieren. Eine automatisierte Durchsetzung Durch Sicherheitsfunktionen und Richtlinien zur der Vorschriften durch beste GRC- Aufbewahrung der Daten lassen sich Risiken mindern Infrastruktur ihrer Klasse und zweckdienlich verwalten. Im Unternehmen definierte Kontrollmechanismen dienen der Zugriffskontrolle und erzwingen die Aufgabentrennung (Segregation of Duties - SoD). Durch kumulierte Funktionen für Auditing und Berichtswesen lässt sich die Compliance nachweisen. Eine klare Definition der Echtzeitfunktionen für Kommunikation und Verantwortlichkeiten durch Zusammenarbeit verbessern die Performance.