Als wir vor zehn Jahren mit der Einführung erster Management- und Kontrollsysteme zur IT-Governance begannen, war noch nicht klar, wohin uns dieser Weg führen würde. Im Laufe der Zeit entstanden zahlreiche Richtlinien und Verfahrensanweisungen, teils in Form von Dokumenten, teils als Einträge in Wikis. Risikolisten wurden in Excel erstellt. Interne und externe Prüfungen des Information Security Management Systems (ISMS) und des Internen Kontrollsystems (IKS) wurden dokumentiert und Listen mit Feststellungen verwaltet. Die Geschäftsentwicklung der letzten Jahre bescherte uns zahlreiche Auslagerungen der Systeme von Kunden aus regulierten Branchen in die Obhut unserer Rechenzentren. Dies wiederum brachte regelmäßige Besuche vieler Revisoren und Prüfer mit sich, die als Ergebnisse ihrer Arbeit Prüfungsprotokolle und Listen von Feststellungen hinterließen.
Phase 1: Standardisierung
Auch bei der IT-Governance handelt es sich um Geschäftsprozesse, deren Optimierung mit Hilfe von Standardisierung und durch IT-Unterstützung möglich ist. Damit IT-Governance mit dem Wachstum eines Unternehmens Schritt halten kann, ist nach unserer Erfahrung die Standardisierung der folgenden Bereiche unerlässlich:
1. Die Vereinheitlichung der Governance-Struktur, d.h. die Schaffung eines Kontrollrahmens mit Kontrollzielen, welche im Einklang mit den Unternehmenszielen stehen. Weiterführend braucht es sogenannte Kontrollen, das sind unternehmensspezifische Maßnahmen, die von der IT-Organisation exakt wie beschrieben praktiziert werden müssen, damit das Erreichen der Kontrollziele sichergestellt ist. In diesem Kontrollrahmen müssen sich auch alle vom Unternehmen einzuhaltenden Industriestandards wiederspiegeln, z.B. Managementsystem-Standards oder ITIL, sowie regulatorische Vorgaben, z.B. nach MaRisk oder BAIT. Kontrollen sind eine wichtige Sollvorgabe, einerseits für die ausführenden Unternehmensbereiche und andererseits für die Prüfer.
2. Die Zusammenlegung kundenindividueller Prüfungshandlungen zu Sammelprüfungen. Das von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) empfohlene Konzept der Pooled Audits für Mehrmandanten-Dienstleister bringt Vorteile für alle Beteiligten. Ein IT-Dienstleister wie PASS muss sich nicht zahlreichen einzelnen Audits seiner Kunden unterziehen, die letztendlich alle nur die Einhaltung der gleichen regulatorischen Anforderungen überprüfen. An deren Stelle steht eine einzige Prüfung durch ein anerkanntes Prüfungsunternehmen. Die Kunden sparen eigenen Prüfungsaufwand ein und erhalten idealerweise einen qualitativ hochwertigen und standardisierten Prüfbericht als Grundlage ihrer eigenen Dienstleistersteuerung.
Phase 2: IT-Unterstützung
PASS hat vor zehn Jahren damit begonnen, Tools zur Unterstützung seines Informationssicherheits-Managementsystems (ISMS) und seines Risikomanagementsystems (RMS) zu entwickeln. Bei diesen Ansätzen stand einerseits die Kollaboration zahlreicher Asset Owner innerhalb der PASS-Gruppe im Vordergrund, andererseits aber auch eine datengetriebene, möglichst intelligente Unterstützung bei der Bewertung von Risiken.
Durch das Wachstum im Hinblick auf Auslagerungen unserer Kunden aus regulierten Branchen in den Rechenzentrumsverbund der PASS Gruppe rückte vor einigen Jahren auch das Interne Kontrollsystem in den Fokus der Toolunterstützung. Nach einer Marktanalyse und der Entscheidungsfindung “Make or Buy”, die aus der Perspektive eines Unternehmens wie PASS, das fast 40 Jahre in der Softwareentwicklung tätig ist, nur zugunsten eines kompromisslosen “Make” ausfallen konnte, entstanden 2019 die ersten Konzepte zu einem neuen Governance-Tool. Den Kern des Systems bildet ein Rahmenwerk mit Kontrollen, die wahlweise aus Managementsystem-Standards wie der ISO/IEC 27001 oder auch aus Standards wie COBIT übernommen werden können, mit eindeutigen Verweisen auf beispielsweise regulatorische Anforderungen wie BAIT und MaRisk und flexibel an geänderte Anforderungen anpassbar. Auf Basis dieser Kontrollstruktur können mit entsprechenden Modulen das Risikomanagement oder auch Prüfungen der Kontrollumsetzung abgebildet werden.
Im Vordergrund der Konzeption stand die transparente, nachvollziehbare und vor allem papierlose Interaktion aller internen wie auch externen Beteiligten. Nutzer aus den verschiedenen Bereichen der PASS Gruppe werden in einem Dashboard oder alternativ per E-Mail auf anstehende oder überfällige Aktivitäten hingewiesen und können direkt in die zugehörigen Prozesse einsteigen. Auch externe Nutzer, das sind derzeit Wirtschaftsprüfer wie auch ISO 27001 Auditoren, können mit Verweis auf die definierten Kontrollen Nachweise anfordern oder herunterladen sowie Rückfragen stellen und vorläufige Prüfungsergebnisse hinterlegen. Auch ein Vergleich mit den Vorjahresergebnissen ist möglich. Dabei lassen sich für jeden Nutzer dessen funktionalen Einschränkungen wie auch die Sichtbarkeit von Daten detailliert festlegen.
Das Produkt PASS GRC
Diese Konzepte zur aus der Sicht eines Mehrmandanten-Dienstleisters wie PASS idealen IT-Unterstützung in den Bereichen Governance, Risk und Compliance wurden von der agentes Unternehmensgruppe, die zur PASS-Gruppe gehört, auf einer modernen Plattform implementiert, die hinsichtlich User Experience wenig Wünsche offen lässt. Die Lösung ist heute unter der Produktbezeichnung PASS GRC erhältlich. In den nächsten Monaten wird das Produkt um ein Modul zum IT-Controlling erweitert, mit dem sich frei definierbare Kennzahlen durch Zugriff auf beispielsweise Ticketingsysteme, Systeme zur Codeanalyse usw. zyklisch erheben und für das Management in einem zentralen Dashboard grafisch darstellen lassen. Über dieses Zusatzmodul zu PASS GRC werde ich zu gegebener Zeit noch detaillierter berichten.
Welche Lösungen setzen Sie zur Unterstützung Ihrer IT-Governance ein und wie haben sich diese bewährt?
Bild: Shutterstock