Eine gute Organisationsstruktur und derer Dokumentation bildet die Basis, eine effiziente IT-Strategie gibt die Marschrichtung vor: Als Teildisziplin der Corporate Governance, leistet die IT-Governance dazu ihren entscheidenden Beitrag. Sie ist als lebendes Rahmenwerk zu begreifen.

Die heilige Dreifaltigkeit

Corporate Governance wird nach dem Deutschen Corporate Governance Kodex 2022[1] (im Folgenden DCGK 2022) als „rechtliche[r] und faktische[r] Ordnungsrahmen für die Leitung und Überwachung eines Unternehmens“ beschrieben. Eine Teilmenge der Corporate Governance ist die IT-Governance, deren Fokus auf die Integration der IT in die Strategien und Ziele der Organisation ausgerichtet ist. Als Teil der Corporate Governance ist auch IT-Governance „Chefsache”, obliegt also der Verantwortung der Geschäftsleitung und

Grundsatz 5 des DCGK 2022 definiert wiederum Compliance als Einhaltung von gesetzlichen Vorgaben und internen Richtlinien – und sieht diese damit als Bestandteil der Corporate Governance. Folgerichtig ist damit auch die IT-Compliance als Bestandteil der IT-Governance zu sehen. Als solche muss die IT-Compliance zwingend in die IT-Governance integriert werden. Ein Beispiel dafür ist die Berücksichtigung der Funktionstrennung bei der Ausgestaltung der Aufbauorganisation, beispielsweise zwischen IT-Run und IT-Change in die Einheiten IT-Operation und IT-Development.

Governance beinhaltet den „verantwortungsvollen Umgang mit den Risiken der Geschäftstätigkeit“ (Grundsatz 4 DCGK 2022). Als Teilmenge davon kann das IT-Risikomanagement begriffen werden, das entsprechend mit IT-Compliance und IT-Governance eine Dreiecksbeziehung eingeht.

Abbildung 1: IT-Governance, IT-Compliance und IT-Risikomanagement als eng verbundene Themen

[1] Deutscher Corporate Governance Kodex. (28. April 2022). dcgk.de. Von dcgk.de: https://www.dcgk.de//files/dcgk/usercontent/de/download/kodex/220627_Deutscher_Corporate_Governance_Kodex_2022.pdf abgerufen

Aufgrund der engen Verzahnung der drei Themen, werden diese oftmals gemeinsam als „GRC“ (Governance, Risk, Compliance) Anbieter bieten GRC-Managementtools an, die sich allen drei Themen widmen. Daraus sollte allerdings nicht der Schluss gezogen werden, dass es sich um eine abschließende Aufzählung handelt – IT-Governance umfasst noch zahlreiche weitere Themen, wie z.B. Umsetzung von Wertbeiträgen oder das Ressourcenmanagement.

IT-Governance und IT-Organisation

Grundsätzlich bietet sich die Definition eines Zielbilds für die IT-Organisation an, von dem ausgehend die Aufbau- und Ablauforganisation, die schriftlich fixierte Ordnung (im Folgenden sfO) und die Ressourcenausstattung abgeleitet werden. Wir begreifen IT-Governance daher als das Schaffen von Strukturen, die aus den strategischen Zielen der IT-Strategie folgen, den organisatorischen Rahmen für das Management der IT bilden und Stellen Verantwortlichkeiten und Ressourcen zuordnen. IT-Governance zielt also auf die Definition von Grundsätzen ab, die das Handeln und Verhalten innerhalb der Organisation regeln. Das schafft Orientierung für die Mitarbeitenden zur Erfüllung ihrer originären Tätigkeiten. Ebenso umfasst dies die Definition von Rollen und Verantwortlichkeiten in der IT, da diese unmittelbar auf die Aufbau- und Ablauforganisation einwirken. Dazu gehört auch die Schaffung zentraler Einheiten unter Berücksichtigung des Three-Lines-Modell innerhalb der IT.

Die IT-Aufbauorganisation: Strukturelle Basis

Die Three Lines

Als wesentliche Orientierung für die Aufbauorganisation sollten die Three Lines herangezogen werden. Sie erlauben eine frühzeitige Erfassung, Identifikation, Analyse, Bewertung und Kommunikation von Risiken sowie eine übergeordnete Koordination von Verantwortlichkeiten. Neben den drei klassischen Lines werden häufig externe Prüfer wie der Jahresabschlussprüfer und die Aufsicht in das Linienmodell integriert, da diese regelmäßig und anlassbezogen unabhängig die Arbeit des gesamten Unternehmens überprüfen.

Abbildung 2: Three-Lines-Modell, erweitert um die 4th und 5th Line als externe Verteidigungslinien

Die IT-Aufbauorganisation leitet sich aus den Zielen der IT-Strategie ab und ist in das unternehmensweite Governance-Modell zu integrieren. Basierend darauf sowie auf dem Three-Lines-Modell lassen sich folgende Guidelines für die IT-Aufbauorganisation ableiten:

Abbildung 3: Orientierungspunkte für den Aufbau der IT-Aufbauorganisation

Qualität vor Quantität

In aller Regel fangen Maßnahmen zur IT-Governance nicht auf der sprichwörtlichen grünen Wiese an, sondern setzen auf bestehenden Strukturen und Prozessen auf. Um eine Überforderung der Mitarbeiter bei einer Reorganisation zu verhindern, sind auch bestehende Strukturen zu bedenken: vorhandene Mitarbeiter, insbesondere Führungskräfte und Experten sowie die bisherige Verteilung von Prozessen und Mitarbeitern.

Bei einer Reorganisation sind außerdem verschiedene Änderungsprozesse und strukturelle Aufwände zu beachten. Diese ergeben sich bspw. aus der nötigen Überarbeitung der und des Identitäts- und Rechtemanagements sowie aufgrund der Übergabe und Übernahme von Tätigkeiten und dem Zusammenwachsen der neuen Teams. Anstatt also mehrmals kleinere Anpassungen vorzunehmen, empfiehlt es sich, eine gut durchdachte und umfängliche, aber dafür einmalige Reorganisation anzugehen.

Wie kann die IT-Aufbauorganisation aussehen?

Beispielhaft und zum besseren Verständnis, stellt die nachfolgende Abbildung eine IT-Aufbauorganisation dar. Neben den bereits oben genannten Punkten, bietet die Darstellung Orientierung und führt uns tiefer in die Ausgestaltung der OrganisationEs sieht eine Trennung der IT-Aufbauorganisation in die Bereiche Strategie und Governance, IT-Projekte (Anwendungsentwicklung), IT-Betrieb und IT-Compliance vor.

Abbildung 4: Beispielhafte IT-Aufbauorganisation

Diese Ausgestaltung der IT-Aufbauorganisation berücksichtigt zum einen die Trennung von Run und Change und zum anderen die dezidierte Bereitstellung von Einheiten für die zunehmend an Bedeutung gewinnenden Compliance-Themen. Außerdem beinhaltet sie mit der Einheit Strategie und Governance ein für den CIO geschaffenes Schlüsselressorts zur Steuerung und Weiterentwicklung der IT. zwingend außerhalb der IT zu verorten, da dieser als 2nd Line Vorgabengeber und Kontrolleur der 1st Line ist. Durch diese Trennung können Interessenskonflikte von CIO und Informationssicherheitsbeauftragtem vermieden werden.

Die Größe und der genaue Zuschnitt der einzelnen Einheiten ist immer institutsspezifisch. Allerdings bietet sich die einheitliche Strukturierung, wie sie in der Corporate Governance beispielsweise mit Bereichen, Abteilungen und Teams definiert wurde, auch für die IT an.

Die IT-Ablauforganisation: Prozesse auf Basis der Rollen und Verantwortlichkeiten

Mit der im Zuge der IT-Aufbauorganisation etablierten Rollen und Verantwortlichkeiten lassen sich Prozesse und Arbeitsabläufe als IT-Ablauforganisation definieren. Hier sollten also die IT-Prozesse beschrieben und Rollen und Verantwortlichkeiten zugeordnet werden. Bei der Definition der IT- und Compliance-Prozesse kann sich an gängigen Standards wie ITIL oder COBIT orientiert werden. Eine Standardisierung der Prozesse ist dabei vor dem Hintergrund interessant, Komplexitäten abzubauen sowie ein effizientes und ein attraktives Arbeiten für alle Beteiligten zu ermöglichen.

Von Vornherein bietet sich an, die Prozesse auf Level-3-Ebene zu definieren und die Prozesslandkarte in einem Tool abzubilden. So lassen sich Business Impact Analyse und Prozessmanagement gut miteinander verknüpfen. Zudem werden Prozessschnittstellen und Verantwortlichkeiten auf diese Weise transparent dokumentiert und eine prozessübergreifende Darstellung ermöglicht. Klassischerweise liegt die Prozessverantwortung bei den Prozess Ownern, die im Wesentlichen in den IT-Fachbereichen der 1st Line angesiedelt sind.

Die schriftlich fixierte Ordnung: Dokumentation

In der sfO des Instituts werden die Vorgaben und die IT-Aufbau- und Ablauforganisation dokumentiert. Neben den Prozessen bilden die weiteren Dokumente der 1st Line wie Richtlinien, Arbeitsanweisungen und Fachkonzepte gemeinsam mit den Vorgaben und Leitlinien der 2nd Line die schriftlich fixierte Ordnung.

Abbildung 5: Die Elemente der sfO

Bei der Benennung der einzelnen Dokumententypen sollte zwingend eine Dokumentenstruktur unter Berücksichtigung der 1st und 2nd Line-Verantwortlichkeiten festgelegt werden. Diese wird ebenso wie die Rollen und Verantwortlichkeiten in der jeweiligen Leitlinie verankert. Je nach Größe und Reifegrad des Instituts bietet sich der Aufbau eines SfO-Managementsystems an, das die Verknüpfung von 2nd-Line Vorgabe und 1st-Line Umsetzung beinhaltet. Dadurch wird zum einen die Vollständigkeit und Aktualität der SfO gewährleistet und zum anderen die Überprüfbarkeit der Umsetzung von Vorgaben im Rahmen des sogenannten Internen Kontrollsystems ermöglicht.

Ressourcenmanagement: Wer kann was?

Werden fachliche Verantwortlichkeiten und Prozesse Organisationseinheiten zugeordnet, kommt unweigerlich die Frage nach notwendigem Knowhow und benötigten Ressourcen auf. Die initiale Verankerung und ggf. der initiale Aufbau dieser Themen können neben den regelmäßig zu beplanenden Run-Aufwänden  auch Change-Aufwände verursachen. Im Bedarfsfall können diese Einmalaufwände durch externe Unterstützung bedient werden.

Zur IT-Governance gehört zudem die Validierung der Ressourcenausstattung und das der Fachbereiche. Ferner müssen Anforderungsprofile erstellt werden, die die Anforderungen an Rollen und Funktionen definieren.

Wir stehen Ihnen zur Seite!

Wo stehen Sie mit Ihrer IT-Governance? Allein im vergangenen Jahr hat die BaFin 94 Sonderprüfungen nach § 25a Abs. 1 Kreditwesengesetz bei Less Significant Institution durchgeführt[1] und deren ordnungsgemäße Geschäftsorganisation geprüft. Sind Sie auf einen Besuch der BaFin vorbereitet?

Mit mehreren Jahren Erfahrung in der Umsetzung regulatorischer Anforderungen an die IT können Sie sich auf das IT-Security-Team von ADWEKO verlassen. Von der Gap-Analyse über die Prüfungsvorbereitung, die Prüfungsbegleitung und die Prüfungsnachbereitung stehen wir Ihnen rund um die IT-Governance gerne zur Seite. Dabei stellen wir die spezifischen Gegebenheiten Ihres Instituts in den Mittelpunkt und erarbeiten mit Ihnen gemeinsam eine für Sie passende Lösung. Kommen Sie gerne auf uns zu!

[1] Bundesanstalt für Finanzdienstleistungsaufsicht. (3. Mai 2022). bafin.de. Von bafin.de: https://www.bafin.de/dok/17809722 abgerufen

 

Julian Philippi

Managing Consultant

0 Kommentare

Einen Kommentar abschicken

Deine E-Mail-Adresse wird nicht veröffentlicht.