Mit der Neuauflage des Deutschen Corporate Governance Kodex (DCGK) werden die Empfehlungen und Anregungen für börsennotierte Unternehmen und deren Vorstand erneut fortgeschrieben.
Die fortschreitende Digitalisierung führt zu einer umfangreichen Veränderung von Informations- und Datenverarbeitung, von Geschäftsmodellen, Produkten und Services. Die Schnittstellen innerhalb des Unternehmens und nach außen verändert sich genauso wie die Leistungsbeziehungen und Finanzprozesse.
Die „angemessene Unternehmensführung“ muss diesen sich ändernden Bedingungen folgen. Die Steuerungsmechanismen von vor fünf oder zehn Jahren können für die neuen Chancen und Risiken nur noch bedingt Antworten geben.
Das Gesetz zur Stärkung der Finanzmarktintegrität (FISG) vom 3. Juni 2021 nimmt diese Herausforderungen auf. Beispielsweise werden die Vorstände börsennotierter Aktiengesellschaften ausdrücklich verpflichtet, angemessene und wirksame interne Kontrollsysteme (IKS) und Risikomanagementsysteme (RMS) einzurichten. Der DCGK ergänzt dies um ein an der Risikolage des Unternehmens ausgerichtetes Compliance Management System (CMS).
Diese Empfehlung und Anforderungen betreffen auch die Technologiebereiche der Unternehmen. Es stellt sich insoweit die Frage, wie hier der bisher erreichte Reifegrad zur Governance auf den Prüfstand gestellt und erforderlichenfalls zielgerichtet überarbeitet werden kann.
Die Informations- und Kommunikationstechnologie sind in aller Regel integraler Bestandteil der Wertschöpfungskette der Unternehmung oder gar die „Enabling-Technologie“, die ein Geschäftsmodell erst ermöglicht.
Defizite in der Steuerung der IT führen zu fehlender Transparenz, Kostensteigerung und unter Umständen auch zu Verstößen gegen gesetzliche und regulatorische Vorgaben. Die regelmäßige Identifikation und laufende (Neu-)Bewertung der geltenden Vorgaben in einem geregelten Steuerungskreislauf der IT Governance, unter Berücksichtigung der damit verbundenen besonderen Chancen und Risiken, ist zwingend erforderlich – nicht nur im Zusammenhang des DCGK.
Die störungsfreie Verfügbarkeit von IT Services ist, unabhängig davon, ob die Systeme „On-Premise“, in der Cloud oder Hybrid betrieben werden, von besonderer Bedeutung. Ein geeignetes IT Service und Continuity Management ist erforderlich um sicherzustellen, dass zeitkritische Geschäftsprozesse im IT-Notfall weiter funktionieren oder in akzeptabler Zeit nach Ausfall wieder bereitgestellt werden können. Die Risikoanalyse beginnt hier mit der Identifizierung der Anforderungen des Business und der Transparenz über die hierfür eingesetzten und benötigten kritischen (IT) Ressourcen. Potentielle Fehlerstellen in Prozessen und Technik müssen identifiziert und in der Planung einer IT Service Continuity & Reliability berücksichtigt werden.
Dabei darf auch die Sicherheit von vor- oder nachgelagerten IT-Lieferketten nicht außer Acht gelassen werden. Kritische Abhängigkeiten von Dienstleistern bei IT-Betrieb und -Entwicklung sowie von Hosting-Partnern müssen erkannt, bewertet und abgesichert werden.
Zahlreiche moderne Unternehmensprozesse und ganze Geschäftsmodelle sind ohne den Einsatz moderner Frameworks und skalierbarer Technologien nicht mehr wegzudenken, bzw. wäre ohne diese gar nicht erschließbar gewesen.
DevOps als Verschmelzung von Entwicklung und IT-Betrieb haben sich in der Entwicklung komplexer mittlerweile als state-of-the-art etabliert. Sie führen aber zu völlig neuen Herausforderungen an die Prozesse und Vorgaben zur Softwareentwicklung und damit auch dafür, wie die Zuverlässigkeit, Sicherheit und Nachvollziehbarkeit von Systemen sichergestellt wird.
Der unabdingbare Einsatz von Open Source Code und Open Source Komponenten in der Software- und Produktentwicklung bringt Herausforderungen insbesondere bei der Inventarisierung, d. h. der vollständigen Transparenz welche OSS Komponenten in welcher Version mit welchen Lizenzen eingesetzt werden.
Ebenso gilt es, den notwendigen und sachgerechten Einsatz von Compliance-Tooling und Automatisierung sowie die Überwachung und Prüfung von eingehenden Produkt- und Softwarelieferungen effektiv zu orchestrieren. Bei Ermangelungen in diesen Bereichen drohen Urheberrechtsverstöße („Lizenz Compliance“) und Konflikte mit der Produktsicherheit und/oder -Qualität. Auch Einbußen der Continuity-Fähigkeiten der Produkte und Softwarelösungen oder Kartellrechtsverstöße können schwerwiegende Folgen sein.
Die Transformation von IT-Infrastrukturen und -Lösungen in die Cloud – ein üblicher aktueller Trend und Bestreben – führt insbesondere zu Herausforderungen hinsichtlich des Niveaus zur Informationssicherheit, der relevanten Datenschutzanforderungen oder des Managements von Änderungsgeschwindigkeit, -frequenz und Konfigurationsmöglichkeiten. Die Risiken hieraus reichen von reinem Informationsverlust und Konflikten zur DSGVO bis hin zum Verlust von Marktanteilen durch verzögerte Digitalisierung und/oder instabilem Betrieb der cloud-basierten Lösungen.
Auf den vorgenannten Basistechnologien setzen neue Anwendungstechnolgien auf, die die Unternehmensprozesse und -tätigkeiten sowie die Aufbau- und Ablauforganisation von Unternehmen revolutionieren, unterstützen, steuern oder gar übernehmen. Dies sind z. B. die Künstliche Intelligenz (KI), Robotergesteuerte Prozessautomatisierung (RPA), Internet der Dinge (IoT = Internet of Things), Blockchain und Non-Fungible Token (NFT). Die positiven Effekte und Vorteilhaftigkeit dieser Technologien – wenn sie denn effizient, effektiv und ethisch wertvoll implementiert werden – gilt es langfristig und nachhaltig zu sichern, so dass neue sich daraus ergebende Risiken, neue Angriffsvektoren, Manipulationsmöglichkeiten oder dolose Handlungen hinreichend durch interne Kontrollen, ein effizientes Risikomanagement und eine ausreichende Compliance Kultur mitigiert werden.
Künstliche Intelligenz (KI), auch bekannt als Artificial Intelligence (AI) entwickelt sich in vielen Bereichen zu der Antwort auf Skalierung, Personalmangel, Automatisierung, Data Lakes und intelligente Unterstützung des Menschens bei dessen Arbeiten.
Wichtig beim Einsatz von KI ist die Etablierung eines angemessenen Risikomanagement zur effektiven Steuerung und Überwachung der Prozesse, eine Qualitätssicherung und Transparenz über die KI-basierten Entscheidungen und Sicherheitskonzepte zum Schutz vor Manipulation.
Bei der Robotergesteuerten Prozessautomatisierung (RPA) erstellen Benutzende sogenannte Bots mit denen digitale Aufgaben automatisiert werden – insbesondere bei der Ermangelung von Systemschnittstellen ermöglicht RPA eine systemübergreifende Automatisierung und Erleichterung von repetitiven Tätigkeiten und Massentransaktionen. Beim Einsatz dieser Technologie ergeben sich Risiken in Bezug auf die Möglichkeit der Anpassung und Änderung von Bots, Änderungen an den darunterliegenden Software-Interfaces, Änderungen an Datenformat und -strukturen, Aushebelung von Vier-Augen-Prinzipien und Freigabeprozessen und einem unzureichenden Monitoring der Verarbeitungsprozesse.
Die zuvor genannten Technologiebereiche, deren Verwendung in nahezu allen Unternehmen anzutreffen ist, zeigen, dass sich im Laufe der vergangen Jahre neuer Handlungsbedarf in der Ermittlung, Steuerung und Mitigation von Risiken ergeben hat. Alt hergebrachte Mechanismen sind nicht mehr ausreichend um der Verantwortung des Vorstands und des Unternehmens gerecht zu werden. Eine neue bzw. aktualisierte und ergänzte Corporate Governance ist der Enabler für einen sicheren, effizienten und effektiven Technologieeinsatz. Der neue Deutsche Corporate Governance Kodex sollte insofern nur ein weiterer Fingerzeig auf eine sowieso wichtige und notwendige Aktualisierung des Risiko- und Compliancemanagement- sowie Internen Kontrollsystems sein.
Wir empfehlen zunächst einen Risikoanalyse-Workshop durchzuführen, bei dem aus einem Risikoregister von neuen Technologien, die Risiken und Technologien identifiziert werden, die für Ihr Unternehmen und Geschäftsmodell relevant sind. In einem weiteren Schritt werden die Risiken einer Risikobeurteilung unterzogen und für das Unternehmen inakzeptable Risiken zur Mitigation im Compliance Management System und Internen Kontrollsystem aufgenommen. Die Etablierung von hinreichenden Maßnahmen zur Risikoreduktion werden schlussendlich im Risikomanagementsystem registriert und eine Neubewertung der Risiken vorgenommen.
„Innovationen mit komplexen neuen Technologien erfordern erneuerte, effiziente und effektive Steuerungsmechanismen in besonderem Maße.“
Director Open Source Software Services & IT Sourcing, PwC Germany
Tel.: +49 151 16157049