 |
Newsletter Ausgabe: Nr. 07/2009
vom 15. Juli 2009
|
|
Liebe(r) Leser(in),
|
|
Wieviel ...
... Marketingaufwendungen werden durch schlechte "Presse“ vernichtet?
... "Personalüberhang“ hat Ihre Benutzerverwaltung nach normalen Kündigungsterminen?
... Ressourcen werden damit belegt, automatisierbare Prozesse hinsichtlich Compliance-Konformität zu überwachen?
Liebe Compliance-Verantwortliche und sonstige Interessierte,
das Thema Governance, Risk & Compliance (GRC) ist derzeit in aller Munde (und vielleicht auch Gegenstand der einen oder anderen schlaflosen Nacht) und betrifft aus unserer Sicht die Aspekte Strategie, Prozesse und IT. Das ist keine neue Erkenntnis, aber die Interdependenz dieser drei Bereiche wird immer mehr zum (unternehmens-)kritischen Erfolgsfaktor und zu einem Haftungsszenario!
Unter Strategie fallen dabei in diesem Zusammenhang alle Maßnahmen, die in der Umsetzung Schaden für das Ansehen, die Wirtschaftlichkeit und Wettbewerbsfähigkeit eines Unternehmens verhindern. Hierzu veröffentlichen wir einen interessanten Beitrag unseres juristischen Beraters, der Kanzlei Winterstein l Rechtsanwälte, Frankfurt am Main.
Die Einhaltung von Vorschriften ist u. a. eine Sache von Verantwortlichkeiten, Prozessen und der Organisation eines Unternehmens, die sauber in den Organisationsmodellen und Anwendungssystemen verankert werden müssen. Das aktive Risikomanagement setzt bei Prävention im Sinne der Risikominimierung an und wirkt als Kontroll- und Steuerungssystem im Unternehmen.
Damit stellen wir den Zusammenhang zwischen Prozessen und IT her.
IT muss weitgehend sicherstellen, dass Anwendungsprozesse über Benutzerrechte und Rollen so eingeschränkt sind, dass hier eine Prävention hinsichtlich der Verletzung von Richtlinien wirkt (z. B. durchgehende Implementierung des Vier-Augen-Prinzips), aber gleichzeitig so flexibel implementiert sind, dass der Betrieb nicht behindert wird. Benutzerverwaltungen sind integraler Bestandteil der IT-Landschaft und müssen die entsprechende Integrität und Aktualität systemübergreifend abbilden. Datenhaltungssysteme müssen so abgeschottet werden, dass ein Datenmissbrauch ausgeschlossen ist und Informationen müssen regelkonform archiviert und aufbewahrt werden. Die IT muss den langfristigen Erhalt des Betriebes sicherstellen, da die Wirtschaftlichkeit und Wettbewerbsfähigkeit eines Unternehmens und aller an der Wertschöpfung beteiligten Partner wesentlich davon abhängen.
Der Compliance-Verantwortliche muss sich darauf verlassen können, dass die eingerichteten Bollwerke auch halten. Dazu gehören eine eindeutige und umfassende Strategie (Governance), die stringente Umsetzung in den Prozessen und den Organisationsstrukturen sowie eine verlässliche IT-Lösung.
Und für die verlässliche IT-Lösung sind wir ja da!
Wir wünschen Ihnen viel Spass beim Lesen, einen schönen restlichen Juli und …
immer die richtigen Menschen in Ihren Projekten!
Herzliche Grüße
| Thomas Algermissen |
Thomas Kraemer |
| Geschäftsführung |
Geschäftsführung |
top |
Thomas Algermissen
Thomas Kraemer |
| |
 |
Inhaltsverzeichnis |
 |
|
| |
Zukunftsbilder
Aus der Praxis für die Praxis
Alles klar?
Partner und mehr
top |
|
|
| |
|
LDAP - Standard für die Benutzerverwaltung in heterogenen Systemwelten
Strukturen in der IT-Landschaft entstehen selten am Reißbrett und daher müssen verschiedene Systeme miteinander gekoppelt werden. Dabei wird idealerweise auf den gleichen Datenbestand zugegriffen, um Konsistenz und Integrität zu gewährleisten.
Einer dieser wichtigen, zentralen Bereiche ist die Verwaltung der Benutzerdaten und Zugriffsberechtigungen. Die Mitarbeiter haben in der Regel Zugangsdaten für E-Mail, gemeinsame Laufwerke, Versionsverwaltung und intranet-basierte (Selfservice) Dienste. Darüber hinaus gehen die zugangsgeschützten Funktionen über die Unternehmensgrenze hinaus (Extranet) und beziehen Partner und Kunden in vielfältiger Weise mit ein. Damit sich die Zugangsberechtigten nicht jedesmal erneut authentifizieren müssen, bedient man sich sog. Single-Sign-On-(SSO) Lösungen, die z. B. auf Portalebene realisiert ist. Basis für solche Single-Sign-On Funktionen sind Benutzerverwaltungs- und Berechtigungssysteme (Verzeichnisdienste). Hier werden Personendaten, Zugangsinformationen (wie Passwörter, Kennungen, etc.) und Rollen verwaltet und die Beziehung Rolle zu Verfahrensberechtigung hergestellt. Eine wichtige Funktion der sogenannten Verzeichnisdienste ist, die Sicherheit von Verfahren und Daten sicherzustellen. Es muss daher gewährleistet sein, dass die Zugangs- und Berechtigungsdaten jederzeit aktuell und richtig sind, um z. B. den Zugriff eines entlassenen Mitarbeiters auf Daten und Verfahren zeitgerecht zu unterbinden oder bei einer internen Versetzung die Verfahrenszugriffe neu zu strukturieren.
Für die Benutzer- und Berechtigungsverwaltung stehen eine Vielzahl von Systemen zur Verfügung, die mehr oder weniger proprietär, verbreitet oder standardisiert sind. Um eine ständige Migration der Daten zu vermeiden, bietet sich aus meiner Sicht an, eine Lösung zu implementieren, die weitestgehend zukunftssicher ist. Bevor man die Kristallkugel befragt, wie denn der Trend in der Zukunft heißt, bedient man sich besser Systemen, die verbreitet und robust sind.
Für Verzeichnisdienste existiert z. B. mit LDAP (Lightweight Directory Access Protocol) ein Industrie-de-facto-Standard für Authentifizierung, Autorisierung und Benutzer- und Adressverzeichnisse, das von verschiedenen Systemen auf unterschiedlichen Plattformen verwendet und von den gängigsten Anwendungssystemen unterstützt wird . Diese Anwendungen nutzen die Vorteile von LDAP des optimierten Lesezugriffs und der Möglichkeit Daten nach eigenen Bedürfnissen zu strukturieren. Wegen der Offenheit der Plattform und der Flexibilität im Datenmodell können additiv vielfältige Anwendungen entwickelt werden, die die Daten aus dem LDAP-Verzeichnis nutzen (z. B. Adressverzeichnisse, Tefelonlisten, etc.).
LDAP beschreibt, wie es der Name sagt, nur den Zugriff auf die Daten. Die Implementierung der Zugriffsmethode auf Server- und Clientseite ist für verschiedene Systeme verfügbar. Als LDAP-Server kann zwischen freien (Open-Source) und kommerziellen Produkten gewählt werden. Auf der Client-Seite sei hier beispielsweise der Webserver Apache und die Datenbank Oracle genannt, die eine Anbindung an einen LDAP-Server mitbringen.
Aus meiner Sicht stellt LDAP eine valide und zukunftsichere Methode für den Aufbau von Verzeichnisdiensten in heterogenen Welten dar. Trotz aller Vorteile soll nicht verschwiegen werden, dass eine Anbindung unterschiedlicher Applikationen auch einen erhöhten Konfigurationsaufwand verursachen kann. Dementsprechend sind bei komplexen und verteilten Diensten die Funktionen zur Replikation und Synchronsisation zu beachten. Dem erhöhten Administrationsaufwand steht jedoch die Einhaltung der Datenkonsistenz in den verschiedenen Systemen. und die Sicherstellung der Anwendungs- und Verfahrenssicherheit über ein zentrales System gegenüber.
top
|
| |
|
Aus der Praxis für die Praxis |
|
|
| |
|
Corporate Governance und Compliance
-
Schon lange auch ein Thema für den Mittelstand
I. Überblick:
Von was sprechen wir, wenn wir die Begriffe Compliance und Corporate Governance erwähnen.
Anfang des Jahres 2002 hat eine eingesetzte Regierungskommission den sogenannten deutschen Corporate Governance Kodex verabschiedet. Mit dem deutschen Corporate Governance Kodex sollen die in Deutschland geltenden Regeln für Unternehmensleitung und - Überwachung transparent gemacht werden, um so das Vertrauen in die Unternehmensführung zu stärken. Dieser Corporate Governance Kodex mit seiner Darstellung der wesentlichen Standards betreffend gute und verantwortungsvolle Unternehmensführung ist grundsätzlich auf börsennotierte Gesellschaften ausgerichtet. Mittlerweile strahlt dieser Kodex allerdings auch auf nicht börsennotierte Unternehmen aus, insbesondere auf Unternehmen des Mittelstandes.
Im Rahmen der ordnungsgemäßen Unternehmensführung (Corporate Governance) ist die sogenannte "Compliance" ein bedeutendes Element. In der betriebswirtschaftlichen Fachsprache wird der Begriff "Compliance“ verwendet, um die Einhaltung von Gesetzen und Richtlinien zu bezeichnen. In Kurzform: "Compliance“ bedeutet die Installierung und Durchführung von Überwachungsmechanismen innerhalb eines Unternehmens zur Vermeidung von Pflichtverletzungen und der daraus resultierenden Folgen (Schadensersatz + Strafbarkeit).
Grundvoraussetzung für eine funktionierende "Compliance“ ist die Schaffung einer "Compliance-Organisation“.
Diesbezüglich sind vier Grundpfeiler einer effektiven "Compliance-Organisation“ zu nennen:
1. Identifikation und Analyse des rechtlichen Risikos
- Kenntnis der rechtlichen Rahmenbedingungen
- Steuerrecht
- Datenschutzrecht
- Arbeitsrecht
- Gesellschaftsrecht
- Kartellrecht
- Korruptionsrecht
- Umweltrecht
2.
Internes Informationssystem / Entwicklung und Verbesserung von Unternehmensrichtlinien (Erstellen einer Geschäftsführerordnung, gegebenenfalls in Verbindung mit Schaffung einer Beirats / Aufsichtsratsordnung).
3.
Internes und externes Kommunikationssystem
-
Meldesystem für Verstöße / Reporting
- Entwicklung für Verfahrensabläufen bei Beschwerden
4.
Internes Kontrollsystem
- Berufung eines Compliancebeauftragten
Soweit ein erster Überblick über die Gesamtthematik.
II. Compliance - Warum?
Wo liegen jetzt aber die konkreten Ziele einer ordnungsgemäßen Compliance?
Wo liegt für den Unternehmer oder für den als verantwortlich Beschäftigten der konkrete Nutzen in der Schaffung einer funktionierenden "Compliance-Organisation“?
Folgende Gesichtspunkte sind hier zu nennen:
-
Sicherung der Rechtstreue (Vermeidung von Schadensersatz und persönlicher strafrechtlicher Verantwortung)
- Analyse und Prävention von Risiken
- Schaffung des Bewusstseins von Mitarbeitern für richtiges Verhalten
- Bewahrung von Wettbewerbsfähigkeit und Ansehen des Unternehmens
Die Zweckmäßigkeit und Nützlichkeit der soeben aufgezählten Gesichtspunkte verdeutlicht sich an den Beispielen der jüngsten Vergangenheit: Ein Potpourri aus der Tagespresse der vergangenen Monate führt uns zu den Unternehmen Siemens, Volkswagen und auch zur Deutschen Telekom; um nur die größten Beispiele zu nennen.
Im Einzelnen ging es hier um schwarze Kassen, Umgehungsstrategien durch Abschluss vermeintlicher Beraterverträge und der Aushebelung der Mitbestimmung durch Beste-chung des Betriebsrates.
Die einst weltberühmte englische Mergant Bank "Barings“ wäre wahrscheinlich nicht un-tergegangen, wenn sie eine "Compliance-Struktur“ in der hier angedeuteten Weise gehabt hätte. In den Kapitalmarktskandalen von 2001/2002 finden sich zahlreiche weitere Beispiele, nicht nur in den USA, sondern auch hier in Europa. Wer erinnert sich nicht an die Vorfälle bei der französischen Société Générale, bei der ein einzelner Mitarbeiter in der Lage war, einen existenziellen Schaden anzurichten. Das eindrucksvollste Beispiel in Deutschland ist jedoch die Siemens AG.
Im November 2006 haben mehr als 200 Beamte der Kriminalpolizei das Hauptquartier der Siemens AG in München sowie die Privathäuser und Büros von 30 Vorstandsmitgliedern und leitenden Mitarbeitern der Siemens AG durchsucht und kistenweise Akten beschlagnahmt. Die sich in diesem Fall ergebenden Zahlen verdeutlichen die Größenordnung des Problems:
-
Konzernumsatz von Siemens in dem Jahr 2007: € 72 Milliarden
-
Inkriminierte Zahlungen von 2000 bis 2006 : € 1,3 Milliarden
-
Bisherige von Siemens akzeptierte Geldbußen in Deutschland: € 239 Millionen
-
Steuernachzahlungen: € 520 Millionen
-
Kosten der Sachverhaltsuntersuchung durch Wirtschaftsprüfer
und Rechtsanwälte bis Ende 2007: € 474 Millionen
-
Anzahl der Länder in denen Siemens geschäftlich tätig ist: 190
-
Anzahl der Länder auf denen Siemens die
interne Untersuchung konzentriert hat: 65
-
Anzahl der Länder, wo gegen Siemens förmliche Ermittlungsverfahren anhängig waren: 16
Die Strafverfahren gegen leitende Mitarbeiter und demnächst wohl auch gegen Vor-standsmitglieder von Siemens steht unmittelbar bevor. Gegen 300 Beschuldigte sind in Deutschland noch Ermittlungen anhängig. Ob es gegen Herrn Heinrich von Pierrer, den ehemaligen Vorstandsvorsitzenden von Siemens, nicht doch noch zur Einleitung eines strafrechtlichen Ermittlungsverfahrens und möglicherweise zur Erhebung der Anklage kommt, bleibt abzuwarten. Bisher ist gegen ihn nur ein Bußgeldverfahren wegen Verlet-zung von Organisation- und Überwachungspflichten nach dem Ordnungswidrigkeiten Gesetz anhängig. Aber auch dieses Ordnungswidrigkeitengesetz sieht eine Geldstrafe von bis zu 1 Millionen EURO vor.
Aus dem Fall Siemens und den dargestellten Zahlen lassen sich die eingangs dargestellten Prämissen hinsichtlich der Vermeidung von erheblichen Schadens-ersatzbeträgen als auch der Vermeidung von strafrechtlicher Verantwortung bei Schaffung einer funktionierenden "Compliance-Organisation“ ablesen.
III. Fazit
Aus den vorstehenden Ausführungen im Hinblick auf die Vielzahl von möglichen Risiken und deren immer stärker wachsende Unüberschaubarkeit ist unschwer zu erkennen, dass ein Risikomanagement für Unternehmen einer bestimmten Größe und hierzu zählt auch der Mittelstand, unerlässlich ist.
|
| |
|
Im Spannungsfeld von Berechtigungen, Nutzern und Organisation
Ob Geschäftsrisiken, Kreditwürdigkeit, Schutz der Investoren, Nachvollziehbarkeit und Transparenz, Einhaltung von Gesetzen und Regulatorien, hoher Freiheitsgrad der Anwender, lückenlose Dokumentation und Revisionssicherheit, schlanke Prozesse und Abläufe sowie Datenschutz im Fokus stehen - die Einführung eines internen Kontrollsystems (IKS) stellt kein Unternehmen mehr in Frage, das WIE ist entscheidend. Sicherheit kostet seinen Preis, jedoch muss die Überlegung mit einbezogen werden: "Was bringt mir ein auf meine Bedürfnisse ausgerichtetes IKS wirklich?".
Werden alle 11 eigenen Spieler ins Tor gestellt, verhindert man gegebenenfalls ein Gegentor. Die Chance zu gewinnen ist jedoch so lange verschwindend gering, wie nur der Sicherheitsaspekt im Vordergrund steht. Durch die Umsetzung der Anforderungen an ein individuelles Risiko-Management, wie Erfüllung der gesetzlichen Vorgaben, transparente und lückenlose Dokumentation, optimaler Einsatz der vorhandenen IT-Mittel und eine umfassende Qualitätssicherung schafft man zusätzlich Effizienz und Wettbewerbsvorteile. Ausgewählte aktuelle Werkzeuge ermöglichen schnell und sicher die Erstellung funktionsorientierter Benutzerrechte auf Arbeitsplatzebene ("nur so viel wie nötig!“), eine zentrale, systemübergreifende Benutzerverwaltung mit ihren jeweiligen Fachrollen (Identity-Management), die Definition von Organisationsanforderungen bei kritischen Prozessen (Mitigation Controls) und erlauben damit den Fachbereichen, mehr Verantwortung zu übernehmen und diese nicht bei der IT abzuladen. Die IT kann diese o.g. Anforderungen nicht alleine übernehmen; die Verlagerung auf die Fachbereiche ist ein Prozess, der mit Überzeugung und Geduld unternehmensweit durchgesetzt werden muss - bei voller Unterstützung der Geschäftsleitung.
Man wird durch die Implementierung und Umsetzung des IKS mit eindeutigen und schlankeren Prozessen sowie nachweislich geringerer und automatisierter Administration im User- und Authorization-Management belohnt; man reduziert die Anfälligkeit gegen Missbrauch und schafft eine klare Zuordnung "wer macht was!“ - ohne tief in die Technik abzusteigen. Die Wirtschaftprüfer testieren deutlich leichter die Einhaltung und Nachvollziehbarkeit des IKS und der Compliance sowie die Erfüllung der Datenschutzvorschriften. Der Kreis zwischen Anwender, Organisation und den jeweiligen Rechten wird geschlossen - die Spannung wird verringert.
Erfahrung im Umgang mit der Einführung eines IKS und der dazu notwendigen Schritte kann auch durch externe Berater vermittelt werden - begleitet durch den Aufbau einer dem Budget angepassten Roadmap "von der Analyse der Benutzerverstöße bis hin zur automatisierten Prüfung einer Rechtevergabe mittels Workflowanforderung sowie einfacher Hinterlegung der Kontrollanweisungen bei kritischen Prozessen“.
Das WIE ist entscheidend.
top
|
| |
|
Alles Klar? |
|
|
| |
Das Zahlen Rätsel
Peter, Simon und Daniel sollen zwei Zahlen herausfinden. Hierfür erhalten sie folgende Informationen: Beide Zahlen liegen im Bereich von 1 bis 1000, und beide sind ganzzahlig (also keine Kommazahlen), und es wäre auch möglich, dass beide Zahlen identisch sind. Peter erfährt zudem das Produkt der beiden Zahlen, Simon bekommt die Summe, und Daniel die Differenz.
Daraufhin kommt es zu folgendem Gespräch:
Peter: Ich kenne die Zahlen nicht.
Simon: Das brauchst Du mir nicht zu sagen, denn das wusste ich schon.
Peter: Dann kenne ich die Zahlen jetzt.
Simon: Ich kenne sie jetzt auch.
Daniel: Ich kenne die beiden Zahlen noch nicht. Ich kann nur eine Zahl vermuten, die wahrscheinlich dabei ist, aber sicher weiß ich's nicht.
Peter: Ich weiß, welche Zahl Du vermutest, aber die ist falsch.
Daniel: OK, dann kenne ich jetzt auch beide Zahlen.
Wie lauten die beiden gesuchten Zahlen?
Hinweis: Um das Rätsel zu lösen, muss man wissen, dass Peter, Simon und Daniel absolute Mathe-Genies sind, die mit jeder Möglichkeit rechnen, und daraus stets die richtigen Schlußfolgerungen ziehen. Wenn also beispielsweise Peter sagt, dass er die Zahlen nicht kennt, dann bedeutet das, dass er sie zu dem Zeitpunkt anhand seiner Informationen auch nicht kennen kann. Und wenn Simon sagt, dass er das schon wusste, dann bedeutet das, dass es anhand seiner Informationen auch gar keine Lösung geben kann, bei der Peter die Zahlen schon kennen würde... u.s.w.. Dass Daniel lange Zeit schweigt, hat nichts zu bedeuten. Peter und Simon wissen vorher nicht, ob Daniel die Lösung schon kennt.
Bitte alle Antworten an folgende E-Mail: newsletter@its-people.de
top |
| |
|
Partner und mehr |
|
|
| |
|
Interner Partner
Angelika Past, its-people Hochtaunus GmbH
Angelika Past unterstützt seit Juni diesen Jahres, als erfahrene Business Intelligence / Data Warehouse Expertin, unser Team der its-people Hochtaunus.
Nach erfolgreichem Studienabschluss als Diplom-Informatikerin arbeitete sie zunächst freiberuflich im IT-Trainingsbereich bevor sie dann in den MAN Konzern wechselte. Im Laufe ihrer 14-jährigen Tätigkeit für die MAN Nutzfahrzeuge AG und die Konzernzentrale der MAN Gruppe in München bekleidete Angelika Past vielfältige, leitende Positionen im IT-Management. Sie baute so ihren Wissenstand in allen Bereichen der Informatik, insbesondere dem Datawarehousing / Business Intelligence und der Leitung von großen Konzern-IT-Projekten, sowie in der Personalführung kontinuierlich aus.
Seit Anfang 2007 ist Angelika Past freiberufliche Unternehmerin mit den Schwerpunkten Business Intelligence / Data Warehouse sowie IT-Interimsmanagement.
Weitere Informationen erhalten Sie gerne unter angelika.past@its-people.de
| 
|
top |
| |
|
Newsletter-Archiv |
|
|
| |
Hier haben Sie die Möglichkeit Ihre Meinung abzugeben. Klicken Sie bitte einfach auf Bewertung.
Vielen Dank.
Einige der letzten its-people-Newsletter zum nachblättern:
Der Juni-Newsletter 2009
Der Mai-Newsletter 2009
Der April-Newsletter 2009
Der März-Newsletter 2009
Der Februar-Newsletter 2009
Der Januar-Newsletter 2009
Der Dezember-Newsletter 2008
Der November-Newsletter 2008
Der Oktober-Newsletter 2008
Der September-Newsletter 2008
top |
|
|
|
|
