Dieser altbekannte und im vorhergehenden, lesenswerten Artikel von Cyrill Brunnschwiler verwendete Leitsatz lässt sich auf viele Bereiche anwenden – wohl alle Lesenden haben diesbezüglich schon ihre eigenen Erfahrungen gemacht. Der Begriff «Kontrolle» wird hier im Sinne einer qualitätssichernden Handlung durch eine unabhängige zweite Person verwendet.
Gut nachvollziehbar kommt der Autor zum Schluss, dass «agile» Penetrationstests als Kontrolle in agilen Prozessen nur dann wirklich gut funktionieren, wenn die agilen Softwareentwicklungsprozesse auf einem sehr hohen Maturitätsniveau abgewickelt werden. Da dies nicht immer der Fall ist, schlägt der Autor vor, bei den «klassischen» viertel- oder halbjährlichen Pentests zu verbleiben. Etwas plakativ formuliert heisst das, dass in diesem Anwendungsfall nur 2–4 Mal pro Jahr eine Überprüfung aus Optik der Sicherheit vorgenommen wird.
Wem dies schon etwas selten (nicht seltsam!) vorkommt, sei an die (finanzrelevanten) Internen Kontrollsysteme (IKS) erinnert. Diese werden häufig auf Stufe Unternehmensführung definiert und im Rahmen eines eher schlanken Self Assessment-Prozesses typischerweise 1 Mal pro Jahr überprüft. Die Überlegung dahinter ist, dass es ausreicht, einmal jährlich das Vorhandensein und Funktionieren bestimmter Schlüsselkontrollen durch die Kontrollverantwortlichen bestätigen zu lassen. Im Rahmen der gesetzlich vorgeschriebenen Abschlussprüfung (Finanzprüfung) wird dieses IKS auch noch durch den Abschlussprüfer bestätigt. Man suggeriert damit, dass Verwaltungsrat (wo vorhanden) und/oder Geschäftsleitung das Unternehmen sorgfältig und eng überwachen und bezeichnet das dann noch grosszügig als wirksames GRC (Governance Risk Compliance).
Wer sich mit der Finanzprüfung etwas auskennt, weiss, dass es sich dabei nur um eine Prüfung der sogenannten Design Effectiveness des IKS handelt (richtige Kontrolle am richtigen Ort) und nicht um eine Prüfung der Wirksamkeit über die gesamte Beobachtungsperiode. Einmal pro Jahr relativ oberflächlich hinschauen, ob einigermassen sinnvolle Kontrollen definiert sind, hat wohl wenig Wirkung auf die zugrundeliegenden Prozesse. Zudem wird schnell einmal klar, dass in diesem formal bestätigten IKS ausschliesslich die finanzrelevanten Kernsysteme abgedeckt werden.
Es fehlt mir hier der Platz, um noch weiter auszuholen. Aber aus meiner Optik hat das mit Governance eher wenig zu tun.
Das nachfolgende Beispiel soll dies noch kurz beleuchten: Eine Untersuchung der BDO bei 155 KMU hat ergeben, dass bei den im Rahmen der Finanzprüfung untersuchten «generellen IT-Kontrollen» ein Grossteil der Kontrollen weder ausreichend dokumentiert noch nachvollziehbar implementiert wurde.
Lesehilfe zur Grafik:
Insgesamt wurden bei 155 Unternehmen je 16 IT-Kontrollen als Teil des finanzrelevanten IKS dahingehend überprüft, ob die Kontrollhandlung dokumentiert und ob sie im Alltag umgesetzt ist. Bei den Unternehmen geschieht dies sehr unterschiedlich gut je nach Art der IT-Kontrolle (und natürlich auch in Abhängigkeit vom Unternehmen).
Die Grafik zeigt auf, dass z.B. der «Zugang zu Systemressourcen» recht gut implementiert aber eher schlecht dokumentiert ist. Der «Restore von Anwendungen» ist bei den meisten Unternehmen weder gut dokumentiert noch gut implementiert.
ntrol the way something happens or is done»; das heisst «beeinflussen oder im engeren Sinn überwachen, wie etwas gemacht wird». Einmal pro Jahr oberflächlich hinschauen, ob irgendwelche Kontrollen existieren, hat wohl kaum eine positive Wirkung auf die wirklich gelebten Prozesse und damit die freiwillig aber meist unwissend eingegangenen Risiken.
«Enterprise Governance is the set of responsibilities and practices exercised by the board and executive management with the goal of providing strategic direction, ensuring that objectives are achieved, ascertaining that risks are managed appropriately and verifying that the enterprises’s resources are used responsibly.» Diese Definition von CIMA oder ähnliche Definitionen von OECD führen aus, dass Governance sicherstellen muss, dass die Unternehmensziele durch Priorisierung, Entscheidungsfindung und Überwachung von Leistung, Compliance und Fortschritt im Vergleich zum Plan erreicht werden.
Etwas anders formuliert heisst das: Die in den Geschäfts- und IT-Prozessen integrierten Kontrollen stellen die vollständige, richtige, zeitgerechte, … Verarbeitung sicher. Dass diese Kontrollen am richtigen Ort implementiert und ausreichend wirksam betrieben werden, ist die Aufgabe des Managements (Führungskräfte auf allen Stufen) resp. der verschiedenen Managementsysteme wie IKS, Qualitätssicherung, Risikomanagement, Sicherheitsmanagement, Personalführung usw. Governance bedeutet jetzt, dass die vorhandenen Managementsysteme dahingehend gesteuert und überwacht werden, dass sie ihre Ziele tatsächlich erreichen. Einmal pro Jahr oberflächlich auf ein paar Finanzkontrollen schauen, reicht demnach ebenso wenig wie einmal pro Jahr ein paar Fragen zu den aktuellen Risiken zu stellen. Governance bedeutet, sich echt darum zu kümmern, dass etwas Vorbestimmtes wirklich und wirksam getan wird und mit diesen Tätigkeiten die definierten Ziele auch erreicht werden.
Was sonst noch alles zu (IT) Governance gehört, kann man den Standardwerken von ISACA wie dem aktuellen COBIT-Framework (gratis bei www.isaca.org herunterladbar) oder dem CGEIT Review Manual entnehmen. Wer es wirklich verstehen möchte, besucht den CGEIT-Vertiefungskurs, der ein grundlegendes Verständnis zum Thema Governance vermittelt sowie auf die internationale Zertifikatsprüfung vorbereitet und auch im Jahr 2022 wieder von unseren akkreditierten Ausbildungspartnern angeboten wird.
In der Schweiz bietet ISACA-CH bereits seit 2009 eine berufsbegleitende Aus- und Weiterbildung für IT-Governance an (CGEIT = Certified in Governance of Enterprise). Informieren Sie sich bei www.isaca.ch über das CGEIT-Berufsbild und die entsprechenden offiziellen CGEIT-Kurse des ISACA Switzerland Chapter.
Der Autor
Peter R. Bitterli, CISA, CISM, CGEIT, CRISC, CDPSE