Unternehmen ergreifen zahlreiche Maßnahmen, um ihre Geschäftsprozesse zu sichern und Risiken abzuwehren. Für die Umsetzung werden Managementsysteme wie ein ISMS oder Kontrollsysteme wie ein IKS eingerichtet. Doch wo liegen eigentlich die Unterschiede zwischen den beiden Systemen? Vielleicht gibt es diese ja gar nicht, und sie lassen sich vielmehr miteinander kombinieren?
Wird Risikomanagement nicht allein als „Pflichtaufgabe“ verstanden, um gesetzlichen Anforderungen Genüge zu leisten, sondern als Mehrwert für das Unternehmen als Ganzes gesehen, kann es den operativen Gewinn und die Qualität von Leistungen und Produkten nachhaltig steigern. Das betrifft Kontrollmechanismen wie ein Informationssicherheits-Managementsystem (ISMS), das sich auf die Datensicherheit bezieht, ebenso wie die Überwachung der Compliance im Allgemeinen, wie sie ein „Internes Kontroll-system“ (kurz IKS) vorsieht. Ein umfassendes Risikomanagement durchdringt im Idealfall alle die Wertschöpfung im Unternehmen betreffenden Segmente: Entwicklung, Fachbereiche, Produkte und Prozesse.
Warum sind Systeme wie IKS und ISMS sinnvoll?
In einem Unternehmen sichern viele einzelne technische Tools und unterschiedlichste organisatorische Vorgaben die Geschäftsprozesse. Sie erfüllen häufig sehr grundsätzliche Aufgaben, um mehrere Risiken dauerhaft abzuwehren. So ist zum Beispiel im Falle einer Störung ein Ticketsystem nicht nur zur Kommunikation mit den Kunden hilfreich. Es dient auch dazu, nachträglich auszuwerten, wie welche Aufgabe gelöst wurde, und daraus Vorgaben für die zukünftige Unternehmensstrategie abzuleiten. Oft kennen die Mitarbeiter einzelner Fach-abteilungen nur ihr eigenes Einsatzgebiet und gegebenenfalls noch die Schnittstellen zu anderen Abteilungen. Die Support-Mitarbeiter hingegen beschäftigen sich ausschließlich mit den Tickets und den aktuellen Kundenanliegen. Anhand eines gut strukturierten Ticketsystems kann die Unternehmensleitung sich jedoch einen umfassenden Überblick über die gesamte Genese eines Störfalls verschaffen. Das ist nur ein Beispiel für wichtige Prozesse in einem Unternehmen, deren Kontrolle, Dokumentation und Auswertung die Qualität langfristig sichern.
Risikomanagement im Großen: IKS
Ein sogenanntes „Internes Kontrollsystem“ (kurz IKS) ist das ideale Instrument, mit dem alle Prozesse eines Unternehmens erfasst werden. Ein IKS strukturiert wichtige und damit dauerhaft zu überprüfende Maßnahmen, sodass die Unternehmensleitung den Überblick behält, ohne operativ am Tagesgeschäft beteiligt zu sein.
Zur Umsetzung eines IKS ist es wichtig, dass Unternehmen zunächst zentrale Ziele – sowohl grundsätzliche als auch qualitative – formulieren. Diesen Zielen können dann die Maßnahmen zugeordnet werden, die das Unternehmen umgesetzt hat oder umsetzen sollte, um kontrolliert (daher der Name) das jeweilige Ziel zu erreichen und Risiken zu vermeiden. Diese Maßnahmen sollten regelmäßig überprüft und neu bewertet werden, um Aktualität und Angemessenheit zu gewährleisten.
Durch die Implementierung und Aufrechterhaltung eines IKS erfüllen viele Unternehmen ihre allgemeine gesetzliche Risikopräventionspflicht gemäß dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG). Wie ein solches IKS aufgebaut sein muss, gibt das Gesetz dabei nicht vor. Es kann sich nach dem Enterprise-Risk-Management-Modell COSO (The Committee of Sponsoring Organizations of the Treadway Commission) oder nach dem Prüfungsstandard für Compliance-Management-Systeme IDW PS 980 richten. Beide Standards versuchen allgemeingültige Vorgaben für alle Unternehmen zu formulieren. Diese können zudem um branchen- oder themenspezifische Standards ergänzt werden. Womit wir zum ISMS kommen …
Risikomanagement im Speziellen: ISMS
Der Schutz von Informationen vor unbefugter Nutzung genießt als Kontrollziel stets höchste Priorität in Unternehmen. Viele Unternehmen – so auch Adacor – haben deshalb ein System für Datenschutz und Informationssicherheit (ISMS) aufgesetzt, das den Richtlinien der internationalen Norm ISO 27001 folgt, um die Informationssicherheit dauerhaft zu steuern, zu kontrollieren, aufrechtzuerhalten und fortwährend zu verbessern. Die ISO 27001 ist die international führende Norm für Informationssicherheits-Managementsysteme. Sie wird in vielen privatwirtschaftlichen und öffentlichen Unternehmen sowie gemeinnützigen Organisationen eingesetzt und definiert die Forderungen für die Einführung, Umsetzung, Überwachung und Verbesserung eines ISMS. Sie bietet einen systematischen und strukturierten Ansatz, der vertrauliche Daten schützt, die Integrität betrieblicher Daten sicherstellt und die Verfügbarkeit von IT-Systemen in Unternehmen erhöht. Dazu werden wichtige Kontrollmaßnahmen von der Norm vorgegeben, die ein Unternehmen einsetzen sollte, um Informationssicherheit gewährleisten zu können.
Synergien von IKS und ISMS
Somit ist ein ISMS ein Managementsystem, das der Geschäftsleitung durchaus als Führungs-instrument dienen kann und starke Ähnlichkeiten mit dem IKS hat. Denn die Kontrolle der Informationssicherheit geht auch mit der regelmäßigen Untersuchung von Verfahren, Regeln und Prozessen einher.
Das verdeutlichen einige Beispiele: Die gesamte Finanzplanung eines Unternehmens wird heutzutage mittels spezieller Datenverarbeitungsprogramme abgewickelt. Bei Handels-unternehmen oder produzierendem Gewerbe laufen Warenwirtschaft für Einkauf, Lager, Verkauf, Projekt- und Vertragsverwaltung über solche Systeme. Jedes Unternehmen nutzt Programme für Buchhaltung, Controlling oder Mahnwesen und Zahlungsverkehr. Auch die Optimierung von Projektabläufen unter Risikogesichtspunkten sowie die Risikobewertung innerhalb der Lieferkette sollten Teil eines IKS sein, sind aber auch Teil eines ISMS. Werden in einem dieser Bereiche Mankos festgestellt, sollte dies zu Veränderungsprozessen führen, zur Einführung von (weiteren) Maßnahmen, die das Erreichen der Unternehmensziele verbessern, unabhängig vom relevanten Kontrollsystem.
Sinnvolle Verbindung von IKS und ISMS
Trotz aller Ähnlichkeiten fokussieren die beiden Systeme jedoch auf unterschiedliche Schwerpunkte. Ein ISMS zielt auf den Schutz der unternehmenseigenen Werte ab, konzentriert sich dabei aber ausschließlich auf die Informationssicherheit. Das IKS richtet den Blick eher auf „das große Ganze“.
Folgender Ansatz macht daher am meisten Sinn: Das Unternehmen betreibt das IKS als Qualitäts- und Risikomanagementsystem für das gesamte Unternehmen, wichtige Punkte aus dem ISMS fließen dabei in die Überprüfungen ein. Bei uns sind daher wichtige regelmäßig zu prüfende Kontrollmaßnahmen des IKS auch zentrale Kontrollmaßnahmen des ISMS: So wird unter anderem regelmäßig überprüft, ob die Verantwortlichkeiten für das ISMS verteilt und definiert sind, Sicherheitstests durchgeführt werden und es ein Security-Event-Handling gibt. Auch Notfallvor-sorgemaßnahmen und informationsrechtliche Aspekte wie Datenschutz oder IT-Compliance sind Teil von beiden Systemen. Andersherum können und sollten die ISMS-Verantwortlichen die Ergebnisse des IKS bei der Weiterentwicklung ihres Systems verwenden. So ergeben sich aus der Risikobewertung von gewissen Prozessen auch die Risikowerte zur Gewährleistung der Informationssicherheit der dazu betriebenen Systeme.
Einsparungspotenzial und Mehrwert für Kunden
Dadurch, dass für beide Systeme entsprechende Prüfungen gemacht werden müssen, kann auf diese Art und Weise zumindest ein Teil der ISMS-Überprüfung durch die IKS-Prüfungen abgedeckt werden, da die Prüfungsinhalte zu großen Teilen deckungsgleich sind. Die IKS-Prüfungen selbst können sich zudem gut auf die Ergebnisse der Analysen des ISMS stützen, um so das Risiko bezüglich der Prozesse im Allgemeinen zu bewerten.
Externe Prüfungen helfen, Vertrauen bei Kunden und Anwendern zu schaffen. Ein ISMS-Zertifikat hat üblicherweise eine Gültigkeitsdauer von drei Jahren. Aufgrund des Aufwands und der Kosten, die mit der Zertifizierung eines ISMS verbunden sind, werden die externen Prüfungen dies-bezüglich meist im Rahmen eines Zertifizierungsaudits durchgeführt.
Ein IKS muss hingegen jährlich rezertifiziert werden, da alle Maßnahmen in einer Art Jahresab-schlussbericht dokumentiert werden müssen. Auch dies ist mit Kosten und Aufwand verbunden. Dafür bringt ein IKS aber einen erheblichen Mehrwert, weil es ein vollumfängliches Bild über den Qualitäts- und Sicherheitsstatus eines Unternehmens zeichnet. Werden die Kontrollmaßnahmen des ISMS in das IKS-Audit einbezogen, ergibt sich zudem der Vorteil, dass dadurch regelmäßige externe Prüfungen zentraler Sicherheitskontrollmaßnahmen stattfinden.
Fazit
Ein funktionierendes IKS gilt als Indiz einer guten Corporate Governance. Es kann zudem als wichtiges Führungsinstrument in einem Unternehmen dienen. Ein ISMS definiert Regeln und Methoden, um die Informationssicherheit in einem Unternehmen oder in einer Organisation zu gewährleisten.
Beide Systeme kombinieren zahlreiche Vorteile: Sie liefern dem Management transparente und verlässliche Informationen über Prozesse und die Wirksamkeit interner Kontrollmaßnahmen bezüglich Sicherheit, Qualität und Effizienz. Sie sollten daher ergänzend und nicht nebeneinander betrieben werden. Auch können gut weitere Systeme integriert werden – wie etwa ein Qualitätssystem nach ISO 9001.
*Milan Naybzadeh ist IT-Compliance-Beauftragter der Adacor Hosting (https://www.adacor.com ).
https://de.wikipedia.org/wiki/Information_Security_Management_System
https://wirtschaftslexikon.gabler.de/definition/internes-kontrollsystem-iks-41197