MA Hoedl

Transcrição

MA Hoedl

Master of Advanced Studies Economic Crime Investigation (MAS ECI)
Enterprise Governance of IT zur Prävention
von Wirtschaftskriminalitäts-Delikten,
dargestellt an einem Betrugsfall Normative und strategische Führungsaspekte
Masterarbeit
Eingereicht am 04. Januar 2010 von
Robert Hoedl
MAS ECI 8
Betreut von
Peter Cosandey (Tutor)
Peter R. Bitterli (Masterarbeitsbetreuer)
Inhaltsverzeichnis
Inhaltsverzeichnis ..........................................................................................................................II
Literaturverzeichnis ..................................................................................................................... IV
Abkürzungen ................................................................................................................................ V
Abbildungsverzeichnis ................................................................................................................ VI
Tabellenverzeichnis ..................................................................................................................... VI
Anmerkung .................................................................................................................................. VI
Kurzfassung ................................................................................................................................ VII
1 Einleitung ................................................................................................................................ 1
1.1 Motivation ...................................................................................................................... 1
1.2 Ziel der Masterarbeit ...................................................................................................... 1
2 Enterprise Governance of IT ................................................................................................... 2
2.1 Der Governance-Begriff ................................................................................................ 2
2.2 Entstehung, Herkunft, Hintergrund ................................................................................ 3
2.3 Anforderungen an eine gute Enterprise Governance of IT ............................................ 5
2.4 'Enterprise Governance of IT'-Ziele ............................................................................... 6
2.5 Implementation .............................................................................................................. 6
2.6 Modelle für Enterprise Governance of IT ...................................................................... 7
2.6.1 Übersicht ............................................................................................................ 7
2.6.2 Modellauswahl................................................................................................... 8
3 Betrugsfall ............................................................................................................................. 10
3.1 Ausgangslage ............................................................................................................... 10
3.1.1 Geheimhaltung................................................................................................. 10
3.1.2 Umfeld ............................................................................................................. 10
3.2 Anfangsverdacht .......................................................................................................... 11
3.3 Die firmeninterne Untersuchung .................................................................................. 11
3.4 Das firmeninterne Ergebnis ......................................................................................... 12
3.4.1 Resultat ............................................................................................................ 12
3.4.2 Vorgehen des Verdächtigen ............................................................................. 12
3.5 Strafverfolgung und Gerichtsverhandlung ................................................................... 13
3.5.1 Ermittlungen der Strafverfolgungsbehörde ..................................................... 13
3.5.2 Gerichtsverhandlung ........................................................................................ 13
3.6 Das Urteil ..................................................................................................................... 14
3.6.1 Schuldsprechung .............................................................................................. 14
3.6.2 Strafzumessung ................................................................................................ 14
4 Methodik ............................................................................................................................... 15
4.1 Grundsätze ................................................................................................................... 15
4.2 Vorgehensweise ........................................................................................................... 15
5 Analyse .................................................................................................................................. 16
5.1 Motivation - Gelegenheiten - Rechtfertigung .............................................................. 16
5.2 Übersicht Gelegenheit > Zielauswirkung..................................................................... 17
5.3 Prävention durch Enterprise Governance of IT ........................................................... 18
Master of Advanced Studies Economic Crime Investigation
Diplomarbeit
© Copyright IWI, Hochschule Luzern
Seite II von VII
5.3.1 Prinzip.............................................................................................................. 18
5.3.2 Präventive Massnahmen für Gelegenheitskomponente A ............................... 19
5.4 Zusammenfassung der Analyse-Resultate ................................................................... 27
6 Ergebnisse ............................................................................................................................. 28
6.1 Präventive Wirkung der Modelle COBIT und Val IT ................................................... 28
6.2 Wirkung auf die Ablauforganisation ............................................................................ 28
6.3 Lösungsansatz 'Prioritätentabelle' ................................................................................ 28
6.3.1 Vorgehen ......................................................................................................... 29
6.3.2 Prioritätentabelle .............................................................................................. 29
6.3.3 Vorgehensvorschlag ........................................................................................ 30
6.3.4 Kosten .............................................................................................................. 31
6.4 Voraussetzungen zur Realisierung des Wertes 'wirksame Prävention gegen
Wirtschaftskriminalitätsfälle' ....................................................................................... 31
6.4.1 Erkennen des Wertes und Bewusstsein fördern ............................................... 31
6.4.2 Notwendigkeit einer guten Enterprise Governance of IT erkennen und fordern31
6.4.3 Gesamtgefährdung ermitteln und Aufträge für die Prävention formulieren .... 32
6.4.4 Enterprise Governance of IT strategisch umsetzen ......................................... 32
6.4.5 Enterprise Governance of IT kontinuierlich verbessern .................................. 32
6.5 Geprüfter Methodeneinsatz .......................................................................................... 32
7 Fazit und Ausblick ................................................................................................................ 33
Anhang 1: Kurzübersicht 'COBIT' ............................................................................................... 35
Anhang 2: Kurzübersicht 'Val IT' ................................................................................................ 36
Anhang 3: Relation der ITGI Produkte und ISO/IEC 38500 ...................................................... 37
Anhang 4: Gesamte Detailanalyse............................................................................................... 38
Anhang 5: Inhalt der CD ............................................................................................................. 38
Anhang 6: Vertrauliche Zusatzinformationen ............................................................................. 38
Diplomarbeit
Seite III von VII
Literaturverzeichnis
Dieses Verzeichnis beinhaltet die gesamte referenzierte Literatur; auch jene vom Anhang 4, der in einem
separaten Dokument und nur auf der CD abgegeben wird.
Literatur aus Onlinequellen ist auch auf der abgegebenen CD abgelegt.
AUINGER, R., BITTERLI, P. R., BRUNNER, D., EUGSTER, D., SCHÖBI, P., SCHWAB, S., SUTER, A.-M. &
WEBER, R. H. (2003). Forensic Computing. Fachgruppe Security der Schweizerischen
Informatikergesellschaft.
BIENERT, P. & WILDHABER, B. (2007). IT-Governance. Glattzentrum: Forte Advisors.
BITTERLI CONSULTING (2009). IT Governance von A bis Z. Zürich: ITACS Training.
COSANDEY, P. (2009). Rahmenbedingungen für nicht hoheitliche Untersuchungen. Vorlesungsunterlagen
zum Studium Master of Advanced Studies Economic Crime Investigation, Modul 'Untersuchungen
ohne hoheitliche Rechte'.
ECONOMIESUISSE (2007). Swiss Code of Best Practice for Corporate Governance (Version 2007).
Online (15.12.2009):
http://www.economiesuisse.ch/web/de/PDF%20Download%20Files/pospap_swiss-code_corpgovern_20080221_de.pdf
FACG (1992). The Financial Aspects of Corporate Governance. London: Gee. Online (15.12.2009):
http://www.ecgi.org/codes/documents/cadbury.pdf
FASKE, M. (2009). Fallstudie: Die richtige Prävention und „abschreckende“ Bekämpfung.
Vorlesungsunterlagen zum Studium Master of Advanced Studies Economic Crime Investigation,
Modul 'Untersuchungen ohne hoheitliche Rechte'.
GODSCHALK, D. (2007). Computer Related Occupational Deviance. Wiesbaden: Deutscher
Universitätsverlag .
IFC (2007). Serbian Corporate Governance Manual. Washington DC, USA: International Finance
Corporation. Online (13.10.2009):
http://www.ifc.org/ifcext/cgf.nsf/AttachmentsByTitle/CorporateGovernance_manual_Belgrade200
7/$FILE/Corporate_Governance_Manual_New.pdf
ISACA (2009). Risk IT Framework. Rolling Meadows, IL USA: ISACA. Online (15.12.2009):
http://www.isaca.org/Template.cfm?Section=Risk_IT&Template=/TaggedPage/TaggedPageDispl
ay.cfm&TPLID=79&ContentID=48749
ISO (2008). ISO/IEC 38500:2008. Geneva: ISO Copyright Office.
ITGI (2007). COBIT 4.1. Rolling Meadows, IL USA: IT Governance Institute. Online (15.12.2009):
http://www.itgi.org
ITGI (2008a). Val IT 2.0. Rolling Meadows, IL USA: IT Governance Institute. Online (15.12.2009):
http://www.itgi.org
ITGI (2008b). Unlocking Value. An Executive Primer on the Critical Role of IT Governance. Rolling
Meadows, IL USA: IT Governance Institute. Online (30.08.2009):
http://www.itgi.org/ContentManagement/ContentDisplay.cfm?ContentID=48247
ITGI (2008c). ITGI Enables ISO/IEC 38500:2008 Adoption. Online (15.12.2009):
http://www.itgi.org/AMTemplate.cfm?Section=Deliverables&Template=/ContentManagement/Co
ntentDisplay.cfm&ContentID=47865
Diplomarbeit
Seite IV von VII
JOHANNSEN, W. & GOEKEN, M. (2007). Referenzmodelle für IT-Governance (1.Auflage). Heidelberg:
dpunkt.verlag.
KAUER, T. (2009). Strafverfahren als Projekt. Vorlesungsunterlagen zum Studium Master of Advanced
Studies Economic Crime Investigation, Modul Zwangsmassnahmen.
KILLIAS, M. (2002). Grundriss der Kriminologie. Eine europäische Perspektive. Bern: Stämpfli Verlag.
MALIK, F. (2008). Die richtige Corporate Governance. Frankfurt und New York: Campus Verlag.
OECD (2004). OECD-Grundsätze der Corporate Governance (Neufassung 2004). Online (13.10.2009):
http://www.oecd.org/dataoecd/57/19/32159487.pdf
TARANTINO, A. (2008). Governance, Risk, and Compliance Handbook. Hoboken, NJ USA: John Wiley
& Sons.
VAN GREMBERGEN, W. & DE HAES, S. (2009). Enterprise Governance of Information Technology. New
York: Springer Science + Business Media.
VAN GREMBERGEN, W., DE HAES, S. & VAN BREMPT, W. (2008). Identifying and Aligning Business
Goals and IT Goal. Full Research Report. Rolling Meadows, IL USA: IT Governance Institute.
WEILL, P. & Ross, J. (2004). IT Governance. How Top PerformersManage IT Decision Rightsfor
Superior Results. Boston: Harvard Business School Press.
WIELAND, S. (2007). Fraud Management. Lektion 1: Kriminologie für Fraud Manager. Eschborn:
Management Circle Verlag.
Abkürzungen
StGB
Strafgesetzbuch
COBIT
Control Objectives for Information and Related Technology
IT
Information Technology. Diese wird inklusive der Communication Technology verstanden.
Die Abkürzung ICT wird aus Gründen der Verständlichkeit nicht angewendet.
MAS ECI
Master of Advanced Studies 'Economic Crime Investigation'
IFC
International Finance Corporation
ISACA
Name einer unabhängigen, non-profit Organisation. Nach eigenen Angaben ein "leading
global provider of knowledge, certifications, community, advocacy and education on
information systems assurance and security, enterprise governance of IT, and IT-related risk
and compliance." (Quelle: http://www.isaca.org . ISACA Fact Sheet);
früher bekannt als 'Information Systems Audit and Control Association'
ITGI
IT Governance Institute
OECD
Organisation für Wirtschaftliche Zusammenarbeit und Entwicklung
ISO
International Organization for Standardization
IEC
International Engineering Consortium
Diplomarbeit
Seite V von VII
Abbildungsverzeichnis
Abbildung 1: Governance............................................................................................................................ 2
Abbildung 2: 'govern' .................................................................................................................................. 2
Abbildung 3: Governance in einem Unternehmen ...................................................................................... 4
Abbildung 4: 'Four Ares' ............................................................................................................................. 6
Abbildung 5: Produkt-Diagramm und Einsatzgebiete................................................................................. 9
Abbildung 6: Fraud Triangle nach Donald R. Cressey ............................................................................. 15
Abbildung 7: Fraud Triangle für den Betrugsfall bei der Opfer AG ......................................................... 16
Abbildung 8: Overall CobiT Framework .................................................................................................. 35
Abbildung 9: 'Val IT'-Prozesse.................................................................................................................. 36
Abbildung 10: Relation der ITGI Produkte und ISO/IEC 38500 .............................................................. 37
Tabellenverzeichnis
Tabelle 1: Auswirkung der Gelegenheit auf die Geschäftsziele ................................................................ 17
Tabelle 2: Präventiv wirkende Prozesse (Uebersicht) ............................................................................... 27
Tabelle 3: Präventiv wirkende Prozesse (priorisiert) ................................................................................ 30
Anmerkung
In dieser Masterarbeit wird der einfacheren Lesbarkeit wegen die männliche Form verwendet.
Diplomarbeit
Seite VI von VII
Kurzfassung
Die vorliegende Masterarbeit befasst sich mit der Prävention von Wirtschaftskriminalität in
Unternehmen. Es wird am Beispiel eines realen Betrugsfalles untersucht, ob mit Enterprise Governance
of IT vorbeugende Wirkung gegen diesen Fall hätte erzielt werden können. Der Betrugsfall, bei dem
IT-Hilfsmittel zum Einsatz kamen, wird anonymisiert dargestellt. Der Verfasser hatte die Möglichkeit,
als externer Consultant diesen Fall zu begleiten.
Ein weiteres Ziel ist, auf die Abhängigkeiten bei den identifizierten 'Enterprise Governance of IT'Prozessen hinzuweisen. Der Grund für einen Missstand liegt möglicherweise in einer vorgelagerten
Aktivität, der die notwendigen Informationen, Vorgaben oder Anweisungen nicht liefert. Dabei werden
die Aspekte der normativen und strategischen Ebene der (IT-)Führung aufmerksam verfolgt.
Kapitel 2 beinhaltet eine Einführung in die Enterprise Governance of IT. Dabei werden Begriffe erklärt,
Modelle vorgestellt und die diesbezügliche Basis für die Analyse gelegt.
Im Kapitel 3 wird der Betrugsfall geschildert. Die Beschreibung der firmeninternen Untersuchung und
der nachfolgenden Strafverfolgung mit den zugehörigen Ergebnissen vervollständigen die Basis für die
Analyse.
Im nächsten Kapitel wird die Analysemethode vorgestellt. Die konkreten Analyseschritte werden in
Kapitel 5 abgebildet. Anhand des von Donald R. Cressey1 entwickelten Fraud Triangle werden für den
Betrugsfall die tatsächliche Motivation, die Gelegenheit und die Innere Rechtfertigung des Täters
dargestellt. In den nächsten Schritten werden nur noch die Komponenten der Gelegenheit analysiert.
Es werden jene Gelegenheitskomponenten bestimmt, die negative Auswirkungen auf die Unternehmensziele beinhalten.
Anhand der 210 Control Objectives von COBIT2 und den 69 Key Management Principles von Val IT3
wird für jede der verbliebenen 11 Gelegenheitskomponenten geprüft, ob bei korrekter Durchführung der
'Enterprise Governance of IT'-Prozesse präventive Wirkung hätte erzielt werden können.
Die Ergebnisse werden in Kapitel 6 beschrieben. Dabei wird auch ein Ansatz für die Behebung der
Schwachstellen präsentiert. Eine kritische Diskussion und ein Ausblick mit Vorschlägen für weitere
Diplomarbeiten schliessen die Arbeit ab.
1
Donald R. Cressey (USA, 1919-1987) gilt als ein Pionier in der Erforschung der Wirtschaftskriminalität. Für weitere Details zum Fraud
Triangle wird auf FASKE (2009) verwiesen.
2
ITGI (2007)
3
ITGI (2008a)
Diplomarbeit
Seite VII von VII
1
Einleitung
1.1
Motivation
Nach der Aufdeckung eines Wirtschaftskriminalitätsdeliktes in einem Unternehmen stellt sich spätestens
nach Abschluss der Untersuchungen die Frage, ob dieser Fall auch hätte verhindert werden können.
Weil heutzutage bei dolosen Handlungen in Unternehmen häufig die IT-Hilfsmittel eine Rolle spielen,
könnte Enterprise Governance of IT einen Beitrag zur Prävention liefern.
Dies an einem konkreten Betrugsfall zu untersuchen, ist die Aufgabenstellung für diese Arbeit. Dabei
soll auch auf Abhängigkeiten zwischen den zur Prävention dienenden Massnahmen hingewiesen werden.
Indirekt wird so auch aufgezeigt, welche Stellen im Unternehmen in dieser Sache gefordert sind. Eine
weitere Motivation besteht darin, den Führungskräften von der Businessseite aufzuzeigen, dass
IT-Investments keine reinen IT-Angelegenheiten sind.
Beim Verfasser besteht die Hoffnung, dass der Zusatzaufwand für die Prävention durch Enterprise
Governance of IT gering gehalten werden kann. Diese Hoffnung wird dadurch genährt, dass nach
Ansicht des Verfassers der erfolgreiche IT-Einsatz in einem Unternehmen nur durch eine gute Enterprise
Governance of IT sichergestellt werden kann.
Im übrigen wurde dieser Betrugsfall gewählt, weil er für die Branche recht typisch ist und sich an der
Schnittstelle zwischen dem IT- und dem Business-Bereich abspielt. Diese Arbeit soll auch dazu
beitragen, diese beiden Bereiche (noch) näher zusammenzubringen.
1.2
Ziel der Masterarbeit
Für diese Arbeit sind folgende Ziele festgelegt worden:
Hauptziel
Anhand der Analyse eines realen Betrugsfalles im IT-Umfeld soll aufgezeigt werden, in welchen
Bereichen Enterprise Governance of IT hätte mithelfen können, den Fall aufzudecken und mit welchen
Massnahmen der Fall eventuell hätte vermieden werden können.
Dies soll primär aus Sicht der normativen und strategischen Ebenen der (IT-)Führung erfolgen.
Untergeordnete Ziele

Diese Arbeit soll dazu beitragen, ähnlich gelagerte Wirtschaftskriminalitäts-Fälle zu vermeiden.

Die Resultate dieser Masterarbeit sollen so beschrieben werden, dass diese in der Praxis umgesetzt
werden können. Wo dies den Rahmen der Arbeit sprengen würde, soll ein Lösungsansatz angedeutet
werden.
Abgrenzung
Die Beschränkung auf die normative und strategische Ebene der IT-Führung bedeutet, dass auf die
operative Ebene nur eingegangen wird, um das Gesamtverständnis sicherzustellen.
Zwischen Enterprise Governance of IT und Corporate Governance besteht eine Interdisziplinarität.
Auf diese Abhängigkeit wird soweit eingegangen, um den Zusammenhang aufzuzeigen.
Der reale Betrugsfall darf nicht offen gelegt werden. Darum werden die Informationen dazu
anonymisiert. Der Betrugsfall soll so weit beschrieben werden, wie es für die Behandlung des
Themas notwendig ist.
Diplomarbeit
Seite 1 von 38
2
Enterprise Governance of IT
2.1
Der Governance-Begriff
Der Begriff 'Governance' beinhaltet je nach Sichtweise
unterschiedliche Komponenten. In dieser Arbeit soll
Governance gemäss folgendem Beispiel verstanden
werden:
"the governance of an association is responsible to its
members".
Dies bedeutet, dass Governance
a) führende Personen,
b) Beziehungen bzw. "Beziehungsgeflechte und
c) die Tätigkeit 'govern'
beinhaltet.
In dieser Arbeit wird nur auf Corporate Governance und
Enterprise Governance of IT eingegangen.
Im Zusammenhang mit diesen beiden GovernanceAusprägungen werden als führende Personen meistens
die Verwaltungsräte und Mitglieder der Geschäftsleitung, also das oberste Management, genannt. Wichtig für Umsetzung und Rückmeldungen sind aber
auch die übrigen Führungspersonen des Linien- und des Fachkaders. Diese haben die jeweilige
Governance in "verdauungsgerechten" Stücken auf ihre Untergebenen (untere Führungsstufe oder
Mitarbeitende) wirken zu lassen.
Abbildung 1: Governance
(Quelle: http://www.visualthesaurus.com)
Die Beziehungen finden sich innerhalb einer Unternehmung in deren Aufbau- und Ablauf-Organisation
und ausserhalb zu den offensichtlichen Kontakten (z. B. Aktionäre, Gläubiger) wie auch solche die
möglicherweise nur indirekt wirken (z. B. Aufsichtsorgane, Gesetzgeber).
Verwandte Tätigkeiten
von 'govern' zeigt die
nebenstehende Grafik.
Die prominente
Vertretung von
Tätigkeiten wie rule,
regulate, regularise
(regeln, regulieren) deutet
darauf hin, dass normative
und strategische Aspekte
einen wesentlichen Anteil
der Governance-Arbeit
ausmachen.
Enterprise Governance of
IT
So wie sich die Information Technology und
deren Einsatz über die
Jahre
verändert haben, hat
Abbildung 2: 'govern' (Quelle: http://www.visualthesaurus.com
sich
auch
die Definition
gesehen bei BITTERLI CONSULTING, 2009, S.1)
von "IT Governance"
gewandelt. Dies erkennt man auch an den vielen verschiedenen Definitionen für "IT Governance".
Diplomarbeit
Seite 2 von 38
Im Speziellen seit den 90er-Jahren erhielt das Konzept "IT-Governance" immer grössere Bedeutung.
Mit der Bezeichnung "IT-Governance" war für viele klar, dass sich dieses Thema in der IT-Abteilung
abzuspielen hat. Dies, obwohl die Fachabteilung die Hauptverantwortung über das Geschäft (finanzielles
Resultat, Prozesse, Verfahren etc.) und damit auch für das Hilfsmittel IT zu tragen hatte.
Mit der steigenden IT-Abhängigkeit des Kerngeschäftes eines Unternehmens begann sich auch die
Zuständigkeit der Governance für die IT zu ändern. Für das Unternehmen wichtige IT-bezogene
Entscheide werden neu von der obersten Unternehmensführung gefällt. Zusätzlich erhalten die
IT-abhängigen Geschäftsprozesse erhöhtes Augenmerk. Diese Veränderungen reflektiert die
Bezeichnung 'Enterprise Governance of IT'. Eine passende, gebräuchliche deutsche Bezeichnung
gibt es nicht.
Für diese Arbeit wird darum folgende Definition verwendet:
"Enterprise Governance of IT is an integral part of corporate governance and addresses
the definition and implementation of processes, structures and relational mechanisms in
the organisation that enable both business and IT people to execute their responsibilities
in support of business/IT alignment and the creation of business value from IT-enabled
business investments."4
2.2
Entstehung, Herkunft, Hintergrund
Die moderne Corporate Governance geht wohl auf den Beginn der 90er Jahre zurück. Ausgelöst durch
die kriminellen Ereignisse um die BCCI Bank, Polly Peck und Maxwell Communication, wurde der Ruf
nach verbesserter Corporate Governance laut. Dies in erster Linie, um das Kapital der Investoren zu
schützen. Das Cadbury Committee hat daraufhin den ersten Code on Corporate Governance mit dem
Titel 'The Financial Aspects of Corporate Governance'5 publiziert.
Getrieben durch weitere grosse Firmenzusammenbrüche aufgrund krimineller Handlungen der
Verantwortlichen, wurden in vielen Ländern weitere Codes zum Thema Corporate Governance
entwickelt. In der Schweiz war dies der 'Swiss Code of Best Practice for Corporate Governance'6.
Der erste weltweit anerkannte Code, die 'OECD Principles of Corporate Governance'7, wurde 1999
publiziert und 2004 in einer überarbeiteten Version veröffentlicht. Dieses Corporate Governance
Framework zielt auf die Personengruppen Aktionäre, das Aufsichtsorgan 'Verwaltungsrat' sowie
sonstige Unternehmensbeteiligte und ist auf folgenden Werten aufgebaut8:




Fairness (Rights and Fair of Shareholders),
Verantwortlichkeit (Roles and Responsibilities of the Board of Directors),
Transparenz (Financial Transparency and Disclosure) und
Wahrnehmung der Aufgaben (Ethical and Professional Behaviour and Internal Controls).
Dieser Fokus auf die einzelnen Interessengruppen wird aber z. B. von Prof. Fredmund Malik kritisiert. Er
schlägt vor, das Unternehmen in den Mittelpunkt der Betrachtungen zu stellen. Dies begründet er damit,
dass: "Was für das Unternehmen gut ist, kann für die verschiedenen Interessengruppen nicht schlecht
sein. Was hingegen für die Interessengruppen gut sein mag, kann für das Unternehmen den Untergang
bedeuten."9 Im Weiteren weist er darauf hin, dass: "Was gut für das Unternehmen ist, immer wieder zu
Anpassungsnotwendigkeiten und für einzelne oder temporär auch alle Interessengruppen zu Opfern
4
VAN GREMBERGEN & DE HAES (2009), S. 3, Fig.1.2
5
FACG (1992)
6
ECONOMIESUISSE (2007) . Die erste Version vom Juli 2002 wurde 2007 aktualisiert.
7
OECD (2004)
8
IFC (2007), S.12
9
MALIK (2008), S.132 unten
Diplomarbeit
Seite 3 von 38
führt." Er schlägt vor, davon auszugehen, dass ein Unternehmen nicht dazu da ist, Interessengruppen zu
befriedigen, sondern eine produktive Leistung für den Markt zu erbringen.10
Nach Einschätzung des Verfassers wird die von Prof. Fredmund Malik vorgeschlagene Sichtweise bei
der Weiterentwicklung der Corporate Governance wesentlich werden. Dies speziell nachdem im
Zusammenhang mit der aktuellen Finanzkrise viele Unternehmen, sogar Banken, in ernste
Schwierigkeiten geraten sind oder sogar Konkurs anmelden mussten. Besonders kritische Situationen
entstehen für die Weltwirtschaft, wenn es sich dabei um Unternehmen handelt, die für das Funktionieren
eines Wirtschafts-Teilsystems, z. B. des Finanzsystems, entscheidend sind.
Im Gegensatz zu dem in angloamerikanischen Ländern stark verbreiteten Modell, bei dem die Interessen
der Shareholder, die einen absoluten persönlichen finanziellen Vorteil anstreben, Priorität geniessen, ist
in Europa das koordinierte Modell11 vorherrschend. Dieses akzeptiert zwar die Rolle des Aktionärs, gibt
aber den Interessen verschiedener Personengruppen12 den Vorzug:
 Kunden wollen einen langfristig vertrauenswürdigen Partner, der seine Versprechungen einhält.
 Alle Mitglieder eines am Unternehmen interessierten Kreises (Stakeholder) wollen eine langfristig
erfolgreiche Unternehmung (Aktionäre wollen ihre Investitionen sicher und ertragreich angelegt
wissen; Mitarbeitende wollen für ihre Arbeit entlöhnt werden; Lieferanten wollen ihre Leistungen
bezahlt bekommen)
 Regulatoren wollen sicher sein, dass die Unternehmung die relevanten Bestimmungen heute und
zukünftig einhält.
 Board Member und Mitarbeiter wollen sich mit einer erfolgreichen Tätigkeit eine Referenz für
ihre zukünftige Karriere schaffen.
Die Entwicklung in diesen letzten 20 Jahren zeigt, dass die Corporate Governance kein statisches
Gebilde ist, sondern von den Kulturen, dem Zeitgeist und den Wertvorstellungen abhängt.
Im Laufe der Zeit hat in den Unternehmen der Stellenwert bzw. die Abhängigkeit von der IT stetig
zugenommen. Für sehr viele Unternehmen hat eine funktionierende IT inzwischen eine existenzielle
Bedeutung. Die IT als wichtiger Enabler für die Unternehmensentwicklung ist in den meisten Fällen
aber teuer, nicht einfach zu handhaben und zudem benötigen Vorhaben, bis sie produktiv genutzt
werden können, oft eine lange Vorlaufzeit.
Dies bewirkt, dass die Aufgabenstellung der Governance für die IT als Bestandteil der Corporate
Governance primär auf der Ebene des obersten Managements angesiedelt werden muss. Für eine
erfolgreiche Erledigung dieser Aufgabe wird in diesen Gremien auch umfassende IT-Kompetenz
vor allem auf der normativen und strategischen Ebene verlangt.
Corporate Governance
Enterprise
Governance
of IT
Financial
Governance
(weitere
Key Asset
Governance)
Abbildung 3: Governance in einem Unternehmen (abgeleitet von WEILL & ROSS, 2004, S.5)
Welche Anforderungen der Unternehmung an die IT und die IT-unterstützten Geschäftsprozesse auch
gestellt werden, ohne eine gute Enterprise Governance of IT können diese nicht Erfolg versprechend
erfüllt werden.
10
MALIK (2008), S.51 oben
11
TARANTINO (2008), S.11
12
TARANTINO (2008), S.163
Diplomarbeit
Seite 4 von 38
2.3
Anforderungen an eine gute Enterprise Governance of IT
Gute Enterprise Governance of IT folgt den Grundsätzen der Corporate Governance. Doch es ist
festzustellen, dass die darüber hinaus gehenden Anforderungen für gute Enterprise Governance of IT
erheblich auseinandergehen. Dies hängt nach Ansicht des Verfassers wesentlich damit zusammen, wie
die Führungsorgane die Rolle der IT einschätzen. BIENERT & WILDHABER13 diskutieren dazu vier
Managementthesen zur IT:
1
2
3
4
"IT ist Commodity und erfordert keine spezifische Kompetenz"
"IT ist als Kernkompetenz unserer Wertschöpfung zu komplex"
"IT ist wichtig, nicht aber auf der Ebene der Unternehmensführung"
"IT ist als Führungsaufgabe externalisierbar"
Der Verfasser vertritt die Ansicht, dass bei vielen Unternehmen
 These 1 leider (bei einzelnen Disziplinen der IT, z. B. Operating, wäre es allerdings wünschenswert) oder zum Glück (speziell bei den "kreativen" IT-Disziplinen die WettbewerbsvorteilPotenzial beinhalten) noch nicht erreicht ist.
 These 2 dafür sorgt, dass man sich mit der Möglichkeit der Wertschöpfung über IT auseinandersetzt. Dies in der Annahme, dass, wenn die Komplexität erfolgreich bewältigt werden könnte,
man diese Chance nutzen würde.
Das möglichst problemlose Bewältigen der komplexen Vorgänge in der IT bzw. um den
IT-Einsatz kann für Unternehmen, in denen die Information eine grosse Bedeutung hat einen
wesentlichen Wettbewerbsvorteil bedeuten, der sich für die Betriebe auf verschiedensten
Gebieten positiv auswirkt.
 bei These 3 die Möglichkeit, einen Wettbewerbsvorteil auch über IT zu realisieren, nicht erkannt
wird. Weiter stellt sie ein Alibi dar, sich auf der obersten Führungsebene nicht oder möglichst
wenig mit der IT beschäftigen zu müssen; z. B. aus Mangel an persönlicher IT-Kompetenz.
 bei These 4 eine grosse Gefahr besteht, dass die Interessen des Unternehmens zu Lasten jener des
externen, mit dem Auftrag betrauten Unternehmens, nicht genügend berücksichtigt werden.
Gegebenenfalls können interne Führungskräfte die Tragweite "ihrer" Entscheide nicht erkennen,
weil sie mangels IT-Kompetenz dazu nicht in der Lage sind. Möglicherweise verlassen über die
externen Berater Unternehmensgeheimnisse ungewollt die Unternehmensgrenzen.
Einige zentrale Anforderungen an die Enterprise Governance of IT lassen sich aber definieren,
unabhängig davon, welche These vertreten wird.14:
Der komplette Prozess von Mittelvergabe und Kontrolle der Mittelanwendung ist das wichtigste
Verbindungsglied für die Einflussnahme der normativen Unternehmensführung auf die
strategischen Teile des Informationssystems. Die dafür nötigen Prozessmuster und Werkzeuge
müssen in jedem Fall auch auf höchster Führungsebene verstanden werden.
Mit einem guten Verständnis für IT muss die Führungsebene in der Lage sein, die Rolle der IT
für verschiedene Segmente der eigenen Wertschöpfung korrekt einzuordnen. Für das
Geschäftsmodell vieler Unternehmen mag die Einschätzung von IT als Begleitkompetenz
tatsächlich korrekt sein. Erfahrungsgemäss können die wenigsten Verantwortungsträger in
Aufsichts- oder Verwaltungsräten dies aber begründen.
Nach unseren Erfahrungen wird in Aufsichts- und Verwaltungsräten die Bedeutung der
Informationssysteme für die eigene Wertschöpfung in der Mehrzahl der Fälle eher unterschätzt.
Wird diese Tatsache eingesehen, führt dies aber nicht automatisch zur Erhöhung der IT-Budgets,
13
BIENERT & WILDHABER (2007), S.12f
14
BIENERT & WILDHABER (2007), S.29f
Diplomarbeit
Seite 5 von 38
sondern zu einem Selbstverständnis als IT-Investor. In dieser Rolle sorgen Verwaltungs- und
Aufsichtsräte für ein zwischen Risiko und Sicherheit ausgewogenes Portfolio an IT-Investments.
Die Vernachlässigung der Pflege der eigenen strategischen Kompetenz hat zur Abhängigkeit
ganzer Branchensegmente vom Know-how externer Berater geführt. Deren zunehmende Nähe zu
und gesellschaftliche Verflechtung mit den grossen Anbietern für Informatik verschlechtert die
Ausgangsposition für Kunden, denen es an eigener IT-Kompetenz mangelt.
Weiter sollen im Speziellen die Vorgaben auf der normativen und strategischen Ebene verständlich,
weitreichend und doch auf die wichtigen Punkte möglichst konkret hinweisend, ebenengerecht und
schriftlich abgefasst sein.
2.4
'Enterprise Governance of IT'-Ziele
Aus diesen Anforderungen kann das Ziel für gute Enterprise Governance of IT folgendermassen
formuliert werden:
Das oberste Management muss die Herausforderung 'Enterprise Governance of IT' annehmen. Durch
entsprechende Äusserungen und Verhalten ist der wegweisende Tone-at-the-top anzuschlagen. Dies ist
Teil der Zielkomponente 'Übernahme der Verantwortlichkeiten durch die Beteiligten'.
Weiter ist darauf zu achten, dass die Handlungen auf Performance und Conformance ausgerichtet sind
sowie sorgfältige, transparente Entscheidungen beim Mitteleinsatz gefällt werden. Dies erfordert auch
Rücksichtnahme auf die Eigenheiten der Ressource Mensch. Hierbei sind natürliche Grenzen gesetzt.
Eine strategische Ausrichtung soll den langfristigen Erfolg sichern und Flexibilität für die operative
Ausrichtung geben.
Mit guter Enterprise Governance of IT soll sichergestellt werden, dass die IT ihren Beitrag an die
Unternehmenszielsetzung heute und in Zukunft liefert. In der Vergangenheit (und leider auch in der
Gegenwart) ist es im Zusammenhang mit IT-Vorhaben und dem IT-Betrieb zu oft zu grossen negativen
Zielabweichungen gekommen. Exponenten sprechen in diesem Zusammenhang auch von einem ITChaos. Dieses IT-Chaos soll durch gute Enterprise Governance of IT gelöst werden.
2.5
Implementation
Das Modell von Enterprise Governance of IT zu verstehen ist der erste Schritt, Wirksamkeit über alle
Ebenen der Unternehmensorganisation zu erzeugen, die darauf folgende Herausforderung.
Aufgrund vielfältiger Anforderungen und Ausprägungen guter Enterprise Governance of IT sowie
unterschiedlichen Organisationen gibt es für die Implementation und die Weiterentwicklung keinen
Königsweg. Die Implementation ist eine Aufgabe, die konzern- bzw. firmenindividuell gelöst werden
muss. Die Implementation sollte aufgrund eines Implementationsplanes
möglichst als Projekt erfolgen.
Sie sollte durch die Beantwortung folgender Fragestellungen15 getrieben
werden:




Are we doing the right things? (the strategic question)
Are we doing them the right way? (the architecture question)
Are we getting them done well? (the delivery question)
Are we getting the benefits? (the value question)
Abbildung 4: 'Four Ares'
15
Basiert auf den 'Four Ares', beschrieben von John Thorp in seinem Buch 'The Information Paradox', herausgegeben zusammen mit Fujitsu,
zuerst publiziert von McGraw Hill (USA) in 1998 und überarbeitet in 2003. Gesehen in ITGI (2008b) S. 7.
Diplomarbeit
Seite 6 von 38
Ein wichtiger Baustein für ein erfolgreiches Implementationsvorhabens ist die Schaffung von
Bewusstsein für Enterprise Governance of IT beim gesamten Business- und IT-Management.
Diese Führungspersonen sollen in das Vorhaben einbezogen werden.
Damit auch sichergestellt ist, dass das gewählte Modell die gewünschte Wirkung erzielt, ist darauf
zu achten, dass die Wirkung gemessen wird; z. B. mit Hilfe von Balanced Scorecard für Enterprise
Governance of IT16.
Um Erfahrungen aus anderen Unternehmen für die eigene Implementation zu nutzen, sei auf den
Full Research Report 'Identifying and Aligning Business Goals and IT Goals'17 hingewiesen.
Ein Beispiel einer fundierten Anleitung für die Implementation von Enterprise Governance of IT
enthält VAN GREMBERGEN & DE HAES (2009), Kapitel 8.
Für die Bewältigung der umfangreichen Aufgaben der Enterprise Governance of IT bieten verschiedene
Modelle Hilfestellung. Es gilt das oder die für das Unternehmen passendste auszuwählen.
2.6
Modelle für Enterprise Governance of IT
2.6.1
Übersicht
Zur Sicherstellung der Enterprise Governance of IT werden meistens folgende Modelle genannt:

'Control Objectives for Information and Related Technology (COBIT)'18 von ITGI ist
international als Good Practice für die Steuerung und Kontrolle von Informationen, IT und den
entsprechenden Risiken weitgehend akzeptiert. Die Anleitung ermöglicht einer Unternehmung
die Implementierung von guter, effektiver Governance für IT.

'Val IT'19, ebenfalls von ITGI, ist ein Framework, das dem oberen und obersten Management
einer Unternehmung zu erschwinglichen Kosten und kalkulierbaren Risiken helfen soll, den
Nutzen ihrer Investitionen und die IT zu optimieren. Val IT basiert auf COBIT.

Integrierte Frameworks vom Committee of Sponsoring Organizations of the Treadway
Commission (COSO). Diese Anleitungen unterstützen Unternehmen bei der Internen Kontrolle
(COSO-IC) und dem Risikomanagement (COSO-ERM).

'Information Technology Infrastructure Library (ITIL)' vom Office of Government Commerce
(OGC) ist ein integriertes Set von Best Practice Empfehlungen für IT Management.
ISO/IEC 20000 von ISO ist der erste internationale Standard für IT Service Management. Er
basiert schwergewichtig auf ITIL.

ISO/IEC 27002:2005 (vormals: ISO/IEC 17799:2005), von ISO, ist ein internationaler Code of
Best Practice für Informationssicherheit. ISO/IEC 27001:2005 ist der internationale Standard,
nach welchem Organisationen ihr Informations-Sicherheits-Management-System (ISMS) auf
Übereinstimmung zertifizieren lassen können.

Das 'Capability Maturity Model Integration (CMMI)' ist ein Referenzmodell zur Verbesserung
von Prozessen, die der Beschaffung, der Entwicklung sowie dem Betrieb und der Wartung von
Software dienen. Es wurde vom Software Engineering Institute (SEI) an der Carnegie Mellon
University in Pittsburgh, USA, entwickelt.
16
VAN GREMBERGEN & DE HAES (2009), Kap. 4
17
VAN GREMBERGEN, DE HAES & VAN BREMPT (2008)
18
ITGI (2007)
19
ITGI (2008a)
Diplomarbeit
Seite 7 von 38

Mit dem Standard ISO/IEC 38500:200820 von ISO, wird dem obersten Management ein
Framework von Prinzipien für das Beurteilen, Steuern und Überprüfen des Einsatz von IT in
ihrer Organisation angeboten. Dieser Standard wurde in Australien als AS 8015:2005 von der
dortigen Normierungsbehörde21 entwickelt und dann von ISO und IEC übernommen.
Im November 2009, also während der Erstellung dieser Arbeit, wurde von ISACA das neu geschaffene
RISK IT Framework22 veröffentlicht. Dieses könnte in Zukunft im Zusammenhang mit Enterprise
Governance of IT auch eine prominente Rolle einnehmen. Es basiert wie Val IT auch auf COBIT und
ergänzt diese Modelle.
2.6.2
Modellauswahl
In dieser Arbeit wird von folgender Hypothese ausgegangen:
1. Der Verwaltungsrat hat sich aus folgenden Gründen für die Vorgaben gemäss der ISO/IEC 38500
entschieden: 23
Diese Norm bietet umfassende Prinzipien für die Direktoren einer Organisation (z. B. Eigentümer,
Verwaltungsräte, Geschäftsleitung, Manager) für den effektiven, effizienten und tragfähigen
Einsatz der IT innerhalb ihrer Organisation.
ISO/IEC 38500 appliziert der Governance für IT- und technischen Kommunikations-Dienste die
entsprechenden Prozesse und provoziert zugehörige Entscheidungen. Diese Prozesse können von
IT Spezialisten innerhalb einer Organisation, auch innerhalb eines Geschäftsbereiches oder bei
externen Dienstleistungsanbietern gesteuert und kontrolliert werden.
Eine Anleitung bietet diese Norm auch dem beratenden, informierenden oder unterstützenden
Management. Somit können auch folgende Spezialisten profitieren:
- Senior Manager, z. B. mit Coaching-Aufgaben
- Mitglieder von Organisationseinheiten mit Überwachungsaufgaben
- Externe IT- oder Business-Spezialisten, wie z. B. Juristen, Rechnungslegungs- und
Verkaufs-Spezialisten
- Anbieter von Hardware, Software, Kommunikations- oder sonstigen IT-Produkten
- Interne und externe Serviceanbieter, einschliesslich Consultants
- IT-Revisoren
2. Für die Umsetzung dieser Vorgaben entschied sich die Geschäftsleitung für das Modell COBIT mit
Val IT in den aktuellen Versionen 4.1 bzw. 2.0. Als Gründe wurden folgende angegeben:
- Mit COBIT und Val IT können die Vorgaben aus ISO/IEC 38500:2008 umgesetzt werden.
Zudem unterstützen umfangreiche, auf verschiedene Zielgruppen ausgerichtete Hilfsmittel der
beiden Modelle die Implementation und den Einsatz24. In Anhang 3 wird aufgezeigt, wie und
mit welchen Produkten COBIT und Val IT die Anforderungen von ISO/IEC 38500 abdecken.
20
ISO (2008)
21
SAI Global, http://www.standards.com.au
22
ISACA (2009)
23
ISO/IEC 38500 - Abstract. Online (15.12.2009) http://www.iso.org/iso/iso_catalogue/catalogue_tc/catalogue_detail.htm?csnumber=51639
24
Für COBIT: Online (15.12.2009): COBIT Publications and Products
http://www.isaca.org/Content/NavigationMenu/Members_and_Leaders1/COBIT6/COBIT_Publications/COBIT_Products.htm ,
für Val IT: Online (15.12.2009): Val IT - A framework and supporting publications addressing the governnance of IT-enabled business
investments
http://www.isaca.org/Template.cfm?Section=Val_IT4&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=80&ContentID=51867
Diplomarbeit
Seite 8 von 38
- COBIT integriert die Ansätze mehrerer anderer Referenzmodelle und Standards. Mit der
Version 4.1 werden nun auch die Aspekte der Enterprise Governance of IT ausreichend
angesprochen.
"Das COBIT-Referenzmodell hat sich zu einer Ergänzung der Methoden des IT-Managements
entwickelt, deren Zielsetzung über das Audit hinaus eine Vielzahl betriebswirtschaftlicher
Aspekte adressiert."25
- COBIT ist weltweit anerkannt und wird wie Val IT vom unabhängigen IT Governance Institute
stetig weiterentwickelt.
- Für COBIT und Val IT sind in der Schweiz und weltweit ausgebildete Spezialisten verfügbar.
Die CGEIT-Zertifizierung auf Unternehmungsführungsebene sorgt für einen geprüften
Wissensstand. Zudem verfügen auch CISA-zertifizierte Spezialisten über fundiertes COBITKnow-how.
- Val IT ist zurzeit das fortgeschrittenste Framework, das die IT-bezogenen Geschäftsprozesse
adressiert.
In Abbildung 5 werden die Einsatzgebiete einiger wichtiger Dokumente aus dem COBIT- und 'Val IT'Framework aufgezeigt.
Abbildung 5: Produkt-Diagramm und Einsatzgebiete (Quelle: ITGI, 2007, S.7)
Schlüsselelemente dieser Modelle für Enterprise Governance of IT sind: Strategic Alignment,
Value Delivery, Risk Management, Resource Management und Performance Measurement.
25
JOHANNSEN & GOEKEN (2007), S. 40 mitte
Diplomarbeit
Seite 9 von 38
3
Betrugsfall
3.1
Ausgangslage
Dieses Kapitel wurde basierend auf den firmeninternen Unterlagen der Opfer AG sowie den
Gerichtsunterlagen zusammengestellt. Diese sind nicht öffentlich einsehbar.
3.1.1
Geheimhaltung
Nachstehend wird ein Fall geschildert, wie er sich tatsächlich zugetragen hat. Der Verfasser hatte
während seiner Tätigkeit als externer Consultant Zugang zu allen Informationen, die diesen Fall betrafen.
Aufgrund des Persönlichkeitsschutzes und der Geheimhaltungsverpflichtung werden Namen, genaue
Daten, Ortsbezeichnungen usw. verändert wiedergegeben.
3.1.2
Umfeld
In einer Versicherungsgesellschaft (Opfer AG) wurde 1998 ein neues EDV-System (ERPspez)
eingeführt. Der verantwortliche Direktor bei der Opfer AG kannte das einzuführende System bereits
von seiner Tätigkeit bei einem früheren Arbeitgeber. Durch diese Tatsache wurde das Evaluationsverfahren stark beeinflusst. Im Rahmen des ersten wirklich grossen Einzelprojektes der Opfer AG wurde
das System eingeführt. Bestandteil des Projektes war auch eine umfassende Anpassung der Software
des eingekauften Systems. Als Konsequenz erfuhren viele Geschäftsprozesse teilweise markante
Veränderungen. Das Vorhaben wurde ohne anerkannte Projekt-Standards durchgeführt.
Benutzertests wurden durchgeführt, allerdings ohne definierte Testfälle. Viele der Software-Tester
übernahmen bei der Einführung und dem nachfolgenden Betrieb Ausbildungsaufgaben für die anderen
Benutzer.
Eingeführt wurde die neue Lösung ein Jahr nach dem geplanten Fertigstellungstermin. Wegen der
grossen Verspätung wurden nur die wichtigsten Funktionen realisiert, so, dass die Kernprozesse der
Opfer AG abgewickelt werden konnten. Die restlichen Funktionen sollten später laufend eingebaut
werden.
Nach der Inbetriebnahme wurden laufend Software-Fehler entdeckt. Viele davon mussten mit hoher
Priorität behoben werden. Die korrigierte Software wurde immer schnellst möglich eingesetzt. Durch
dieses Vorgehen wurde die Produktionsumgebung dauernd verändert.
Auch kam es oft vor, dass auf der Datenbank Integritätsverletzungen entstanden. Diese mussten mit
Spezialeingriffen ("Einmal-Jobs") behoben werden. Datenintegritätsverletzungen entstanden, weil die
Eingabefelder ungenügend bzw. nicht plausibilisiert wurden.
Die Software war in einer herstellerabhängigen Programmiersprache realisiert, die ihren Zenit schon
um Jahre überschritten hatte. Langjährige Mitarbeiter waren gefragt, denn sie kannten sowohl die
Programmiersprache als auch das Produkt. Für die Dokumentation blieb fast keine Zeit. Eine
Benutzerdokumentation wurde nicht erstellt.
Im Verlaufe der Jahre und mit vermehrtem Augenmerk auf gute Enterprise Governance of IT (diese
wurde aber nicht explizit eingeführt) wurden unter anderem folgende Abläufe verbessert:




Der Leiter der Informatik-Abteilung wurde Mitglied der Geschäftsleitung.
Die Fehlerbehebungen wurden gebündelt und zuerst "nur" noch monatlich auf das produktive
System gespielt. Später konnte auf ein Releaseverfahren umgestellt werden, d. h. zwei Mal
jährlich eine grosse Software-Anpassung ggf. mit Funktionserweiterungen. Sofortige
Fehlerbehebungen erfolgten nur noch selten.
Testverfahren wurden mithilfe einer eigenen Testumgebung systematisiert.
Bei der Passwortausgabe wurden zusätzliche Sicherungsstufen eingebaut.
Diplomarbeit
Seite 10 von 38
3.2
Anfangsverdacht
Grundsätzlich wurde im Management die Ansicht vertreten, dass die Opfer AG vertrauenswürdige
Mitarbeitende angestellt hatte. Entsprechend waren die Internen Kontrollen nicht besonders ausgeprägt.
Im Rahmen eines Audits im Jahre 2001 wurde unter anderem die Funktionentrennung überprüft. Dabei
wurde festgestellt, dass Mitarbeitende der Leistungsauszahlungsgruppe auch Stammdaten von
Versicherten ändern können.
Bei der Abwicklung einer Leistungszahlung kann der Bearbeiter die Zahlungsadresse übersteuern. Dies
ist bei korrekter Abwicklung eines Geschäftsfalles oftmals nötig, weil der Begünstigte nicht immer
automatisch vom System vorgegeben werden kann. Nur im Rahmen der allgemeinen, nicht systemunterstützten Führungstätigkeit wurde überwacht, ob für die Zahlungen die richtige Adresse eingesetzt
wurde.
Erst 2004 wurde diese nicht akzeptierbare Situation entschärft. Das obere Management veranlasste
zusätzliche Kontrollen bei der Leistungsabwicklung. Eine Massnahme war ein Report 'Auszahlungskontrolle'. Damit konnte das Auszahlungsverhalten der Sachbearbeitenden aufgezeigt
werden. Die Überprüfung der Häufigkeiten auf eine bestimmte Zahlungsadresse weckte den
Verdacht, dass ein Mitarbeiter möglicherweise nicht korrekt gehandelt hat. Im Zeitraum von
6 Jahren erfolgten 141 Zahlungen auf eine nicht registrierte Zahlungsadresse.
Der Verdächtige war der Teamleiter einer Leistungsabrechnungsgruppe. Einige Einzelheiten aus seinem
Lebenslauf:





Jahrgang 1972
1993 - Eintritt bei der Opfer AG als Sachbearbeiter
1996 - Beförderung zum Teamleiter für eine Gruppe von 15 Mitarbeitern
2000 - Austritt aus der Opfer AG
7 Monaten danach - Wiedereintritt in die Opfer AG in derselben Funktion, wie vor dem Austritt
Nebst der Teamleitung bestand seine Aufgabe, wie auch diejenige seiner Mitarbeiter hauptsächlich darin,
Rechnungen zu überprüfen und die in Rechnung gestellten Arbeiten den Leistungserbringern oder den
Versicherten zu vergüten.
Bei der Systemeinführung von ERPspez wurde er aufgrund seiner guten Fachkenntnisse ohne weitere
Ausbildung als Software-Tester eingesetzt. Auch war er als Ausbildner für zukünftige ERPspezAnwender im Einsatz. Bezüglich des IT-Vorhabens hatte er aber keine weiteren Einflussmöglichkeiten.
Insbesondere hatte er keine erkennbare Schuld an den Schwierigkeiten bei der Systemeinführung.
Von Seite der Opfer AG musste das weitere Vorgehen festgelegt werden26. Sie entschied sich, zuerst
eine detaillierte firmeninterne Untersuchung durchzuführen. Ein gemischtes Team aus Juristen,
Fachspezialisten und Revisoren sollte ermitteln, ob sich der Verdacht bestätigt.
3.3
Die firmeninterne Untersuchung
Da die Zahlungsadresse auch den Namen des Begünstigten enthielt, war schnell klar, welche Person
im Fokus der Untersuchung stand. Eine Zahlungsadresse war mit seinem Lohnkonto identisch.
26
Für detaillierte Fragestellungen und Lösungsansätze sei auf COSANDEY (2009) verwiesen.
Diplomarbeit
Seite 11 von 38
Folgende Fragestellungen mussten primär beantwortet werden:
a. Gibt es für die eruierten Zahlungen korrekte Grundlagen (z. B. Rechnungen von Ärzten,
Therapeuten) und passen diese zum Geschäftsvorfall? Sind diese Zahlungen möglicherweise
korrekt? Liegt eine Rechtsverletzung vor?
b. Wie und durch wen wurden die zugehörigen Geschäftsfälle abgewickelt?
Gibt es noch andere Beteiligte als den Verdächtigen? (Insbesondere sein Vorgesetzter,
Teammitglieder sowie ein naher Verwandter, der auch bei der Opfer AG im selben Team
angestellt ist.)
c. Wurden vom Verdächtigen und eventuellen anderen Beteiligten noch weitere unkorrekte
Zahlungen an andere Zahladressen (z. B. von Nahestehenden) initiiert? Wie hoch ist der
gesamte Schaden?
d. Wie können allfällige Verfehlungen so dokumentiert werden, dass die Unterlagen vor Gericht
verwendet werden können?
e. Müssen Sofortmassnahmen ergriffen werden?
Die wichtigste Informationsquelle für diese Untersuchung war in der ersten Phase das System ERPspez.
Dies vor allem, weil die Untersuchungen natürlich im Verborgenen zu erfolgen hatten. Danach wurden
firmenintern Interviews mit dem Verdächtigen sowie möglichen Mitwissern durchgeführt.
3.4
Das firmeninterne Ergebnis
3.4.1
Resultat
Firmenintern reifte die Überzeugung, dass der Verdächtige ohne Einbezug anderer Beteiligter Zahlungen
illegalerweise an sich selbst vorgenommen hatte und dies auch bewiesen werden kann:
Vom August 1998 bis zu seiner Kündigung per Ende Februar 2000, das heisst,
während rund 19 Monaten, löste der Verdächtige auf die geschilderte Vorgehensweise 32 Zahlungen über einen Totalbetrag von CHF 189'755.20 aus.
Nach seiner Rückkehr zur Opfer AG im September 2000 bis zu seiner
sofortigen Freistellung im Dezember 2004 löste er während diesen 53 Monaten
weitere 109 Zahlungen über einen Totalbetrag von CHF 417'133.15 aus.
Der gesamte finanzielle Schaden betrug somit CHF 606'888.35.
Die obersten Verantwortlichen der Opfer AG entschieden, dass gegen den
Verdächtigen Strafanzeige eingereicht wird. Sie verfolgten hiermit dem Sinn nach die Linie, die sie
selbst vorgegeben hatten, nämlich, dass die Unternehmung und damit auch ihre Mitarbeitenden die
Gesetze einhalten.
3.4.2
Vorgehen des Verdächtigen
Bei den firmeninternen Untersuchungen hat sich folgendes herausgestellt:
Der Verdächtige besorgte sich Versichertennummern von verstorbenen Kunden. Im ERPspez gab er
diese Versichertennummern, fiktive Daten einer Behandlung und einen frei erfundenen Rechnungsbetrag
ein. Nachdem er zusätzlich die Identifikationsnummer eines Arztes und seine eigene Businesspartnernummer in diesem System erfasst hatte, wurde die Zahlung ausgelöst. Als Versicherungsnehmer bei
seinem Arbeitgeber verfügte er über eine eigene Businesspartnernummer, bei welcher seine
Zahlungsadressen hinterlegt waren.
Um den Kontrollen zu entgehen, verwendete der Verdächtige immer ungerade Beträge und veranlasste
Diplomarbeit
Seite 12 von 38
die Zahlungen jeweils gegen Ende Woche und damit kurz vor dem Zahlungslauf, welcher jeweils am
Samstag ausgelöst wurde.
Ab 2001 erforderte die Auslösung von Zahlungen zudem einen Strichcode. Daraufhin passte der
Verdächtige sein Vorgehen an. Er behielt jeweils diejenigen Belege von Leistungserbringern, welche
die Bezahlung ihrer Rechnungen gemahnt hatten, zurück. Diese Mahnungen wurden ihm als Teamleiter
zugestellt. Im ERPspez prüfte er dann, ob diese Rechnungen schon bezahlt worden waren. Hatte sich die
Zahlung mit der Mahnung gekreuzt, hätte er den Beleg wegwerfen können. Er nahm ihn aber, brachte
einen Strichcode an und konnte damit die Auszahlung nach der oben beschriebenen Vorgehensweise
auslösen.
Bei den letzten vier Zahlungen verwendete der Verdächtige für die Abwicklung der fiktiven Schaden
User-ID und erschlichene Passwörter von zwei Mitarbeitern aus seinem Team. Er veranlasste die
Zahlungen über deren Benutzer-Account. Als Vorgesetzter dieser Mitarbeitenden war es danach seine
Aufgabe, diese selbst vorgenommenen Geschäfte zu "kontrollieren".
Er begründete diese angepasste Vorgehensweise damit, dass die Kontrollen bei der Opfer AG immer
schärfer und intensiver geworden seien.
3.5
Strafverfolgung und Gerichtsverhandlung
3.5.1
Ermittlungen der Strafverfolgungsbehörde
Im Rahmen der Ermittlungen wurde auch eine Hausdurchsuchung am Wohnort sowie am Arbeitsplatz des Angeklagten durchgeführt. Kontoauszüge der Privatkonten wurden per Editionsverfügung27
beschafft. Auf diesen Kontoauszügen sind sämtliche Zahlungseingänge ausgewiesen.
Die ebenfalls per Editionsverfügung beschafften Unterlagen zu den Kreditkarten und Barkrediten,
wie auch den ausgewiesenen Bargeldbezügen sowie die Aussagen des Beschuldigten und seiner Frau
liessen darauf schliessen, dass der Angeschuldigte seinen Lohn und das zusätzliche illegale Einkommen
vollumfänglich verprasste, um sich einen sehr gehobenen Lebensstandard zu finanzieren.
3.5.2
Gerichtsverhandlung
Anlässlich der Hauptverhandlung sagt der Angeschuldigte aus, er habe immer weiter
gemacht, nachdem es das erste Mal so einfach gegangen sei. Die Frage des Gerichtspräsidenten, ob er sich überlegt habe, dass er die Öffentlichkeit bzw. die Versicherten
betrogen habe, verneinte der Angeschuldigte. Er habe sich dazu nicht wirklich
Gedanken gemacht.
Im übrigen war der Täter von Anfang an geständig und bereute seine Handlungen.
27
Eine Editionsverfügung ist keine Zwangsmassnahme und nicht beschwerdefähig. Eine Einsprache durch den Papierinhaber führt zu einer
Versiegelung mit anschliessendem Entsiegelungsverfahren. Für weitere Details wird auf KAUER (2009), S. 55f verwiesen.
Diplomarbeit
Seite 13 von 38
3.6
Das Urteil
3.6.1
Schuldsprechung
Der Angeklagte wurde wegen Art.147 Abs.1 'Betrügerischer Missbrauch einer Datenverarbeitungsanlage'
StGB verurteilt.
"Wer in der Absicht, sich oder einen andern unrechtmässig zu bereichern, durch unrichtige,
unvollständige oder unbefugte Verwendung von Daten oder in vergleichbarer Weise auf einen
elektronischen oder vergleichbaren Datenverarbeitungs- oder Datenübermittlungsvorgang
einwirkt und dadurch eine Vermögensverschiebung zum Schaden eines andern herbeiführt
oder eine Vermögensverschiebung unmittelbar darnach verdeckt, wird mit Freiheitsstrafe bis
zu fünf Jahren oder Geldstrafe bestraft." (Art. 147 Abs. 1 StGB)
Diesen Tatbestand hat er im Wesentlichen erfüllt, weil er unbefugterweise Daten der Opfer AG sowie
auch Passwort und User-ID von Mitarbeitern verwendete. Weiter unrichtige Daten, z. B. einen fiktiven
Behandlungszeitraum sowie einen fiktiven Rechnungsbetrag, erfasste. Die Eingabe dieser Daten lösten
beim nachfolgenden Zahlungslauf die einzelnen Zahlungen aus, was vorsätzlich zu einer
unrechtmässigen Bereicherung des Angeklagten führte.
Weiter war nach Ansicht des Gerichtes auch die Gewerbsmässigkeit nach Art. 146 Abs.2 StGB gegeben:
"Handelt der Täter gewerbsmässig, so wird er mit Freiheitsstrafe bis zu zehn Jahren oder
Geldstrafe nicht unter 90 Tagessätzen bestraft." (Art. 147 Abs. 2 StGB)
Dieser Tatbestand ist erfüllt, weil für den Täter diese illegalen Einnahmen einen namhaften Beitrag an
die Kosten seiner Lebensgestaltung darstellen28.
Der Täter hätte nach jeder einzelnen Zahlung aufhören können, entschied sich aber 141 Mal dagegen und
delinquierte weiter, bis sein Handeln vom Arbeitgeber aufgedeckt wurde. Da der Täter nach seiner
Wiedereinstellung erneut einen Tatentschluss fasste und weiter delinquierte, liegen zwei im Vorsatz
getrennte gewerbsmässige Deliktserien vor.
3.6.2
Strafzumessung
Der Täter machte sich wegen mehrfachem gewerbsmässigem betrügerischem
Missbrauchs einer Datenverarbeitungsanlage strafbar.
Das Strafmass betrug im Wesentlichen eine Freiheitsstrafe vom 30 Monaten. Der
vollziehbare Teil der Strafe wurde auf das gesetzliche Minimum von 6 Monaten
festgelegt. Die restlichen 24 Monate der Freiheitsstrafe wurden aufgeschoben
(Art. 46 Abs. 1 StGB). Die Probezeit wurde auf 3 Jahre festgelegt.
Der Täter hat das Urteil akzeptiert.
28
Gemäss BGE 116 IV 319
Diplomarbeit
Seite 14 von 38
4
Methodik
4.1
Grundsätze
a) Der Täter in seiner Funktion als Endanwender und Nutzer der IT als Arbeitsinstrument, als
Softwaretester und Ausbildner für diverse IT-Systeme, insbesondere auch des Systems ERPspez,
ist als solcher ein Adressat von Enterprise Governance of IT.
b) COBIT und Val IT beanspruchen auf das Kerngeschäft der Unternehmung ausgerichtet zu sein und
wollen dieses wirksam unterstützen. Deshalb werden die beiden Modelle so verstanden, dass sich
für die erfolgreiche Erledigung der Aufgaben an der Schnittstelle 'IT <> Business' auch beide
Seiten verantwortlich fühlen sollen und entsprechend mitdenken und -handeln.
4.2
Vorgehensweise
In dieser Arbeit wird aufgezeigt wie Enterprise Governance of IT zur Prävention von Wirtschaftskriminalitäts-Delikten genutzt werden kann. Am Beispiel des geschilderten Betrugsfalls und dem Einsatz
von COBIT (Version 4.1)und Val IT (Version 2.0) soll dies nachgewiesen werden. Dabei soll wie folgt
vorgegangen werden:
Druck, Motivation
29
1. Anhand des von Donald R. Cressey entwickelten Fraud
Triangle (Betrugs-Dreieck) werden für den Betrugsfall
für die Faktoren Motivation, Innere Rechtfertigung und
Gelegenheit die konkreten Ausprägungen dargestellt.
Dies, soweit sie für die Opfer AG, das Gericht oder den
Verfasser dieser Arbeit sichtbar waren. Diese Auswirkungen werden mit dem Verantwortlichen der internen
Untersuchung verifiziert.
> Kapitel 5.1
Fraud
Triangle
Innere
Rechtfertigung
Gelegenheit
Abbildung 6: Fraud Triangle nach
Donald R. Cressey
2. Es werden nur noch die einzelnen Ausprägungen der Gelegenheiten weiter analysiert.
Jede Ausprägung (=Gelegenheitskomponente) wird beurteilt, ob diese die Geschäfts- und IT-Ziele
positiv oder negativ beeinflusst. Damit die Resultate der Arbeit allgemein verwendet werden
können, werden für die Gegenüberstellung die Zieldefinitionen (Business und IT Goals) aus dem
COBIT- und 'Val IT'-Framework verwendet.
> Kapitel 5.2
3. Es werden nur jene Gelegenheitskomponenten weiterverfolgt, die sich mindestens auf ein
Geschäftsziel negativ auswirken.
Aus den 'Enterprise Governance of IT'-Modellen COBIT und Val IT werden jeder verbliebenen
Gelegenheitskomponente ein oder mehrere Control Objectives bzw. Key Management Principles
mit ihrem Prozess zugeordnet, die bei korrekter Durchführung auf die jeweilige Gelegenheitskomponente präventiv wirken.
Anstelle einer, in diesem Fall unübersichtlichen Wirkungskette wird pro COBIT- oder 'Val IT'Prozess auf die fallweise erforderlichen Input-Informationen hingewiesen. So wird auch
ersichtlich, dass die einzelnen Prozesse Abhängigkeiten zu Vorgängern haben und der Grund
für einen Missstand möglicherweise in einem vorgelagerten Prozess liegt, der die notwendigen
Informationen nicht liefert.
> Kapitel 5.3
29
Donald R. Cressey (USA, 1919-1987) gilt als ein Pionier in der Erforschung der Wirtschaftskriminalität. Für weitere Details zum Fraud
Triangle wird auf FASKE (2009) verwiesen.
Diplomarbeit
Seite 15 von 38
5
Analyse
5.1
Motivation - Gelegenheiten - Rechtfertigung
In der folgenden Abbildung werden für diesen Betrugsfall die Motivation des Täters und seine innere
Rechtfertigung dargestellt. Weiter werden Gelegenheitskomponenten aufgeführt, die die Delinquenz
in diesem Fall begünstigten.
Abbildung 7: Fraud Triangle für den Betrugsfall bei der Opfer AG
Diplomarbeit
Seite 16 von 38
5.2
Übersicht Gelegenheit > Zielauswirkung
In diesem Kapitel werden die Gelegenheitskomponenten A bis P aus Kapitel 5.1 weiter analysiert. Ziel
ist es zu bestimmen, bei welchen eine Gelegenheitsreduktion sinnvoll ist. Die einzelnen Komponenten
können die IT-relevanten Geschäftsziele positiv unterstützen (p) oder negativ beeinflussen (n).
Geschäftsziel30
Gelegenheitskomponente
A Unzulässige Funktionenkumulation
B Bearbeiten der Stammdaten
C Bearbeiten von Schadenfällen
D Auszahlen von Leistungen
E Verwenden eigener Stammdaten
F Bearbeiten von Schadenfällen mit speziellen
Datenkonstellationen
G Gute Systemkenntnisse
H System ERPspez kompliziert und unverständlich
J Systeme mit rudimentärer, applikatorischer
Prüfspur
K Fehlende Kontrolle der Geschäftsvorfälle
L Einführung mangelhafter Software und
Geschäftsprozesse
M Zu langsamer Verbesserungsprozess
N Personalselektion
O Passwortvergabe nicht persönlich
P Passwort preisgeben
1
2
4
7
p
8
9
10
11
12
n
13
n
n
n
n
n
15
16
p
n
p
17
p
p
p
n
p
n
p
n
p
n
n
n
n
n
n
n
n
n
n
n
n
n
n
n
Tabelle 1: Auswirkung der Gelegenheit auf die Geschäftsziele
Die Gelegenheitskomponenten B, C, D und G beeinflussen die Geschäftsziele nur positiv. Diese werden
nicht weiter berücksichtigt.
30
Zieldefinitionen (generisch, originalnummeriert) gemäss ITGI (2007) bereinigt gemäss VAN GREMBERGEN & DE HAES (2009), S. 12:
Legende:
1 Gute Rendite auf (IT-unterstützten) Geschäftsinvestitionen erwirtschaften
2 (IT-bezogene) Geschäftsrisiken managen
4 Kunden- und Serviceorientierung erhöhen
7 Agilität bei Reaktion auf sich ändernde Geschäftsanforderungen
8 Kostenoptimierung bei Serviceerbringung
9 Verlässliche und nützliche Informationen für strategische Entscheidungen erlangen
10 Geschäftsprozess überarbeiten und verbessern
11 Prozesskosten reduzieren
12 Compliance mit Gesetzen und Regulativen
13 Compliance mit internen Regelungen
15 Betriebliche- und Mitarbeiterproduktivität steigern
16 Produkt-/Geschäftsinnovation
17 Qualifizierte und motivierte MitarbeiterInnen einstellen und entwickeln
Diplomarbeit
Seite 17 von 38
5.3
Prävention durch Enterprise Governance of IT
5.3.1
Prinzip
Die Prävention mit Hilfe von Enterprise Governance of IT soll durch Reduktion oder Elimination der
Gelegenheit erfolgen. Dafür wurden vorgängig die Gelegenheitskomponenten ermittelt, bei denen es sich
lohnt, Massnahmen zu ergreifen (vgl. Tabelle 1).
Bezogen auf die einzelne Gelegenheitskomponente werden das COBIT- und 'Val IT'-Framework dahin
gehend analysiert, welche Teile dieser 'Enterprise Governance of IT'-Modelle Reduktionen bewirken
können. Dafür bieten sich die 'Control Objectives' von COBIT sowie die 'Key Management Practices' von
Val IT an. In diesen beiden Elementen sind die entsprechenden Kontrollen und vor allem Steuerungen
der notwendigen Aktivitäten enthalten. Es ist ein erklärtes Ziel dieser Arbeit, präventive Massnahmen zu
bezeichnen, die Gelegenheiten möglichst gar nicht erst entstehen lassen.31
Im Kapitel 5.3.2 wird am Beispiel der Gelegenheitskomponente A aufgezeigt, wie diese Analyse konkret
vorgenommen wurde. Für die gesamte Detailanalyse wird auf Anhang 4 verwiesen. Aus Kapazitätsgründen (76 Seiten) ist dieser in einem separaten Dokument auf der CD abgelegt. Das zusammengefasste
Resultat der Analyse ist in Tabelle 2 in Kapitel 5.4 abgebildet.
Das Beispiel in Kapitel 5.3.2 und die gesamte Detailanalyse im Anhang 4 sind wie folgt zu lesen:
a) Zuerst wird die Gelegenheitskomponente detaillierter beschrieben.
b) Darauf folgen in weiteren Subkapiteln die ausgewählten COBIT- oder 'Val IT'-Prozesse mit denen
so auf die Gelegenheitskomponente eingewirkt werden kann, dass eine Reduktion der Gelegenheit
entsteht. Bezogen auf die entsprechende Gelegenheitskomponente wird auch auf die zugehörigen
Schlüsselelemente der Enterprise Governance of IT hingewiesen.
Die Reihenfolge der Subkapitel hat keine Bedeutung.
c) Die für den Prozess relevanten Control Objectives bzw. Key Management Practices werden im
Originaltext32 aus COBIT bzw. Val IT aufgeführt (in der roten Box). Durch den Verfasser fett
hervorgehoben sind die, für diese Gelegenheitskomponente relevanten Stellen.
Analog erfolgt dies für den jeweiligen Prozess (blaue Box).
d) Danach wird darauf hingewiesen, was hätte getan werden müssen, um eine Reduktion der
Gelegenheit zu bewirken.
e) Abgeschlossen wird das Kapitel mit einem Hinweis auf die fallweise erforderlichen InputInformationen für den jeweiligen COBIT- oder 'Val IT'-Prozess. Daraus wird ersichtlich, dass
dieser Prozess Abhängigkeiten zu Vorgängern hat. Möglicherweise liegt der Grund für einen
Missstand in einem vorgelagerten Prozess, der die notwendigen Informationen nicht liefert.
Anmerkung zur Eigenleistung:
Vorgängig beschriebene Handlungen (Auswahl der COBIT- bzw. 'Val IT'-Komponenten sowie
Texthervorhebungen im Originaltext (in der roten und blauen Box), Erstellen der Beschreibungen
und Hinweise) wurden durch den Verfasser erbracht.
31
Das Ziel der Arbeit ist, wichtige Zusammenhänge zwischen der Gelegenheit für den Betrugsfall und der Enterprise Governance of IT
darzustellen. Dazu ist es nicht erforderlich, alle Möglichkeiten aus COBIT und Val IT aufzuführen. Dies würde auch den Umfang dieser Arbeit
sprengen.
32
Es werden absichtlich die englischen Bezeichnungen und Definitionen verwendet, damit die Verbindung zum originalen Modell (COBIT oder
Val IT) sichergestellt werden kann. Offizielle deutsche Übersetzungen der in dieser Arbeit verwendeten Versionen von COBIT und Val IT liegen
zurzeit nicht vor.
Diplomarbeit
Seite 18 von 38
5.3.2
A
Präventive Massnahmen für Gelegenheitskomponente A
Unzulässige Funktionenkumulation
Eine Person ist berechtigt, Versicherten-Stammdaten zu mutieren und Schadenfälle (inkl.
Leistungsauszahlung) zu bearbeiten. So besteht z. B. die Möglichkeit, dass sie Zahlungsadressen
(kurzzeitig) so abändert, dass Zahlungen an Unberechtigte erfolgen.
Damit diese Gelegenheit schon beim Design und der Realisierung einer Systemlösung weitgehend
reduziert wird oder wenigstens später im Produktivbetrieb aufgedeckt wird, sind folgende Prozesse aus
den gewählten Modellen für Enterprise Governance of IT zu durchlaufen.
5.3.2.1 PO4 Define the IT Processes, Organisation and Relationships
Enterprise Governance of IT Schlüsselelemente: Risk Management, Resource Management
PO4.11 Segregation of Duties
Implement a division of roles and responsibilities that reduces the possibility for a single
individual to compromise a critical process. Make sure that personnel are performing only
authorised duties relevant to their respective jobs and positions.
PO4 Define the IT Processes, Organisation and Relationships (COBIT 4.1)
An IT organisation is defined by considering requirements for staff, skills, functions, accountability,
authority, roles and responsibilities, and supervision. This organisation is embedded into an IT
process framework that ensures transparency and control as well as the involvement of senior
executives and business management. A strategy committee ensures board oversight of IT, and one or
more steering committees in which business and IT participate determine the prioritisation of IT
resources in line with business needs. Processes, administrative policies and procedures are in
place for all functions, with specific attention to control, quality assurance, risk management,
information security, data and systems ownership, and segregation of duties. To ensure timely
support of business requirements, IT is to be involved in relevant decision processes.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses
PO4 die Funktionentrennung bereits während des Projektes für das System ERPspez in Zusammenarbeit
zwischen IT und Business hätte sichergestellt werden können.
Damit dieser Prozess bezogen auf die Gelegenheit A erfolgreich abgewickelt werden kann, muss
folgendes erfüllt sein:


Input 'Catalogue of legal and regulatory requirements related to IT service delivery' aus Prozess
ME3
Input 'IT human resources policy and procedures, IT skills matrix, job descriptions' aus Prozess
PO7
Diplomarbeit
Seite 19 von 38
5.3.2.2 ME3 Ensure Compliance With External Requirements
Enterprise Governance of IT Schlüssel-Elemente: Strategic Alignment, Risk Management
ME3.1 Identification of External Legal, Regulatory and Contractual Compliance Requirements
Identify, on a continuous basis, local and international laws, regulations, and other external
requirements that must be complied with for incorporation into the organisation’s IT policies,
standards, procedures and methodologies.
ME3.3 Evaluation of Compliance With External Requirements
Confirm compliance of IT policies, standards, procedures and methodologies with legal and
regulatory requirements.
ME3 Ensure Compliance With External Requirements (COBIT 4.1)
Effective oversight of compliance requires the establishment of a review process to ensure
compliance with laws, regulations and contractual requirements. This process includes identifying
compliance requirements, optimising and evaluating the response, obtaining assurance that the
requirements have been complied with and, finally, integrating IT’s compliance reporting with the
rest of the business.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass wenn die Berechtigungen nach den
geltenden Regulierungen periodisch überprüft worden wären, eine Chance auf frühere Aufdeckung
bestanden hätte.


Input 'Legal and Regulatory compliance requirements' aus der Corporate Governance (z. B. Code
of Conduct)
Input 'IT policies' aus Prozess PO6
Diplomarbeit
Seite 20 von 38
5.3.2.3 PO6 Communicate Management Aims and Direction
Enterprise Governance of IT Schlüssel-Elemente: Strategic Alignment, Risk Management
PO6.1 IT Policy and Control Environment
Define the elements of a control environment for IT, aligned with the enterprise’s management
philosophy and operating style.
These elements should include expectations/requirements regarding delivery of value from IT
investments, appetite for risk, integrity, ethical values, staff competence, accountability and
responsibility. The control environment should be based on a culture that supports value delivery
whilst managing significant risks, encourages cross-divisional co-operation and teamwork, promotes
compliance and continuous process improvement, and handles process deviations (including failure)
well.
PO6.4 Policy, Standard and Procedures Rollout
Roll out and enforce IT policies to all relevant staff, so they are built into and are an integral part of
enterprise operations.
PO6.5 Communication of IT Objectives and Direction
Communicate awareness and understanding of business and IT objectives and direction to
appropriate stakeholders and users throughout the enterprise.
PO6 Communicate Management Aims and Direction (COBIT 4.1)
Management develops an enterprise IT control framework and defines and communicates policies. An
ongoing communication programme is implemented to articulate the mission, service objectives,
policies and procedures, etc., approved and supported by management. The communication
supports achievement of IT objectives and ensures awareness and understanding of business and
IT risks, objectives and direction. The process ensures compliance with relevant laws and
regulations.
Auf den vorliegenden Fall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses PO6
a) die Erwartungen und Anforderungen bzgl. Risikoappetit und Integrität der Opfer AG festgelegt
werden. Diese basieren auf einer Kultur welche richtlinienkonformes Verhalten fördert.
Veränderungen, die das Projekt für das System ERPspez bringt, wie z. B. die Umstellung auf
Online-Erfassung der Geschäftsvorfälle eine Neubeurteilung des IT Kontroll- und Steuerumfeld
auslöst.
b) neue oder aktualisierte IT-Richtlinien allen relevanten Mitarbeitenden, auch jenen von der
Businessseite, bekannt gemacht werden. Die Richtlinien offiziell in Kraft gesetzt und als ein
integraler Bestandteil der Unternehmensabläufe behandelt werden.
c) die wiederkehrende Information auch das Bewusstsein und Verständnis für interne Steuerung
und Kontrolle, Qualität, Ethische- und Verfahrensgrundsätze sowie Richtlinien sichergestellt ist.
Diplomarbeit
Seite 21 von 38


Input 'IT-related risk management guidelines' aus Prozess PO9
Input ' Report on effectiveness of IT controls ' aus Prozess ME2
5.3.2.4 PM3 Manage the Availability of Human Resources und
PO7 Manage IT Human Resources
Enterprise Governance of IT Schlüssel-Elemente: Resource Management, Strategic Alignment
PM3.2 Understand the current and future demand (for business human resources).
Understand the current and future demand for business human resources based on the current
investment portfolio and a forward view of the investment portfolio. Identify and pay special
attention to key business personnel who are in short supply and who might be needed, especially those
personnel who undertake day-to-day functions who might also be needed for undertaking additional
work on investment programmes.
PM3.5 Monitor, review and adjust (business function allocation and staffing).
Monitor, review and adjust business function staffing allocation and requirements for
investment programmes and day-to-day functions, and review sourcing strategies so as to meet
expected business objectives and respond to changing circumstances.
PM3 Manage the Availability of Human Resources (Val IT 2.0)
Create and maintain an inventory of business and IT human resources. Understand the current and
future demand for human resources to support the IT-enabled investments and identify shortfalls
and contention. Create and maintain tactical plans for HR management. Monitor and review the plans
and the supporting organisational structures, and adjust where necessary.
Anforderungen an das gesamte Personal sind auf der Ebene der Gesamtunternehmung zu erfüllen (PM3),
aber auch speziell im IT-Bereich. Darum ist auch der folgend aufgeführte Prozess PO7 speziell zu
beachten.
Diplomarbeit
Seite 22 von 38
PO7.2 Personnel Competencies
Regularly verify that personnel have the competencies to fulfil their roles on the basis of their
education, training and/or experience.
Define core IT competency requirements and verify that they are being maintained, using
qualification and certification programmes where appropriate.
PO7.4 Personnel Training
Provide IT employees with appropriate orientation when hired and ongoing training to
maintain their knowledge, skills, abilities, internal controls and security awareness at the level
required to achieve organisational goals.
PO7 Manage IT Human Resources (COBIT 4.1)
A competent workforce is acquired and maintained for the creation and delivery of IT services to the
business. This is achieved by following defined and agreed-upon practices supporting recruiting,
training, evaluating performance, promoting and terminating.
This process is critical, as people are important assets, and governance and the internal control
environment are heavily dependent on the motivation and competence of personnel.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung der Prozesse
PM3 und PO7 auch Know-how über die Funktionentrennung verfügbar sein müsste. Dies auf Seiten der
Geschäftsbereiche oder Stabseinheiten. Auch auf Seiten der IT müsste dieses Know-how verfügbar oder
mindestens das Bewusstsein dafür vorhanden sein. Von welcher Seite der Anstoss zur Sicherstellung
einer adäquaten Funktionentrennung kommt, ist letztlich nicht entscheidend. Hingegen müssen die
Ressourcen verfügbar und einsetzbar sein.
Damit der Prozess PM3 bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss


Input 'Business HR demand' von ausserhalb Val IT und COBIT
Input 'IT supply and demand' aus den Prozessen PO1 und PO7
Damit der Prozess PO7 bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss


Input 'Tactical IT HR plans' aus Prozess PM3
Input 'IT organisation and relationships; documented roles and responsibilities' aus Prozess PO4
Diplomarbeit
Seite 23 von 38
5.3.2.5 PO9 Assess and Manage IT Risks
Enterprise Governance of IT Schlüssel-Elemente: Risk Management, Strategic Alignment
PO9.4 Risk Assessment
Assess on a recurrent basis the likelihood and impact of all identified risks, using qualitative and
quantitative methods. The likelihood and impact associated with inherent and residual risk should be
determined individually, by category and on a portfolio basis.
PO9.5 Risk Response
Develop and maintain a risk response process designed to ensure that cost-effective controls
mitigate exposure to risks on a continuing basis. The risk response process should identify risk
strategies such as avoidance, reduction, sharing or acceptance; determine associated
responsibilities; and consider risk tolerance levels.
PO9 Assess and Manage IT Risks (COBIT 4.1)
A risk management framework is created and maintained. The framework documents a common and
agreed-upon level of IT risks, mitigation strategies and residual risks. Any potential impact on the
goals of the organisation caused by an unplanned event is identified, analysed and assessed. Risk
mitigation strategies are adopted to minimise residual risk to an accepted level. The result of the
assessment is understandable to the stakeholders and expressed in financial terms, to enable
stakeholders to align risk to an acceptable level of tolerance.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei korrekter Durchführung des Prozesses
PO9 diese Gelegenheit als Risiko hätte erkannt werden müssen.
Mit dem Einsatz von guter Enterprise Governance of IT liesse sich eine kostenwirksame Antwort auf
diese Problemstellung finden. Wird bei der Entwicklung und dem Betrieb eines IT-Systems nach den
Vorgaben aus COBIT und Val IT vorgegangen, dann können die präventiven Massnahmen gegen solche
Gelegenheiten markant günstiger ausfallen, als der angerichtete Schaden dieses einen Betrugsfalles
gekostet hat.
Damit dieser Prozess bezogen auf Gelegenheit A erfolgreich abgewickelt werden kann, muss folgendes
erfüllt sein:

Input 'Enterprise appetite for IT risks' aus Prozess ME4
Diplomarbeit
Seite 24 von 38
5.3.2.6 ME4 Provide IT Governance
Enterprise Governance of IT Schlüssel-Elemente: Strategic Management,Value Management,
Risk Management
ME4.1 Establishment of an IT Governance Framework
Define, establish and align the IT governance framework with the overall enterprise governance
and control environment. Base the framework on a suitable IT process and control model and
provide for unambiguous accountability and practices to avoid a breakdown in internal control and
oversight. Confirm that the IT governance framework ensures compliance with laws and
regulations and is aligned with, and confirms delivery of, the enterprise’s strategies and objectives.
Report IT governance status and issues.
ME4.3 Value Delivery
Manage IT-enabled investment programmes and other IT assets and services to ensure that they
deliver the greatest possible value in supporting the enterprise’s strategy and objectives. Ensure
that the expected business outcomes of IT-enabled investments and the full scope of effort required to
achieve those outcomes are understood; that comprehensive and consistent business cases are created
and approved by stakeholders; that assets and investments are managed throughout their economic life
cycle; and that there is active management of the realisation of benefits, such as contribution to new
services, efficiency gains and improved responsiveness to customer demands. Enforce a disciplined
approach to portfolio, programme and project management, insisting that the business takes
ownership of all IT-enabled investments and IT ensures optimisation of the costs of delivering IT
capabilities and services.
ME4.5 Risk Management
Work with the board to define the enterprise’s appetite for IT risk, and obtain reasonable
assurance that IT risk management practices are appropriate to ensure that the actual IT risk
does not exceed the board’s risk appetite. Embed risk management responsibilities into the
organisation, ensuring that the business and IT regularly assess and report IT-related risks and their
impact and that the enterprise’s IT risk position is transparent to all stakeholders.
ME4 Provide IT Governance (COBIT 4.1)
Establishing an effective governance framework includes defining organisational structures,
processes, leadership, roles and responsibilities to ensure that enterprise IT investments are
aligned and delivered in accordance with enterprise strategies and objectives.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass bei eingeführtem Framework für
Enterprise Governance of IT schon frühzeitig die Verantwortlichkeiten geklärt und ein Risikomanagement installiert gewesen wäre. Risiken im IT-Umfeld (inkl. der IT-unterstützten Geschäftsprozesse) und die Konformität zu den Regelungen wären thematisiert worden. Auch hätte sich die
Opfer AG frühzeitig Überlegungen zu den gewünschten Werten, die aus dem ERPspez-Projekt
resultieren sollten, gemacht.
Diplomarbeit
Seite 25 von 38
erfüllt sein:


Auf der normativen und strategischen Führungsebene muss erkannt werden, dass Enterprise
Governance of IT notwendig ist um IT-enabled Investment Programmes erfolgreich
durchzuziehen.
Input 'Risk assessment and reporting' aus Prozess PO9
5.3.2.7 AI1 Identify Automated Solutions
Enterprise Governance of IT Schlüssel-Elemente: Value Delivery, Risk Management
AI1.2 Risk Analysis Report..
Identify, document and analyse risks associated with the business requirements and solution design
as part of the organisation’s process for the development of requirements.
AI1 Identify Automated Solutions (COBIT 4.1)
The need for a new application or function requires analysis before acquisition or creation to
ensure that business requirements are satisfied in an effective and efficient approach. This
process covers the definition of the needs, consideration of alternative sources, review of
technological and economic feasibility, execution of a risk analysis and cost-benefit analysis, and
conclusion of a final decision to ‘make’ or ‘buy’. All these steps enable organisations to minimise the
cost to acquire and implement solutions whilst ensuring that they enable the business to achieve its
objectives.
Auf den vorliegenden Betrugsfall bezogen, bedeutet dies, dass aufgrund des Fehlens einer dokumentierten Risikoanalyse angenommen werden muss, dass eine solche nicht detailliert durchgeführt wurde.
So wurde auch nicht bewusst geklärt, wie mit der Funktionentrennung umgegangen werden soll. Es ist
auch nicht ersichtlich, ob eine korrekte Funktionentrennung als wertvoll für die Geschäftsabwicklung
anerkannt wurde.
erfüllt sein:

Input ' Tactical IT plans ' aus Prozess PO1
Diplomarbeit
Seite 26 von 38
5.4
Zusammenfassung der Analyse-Resultate
Prozesse
PO1 Define a strategic IT plan
PO2 Define the information architecture
PO4 Define the IT processes, organisation
and relationships
PO6 Communicate management aims and
direction
PO7 Manage IT human resources
PO8 Manage quality
PO9 Assess and manage IT risks
PO10 Manage projects
AI1 Identify automated solutions
AI2 Acquire and maintain application
software
AI3 Acquire and maintain technology
infrastructure
AI4 Enable operation and use
AI6 Manage changes
AI7 Install and accredit solutions and
changes
DS5 Ensure systems security
DS7 Educate and train users.
ME1 Monitor and evaluate IT performance
ME3 Ensure compliance with external
requirements
ME4 Provide IT governance
VG1 Establish informed and committed
leadership
PM3 Manage the availability of human
resources
IM1Develop and evaluate the initial
programme concept business case
IM9 Monitor and report on the programme
ANZ
1
1
P Passwort preisgegeben
O Prozess für Passwortvergabe nicht
persönlich
N Personalselektion
x
x
7
x
x
x
x
x
6
x
x
x
x
x
8
3
4
3
2
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
2
x
x
1
x
2
3
x
x
2
1
2
1
x
x
x
x
x
x
x
x
x
1
x
8
x
x
2
8
M Zu langsamer Verbesserungsprozess
Geschäftsprozesse
K Fehlende Kontrolle der
Geschäftsvorfälle
J Systeme haben applikatorisch nur eine
rudimentäre Prüfspur
H System ERPspez wird von vielen
Personen als kompliziert und
unverständlich eingestuft
F Bearbeiten von Schadenfällen mit
speziellen Datenkonstellationen
E Bearbeiten bzw. Verwenden "eigener"
Stammdaten
Tabelle 2 zeigt auf, welche Prozesse aus dem COBIT- bzw. 'Val IT'-Framework auf welche
Gelegenheitskomponente präventiv wirken.
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
x
1
x
2
x
x
Tabelle 2: Präventiv wirkende Prozesse (Übersicht)
Diplomarbeit
Seite 27 von 38
Ergebnisbasis
Die Untersuchung der 210 Control Objectives33 (COBIT ) und 69 Key Management Principles (Val IT)
auf präventive Wirkung bei den 11 Gelegenheitskomponenten aus dem Betrugsfall ergab 130 Treffer.
Ein Treffer bedeutet, dass ein Teil oder die gesamte Definition eines Control Objective oder Key
Management Principle vorbeugende Wirkung gegenüber dem beschriebenen Betrugsfall erzeugt hätte.
Diese 130 Treffer verteilen sich auf 23 Prozesse aus den 'Enterprise Governance of IT'-Modellen.
6
Ergebnisse
6.1
Präventive Wirkung der Modelle COBIT und Val IT
Der Zusammenfassung der Analyse-Resultate (Tabelle 2) können wir entnehmen, dass bei diesem
Betrugsfall 19 von 34 COBIT- und 4 von 22 'Val IT'-Prozesse bei korrekter Durchführung präventive
Wirkung erzielt hätten. Dies primär indem die Entstehung von Gelegenheiten für diesen Betrugsfall
reduziert oder vermieden worden wäre.
Weiter wurde auch erkannt, dass beinahe alle in Tabelle 2 aufgeführten Prozesse Input von anderen
Prozessen der 'Enterprise Governance of IT'-Modelle erhalten müssen, damit sie selbst ihre vorbeugende
Wirkung erzielen können. Hätte die Analyse auch diese Prozesse erfasst, wäre eine grössere Anzahl an
der Gelegenheits-Reduktion beteiligt gewesen.
Von den ausgewiesenen Prozessen ist der Grossteil (19 von 23 bzw. über 80%) Bestandteil vom COBITFramework. Daran wird ersichtlich, dass dieses Modell bei einem solchen Betrugsfall eine wesentliche
Rolle spielen kann.
6.2
Wirkung auf die Ablauforganisation
In dieser Arbeit wurde die präventive Wirkung durch Enterprise Governance of IT für einen Betrugsfall
mit Verwendung einer IT-Anlage in einem Geschäftsbereich (Schadenfallabwicklung) einer Unternehmung der Versicherungsbranche untersucht. Dabei handelt es sich um eine Organisationseinheit
und eine Branche, die grundsätzlich einem höheren Risiko solch doloser Handlungen ausgesetzt sind,
weil an dieser Stelle Zahlungen an Aussenstehende initiiert werden. Die Beurteilung der Grundlage
für die Auszahlungen wird von Personen und nicht von einem IT-System vorgenommen. Die daraus
folgende Konsequenz ist die des grösseren individuellen Spielraums bei der Abwicklung der
Geschäftsfälle.
Somit entfaltet Enterprise Governance of IT präventive Wirkung an einem kritischen Punkt der
Ablauforganisation eines Kernprozesses.
6.3
Lösungsansatz 'Prioritätentabelle'
Um aufgrund der Analyse-Resultate für das Unternehmen ein rasch wirksames Vorgehen für die
Reduktion der Gelegenheit vorzuschlagen, wird nach den 'Enterprise Governance of IT'-Prozessen
gesucht, die häufig bei einfach ergreifbaren Gelegenheitskomponenten auftreten. So können prioritär
die COBIT- oder 'Val IT'-Prozesse verbessert werden, welche bei der Opfer AG die grösste Wirkung
erzielen würden.
33
Detail Control Objectives
Diplomarbeit
Seite 28 von 38
Option
Wurden in der Opfer AG eventuell noch weitere Wirtschaftskriminalitätsdelikte mit Unterstützung der
IT-Hilfsmittel begangen, könnten diese analog untersucht und gemäss Tabelle 2 dargestellt werden. Die
Datenbasis für die Prioritätentabelle wäre umfassender und der Nutzen könnte erhöht werden.
6.3.1
Vorgehen
Tabelle 2 wird dahin gehend erweitert, dass pro Gelegenheitskomponente die 'Einfachheit der Nutzung'
beigefügt wird.
Die 'Einfachheit der Nutzung' beinhaltet die Aussage, wie einfach der Täter diese Gelegenheitskomponente ausnutzen konnte. Dabei wird folgende Skala benutzt:
3 kann ohne spezielle bzw. nur mit unproblematischen Handlungen vom Täter genutzt werden
2 kann vom Täter nicht einfach vollständig beeinflusst werden oder ist eine Ausprägung, die er mit
seinen Spezialkenntnissen nutzen konnte
1 Täter ist vollständig von anderen abhängig
Danach wird jeder Schnittpunkt eines auf diese Gelegenheitskomponente präventiv wirksamen Prozess
aus COBIT oder Val IT mit dem Wert der Einfachheit der Nutzung versehen. So kann mit der Summe pro
Prozess ermittelt werden, bei welchem Prozess eine Verbesserung die grösste Wirkung erzielt.
Es gilt: Je höher der Wert in der Spalte 'PRIO' für einen Prozess ist, desto grösser die Wirkung, wenn die
zugehörigen Prozessmängel behoben werden (siehe Tabelle 3).
Diplomarbeit
Stammdaten
Geschäftsvorfälle
Geschäftsprozesse
M zu langsamer Verbesserungsprozess
N Personalselektion
persönlich
Einfachheit der Nutzung
Prozesse
PRIO
PO1 Define a strategic IT plan
3
PO2 Define the information architecture
3
PO4 Define the IT processes,
19
organisation and relationships
PO6 Communicate management aims
15
and direction
PO7 Manage IT human resources
19
PO8 Manage quality
7
PO9 Assess and manage IT risks
10
PO10 Manage projects
7
Prioritätentabelle
6.3.2
3
3
2
2
2
3
3
2
1
3
2
3
3
3
3
2
2
3
3
3
2
2
3
3
3
2
2
3
2
3
3
2
3
3
2
3
3
2
2
3
2
1
2
2
Seite 29 von 38
5
4
N Personalselektion
persönlich
2
2
M zu langsamer Verbesserungsprozess
2
Geschäftsprozesse
2
Geschäftsvorfälle
3
3
3
Stammdaten
Einfachheit der Nutzung
AI1 Identify automated solutions
AI2 Acquire and maintain application
software
AI3 Acquire and maintain technology
infrastructure
AI4 Enable operation and use
AI6 Manage changes
AI7 Install and accredit solutions and
changes
DS5 Ensure systems security
DS7 Educate and train users
ME1 Monitor and evaluate IT
performance
ME3 Ensure compliance with external
requirements
ME4 Provide IT governance
VG1 Establish informed and committed
leadership
PM3 Manage the availability of human
resources
IM1 Develop and evaluate the initial
programme concept business case
IM9 Monitor and report on the
programme
3
3
2
1
3
2
2
2
2
2
5
7
2
2
5
2
5
3
3
2
3
2
2
2
3
2
2
3
3
19
3
3
5
19
2
2
3
2
3
3
2
3
2
1
2
1
3
2
3
3
3
3
5
3
2
Tabelle 3: Präventiv wirkende Prozesse (priorisiert)
6.3.3
Vorgehensvorschlag
Als die fünf grössten Schwachpunkte bei der Opfer AG wurden folgende ermittelt (vgl. Tabelle 3):
1 Skills-Management der Beteiligten auf IT- und Businessseite (PO7, PM3)
2 Definition der Organisation an der Schnittstelle IT<>Business für die detaillierte Ausprägung
der Geschäftsprozesse (PO4)
3 Kommunikation (inklusive Tone-at-the-top) und nachhaltige Bewusstseinsbildung bezüglich
der Erwartungen im Bereich des Risikoappetits (PO6)
4 Qualität des Risiko-Managements (PO9)
5 Einsatz von gesamtheitlicher Enterprise Governance of IT (ME4)
Um in einem ersten Schritt eine wirksame Reduktion der Gelegenheit zu erzielen, könnte die Elimination
der ersten vier Schwachpunkte angestrebt werden.
Diplomarbeit
Seite 30 von 38
Ein strategischer Entscheid für den Einsatz von 'gesamtheitlicher Enterprise Governance of IT' unter
Nutzung der COBIT- und 'Val IT'-Frameworks würde sich in verschiedenster Hinsicht über den gesamten
Lebenszyklus der IT-Investitionen positiv auswirken. Darauf wird an dieser Stelle aber nicht weiter
eingegangen. Die Prävention von Wirtschaftskriminalitätsfällen wäre nur ein Zusatznutzen.
6.3.4
Kosten
Da die Aktivitäten dieser Prozesse (Tabelle 3) als Bestandteil einer guten Enterprise Governance of IT
betrachtet werden müssen, entstünden nur geringe Mehrkosten. Wahrscheinlich wären diese bei
Vermeidung oder wesentlich früherer Aufdeckung dieses einen aufgedeckten Betrugs mittels der
vorgeschlagenen Massnahmen bereits amortisiert gewesen.
6.4
Voraussetzungen zur Realisierung des Wertes 'wirksame Prävention gegen
Wirtschaftskriminalitätsfälle'
Damit das Instrument einer guten Enterprise Governance of IT zur wirksamen Prävention gegen
Wirtschaftskriminalitätsfälle genutzt werden kann, sind in einem Unternehmen wie der Opfer AG
folgende Voraussetzungen zu erfüllen:
6.4.1
Erkennen des Wertes und Bewusstsein fördern
Für das Unternehmen muss an oberster Stelle der Wert einer guten Prävention gegen Wirtschaftskriminalitätsfälle erkannt werden. Weiter muss der Wille vorhanden sein, diesen Wert auch zu realisieren
und in die allgemeinen Zielvorgaben (z. B. Code of Conduct) für das Unternehmen einfliessen zu lassen.
Das oberste Management muss sich zu dieser Zielsetzung bekennen. Der Tone-at-the-top soll dieses
Bekenntnis in die Unternehmung und zu externen Partnern hinaus tragen. Innerhalb des Unternehmens
soll auch kontrolliert werden, ob die Zielvorgabe eingehalten wird.
6.4.2
Notwendigkeit einer guten Enterprise Governance of IT erkennen und
fordern
Im obersten Management der Unternehmung muss eine gemeinsame Basis für die Einschätzung
des Beitrages, den die Informationstechnologie und die IT-unterstützten Geschäftsprozesse für die
Unternehmenszielsetzung bringen sollen, vorhanden sein.
Um die Umsetzung in die richtige strategische Richtung zu steuern, kann z. B. eine Enterprise
Governance of IT nach ISO/IEC 38500 gefordert werden. Compliance wird darin als Principle 5
explizit gefordert:
IT complies with all mandatory legislation and regulations. Policies and practices
are clearly defined, implemented and enforced.
Diplomarbeit
Seite 31 von 38
6.4.3
Gesamtgefährdung ermitteln und Aufträge für die Prävention formulieren
Eine fundierte Einschätzung der Bedrohungslage 'Wirtschaftskriminalität im IT Umfeld'34 mit
Anerkennung des Risikos 'Mitarbeitende'35 soll als Basis für die Kosten-/Nutzen-Überlegungen dienen.
Diese Einschätzung müsste aufgrund der Vorkommnisse um diesen Betrugsfall auch die Sensibilisierung
für aktive Mitarbeiter-Führung und -Kontrolle schärfen. Unter Berücksichtigung dieser Informationen
können die Aufträge für die Prävention zur Verhinderung von Wirtschaftskriminalität im Unternehmen
formuliert werden.
6.4.4
Enterprise Governance of IT strategisch umsetzen
Die normativ vorgegebenen Anforderungen an die Enterprise Governance of IT sollen strategisch so
umgesetzt werden, dass sie für die operative Ebene konkrete Anweisungen und Ziele enthalten. Diese
müssen von den Mitarbeitern und ihren Vorgesetzten verstanden werden. Dafür bieten z. B. Modelle wie
COBIT und Val IT eine anerkannte Basis.
6.4.5
Enterprise Governance of IT kontinuierlich verbessern
Der beschriebene Betrugsfall dauerte von 1998 bis Ende 2004. Speziell zu Beginn der Deliktserie waren
der Stellenwert und der Inhalt einer Enterprise Governance of IT bei Weitem nicht so entwickelt, wie
dies heute, 11 Jahre später, der Fall ist. Die Erkenntnisse um die Enterprise Governance of IT und die
Corporate Governance entwickeln sich innerhalb und ausserhalb eines Unternehmens stetig weiter.
Darum soll kontinuierlich geprüft werden, ob Anpassungen für das eigene Unternehmen sinnvoll sind.
6.5
Geprüfter Methodeneinsatz
Die gewählte Methode (gemäss Kapitel 4) hat sich bei der Durchführung dieser Arbeit bewährt. Sie
bietet eine einfache Wegleitung zur Beantwortung der Frage, wie weit ein 'Enterprise Governance of IT'Modell zur Prävention eines Wirtschaftskriminalitätsdeliktes beitragen kann, bei dem IT-Hilfsmittel
eingesetzt wurden. Eine diesbezügliche Aussage ist nicht nur beim Ersteinsatz eines Modells wertvoll,
sondern auch wenn ein bestehendes Modell ergänzt werden soll.
Die Methode lässt sich an unternehmens- oder fallspezifische Gegebenheiten anpassen:
 Das Fraud Triangle (Abbildung 6) ist offen für die Darstellung verschiedenster Wirtschaftskriminalitätsfälle. Die Fälle können auf theoretischen Annahmen oder realen Vorkommnissen
basieren.
 Unternehmensspezifische Eigenheiten können bei den Geschäfts- und IT-Zielen (Tabelle 1)
einfliessen.
 Bei der Analyse auf vorbeugende Wirkung können auch nur einzelne Control Objectives bzw.
Key Management Principles dem Wirtschaftskriminalitätsfall gegenübergestellt werden.
Beschränkt bleibt die gewählte Methode allerdings auf die Anforderung, dass beim Wirtschaftskriminalitätsdelikt IT-Hilfsmittel verwendet wurden.
34
Für einen pragmatischen Ansatz zur Risikoanalyse in diesem Bereich, der eine Antwort auf die Frage der Gesamtgefährdung liefert, sei auf
AUINGER, BITTERLI, BRUNNER, EUGSTER, SCHÖBI, SCHWAB, SUTER & WEBER (2003), Kapitel 3 'Gefährdungsanalyse' verwiesen.
35
WIELAND (2007) beabsichtigt mit seinem Werk bei Entscheidungsträgern und Anti-Fraud-Managern das Bewusstsein für ganzheitliche
Bekämpfungsansätze zum Wohle ihrer Unternehmen zu schärfen. Er legt dabei den Schwerpunkt auf den sogenannten Innentäter, das heisst die
Mitarbeitenden im Unternehmen.
Diplomarbeit
Seite 32 von 38
7
Fazit und Ausblick
In dieser Arbeit konnte aufgezeigt werden, dass Enterprise Governance of IT im Zusammenhang mit
Wirtschaftskriminalität eine ernst zu nehmende Rolle spielen kann. Weil die Ursache für die präventive
Wirkung von Enterprise Governance of IT auf den Betrugsfall schon bei den normativen und
strategischen Vorgaben für die Durchführung der IT- und IT-abhängigen Business-Aufgaben einsetzt, ist
dieser Zusammenhang nicht für jeden offensichtlich.
Die optimale Darstellung wäre wahrscheinlich, den Zusammenhang mittels einer detaillierten Wirkungskette abzubilden. Da die verwendeten Modelle für Enterprise Governance of IT einen hohen Grad von
Iterationen und eine grosse Anzahl Abhängigkeiten zu Vorgängerprozessen aufweisen, würde eine solche
Darstellung den zeitlichen und mengenmässigen Rahmen dieser Arbeit sprengen. Eine detaillierte
Wirkungskette wurde noch von niemandem nur für die Modelle COBIT und Val IT alleine (ohne
Betrugsfall) erstellt. Auf den Einsatz einer vereinfachten Wirkungskette wurde verzichtet, weil dies zu
viele Kompromisse verlangt hätte. Wahrscheinlich wäre damit die Glaubwürdigkeit der Ergebnisse in
Zweifel gezogen worden.
Unter diesen Umständen stellte der Weg über die Erwähnung des fallweise notwendigen Inputs bei den
einzelnen COBIT- oder 'Val IT'-Prozessen (Kapitel 5.3) eine machbare und doch aussagekräftige Variante
dar. Die anderen Schritte der gewählten Methode erscheinen zweckmässig.
Eine Bedeutung für die betriebliche Praxis und weitere Forschungen hat diese Arbeit darin, dass sich
auch auf den ersten Blick nicht offensichtliche Methoden auf die Prävention von Wirtschaftskriminalität
positiv auswirken können. In diesem Fall profitiert die Prävention für Wirtschaftskriminalitätsfälle, bei
denen IT-Hilfsmittel verwendet wurden.
Bei der Beantwortung der Fragen für diese Arbeit entstanden an verschiedenen Stellen Anknüpfungspunkte für neue Problemstellungen, die in weiteren Diplomarbeiten untersucht werden könnten:
(1) In dieser Arbeit wurden für den Faktor 'Gelegenheit' (aus dem Fraud Triangle, Kapitel 5.1)
Möglichkeiten für Prävention gegen einen Betrugsfall untersucht. Es stellt sich die Frage, ob es
auch für die Faktoren 'Motivation' und 'Innere Rechtfertigung' Modelle gibt, die nicht
offensichtlich vorbeugende Wirkung gegen solche Delikte erzielen.
(2) Diese Arbeit entstand für einen Betrugsfall mit Verwendung eines IT-Hilfsmittels in einer
Unternehmung der Versicherungsbranche. Möglicherweise wäre es auch interessant
festzustellen, ob und wie weit die präventive Wirkung dieser Ausprägung von Enterprise
Governance of IT in analogen Betrugsfällen von anderen Branchen und Unternehmen abweicht.
(3) In diesem Fall war der Täter ein Mann. In der heutigen Zeit steigt die Anzahl der berufstätigen
Frauen auch im Dienstleistungssektor weiter an. Dazu stellt sich die Frage, ob sich dadurch das
Täterbild verschiebt?
Vor allem unter dem Gesichtspunkt, dass ein besonderes Merkmal bei Wirtschaftskriminalität
das Fehlen von physischer Gewaltanwendung ist. Diese wird von Frauen im allgemeinen eher
abgelehnt. Somit fällt diese Hürde für eine Tatbegehung weg.
(4) Es gibt Unternehmen, die gesamte Geschäftsfälle outsourcen. Hierzu stellt sich die Frage, wie
sich der Nutzen von Enterprise Governance of IT bezüglich präventiver Wirkung gegenüber
Wirtschaftskriminalitätsfällen verhält, bei denen IT-Hilfsmittel verwendet werden.
Diplomarbeit
Seite 33 von 38
Erklärung gemäss Art.6 des Masterarbeitsreglementes vom 01. Januar 2007:
Ich erkläre hiermit, dass ich die vorliegende Arbeit resp. die von mir ausgewiesene Leistung
selbstständig, ohne Mithilfe Dritter und nur unter Ausnutzung der angegebenen Quellen verfasst resp.
erbracht habe.
Ort, Datum:
......................................................................
Unterschrift:
......................................................................
Diplomarbeit
Seite 34 von 38
Anhang 1: Kurzübersicht 'COBIT'
Die nachfolgende Abbildung bietet eine Auflistung aller COBIT-Prozesse.
Abbildung 8: Overall COBIT Framework (Quelle: ITGI, 2007, S. 26)
Diplomarbeit
Seite 35 von 38
Anhang 2: Kurzübersicht 'Val IT'
Alle Prozesse von Val IT sind geordnet nach Domänen in Abbildung 9 aufgelistet.
Abbildung 9: 'Val IT'-Prozesse (Quelle: ITGI, 2008a, S.15)
Diplomarbeit
Seite 36 von 38
Anhang 3: Relation der ITGI Produkte und ISO/IEC 38500
Wie und mit welchen Produkten COBIT und Val IT die Anforderungen von ISO/IEC 38500 abdecken,
kann der folgenden Tabelle entnommen werden:
Human Behaviour
Evaluate
Direct
Monitor
√
√
√
√
√
Unlocking Value: An Executive Primer
on the Critical Role of IT Governance
√
√
√
√
√
√
COBIT
√
√
√
√
√
√
√
√
√
Val IT
√
√
√
√
√
√
√
√
√
√
√
√
Conformance
√
Performance
Strategy
Board Briefing on IT Governance, 2nd Edition
ITGI Product
Acquisition
Responsibility
ISO/IEC 38500 Areas
IT Governance Implementation Guide:
Using COBIT and Val IT, 2nd Edition
√
IT Assurance Guide: Using COBIT
nd
√
√
COBIT Quickstart, 2 Edition
√
Enterprise Value: Governance of IT
Investments, Getting Started With Value
Management
√
COBIT Security Baseline™, 2nd Edition
Enterprise Value: Governance of IT
Investments, The Business Case
√
√
√
√
√
√
√
√
√
√
Abbildung 10: Relation der ITGI Produkte und ISO/IEC 38500 (Quelle: ITGI, 2008c)
Diplomarbeit
Seite 37 von 38
Anhang 4: Gesamte Detailanalyse
Die gesamte Detailanalyse umfasst 76 Seiten und wurde darum in ein eigenes Dokument ausgelagert.
Dieses Dokument wird nach Absprache mit dem Tutor nur in elektronischer Form abgegeben. Es
befindet sich auf der CD im Verzeichnis '1_Masterarbeit_oeffentlich'.
Anhang 5: Inhalt der CD
Die Dokumente auf der CD sind wie folgt organisiert:
 Verzeichnis '1_Masterarbeit_oeffentlich':
- Masterarbeit (ohne Anhänge 4 und 6):
- Anhang 4 der Masterarbeit:
Datei: MA_EGITzurWKPraevention.pdf
Datei: MA_EGITzurWKPraevention_Anhang4.pdf
 Verzeichnis '2_Anhang_vertraulich':
- Anhang 6:
Datei: MA_EGITzurWKPraevention_Anhang6.pdf
 Verzeichnis '3_Online_Literatur':
- Unterverzeichnisse mit dem Namen der Literatur-Referenz
- heruntergeladene Online-Dokumente mit den Original-Dateinamen
Anhang 6: Vertrauliche Zusatzinformationen
Anhang 6 beinhaltet vertrauliche Daten. Deshalb ist dieser Teil in der öffentlichen Version der
Masterarbeit nicht enthalten.
Diplomarbeit
Seite 38 von 38

MA Hoedl

Transcrição

Documentos relacionados

PDF-Datei - Bundesanzeiger Verlag

Dr. Silke Beck Veranstaltungen / Events

Enterprise Newsletter Oktober 2014

Helmut-Schmidt-Programm

Ausschreibung PPGG2015-de

Forschungsstand und -perspektiven

Manage

Avira AntiVir MailGate Antivirus für Ihre Email

„Der Diakonische Corporate Governance Kodex (DCGK

Raumschiff Enterprise