Risk Management, Solvency II und Konsequenzen für IT-Projekte und deren Gestaltung

4. OSE Symposium

Referent: Prof. Dr. Gerald Spindler (Göttingen)

Moderator: RA Dr. Philipp Süss (München)

Prof. Spindler kündigte an, einen Bogen über die verschiedenen regulatorischen Anforderungen bis hin zur vertraglichen Gestaltung von IT-Projekten spannen zu wollen. Einleitend stellte er dazu einige wichtige Regelungen vor.
Die rechtlichen Grundlagen des Riskmanagements ergeben sich aus § 91 AktG als allgemeine Pflicht der Geschäftsleitung. Diese Vorschrift beinhalte eine ausgeprägte Pflicht zum Riskmanagement. Konkrete Ausprägungen dieser allgemeinen Pflicht seien der Sarbanes Oxley Act (SOX) und das Bilanzrechtsmodernisierungsgesetz (BilMoG). Das BilMoG diene der Umsetzung in der sog. „Abschlussprüferrichtlinie“ und der sog. „Abänderungsrichtlinie“. Als wichtige Konsequenz empfahl Prof. Spindler die enge Zusammenarbeit der Wirtschaftsprüfer und der Beratungsanwälte.
Darüber hinaus habe auch die Business Judgement Rule Einfluss auf das Riskmanagement. Diese räume den Unternehmen einen unternehmerischen Entscheidungsspielraum ein. Voraussetzung für das Treffen von Entscheidungen sei jedoch, dass eine ausreichende Informationsgrundlage vorhanden ist. Für den Bereich IT heißt das neben IT Management auch Businessmanagement.
Weiter erläuterte Prof. Spindler den Hintergrund zu Basel II und Solvency II. Damit sollen nun auch gesteigerte Anforderungen an die Überprüfung der Risikoexposition des Unternehmens, die sogenannte qualitative Kontrolle des Kreditnehmers, Anwendung finden. Darüber hinaus sei auch die Bewertung des operationellen Risikos erforderlich, also alle Risiken innerhalb eines Unternehmens, einschließlich der IT-Systeme. Ferner ergeben sich Mindestforderungen an das Risikomanagement aus dem Rundschreiben der BaFin vom Mai 2007, das sich an Kreditinstitute richtet sowie dem Rundschreiben vom Januar 2009, das sich an die Versicherungswirtschaft richtet.
Prof. Spindler wies unter Hinweis auf den Wortlaut der Bestimmungen aus der MaRisk der IT hinsichtlich des IT- und Riskmanagements eine Doppelrolle zu. Die Aufgabe intern bestehe darin, die IT-relevanten Risiken, wie etwa mangelhaftes Rechtemanagement oder Fehlfunktion von Software zu identifizieren.
Als mögliche Mittel im Rahmen des internen IT- und Riskmanagement schlug Prof. Spindler verschiedene konkrete Maßnahmen vor: Frühzeitige Umstellung der Software, Change Requests, „Compliance with law“-Klauseln, Anpassungsklauseln in Abhängigkeit von Rating Evaluationen. Als besonderes Problem benannte der Referent die unter Umständen nicht gewährleistete langfristige Verfügbarkeit von Daten. Dies sei jedoch gerade aus Sicht der Versicherungswirtschaft unabdingbar. Als Lösungen kommen der Erwerb des Quellcodes, Escrow-Vereinbarungen oder auch die Archivierung mit Hilfe von Opensource Codes in Betracht.
Im Hinblick auf das „externe“ Riskmanagement unterstrich Prof. Spindler, dass im Rahmen der Einschätzung von Risiken beim Kunden ein spiegelbildliches Riskassessment anhand der IT-Projektrisiken erforderlich sei. Als Problem erschien dem Referenten dabei vor allem die konkrete Durchsetzbarkeit des IT-Riskmanagement.