Interne Kontrollsysteme im Software Asset Management

Im Januar waren wir mit der Special Interest Group (SIG) SAM & Licensing von VOICE – Bundesverband der IT-Anwender e.V. zu Gast bei der Continental AG in Hannover. Thematisch lag ein Schwerpunkt auf der Integration eines internen Kontrollsystems (IKS) ins Software Asset Management. Dieser Blogbeitrag fasst die zentralen Erkenntnisse der Diskussion zusammen.

Ein internes Kontrollsystem (IKS) ist ein wesentlicher Bestandteil der Unternehmensführung und des Risikomanagements. Es umfasst Regelungen, Verfahren und Maßnahmen, die von einer Organisation eingeführt werden, mit dem Ziel Geschäftsprozesse effizient und zuverlässig zu gestalten, Risiken zu minimieren, Vermögenswerte zu schützen, die Zuverlässigkeit der finanziellen Berichterstattung sicherzustellen und die Einhaltung von Gesetzen und Vorschriften zu gewährleisten.

Ein internes Kontrollsystem umfasst dabei 3 Linien:

1. Linie (Betrieb): Diese Linie ist für die Durchführung der Prozesse verantwortlich mit denen die Risiken verbunden sind. Auf dieser Ebene werden Risiken identifiziert, bewertet und gemanagt. Hier sind auch die Risiko-Owner angesiedelt, die geeignete Maßnahmen zur Risikomitigation initiieren.

2. Linie (Risiko Management & Compliance): Diese Linie legt die Richtlinien, Standards und Verfahren fest, führt Risiko Assessments durch und prüft die Risiko Managementaktivitäten der ersten Ebene.

3. Linie (Internes Audit): Die dritte Linie fungiert als unabhängige Kontrollinstanz, die die Effektivität der Risiko Management Prozesse bewertet. Sie berichtet in der Regel direkt an das Top-Management / den Vorstand.

Ein internes Kontrollsystem ist in vielen Unternehmen, insbesondere im Finanzwesen und in Bezug auf regulatorische Anforderungen weit verbreitet. Im Bereich der IT liegt der Schwerpunkt häufig auf der Informationssicherheit, um Risiken durch externe Angriffe adäquat zu begegnen oder Anforderungen an IT Security-Zertifizierungen zu erfüllen.

Richtlinien, Standards und Verfahren sind im Software Asset Management häufig definiert, aber teilweise nicht unternehmensweit implementiert. Auch gibt es selten definierte Prüfpunkte für das Software Asset Management mittels derer die Einhaltung des Regelwerks regelmäßig kontrolliert wird. Ebenso mangelt es, insbesondere bei Organisationen mit einem geringen Reifegrad, an einer stringenten Dokumentation von Risiken im Software Asset Management Kontext.

Als wesentlicher Blocker ist in der Praxis häufig zu beobachten, dass die erforderliche Rückendeckung für ein umfassendes SAM aus dem Management nicht vollumfänglich vorhanden ist. Es wird so viel wie eben nötig aufgewendet, um möglichen Risiko im Zusammenhang mit Softwarelizenzverträgen zu begegnen. Dabei wird jedoch außer Acht gelassen, dass entsprechende Maßnahmen auch zu einer Effizienzsteigerung in den Prozessen führen können, was wiederum in Nutzungs- oder Ausgabenreduktion mündet. Ein weiter Blocker sind die häufig knappen Ressourcen im SAM oder benachbarten Abteilungen, die für das Aufsetzen eines IKS benötigen werden. Verstärkt wird dies durch Fluktuationen, was zu einem häufigen Wechseln von Ansprechpartnern führt, die für das eigene Vorhaben gewonnen werden müssen. Insbesondere bei dezentral organisierten Unternehmen fehlt zudem der Durchgriff.

Förderlich für die Einführung eines IKS können konkrete Compliance-Vorfälle im Unternehmen sein, die zu einer erhöhten Sensibilität führen. Ferner setzt ein IKS einen gewissen Reifegrad der SAM Organisation voraus. So müssen zunächst die Richtlinien, Standards und Verfahren definiert, verabschiedet und im Unternehmen ausgerollt sein, bevor darauf aufbauend ein sinnvolles Kontrollsystem aufgesetzt werden kann. Begünstigend für eine IKS Einführung wirkt dabei, wenn das Unternehmen über eine wirtschaftliche und organisatorische Stabilität verfügt, so dass das Vorhaben auf einem stabilen Fundament aufsetzt.

Als mögliche Lösungsansätze (nicht nur für die Einführung eines IKS im SAM, sondern auch eine SAM Einführung im Allgemeinen) sollte der Mehrwert von SAM und mögliche Risiken bei nicht konsequenter Umsetzung herausgearbeitet und dargestellt werden. Auf Basis dessen kann sich der Auftrag für die Einführung eines IKS für SAM beim Management eingeholt werden. Bei mangelnder Sensibilität für die aufgezeigten Risiken könnte auch in Erwägung gezogen werden, die interne Revision zu instrumentalisieren, um etwaigen Risiken nochmals von einer dritten Partei bestätigen zu lassen. Hilfreich kann auch sein, den Fokus nicht ausschließlich auf SAM zu legen, sondern gemeinsame Anknüpfungspunkte z.B. mit der IT-Security oder dem Business Continuity Management zu finden bzw. ggf. vorhandene IKS-Mechanismen, um SAM zu erweitern. Dabei hilft eine gute Vernetzung mit anderen Abteilungen/Bereichen sowie die Präsenz in deren Gremien/Organen.

Leider gibt es – wie so häufig – nicht den einen Paradeweg, der garantiert zum Erfolg führt. Vielmehr sind die individuelle Ausgangssituation, Gegebenheiten und Zielsetzungen im Unternehmen zu berücksichtigen, um an das gewünschte Ziel zu kommen. Einige zentrale Erfolgsfaktoren lassen sich aber zusammenfassen:

SAM Wertbeitrag für das geplante Vorhaben herausstellen

Verbündete im eigenen Unternehmen suchen

Mögliches (zeitliches) Momentum im Unternehmen nutzen

Schritt für Schritt bei der Umsetzung vorgehen

Voneinander lernen, z.B. durch Austausch mit Gleichgesinnten in der SIG SAM & Licensing

Verfasser: Felix Baran