Gerichtsurteil: Mangelhaftes Risikomanagement führt zu persönlicher Haftung für die Unternehmensleitung
Archivmeldung vom 30.07.2007
Bitte beachten Sie, dass die Meldung den Stand der Dinge zum Zeitpunkt ihrer Veröffentlichung am 30.07.2007 wiedergibt. Eventuelle in der Zwischenzeit veränderte Sachverhalte bleiben daher unberücksichtigt.
Freigeschaltet durch Thorsten SchmittDie UIMCert stellt fest: Vor Kurzem ist ein bemerkenswertes Urteil in Bezug auf das Problem der Vorstandsentlastung bei einer fehlenden Dokumentation des Risikofrüherkennungssystems ergangen. Der Tatbestand: Ein Vorstand hatte ein Überwachungssystem gemäß § 91 Abs. 2 AktG eingerichtet ohne hierfür eine formelle Dokumentation vorlegen zu können.
Diese Sachlage hat dazu geführt, dass dem betreffenden Vorstand die Entlastung verweigert werden konnte (Urteil des Landgerichts München (Az. 5 HK O 15964/06)). Das Fehlen der Dokumentation machte unter anderem dem Wirtschaftsprüfungsunternehmen eine Funktions- und Systemprüfung unmöglich.
Die UIMCert hat als akkreditiertes Unternehmen auf dem Sektor der IT-Sicherheit ein Tool entwickelt, mit Hilfe dessen eine Risikoanalyse für das wichtige Gebiet des IT-Sicherheits-Risikomanagements vorgenommen werden kann. Auf Grund der Abhängigkeit der Unter-nehmen von einer funktionsfähigen und sicheren Informationsverarbeitung wird dieses Gebiet des Risikomanagements zunehmend mehr als Schlüsselgebiet anerkannt. Hierbei erfolgt beim Einsatz des UIMCert-Tools simultan mit der Erhebung der Risiken und der Maßnahmen des Risikomanagements die Dokumentation der Erhebungsergebnisse. Die Gesamtleistung, die UIMCert erbringt, besteht in einem Ganztages-Workshop, auf dem das Risikomanagement-system der IT-Sicherheit gemäß der international anerkannten Norm ISO/IEC 27001 - BS 7799, ergänzt um eine Risikoanalyse der Unternehmenskernprozesse, erarbeitet wird.
Am Ende des Arbeitstages liegt die Dokumentation in Form eines Rohberichtes der arbeitenden Ergebnisse vor. Es empfiehlt sich, die Rohberichtsdokumentation zu überarbeiten, um sie gegebenenfalls einem Wirtschaftsprüfungsunternehmen für eine Funktions- und Systemprüfung vorlegen zu können. Unter der Voraussetzung, dass das Unternehmen selbst ein Risikomanagement-Team hat, kann das UIMCert-Risikotool auch in Lizenz erworben werden, um es dem Risikomanagement-Team zu ermöglichen, selbst eine Bestandsaufnahme der Qualität des IT-Sicherheits-Risikomanagements vorzunehmen. Hiermit ist es komplikationslos möglich, die gesetzlichen Forderungen an ein Risikomanagement im Sinne einer IT-Compliance zu erfüllen.
Quelle: Pressemitteilung UIMCert