Homeoffice: Corporate Governance im Stresstest

Jens Carsten Laue
Partner, Head of Corporate Governance Services, KPMG Deutschland

Corporate Governance im Homeoffice — Bild: MEV Mithören von Telefonaten oder Einsichtnahme durch Dritte sind nur zwei von mehreren erhöhten Risiken bei der Arbeit im Homeoffice.

Homeoffice bringt für Arbeitnehmer und auch Arbeitgeber Vorteile. Nicht vergessen werden dürfen aber die Risiken, die sich bei dieser Form des Arbeitens ergeben (können). Erfahren Sie mehr über die Stolperfallen.

Homeoffice: Mehr als ein Phänomen der Corona-Pandemie

Mittlerweile gehört das Arbeiten im Homeoffice zu jeder Definition der „New Reality“. Es ist dabei herrschende Meinung, dass das Arbeiten von zu Hause kein temporäres Phänomen während der Pandemie ist, sondern das tradierte Arbeiten im Büro, zumindest in Teilen, auch zukünftig ersetzen kann und wird. In diesem Zusammenhang werden im Moment die vielfältigen Vorzüge der Verlagerung des Arbeitsplatzes in die eigenen vier Wände herausgestellt. Während man sich dieser Auffassung in jedem Fall anschließen kann, dürfen dabei jedoch nicht die besonderen Risiken der Heimarbeit außer Acht gelassen werden. Insbesondere müssen sich Unternehmen sehr zeitnah Gedanken machen, wie nachhaltige Voraussetzungen für ein sicheres Arbeiten von zu Hause geschaffen werden können. Denn die Arbeit in den eigenen vier Wänden unterscheidet sich maßgeblich von einer Tätigkeit in den dafür vorgesehenen Büros.

Risiken des Homeoffice

Das Arbeiten im Homeoffice ist noch am ehesten vergleichbar mit der Situation, in der sich viele Arbeitnehmer auf Reisen beim Arbeiten in Verkehrsmitteln oder in anderen öffentlichen Räumlichkeiten befinden. Während es hier jedoch häufig Arbeitsanweisungen zum Umgang mit der Tätigkeit in diesen besonderen Szenarien gibt, fehlen diese für das Homeoffice nahezu überall. Auch wenn es in der Theorie Überschneidungen zwischen diesen Arten des Fernarbeitsplatzes gibt, so ist ein großer Teil der Arbeitnehmer mangels eigener Reisetätigkeit bisher noch überhaupt nicht mit diesen speziellen Anweisungen vertraut.

Im Zuge des Übergangs zu vermehrten Heimarbeitsplätzen im März 2020 wurden viele Arbeitnehmer in der Hoffnung in das Homeoffice entsendet, dass die Arbeit dort fern des Büros durch Laptops und sonstige mobile Devices im Wesentlichen aufrechterhalten werden kann. Viele der nachfolgend skizzierten Risiken haben ihre Wurzeln in der Tatsache, dass mit dem Auszug der Mitarbeiter aus den Büros die Infrastruktur des Büroarbeitsplatzes sowie die geschützte Arbeitsumgebung nicht adäquat nachgebaut werden konnten.

Schutz von Unternehmensdaten im Homeoffice

In der Mehrzahl der Fälle verfügen Mitarbeiter nicht über ein separates Arbeitszimmer, so dass Arbeitsplätze in Küchen, Wohn- und Schlafzimmern entstanden, in denen eine Trennung von privatem und beruflichem Leben nur schwer durchzusetzen ist. Das zieht einige ungewollte Konsequenzen nach sich:

Einsichtnahme durch Dritte: Als Folge können in vielen Fällen Dritte (wie z.B. Familienangehörige, Handwerker, Putzhilfen oder Bekannte) - wenn auch häufig ungewollt - Einblicke in Unternehmensdaten durch offene Dokumente oder aufgeklappte Laptops erhalten.
Mithören von Telefonaten: Gleiches gilt für Telefonate, die zwangsläufig von Dritten mitgehört werden können oder die Nutzung von privaten Speichermedien in Ermangelung einer adäquaten Arbeitsinfrastruktur in den eigenen vier Wänden. So war beispielsweise zu beobachten, dass im Fall von fehlenden Scannern einfach Fotos von teils vertraulichen Unterlagen mit dem Handy als Zwischenspeicher aufgenommen wurden, wodurch zumeist gleichzeitig ein Upload in vermeintlich schwach geschützte private Cloud-Strukturen für Fotos erfolgte.
Unsichere Datenspeicherung: Auch alternativ verwendete Datenübertragungs- oder Speicherorte von privaten Cloud-Anbietern stellen ein Risiko dar, denn deren Zugriffschutz ist nicht immer sichergestellt bzw. deren Daten werden im Ausland auf Servern gespeichert, was häufig gegen Datenschutzbestimmungen verstößt.
Unzureichend geschützte Netzwerke: Hinzu kommen zumeist schwach geschützte private WLAN-Router, deren Firewall-Einstellungen und sonstige Schutzvorrichtungen gegen externen Missbrauch deutlich weniger schützen als Netzwerke innerhalb der Unternehmen. Sofern hier zum Schutz VPN-Verbindungen genutzt werden, sind diese aufgrund der Überforderung mit der Vielzahl der parallelen Zugriffe oft überlastet.

Dazu kommen weitere zwei Risiken aus der verlagerten Kommunikation in die Haushalte. Erstens, kompensieren viele Unternehmen notwendige Meetings und Versammlungen mit Videokonferenzformaten. Die in diesem Zusammenhang genannten Tools haben ihren Ursprung allerdings in der privaten Kommunikation und waren in dieser Form nicht für den geschäftlichen Austausch von vertraulichen Inhalten gedacht. In diesem Zusammenhang verwundert es nicht, dass es schon kurz nach dem Beginn der Homeoffice-Phase im März 2020 zu ersten Berichten über unautorisierte Zugriffe auf Videokonferenzen kam. Zweitens ist in diesem Zusammenhang auch die Nutzung von unsicheren Chatprogrammen zu nennen, die in Zeiten der räumlichen Trennung von Mitarbeitern und Teams genutzt werden, um eine Art von Socializing zu imitieren, das in Bürozeiten häufig in kleinen Gruppen an Kaffeemaschinen oder in Kantinen stattfindet. Und sogar auf dem klassischen Papierweg drohen Risiken, wenn Unterlagen mangels Datenvernichtungscontainern zum Beispiel einfach mit dem Altpapier entsorgt werden.

Weiterhin ist eine in der Pandemie gestiegene Gefährdung durch kriminelle Energien zu beobachten. Entsprechende Gruppierungen nutzen die Verunsicherung aufgrund der neuen Situation schnell und konsequent aus und versuchen durch gut gemachte Cyber-Attacken Schadsoftware zu platzieren, Personen- und Unternehmensdaten abzufischen oder durch etablierte Vehikel wie „Fake President“-Kommunikation mit COVID-Bezug finanzielle Vorteile zu erlangen.

Unzureichende Automatisierung sowie mangelnde Prozess- und Kontrolltreue im Homeoffice

Wenn die Folgen der Pandemien im Bereich der Corporate Governance eines offengelegt haben, dann den weiterhin unzureichenden Stand der Automatisierung in deutschen Unternehmen. Arbeitsschritte, die noch auf der Basis von Papierunterlagen und anderen manuellen Aktivitäten erfolgen, lassen sich nur sehr begrenzt und mit hohen Effizienzverlusten vom Büro in das Homeoffice verlagern. Zusätzlich führt diese Einschränkung im Falle einer kurzfristigen Verlagerung, so wie bei der aktuellen Pandemie zu beobachten war, zu mangelnder Prozesstreue, wenn notwendige Schritte durch fehlenden Zugriff auf Dokumente von zu Hause aus übersprungen oder aufgehalten werden und im Extremfall unterbleiben, so dass deren Effektivität gefährdet ist.

Gleiches gilt neben den Prozessen auch für Kontrollen, die im Unternehmen durchgeführt werden und ebenfalls noch in hohem Maße manuelle Tätigkeiten beinhalten. Der Abgleich von papierbasierten Unterlagen wird z.B. durch die Arbeitsplatzverlagerung zu einer logistischen Herausforderung, die ebenfalls mindestens zu Prozessverlangsamung bis – im Fall der Umgehung – hin zur Unwirksamkeit von Kontrollen führt. Besonders deutlich wird dies auch in den Begrenzungen, denen sich die Interne Revision in Zeiten von Reisebeschränkungen oder fehlendem Zugriff auf Unterlagen ausgesetzt sieht. Mangels ausreichender Automatisierung der Systeme sind dann revisorische Prüfungshandlungen nur sehr eingeschränkt remote durchführbar, woraus eine Unwirksamkeit der Corporate Governance Systeme und damit Haftungsrisiken für die Unternehmen und deren Organe resultieren können.

Notwendige Maßnahmen bei Homeoffice

Hintergrund vieler aus der Arbeit im Homeoffice resultierenden Probleme ist, dass sämtliche Geschäftsabläufe (Sollprozesse) und zugrundliegenden Kontrollaktivitäten in ihrer ursprünglichen Konzeption nicht auf einen Heimarbeitsplatz ausgerichtet sind. Insofern ist die Verlagerung des Arbeitsplatzes an einen Ort außerhalb des Büros mit seinen Einschränkungen nichts anderes als eine Disruption der Prozesslandschaft. In den Unternehmen vorhandene Arbeitsanweisungen, Richtlinien, Stellenbeschreibungen oder Schulungen sind nicht auf die neuen Herausforderungen ausgerichtet und müssen daher dringend auf die neue Arbeitsrealität hin angepasst werden. Aus dieser Betrachtung resultieren drei sich ergänzende und dringend anzugehende Lösungsbereiche, um im Zuge eines verstärkten Arbeitens von zu Hause dennoch bestehende Unternehmensrisiken – auch abseits einer Pandemie – adäquat zu steuern. Das sind:

Integration in die Managementsysteme,
Automatisierung von Prozessen und Kontrollen,
Übergabe in Managed Services.

Homeoffice in die Managementsysteme integrieren

Die besonderen Herausforderungen aus der Arbeit von zu Hause müssen Eingang in die Instrumente finden, die dem Unternehmen zur Erreichung seiner Ziele und zur Steuerung der Unternehmensrisiken zur Verfügung stehen. So sollte z.B. für das Homeoffice eine Richtlinie entwickelt werden, die den Mitarbeitern klare Vorgaben für die Arbeit im privaten Umfeld macht. Mit einer solchen Arbeitsanweisung können die Lücken kompensiert werden, die sich aus dem Ausbrechen von bisherigen Arbeitsabläufen ergeben und besondere relevante Gebiete wie Datenschutz, IT-Sicherheit oder auch Schutz von Geschäftsgeheimnissen umfassen. Diese Inhalte werden dann sinnvollerweise durch Schulungen zusätzlich vermittelt, um im Rahmen dieser Trainings auch noch individuelle Risikoszenarien deutlicher zu beleuchten und gezielt Verhaltensempfehlungen zu geben.

Im gleichen Atemzug müssen voraussichtlich bestehende Prozessbeschreibungen und Risiko-Kontroll-Matrizen an die neue Situation angepasst werden. Auf diese Art und Weise wird das Arbeiten von zu Hause ein fester und geregelter Bestandteil im Unternehmen. Als Basis können in den Unternehmen teilweise vorhandene Richtlinien zum Arbeiten an öffentlichen Orten (wie z.B. in Verkehrsmitteln), so wie sie für Mitarbeiter im Außendienst häufig verwendet werden, dienen. Neben dem Erlass von Arbeitsanweisungen muss den Mitarbeitern aber auch eine technische Ausstattung ermöglicht werden, um die Arbeiten in einem möglichst geschützten Umfeld vornehmen zu können. Dazu zählen unter anderem auch – in Abhängigkeit vom genauen Tätigkeitsfeld des Einzelnen – externe Speichermedien, Zugriff auf geschützte Netzwerke, Scanner oder auch Ausrüstung zum Blickschutz von Monitoren. Mit einer so erfolgenden Integration in die Management Systeme vermeidet die Unternehmensleitung auch den Vorwurf des Organisationsverschuldens, der sich ergeben könnte, wenn durch Fehlverhalten von Mitarbeitern in Ermangelung von Verhaltensanweisungen Schadensfälle eintreten.

Homeoffice sicherer machen: Prozesse und Kontrollen automatisieren

Zur Verbesserung von Geschäftsprozessen im Hinblick auf Qualität, Steigerung von Produktivität/Effizienz, Leistung, Konsistenz und Vorhersehbarkeit haben Unternehmen die Möglichkeit der Automatisierung und Digitalisierung. Manuelle und zeitintensive Prozesse, Aufgaben oder Kontrollen können durch den Einsatz neuer Technologien schrittweise oder vollständig ersetzt werden. Dazu kann neben der Aufnahme von Geschäftsprozessen zur Identifikation von Medienbrüchen und damit manuellen Zwischenschritten auch durch den Einsatz von Process-Mining-Tools weiteres Automatisierungspotential identifiziert und visualisiert werden. Häufig ist auch schon durch die Anpassung und Optimierung bereits bestehender ERP-Lösungen ein höherer Nutzungsgrad erreichbar, wodurch manuelle Prozess- und Kontrollbestandteile abgelöst werden. Im Rahmen eines zweiten Schrittes können vorgefundene Medienbrüche, deren Automatisierung aufgrund von Beschränkungen innerhalb der ERP-Systeme nicht eliminiert wird, durch den Einsatz von Robotic Process Automation (RPA) überbrückt werden. Aus diesen Schritten resultiert nicht nur eine effektive Verlagerungsmöglichkeit von Arbeit in das Homeoffice, sondern in aller Regel auch ein hoher Effizienzgewinn. Zusätzlich bieten Maschinelles Lernen und Künstliche Intelligenz weitreichendere Chancen und Optimierungspotentiale. Als einer dieser Anwendungsbereiche kann die fortschreitende Automatisierung durch den Einsatz von KI in Finanz- und Buchhaltungsprozessen genannt werden, in der zunehmend regelbasierte Automatisierung durch kognitive Entscheidungen ergänzt/abgelöst werden.

Managed Services nutzen

Die Automatisierung von Prozessen und Kontrollen, das Heben entsprechender Effizienzpotentiale aus der Digitalisierung und somit auch das Ermöglichen der Arbeit aus dem Homeoffice erfordert jedoch teilweise erhebliche Investitionen in Infrastruktur und IT-Systeme. Ein Teil der Tätigkeiten, die sich einer reinen Arbeit von zu Hause aus entziehen, kann daher auch alternativ oder zumindest ergänzend durch die Auslagerung auf Dritte (sog. Managed Services) kompensiert werden, um sich maximal unabhängig von der Verfügbarkeit der Mitarbeiter im Unternehmen zu machen. Unter Managed Services versteht man das Co-, oder Outsourcen von Tätigkeiten zur Sicherung und Stabilität der Unternehmensprozesse. Derartige Strukturen machen Unternehmen unabhängiger von der Verfügbarkeit eigener Mitarbeiter bzw. der Limitation von Homeoffice-Situationen. Als Folge dessen können Heimarbeitsplätze auch in den Fällen ermöglicht werden, in denen bisherige Arbeitsabläufe im Grunde eine physische Anwesenheit notwendig machten. Entsprechende Anbieter können durch hochentwickelte IT-Systeme, Datenanalysemöglichkeiten und entsprechende Personal- und Notfallkonzepte einen reibungslosen Weitergang der Geschäftstätigkeiten ermöglichen.

Flexibilität und Digitalisierung der Arbeit konsequent angehen um einen sicheren Rahmen für Homeoffice zu schaffen

Die Pandemie hat eine ganze Reihe von Schwächen offengelegt, mit deren Auswirkungen die deutschen Unternehmen immer noch und auch in naher bis mittlerer Zukunft zu kämpfen haben werden. Hier werden häufig ausfallende globale Lieferketten oder die grundsätzlich unzureichende Berücksichtigung von potentiellen Pandemien im Risikomanagement genannt. Man muss jedoch eingestehen, dass sich auch Limitationen beim Weg ins Homeoffice durch tradierte Arbeitsformen ergeben haben, die darüber hinaus einen unzureichenden Stand der Automatisierung in den Abläufen der Unternehmen aufzeigen. Es ist nun Aufgabe der Unternehmensleitung, den externen Schock der Corona-Krise zu nutzen, um gelebte Arbeitsweisen an die „New Reality“ anzupassen. Dabei geht es nicht (nur) darum, das Unternehmen „winterfest“ für eine erneute globale Krise zu machen, sondern grundsätzlich die schmerzhaften Erkenntnisse zu nutzen, um dringend notwendige Schritte in Bezug auf die Flexibilität und Digitalisierung der Arbeit anzugehen.

Meistgelesene beiträge

Neueste beiträge

32. Tätigkeitsbericht des Bundesbeauftragten für Datenschutz und Informationsfreiheit (BfDI)

23.04.2024
EU-Kommission und EU-Parlament einigen sich auf neues Gesetzpaket zur Bekämpfung der Geldwäsche

16.04.2024
Faxe sind ein Datenschutzrisiko

02.04.2024
EU-Lieferketten-Richtlinie verabschiedet!

18.03.2024
Das Europäische Parlament hat den AI-Act beschlossen

14.03.2024
Europäische Kommission veröffentlicht PeP-Liste zur Geldwäscheprävention

27.02.2024
„Pay or Okay“: NOYB geht gegen das neue Bezahlmodell von Meta vor

01.02.2024
Datengesetz der EU ist in Kraft

31.01.2024
Mehrwertsteuersätze, Pauschalbeträge und Co: Compliance-Regeln für Finanzabteilungen im Überblick

25.01.2024
Cyber-Versicherung muss im Einzelfall trotz Sicherheitsmängel zahlen

24.01.2024

Corporate Governance im Stresstest: Die Aufrechterhaltung der Überwachungssysteme im Homeoffice