2.3. Konzerninterne Struktur, Vorgaben und Richtlinien zum Schutz von Informationen

Der Bayer-Konzern verfügt über ein globales internes Anweisungssystem, in welchem Handlungsanweisungen für Mitarbeiter als sogenannte Directives, Guidelines und Management Circulars mit verbindlichem, empfehlenden oder informierenden Charakter abgelegt sind. In diesem Anweisungssystem wird mit mehreren Directives die Handhabung von Geschäftsinformationen, von Geschäftsrisiken, der IT-Sicherheit und des Datenschutzes als Teil der Corporate Compliance geregelt. Hinzu treten Anweisungen der Arbeitsordnung, die je nach Land auf Grund von legalen Anforderungen unterschiedlich sind. Eine spezifische Anweisung zum Informationsschutz existiert bislang nicht.

Im globalen HR-Prozess ist bei Einstellung, Versetzung oder Austritt eine Einweisung in den Umgang mit vertraulichen und persönlichen Informationen und Daten vorgesehen. Für den inneren Führungskreis des Konzerns gelten separate Bestimmungen. Darüber hinaus existieren für bestimmte Funktionen, z.B. der pharmazeutischen Forschung und Entwicklung aber auch in der Produktion, zusätzlichen Anweisungssysteme, die Qualität und pharmazeutische Compliance gegenüber externen Behörden gewährleisten (International Society for Pharmaceutical Engineering, 2008). Die Regelwerke der IT-Sicherheit sind an die ISO27001 angelehnt (Bundesamt für Sicherheit in der Informationstechnik, 2011).

Ein besonderer Fokus liegt im Konzern auf der Erfüllung der gesetzlichen Auflagen zur Finance-Compliance. Hierzu wurde ein internes Kontrollsystem aufgesetzt, welches sich für die IT-Compliance und die IT-Governance an COBIT³ anlehnt (Gaulke, 2010). Für Auslandsgesellschaften liegt hier die Implementierungspflicht in der Hand der lokalen Gesellschaften. Die Effektivität und Effizienz der Maßnahmen wird regelmäßig durch eine zentrale Audit-Organisation und durch stichprobenartige Reviews durch Wirtschaftsprüfer geprüft.

³ COBIT (Control Objectives for Information and Related Technology)