Skip to main content
Disciplines
Automotive Business IT + Informatics Construction + Real Estate Electrical Engineering + Electronics Energy + Sustainability Insurance + Risk Finance + Banking Management + Leadership Marketing + Sales Mechanical Engineering + Materials
Events
DE
EN
Books
Journals
Topic Page
Marketing
Start single access now
Access for companies
EXTENDED SEARCH
Log in
Top
Published in:
Einführung Read chapter Read first chapter

2017 | OriginalPaper | Chapter

4. Risikomanagement, ein Pflichtfach der Unternehmensführung

Author : Hans-Peter Königs

Published in: IT-Risikomanagement mit System

Publisher: Springer Fachmedien Wiesbaden

Log in

Activate our intelligent search to find suitable subject content or patents.

search-config
loading …

Überblick

Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits-, IT- und Cyber-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen.
Deshalb behandelt der Teil II dieses Buches die wichtigsten Anforderungen, wie sie aus der Sicht der Unternehmensführung im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits-, IT- und Cyber-Risiken zutreffen. In diesem Kap. 4 werden zunächst die wesentlichen Eigenschaften und die Positionierung der Führungsprozesse im Unternehmen anhand des St. Galler Management Modells veranschaulicht. Aus der Sicht der Unternehmensführung werden die sich gegenseitig beeinflussenden drei Handlungsstränge „Governance“, „Risikomanagement“ und „Compliance“ behandelt. Im Rahmen dieser Handlungsstränge sind vorab die äusseren an das Unternehmen gerichteten Anforderungen der Gesetzgeber, Regulatoren und Vertragspartner sowie der Anspruchsgruppen mit Anspruch und Einfluss auf das Risikomanagement eines Unternehmens wichtig. Viele der an ein Unternehmen gerichteten gesetzlichen Anforderungen beinhalten auch das Management der Informationssicherheits-, IT- und neuerdings der Cyber-Risiken. Neben den etablierten Gesetzgebungen, wie das deutsche KonTraG, das Schweizerisches Obligationenrecht, das US-amerikanische Sarbanes-Oxley-Gesetz oder die diversen Datenschutzgesetze und Datenschutzrichtlinien, können einige neuere für IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit spezifischen Gesetze wie das deutsche IT-Sicherheitsgesetz oder das Schweizerische Informationssicherheits-Bundesgesetz relevant werden. Externe Anforderungen kommen auch von Seiten der Regulierer oder von empfohlenen Kodizes, wie dem „Swiss Code of Corporate Governance“. Zu berücksichtigen beim Umgang mit Risiken sind auch die Medien, die als Sprachrohr für verschiedene Anspruchsgruppen wahrgenommen werden müssen. Das Kapitel beschliesst mit der Beleuchtung der für das Risikomanagement in einem Unternehmen notwendigen Führungsfunktionen.

Dont have a licence yet? Then find out more about our products and how to get one now:

Springer Professional "Wirtschaft+Technik"

Online-Abonnement

Mit Springer Professional "Wirtschaft+Technik" erhalten Sie Zugriff auf:

  • über 102.000 Bücher
  • über 537 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Maschinenbau + Werkstoffe
  • Versicherung + Risiko

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Technik"

Online-Abonnement

Mit Springer Professional "Technik" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 390 Zeitschriften

aus folgenden Fachgebieten:

  • Automobil + Motoren
  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Elektrotechnik + Elektronik
  • Energie + Nachhaltigkeit
  • Maschinenbau + Werkstoffe




 

Jetzt Wissensvorsprung sichern!

inform now

Springer Professional "Wirtschaft"

Online-Abonnement

Mit Springer Professional "Wirtschaft" erhalten Sie Zugriff auf:

  • über 67.000 Bücher
  • über 340 Zeitschriften

aus folgenden Fachgebieten:

  • Bauwesen + Immobilien
  • Business IT + Informatik
  • Finance + Banking
  • Management + Führung
  • Marketing + Vertrieb
  • Versicherung + Risiko




Jetzt Wissensvorsprung sichern!

inform now
previous chapter Risikomanagement als Prozess
next chapter Risikomanagement integriert in das Management-System
Footnotes
1
COBIT® = „Control Objectives for Information and Related Technology“ entwickelt durch ISACA® (Information Systems Audit and Control Association).
 
2
Z. B. Bankrott der Bank Lehmann & Brothers; Abhörskandal bei der Deutschen Telekom; 2.3 Milliarden Verlust bei UBS durch nichtautorisierte Geschäfte eines Investmentbankers.
 
3
Bei Aktiengesellschaften sind dies die Aktionäre (engl. Share-holders).
 
4
Anspruchsgruppen (engl. „Stakeholders“ oder „Interested Parties“) sind Mitarbeiter, Kunden, Lieferanten, Staat, Kommunen, Verbände, Regulatoren usw.
 
5
Als Synonym für „Corporate Governance“ wird oft der Begriff „Unternehmens-Verfassung“ verwendet.
 
6
Im angloamerikanischen Raum steht die Regelung des Verhältnisses zwischen den Anteilseignern, namentlich den grossen Investoren, und der obersten Unternehmensleitung im Vordergrund und ist durch den „Shareholder-Value“-Ansatz, d. h. die Maximierung des Börsenwerts, geprägt. In der im Sommer 2007 offenbar gewordenen Finanzkrise hat sich jedoch der „Shareholder-Value“-Ansatz als schädliche, nicht nachhaltige Unternehmens-Maxime erwiesen.
 
7
Im Jahr 1999 wurden erstmalig durch die OECD Grundsätze zur Corporate Governance veröffentlicht, welche im April 2004 durch sechs überarbeitete und erweiterte Grundsätze ersetzt wurden. Eine überarbeitete Neuauflage der Grundsätze ist seit Ende 2014 in der Form eines Entwurf-Textes in Bearbeitung.
 
8
Das in der englischen Fassung der OECD-Definition genannte „Board“ ist in der Schweiz der „Verwaltungsrat“, in Deutschland der „Aufsichtsrat“ und in den meisten anglo-amerikanischen Ländern das „Board of Directors“ (vgl. [Böck04], S. 1759). Die gesetzlichen Regelungen über dieses oberste Gremium weichen in den verschiedenen Ländern voneinander ab, so dürfen beispielsweise in Deutschland Mitglieder des Vorstandes nicht gleichzeitig Mitglieder des Verwaltungsrates sein. Hingegen sind in Grossbritannien solche Mitgliedschaften erlaubt.
 
9
Mit „Management“ in der englischen Fassung ist in der Schweiz vor allem die „Geschäftsleitung“, in Deutschland der „Vorstand“ und in den meisten anglo-amerikanischen Ländern das „Executive Management“ oder das „Executive Board“ gemeint.
 
10
Treuhand Kammer, Schweizer Handbuch der Wirtschaftsprüfung 1998, Band 2, S. 171.
 
11
In Kraft seit 1.1.2013, (mit Übergangsfristen ab Geschäftsjahr 2015 und 2016 für Konzernrechnung, ersetzt früheren Artikel 663b, Ziffer 12).
 
12
Wirtschafts-Dachverband der Schweizer Unternehmer.
 
13
2007 wurde ein Anhang 1 „Empfehlungen zu den Entschädigungen von Verwaltungsrat und Geschäftsleitung“ zugefügt.
 
14
Titel des Rahmenwerks: International Convergence of Capital Measurement and Capital Standards – A Revised Framework [Bisf04].
 
15
G-10: Mitglieder sind 10 Industrienationen plus seit 1983 auch die Schweiz.
 
16
Obwohl die EU-Richtlinie stark an die Baseler Vereinbarungen angelehnt ist, ergeben sich bei der Umsetzung einzelner Anforderungen Unterschiede (vgl. [Foll07], S. 35–36).
 
17
MaRisk (BA) ist für Banken bestimmt, im Gegensatz zu MaRisk (VA) für Versicherungen.
 
18
Ursprünglich Eidg. Bankenkommission, seit 01.01.2009 liegt Zuständigkeit bei der „FINMA“.
 
19
„Basel III: A global regulatory framework for more resilient banks and banking systems“.
 
20
Die Umsetzung von Basel III in Deutschland erfolgt mit dem Kreditwesengesetz (KWG) mit direkter Vorschrift der „Capital Requirement Regulation“ (Kapitaladäquanzverordnung, CRR) der EU und der „Capital Requirement Directive“ (CRD IV) Umsetzungsgesetz sowie der Neufassung der Solvabilitätsverordnung (SolvV) sowie der Grosskredit- und Millionenkreditverordnung (GrMiKV). In der Schweiz erfolgte die schrittweise Umsetzung ab 2013 unter Leitung der FINMA, wobei insbesondere strengere Kapitalquoten verlangt werden.
 
21
SEC = US Securities and Exchange Commission.
 
22
COSO = Committee of Sponsoring Organizations of the Treadway Commission.
 
23
COBIT® = Control Objectives for Information and related Technology.
 
24
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, vom 17. Juli 2015.
 
25
Pressemitteilung des Bundesinnenministeriums, 12.06.2015.
 
26
Artikel Spiegel Online: Neues IT-Sicherheitsgesetz, 12.06.2015.
 
27
Gesetzentwurf des Bundesgesetzes über die Informationssicherheit (ISG).
 
28
Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht vom 26. März 2014.
 
29
Die Allgemeine Datenschutzrichtlinie der EU (95/46/EG) wurde durch eine bereichsspezifische Richtlinie „Datenschutzrichtlinie für elektrische Kommunikation“ (2002/58/EG) ergänzt. Inzwischen ist eine weitere EU-Richtlinie 2009/136/EG dazugekommen, die vor allem die Verwendung von „Cookies“ beim Internet-Browsen regelt, z. B. dass die Nutzer ausdrücklich in die Platzierung von Cookies einwilligen müssen.
 
30
Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Die Richtlinie soll im Rahmen der Datenschutzreform durch die Datenschutz-Grundverordnung abgelöst werden.
 
31
EU-Datenschutzgrundverordnung, die bestehende Richtlinie 95/46/EG voraussichtlich 2018 für alle 28 Staaten der EU in Kraft setzt.
 
32
s. Art. 37, Bundesgesetz über den Datenschutz (DSG).
 
33
The Privacy Act of 1974, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies.
 
34
http://de.wikipedia.org/wiki/Datenschutz, Abschn. 4.2.
 
35
Art. 321a Abs. 4 OR und Qualifizierung der Informationen als
Geschäftsgeheimnis gemäss Art. 162 StGB (Schweizerisches
Strafgesetzbuch, SR 311.0).
 
36
Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails.
 
37
In$ide Paradeplatz: Gestern stand CS-Computer 9 Stunden still.
 
38
Hier ist das Gremium für die „Oberleitung“ des Unternehmens gemeint, das in der Schweiz durch den „Verwaltungsrat“, in Deutschland durch den „Aufsichtsrat“ in anglo-amerikanischen Ländern durch das „Board of Directors“ wahrgenommen wird (s. Abschn. 4.2.1 Corporate Governance).
 
39
In anglo-amerikanischen Ländern oft als „Management“ oder „Executive Management“ bezeichnet.
 
Literature
[Bafi12]
BaFin: Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2012 (BA), 2012.
[Bein03]
Beinert, Claudia: „Bestandesaufnahme Risikomanagement“, in Risikomanagement und Rating. Hrsg. Peter Reichling. Wiesbaden: Gabler, 2003, 32–41.
[Bgbl15]
[Bisf04]
Bank for International Settlements: International Convergence of Capital Measurement and Capital Standards – A Revised Framework. Basel: Bank für Internationalen Zahlungsausgleich, 2004.
[Bisk06]
Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen – Überarbeitete Rahmenvereinbarung – Umfassende Version. Basel: Bank für Internationalen Zahlungsausgleich, 2006.
[Biss03]
Bank for International Settlements: Sound Practices for the Management and Supervision of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2003.
[Bisw01]
Bank for International Settlements: Working Paper on Regulatory Treatment of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2001.
[Bmib15]
[Böck04]
Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
[Brüh11]
Brühwiler, Bruno: Risk Management als Führungsaufgabe. ISO 31000 mit ONR 49000 wirksam umsetzen. Bern: Haupt, 2011.
[Bund14]
[Cosa13]
Committee of Sponsoring Organizations of Treadway Commission (COSO): Internal Control - Integrated Framework Second Edition. New York: AICPA, 2013.
[Cose04]
COSO: Enterprise Risk Management – Integrated Framework, Frame-work. New York: AICPA, 2004.
[Foll07]
Follmann, David: Basel II und Solvency II. Saarbrücken: VDM Verlag Dr. Müller, 2007.
[Haes15]
[Homm00]
Hommelhoff, Peter und Daniela Mattheus: „Gesetzliche Grundlagen: Deutschland und international.“ In Praxis des Risikomanagements. Hrsg. Dietrich Dörner, Péter Horwath und Henning Kagermann. Stuttgart: Schäffer-Poschel, 2000, 6–40.
[Isac13]
ISACA: Relating the COSO Internal Control – Integrated Framework and COBIT®. Rolling Meadows: ISACA®, 2013.
[Lehm02]
Lehmann, Beat: Verantwortung und Haftung für die IT-Sicherheit. Luzern: Fachhochschule Luzern - IWI, 2002.
[Obli15]
OR: Schweizerisches Obligationenrecht (Stand am 1. Juli 2015), 2015.
[Oecd04]
OECD: OECD Principles of Corporate Covernance. 2004 Edition. Paris: OECD Publications, 2004.
[Prok08]
Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008.
[Rüeg02]
Rüegg-Stürm, Johannes: Das neue St. Galler Management-Modell. Bern: Haupt, 2002.
[Rüeg14]
Rüegg-Stürm, Johannes und Simon Grand: Das St. Galler Management-Modell, 4. Generation - Einführung. Bern: Haupt, 2014.
[Scod14]
Swiss code of best practice for corporate governance. Zürich: econo-miesuisse, 2014.
[Spie15]
[Spio15]
[Vtga14]
[Witb10]
Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage. Edition <kes>, Wiesbaden: Vieweg+Teubner, 2010.
Metadata
Title
Risikomanagement, ein Pflichtfach der Unternehmensführung
Author
Hans-Peter Königs
Copyright Year
2017
Book
IT-Risikomanagement mit System

Print ISBN: 978-3-658-12003-0

Electronic ISBN: 978-3-658-12004-7

Copyright Year: 2017

DOI
https://doi.org/10.1007/978-3-658-12004-7_4

Premium Partner

    Image Credits