Skip to main content
main-content

Tipp

Weitere Kapitel dieses Buchs durch Wischen aufrufen

2017 | OriginalPaper | Buchkapitel

4. Risikomanagement, ein Pflichtfach der Unternehmensführung

verfasst von : Hans-Peter Königs

Erschienen in: IT-Risikomanagement mit System

Verlag: Springer Fachmedien Wiesbaden

share
TEILEN

Überblick

Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits-, IT- und Cyber-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen.
Deshalb behandelt der Teil II dieses Buches die wichtigsten Anforderungen, wie sie aus der Sicht der Unternehmensführung im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits-, IT- und Cyber-Risiken zutreffen. In diesem Kap. 4 werden zunächst die wesentlichen Eigenschaften und die Positionierung der Führungsprozesse im Unternehmen anhand des St. Galler Management Modells veranschaulicht. Aus der Sicht der Unternehmensführung werden die sich gegenseitig beeinflussenden drei Handlungsstränge „Governance“, „Risikomanagement“ und „Compliance“ behandelt. Im Rahmen dieser Handlungsstränge sind vorab die äusseren an das Unternehmen gerichteten Anforderungen der Gesetzgeber, Regulatoren und Vertragspartner sowie der Anspruchsgruppen mit Anspruch und Einfluss auf das Risikomanagement eines Unternehmens wichtig. Viele der an ein Unternehmen gerichteten gesetzlichen Anforderungen beinhalten auch das Management der Informationssicherheits-, IT- und neuerdings der Cyber-Risiken. Neben den etablierten Gesetzgebungen, wie das deutsche KonTraG, das Schweizerisches Obligationenrecht, das US-amerikanische Sarbanes-Oxley-Gesetz oder die diversen Datenschutzgesetze und Datenschutzrichtlinien, können einige neuere für IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit spezifischen Gesetze wie das deutsche IT-Sicherheitsgesetz oder das Schweizerische Informationssicherheits-Bundesgesetz relevant werden. Externe Anforderungen kommen auch von Seiten der Regulierer oder von empfohlenen Kodizes, wie dem „Swiss Code of Corporate Governance“. Zu berücksichtigen beim Umgang mit Risiken sind auch die Medien, die als Sprachrohr für verschiedene Anspruchsgruppen wahrgenommen werden müssen. Das Kapitel beschliesst mit der Beleuchtung der für das Risikomanagement in einem Unternehmen notwendigen Führungsfunktionen.
Fußnoten
1
COBIT® = „Control Objectives for Information and Related Technology“ entwickelt durch ISACA® (Information Systems Audit and Control Association).
 
2
Z. B. Bankrott der Bank Lehmann & Brothers; Abhörskandal bei der Deutschen Telekom; 2.3 Milliarden Verlust bei UBS durch nichtautorisierte Geschäfte eines Investmentbankers.
 
3
Bei Aktiengesellschaften sind dies die Aktionäre (engl. Share-holders).
 
4
Anspruchsgruppen (engl. „Stakeholders“ oder „Interested Parties“) sind Mitarbeiter, Kunden, Lieferanten, Staat, Kommunen, Verbände, Regulatoren usw.
 
5
Als Synonym für „Corporate Governance“ wird oft der Begriff „Unternehmens-Verfassung“ verwendet.
 
6
Im angloamerikanischen Raum steht die Regelung des Verhältnisses zwischen den Anteilseignern, namentlich den grossen Investoren, und der obersten Unternehmensleitung im Vordergrund und ist durch den „Shareholder-Value“-Ansatz, d. h. die Maximierung des Börsenwerts, geprägt. In der im Sommer 2007 offenbar gewordenen Finanzkrise hat sich jedoch der „Shareholder-Value“-Ansatz als schädliche, nicht nachhaltige Unternehmens-Maxime erwiesen.
 
7
Im Jahr 1999 wurden erstmalig durch die OECD Grundsätze zur Corporate Governance veröffentlicht, welche im April 2004 durch sechs überarbeitete und erweiterte Grundsätze ersetzt wurden. Eine überarbeitete Neuauflage der Grundsätze ist seit Ende 2014 in der Form eines Entwurf-Textes in Bearbeitung.
 
8
Das in der englischen Fassung der OECD-Definition genannte „Board“ ist in der Schweiz der „Verwaltungsrat“, in Deutschland der „Aufsichtsrat“ und in den meisten anglo-amerikanischen Ländern das „Board of Directors“ (vgl. [Böck04], S. 1759). Die gesetzlichen Regelungen über dieses oberste Gremium weichen in den verschiedenen Ländern voneinander ab, so dürfen beispielsweise in Deutschland Mitglieder des Vorstandes nicht gleichzeitig Mitglieder des Verwaltungsrates sein. Hingegen sind in Grossbritannien solche Mitgliedschaften erlaubt.
 
9
Mit „Management“ in der englischen Fassung ist in der Schweiz vor allem die „Geschäftsleitung“, in Deutschland der „Vorstand“ und in den meisten anglo-amerikanischen Ländern das „Executive Management“ oder das „Executive Board“ gemeint.
 
10
Treuhand Kammer, Schweizer Handbuch der Wirtschaftsprüfung 1998, Band 2, S. 171.
 
11
In Kraft seit 1.1.2013, (mit Übergangsfristen ab Geschäftsjahr 2015 und 2016 für Konzernrechnung, ersetzt früheren Artikel 663b, Ziffer 12).
 
12
Wirtschafts-Dachverband der Schweizer Unternehmer.
 
13
2007 wurde ein Anhang 1 „Empfehlungen zu den Entschädigungen von Verwaltungsrat und Geschäftsleitung“ zugefügt.
 
14
Titel des Rahmenwerks: International Convergence of Capital Measurement and Capital Standards – A Revised Framework [Bisf04].
 
15
G-10: Mitglieder sind 10 Industrienationen plus seit 1983 auch die Schweiz.
 
16
Obwohl die EU-Richtlinie stark an die Baseler Vereinbarungen angelehnt ist, ergeben sich bei der Umsetzung einzelner Anforderungen Unterschiede (vgl. [Foll07], S. 35–36).
 
17
MaRisk (BA) ist für Banken bestimmt, im Gegensatz zu MaRisk (VA) für Versicherungen.
 
18
Ursprünglich Eidg. Bankenkommission, seit 01.01.2009 liegt Zuständigkeit bei der „FINMA“.
 
19
„Basel III: A global regulatory framework for more resilient banks and banking systems“.
 
20
Die Umsetzung von Basel III in Deutschland erfolgt mit dem Kreditwesengesetz (KWG) mit direkter Vorschrift der „Capital Requirement Regulation“ (Kapitaladäquanzverordnung, CRR) der EU und der „Capital Requirement Directive“ (CRD IV) Umsetzungsgesetz sowie der Neufassung der Solvabilitätsverordnung (SolvV) sowie der Grosskredit- und Millionenkreditverordnung (GrMiKV). In der Schweiz erfolgte die schrittweise Umsetzung ab 2013 unter Leitung der FINMA, wobei insbesondere strengere Kapitalquoten verlangt werden.
 
21
SEC = US Securities and Exchange Commission.
 
22
COSO = Committee of Sponsoring Organizations of the Treadway Commission.
 
23
COBIT® = Control Objectives for Information and related Technology.
 
24
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, vom 17. Juli 2015.
 
25
Pressemitteilung des Bundesinnenministeriums, 12.06.2015.
 
26
Artikel Spiegel Online: Neues IT-Sicherheitsgesetz, 12.06.2015.
 
27
Gesetzentwurf des Bundesgesetzes über die Informationssicherheit (ISG).
 
28
Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht vom 26. März 2014.
 
29
Die Allgemeine Datenschutzrichtlinie der EU (95/46/EG) wurde durch eine bereichsspezifische Richtlinie „Datenschutzrichtlinie für elektrische Kommunikation“ (2002/58/EG) ergänzt. Inzwischen ist eine weitere EU-Richtlinie 2009/136/EG dazugekommen, die vor allem die Verwendung von „Cookies“ beim Internet-Browsen regelt, z. B. dass die Nutzer ausdrücklich in die Platzierung von Cookies einwilligen müssen.
 
30
Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Die Richtlinie soll im Rahmen der Datenschutzreform durch die Datenschutz-Grundverordnung abgelöst werden.
 
31
EU-Datenschutzgrundverordnung, die bestehende Richtlinie 95/46/EG voraussichtlich 2018 für alle 28 Staaten der EU in Kraft setzt.
 
32
s. Art. 37, Bundesgesetz über den Datenschutz (DSG).
 
33
The Privacy Act of 1974, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies.
 
34
http://de.wikipedia.org/wiki/Datenschutz, Abschn. 4.2.
 
35
Art. 321a Abs. 4 OR und Qualifizierung der Informationen als
Geschäftsgeheimnis gemäss Art. 162 StGB (Schweizerisches
Strafgesetzbuch, SR 311.0).
 
36
Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails.
 
37
In$ide Paradeplatz: Gestern stand CS-Computer 9 Stunden still.
 
38
Hier ist das Gremium für die „Oberleitung“ des Unternehmens gemeint, das in der Schweiz durch den „Verwaltungsrat“, in Deutschland durch den „Aufsichtsrat“ in anglo-amerikanischen Ländern durch das „Board of Directors“ wahrgenommen wird (s. Abschn. 4.2.1 Corporate Governance).
 
39
In anglo-amerikanischen Ländern oft als „Management“ oder „Executive Management“ bezeichnet.
 
Literatur
[Bafi12]
Zurück zum Zitat BaFin: Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2012 (BA), 2012. BaFin: Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2012 (BA), 2012.
[Bein03]
Zurück zum Zitat Beinert, Claudia: „Bestandesaufnahme Risikomanagement“, in Risikomanagement und Rating. Hrsg. Peter Reichling. Wiesbaden: Gabler, 2003, 32–41. Beinert, Claudia: „Bestandesaufnahme Risikomanagement“, in Risikomanagement und Rating. Hrsg. Peter Reichling. Wiesbaden: Gabler, 2003, 32–41.
[Bisf04]
Zurück zum Zitat Bank for International Settlements: International Convergence of Capital Measurement and Capital Standards – A Revised Framework. Basel: Bank für Internationalen Zahlungsausgleich, 2004. Bank for International Settlements: International Convergence of Capital Measurement and Capital Standards – A Revised Framework. Basel: Bank für Internationalen Zahlungsausgleich, 2004.
[Bisk06]
Zurück zum Zitat Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen – Überarbeitete Rahmenvereinbarung – Umfassende Version. Basel: Bank für Internationalen Zahlungsausgleich, 2006. Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen – Überarbeitete Rahmenvereinbarung – Umfassende Version. Basel: Bank für Internationalen Zahlungsausgleich, 2006.
[Biss03]
Zurück zum Zitat Bank for International Settlements: Sound Practices for the Management and Supervision of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2003. Bank for International Settlements: Sound Practices for the Management and Supervision of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2003.
[Bisw01]
Zurück zum Zitat Bank for International Settlements: Working Paper on Regulatory Treatment of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2001. Bank for International Settlements: Working Paper on Regulatory Treatment of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2001.
[Böck04]
Zurück zum Zitat Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004. Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
[Brüh11]
Zurück zum Zitat Brühwiler, Bruno: Risk Management als Führungsaufgabe. ISO 31000 mit ONR 49000 wirksam umsetzen. Bern: Haupt, 2011. Brühwiler, Bruno: Risk Management als Führungsaufgabe. ISO 31000 mit ONR 49000 wirksam umsetzen. Bern: Haupt, 2011.
[Cosa13]
Zurück zum Zitat Committee of Sponsoring Organizations of Treadway Commission (COSO): Internal Control - Integrated Framework Second Edition. New York: AICPA, 2013. Committee of Sponsoring Organizations of Treadway Commission (COSO): Internal Control - Integrated Framework Second Edition. New York: AICPA, 2013.
[Cose04]
Zurück zum Zitat COSO: Enterprise Risk Management – Integrated Framework, Frame-work. New York: AICPA, 2004. COSO: Enterprise Risk Management – Integrated Framework, Frame-work. New York: AICPA, 2004.
[Foll07]
Zurück zum Zitat Follmann, David: Basel II und Solvency II. Saarbrücken: VDM Verlag Dr. Müller, 2007. Follmann, David: Basel II und Solvency II. Saarbrücken: VDM Verlag Dr. Müller, 2007.
[Homm00]
Zurück zum Zitat Hommelhoff, Peter und Daniela Mattheus: „Gesetzliche Grundlagen: Deutschland und international.“ In Praxis des Risikomanagements. Hrsg. Dietrich Dörner, Péter Horwath und Henning Kagermann. Stuttgart: Schäffer-Poschel, 2000, 6–40. Hommelhoff, Peter und Daniela Mattheus: „Gesetzliche Grundlagen: Deutschland und international.“ In Praxis des Risikomanagements. Hrsg. Dietrich Dörner, Péter Horwath und Henning Kagermann. Stuttgart: Schäffer-Poschel, 2000, 6–40.
[Isac13]
Zurück zum Zitat ISACA: Relating the COSO Internal Control – Integrated Framework and COBIT®. Rolling Meadows: ISACA®, 2013. ISACA: Relating the COSO Internal Control – Integrated Framework and COBIT®. Rolling Meadows: ISACA®, 2013.
[Lehm02]
Zurück zum Zitat Lehmann, Beat: Verantwortung und Haftung für die IT-Sicherheit. Luzern: Fachhochschule Luzern - IWI, 2002. Lehmann, Beat: Verantwortung und Haftung für die IT-Sicherheit. Luzern: Fachhochschule Luzern - IWI, 2002.
[Obli15]
Zurück zum Zitat OR: Schweizerisches Obligationenrecht (Stand am 1. Juli 2015), 2015. OR: Schweizerisches Obligationenrecht (Stand am 1. Juli 2015), 2015.
[Oecd04]
Zurück zum Zitat OECD: OECD Principles of Corporate Covernance. 2004 Edition. Paris: OECD Publications, 2004. OECD: OECD Principles of Corporate Covernance. 2004 Edition. Paris: OECD Publications, 2004.
[Prok08]
Zurück zum Zitat Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008. Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008.
[Rüeg02]
Zurück zum Zitat Rüegg-Stürm, Johannes: Das neue St. Galler Management-Modell. Bern: Haupt, 2002. Rüegg-Stürm, Johannes: Das neue St. Galler Management-Modell. Bern: Haupt, 2002.
[Rüeg14]
Zurück zum Zitat Rüegg-Stürm, Johannes und Simon Grand: Das St. Galler Management-Modell, 4. Generation - Einführung. Bern: Haupt, 2014. Rüegg-Stürm, Johannes und Simon Grand: Das St. Galler Management-Modell, 4. Generation - Einführung. Bern: Haupt, 2014.
[Scod14]
Zurück zum Zitat Swiss code of best practice for corporate governance. Zürich: econo-miesuisse, 2014. Swiss code of best practice for corporate governance. Zürich: econo-miesuisse, 2014.
[Witb10]
Zurück zum Zitat Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage. Edition <kes>, Wiesbaden: Vieweg+Teubner, 2010. Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage. Edition <kes>, Wiesbaden: Vieweg+Teubner, 2010.
Metadaten
Titel
Risikomanagement, ein Pflichtfach der Unternehmensführung
verfasst von
Hans-Peter Königs
Copyright-Jahr
2017
DOI
https://doi.org/10.1007/978-3-658-12004-7_4

Premium Partner