Skip to main content
SpringerLink
Log in

Risikomanagement, ein Pflichtfach der Unternehmensführung

  • Chapter
  • First Online:
IT-Risikomanagement mit System

Part of the book series: Edition <kes> ((EDKES))

  • 12k Accesses

Überblick

Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits-, IT- und Cyber-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen.

Deshalb behandelt der Teil II dieses Buches die wichtigsten Anforderungen, wie sie aus der Sicht der Unternehmensführung im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits-, IT- und Cyber-Risiken zutreffen. In diesem Kap. 4 werden zunächst die wesentlichen Eigenschaften und die Positionierung der Führungsprozesse im Unternehmen anhand des St. Galler Management Modells veranschaulicht. Aus der Sicht der Unternehmensführung werden die sich gegenseitig beeinflussenden drei Handlungsstränge „Governance“, „Risikomanagement“ und „Compliance“ behandelt. Im Rahmen dieser Handlungsstränge sind vorab die äusseren an das Unternehmen gerichteten Anforderungen der Gesetzgeber, Regulatoren und Vertragspartner sowie der Anspruchsgruppen mit Anspruch und Einfluss auf das Risikomanagement eines Unternehmens wichtig. Viele der an ein Unternehmen gerichteten gesetzlichen Anforderungen beinhalten auch das Management der Informationssicherheits-, IT- und neuerdings der Cyber-Risiken. Neben den etablierten Gesetzgebungen, wie das deutsche KonTraG, das Schweizerisches Obligationenrecht, das US-amerikanische Sarbanes-Oxley-Gesetz oder die diversen Datenschutzgesetze und Datenschutzrichtlinien, können einige neuere für IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit spezifischen Gesetze wie das deutsche IT-Sicherheitsgesetz oder das Schweizerische Informationssicherheits-Bundesgesetz relevant werden. Externe Anforderungen kommen auch von Seiten der Regulierer oder von empfohlenen Kodizes, wie dem „Swiss Code of Corporate Governance“. Zu berücksichtigen beim Umgang mit Risiken sind auch die Medien, die als Sprachrohr für verschiedene Anspruchsgruppen wahrgenommen werden müssen. Das Kapitel beschliesst mit der Beleuchtung der für das Risikomanagement in einem Unternehmen notwendigen Führungsfunktionen.

This is a preview of subscription content, log in via an institution to check access.

Access this chapter

Log in via an institution
Chapter
USD 29.95
Price excludes VAT (USA)
  • Available as PDF
  • Read on any device
  • Instant download
  • Own it forever
eBook
USD 69.99
Price excludes VAT (USA)
  • Available as EPUB and PDF
  • Read on any device
  • Instant download
  • Own it forever

Tax calculation will be finalised at checkout

Purchases are for personal use only

Institutional subscriptions

Notes

  1. 1.

    COBIT® = „Control Objectives for Information and Related Technology“ entwickelt durch ISACA® (Information Systems Audit and Control Association).

  2. 2.

    Z. B. Bankrott der Bank Lehmann & Brothers; Abhörskandal bei der Deutschen Telekom; 2.3 Milliarden Verlust bei UBS durch nichtautorisierte Geschäfte eines Investmentbankers.

  3. 3.

    Bei Aktiengesellschaften sind dies die Aktionäre (engl. Share-holders).

  4. 4.

    Anspruchsgruppen (engl. „Stakeholders“ oder „Interested Parties“ ) sind Mitarbeiter, Kunden, Lieferanten, Staat, Kommunen, Verbände, Regulatoren usw.

  5. 5.

    Als Synonym für „Corporate Governance“ wird oft der Begriff „Unternehmens-Verfassung“ verwendet.

  6. 6.

    Im angloamerikanischen Raum steht die Regelung des Verhältnisses zwischen den Anteilseignern, namentlich den grossen Investoren, und der obersten Unternehmensleitung im Vordergrund und ist durch den „Shareholder-Value “-Ansatz, d. h. die Maximierung des Börsenwerts, geprägt. In der im Sommer 2007 offenbar gewordenen Finanzkrise hat sich jedoch der „Shareholder-Value“-Ansatz als schädliche, nicht nachhaltige Unternehmens-Maxime erwiesen.

  7. 7.

    Im Jahr 1999 wurden erstmalig durch die OECD Grundsätze zur Corporate Governance veröffentlicht, welche im April 2004 durch sechs überarbeitete und erweiterte Grundsätze ersetzt wurden. Eine überarbeitete Neuauflage der Grundsätze ist seit Ende 2014 in der Form eines Entwurf-Textes in Bearbeitung.

  8. 8.

    Das in der englischen Fassung der OECD-Definition genannte „Board “ ist in der Schweiz der „Verwaltungsrat “, in Deutschland der „Aufsichtsrat “ und in den meisten anglo-amerikanischen Ländern das „Board of Directors “ (vgl. [Böck04], S. 1759). Die gesetzlichen Regelungen über dieses oberste Gremium weichen in den verschiedenen Ländern voneinander ab, so dürfen beispielsweise in Deutschland Mitglieder des Vorstandes nicht gleichzeitig Mitglieder des Verwaltungsrates sein. Hingegen sind in Grossbritannien solche Mitgliedschaften erlaubt.

  9. 9.

    Mit „Management“ in der englischen Fassung ist in der Schweiz vor allem die „Geschäftsleitung“, in Deutschland der „Vorstand“ und in den meisten anglo-amerikanischen Ländern das „Executive Management “ oder das „Executive Board“ gemeint.

  10. 10.

    Treuhand Kammer, Schweizer Handbuch der Wirtschaftsprüfung 1998, Band 2, S. 171.

  11. 11.

    In Kraft seit 1.1.2013, (mit Übergangsfristen ab Geschäftsjahr 2015 und 2016 für Konzernrechnung, ersetzt früheren Artikel 663b , Ziffer 12).

  12. 12.

    Wirtschafts-Dachverband der Schweizer Unternehmer.

  13. 13.

    2007 wurde ein Anhang 1 „Empfehlungen zu den Entschädigungen von Verwaltungsrat und Geschäftsleitung“ zugefügt.

  14. 14.

    Titel des Rahmenwerks: International Convergence of Capital Measurement and Capital Standards – A Revised Framework [Bisf04].

  15. 15.

    G-10: Mitglieder sind 10 Industrienationen plus seit 1983 auch die Schweiz.

  16. 16.

    Obwohl die EU-Richtlinie stark an die Baseler Vereinbarungen angelehnt ist, ergeben sich bei der Umsetzung einzelner Anforderungen Unterschiede (vgl. [Foll07], S. 35–36).

  17. 17.

    MaRisk (BA) ist für Banken bestimmt, im Gegensatz zu MaRisk (VA) für Versicherungen.

  18. 18.

    Ursprünglich Eidg. Bankenkommission, seit 01.01.2009 liegt Zuständigkeit bei der „FINMA“.

  19. 19.

    „Basel III: A global regulatory framework for more resilient banks and banking systems“.

  20. 20.

    Die Umsetzung von Basel III in Deutschland erfolgt mit dem Kreditwesengesetz (KWG) mit direkter Vorschrift der „Capital Requirement Regulation“ (Kapitaladäquanzverordnung, CRR) der EU und der „Capital Requirement Directive“ (CRD IV) Umsetzungsgesetz sowie der Neufassung der Solvabilitätsverordnung (SolvV) sowie der Grosskredit- und Millionenkreditverordnung (GrMiKV). In der Schweiz erfolgte die schrittweise Umsetzung ab 2013 unter Leitung der FINMA, wobei insbesondere strengere Kapitalquoten verlangt werden.

  21. 21.

    SEC = US Securities and Exchange Commission.

  22. 22.

    COSO = Committee of Sponsoring Organizations of the Treadway Commission.

  23. 23.

    COBIT® = Control Objectives for Information and related Technology.

  24. 24.

    Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, vom 17. Juli 2015.

  25. 25.

    Pressemitteilung des Bundesinnenministeriums, 12.06.2015.

  26. 26.

    Artikel Spiegel Online: Neues IT-Sicherheitsgesetz, 12.06.2015.

  27. 27.

    Gesetzentwurf des Bundesgesetzes über die Informationssicherheit (ISG).

  28. 28.

    Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht vom 26. März 2014.

  29. 29.

    Die Allgemeine Datenschutzrichtlinie der EU (95/46/EG) wurde durch eine bereichsspezifische Richtlinie „Datenschutzrichtlinie für elektrische Kommunikation“ (2002/58/EG) ergänzt. Inzwischen ist eine weitere EU-Richtlinie 2009/136/EG dazugekommen, die vor allem die Verwendung von „Cookies“ beim Internet-Browsen regelt, z. B. dass die Nutzer ausdrücklich in die Platzierung von Cookies einwilligen müssen.

  30. 30.

    Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Die Richtlinie soll im Rahmen der Datenschutzreform durch die Datenschutz-Grundverordnung abgelöst werden.

  31. 31.

    EU-Datenschutzgrundverordnung, die bestehende Richtlinie 95/46/EG voraussichtlich 2018 für alle 28 Staaten der EU in Kraft setzt.

  32. 32.

    s. Art. 37, Bundesgesetz über den Datenschutz (DSG).

  33. 33.

    The Privacy Act of 1974, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies.

  34. 34.

    http://de.wikipedia.org/wiki/Datenschutz, Abschn. 4.2.

  35. 35.

    Art. 321a Abs. 4 OR und Qualifizierung der Informationen als

    Geschäftsgeheimnis gemäss Art. 162 StGB (Schweizerisches

    Strafgesetzbuch, SR 311.0).

  36. 36.

    Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails.

  37. 37.

    In$ide Paradeplatz: Gestern stand CS-Computer 9 Stunden still.

  38. 38.

    Hier ist das Gremium für die „Oberleitung“ des Unternehmens gemeint, das in der Schweiz durch den „Verwaltungsrat“, in Deutschland durch den „Aufsichtsrat“ in anglo-amerikanischen Ländern durch das „Board of Directors“ wahrgenommen wird (s. Abschn. 4.2.1 Corporate Governance).

  39. 39.

    In anglo-amerikanischen Ländern oft als „Management“ oder „Executive Management“ bezeichnet.

Literatur

  1. BaFin: Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2012 (BA), 2012.

    Google Scholar 

  2. Beinert, Claudia: „Bestandesaufnahme Risikomanagement“, in Risikomanagement und Rating. Hrsg. Peter Reichling. Wiesbaden: Gabler, 2003, 32–41.

    Google Scholar 

  3. Bundesgesetzblatt: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Bonn: Bundes Anzeiger Verlag, 24. Juli 2015. URL: http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl#__bgbl__%2F%2F*[%40attr_id%3D%27bgbl115s1324.pdf%27]__1443117300681, abgerufen 26.9.2016.

  4. Bank for International Settlements: International Convergence of Capital Measurement and Capital Standards – A Revised Framework. Basel: Bank für Internationalen Zahlungsausgleich, 2004.

    Google Scholar 

  5. Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen – Überarbeitete Rahmenvereinbarung – Umfassende Version. Basel: Bank für Internationalen Zahlungsausgleich, 2006.

    Google Scholar 

  6. Bank for International Settlements: Sound Practices for the Management and Supervision of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2003.

    Google Scholar 

  7. Bank for International Settlements: Working Paper on Regulatory Treatment of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2001.

    Google Scholar 

  8. Bundesministerium des Innern: Pressmitteilung Pressemitteilung des Bundesinnenministeriums, Berlin: Bundesministerium des Innern, 12.6.2015. URL: http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2015/06/bundestag-beschliesst-it-sicherheitsgesetz.html, abgerufen 26.9.2016.

  9. Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.

    Google Scholar 

  10. Brühwiler, Bruno: Risk Management als Führungsaufgabe. ISO 31000 mit ONR 49000 wirksam umsetzen. Bern: Haupt, 2011.

    Google Scholar 

  11. Bundesrat CH: Gesetzentwurf über Bundesgesetzüber die Informationssicherheit (ISG). Bern: Admin.VBS, 26.3.2014. URL: http://www.news.admin.ch/NSBSubscriber/message/attachments/34224.pdf, abgerufen: 26.9.2016.

  12. Committee of Sponsoring Organizations of Treadway Commission (COSO): Internal Control - Integrated Framework Second Edition. New York: AICPA, 2013.

    Google Scholar 

  13. COSO: Enterprise Risk Management – Integrated Framework, Frame-work. New York: AICPA, 2004.

    Google Scholar 

  14. Follmann, David: Basel II und Solvency II. Saarbrücken: VDM Verlag Dr. Müller, 2007.

    Google Scholar 

  15. Hässig Lukas: Gestern stand CS-Computer 9 Stunden still. Zürich: In$ide Paradeplatz, 23.2.15. URL: http://insideparadeplatz.ch/2015/01/23/gestern-stand-cs-computer-9-stunden-lang-still/, abgerufen 26.9.2016.

  16. Hommelhoff, Peter und Daniela Mattheus: „Gesetzliche Grundlagen: Deutschland und international.“ In Praxis des Risikomanagements. Hrsg. Dietrich Dörner, Péter Horwath und Henning Kagermann. Stuttgart: Schäffer-Poschel, 2000, 6–40.

    Google Scholar 

  17. ISACA: Relating the COSO Internal Control – Integrated Framework and COBIT®. Rolling Meadows: ISACA®, 2013.

    Google Scholar 

  18. Lehmann, Beat: Verantwortung und Haftung für die IT-Sicherheit. Luzern: Fachhochschule Luzern - IWI, 2002.

    Google Scholar 

  19. OR: Schweizerisches Obligationenrecht (Stand am 1. Juli 2015), 2015.

    Google Scholar 

  20. OECD: OECD Principles of Corporate Covernance. 2004 Edition. Paris: OECD Publications, 2004.

    Google Scholar 

  21. Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008.

    Google Scholar 

  22. Rüegg-Stürm, Johannes: Das neue St. Galler Management-Modell. Bern: Haupt, 2002.

    Google Scholar 

  23. Rüegg-Stürm, Johannes und Simon Grand: Das St. Galler Management-Modell, 4. Generation - Einführung. Bern: Haupt, 2014.

    Google Scholar 

  24. Swiss code of best practice for corporate governance. Zürich: econo-miesuisse, 2014.

    Google Scholar 

  25. Spiegel online: Neues IT-Sicherheitsgesetz. SPIEGEL ONLINE, 12.6.2015. URL: http://www.spiegel.de/netzwelt/netzpolitik/it-sicherheitsgesetz-was-sie-wissen-sollten-a-1038557.html, abgerufen 26.9.2016.

  26. Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails. SPIEGEL ONLINE, 18.6.2015. URL: http://www.spiegel.de/politik/deutschland/cyberangriff-auf-bundestag-abgeordneten-e-mails-erbeutet-a-1039388.html, abgerufen 26.9.2016.

  27. Schweizer Armee: Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht. Bern: VTG/Admin, 26.3.2014. URL: http://d-nsbc-p.admin.ch/NSBSubscriber/messages/https://www.newsd.admin.ch/newsd/message/attachments/34227.pdf, abgerufen 12.8.2016

  28. Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage. Edition <kes>, Wiesbaden: Vieweg+Teubner, 2010.

    Google Scholar 

Download references

Author information

Authors and Affiliations

  1. Olsberg, Schweiz

    Hans-Peter Königs

Authors
  1. Hans-Peter Königs
    View author publications

    You can also search for this author in PubMed Google Scholar

Rights and permissions

Reprints and permissions

Copyright information

© 2017 Springer Fachmedien Wiesbaden GmbH

About this chapter

Cite this chapter

Königs, HP. (2017). Risikomanagement, ein Pflichtfach der Unternehmensführung. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_4

Download citation

Publish with us

Policies and ethics

Search

Navigation