Überblick
Das Risikomanagement in einem Unternehmen und das in diesem Buch im Detail behandelte Informationssicherheits-, IT- und Cyber-Risikomanagement können nicht zufriedenstellend behandelt werden, wenn nicht der Kontext des Unternehmens mit seinem Management-System und seiner Umwelt beleuchtet und einbezogen wird. Die Risiken stammen doch aus einer einzigartigen Positionierung des Unternehmens zu seiner Umwelt und seinen dem Unternehmenszweck dienenden Leistungsprozessen.
Deshalb behandelt der Teil II dieses Buches die wichtigsten Anforderungen, wie sie aus der Sicht der Unternehmensführung im Rahmen eines integrierten Risikomanagements auch für die Informationssicherheits-, IT- und Cyber-Risiken zutreffen. In diesem Kap. 4 werden zunächst die wesentlichen Eigenschaften und die Positionierung der Führungsprozesse im Unternehmen anhand des St. Galler Management Modells veranschaulicht. Aus der Sicht der Unternehmensführung werden die sich gegenseitig beeinflussenden drei Handlungsstränge „Governance“, „Risikomanagement“ und „Compliance“ behandelt. Im Rahmen dieser Handlungsstränge sind vorab die äusseren an das Unternehmen gerichteten Anforderungen der Gesetzgeber, Regulatoren und Vertragspartner sowie der Anspruchsgruppen mit Anspruch und Einfluss auf das Risikomanagement eines Unternehmens wichtig. Viele der an ein Unternehmen gerichteten gesetzlichen Anforderungen beinhalten auch das Management der Informationssicherheits-, IT- und neuerdings der Cyber-Risiken. Neben den etablierten Gesetzgebungen, wie das deutsche KonTraG, das Schweizerisches Obligationenrecht, das US-amerikanische Sarbanes-Oxley-Gesetz oder die diversen Datenschutzgesetze und Datenschutzrichtlinien, können einige neuere für IT-Sicherheit, Informationssicherheit und Cyber-Sicherheit spezifischen Gesetze wie das deutsche IT-Sicherheitsgesetz oder das Schweizerische Informationssicherheits-Bundesgesetz relevant werden. Externe Anforderungen kommen auch von Seiten der Regulierer oder von empfohlenen Kodizes, wie dem „Swiss Code of Corporate Governance“. Zu berücksichtigen beim Umgang mit Risiken sind auch die Medien, die als Sprachrohr für verschiedene Anspruchsgruppen wahrgenommen werden müssen. Das Kapitel beschliesst mit der Beleuchtung der für das Risikomanagement in einem Unternehmen notwendigen Führungsfunktionen.
Access this chapter
Tax calculation will be finalised at checkout
Purchases are for personal use only
Notes
- 1.
COBIT® = „Control Objectives for Information and Related Technology“ entwickelt durch ISACA® (Information Systems Audit and Control Association).
- 2.
Z. B. Bankrott der Bank Lehmann & Brothers; Abhörskandal bei der Deutschen Telekom; 2.3 Milliarden Verlust bei UBS durch nichtautorisierte Geschäfte eines Investmentbankers.
- 3.
Bei Aktiengesellschaften sind dies die Aktionäre (engl. Share-holders).
- 4.
Anspruchsgruppen (engl. „Stakeholders“ oder „Interested Parties“ ) sind Mitarbeiter, Kunden, Lieferanten, Staat, Kommunen, Verbände, Regulatoren usw.
- 5.
Als Synonym für „Corporate Governance“ wird oft der Begriff „Unternehmens-Verfassung“ verwendet.
- 6.
Im angloamerikanischen Raum steht die Regelung des Verhältnisses zwischen den Anteilseignern, namentlich den grossen Investoren, und der obersten Unternehmensleitung im Vordergrund und ist durch den „Shareholder-Value “-Ansatz, d. h. die Maximierung des Börsenwerts, geprägt. In der im Sommer 2007 offenbar gewordenen Finanzkrise hat sich jedoch der „Shareholder-Value“-Ansatz als schädliche, nicht nachhaltige Unternehmens-Maxime erwiesen.
- 7.
Im Jahr 1999 wurden erstmalig durch die OECD Grundsätze zur Corporate Governance veröffentlicht, welche im April 2004 durch sechs überarbeitete und erweiterte Grundsätze ersetzt wurden. Eine überarbeitete Neuauflage der Grundsätze ist seit Ende 2014 in der Form eines Entwurf-Textes in Bearbeitung.
- 8.
Das in der englischen Fassung der OECD-Definition genannte „Board “ ist in der Schweiz der „Verwaltungsrat “, in Deutschland der „Aufsichtsrat “ und in den meisten anglo-amerikanischen Ländern das „Board of Directors “ (vgl. [Böck04], S. 1759). Die gesetzlichen Regelungen über dieses oberste Gremium weichen in den verschiedenen Ländern voneinander ab, so dürfen beispielsweise in Deutschland Mitglieder des Vorstandes nicht gleichzeitig Mitglieder des Verwaltungsrates sein. Hingegen sind in Grossbritannien solche Mitgliedschaften erlaubt.
- 9.
Mit „Management“ in der englischen Fassung ist in der Schweiz vor allem die „Geschäftsleitung“, in Deutschland der „Vorstand“ und in den meisten anglo-amerikanischen Ländern das „Executive Management “ oder das „Executive Board“ gemeint.
- 10.
Treuhand Kammer, Schweizer Handbuch der Wirtschaftsprüfung 1998, Band 2, S. 171.
- 11.
In Kraft seit 1.1.2013, (mit Übergangsfristen ab Geschäftsjahr 2015 und 2016 für Konzernrechnung, ersetzt früheren Artikel 663b , Ziffer 12).
- 12.
Wirtschafts-Dachverband der Schweizer Unternehmer.
- 13.
2007 wurde ein Anhang 1 „Empfehlungen zu den Entschädigungen von Verwaltungsrat und Geschäftsleitung“ zugefügt.
- 14.
Titel des Rahmenwerks: International Convergence of Capital Measurement and Capital Standards – A Revised Framework [Bisf04].
- 15.
G-10: Mitglieder sind 10 Industrienationen plus seit 1983 auch die Schweiz.
- 16.
Obwohl die EU-Richtlinie stark an die Baseler Vereinbarungen angelehnt ist, ergeben sich bei der Umsetzung einzelner Anforderungen Unterschiede (vgl. [Foll07], S. 35–36).
- 17.
MaRisk (BA) ist für Banken bestimmt, im Gegensatz zu MaRisk (VA) für Versicherungen.
- 18.
Ursprünglich Eidg. Bankenkommission, seit 01.01.2009 liegt Zuständigkeit bei der „FINMA“.
- 19.
„Basel III: A global regulatory framework for more resilient banks and banking systems“.
- 20.
Die Umsetzung von Basel III in Deutschland erfolgt mit dem Kreditwesengesetz (KWG) mit direkter Vorschrift der „Capital Requirement Regulation“ (Kapitaladäquanzverordnung, CRR) der EU und der „Capital Requirement Directive“ (CRD IV) Umsetzungsgesetz sowie der Neufassung der Solvabilitätsverordnung (SolvV) sowie der Grosskredit- und Millionenkreditverordnung (GrMiKV). In der Schweiz erfolgte die schrittweise Umsetzung ab 2013 unter Leitung der FINMA, wobei insbesondere strengere Kapitalquoten verlangt werden.
- 21.
SEC = US Securities and Exchange Commission.
- 22.
COSO = Committee of Sponsoring Organizations of the Treadway Commission.
- 23.
COBIT® = Control Objectives for Information and related Technology.
- 24.
Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, vom 17. Juli 2015.
- 25.
Pressemitteilung des Bundesinnenministeriums, 12.06.2015.
- 26.
Artikel Spiegel Online: Neues IT-Sicherheitsgesetz, 12.06.2015.
- 27.
Gesetzentwurf des Bundesgesetzes über die Informationssicherheit (ISG).
- 28.
Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht vom 26. März 2014.
- 29.
Die Allgemeine Datenschutzrichtlinie der EU (95/46/EG) wurde durch eine bereichsspezifische Richtlinie „Datenschutzrichtlinie für elektrische Kommunikation“ (2002/58/EG) ergänzt. Inzwischen ist eine weitere EU-Richtlinie 2009/136/EG dazugekommen, die vor allem die Verwendung von „Cookies“ beim Internet-Browsen regelt, z. B. dass die Nutzer ausdrücklich in die Platzierung von Cookies einwilligen müssen.
- 30.
Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Die Richtlinie soll im Rahmen der Datenschutzreform durch die Datenschutz-Grundverordnung abgelöst werden.
- 31.
EU-Datenschutzgrundverordnung, die bestehende Richtlinie 95/46/EG voraussichtlich 2018 für alle 28 Staaten der EU in Kraft setzt.
- 32.
s. Art. 37, Bundesgesetz über den Datenschutz (DSG).
- 33.
The Privacy Act of 1974, 5 U.S.C. § 552a, establishes a code of fair information practices that governs the collection, maintenance, use, and dissemination of information about individuals that is maintained in systems of records by federal agencies.
- 34.
http://de.wikipedia.org/wiki/Datenschutz, Abschn. 4.2.
- 35.
Art. 321a Abs. 4 OR und Qualifizierung der Informationen als
Geschäftsgeheimnis gemäss Art. 162 StGB (Schweizerisches
Strafgesetzbuch, SR 311.0).
- 36.
Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails.
- 37.
In$ide Paradeplatz: Gestern stand CS-Computer 9 Stunden still.
- 38.
Hier ist das Gremium für die „Oberleitung“ des Unternehmens gemeint, das in der Schweiz durch den „Verwaltungsrat“, in Deutschland durch den „Aufsichtsrat“ in anglo-amerikanischen Ländern durch das „Board of Directors“ wahrgenommen wird (s. Abschn. 4.2.1 Corporate Governance).
- 39.
In anglo-amerikanischen Ländern oft als „Management“ oder „Executive Management“ bezeichnet.
Literatur
BaFin: Mindestanforderungen an das Risikomanagement – MaRisk, Rundschreiben 10/2012 (BA), 2012.
Beinert, Claudia: „Bestandesaufnahme Risikomanagement“, in Risikomanagement und Rating. Hrsg. Peter Reichling. Wiesbaden: Gabler, 2003, 32–41.
Bundesgesetzblatt: Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Bonn: Bundes Anzeiger Verlag, 24. Juli 2015. URL: http://www.bgbl.de/xaver/bgbl/start.xav?startbk=Bundesanzeiger_BGBl#__bgbl__%2F%2F*[%40attr_id%3D%27bgbl115s1324.pdf%27]__1443117300681, abgerufen 26.9.2016.
Bank for International Settlements: International Convergence of Capital Measurement and Capital Standards – A Revised Framework. Basel: Bank für Internationalen Zahlungsausgleich, 2004.
Basler Ausschuss für Bankenaufsicht: Internationale Konvergenz der Eigenkapitalmessung und Eigenkapitalanforderungen – Überarbeitete Rahmenvereinbarung – Umfassende Version. Basel: Bank für Internationalen Zahlungsausgleich, 2006.
Bank for International Settlements: Sound Practices for the Management and Supervision of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2003.
Bank for International Settlements: Working Paper on Regulatory Treatment of Operational Risk. Basel: Bank für Internationalen Zahlungsausgleich, 2001.
Bundesministerium des Innern: Pressmitteilung Pressemitteilung des Bundesinnenministeriums, Berlin: Bundesministerium des Innern, 12.6.2015. URL: http://www.bmi.bund.de/SharedDocs/Pressemitteilungen/DE/2015/06/bundestag-beschliesst-it-sicherheitsgesetz.html, abgerufen 26.9.2016.
Böckli, Peter: Schweizerisches Aktienrecht. Zürich: Schulthess, 2004.
Brühwiler, Bruno: Risk Management als Führungsaufgabe. ISO 31000 mit ONR 49000 wirksam umsetzen. Bern: Haupt, 2011.
Bundesrat CH: Gesetzentwurf über Bundesgesetzüber die Informationssicherheit (ISG). Bern: Admin.VBS, 26.3.2014. URL: http://www.news.admin.ch/NSBSubscriber/message/attachments/34224.pdf, abgerufen: 26.9.2016.
Committee of Sponsoring Organizations of Treadway Commission (COSO): Internal Control - Integrated Framework Second Edition. New York: AICPA, 2013.
COSO: Enterprise Risk Management – Integrated Framework, Frame-work. New York: AICPA, 2004.
Follmann, David: Basel II und Solvency II. Saarbrücken: VDM Verlag Dr. Müller, 2007.
Hässig Lukas: Gestern stand CS-Computer 9 Stunden still. Zürich: In$ide Paradeplatz, 23.2.15. URL: http://insideparadeplatz.ch/2015/01/23/gestern-stand-cs-computer-9-stunden-lang-still/, abgerufen 26.9.2016.
Hommelhoff, Peter und Daniela Mattheus: „Gesetzliche Grundlagen: Deutschland und international.“ In Praxis des Risikomanagements. Hrsg. Dietrich Dörner, Péter Horwath und Henning Kagermann. Stuttgart: Schäffer-Poschel, 2000, 6–40.
ISACA: Relating the COSO Internal Control – Integrated Framework and COBIT®. Rolling Meadows: ISACA®, 2013.
Lehmann, Beat: Verantwortung und Haftung für die IT-Sicherheit. Luzern: Fachhochschule Luzern - IWI, 2002.
OR: Schweizerisches Obligationenrecht (Stand am 1. Juli 2015), 2015.
OECD: OECD Principles of Corporate Covernance. 2004 Edition. Paris: OECD Publications, 2004.
Prokein, Oliver: IT-Risikomanagement. Wiesbaden: Gabler, 2008.
Rüegg-Stürm, Johannes: Das neue St. Galler Management-Modell. Bern: Haupt, 2002.
Rüegg-Stürm, Johannes und Simon Grand: Das St. Galler Management-Modell, 4. Generation - Einführung. Bern: Haupt, 2014.
Swiss code of best practice for corporate governance. Zürich: econo-miesuisse, 2014.
Spiegel online: Neues IT-Sicherheitsgesetz. SPIEGEL ONLINE, 12.6.2015. URL: http://www.spiegel.de/netzwelt/netzpolitik/it-sicherheitsgesetz-was-sie-wissen-sollten-a-1038557.html, abgerufen 26.9.2016.
Spiegel online: Cyberangriff auf den Bundestag – Hacker kopierten Abgeordneten-E-Mails. SPIEGEL ONLINE, 18.6.2015. URL: http://www.spiegel.de/politik/deutschland/cyberangriff-auf-bundestag-abgeordneten-e-mails-erbeutet-a-1039388.html, abgerufen 26.9.2016.
Schweizer Armee: Entwurf eines Bundesgesetzes über die Informationssicherheit (ISG), erläuternder Bericht. Bern: VTG/Admin, 26.3.2014. URL: http://d-nsbc-p.admin.ch/NSBSubscriber/messages/https://www.newsd.admin.ch/newsd/message/attachments/34227.pdf, abgerufen 12.8.2016
Witt, Bernhard C.: Datenschutz kompakt und verständlich, 2. Auflage. Edition <kes>, Wiesbaden: Vieweg+Teubner, 2010.
Author information
Authors and Affiliations
Rights and permissions
Copyright information
© 2017 Springer Fachmedien Wiesbaden GmbH
About this chapter
Cite this chapter
Königs, HP. (2017). Risikomanagement, ein Pflichtfach der Unternehmensführung. In: IT-Risikomanagement mit System. Edition <kes>. Springer Vieweg, Wiesbaden. https://doi.org/10.1007/978-3-658-12004-7_4
Download citation
DOI: https://doi.org/10.1007/978-3-658-12004-7_4
Published:
Publisher Name: Springer Vieweg, Wiesbaden
Print ISBN: 978-3-658-12003-0
Online ISBN: 978-3-658-12004-7
eBook Packages: Computer Science and Engineering (German Language)