Monat: März 2022

Risikomanagement als integraler Bestandteil der wertorientierten Unternehmensführung

Dirk Gohr

www.risikomanagement.info

von Dr. Werner Gleißner und Günter Meier

Überblick

Strategische und operative Risiken erkennen, bewerten und überwachen heißt, der Planung und den Gewinnchancen eine reale Grundlage geben. Dies bedeutet mehr als die Sicherung des Fortbestands des Unternehmens. Es stellt eine reale Wertsteigerung dar.

Durch das Inkrafttreten des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Mai 1998 wird die Einrichtung eines Risikomanagementsystems für Aktiengesellschaften verpflichtend vorgeschrieben. Bereits in der Begründung führt der Gesetzgeber aus, daß von einer Ausstrahlungswirkung auch auf Unternehmen mit anderen Rechtsformen, z.B. GmbH, auszugehen ist.

Risikomanagement bietet aber weit mehr Chancen als das vom KonTraG geforderte frühzeitige Erkennen bestandsgefährdender Risiken: Ein systematisches Management aller wesentlichen Risiken ermöglicht erst eine wert- und erfolgsorientierte Unternehmenssteuerung. Damit ist es naheliegend, die “Pflicht” des KonTraG – bei vertretbarem Mehraufwand – mit der “Kür” eines wertorientierten, strategischen Risikomanagements zu verbinden:

Eine wertorientierte Unternehmensführung ist ein gezieltes Management von Chancen und Risiken in einem immer dynamischeren, globalen Umfeld. Da der Wert eines Unternehmens – als wichtiger Erfolgsmaßstab – sowohl von den zukünftigen Erträgen (bzw. den free Cash-Flows) als auch deren Risiken abhängt, wird Risikomanagement zum unverzichtbaren Bestandteil jeder strategischen Unternehmensführung.

Risiko als Determinante von Kapitalkosten
und Unternehmenswert

Grundlage der Bestimmung des Unternehmenswertes ist die geplante Unternehmensentwicklung der nächsten Jahre, insbesondere die zukünftigen freien Cash-Flows, also die Cash-Flows vor Zinsen, aber nach Abzug von Investitionen in Anlage- und Umlaufvermögen. Die dazu notwendigen Plandaten sind mit Unsicherheit behaftet. Die Gefahr, Ziele zu verfehlen, bezeichnet man als Risiko. Sinnvollerweise sollten Risiken in den Planungen auch explizit berücksichtigt werden, ansonsten wird durch die Planungen ein Grad der Sicherheit suggeriert, der nicht gegeben ist.… Weiterlesen

RisikomanagementRisikomanagement im Unternehmen organisieren

Dirk Gohr

www.business-wissen.de

Risikomanagement und alle damit verbundenen Maßnahmen können nur greifen, wenn sie in die Organisation eingebunden werden. Das umfasst:

  • Risikomanagement muss in der Aufbauorganisation verankert werden.
  • Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert werden.
  • Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
  • Alle Mitarbeiter sollten ein Risikobewusstsein haben.
    • Risikomanagement muss in der Aufbauorganisation verankert werden.
    • Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert werden.
    • Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
    • Alle Mitarbeiter sollten ein Risikobewusstsein haben.
      • Risikomanagement muss in der Aufbauorganisation verankert werden.
      • Prozesse für die Identifikation, Bewertung und Bewältigung von Risiken müssen definiert werden.
      • Voraussetzung dafür ist, dass es im Unternehmen eine Risikokultur gibt.
      • Alle Mitarbeiter sollten ein Risikobewusstsein haben.

        Die organisatorische Integration des Risikomanagements wird auch von gesetzlichen Anforderungen beeinflusst. Insbesondere mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde das Risikomanagement für Unternehmen verpflichtend. Mit dem KonTraG wurden insbesondere das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) so geändert, dass Vorgaben zum Risikomanagement aufgenommen wurden; unter anderem gibt es die Pflicht, die Unternehmensorganisation auf das Risikomanagement auszurichten. Zum Beispiel heißt es in § 91, Absatz 2 des Aktiengesetzes (AktG):

        „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit die den Fortbestand der Gesellschaft gefährdenden Entwicklungen früh erkannt werden.“

        Die organisatorische Integration des Risikomanagements wird auch von gesetzlichen Anforderungen beeinflusst. Insbesondere mit dem Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) wurde das Risikomanagement für Unternehmen verpflichtend. Mit dem KonTraG wurden insbesondere das Aktiengesetz (AktG) und das Handelsgesetzbuch (HGB) so geändert, dass Vorgaben zum Risikomanagement aufgenommen wurden; unter anderem gibt es die Pflicht, die Unternehmensorganisation auf das Risikomanagement auszurichten.

Weiterlesen

Fahrplan der Cyberagentur: Mit IT-Security-Forschung Teil der Weltspitze werden

Dirk Gohr

www.heise.de

Die deutsche Cyberagentur hat ein Strategiepapier vorgelegt, das die Ziele der Einrichtung bis 2025 festsetzt. Damit soll die Agentur für Innovation in der Cybersicherheit, wie die Cyberagentur eigentlich heißt, die Forschung im Bereich der IT-Sicherheit so vorantreiben, dass Deutschland in diesem Sektor “Teil der Weltspitze” wird. Zu diesem Zweck vergibt die Agentur Forschungsaufträge im Bereich der Cybersecurity, wird selbst aber nicht forscherisch tätig.

In ihrem Strategiepapier formuliert die Cyberagentur eine Reihe grundsätzlicher Vorsätze für ihre Arbeit bis 2025: Man wolle “(b)ahnbrechende und zukunftsgestaltende Forschungsprogramme und -projekte im Bereich der Cybersicherheit” initiieren, finanzieren, steuern und beauftragen – wegen des “hochinnovativen” Charakters der Projekte sei man sich aber auch hoher Risiken bewusst.

Die Beauftragung der Forschungsprojekte erfolge zudem “sowohl auf Basis der Bedarfe der Bereiche der Inneren und Äußeren Sicherheit der Bundesrepublik Deutschland” als auch basierend auf der Beobachtung der (inter-)nationalen Forschungslandschaft. Die Kommunikation über die Schwerpunktsetzung möchte man zudem transparent halten. Die Cyberagentur sieht sich dem Papier nach auch als Vermittlerin zwischen der nationalen Forschung und staatlichen Akteure: Alle Ergebnisse wolle man der Bundesregierung “vollumfänglich zur Verfügung” stellen.

Kernbereiche der Cybersicherheit

Drei Kernbereiche macht die Cyberagentur für ihre Tätigkeit einer PDF-Kurzpräsentation zufolge in den nächsten Jahren aus: Zum einen das Feld “Sichere Gesellschaft”, zu dem unter anderem Fragen der digitalen Identitäten, der Mensch-Maschine-Interaktion und des digitalen Verbraucherschutzes zählen. Zudem den Bereich “Sichere Systeme” samt der Themen der Cybersicherheit der Bundesverwaltung, dem Schutz kritischer Infrastrukturen (KRITIS) und der Absicherung von Lieferketten. Abschließend der Sektor der Schlüsseltechnologien, unter anderem mit den Unterthemen Kryptologie, also der Sicherheit durch und trotz Verschlüsselung, Quantentechnologie und Cybersecurity durch und für KI.… Weiterlesen

Risikomanagement – Definition und Bedeutung

Dirk Gohr

www.controllingportal.de

Die heutige Unternehmensumwelt ist durch eine stark gestiegene Komplexität und Dynamik gekennzeichnet. Die wesentlichen ökonomischen Herausforderungen und Veränderungen unserer Zeit, die jedes Unternehmen betreffen, sind: sehr kurze Produktlebenszyklen, schwer prognostizierbare Veränderungen im Kaufverhalten, steigende Wettbewerbsintensität, Turbulenzen auf den Finanzmärkten und die schrumpfende Wirtschaft. Wer aber seine Märkte beobachtet, Kunden befragt, Analysen auswertet, also Risiken und Chancen auslotet und immer wieder seine Strategie anpasst, sichert das Firmenwachstum.

Solche Frühwarnsysteme sind von extremer Bedeutung für die Existenz des Unternehmens. Dennoch werden sie insbesondere von kleinen Unternehmen nicht ausreichend bzw. gar nicht genutzt. Viele Firmen konzentrieren sich zu sehr auf die internen Risiken, etwa auf den Cash Flow oder die Umsatzrendite. Dabei ist die Berücksichtigung externer Risiken wie die Kundenwünsche oder die Marktentwicklung enorm wichtig, denn diese bilden die Grundlage des Geschäfts. Das Unternehmen sollte die Phasen Erkennen, Bewerten, Handeln und Lernen durchlaufen und die aus Fehlern erlernten Erkenntnisse in diesen Kreislauf einfließen lassen, um sich dadurch vor Krisen schützen zu können. Ein gutes Risikomanagementsystem bildet die individuellen Strukturen des Unternehmens ab.

Unter Risikomanagement wird die Messung und Steuerung aller betriebswirtschaftlichen Risiken unternehmensweit verstanden. Unternehmerisches Risiko bedeutet allgemein ein Wagnis, das man eingeht, wenn man einer unternehmerischen Tätigkeit nachgeht. Betriebswirtschaftlich gesehen stellen alle Gefahren und Unsicherheiten, die den wirtschaftlichen Handlungen und somit den wirtschaftlichen Erfolg gefährden, Wagnisse bzw. Risiken dar. Um die risikorelevanten Unternehmensbereiche identifizieren und systematisch erfassen zu können, ist die Implementierung eines Risikomanagements unabdingbar.

Das Risikomanagement soll der Unternehmensführung helfen, wesentliche Risiken, die den Unternehmenserfolg oder -bestand gefährden können, rechtzeitig zu erkennen und zu bewältigen.… Weiterlesen

Was Unternehmen beachten müssen

Dirk Gohr

www.computerwoche.de

In Großunternehmen ist ein effektives institutionalisiertes Risikomanagement gang und gäbe, kleine und mittelständische Unternehmen hinken häufig noch deutlich hinterher. Etwa die Hälfte der mittelständischen Unternehmungen verfügt nicht über ein institutionalisiertes Risikomanagementsystem und sieht dies eher als Aufgabe der operativen Bereiche, nicht als eine Aufgabe der

Geschäftsführung an.

Jedoch betreffen die wesentlichen ökonomischen Herausforderungen und Veränderungen unserer Zeit alle Unternehmen: kurze Produktlebenszyklen, schwer prognostizierbare Veränderungen im Kaufverhalten der Kunden, steigende Wettbewerbsintensität und neue Player am Markt, welche mit disruptiven Ideen ganze Branchen bedrohen. Nur wer Märkte beobachtet, Analysen auswertet und Kunden befragt, kann Risiken und Chancen ausloten und strategische Anpassungen vornehmen.

Erkennen, beobachten und bewerten externer Risiken wie Kundenwünsche oder Marktentwicklung bilden die Grundlage jeder erfolgreichen Weiterentwicklung des Geschäftsfeldes mit seinen Services und Produkten. Entsprechende Frühwarnsysteme sind von entscheidender Bedeutung für die Zukunftssicherheit und Existenz eines Betriebes. Ein gutes Risikomanagementsystem sollte immer die individuellen Strukturen, Prozesse, den Betrieb und die Projekte des Unternehmens abbilden. Doch wie definiert sich Risikomanagement überhaupt und wie gestaltet sich der fortlaufende Prozess?

Risikomanagement – eine Definition

Jede unternehmerische Tätigkeit bedeutet ein Wagnis. Die Messung und Steuerung aller Risiken bezüglich der relevanten Themen, Prozesse und Systeme im Unternehmen wird als Risikomanagement bezeichnet. Hier geht es zusammengefasst um das planmäßige und systematische Identifizieren, Analysieren und Bewerten von Risiken in einer Organisation.

Es handelt sich jedoch um keinen abgeschlossenen Prozess, sondern um einen fortlaufenden, der immer wieder von Neuem beginnt. Mithilfe des Risikomanagements soll die Führungsebene Risiken, die den Erfolg oder Bestand der Organisation gefährden können, frühzeitig erkennen und bewältigen – und das bei gleichzeitiger Optimierung des Ertrages.… Weiterlesen

Security-Konferenz: Wenn ein falscher Mausklick zur Katastrophe führt

Dirk Gohr

Security-Konferenz: Wenn ein falscher Mausklick zur Katastrophe führt

www.heise.de

Betrügerische E-Mails mit Trojanern im Anhang kommen immer glaubwürdiger daher und in einigen Fällen kann man Mitarbeitern eigentlich kaum Vorwürfe machen, den Dateianhang geöffnet zu haben. Damit so etwas erst gar nicht passiert, erläutern die Referenten der secIT 2022 unter anderem, wie man Mitarbeiter für solche Fälle sensibilisiert.

Inhalte, Fakten, Fachwissen

Auf der Security-Konferenz stehen hilfreiche Informationen im Fokus. Damit bei den Vorträgen und Workshops echtes Fachwissen vermittelt wird, haben c’t, heise Security und iX ausgewählte Referenten eingeladen. In den Messehallen gibt es außerdem eine Ausstellung unserer Partner. Dort kann man sich unter anderem die neuesten Sicherheitsmechanismen für Computer, Cloud-Systeme und Netzwerke demonstrieren lassen.

In den Workshops geht es etwa um die Absicherung von Active-Directory-Umgebungen, die Sicherheit von Windows 10/11 in Unternehmen und darum, wie man sich so effektiv wie möglich nach einer IT-Attacke verhält, um den Schaden so gering wie möglich zu halten.

Die Vorträge zeigen auf, wie die aktuelle Malware-Bedrohungslage vor dem Hintergrund des Ukraine-Kriegs aussieht. Zusätzlich geht es um den wirkungsvollen Einsatz von Sicherheitstests (Stichworte Penetrationstest und Red Teaming) für Unternehmen.

In der Podiumsdiskussion “Cyber-Attacken auf KMU – Wer hilft?” ist der Name Programm und es diskutieren unter anderem Gesprächsteilnehmer vom Bundesamt für Sicherheit in der Informationstechnik (BSI) und dem Verfassungsschutz.

Weitere Informationen zum Programm findet man auf der Website der Veranstaltung.… Weiterlesen

Partnerangebot: Vorstandshaftung – Der effektive Weg zur Cybersicherheit

Dirk Gohr

www.allianz-fuer-cybersicherheit.de

Das Webinar der Deutschen Gesellschaft für Cybersicherheit mbH & Co. KG richtet sich an Führungsorgane, da diese sich der Risiken der Digitalisierung und möglicher haftungsrechtlicher Folgen oftmals nicht bewusst sind. Für beide Aspekte sollten Führungsorgane jedoch sensibilisiert sein, um diese argumentativ zur Implementierung von Cyber-Sicherheitsmaßnahmen nutzen zu können.

Cyberangriffe gehören zum Alltag vieler deutscher Unternehmen. Um dieser Gefahr zu begegnen sollten Führungsorgane beim Voranschreiten der Digitalisierung im Unternehmen auch in die Abwehr von Cyberrisiken investieren. Denn Schäden des Unternehmens in Folge von erfolgreichen Cyberangriffen können zur persönlichen Haftung der Führungsorgane führen. Oftmals fehlt es an dieser Stelle an notwendigem Spezialwissen. Dieses Webinar soll dazu dienen, Vorstände, Aufsichtsräte oder Geschäftsführer effektiver für das Thema „Cyber-Sicherheit“ im Unternehmen zu sensibilisieren.

Für Teilnehmer der Allianz für Cyber-Sicherheit stehen unbegrenzt kostenfreie Plätze zur Verfügung. Weitere Informationen zu diesem Angebot erhalten registrierte Teilnehmerinnen und Teilnehmer im internen Bereich unserer Webseite.

Hier können Sie sich für die Teilnahme bei der Allianz für Cyber-Sicherheit registrieren.… Weiterlesen

TÜV sieht Schulungsbedarf für mehr Cybersicherheit für Beschäftigte

Dirk Gohr

www.heise.de

Der Verband der Tüv-Prüfgesellschaften geht auf Basis einer Forsa-Umfrage davon aus, dass in der laufenden Omikron-Welle rund ein Viertel aller Beschäftigten in Deutschland ausschließlich von zu Hause aus oder mobil arbeitet. Weitere 21 Prozent hätten bei der Umfrage angegeben, zwischen dem Büro und dem Schreibtisch im eigenen Büro zu wechseln, wie der Tüv-Verband am Dienstag mitteilte. Somit arbeite knapp die Hälfte der Beschäftigten regelmäßig von zu Hause oder von unterwegs aus. Damit erhöht sich aus Sicht des Verbands auch die Gefahr durch Cyberangriffe.

“Häufig fehlt es an Schulungen, klaren Verhaltensregeln im Fall eines IT-Angriffs oder an der notwendigen technischen Ausstattung”, teilte Verbandspräsident Dirk Stenkamp mit. “Bei erfolgreichen IT-Angriffen ist Zeit ein entscheidender Faktor, um den Schaden möglichst schnell eindämmen zu können.”

Fehlende Regeln

Demnach gaben rund 14 Prozent der Befragten an, dass es in den vergangenen zwei Jahren bei ihrem Arbeitgeber zu einem oder mehreren IT-Sicherheitsvorfällen gekommen sei. “In der Regel handelt es sich dabei um erfolgreiche Phishing-Angriffe oder gezielte Attacken mit Erpressungssoftware (Ransomware)“, teilte der Tüv-Verband mit.

Zwar gebe es in den Betrieben bei drei von vier Befragten bestimmte Regeln zum Thema IT-Sicherheit. Dazu gehörten etwa regelmäßige Software-Updates, das Nutzungsverbot von privaten USB-Sticks oder ein generelles Verbot für die private Nutzung von Geräten und Programmen. Allerdings gaben laut Tüv-Verband auch 41 Prozent der Teilnehmenden an, dass es keine Vorgaben ihres Arbeitgebers gebe, wie sie sich im Falle eines IT-Angriffs verhalten sollten.

Online-Umfrage

Mit der Umfrage beauftragte der Tüv-Verband das Umfrageinstitut Forsa. Dieses befragte zwischen dem 18. Januar und dem 23.… Weiterlesen

Energiewende und Deep Uncertainty

Dirk Gohr

Click here to view original web page at www.risknet.de

Forschungsprojekt

Welche Rolle spielt die Deep Uncertainty in der Energiewende und wie beeinflusst sie das Verhalten von Investoren? Mit dieser Fragestellung beschäftigt sich das Forschungsprojekt von Ulf Moslener, Professor an der Frankfurt School of Finance & Management und seinem Team. Das von Frankfurter Institut für Risikomanagement und Regulierung (FIRM) geförderte Projekt startete im September 2019. Nun liegen die Ergebnisse vor.

Kaum ein Thema prägt die Diskussion um die wirtschaftliche und gesellschaftliche Entwicklung hierzulande stärker als die Energiewende. Das Ziel zur Reduktion der CO2-Emissionen ist klar definiert. Der Weg dorthin ist jedoch alles andere als einfach: Hoher Investitionsbedarf, Zeitdruck, fehlende Infrastruktur, vor allem aber große Unsicherheit über die tatsächlichen Auswirkungen, über technologische Entwicklungen sowie über die politischen und regulatorischen Rahmenbedingungen sind die wichtigen Stichworte. Wie sich diese Unsicherheit auf Investoren und auf den Fortschritt der Energiewende auswirkt, hat das Forscherteam intensiv untersucht. Unter der wissenschaftlichen Leitung von Ulf Moslener sind Christian Haas, Henriette Jahns, Karol Kempa und Yuting Sun der Frage nachgegangen, wie sowohl Regulatoren als auch die Investoren mit dieser Unsicherheit (Deep Uncertainty, DU) umgehen können und ob sie am Ende zu Wohlfahrtsverlusten führen wird.

Fundamentale Unsicherheit

“In unserem Projekt analysieren wir die Rolle dieser Deep Uncertainty ”, erklärt Forschungsleiter Moslener: “Wir wollen wissen, ob sie systematisch die Investitionen in die Energiewende behindert und was das für unsere Gesellschaft bedeutet.
Dazu wurde ein mehrstufiges Vorgehen gewählt. Zunächst wurde der Zusammenhang von DU und der Energiewende untersucht: “Wir zeigen, dass die Energiewende systematisch sehr häufig solche von DU geprägte Situationen erzeugt”, erklärt Moslener.… Weiterlesen

Prüfung des Risikomanagementsystems durch die Interne Revision

Dirk Gohr

Click here to view original web page at www.risknet.de

Aktualisierter DIIR Revisionsstandard Nr. 2 – Version 2.1

Seit Inkrafttreten des Kontroll- und Transparenzgesetzes (KonTraG) im Jahr 1998 ist es die primäre Aufgabe eines Risikofrüherkennungssystems, mögliche “bestandsgefährdende Entwicklungen” (§ 91 Abs. 2 AktG) früh zu erkennen. Neben bestandsgefährdenden Einzelrisiken sind dabei insbesondere Kombinationseffekte von Einzelrisiken zu untersuchen, die in der Regel Krisen- oder gar Insolvenzen auslösen können, was vor allem eine methodisch fundierte Risikoanalyse sowie Risikoaggregation erfordert.

Die wesentlichen Anforderungen an ein Risikofrüherkennungssystem fasst bereits seit rund 24 Jahren der IDW Prüfungsstandard 340 des Instituts der Wirtschaftsprüfer (IDW) zusammen, der auch auf die zentrale Bedeutung einer Risikoquantifizierung und Risikoaggregation verweist. Die Bedeutung der Risikoaggregation wurde auch im jüngst überarbeiteten IDW PS 340 stärker betont. Mit dem IDW PS 981 existiert ergänzend seit dem Jahr 2017 ein (freiwilliger) Standard, der neben der Risikobewältigung vor allem auch die zentrale Bedeutung von Konzepten für die Messung von Risikotragfähigkeit, Risikotoleranz und Risikoappetit aufzeigt.

Alle Regelwerke haben allerdings eine wesentliche Anforderung an das Risikomanagement noch nicht ausreichend thematisiert: Die notwendige entscheidungsorientierte Ausrichtung von Risikomanagementsystemen. Risikomanagement ist keine isoliertes Managementsystem, das als Sattelitensystem losgelöst von weiteren Managementsystemen agiert. Das Management von Risiken findet vielmehr in vielen Managementsystemen statt. Mit “entscheidungsorientiert” ist ein neues Paradigma des Risikomanagements gemeint, demzufolge das Risikomanagement dazu beitragen soll, bei der Vorbereitung unternehmerischer Entscheidungen die dafür notwendigen Chancen- und Risiko-Informationen zu liefern. Dieser Ansatz wird im neuen Absatz 3 des § 91 AktG in den Fokus gerückt. Ausgelöst durch den “Fall Wirecard” ist am 01.07.2021 das FISG (Gesetz zur Stärkung der Finanzmarktintegrität) in Kraft getreten, um die internen Kontroll- und Risikomanagementsysteme börsennotierter deutscher Aktiengesellschaften zu stärken.… Weiterlesen