102
Risk Management Association e. V.
RiskManagement
News
Das Thema Digitalisierung wurde in den
letzten Jahren zum elementaren Erfolgs-
faktor, dennoch hinkt das klassische Risi-
komanagement den neuen Anforderun-
gen in Bezug auf Cyberrisiken hinterher.
Kaum ein anderes Thema ist so komplex
und von Unsicherheit geprägt wie das
Thema Cyberrisiken.
Ein weiterer Aspekt der Digitalisierung ist die
Vernetzung in den Unternehmen, dadurch
werden aber auch Risiken untereinander
vernetzt. Dies erfordert daher eine engere
Zusammenarbeit der Bereiche Risikoma-
nagement, Strategie, Governance, Informa-
tionstechnologie und Cybersecurity, um
vernetzte Risiken als Teil eines neuen
systemischen Ansatzes zu entdecken und
Maßnahmen entwickeln zu können. Dieser
Ansatz sollte auch einen Notfallplan beinhal-
ten, welche Maßnahmen kurzfristig zu treffen
sind, falls der Abfluss von Daten durch digi-
tale Wirtschaftsspionage oder Sabotage
bemerkt wird. Dieses Worst-Case-Szenario
muss in der strategischen Unternehmenspla-
nung berücksichtigt und in regelmäßigen
Abständen trainiert werden.
Auch der Mensch ist in Bezug auf Cyberrisi-
ken ein Risikofaktor, da das Kontrollvermögen
überschätzt und die zu kontrollierenden Risi-
ken unterschätzt werden. Ein einfacher
Regelkatalog für den Umgang mit Cyberrisi-
ken gibt es noch nicht, muss aber dringend
entwickelt werden. Grundlage kann der Risk
Behaviour Index der Ludwig-Maximilians-
Universität München sein, welcher einen
sicheren Umgang von Benutzern mit Cyber-
risiken durch Verhaltensanalysen und Kon-
frontation mit realen Risiken als Ziel hat.
Der größte Nachholbedarf im Allgemeinen
liegt in den IT-Systemen und der Entwicklung
eines systemischen Ansatzes. Vor allem die
kritische IT-Infrastruktur muss deutlicher an
Sicherheit gewinnen, da hier Cyberangriffe
katastrophale Auswirkungen haben können.
Ein Beispiel dieser stark vernetzten IT-
Infrastruktur sind Air-Traffic-Management-
Systeme oder zukünftig auch autonom fah-
rende Autos. Unternehmen haben den
größten Nachholbedarf bei der Identifizierung
von Cyberrisiken und der Abstimmung ihrer
Kontrollen und Prozesse auf die Identifizie-
rung. Auch ein effektives und agileres Moni-
toring ist notwendig um Risikoindikatoren
zu erkennen und darauf schnell regieren zu
können. Elementar sind auch die Investitions-
budgets in neue systematische Ansätze und
der Aufbau einer präventiven Sicherheits-
kultur zur Sensibilisierung und Schulung der
Mitarbeiter.
Risikokultur fängt
in der Führungsebene an
Durch aktuelle Fälle von hohen Strafzahlun-
gen international agierender Großbanken,
hauptsächlich im US-Raum, aber auch von
Industrieunternehmen sind Rechtsrisiken und
Verhaltensrisiken in den Fokus geraten. Bei
Kreditinstituten rückt, angestoßen durch den
Baseler Ausschusses für Bankenaufsicht
(BCBS), das Management des OpRisk wieder
in den Fokus und das Bewusstsein. Hierzu
muss eine Risikokultur in den Unternehmen
verankert und vorgelebt werden. Ein Ausblei-
ben dieser Entwicklung führt zwangsläufig zu
einem ineffizienten Management operationel-
ler Risiken und nicht zu dessen Reduzierung.
Dies gilt sowohl für Finanzinstitute als auch
Industrieunternehmen.
Der größte Risikofaktor ist nach wie vor der
Mensch, welcher positiv durch gute Systeme,
Prozesse und Kontrollen, aber auch eine gute
Unternehmens- und Risikokultur gefördert
werden soll. In diesem Zusammenhang ist es
wichtig, dass Systeme und Prozesse den
Mitarbeitern Freiheitsgrade und Gestaltungs-
spielräume einräumen, um selbstständig Risi-
ken zur minimieren. Komplett ausschließen
kann man diese Risiken jedoch nicht, auch
die Umgehung von Kontrollen durch Mitarbei-
ter kann nicht ausgeschlossen werden. Den-
noch ist das Risiko hier geringer, wenn aus
der Risikokultur entstandene Vorsichtsmaß-
nahmen greifen. //
Risikomanager müssen umdenken
PERSONALIEN
Dr. Nora Gürtler
wurde in den Vorstand
der Generali Deutschland AG als Chief Risk
Officer bestellt. Dort leitet sie das Risikoma-
nagement der Generali Lebensversicherung
AG, Generali Versicherung AG und Dialog
Lebensversicherungs-AG. Zuvor verantwor-
tete sie die Abteilung Enterprise Risk
Management der Generali Deutschland AG,
das Konzernprojekt Solvency II und seit 2013
ist sie Chief Risk Officer der Generali in
Deutschland.
Als promovierte Mathematikerin ist sie seit
2003 in diversen Positionen der Generali in
Deutschland tätig. Ihr Studium absolvierte
Sie an den Universitäten Karlsruhe und Lyon.
Außerdem ist sie Aktuarin der Deutschen
Aktuarsvereinigung (DAV), Certified
Enterprise Risk Actuary (CERA) und Mitglied
in verschiedenen Gremien der DAV und
des GDV. //
LITERATUR
Der Compliance
Officer: Ein Handbuch
in eigener Sache
Eine wichtige Position in
heutigen Unternehmen ist die
des Compliance Officers,
welche aber von Unterneh-
men zu Unternehmen individuell und
dynamisch interpretiert wird. Hier ist der
Ansatzpunkt dieses Buches. Neben der
Definition des Anforderungsprofils eines
Compliance Officers werden von Experten
aus der Praxis Aufgaben definiert, die
Stellung im Unternehmen beschrieben und
auch haftungsrechtliche Themen behandelt.
Die Zielgruppe umfasst alle die Compliance-
Funktionen bekleiden, aber auch Juristen
und die Unternehmensführung.
Jürgen Bürkle und Christoph E. Hauschka:
Der Compliance Officer: Ein Handbuch
in eigener Sache:
C. H. Beck Verlag, 16.
September 2015, 389 Seiten, 89,00 Euro,
ISBN 978-3-406-66298-0