Ist die Implementierung eines Risiko- und Compliancemanagements sinnvoll? Analyse des Musterunternehmens "Inntal AG"

Inhaltsverzeichnis

Summary

Abkurzungsverzeichnis

1. Einleitung

2. Aufbau der Arbeit

3. Theoretische Auseinandersetzung zwischen Wertsteigerung und Nachhaltigkeit

4. Theoretische Auseinandersetzung mit der Implementierung eines RCM-Systems

5. Praxisubertrag auf das Musterunternehmen „Inntal AG"
5.1 Aufbau des Musterunternehmens „Inntal AG"
5.2 IT-Management des Musterunternehmens „Inntal AG"
5.2.1 IST-Darstellung
5.2.2 SOLL-Zustand und Zielsetzung
5.2.3 SWOT-Analyse
5.2.3.1 Starken und Chancen
5.2.3.2 Schwachen und Risiken

6. Beurteilung und Auseinandersetzung

7. Fazit

Literaturverzeichnis

Onlinequellen

Anlagen

Summary

Die Studienarbeit mit dem Titel „ 1st die Implementierung eines Risiko- und Compliancemanagements sinnvoll ? Analyse am Beispiel des Musterunternehmens „Inntal AG““ von Benjamin Maser wurde im ersten Semester im Masterstudiengang „Risiko- und Compliancemanagement11 und dort in dem Modul „Grundlagen Risiko- und Compliancemanagement11 angefertigt. Der Autor stellt mit der Hausarbeit am Beispiel des Musterunternehmens „Inntal AG“ dar, dass es fur ein Unternehmen existenzbedrohend sein kann, wenn in dem Unternehmen kein Risiko- und Compliancemanagement vorhanden ist. Hierfur wird im ersten Teil der Hausarbeit in der Theorie herausgearbeitet, weshalb die typische Betriebswirtschaftslehre, die noch heute groBtenteils auf Wertsteigerung ausgerichtet ist, nicht als sinnvoll betrachtet werden kann, da die Existenzsicherung eines Unternehmens das Primarziel sein muss. Auch wird auf theoretischer Basis dargestellt, dass die Implementierung eines Risiko- und Compliancemanagementsystems die Existenzsicherung eines Unternehmens erhohen kann. Mit der Uberleitung in den praktischen Teil geht der Autor auf einen einzelnen Fachbereich der „Inntal AG“, das IT-Management ein. Hierzu wird anhand des gegebenen Sachverhalts eine Darstellung der Starken, Schwachen, Chancen und Risiken in diesem Inselbereich dargestellt und ausgewertet. Im weiteren Verlauf werden diese Ergebnisse einer tiefergrundigen Auswertung unterzogen und auch Verknupfungen mit anderen Teilbereichen der „Inntal AG“ dargestellt. Die Auswertung fuhrt schlieBlich zu dem Ergebnis, dass das Musterunternehmen „Inntal AG“ mehreren existenzbedrohlichen Risiken ausgesetzt ist, welche durch ein implementiertes und funktionierendes Risiko- und Compliancemanagement fruhzeitig hatten erkannt und entsprechend verhindert werden konnen. Die Hausarbeit schlieBt mit einem kurzen Fazit des Autors, der darin nochmal auf die Wichtigkeit eines funktionierenden und gelebten Risiko- und Compliancemanagement eingeht.

Abkurzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

Am 12. Mai 2017 wurden durch einen groGen Cyberangriff uber 230.000 Computer in 150 Landern mit einem Erpresser-Trojaner infiziert. Ziele dieser Attacke waren insbesondere global tatige Unternehmen, in Deutschland unter anderem die Deutsche Bahn, aber auch offentliche Einrichtungen, in England waren mehrere Krankenhauser betroffen. Auch wenn der Schaden bis heute nicht genau zu beziffern ist, zeigten die Angriffe, so der Prasident des BSI Arne Schonbohm, wie verwundbar eine digitale Gesellschaft sein kann. Er sprach von einem Weckruf fur Unternehmen, die IT-Sicherheit endlich ernst zu nehmen und nachhaltige SchutzmaGnahmen zu ergreifen.¹ Und obwohl in der Tagespresse regelmaGig Meldungen uber Hackerangriffe, Systemausfalle und sonstige IT- Gefahren zu lesen ist, nimmt die Chiffre Industrie 4.0² einen immer groGeren Stellenwert in der Wirtschaft ein. Die Notwendigkeit fur Unternehmen, sich der digitalen Herausforderung zu stellen und Chancen zu nutzen, sind allgegenwartig. Auf dieser Grundlage soll in dieser Hausarbeit der Frage nachgegangen werden, was das mit Risiko- und Compliancemanagement (RCM) zu tun hat. Inhaltlich erfolgt eine Auseinandersetzung mit der Fragestellung, ob und inwieweit ein RCM fur ein Unternehmen im Bereich der IT sinnvoll sein kann.

2. Aufbau der Arbeit

Die Hausarbeit ist in zwei Abschnitte aufgeteilt, einen Theorieteil, der sich mit dem Grundlagenthema durch Literaturaufarbeitung und aktuellen wissenschaftlichen Erkenntnissen befasst, und einen Praxisteil, der sich mit dem Transfer der theoretischen Erkenntnisse auf das Musterunternehmen „Inntal AG" auseinandersetzt. Damit der Zusammenhang zwischen Theorie und Praxis erkennbar ist, wird eingangs der Hausarbeit eine theoretische Grundsatzdiskussion uber die Unternehmensausrichtung eroffnet (Gliederungsziffer 3.). Darauf aufbauend wird die ebenfalls theoretische Frage erortert, ob ein Unternehmen von der Implementierung eines RCM profierten kann (Gliederungsziffer 4.). Im Anschluss erfolgt der Praxisubertrag auf das Musterunternehmen „Inntal AG", in welchem der Teilbereich des IT-Managements naher analysiert und ausgewertet wird sowie die Risiken und Chancen herausgearbeitet werden (Gliederungsziffer 5.). Aufgrund des begrenzten Umfangs der Hausarbeit wird bewusst nur auf einen Teilbereich der „Inntal AG", das IT-Management, eingegangen. Hierzu werden Risiken herausgearbeitet, die unter Umstanden existenzbedrohend sind und auch inselubergreifend³ andere Bereiche der „Inntal AG" tangieren. In der folgenden Beurteilung der Untersuchungsergebnisse wird wieder der Bogen zu der eigentlichen Fragestellung gespannt, indem darauf eingegangen wird, ob die Implementierung eines RCM nachhaltig auf das Musterunternehmen „Inntal AG" Einfluss nehmen kann (Gliederungsziffer 6.), bevor das Fazit (Gliederungsziffer 7.) schlieGlich Aussagen hinsichtlich eines RCM zusammenfasst.⁴

3. Theoretische Auseinandersetzung zwischen Wertsteigerung und Nachhaltigkeit

Auch nach der letzten groGen Finanzkrise im Jahr 2008 zielt die traditionelle Betriebswirtschaftslehre als Ausrichtung fur die dem Verdrangungswettbewerb ausgesetzten Unternehmen als bestmogliche Risikovorsorge fur schlechte Zeiten ublicherweise auf eine Gewinnmaximierung ab.⁵ Andere Sichtweisen besagen, dass das primare Ziel eines Unternehmens die Existenzsicherung sein muss, da die durchschnittliche Lebensdauer eines Unternehmens in Deutschland circa zwolf Jahre betragt.⁶ Ahnlich sieht dies Klepzig, der jedoch als Uberlebensgrund auch zugleich die standige Verbesserung der marktrelevanten Performance anspricht, wodurch jederzeit eine Finanzierung aus eigener Kraft moglich ist.⁷ Es gibt aber auch kritische Stimmen, die eine Debatte um die Grundprinzipien nachhaltigen Wirtschaftens als Modedebatte unter dem Oberbegriff Corporate Governance (CG) einordnen.⁸ Jedoch, und das ist ausschlaggebend an dieser Stelle, obwohl nach Becker/Ulrich bis heute nicht klar ist, welche Aspekte unter dem Oberthema CG subsumiert werden sollten, ist die traditionelle Denkweise des unternehmerischen Handelns, namlich die Sicherung der langfristigen Uberlebensfahigkeit, wieder verstarkt als oberster Zweck zu identifizieren.⁹ Dementsprechend folgt die Realitat nicht zwangslaufig der traditionellen Betriebswirtschaftslehre. Geht man weiter in der Geschichte zuruck, wird deutlich, dass schon in den Anfangen der Betriebswirtschaftslehre, als Primarziel in der realen Wirtschaft nicht zwangslaufig immer auf Gewinnmaximierung abgezielt wurde. Im 12. Jahrhundert entstand die Begrifflichkeit des ehrbaren Kaufmanns und auch heute findet diese Bezeichnung insbesondere bei der Berichterstattung uber die Aufdeckung von Korruptionsskandalen wieder des Ofteren Verwendung. Danach sollte namlich ein Unternehmen, unabhangig von der GroGenordnung, nach den MaGstaben des ehrbaren Kaufmanns gefuhrt werden, der sich dadurch auszeichnet, dass er die Werte und Tugenden wie Ehrlichkeit, Verlasslichkeit oder Integritat als Basis fur sein eigenes Handeln sieht und somit, praktisch in einem Automatismus, existenzbedrohende Risiken vermeidet. Teilweise wird auch die Auffassung vertreten, dass eine Verbindung zwischen dem ehrbaren Kaufmann und der immer mehr an Popularitat gewinnenden Corporate Social Responsibility (CSR) erkennbar ist.¹⁰ Ahnliches kann man weitlaufig auch an der Aussage von Scherer ableiten, der die These vertritt, dass sich idealerweise das pflichtgemaGe Verhalten mit dem „vernunftigen Verhalten" decken sollte.¹¹ Somit erscheint es nur logisch, dass eine Gewinnmaximierung des Unternehmens nicht als primares Ziel verfolgt werden kann, denn wenn ein Unternehmen insolvent wird, kann es keinen Gewinn erzielen, eine Maximierung dessen ist dementsprechend unmoglich geworden. Verfolgt man hingegen als primares Ziel den Erhalt des Unternehmens und arbeitet entsprechend nachhaltig, kann als sekundares Ziel die Gewinnmaximierung durchaus erfolgreich verfolgt werden. Auf die weiterfuhrenden Fragen, ob und inwieweit das jeweilige Unternehmen das sekundare Ziel der Gewinnmaximierung verfolgt beziehungsweise seine Strategie darauf ausrichtet, soil an dieser Stelle nicht weiter eingegangen werden. Es gilt jedoch abschlieBend festzuhalten, dass das primare Ziel eines Unternehmens die Existenzsicherung sein muss und erst sekundar die Maximierung des Gewinns verfolgt werden sollte.

4. Theoretische Auseinandersetzung mit der Implementierung eines RCM-Systems

Die Meldungen, die fast taglich in den Wirtschaftsnachrichten zu lesen sind, dass Unternehmen aus den unterschiedlichsten Grunden mit Recht und Gesetz in Konflikt geraten, lassen erahnen, dass sich diese Konflikte auch auf die Bilanzen niederschlagen konnen.¹² Die Grunde hierfur sind unterschiedlichster Natur. Aufbauend auf der eingangs dieser Hausarbeit dargestellten Tatsache, dass ein Unternehmen als primares Ziel die Existenzsicherung anstreben sollte, ist festzuhalten, dass ein Unternehmen durch ein Management gefuhrt wird und der Erfolg oder Misserfolg des Unternehmens zwangslaufig von dieser Fuhrung abhangig ist. Dabei ist zwischen strategischem und operativen Management zu unterscheiden, wobei sich das strategische Management schwerpunktmaBig mit der Zielsetzung und Planung beschaftigt, wahrend das operative Management mit der Umsetzung und Steuerung beschrieben werden kann.¹³ Vereinfacht ausgedruckt sollte das Management eine ordnungsgemaBe Unternehmensfuhrung umfassen, was sich im Sinne eines CG dahin gehend naher ausformulieren lasst, dass Regeln fur das Zusammenspiel der Organe [...] und Grundsatze ordnungsgemaBer Unternehmensfuhrung (GoU) und -uberwachung (GoU)^¹⁴ aufgestellt werden mussen. Im Idealfall entsteht dadurch ein Automatismus, bei dem sich pflichtgemaBes Verhalten mit vernunftigem Verhalten deckt.¹⁵ Geht man von der These aus, dass man fur eine ordnungs- und gewissenhafte Unternehmensfuhrung das groBe Gesamte eines Unternehmens betrachten muss und dabei samtliche Bereiche mittelbar oder unmittelbar aufeinander Einfluss nehmen konnen,¹⁶ gestaltet es sich auf den ersten Blick als kompliziert oder, je nach UnternehmensgroBe, fast unmoglich, ein Unternehmen dementsprechend zu fuhren. Nach Romeike handelt es sich namlich bei Unternehmen um offene und hochgradig komplexe sozio-okonomische Systeme, die aus einer Vielzahl von sehr heterogenen Elementen bestehen, durch zahlreiche unterschiedliche Beziehungen miteinander und auch mit anderen Elementen der Umwelt verknupft und ferner auch standigen, teilweise sehr sprunghaften Veranderungen ausgesetzt sind.¹⁷ Trotzdem oder gerade deshalb hangt der Erfolg eines Unternehmens wesentlich von der Qualitat der Entscheidung der Unternehmensfuhrung ab.¹⁸ Scherer/Grziwotz/Kittl vertreten in diesem Zusammenhang die Auffassung, dass die Grunde fur Unternehmenskrisen unter anderem oftmals in schlechtem Risikomanagement und Blauaugigkeit zu finden sind.¹⁹ Damit das Management eines Unternehmens, vorausgesetzt der Wille hierfur ist tatsachlich vorhanden, dementsprechend ausgewogene und durchdachte Entscheidungen treffen kann, die naturlich auch immer im Sinne des Unternehmens sein sollten,²⁰ erscheint es zwingend notwendig, dass ein funktionierendes Managementsystem vorhanden ist, durch welches diese Unternehmenssteuerung moglich ist. Auch fur Menzies²¹ hangt der Unternehmenserfolg maGgeblich damit zusammen, dass die Bereiche Governance, Risk and Compliance (GRC) intelligent miteinander verknupft sind, da eine Verknupfung der Systeme, Strukturen und Prozesse zu GRC die Qualitat und Effizienz eines Unternehmens erhohen sowie die Transparenz und die Sicherheit uber die Steuerungs- und Kontrollmechanismen steigern.²² Scherer/Grziwotz/Kittl gehen noch einen Schritt weiter, indem sie aussagen, dass durch die Implementierung eines RCM die unternehmerischen und oft tabuisierten Risiken minimiert sowie das Controlling optimiert werden konnen, was in einem Streitfall als Bestandteil der Nachweiserbringung hinsichtlich einer Schuldfrage herangezogen werden kann.²³ Weiter vertritt er die Auffassung, dass eine genaue Analyse des eigenen Unternehmens und des relevanten Umfeldes von herausragender Bedeutung ist, da nur so den gebotenen Vernetzungen und den interessanten Entwicklungen mit Chancen und Gefahren proaktiv begegnet werden kann.²⁴ Sinn und Zweck eines GRC liegt nicht ausschlieGlich in der fruhzeitigen Erkennung von Pflichtverletzung, Schaden- und Haftungsfallen, sondern ist noch einen Schritt fruher einzuordnen, namlich bei der prophylaktischen Vorsorge innerhalb des Unternehmens, damit mogliche Brandherde²⁵ gar nicht erst aufkommen. Dementsprechend stellt sich die Frage, woran man sich orientieren sollte, wenn man seine Risiken und Chancen erkennen und einschatzen will. Romeike verfolgt hierzu zwei sehr unterschiedliche Philosophien. Seiner Ansicht nach kann man in die Vergangenheit schauen und auf dieser Basis zukunftige Entwicklungen prognostizieren oder aber man versucht aussagekraftige Fruhindikatoren zu finden, welche Chancen und Risiken abbilden oder zumindest andeuten konnen, lange bevor sie von der Masse wahrgenommen werden.²⁶ Hinzu kommt ferner, dass auch der Gesetzgeber mit verschiedenen Regularien Grundlagen geschaffen hat, an die sich die Unternehmen beziehungsweise die Unternehmensfuhrung zu halten haben, da ihnen ansonsten Ordnungswidrigkeits- oder gar Strafverfahren drohen. Scherer schreibt dazu, dass aufgrund der Legalitatspflicht der Geschaftsleitung und der Anforderungen an einen gewissenhaften Geschaftsfuhrer, Vorstand, Aufsichtsrat und Kaufmann sowie der Pflicht nach § 130 Ordnungswidrigkeitengesetz (OWIG), Vorsorge gegen PflichtverstoGe im Unternehmen zu treffen, eine entsprechende, angemessene und rechtssichere Organisation, die ein funktionierendes Compliance-Managementsystem ermoglicht, vorgehalten werden muss.²⁷ Auch an anderer Stelle betont Scherer hinsichtlich eines funktionierenden GRC- Managementsystems, dass zu beachten sei, dass Legalitatspflicht sowie gesetzliche, behordliche und sonstige zwingende Anforderungen an Unternehmen, Management und Mitarbeiter generell erfullt werden mussen.²⁸ Dieses dafur anzuwendende, ganzheitliche Management bedeutet nach Scherer, dass es zu differenzieren gilt, was in Erfullung der „Good Governance“-Vorgaben ohne Ermessensspielraum gemachen werden muss und welche Entscheidungen unter der Anwendung der Business Judgement Rule moglich sind.²⁹ Es wird deutlich, dass ein sinnvoll austariertes Uberwachungssystem maGgeblich zu einem nachhaltigen Unternehmenserfolg beitragen kann, da die Entstehung von Brandherden fruhzeitig erkannt und gebannt sowie das Risiko eines Unternehmensschadens dementsprechend bestmoglich reduziert wird.

5. Praxisubertrag auf das Musterunternehmen „Inntal AG“

5.1 Aufbau des Musterunternehmens „Inntal AG“

Auch wenn in dieser Hausarbeit anhand des Teilbereichs IT-Management an die oben genannte Fragestellung herangegangen werden soll, bedarf es, schon allein um auch die Verbindungen der Teilbereiche des Unternehmens deutlicher machen zu konnen, einer vorhergehenden Gesamtanalyse der „Inntal AG“. Hierfur wurde, auch aufgrund des Umfangs der Hausarbeit, eine Unternehmensanalyse ³⁰, eine knappe Umfeldanalyse³¹ sowie ein Risiko-Kurz-Check³² uber das Musterunternehmen „Inntal AG“ erstellt, die allerdings nur als Anhang der Hausarbeit beigefugt sind.

5.2 IT-Management des Musterunternehmens „Inntal AG“

Der Kern der Hausarbeit liegt in der Fokussierung auf die mogliche Notwendigkeit der Implementierung eines RCM im Bereich des IT-Managements der „Inntal AG“. Hierfur werden zuerst der IST-Zustand dargestellt und einem SOLL-Zustand gegenubergestellt. Im weiteren Verlauf werden dann mit Hilfe einer SWOT- Analyse die Chancen und Risiken in diesem Bereich herausgearbeitet und bewertet.

5.2.1 IST-Darstellung

Das IT-Management der „Inntal AG“ ist insbesondere unter dem Aspekt des schnellen informationstechnologischen Wandels, veraltet. Das EDV-Programm ZIPZAP V3 wurde vor sieben Jahren eingefuhrt und wird einheitlich fur die gesamte Verwaltung der „Inntal AG" genutzt. Das EDV-Programm und das Datawarehouse befinden sich auf einem Server im Verwaltungsgebaude der „Inntal AG". Eine Datensicherung wird wochentlich durchgefuhrt, auch diese wird auf demselben Server durchgefuhrt. Die Aufrechterhaltung des Geschaftsbetriebes bei einem Stromausfall soil durch ein Notstromaggregat aus den Funfzigerjahren gewahrleistet werden. Es ist dem Sachverhalt nicht zu entnehmen, dass in der „Inntal AG" ein RCM vorhanden ist.

5.2.2 SOLL-Zustand und Zielsetzung

Angestrebt wird, die „Inntal AG" auf die Herausforderungen und Chancen hinsichtlich der Thematik Industrie 4.0 vorzubereiten. In Zeiten des digitalen Wandels und der ErschlieGung neuer Absatzmarkte, insbesondere aufgrund der fortschreitenden Globalisierung, ist es notwendig, dass sich auch die herstellende Industrie dem Wandel nicht verschlieGt, um so fur zukunftige Herausforderungen gewappnet zu sein. Die „Inntal AG" erschlieGt zum einen neue Absatzmarkte und muss sich zum anderen auch den digitalen Herausforderungen stellen. Gleichzeitig bringen Veranderungen/Erneuerungen im IT-Bereich auch Risiken mit sich, die sich bei fehlenden oder fachlichen Unzulanglichkeiten gravierend auf das Unternehmen auswirken konnen. Trotzdem bleibt der „Inntal AG" keine andere Moglichkeit, als seine IT den erforderlichen Gegebenheiten anzupassen und sich in diesem Segment neu aufzustellen. Dabei ist auch dafur Sorge zu tragen, dass ein wirkungsvolles RCM implementiert wird, um den regulatorischen Anforderungen gerecht zu werden und um mit den Chancen und Risiken fruhzeitig und wirkungsvoll umgehen zu konnen. Unbesehen davon, dass es im IT- Management der „Inntal AG" auch Starken und Schwachen gibt, die es zu nutzen beziehungsweise zu erkennen gilt, wird an dieser Stelle lediglich auf die gravierendsten Chancen und Risiken eingegangen. Dadurch kann am deutlichsten aufgezeigt werden, welchen Gefahren sich die „Inntal AG" aktuell aussetzt und weshalb ein schnelles und konsequentes Handeln notwendig erscheint. Eine der primaren Schwachen der „Inntal AG" liegt in dem nicht vorhandenen Konzept fur eine Umstellung auf Industrie 4.0. Die Digitalisierung schreitet schnell voran und die „Inntal AG" verliert voraussichtlich ohne entsprechende strategische Ausrichtung den Anschluss zu Konkurrenzanbietern. Auch das veraltete System, welches sowohl die Software als auch den Server selbst betrifft, stellt eine, wenn auch nicht die groGte Schwachstelle der „Inntal AG" dar. Dieser Aspekt ist aus dreierlei Sicht hochst problematisch, da zum einen eine veraltete IT-Infrastruktur die internen und externen EDV-basierten Ablaufe der „Inntal AG" verlangsamt und somit einen Nachteil im Betriebsablauf, aber auch im Vergleich zu anderen Unternehmen in der Konkurrenz darstellt. Zum anderen stellt eine veraltete IT- Infrastruktur ein enormes Sicherheitsrisiko dar, sei es sowohl hinsichtlich der regelmaGigen Datensicherung, als auch dem Sicherheitsaspekt gegenuber Cyberkriminalitat, also externen Bedrohungen auf das EDV-System der „ Inntal AG". Ferner und insbesondere aufgrund gesetzlicher Regularien spielt der Datenschutz, sowohl von Kunden, Mitarbeitern, aber auch hinsichtlich der Produktentwicklung und moglichen Anteilseignern eine wichtige Rolle.³³

5.2.3 SWOT-Analyse

5.2.3.1 Starken und Chancen

Die „Inntal AG" hat einen bewahrten und etablierten IT-Workflow. Stabile (IT-) Personalstrukturen sowie kurze Entscheidungswege sorgen dafur, dass alle Prozesse gut aufeinander abgestimmt sind. Gravierende Bruche im Prozessablauf sind nicht ersichtlich. Es ist jedoch zu erkennen, dass die Personalstruktur der „Inntal AG" in ihrer Altersstruktur unausgewogen erscheint. Der etablierte IT- Workflow ist stark von dem Softwarehersteller ZIPZAP abhangig. Die kurzen Entscheidungswege sind darauf zuruckzufuhren, dass es nur einen Geschaftsfuhrer gibt, der im Wesentlichen alle Vorgange selbst steuert und gesamtverantwortlich ist. Ferner fehlt eine grundlegende IT (Notfall-) Strategie, welche die „Inntal AG" auf die Moglichkeiten, die ihr durch die Digitalisierung und Industrie 4.0 gegeben sind, vorbereitet. Dabei ist vorweg eine Optimierung der aktuellen Prozesse zu nennen, die, auch wenn man dies mit erstem Blick nicht sofort erkennen mag, groGes Verbesserungspotenzial haben. Eine vollstandige Digitalisierung der Prozessablaufe setzt Potenziale frei, die anderweitig eingesetzt werden konnen. Unabdingbar damit verknupft ist der Bereich der IT-Sicherheit, der neben einer stabilen Ablaufroutine auch sicherstellen soll, dass wichtige Informationen und Daten nicht abflieGen konnen. Hierbei ist neben der Produktion auch unmittelbar die F&E-Abteilung betroffen, welche einen ganz besonderen Schutzbedarf hat.

5.2.3.2 Schwachen und Risiken

Die vorhandene IT-Struktur der „Inntal AG" zeigt bei naherer Betrachtung einige Risiken auf. Problematisch wird es, wenn bestimmte Top-Risiken oder mehrere Risiken gleichzeitig eintreten. Hierbei stellte sich die Frage, ob und wann der Worst-Case fur die „Inntal AG" eintritt. Um dies mit der vorhandenen Datenbasis vernunftig beurteilen zu konnen, wurden fur die vier Top-Risiken die Eintrittswahrscheinlichkeiten mit dem SchadensausmaG multipliziert und das Ergebnis in einer Matrix eingetragen. Das SchadensausmaG wurde dahin gehend definiert, dass fur eine bestimmte Zeit die Produktion der „Inntal AG" angehalten/unterbrochen werden muss. Der Worst-Case wurde mit dem Ausfall der Produktion auf unbestimmte Zeit beziffert. Bei genauerer Analyse stellt sich dabei heraus, dass sowohl Cyber-Risiken, aber auch eine Unternehmensblockade mit einem zeitgleich stattfindenden Datenabfluss/Datenverlust fur sich selbst schon Worst-Case-Szenarien fur die „Inntal AG" darstellen. Die weiteren Folgen beider Risiken sind im Wesentlichen nicht naher zu umschreiben, der Eintritt eines Produktionsausfalls auf unbestimmte Zeit ist aber sehr wahrscheinlich. Auch das dritte Top-Risiko, der Ausfall des Notstromaggregats, wurde zu einem Produktionsstillstand fuhren, jedoch vermutlich nur kurzweilig, da das Problem unmittelbar erkennbar und somit durch die Installation eines Ersatznotstromaggregats zeitnah behoben werden konnte. Zuletzt ist auch der Bereich Datenschutz bei den Top-Risiken aufzufuhren. Die Risikoanalyse der SWOT ergab zwar, dass die Gefahr eines Produktionsausfalls nicht gegeben ist, jedoch trotzdem ein existenzgefahrdendes Risiko besteht. Durch die Europaische Datenschutz-Grundverordnung (EU-DSGVO), die am 25. Mai 2018 Rechtskraft erlangt, drohen Unternehmen bei VerstoGen drakonische Strafen. Diese konnen sich laut der zustandigen Justiz- und Verbraucherschutzkommissarin, Vera Jourova, auf bis zu vier Prozent des Jahresumsatzes belaufen. Das Gesetz hat somit das Potenzial, in der IT schlecht aufgestellt Firmen auszuschalten.³⁴ Die „Inntal AG" hat in diesem Bereich noch keine Vorkehrungen getroffen, sodass eine existentielle Bedrohung durchaus realistisch erscheint.

6. Beurteilung und Auseinandersetzung

Auch wenn mit dem Bereich des IT-Managements nur ein einzelner Inselbereich der „Inntal AG" beurteilt wurde, darf nicht unerwahnt bleiben, dass auch andere Geschaftsbereiche des Unternehmens betroffen sein konnen. Die Umsetzung hin zu Industrie 4.0 bedarf einer entsprechenden strategischen Ausrichtung, die nicht nur eine genaue Planung und Umsetzung (Bereiche Management, Personal, IT- Management, Organisation, Vision/Ziele/Strategie, Finanzen/Steuern und Versicherungen, etc.) erfordern, sondern auch den betrieblichen Ablauf in seiner Ganze betrachten. Trotzdem sind die Chancen fur die „Inntal AG" aufgrund der Digitalisierung groG. Das „Handelsblatt" schreibt hierzu in einem Artikel uber ungeahnte Moglichkeiten der digitalen Transformation in der Industrie und fuhrt in diesem Zusammenhang die Begriffe vernetzte Fabrik, digitaler Zwilling, neue Geschaftsmodelle oder die Moglichkeit des industriellen 3D-Drucks auf. Auf all diesen Feldern forschen und entwickeln Firmen neue Varianten, um ihre Produkte besser, schneller und gunstiger an die Kunden zu bringen.³⁵ Keine Alternative fur die Unternehmen sieht auch Dr. Franz Bullingen³⁶, der in der Digitalisierung genau die Instrumente sieht, die fur Unternehmen notwendig sind, um auf dem Markt bestehen, Kundenwunsche und den Wettbewerb analysieren sowie ihr Geschaftsmodelle anpassen zu konnen.³⁷ Der Mittelstand, so der Deutschland- Chef von SAP, Daniel Holz, sei es gewohnt, sich standig neu zu erfinden und begreife die Chance, mit IT-Losungen Wettbewerbsvorteile zu erzielen. Etablierte Geschaftsmodelle konnten dadurch erganzt und unterstutzt werden.³⁸ Der Grundtenor ist dabei, dass derjenige, der nicht bei der groGen Digitalisierung mitmacht, schon verloren hat.³⁹ Der Risikomanagementexperte Uwe Ruhl, Geschaftsfuhrer der Ruhlconsulting-Gruppe, vertritt die Ansicht, dass die sogenannte vierte industrielle Revolution eine bessere Datenbasis und

Datenqualitat verspricht sowie sich Ablaufe durch Messungen und Analysen transparenter und nachvollziehbarer gestalten lassen und somit eine Optimierung fur die Organisation erreicht wird.⁴⁰ Wo Chancen erkennbar werden, sind zwangslaufig auch Risiken vorhanden. Oder anders ausgedruckt: Wenn man versucht, die Risiken bestmoglich zu minimieren, so minimiert man auch die Chancen. Der Geschaftsfuhrer von Capgemini⁴¹ Deutschland, Michael Schulte, mahnt, dass kaum ein Konzern diese Entwicklung mit den Sozialpartnern durchdacht hat. So sei es einerseits schwierig, Spezialisten fur die IT zu bekommen, andererseits aber auch damit zu rechnen sei, dass viele Jobs wegfallen.⁴² IT-Risiken stellen, aggregiert oder einzeln, eine Gefahr fur die „Inntal AG" dar (Bereiche Business Continuity/Restrukturierung/Sanierung, Security/Safety, Wissens-/Dokumentationsmanagement, etc.). Ein auf unbestimmte Zeit stattfindender Produktionsstop oder ein Abfluss von Unternehmensgeheimnissen wurde einem Worst-Case, der Existenzbedrohung des Unternehmens, sehr nahe kommen. Laut BITKOM liegt der Schaden, der deutschen Unternehmen durch Plagiate und den Verlust der Wettbewerbsfahigkeit in Folge von Cyber-Angriffen in einem einzigen Jahr entstanden ist, bei 51 Milliarden Euro. Taglich werden rund 360.000 neue Viren entdeckt. Auch die Zahl der Angriffe auf Unternehmen steigt stetig, Volkswagen beziffert die Cyber- Attacken auf sein IT-Netz mit rund 6.000 Angriffen pro Tag. Eine einzige Schwachstelle reicht theoretisch, um fur hohe Verluste im gesamten Netz zu sorgen.⁴³ Auch der Datenschutz stellt fur die Unternehmen eine Herausforderung dar. Eine Umfrage des IT-Unternehmens Commvault zur EU-DSGVO vom August 2017 fand heraus, dass 57 der befragten Unternehmen in Deutschland erst am Anfang ihrer Planungen stehen, obwohl die EU-DSGVO schon im Mai 2018 in Kraft treten wird und dementsprechend erheblicher Handlungsbedarf besteht.⁴⁴ Es wird deutlich, dass Chancen und Risiken in einer gegenseitigen Abhangigkeit stehen. Und genau an diesem Punkt setzt ein entsprechendes RCM an, indem fruhzeitig und an der richtigen Stelle ein Fruhwarnsystem implementiert wird, um Chancen nutzen und Risiken bestmoglich vermeiden zu konnen. Dabei ist stets das groGe Ganze im Blick zu halten. In der vorliegenden Hausarbeit wurde nur anhand des IT-Management-Bereichs versucht nachzuweisen, dass eine fruhzeitige und logisch konzipierte Fruherkennung Risiken reduzieren und Chancen eroffnen kann. Gleichzeitig wurde jedoch deutlich, dass viele weitere Bereich der „Inntal AG" zwangslaufig ebenfalls tangiert sein konnen, sodass es ratsam ware, wenn samtliche Geschaftsfelder der „Inntal AG" in ihren Prozessen dargestellt, auf ihre Verknupfungen untersucht und mit Hilfe eines systematischen RCM angereichert wurden, um dementsprechende Insellosungen und damit einhergehende weitere offene Baustellen zu vermeiden. Uwe Ruhl spricht in diesem Zusammenhang davon, dass die Felder im Digitalisierungsbereich sehr weitlaufig sind und von Sicherheitsanforderungen uber Risiko- und Continuity- Themen bis zu Compliance und dem Nutzen von Datenanalysen in Prozessen und Projekten geht.⁴⁵ Gaycken vertritt gar die Ansicht, dass die Sicherheit der digitalen Maschinenwelt noch immer weit von einer akzeptablen Reife entfernt ist, auch wenn einige Firmen dies anders sehen, da der „Black Swan⁴⁶ " bisher ausgeblieben sei. Tatsachlich, so Gaycken weiter, ist die Lage dramatisch schlecht, und kaum jemand habe das richtig erfasst. Industrie 4.0 wurde dadurch zum Glucksspiel. Digitale Investitionen konnten Firmen zu Marktfuhrern machen oder sie vom Markt verschwinden lassen.⁴⁷ Ein gelebtes Fruhwarnsystem, welches fruhzeitig auf Risiken hinweist und dementsprechend Planungssicherheit fur die Unternehmensfuhrung verspricht, kann folglich nur im Interesse aller sein. Leider ist in der Realitat noch immer ein anderes Verhalten erkennbar. Veranderungen sind nicht zwangslaufig erwunscht oder werden nicht gelebt.

[...]

¹ Pressemitteilung des Bundesamtes fur Sicherheit in der Informationstechnik, online unter: https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2017/PM WannaCry 13052017.ht ml [letzter Abruf: 20.11.2017]

² "Industrie 4.0" ist ein Marketingbegriff, der auch in der Wissenschaftskommunikation verwendet wird, und steht fur ein "Zukunftsprojekt" der deutschen Bundesregierung. Die sog. vierte industrielle Revolution zeichnet sich durch Individualisierung bzw. Hybridisierung der Produkte und die Integration von Kunden und Geschaftspartnern in die Geschaftsprozesse aus; aus Gabler Wirtschaftslexikon, online unter: http://wirtschaftslexikon.gabler.de/Definition/industrie-4-0.html [letzter Abruf: 20.11.2017]

³ Prof. Dr. Scherer spricht vereinzelt von Insellosungen, sodass auch in dieser Arbeit mit dieser Begrifflichkeit gearbeitet wird, vgl. Scherer/Fruth (2017), S. 23.

⁴ Nachhaltigkeit wird in diesem Zusammenhang nicht als okologischer Begriff verstanden, sondern zielt auf langfristiges, zukunftsorientiertes Wirtschaften ab; Vgl. Scherer/Fruth (2012b), S. 14.

⁵ Vgl. Wohe (2016), S. 31.

⁶ Vgl. Scherer/Fruth (2015), S. 26.

⁷ Vgl. Klepzig (2014), S. 4.

⁸ Vgl. Becker/Ulrich (2010), S. 5.

⁹ ebenda

¹⁰ Vgl. Gabler Wirtschaftslexikon, Suchwort: „Ehrbarer Kaufmann", online unter: http://wirtschaftslexikon.gabler.de/Definition/ehrbarer-kaufmann.html [letzter Abruf: 20.11.2017]

¹¹ Vgl. Scherer/Fruth (2017), S. 12.

¹² Man denke beispielsweise an Volkswagen, die Deutsche Bank oder andere namhafte Unternehmen.

¹³ Vgl. Scherer/Fruth (2015), S. 53.

¹⁴ Scherer/Fruth (2015), S. 52.

¹⁵ Scherer/Fruth (2017), S. 12.

¹⁶ Scherer hat diese Zusammenhange mittels eines grafischen Unternehmerschiffs dargestellt.

¹⁷ Vgl. Erben/Romeike (2006), S. 34 f.

¹⁸ Vgl. Corporate Governance, Spielregeln fur Manager und Kontrolleure (o. D.), online unter: https://www.risknet.de/wissen/corporate-governance/ [letzter Abruf: 20.11.2017]

¹⁹ Vgl. Scherer/Grziwotz/Kittl (2007), S. 8.

²⁰ Als Gegenstuck zum Prinzipal-Agent-Problem, nach dem Manager primar ihre eigenen Vorteile verfolgen und der Erfolg des Unternehmens bzw. die Interessen des Unternehmens hintenan stellen.

²¹ Christof Menzies ist Partner in der Wirtschaftsprufungsgesellschaft PricewaterhouseCoopers und dort Leiter der Abteilung Risikomanagement, Compliance, interne Kontrollsysteme.

²² Vgl. Menzies (29.06.2011), online unter: https://www.pwc. d e/d e/compliance/integration-der- systeme-schafft-synergien-und-senkt-kosten.html [letzter Abruf: 20.11.2017]

²³ Vgl. Scherer/Grziwotz/Kittl (2007), S. 11.

²⁴ Scherer/Fruth (2015), S. 31.

²⁵ Vgl. Scherer/Fruth (2017), S. 12. - Scherer/Fruth sprechen in diesem Zusammenhang von einem proaktivem Brandschutz.

²⁶ Erben/Romeike (2006), S. 32.

²⁷ Vgl. Universal-Standard des International Institute for Governance, Management, Risk & Compliance der Technischen Hochschule Deggendorf, S. 19.

²⁸ Scherer/Fruth (2017), S. 17.

²⁹ Vgl. Scherer (2012a), S. 201.

³⁰ siehe Anlage 1

³¹ siehe Anlage 2

³² Der Risiko-Kurz-Check orientiert sich im wesentlichen an dem Vorlesungsskript von Prof. Dr. Scherer, siehe Anhang 3

³³ Die Ausarbeitung der SWOT-Analyse des IT-Bereichs ist Anlage 4 zu entnehmen.

³⁴ Vgl. Hackerparadies - was Unternehmen kunftig bluht und droht (18.11.2017), online unter: http://www.manager-magazin.de/magazin/artikel/cybersecurity-dgsvo-bestimmungen-zum- datenschutz-sehen-strafen-vor-a-1176959.html?utm source=www.compliance-manager.net, [letzter Abruf 24.11.2017]

³⁵ Vgl. Wocher/Kerkmann (2017), S. 28.

³⁶ Dr. Franz Bullingen ist Leiter der Begleitforschung Mittelstand-Digital

³⁷ Vgl. Bullingen (2017), S. 18.

³⁸ Vgl. Wocher/Kerkmann (2017), S. 29.

³⁹ Vgl. Industrie 4.0 versus Wissen 1.0 (25.05.2016), online unter: https://www.risknet.de/themen/risknews/industrie-40-versus-wissen- 10/40fd9ada3482f63407525cfb39e4c866/, [letzter Abruf: 20.11.2017]

⁴⁰ ebenda

⁴¹ Capgemini ist ein Beratungs- und IT-Dienstleistungsunternehmen und die gro&te Unternehmensberatung europaischen Ursprungs

⁴² Vgl. Wocher/Kerkmann (2017), S. 29.

⁴³ Vgl. Rost (21.12.2016), online unter: https://www.risknet.de/themen/risknews/cyber-risiken- erfordern-ein-umdenken/1a3c6b8a463f04a9d3c4283b8c00b434/, [letzter Abruf: 20.11.2017]

⁴⁴ Vgl. Datenschutz? ... uns doch egal! (02.10.2017), online unter: https://www.risknet.de/themen/risknews/datenschutz-uns-doch- egal/84c0e4488b6a8956fe080e3c34d670dd/, [letzter Abruf: 20.11.2017]

⁴⁵ Vgl. Industrie 4.0 versus Wissen 1.0 (25.05.2016), online unter: https://www.risknet.de/themen/risknews/industrie-40-versus-wissen- 10/40fd9ada3482f63407525cfb39e4c866/. [letzter Abruf: 20.11.2017]

⁴⁶ Als Black Swan oder auch Schwarzen Schwan bezeichnet man ein unvorhergesehenes Ereignis, das einer wirtschaftlichen Entwicklung eine entscheidende Wende gibt, vgl. Deutsche Wirtschafts Nachrichten, online unter: https://deutsche-wirtschafts-nachrichten.de/2012/10/09/was-ist-ein- schwarzer-schwan-in-der-wirtschaft/, [letzter Abruf: 24.11.2017]

⁴⁷ Vgl. Gaycken (2017), S. 10 f.