GRC aktuell 1/2024 Leseprobe

7. Jahrgang / März 2024 / Nr. 1

GRC aktuell

Governance – Risiko – Compliance – Management

Fachzeitschrift für nachhaltige Unternehmensführung

Markus Fally | Markus Hölzl | Eva Maria Schrittwieser | Dieter Stangl-Krieger

Risiko

Trends im Risikomanagement

Cyberangriffe auf KMU

Compliance

Im Dschungel der Nachhaltigkeitsregulatorik

Meldewege und Compliance: Beschäftigte im Fokus

Der Umgang der Compliance mit Gerüchten

Management

Interkulturelle Erfahrungen in der Führungsebene

Service

GRC-Update – Überblick für die Praxis

Interview

Karin Exner, Unternehmensberaterin und Trainerin

Linde

Zeitschrift

Neu seit Jänner 2024

REPORTING & WIRTSCHAFT KOMPAKT

ESG & Nachhaltigkeit

Reporting & Accounting

Wirtschaft & Digitalisierung

Prüfung & Bewertung

LARTEXT

Kompakt & lösungsorientiert

Praxisnah & informativ

Strukturiert & präzise

Print & digital

Mit dem Abo immer up to date!

lindeverlag.at/rwk

Inhaltsverzeichnis

Interview

„Der Risikomanager der Zukunft muss Treiber der Unternehmensentwicklung werden“

Dr. Karin Exner, selbständige Unternehmensberaterin und Trainerin, im Interview

Markus Hölzl................................................................................................................... 2

Risiko

Trends im Risikomanagement aufgrund eines veränderten Risikouniversums Entwicklungen der letzten Jahre erfordern ein Umdenken im Risikomanagement

Harald Hauer................................................................................................................... 5

Cyberangriffe auf KMU

Identifikation und Kategorisierung der Cyberrisiken

Lukas Holder / Rudolf Grünbichler.............................................................................................. 14 Compliance

Im Dschungel der Nachhaltigkeitsregulatorik

Die Bedeutung neuer EU-Regularien für den Beschaffungsprozess

Sonja Irresberger / Sebastian Hofer............................................................................................ 19

Meldewege und Compliance: Beschäftigte im Fokus

Stellen Sie sich vor, Mitarbeiter melden Probleme, aber keiner hört hin …

Domenic Dirnbacher.............................................................................................................

Der Umgang der Compliance mit Gerüchten

Thomas Schneider...............................................................................................................

Management

Wie interkulturelle Erfahrungen die Führungsebene bereichern

Johann Köngishofer.............................................................................................................

Service/GRC-Update

Überblick für die Praxis

Victoria Typpelt / Josef Baumüller.............................................................................................

IMPRESSUM

Herausgeber:

Dr. Markus Fally, CRMA, Dipl. IR; Mag. Markus Hölzl, CFE, CIA; Mag. (FH) Eva Maria Schrittwieser, MBA. Dieter Stangl-Krieger, CIA, CFE, CFSA, CISA

Medieninhaber und Medienunternehmen: Linde Verlag Ges.m.b.H., 1210 Wien, Scheydgasse 24. Telefon: 01/24 630 Serie. E-Mail: office@lindeverlag.at. Internet: http://www.lindeverlag.at. DVR 0002356; Rechtsform der Gesellschaft: Ges.m.b.H.; Sitz: Wien. Firmenbuchnummer: 102235x. Firmenbuchgericht: Handelsgericht Wien. ARA-Lizenz-Nr. 3991; ATU 14910701. Gesellschafter: Anna Jentzsch (35 %) und Jentzsch Holding GmbH (65 %). Geschäftsführung: Mag. Klaus Kornherr und Benjamin Jentzsch.

Erscheinungsweise und Bezugspreise: Periodisches Medienwerk: GRC aktuell – Governance – Risiko –Compliance – Management. Grundlegende Richtung: Fachinformationen rund um Governance, Risiko, Compliance und Management.

Erscheint viermal jährlich.

Jahresabonnement (Print) 2024 EUR 230,80 (Print inkl. Online) 2024 EUR 250,50 jeweils inkl. MwSt. zzgl. Versandspesen. Abbestellungen sind nur zum Ende eines Jahrgangs möglich und müssen bis spätestens 30. November schriftlich erfolgen. Unterbleibt die Abbestellung, so läuft das Abonnement automatisch ein Jahr und zu den jeweils gültigen Konditionen weiter. Preisänderungen und Irrtum vorbehalten. Nachdruck – auch auszugsweise – ist nur mit ausdrücklicher Bewilligung des Verlags gestattet. Es wird darauf verwiesen, dass alle Angaben in dieser Fachzeitschrift trotz sorgfältiger Bearbeitung ohne Gewähr erfolgen und eine Haftung des Verlages, der Redaktion oder der Autoren ausgeschlossen ist.

Für Publikationen in den Fachzeitschriften des Linde Verlags gelten die AGB für Autorinnen und Autoren (abrufbar unter https://www.lindeverlag.at/agb) sowie die Datenschutzerklärung (abrufbar unter https://www.lindeverlag.at/datenschutz).

Anzeigenverkauf und -beratung:

Gabriele Hladik, Tel.: 01/24 630-719; E-Mail: gabriele.hladik@lindeverlag.at Sonja Grobauer, Tel.: 0664/78733376; E-Mail: sonja.grobauer@lindeverlag.at ISSN: 2616-4582

Hersteller:

Herausgeberbeirat:

Robert Ebel, Zürich.

Dr. Klaus Gressenbauer, Wien.

Dr. Matthias Kopetzky, CIA, CFE, CPA, Wien. Dr. Rita Niedermayr, Wien.

Mag. Andrea Rockenbauer, CRMA, Dipl. IR, Linz. Dipl.-Kfm. Frank Romeike, M.A., Brannenburg. Betrw., Dipl.-Verww. Michael Schulze Heuling, Bückeburg. Dr. Christian Weißensteiner, Graz

Druckerei Hans Jentzsch & Co. Gesellschaft m.b.H., 1210 Wien, Scheydgasse 31. Telefon: 01/278 42 16-0.

E-Mail: office@jentzsch.at. Internet: www.jentzsch.at.

„Der Risikomanager der Zukunft muss Treiber der

Unternehmensentwicklung

werden“

Dr. Karin Exner, selbständige Unternehmensberaterin und Trainerin, im Interview

Dr. Karin Exner ist selbständige Unternehmensberaterin und Trainerin in Wien und verfügt über langjährige Beratungsund Industrieerfahrung im Risikomanagement und im Controlling. Darüber hinaus ist Karin Exner fachliche Leiterin des Risikomanagementlehrgangs und des Austrian GRC Days (Jahresforum für Governance, Risk & Compliance) des Controller Instituts

GRCaktuell: Du bist schon viele Jahre als Risikomanagement-Expertin in Österreich bekannt und auch in der Community sehr aktiv. Neben Deiner Arbeit im Rahm en von Kundenprojekten auch als Leiterin des Corporate Risk Management Lehrgangs und des GRC Austria Days des Controller Instituts. Wie hat sich das Managementsystem „Risikomanagement“ im Laufe der Zeit in Österreich ganz generell entwickelt?

Karin Exner: Aus meiner Sicht hat das Risikomanagement in den vergangenen zwei Jahrzehnten in vielen großen Unternehmen nur wenig Fortschritte gemacht. Heutige ERM-Systeme ähneln vielfach noch stark jenen von vor 20 Jahren, als die meisten großen Unternehmen – motiviert durch damals neue Governance- und Reportinganforderungen – erstmals ERM einführten. Der Fokus liegt nach wie vor auf Compliance und Reporting, die Systeme sind wenig (in Strategie und Controlling) integriert, die Bewertung der Risiken erfolgt auf Basis von Expertenschätzungen, und Risk-Maps stehen (trotz aller Kritik) im Zentrum des Risikoberichtswesens.

Natürlich gab es insofern eine Weiterentwicklung, als neben den großen Unternehmen,

deren Anforderungen schon früher deutlich strenger waren, auch kleinere Unternehmen, Bundesbeteiligungen und auch einige Organisationen aus dem Nonprofit- und dem Public-Sector begonnen haben, Risikomanagement zu implementieren. In den meisten Fällen lag aber auch dort der Fokus auf Compliance und weniger auf der Risikosteuerung.

In einigen Unternehmen gab es natürlich auch Weiterentwicklungen, beispielsweise Risikosimulationen, Stresstests sowie, motiviert durch COSO ERM 2017, die Integration von ERM in Strategie- und Performance-Management. Der Großteil der Unternehmen schien aber eher zurückhaltend zu sein bei der Anwendung neuer Methoden und Werkzeuge, einschließlich Technologie (Risk-ManagementSoftware) und Analytik.

GRCaktuell: Mit welchen RisikomanagementFragestellungen wirst Du im Zuge Deiner laufenden Projekte und Veranstaltungen aktuell am häufigsten konfrontiert?

Karin Exner: Aktuell gibt es einige Themen, die die Unternehmen im Risikomanagement bewegen und auch motivieren, mit Beratern und natürlich auch mit der ERM-Community in den Austausch zu gehen:

1.Wie kann man das Risikomanagement von einem Compliance- und Reporting-Instrument zu einem Steuerungsinstrument weiterentwickeln? (Das ist kein neues Thema, aber in Zeiten zunehmender Volatilität im Unternehmensumfeld und größeren wahrgenommen Risiken immer wichtiger.)

2.Wie können strategische Risiken besser abgebildet werden?

3.Wie erfolgt die Integration von Umwelt-, Sozial- und Governance- (ESG) Risiken und insbesondere Klimarisiken in das ERM?

4.Wie können die Möglichkeiten der Digitalisierung und vor allem der KI genutzt werden, um den ERM-Prozess effektiver und effizienter zu gestalten.

GRCaktuell: Welchen Einfluss haben die konjunkturell und wirtschaftlich herausfordernden Zeiten auf Risikomanagementsysteme und nimmst Du spezifische Branchentrends wahr?

Karin Exner: Zunehmende Volatilität im Unternehmensumfeld erfordert rasches Erken-

nen und dynamisches Management von Risikofaktoren. Die hohe Volatilität wichtiger Treiber des Unternehmenserfolgs, beispielsweise stark schwankende Energiepreise, steigende Zinsen, hohe Inflation, rückt diese stärker in den Fokus des Managements, und natürlich auch des Risikomanagements. Für die Risikomanagementsysteme bedeutet das, dass sie sich an das volatilere Umfeld anpassen müssen. Berichts- und Steuerungszyklen werden kürzer, Steuerungsgremien brauchen aktuellere Informationen und enger getaktete Meeting-Routinen, um fundierte Entscheidungen treffen zu können. Dies betrifft nicht nur Branchen, die traditionell mit hohen Marktrisiken und -volatilitäten konfrontiert waren (wie beispielsweise die Ölindustrie), sondern einen deutlich größeren Kreis an Unternehmen.

In wirtschaftlich herausfordernden Zeiten steigt natürlich in vielen Unternehmen die Bedeutung der Finanzfunktion und vielfach auch des Risikomanagements. Insofern habe ich den Eindruck, dass die aktuellen Herausforderungen durchaus zu einer wichtigeren Rolle des Risikomanagements und zu einer Verbreitung hoch entwickelter Risikomanagementsysteme und -methoden führen.

GRCaktuell: Du wirst die Frage erwarten: Welche konkreten KI-/AI-Auswirkungen siehst Du aktuell bereits bzw welche sind in der nahen Zukunft aus Deiner Sicht für das Thema Risikomanagement absehbar?

Karin Exner: Digitalisierung generell und KI im Speziellen kann das Risikomanagement in Unternehmen effektiver und effizienter machen. Aktuell habe ich den Eindruck, dass viele Risikomanager noch sehr zurückhaltend im Einsatz von KI sind. Sie sehen mehr die Risiken als die Chancen der KI und sind vielfach wenig experimentierfreudig. Einige Unternehmen haben begonnen, KI im Rahmen der Risikoidentifikation einzusetzen. Dadurch können große Datenmengen (einschließlich Text) analysiert, Einblicke in neue Risiken gewonnen, Muster und Anomalien erkannt und „emerging risks“ frühzeitig beobachtet werden. Bei der Risikobewertung können Analysetools und -techniken ein tieferes Verständnis von Risiken und potenziellen Auswirkungen liefern.

In naher Zukunft wird KI voraussichtlich auch die Berichterstattung effizienter machen und den Risikomanagern mehr Zeit für hochrangigere Aufgaben wie Analyse und Interaktion mit Risk-Ownern und Top-Management lassen.

GRCaktuell: Welche Rolle spielen die internationalen Risikomanagement-Standards und Leitlinien wie COSO und ISO 31000 für die Ausgestaltung des Risikomanagements in der Praxis?

Karin Exner: Die Leitlinien dienen als Orientierung für die Gestaltung und als Bewertungsraster für die Prüfung des Risikomanage-

ments. Insbesondere die Weiterentwicklung von COSO (durch COSO ERM2017) hat meines Erachtens einen starken Impuls für die Weiterentwicklung der ERM Systeme in der Praxis gegeben.

GRCaktuell: Unsere österreichische EY-Risikomanagement-Umfrage 2023 hat betreffend die Einbindung von anderen Experten, aus gegebenen Anlass insbesondere von ESG-/Sustainability-Experten, noch „Luft nach oben“ aufgezeigt. Ist Risikomanagement in österreichischen Unternehmen schon so präsent und mit anderen Fachbereichen und Teams verzahnt, wie es aus Deiner Sicht notwendig ist?

Karin Exner: Aus meiner Sicht hängt das sehr stark von den handelnden Personen und der organisatorischen Verankerung des Risikomanagements ab. Wichtig ist nicht nur ein gut ausgebildeter Risikomanager, der neben den technischen Skills auch hohe persönliche Kompetenzen mitbringt, sondern auch der Tone from the top, dh die Unterstützung des Top-Managements, beginnend im Aufsichtsrat und in der obersten Führungsebene der Organisation. Wenn von dort hohe Nachfrage nach Risikoinformationen kommt, kann das Risikomanagement selbst gut aufgesetzt werden, und bekommt auch den notwendigen Rückhalt, um eine gute Verzahnung mit anderen Fachbereichen und Experten sicherstellen zu können.

Wichtig ist, dass wesentliche Risikobereiche, die spezifisches Fachwissen erfordern, wie beispielsweise Umweltrisiken, aber auch IT-Risiken, eng prozessual und inhaltlich mit den jeweiligen Experten abgestimmt werden. Das EnterpriseRisk-Management fungiert hier als „Übersetzer“ zwischen Experten und Top-Management und stellt sicher, dass Risiken nicht nur identifiziert und bewertet werden, sondern auch klar kommuniziert und gesteuert werden.

GRCaktuell: Eines der Themen, das regelmäßig im Kontext der ESG-Risks diskutiert wird, ist der Zeithorizont zur Bewertung der Nachhaltigskeits- bzw insbesondere der Klimarisiken. Gibt es da aus Deiner Sicht bereits eine Leading-Practice in der Bewertungsmethodik und auch in der Berichterstattung?

Karin Exner: Viele Unternehmen sind hier aktuell damit konfrontiert, einen einerseits regelkonformen, andererseits aber auch in kurzer Zeit umsetzbaren und pragmatischen Ansatz zu entwickeln. Besonders herausfordernd ist die Doppelte Wesentlichkeit, die zusätzlich zur im ERM angewandten Outside-in-Betrachtung der Risiken auch eine Inside-out-Betrachtung erfordert. Ein weiterer wesentlicher Aspekt ist der –im Vergleich zum „traditionellen“ ERM – deutlich längere Betrachtungszeitraum der ESGund insbesondere der Klimarisiken. Die Risikoanalyse verändert somit ihren Betrachtungshorizont und erfordert auch eine stärkere Integration mit der Strategieentwicklung.

Aus meiner Sicht bedeutet das, dass Unternehmen einerseits in ihrem „traditionellen“, eher kurz- und mittelfristig orientierten Risikomanagement, ESG-Risiken systematischer abbilden, und dieses andererseits ergänzen durch eine Inside-out-Perspektive und eine stärker langfristig ausgerichtete Bewertung der Klimarisiken. Eine vollständige Integration (im Sinne von einer einheitlichen Methodik, um alle Risikobereiche, alle Perspektiven und alle Zeithorizonte abzubilden) ist meines Erachtens nicht anzustreben.

GRCaktuell: Du bist ja eine bekannte Verfechterin der quantitativen Risikobewertung (im Gegensatz zur qualitativen Bewertung). Was empfiehlst Du bei Risiken, wo eine Quantifizierung aufgrund von spezifischen Rahmenbedingungen für Risk-Owner und Entscheider aber sehr schwer fällt bzw als nicht sinnvoll erachtet wird? Was sind in solchen Fällen Deine Argumente, trotzdem einer quantitativen Risikobewertung den Vorrang zu geben?

Karin Exner: Ein wichtiges Argument ist, dass Risiken, die nicht quantifiziert sind, auch in der Gesamtbetrachtung der Risiken nicht abgebildet sind, und somit im schlimmsten Fall ganz „unter den Tisch fallen“. Daher sollte eine qualitative Bewertung entweder ganz vermieden oder auf ganz spezifische Themen beschränkt sein, und es sollte sichergestellt werden, dass auch diese Risiken nicht nur identifiziert und (qualitativ) bewertet, sondern auch berichtet und in entsprechenden Gremien gesteuert werden können.

GRCaktuell: Welche weiteren Risikomanagement-Trends nimmst Du aktuell noch wahr und welche Rolle spielen aktuell relevante Stakeholder wie Top-Management, Aufsichtsräte und Wirtschaftsprüfer?

Karin Exner: Ich denke, die aktuell wichtigsten Treiber für das Risikomanagement sind die zunehmende Volatilität im Unternehmensumfeld, Digitalisierung und KI und die Anforderungen in Bezug auf ESG und Klimarisiko-Berichterstattung. Unternehmen können diese Impulse nutzen, um ihre Risikomanagementsysteme neu auszurichten und nicht nur notwendige Anpassungen vorzunehmen, sondern auch weitere Entwicklungspotenziale zu nutzen, wie beispielsweise die Risikomanagementsysteme stärker steuerungsorientiert (und nicht nur compliance- und reportingorientiert) auszurichten.

Die relevanten Stakeholder spielen dabei natürlich eine zentrale Rolle, indem sie eine risikobewusste Kultur fördern und vorleben, sowie Risikoinformationen bei unternehmerischen Entscheidungen systematisch einfordern und berücksichtigen.

GRCaktuell: Was macht einen guten Risikomanager aus? Welche Eigenschaft bzw welches

Wissen ist ein „Must-have“ und was ist ein „Niceto-have“ aus Deiner Sicht?

Karin Exner: Risikomanager sind traditionell eher konservativ und wenig innovationsfreudig. Dies liegt meines Erachtens am JobProfil; gefragt war lange Zeit kein Innovator, sondern jemand, der das Unternehmen und seine Risikotreiber gut kennt und sich kritisch und auf Augenhöhe mit dem Management über die Zukunft der Unternehmensentwicklung ein Bild zu machen sucht, natürlich mit Hilfe der notwendigen methodischen und persönlichen Kompetenzen. Die Risikomanager mussten aber in vielen Unternehmen auch „aushalten“, dass ihre Rolle eher als Compliance-Funktion gesehen wurde, mit wenig Potenzial zur Entwicklung und Steuerung der Unternehmen.

Diese Eigenschaften und dieses Verhalten (bzw Erdulden der zugeschriebenen Rolle) würde ich mal als historisches „Must-have“ sehen.

Aktuell ist aus meiner Sicht mehr Dynamik gefragt: neue Anforderungen bzgl ESG-/Klimarisiken, Nutzung der Potenziale der KI sind Herausforderungen, aber auch große Chancen für Risikomanager, ihre Rolle im Unternehmen neu zu gestalten und Risikomanagement-Systeme auf ein neues Level zu heben. Insofern würde ich Innovationskraft bei der Integration der ESGThemen, Experimentierfreudigkeit in der Nutzung von KI (natürlich immer unter der Berücksichtigung der Risiken) und einen starken Antrieb zur Weiterentwicklung der eigenen Rolle und des Risikomanagements der Organisation als neues „Must-have“ sehen.

„Nice to haves“ sind Skills, die der Risikomanager nicht selbst abbilden muss, sondern an Experten im Team oder im Unternehmen delegieren kann, wie beispielsweise Detailkenntnis über ESG-Richtlinien und -Anforderungen.

Der Risikomanager der Zukunft muss flexibel und dynamisch sein, er muss sich anpassen und neue Anforderungen und neue Technologien schneller als in der Vergangenheit annehmen und sein Kompetenzspektrum erweitern, um sowohl bestehende Aufgaben als auch neue Aufgaben bewältigen zu können. Er muss aber auch weniger Bremser, sondern mehr Treiber der Unternehmensentwicklung werden und –unterstützt durch den erforderlichen Tone from the top – das Risikomanagement von einer Compliance- und Reporting-Übung in Richtung einer integrierten Steuerungsfunktion entwickeln.

GRCaktuell: Herzlichen Dank für Deine Einschätzungen zum aktuellen Stand von Risikomanagementsystemen in Österreich und Deine Bereitschaft, für ein GRCaktuell-Interview zur Verfügung zu stehen.

Das Interview führte Mag. Markus Hölzl.

Trends im Risikomanagement

Trends im Risikomanagement aufgrund eines veränderten Risikouniversums

Entwicklungen der letzten Jahre erfordern ein Umdenken im Risikomanagement

Harald Hauer

Bedingt durch gesetzliche Anforderungen als auch unternehmerische Notwendigkeit, haben viele Unternehmungen einen hohen Entwicklungsstand in deren Risikomanagementsystem erreicht. Die letzten Jahre haben aber – beginnend über COVID-19, Lieferkrisen, Ukraine-Krieg, Energiekrise, gesamtwirtschaftliche und politische Entwicklungen – gezeigt, dass das im Unternehmen implementierte Risikomanagementsystem oftmals für die neuen Herausforderungen angepasst werden muss. Dies führt zu einem adaptierten und erweiterten Risikotool-Baukasten sowie zu einer geänderten Priorisierung in der Ausrichtung des Risikomanagements.

1.Das veränderte Risikouniversum

Am Anfang eines neuen Jahres zeigen uns diverse Publikationen – als bedeutendste sind hierbei der „Global Risks Report“1 des World Economic Forums und das „Allianz Risk Barometer“2 zu nennen –die Veränderungen in der Risikolandschaft für Unternehmungen. Durch die Kontinuität dieser Reports – der Global Risks Report ist dieses Jahr in seiner 19. Auflage, das Allianz Risk Barometer in seiner 13. Auflage erschienen – lässt sich sehr gut eine Aussage über die Bedeutung und Veränderung der einzelnen Risikoarten treffen.

Der Global Risks Report basiert auf Erkenntnissen aus einer weltweiten Umfrage unter Vertretern aus Wirtschaft, Wissenschaft, Regierungen, Gesellschaft und natürlich Risikomanagementspezialisten. Auf Zweijahressicht ist „Misinformation and disinformation“ das Top-Risiko, vor allem aufgrund möglicher externer Einflussnahmen auf nationale Wahlen im Jahr 2024 wie zB in den USA. Während in diesem Zeithorizont unter den Top-10-Risiken sämtliche mögliche Risikokategorien (ökonomisch, ökologisch, geopolitisch, sozial, technologisch) vertreten sind, belegen beim Zehnjahreshorizont fast nur ökologische und technologische Risiken die Spitzenpositionen (siehe Abbildung 1).

Harald Hauer,

2023-2024.

Abb1: Globale Risiken gereiht nach Schweregrad über Zwei- und Zehnjahreszeitraum. Besonders hervorgehoben werden die strukturellen Kräfte von technologischer Beschleunigung, Klimawandel, geostrategischer Verschiebungen und demographischer Entwicklungen, welche eine wesentliche Auswirkung auf die Geschwindigkeit, Verbreitung und Ausmaß der globalen Risiken über die nächsten zehn Jahre haben können. Über alle untersuchten Zeithorizonte dominieren Umweltrisiken die Risikolandschaft („Environmental risks could hit the point of no return“ 3).

Das Allianz Risk Barometer ist eine jährlich erscheinende Rangliste der Unternehmensrisiken, die von Allianz Commerical in Zusammenarbeit mit anderen Allianz-Einheiten erstellt wird. Die

1 Vgl World Economic Forum/Marsh McLennan/Zurich Insurance Group, The Global Risks Report 2024 (2024).

2 Vgl Allianz Commercial, Allianz Risk Barometer 2024 (2024).

3 Vgl World Economic Forum, The Global Risks Report 2024.

Studie basiert auf Bewertungen von rund 3.000 Risikomanagement-Experten wie CEOs, Risikomanagern, Maklern und Versicherungsexperten. Durch diese hohe Breite der befragten Personen erlaubt die Studie zusätzlich Auswertungen nach Branche und Region.

Verschiedene Arten von Cybervorfällen, wie Ransomware-Attacken, Datenpannen und ITAusfälle, stellen weltweit in diesem Jahr aus Sicht der Experten das größte Risiko dar. Dahinter kommen Betriebsunterbrechungen (als Folge von Ursachen wie Cybervorfälle, Naturkatastrophen, Lieferausfälle, globale Konflikte) und Naturkatastrophen. Zudem sind Feuer und Explosionen sowie politische Risiken und Gewalt in diesem Jahr – im Vergleich zum Ranking aus dem Vorjahr –stark gestiegen.

Bei Betrachtung der Top-Risiken in Österreich sind makroökonomische Entwicklungen, regulatorische Änderungen (insbesondere in Bezug auf ESG und AI) und Auswirkungen des Klimawandels im Vergleich zur globalen Betrachtung höher gereiht. Drei zu beobachtende Trends sind ein Ende der Globalisierung und zunehmender Protektionismus, das Ende von billigen Arbeitskräften sowie zunehmende Risiken von neuen Technologien (siehe Abbildung2).

Abb 2: Top-10-Risiken in Österreich.

2.Konsequenzen des veränderten Risikouniversums

Die letzten Jahre haben verstärkt den Eintritt von Risiken mit gering erwarteter Eintrittswahrscheinlichkeit gezeigt. Handelte es sich dabei um „Black Swans“? Nein – aber aufgrund der niedrigen Eintrittswahrscheinlichkeit und des oftmals zu gering kalkulierten Schadensausmaßes (zB Konsequenzen aus einer Pandemie) waren die finanziellen Auswirkungen auf Unternehmungen überraschend, teilweise massiv und in den Risikomanagementsystemen daher auch unterschätzt. Zusätzlich wirkten diese Ereignisse gleichzeitig oder in knapper Folge, was wiederum die Anspannungen für Unternehmen weiter erhöhte. Es zeigen sich somit zweifellos Ähnlichkeiten zur Finanzkrise; nur diesmal wirkten die eingetretenen Planabweichungen vordergründig auf Industrieunternehmen anstatt auf Banken.

Die letzten Jahre haben somit das Risikouniversum verändert, was wiederum Anpassungen des Risikomanagementsystems, des zu verwendenden Risikotools und schlussendlich auch in der Ausrichtung und Zielsetzung einer Risikostrategie bedarf.

Die wichtigsten Konsequenzen und notwendigen Adaptierungen werden in den folgenden Punkten ungereiht kurz erläutert.

2.1.Resilienz – nur ein häufig verwendetes Schlagwort?

„(…) Die verbundene Fähigkeit, (plötzliche) Störungen und Krisen so zu verkraften beziehungsweise sich davon so zu erholen, dass wesentliche Funktionen aufrechterhalten bleiben, bildet bis heute den kleinsten gemeinsamen Nenner der klassischen Deutungen des Terminus Resilienz“ – eine kurze Erläuterung des Begriffs Resilienz aus einem Arbeitspapier der deutschen Bundesakademie für Sicherheitspolitik.4

Als Unternehmen resilient zu sein, bedeutet, im Falle von massiven Planabweichungen, Veränderungen oder Krisen, schnell anpassungsfähig zu sein. Dabei soll die Leistungs- und Wettbewerbsfähigkeit aufrechterhalten und im Idealfall sogar gesteigert werden. Falls eine Unternehmung jedoch sehr starr in seiner Strategie ist und sich nicht aufgrund geänderter Anforderungen anpassen und bewegen kann, gilt es als nicht resilient.

4 Vgl Bundesakademie für Sicherheit, Arbeitspapier Sicherheitspolitik (19/2016) Was ist Resilienz? – Unschärfen eines Schlüsselbegriffs (2016) 1.

Trends im Risikomanagement

Zur Erhöhung der Resilienz wird ein ausschließlicher Fokus auf Kostenminimierung jedoch nicht reichen. Stattdessen sind zusätzliche Puffer für schlechte Zeiten (wie zB erweiterte kommittierte Kreditlinien) ratsam, um die notwendige Flexibilität auch ohne großen Druck von außen gewährleisten zu können. Unabhängig von der Art des Schocks, können solche Mitigationsmaßnahmen kostengünstig die Auswirkungen auf das Unternehmen reduzieren. Jeglicher Abbau bzw jegliche Vermeidung von Abhängigkeiten (Single Sourcing, Großkunde, Hausbank etc) hilft zusätzlich, die Resilienz eines Unternehmens zu steigern. Zur Erhöhung der Resilienz hilft nicht nur der Fokus auf einen Unternehmensbereich, sondern es ist das ganze Unternehmen danach auszurichten – dh finanzielle, operative, organisatorische, digitale/technologische, innovative und ESG-Resilienz. Vor allem die letzten Jahre haben gezeigt, dass nicht das Risiko an sich zählt, sondern wie man darauf reagieren kann. Brunnermeier meint dazu „nur Risiken, die zu Resilienzkillern werden können, sind zu vermeiden“ 5

Resilienz ist heutzutage ein oft verwendeter Begriff, ja sogar Schlagwort von vielen Unternehmungen für den Erfolg und das Überleben von Organisationen in einer dynamischen und sich schnell verändernden Welt. Wichtig ist aber, es nicht nur als Mantra von Unternehmungen und Risikoabteilungen zu verwenden, sondern auch mit entsprechenden Handlungen zu hinterlegen.

2.2.Stresstest – Vorbereitung auf Extremereignisse

Als Folge der Weltfinanzkrise 2007/2008 führt die European Banking Authority (EBA) seit 2009 Stresstests bei den größten europäischen Banken durch. Dabei werden die Kapitalquoten der teilnehmenden Banken in einem BaseCase, aber auch in einem bzw mehreren adversen Stressszenarien über einen dreijährigen Zeitraum berechnet. Im Zuge dieser Stresstests werden Änderungen verschiedener Risikofaktoren (wie zB Wirtschaftsentwicklung, Kreditausfallsquote, Veränderungen von Zinsen, Aktienkursen, Immobilien- oder Rohstoffpreisen) simuliert, um die Auswirkungen auf zB die Kernkapitalquote eines Kreditinstituts abzuleiten. Im Laufe der Jahre wurden diese Tests um weitere regelmäßige Stresstests (wie zB der EZB) bzw auch Vulnerabilitätsanalysen (zB um die Folgen aus COVID-19 oder den Ukraine/Russland-Konflikt zu analysieren) erweitert. Für nationale Bankinstitute, die nicht von EU-weiten Stresstests erfasst werden, führen oftmals Nationalbanken oder Finanzaufsichten adaptierte Stresstests durch. Unternehmungen aus dem Finanzbereich – neben Kreditinstituten auch Versicherungs- oder Fondsgesellschaften – werden aufgrund ihrer wichtigen gesamtwirtschaftlichen Stellung somit regelmäßig auf extreme Veränderungen von Risikofaktoren mittels Szenariotechnik geprüft. Folge dieser teilweise publizierten Ergebnisse aus Stresstests ist, im Falle positiver Ergebnisse, wiederum ein gestiegenes Vertrauen in den Finanzbereich.

Neben der Erfüllung regulatorischer Anforderungen können die geprüften Finanzinstitute aber auch für sich selbst wichtige Entscheidungen für deren Strategie und Ausrichtung aus einem Stresstest ableiten. Warum sollte daher solch ein Stresstest nur den Finanzinstituten vorbehalten sein? Unternehmen aus der Industrie können – auch ohne gesetzliche Verpflichtung – freiwillig für sich selbst Stresstests durchführen.

Bereits seit einigen Jahren werden im VERBUND regelmäßig Stresstests gerechnet. Dabei wird ein Extremszenario über einen Zeitraum von drei Jahren definiert und die einzelnen Folgen daraus (wie zB Veränderungen von Rohstoffpreisen, gesamtwirtschaftliche Entwicklungen, Veränderungen im Finanz- und Energiemarkt, Auftreten von weiteren Branchen- bzw unternehmensindividuellen Ereignissen) entsprechend simuliert. Das besondere und gegensätzliche zur Monte-Carlo-Simulation ist, dass mehrere Extremereignisse – trotz geringer Eintrittswahrscheinlichkeit der Einzelrisiken – in solch einem Stresstest auch gleichzeitig auftreten können (was im Zuge der Weltfinanzkrise 2007/ 2008 der Fall war). Die simulierten Ergebnisse werden in der Folge mit den Planzahlen von EBITDA, Konzernergebnis und Free Cashflow verglichen. Abgeleitet von einem selbst definierten Extremszenario, können somit Abweichungen zur Mittelfristplanung dargestellt werden – inklusive deren Auswirkungen auf beispielsweise Investitionsprogramme, Rating oder Dividenden. Im Idealfall werden etwaige notwendige Handlungsschritte definiert und beschlossen, die –selbst für die geringe Wahrscheinlichkeit des Auftretens solch eines Szenarios – im Bedarfsfall gesetzt werden.

2.3.Szenarioanalyse – zusätzlich zur Monte-Carlo-Simulation Neben dem im Kapitel 2.2. beschriebenen Stresstest-Szenario wird die Anwendung von generellen Szenarioanalysen über die nächsten Jahre zunehmen. Ob Auswirkungen der COVID-19-Krise, Energiekostenschwankungen, Zinssatzsteigerungen oder Folgen des Ukraine-Krieges – es stellt sich immer öfters die Frage: Was bedeutet das für unsere Geschäfte, unsere Zahlen und unsere Unternehmensstrategie? Was wäre, wenn zB die Zinssätze um weitere 150 Basispunkte oder die Gaspreise nochmals um 50% steigen? Was wäre bei einem Lieferausfall für die nächsten drei Monate?

5 Vgl Brunnermeiner, Risiko? Robustheit? Resilienz! in Handelsblatt vom 29.1.2023, abrufbar unter https://www.handels blatt.com/meinung/kommentare/gast kommentar-risiko-robustheit-resilie nz/28940948.html (Zugriff zuletzt am 7.3.2024).

Die Nachfrage nach Szenarioanalysen – auch seitens Vorstand und Aufsichtsrat – wird somit sicher steigen.

Die verstärkte Verbindung von Strategie, Controlling und Risikomanagement (und der Berücksichtigung von im Rahmen der Risikopolitik eines Unternehmens definierten Schwellenwerte wie Risikoappetit, Risikotragfähigkeit etc) fördert die Diskussionsqualität bei der strategischen Ausrichtung des Unternehmens und der Entscheidungskultur im Unternehmen.

Beispielhaft zeigt die Abbildung3 den Prozess der Szenarioanalyse im Verlauf der COVID-19Krise. Ausgehend von der Definition dreier möglicher Szenarien (schneller Rebound – V-Szenario, langsamer Rebound – U-Szenario, lang anhaltender Wirtschaftsrückgang – L-Szenario) in Schritt eins, wurden im nächsten Schritt die Szenarien mit den wichtigsten Unternehmensprämissen verbunden. Wie wirkt sich das Szenario beispielsweise auf den Preis aus, wie viel Menge wird nachgefragt etc? Basierend darauf wurde für jedes der drei Szenarien in Schritt drei eine Hochrechnung für die nächsten Jahre berechnet – wie verändern sich durch die ermittelten Inputgrößen die wichtigsten KPIs des Unternehmens? In der Folge wurden im vierten Schritt diese Ergebnisse mit der Risiko- und Unternehmensstrategie verglichen. Werden die definierten Schwellenwerte der Risikostrategie eingehalten, und kann die Unternehmensstrategie (zB Investitionsprogramm etc) wie geplant weitergeführt werden? Im letzten und fünften Schritt sind – bei Abweichungen zur Risikobzw Unternehmensstrategie – gegebenenfalls entsprechende Schritte zur Korrektur zu setzen. Im Idealfall können sogar proaktive Expansionsschritte gesetzt werden, um etwaige Marktchancen zu nutzen.

Szenarien für best, baseund worstcase definieren

• Welche volkswirtschaftlichenAnnahmen liegen den einzelnen Szenarien zugrunde (Dauer und Intensität einer Rezession …)?

Einzelne Szenarien mit Unternehmensprämissenverbinden

• Welche Unternehmenskonsequenzen bewirken die einzelnen Risiken (zBMarktwachstum, Preise, zusätzliche Kosten …) in den drei Szenarien?

Durchführung einer Hochrechnung für die nächsten x Jahre

• Basierend auf den neuen Annahmen, welche Folgen haben diese auf die wichtigstenUnternehmenskennzahlen(EBITDA, Konzernergebnis, FCF, Net debt, Eigenkapital …) in den drei Szenarien?

Abb3: Prozess der Szenarioanalyse – eigene Darstellung.

2.4.Risikoappetit /-tragfähigkeit – was geht?

Vergleich Hochrechnung mit Unternehmensstrategie

• Kann die Unternehmensstrategiein allen drei Szenarien wie geplant umgesetzt werden?

• Werden definierte strateg. Risikokennzahlen (wie Risikoappetit, Risikotragfähigkeit) in allen Szenarien eingehalten?

GgfAdaptierung von Unternehmenszielen bzw-strategie

• Sind Anpassungen bei Zielen und Strategie durchzuführen um a) Unternehmensbestand zu garantieren und b) Erwartungen der Stakeholder zu erfüllen?

• Kann ich aufgrund der Hochrechnungen vlt sogar aktiver mögliche Marktchancen nutzen?

Die letzten Jahre haben gezeigt, dass viele Unternehmen mit wirtschaftlichen Problemen gekämpft haben, teilweise restrukturiert werden mussten bzw sogar zahlungsunfähig wurden. Daher ist ein regelmäßiger Vergleich des Risikomanagements von den identifizierten Risikopotenzialen mit den zur Verfügung stehenden Risikodeckungsmassen (Eigenkapital und generierbare Liquidität) absolut notwendig, um den Fortbestand des Unternehmens zu gewährleisten.6 Aber auch vor der Entscheidung über wichtige strategische Schritte – zB im Zuge von Großinvestitionen, Eintritt in neue Märkte, M&ATransaktionen etc – sollten die Chancen und Risiken aus solch einem Schritt zusammen mit den bisherigen Risikopotenzialen im Zuge einer Risikoappetit und -tragfähigkeitsanalyse reflektiert werden. Dabei stehen vor allem folgende Fragen im Mittelpunkt:

▶ Wie sieht die Kapitalstruktur des Unternehmens aus – wie viel und welches Kapital steht uns zur Verfügung (Risikodeckungspotenzial)?

▶ Wie viel Risiko kann eingegangen werden, ohne den Fortbestand des Unternehmens zu gefährden (Risikotragfähigkeit)?

▶ Wie viel Risiko sind wir bereit im laufenden Geschäft zu tragen, um unsere angestrebten Ziele zu erreichen (Risikoappetit)?

▶ Wie viel Puffer bis zur kompletten Ausnützung unserer Tragfähigkeit soll für den Krisenfall vorhanden sein (Risikotoleranz)?

Diese Analysen geben Auskunft darüber, wie viel zusätzliches Risiko (zB durch Expansion) zukünftig maximal genommen werden kann bzw, wenn die Kennzahlen für Risikoappetit oder -tragfähigkeit überschritten wurden, dann sind entsprechende Handlungen zu setzen (zB Kapitalerhöhungen, Assetverkäufe, Reduzierung des geplanten Investitionsprogramms etc), um nicht die Risikotoleranz komplett auszureizen und den Fortbestand des Unternehmens zu gefährden.

6 Vgl Hauer/Leonhartsberger, Strategisches Risikomanagement. Zielsetzungen und mögliche Anwendungsgebiete, CFO aktuell 2020, 106ff.

Trends im Risikomanagement

Oftmals werden Risikoappetit und -tragfähigkeit in den Unternehmen als maximal ausnutzbarer Betrag des Eigenkapitals bzw unterschiedlicher Klassen von Risikodeckungsmassen definiert. Eine weitere mögliche Ausgestaltungsform von Risikoappetit und -tragfähigkeit kann aber auch auf die Kreditwürdigkeit eines Unternehmens und somit auf ein jeweils definiertes Mindestrating abzielen. Hierzu definiert das Management sowohl ein Zielrating für Risikoappetit (zB A-Rating) als auch eines für Risikotragfähigkeit (zB BBB-Rating), welches nicht unterschritten werden soll. Dieser Vorschlag wird typischerweise dann im Aufsichtsrat diskutiert und beschlossen.

2.5.Frühwarnindikatoren – frühzeitig Entwicklungen erkennen

Typischerweise sind im Rahmen eines Risikomanagementsystems die Auswirkungen von Chancen und Risiken in Form von einem Best- und Worst-Case (jeweils mit einem hohen Konfidenzintervall, im Nicht-Finanzbereich oft mit 95%) vorhanden. Somit kann zwar eine Aussage darüber gemacht werden, wie viel im Falle eines Risikoeintritts mit 95% Wahrscheinlichkeit nicht überschritten werden sollte und somit „at risk“ ist (was wiederum wichtig ist, um diese Zahlen mit dem im Kapitel 2.4. beschriebenen Risikoappetit bzw -tragfähigkeit des Unternehmens vergleichen zu können und gegebenenfalls rechtzeitig Mitigationsmaßnahmen zu setzen), es erlaubt jedoch keine Aussage darüber, wie wahrscheinlich das Auftreten eines Risikos ist.7

Vor allem in stark volatilen Zeiten, die zusätzlich durch das Auftreten von Ereignissen mit hohen Schadensausprägungen gekennzeichnet sind, kann ein System zur Früherkennung etwaiger negativer Entwicklungen helfen. Eine Methode zur Lösung dieser Problemstellung ist die Implementierung eines sogenannten Frühwarnsystems. Dabei handelt es sich um ein dem Risikoidentifikationsprozess vorgeschaltetes System, welches anhand von Frühwarnindikatoren ein Stimmungsbild hinsichtlich der Ausprägung wesentlicher risikorelevanter Parameter abbildet. Dieses Stimmungsbild hilft, Rückschlüsse über die Eintrittswahrscheinlichkeit und die zeitliche Realisierung potenzieller Risiken zu ziehen.

Dabei kann die Kombination von quantitativen und qualitativen Frühwarnindikatoren in Form eines hybriden Frühwarnsystems die besten Rückschlüsse über die Wahrscheinlichkeiten von Risikorealisationen ziehen.

Für weitere Informationen zur Implementierung und Nutzung eines Frühwarnsystems wird auf den Beitrag des Autors in der letzten Ausgabe der GRC aktuell verwiesen.8

2.6.Strategische Risiken – Fokus nicht nur auf das Operative legen

Der typische Fokus des Enterprise Risk Managements liegt in der Identifikation von operationalen und finanziellen Risiken, jeweils bezogen auf einen verhältnismäßig kurzen Beobachtungszeitraum. Strategische Risiken und die mittel- und langfristige Betrachtung werden dabei oft vernachlässigt.

Im strategischen Risikomanagement sind mögliche Entwicklungen zu identifizieren und zu bewerten, die mittel- und langfristig ein derzeit erfolgreiches Geschäftsmodell ernsthaft gefährden können. Beispielhafte Konsequenzen können eine Reduktion bzw einen kompletten Wegfall von Marktanteilen, Umsätzen oder Margen nach sich ziehen. Als häufig genannte Ursache dafür sind sogenannte „disruptive Innovationen“ zu nennen, also Entwicklungen, die das Potenzial haben, eine erfolgreiche und langbestehende Technologie, Dienstleistung oder ein Produkt anfänglich zu bedrohen, zunehmend zu ersetzen und im Extremfall komplett vom Markt zu verdrängen. 9

Während der Identifikationsprozess laufender, operativer Risiken typischerweise Bottom-up und quartalsweise per Meldung der Risk Owner an ein Corporate Risk Management stattfindet, wird die Identifikation strategischer Risiken (hierbei ändert sich wenig von einem Quartal zum anderen Quartal) beispielsweise nur jährlich und hierbei oft Top-down vorgenommen.

Zur Aufbereitung einer ersten Diskussionsgrundlage mit dem Management können diverse bekannte betriebswirtschaftliche Konzepte, wie zB die BCG-Matrix, Balanced Scorecard, SWOTAnalyse, Porter´s Five Forces und Moore´s Four Zones, herangezogen werden. Ein verhältnismäßig neues Tool, welches in letzter Zeit verstärkt zum Einsatz kommt, ist Foresight. Dabei handelt es sich um eine Methode zur strategischen Vorausschau, mit der zukünftige Entwicklungen und Trends frühzeitig erkannt werden sollen. Es umfasst somit nicht nur Risiken, sondern erlaubt auch die Identifikation potenzieller Chancen. Ziel dabei ist es, Handlungsempfehlungen für die Zukunft zu entwickeln, um auf mögliche Szenarien besser vorbereitet zu sein.10

In der Folge werden dann mit dem Management (zB Vorstand, Geschäftsführer, Bereichsleiter) strategische Risiken des Unternehmens identifiziert – beispielsweise in Form von Brainstorming in einer Gruppe, teambasierten Übungen oder strukturierten Interviews.11

7 Vgl Hauer, Implementierung und Nutzung eines Frühwarnsystems, GRC aktuell 2023, 115ff.

8 Vgl Hauer, GRC aktuell 2023, 115ff.

9 Vgl Hauer/Leonhartsberger, CFO aktuell 2020, 106ff.

10 Als Beispiel kann hier das E.ON Trend Radar genannt werden, welches von E.ON Foresight, einer Abteilung der Konzernstrategie, in Zusammenarbeit mit internen und externen Partnern erstellt wird. Aufrufbar unter https://www.eon.com/de/ innovation/zukunft-der-energie/eon-trend-radar.html (Zugriff zuletzt am 7.3.2024).

11 Vgl Hauer/Leonhartsberger, CFO aktuell 2020, 106ff.

Eine mögliche Darstellungsform der identifizierten Risiken könnte das in Abbildung 4 dargestellte strategische Risk Universum sein.

Strategisches Risikouniversum

Preis/Kosten

Abb 4: Strategisches Risk Universum – eigene Darstellung.

2.7.Geopolitische und wirtschaftliche Entwicklungen haben an Bedeutung gewonnen Geopolitische Entwicklungen sind in deren Bedeutung für Unternehmensstrategien und -ergebnissen in den letzten Jahren stark gestiegen. Im Zuge der von McKinsey erstellten CEO Excellence Survey 202312, wurde beispielsweise die Eskalation geopolitischer Risiken als einer von drei Trends genannt, die die zukünftige Ausrichtung von Unternehmen durch CEOs am meisten beeinflusst (die beiden anderen Trends waren der Anstieg disruptiver digitaler Technologien und das Risiko einer länger anhaltenden hohen Inflation, verbunden mit wirtschaftlichem Abschwung). Ein weiterer Hinweis ist der starke Anstieg des Risikos „Interstate armed conflict“ im Global Risks Report des World Economic Forums 13 Das Risiko belegt den fünften Rang auf Zweijahressicht (im Jahr zuvor noch nicht in den Top-10).

Geopolitische Entwicklungen beziehen sich dabei nicht nur auf direkte militärische Konfrontationen, sondern haben darüber hinaus auch Auswirkungen auf die Wirtschaft. Ein bekanntes Beispiel dafür sind die Konsequenzen auf Lieferketten. Etwaige Importprodukte (Öl, Gas, sonstige Rohstoffe, Technologieprodukte etc) werden nicht mehr in dem Ausmaß bzw in der Zeit wie in der Vergangenheit geliefert. Daneben gab es in den letzten Jahren aber auch Probleme in der Lieferkette, ohne einseitig beschlossene Beschränkungen in Export oder Import. Entsprechende Beispiele zeigen sich als Folgen der COVID-Krise, Schiffsunfälle (Suez-Kanal) oder diverser Naturereignisse in Asien.

Generell bewirken diese Entwicklungen aber auch Folgen auf den Welthandel. Die über die Jahrzehnte wirtschaftlich genutzte Globalisierung wird nicht plötzlich verschwinden, sie wird sich aber ändern. Anzeichen von Wirtschaftsblöcken und somit verstärkten Protektionismus sind in den letzten Jahren bereits sichtbar, Heimmärkte bekommen oft wieder Vorrang vor dem internationalen Geschäft. Im Vergleich zu den Jahren zuvor haben auch wichtige Wirtschaftsfaktoren, wie Inflation, Wachstum oder Zinsen, eine erhöhte Bedeutung aufgewiesen. Wiederum dient hier der Global Risks Report als guter Indikator – Risiko Nr7 ist Inflation, Risiko Nr9 ist eine mögliche Rezession. Teilweise auch bedingt durch Änderungen im wirtschaftlichen Verhalten bewirkt die Konzentration auf kleinere Wirtschaftsblöcke einen reduzierteren Welthandel mit direkten Konsequenzen auf Wirtschaftswachstum (rückläufig) und Inflation (steigend – nachdem weniger von billigeren Produktionsländern importiert wird).

Das Risikomanagement muss somit auch bezüglich geopolitischer Entwicklungen mehrere Szenarien in einer verstärkt multipolaren Welt in Betracht ziehen.

2.8.Liquiditätsrisiko – nicht nur Ausrichtung auf Ergebnisgrößenabweichungen „Das Liquiditätsrisiko beschreibt die Gefahr, anstehenden Zahlungsverpflichtungen nicht mehr uneingeschränkt und fristgerecht nachkommen zu können. Liquiditätsrisiken beinhalten damit stets auch Fristigkeitsrisiken“ – so die Erläuterung im Gabler Wirtschaftslexikon. 14

12 Vgl McKinsey, Actions the best CEOs are taking in 2023 vom 15.3.2023, abrufbar unter https://www.mckinsey.com/ capabilities/strategy-and-corporate-finance/our-insights/actions-the-best-ceos-are-taking-in-2023 (Zugriff zuletzt am 7.3.2024).

13 Vgl World Economic Forum, The Global Risks Report 2024 (2024).

14 Vgl Gabler Wirtschaftslexikon, abrufbar unter https://wirtschaftslexikon.gabler.de/definition/liquiditaetsrisiko-37103 (Zugriff zuletzt am 7.3.2024).

Trends im Risikomanagement

Aufgrund der beschriebenen Konsequenzen ist es notwendig, Chancen und Risiken nicht nur im Bezug zu Ergebnisgrößen zu simulieren und zu quantifizieren („profit at risk“), sondern zusätzlich auch zu liquiditätsbezogenen Kennzahlen wie beispielsweise dem Free Cashflow. Im Risikomanagement des VERBUND werden die Auswirkungen sämtlicher identifizierter Risiken im Vergleich zu den wichtigsten finanziellen KPIs des Unternehmens – also EBITDA, Konzernergebnis, Free Cashflow, Eigenkapital und Nettoverschuldung – dargestellt. Somit bekommen auch Risiken mit Auswirkungen auf die Liquidität, aber ohne unmittelbare Auswirkung auf das Ergebnis die notwendige Aufmerksamkeit. Falls Risikomanagementsysteme diesen Aspekt komplett außer Acht lassen, ist die Gefahr groß, diese Risiken nicht in deren Ausprägung zu kennen und zu vernachlässigen. Bestes Beispiel dafür waren die Turbulenzen am Energiemarkt im Jahr 2022. Am Börsenhandel teilnehmende Unternehmungen sind verpflichtet, Sicherungsleistungen für Commodity-Geschäfte bereitzustellen, die sich aus ihrer gewöhnlichen Geschäftstätigkeit im Rahmen der Absicherung ihres Portfolios ergeben. Falls es aber zu extremen Preisturbulenzen kommt, sind weitere finanzielle Mittel zur Sicherung – sogenannte MarginCalls – bereitzustellen (je nach Marktpositionierung, kann dies bei steigenden oder fallenden Kursen sein). Diese Margin Calls werden an die ClearingEinheiten von Börsen transferiert, um Kredit- und Ausfallsrisiken der Handelspartner abzudecken. Hohe Volatilitäten führen zu starken Preisschwankungen und diese führen zu einem temporär sehr hohen Liquiditätsbedarf. Ohne entsprechende Vorsorgen, wie zB zusätzliche Kreditlinien und weitere Finanzierungsinstrumente, können solche Positionen nicht länger gehalten werden und müssen folglich aufgelöst werden.

Vor allem in Zeiten der Energiekrise gab es solche extremen Preisbewegungen. Die in diesem Marktumfeld erlebten Preisvolatilitäten waren in der Historie bisher nie sichtbar und lagen vielfach jenseits aller „worst case“- oder Stresstest-Annahmen vieler Unternehmungen. Die Folge daraus waren Liquiditätsprobleme zahlreicher großer Konzerne, welche wiederum zu staatlichen Eingriffen wie Anteilsübernahmen, Schutzschirme etc führten. Etwaige Folgen dieser Marktturbulenzen lassen sich zahlreich in den Pressemeldungen der letzten Jahre finden bzw auch in den überraschenden Liquiditätsknappheiten großer Unternehmungen.15

Risikomanager sind somit dahingehend gefordert, solche Risiken nicht nur zu identifizieren, sondern auch entsprechende Mitigationsmaßnahmen mit den jeweiligen Experten – wie zum Beispiel im Treasury-Bereich – zu erarbeiten. Diese Maßnahmen können den rechtzeitigen Aufbau von kommittierten Kreditlinien oder die Streuung der Rückzahlungstermine von Finanzverbindlichkeiten über einen längeren Zeitraum umfassen, um nicht gerade in schwierigen Kapitalmarktzeiten mit hohen Refinanzierungen konfrontiert zu sein.

2.9.ESG Risiken – nicht nur regulatorische Anforderung

Seit 2014 gilt für bestimmte Unternehmen von öffentlichem Interesse in der EU die Non-Financial Reporting Directive (NFRD). In diesem Unternehmensbericht wird Auskunft über die Nachhaltigkeitsarbeit der jeweiligen Unternehmung gelegt und Stakeholder haben die Möglichkeit, den Beitrag der Unternehmen zur Nachhaltigkeit besser bewerten zu können. Die – abhängig von der Unternehmensgröße ab 2024 geltende – Corporate Sustainability Reporting Directive (CSRD) soll bestehende Lücken bei den Berichtsvorschriften schließen und die Nachhaltigkeitsberichterstattung insgesamt ausweiten. Dabei sind die folgende Punkte als wichtigste Änderungen bzw Ergänzungen der CSRD zu nennen:16

▶ Erweiterte und vereinheitlichte Berichtspflicht: Ziel ist eine Verbesserung der Berichterstattung durch einheitliche Maßstäbe und einer Umfangsverbreiterung. Zu diesem Zweck sind Berichtsinhalte mittels Kennzahlen mehr zu quantifizieren, was wiederum die Messbarkeit und Vergleichbarkeit der Berichtsangaben erhöhen soll.

▶ Neues Verständnis von Wesentlichkeit: Mit der neuen Richtlinie gilt die sogenannte doppelte Wesentlichkeit. Hierbei sind Unternehmungen verpflichtet, nicht nur über Auswirkungen von Nachhaltigkeitsthemen auf das Unternehmen zu berichten, sondern auch über Auswirkungen der eigenen Unternehmensprozesse auf Mensch und Umwelt.

▶ Teil des Lageberichts: Den zukünftig höheren Stellenwert der Nachhaltigkeitsberichterstattung zeigt die Verpflichtung Teil des Lageberichts zu sein, um eine vergleichbare Bedeutung wie die typische finanzielle Berichterstattung zu erhalten.

▶ Externe Prüfung: Vergleichbar mit der Finanzberichterstattung ist künftig auch die Nachhaltigkeitsberichterstattung extern zu prüfen. Die Prüfungstiefe soll dabei beginnend von einer Prüfung mit begrenzter Sicherheit (limited assurance) auf eine Prüfung mit hinreichender Sicherheit (reasonable assurance – und somit vergleichbar zur Prüfungstiefe der Finanzberichterstattung) ausgeweitet werden.

15 Vgl Euractiv, Energieversorger warnen vor „beispielloser“ Liquiditätskrise in Europa vom 9.9.2022, abrufbar unter https://www.euractiv.de/section/energie/news/energieversorger-warnen-vor-beispielloser-liquiditaetskrise-in-europa/ (Zugriff zuletzt am 7.3.2024).

16 Vgl CSR, Eine Initiative von Bundesministerium für Arbeit und Soziales, abrufbar unter https://www.csr-in-deutsch land.de/DE/CSR-Allgemein/CSR-Politik/CSR-in-der-EU/Corporate-Sustainability-Reporting-Directive/corporatesustainability-reporting-directive-art.html (Zugriff zuletzt am 7.3.2024).

Die im Rahmen der Nachhaltigkeitsberichterstattung zu beschreibenden Risiken umfassen:

▶ Umweltrisiken (wie zB Energie- und Wasserverbrauch, Umweltgefährdung, Biodiversität, Klimawandel, CO2-Emissionen etc).

▶ Soziale Risiken (Menschenrechte, Mitarbeiter- und Kundenbeziehungen, gesellschaftliches Engagement etc).

▶ Governance-Risiken (ethische Fragen der Unternehmensführung, Anti-Diskriminierung, Korruptionsbekämpfung, Transparenz etc).

In der Erfüllung dieser regulatorischen Anforderungen (für große Unternehmen bereits ab 2025 mit Daten aus dem Jahr 2024) gibt es zweifellos einige Herausforderungen, wie zB

▶ mangelnde Datenverfügbarkeit über die Wertschöpfungskette (Einflüsse der Unternehmung auf die Umwelt, genaue Kenntnisse über die Lieferanten etc).

▶ Ausbau von technischen Fähigkeiten und spezifischem Know-how zur Erfüllung der geforderten Aufgaben (zB Risikoevaluierungen unter verschiedenen Klimabedingungen).

▶ Ressourcen – sei es ausgebildetes Personal oder Softwarelösungen – zu finden, um die Erfordernisse in der erweiterten Berichterstattung gewährleisten zu können.

▶ Aussagen über zukünftige Einflüsse auf Umwelt und Gesellschaft treffen zu können, die einige Jahre später auch den Vergleich mit den tatsächlichen Auswirkungen standhalten müssen.

Für Risikomanager stellen sich – neben den bereits beschriebenen Punkten – vor allem Herausforderungen bezüglich der erwarteten finanziellen Auswirkungen wesentlicher physischer Risiken und Übergangsrisiken sowie potenzieller klimabezogener Chancen. Methoden, wie die Value-at-RiskBerechnung bzw ein verstärkter Einsatz von Szenarioanalysen (wie auch in den European Sustainability Reporting Standards – ESRS – angeführt), werden notwendig sein, um diese Anforderungen erfüllen zu können. Das Risikomanagement wird in diesem Thema mit anderen Bereichen wie Nachhaltigkeit und Strategie verstärkt zusammenarbeiten. Der Wissensstand über ESG-Risiken wird steigen und hilft auch in der Evaluierung und Abbildung dieser Risiken im strategischen Risikomanagement (siehe Kapitel 2.6.).

Während es teilweise noch Unsicherheiten über die Auslegung der Richtlinie bzw die Erwartungen hinsichtlich der erweiterten Nachhaltigkeitsberichterstattung gibt, ist eine stärkere Fokussierung auf das ESG-Thema und somit auch ein Anstieg der Bedeutung im Unternehmen unausweichlich. Diese Themen werden im Unternehmen ernster und mit Nachdruck behandelt. Es wird jedoch die Frage zu beantworten sein, ob Unternehmungen nur das Mindestmaß der Reportinganforderungen erfüllen wollen oder stattdessen eine potenzielle Wertschaffung im Fokus haben, indem sie aktiv nachhaltigkeitsfokussierte Geschäftsmodelle aufbauen und zukünftig als Front-Runner in der jeweiligen Branche wahrgenommen werden.

2.10.Nutzung von AI – von den ersten Tests zu einer verstärkten Anwendung Seit ungefähr 2018 erfolgt ein verstärkter Einsatz von künstlicher Intelligenz (Artificial Intelligence –AI) in den Unternehmungen, der sich mit öffentlichkeitswirksamen Entwicklungen wie ChatGPT noch mehr beschleunigt hat. Während zu Beginn der Fokus vor allem auf die analytische künstliche Intelligenz gelegen ist, wurde der Anwendungsbereich durch die generative künstliche Intelligenz nun wesentlich erweitert. Traditionelle künstliche Intelligenz wurde beispielsweise für die Analyse von Daten, Mustererkennung und Vorhersage von Ergebnissen entwickelt. Die generative künstliche Intelligenz schafft aber eigenständig neue Inhalte (Audio, Texte, Bilder, Codes oder Videos), die auf erlernten Daten und Mustern basieren. Zielsetzung ist, den Automatisierungsgrad von bisherigen manuellen Aufgaben zu erhöhen und die Produktivität aufgrund einer Effizienzsteigerung zu verbessern.

Was bedeutet nun die generative künstliche Intelligenz für das Risikomanagement? Zum einen verändert sich aufgrund des verbreiteten Einsatzes die Chancen- und Risikolandschaft. Die Erwartungen in die verstärkte Nutzung künstlicher Intelligenz sind sehr hoch; teilweise wird von massiven Effizienzgewinnen ausgegangen. Inwiefern diese Effizienzverbesserungen aufgrund des Einsatzes von künstlicher Intelligenz wirklich erzielt werden können, sei es in dem Ausmaß oder der Zeit wie geplant, stellt eines der Risiken dar. Durch den verstärkten Einsatz von AI sind weiters regulatorische und gesetzliche Risiken zu nennen und in der Folge auch etwaige Reputationsrisiken. Zum anderen kann die erhöhte Nutzung künstlicher Intelligenz zukünftig aber auch die Produktivität im Risikomanagement erhöhen. Beispiele dafür könnten sein:

▶ die Erstellung von Regelwerken, Richtlinien etc (unter Zugrundelegung von Best practices aus der jeweiligen Branche oder verändernden regulatorischen Vorschriften),

▶ die Beschleunigung von Programmierprozessen (zB durch Nutzung von Assistenten und beschleunigten Testmöglichkeiten),

▶ das Scannen der Risikolandschaft und Erkennen von Mustern und Kaskadeneffekten,

▶ die Automatisierung von bisher aufwändigen Standardprozessen (zum Beispiel im Rahmen von Überwachungsaufgaben, Qualitätskontrollen, Prüfungssicherheit) und

▶ die verstärkte Nutzung virtueller Experten (Beantwortung von diversen Fragen der Risikomanagementverantwortlichen – interne und externe Regulatorien, Verarbeitung externer Ereignisse etc.)

Auf den Punkt gebracht

In diesem Beitrag wurden einige der Themen und Trends angeführt, deren Bedeutung aufgrund Veränderungen des Risikouniversums zweifellos gestiegen sind. Es handelt sich hierbei nicht um alle derzeitigen Trends mit Auswirkungen auf das Risikomanagement. Unternehmungen sind aber in diesem dynamischen Umfeld gefordert, deren Risikomanagementsysteme an die neuen Herausforderungen anzupassen, um die Unternehmensführung bei optimierten und risikobewussten Entscheidungen bestmöglich unterstützen zu können.

In diesem Beitrag wurden Themen und Trends teilweise nur kurz vorgestellt, in den nächsten Ausgaben der GRC aktuell werden einige davon detaillierter beschrieben und mit Beispielen hinterlegt.

ESG-Berichterstattung einfach und erfolgreich umsetzen

Mit einem Schwerpunkt zur EU-Taxonomie

Steuern. Wirtschaft. Recht. Am Punkt.

TICHY | FUHRMANN Hrsg.

2023

752 Seiten, geb. 7 3 7073 7

€ 159,–digital erhältlich

Online bestellen & Versandkosten sparen lindeverlag.at

Cyberangriffe auf KMU

Identifikation und Kategorisierung der Cyberrisiken

Lukas Holder / Rudolf Grünbichler

Die Digitalisierung bringt Unternehmen viele Vorteile. Doch mit der wachsenden Vernetzung von EDV-Geräten und der Verlagerung der Aktivitäten ins Internet steigt auch das Risiko von Cyberangriffen. Insbesondere kleine und mittelgroße Unternehmen sind sich oft nicht bewusst, wie viele Einfallstore für Cyberangreifer existieren und welche Schäden entstehen können. In diesem Beitrag werden daher die verschiedenen Arten von Cyberangriffen auf KMU beleuchtet und zu Cyberrisikokategorien verdichtet. Mit dem Wissen über die verschiedenen Angriffsarten können Strategien zur Abwehr entwickelt werden.

1.Cybersicherheit und Cyberkriminalität

Cybersicherheit (engl Cybersecurity) bezeichnet die Gesamtheit der Technologien, Prozesse und Praktiken, die zum Schutz von Netzwerken, Geräten, Programmen und Daten vor Angriffen, Schäden oder unbefugtem Zugriff dienen.1 Aus dieser Definition wird deutlich, dass sich Cybersicherheit nicht nur mit Angriffen, die mit Schadsoftware ausgeführt werden, beschäftigt. Auch dem menschlichen Faktor kommt eine bedeutende Rolle zu.

Cyberkriminalität ist ein Thema, das in den letzten Jahren massiv zugenommen hat. OnlineEinkäufe, Bankgeschäfte oder die Nutzung von Apps haben das private als auch unternehmerische Leben zwar komfortabler gemacht, bieten jedoch auch Cyberkriminellen viele neue Möglichkeiten. Zusätzlich hat die COVID-19-Pandemie dazu geführt, dass die klassische Kriminalität zwar rückläufig war, jedoch die Cyberkriminalität angestiegen ist. Bereits der Cybercrime Report 2022 verdeutlicht, dass im Jahr 2022 60.195 Fälle (Jahr 2021: 46.179 Fälle) von Internetkriminalität angezeigt wurden.2 Der Rechnungshof Österreich veröffentlichte bereits im Jahr 2021 einen Bericht zur Prävention und Bekämpfung von Cyberkriminalität, in welchem zentrale Empfehlungen für Ministerien erarbeitet wurden.3 Anfang Mai 2023 wurden von vorwiegend deutschsprachigen Justizministern eine gemeinsame Erklärung zur Verstärkung der grenzübergreifenden Bekämpfung von Cyberkriminalität abgegeben.4 Es zeigt sich, dass das Thema ernst genommen wird und Maßnahmen auf politischer Ebene ergriffen werden. Ein Teil der Verantwortung zum Schutz vor Cyberangriffen liegt jedoch auch bei Unternehmen und Privaten.

Vielen Unternehmen ist nicht bewusst, dass sie äußerst attraktive Ziele von Cyberattacken sind. Laut Statista5 haben im Jahr 2023 53% aller befragten Unternehmen eine Cyberattacke in den letzten 12 Monaten erlebt. 99% aller Unternehmen im EU-Raum fallen unter die Kategorie der KMU6 und sind somit auch die primären Opfer von Cyberangriffen. Auch in Österreich ist das Bewusstsein der Unternehmen, Ziel von Cyberangriffen zu sein, begrenzt. Nur 4% der österreichischen Unternehmen arbeiten im Falle eines Cyberangriffs an der Entwicklung und Implementierung eines Krisenoder Notfallplans.7 Zudem verdeutlicht die von Deloitte und dem Forschungsinstitut SORA unter 350 mittelgroßen und großen österreichischen Unternehmen durchgeführte Befragung weitere besorgniserregende Ergebnisse: Die Professionalität der Angriffe nimmt zu; Unternehmen fokussieren zwar Prävention, vernachlässigen aber Detektion und Business Continuity Management und der Personalmangel sowie die Lieferengpässe gefährden die Sicherheit und Business Continuity. Um sich gegen Cyberattacken zu schützen, fehlt es Unternehmen oft an Budget, technischer Expertise, Mitarbeitern und dem richtigen Training. Als erster kostengünstiger Schritt eignet sich daher die Aufklärung zu potenziellen Cyberrisiken und die damit verbundene Sensibilisierung für

1 Vgl beispielsweise IBM , Was ist Cybersicherheit? Abrufbar unter https://www.ibm.com/de-de/topics/cybersecurity (Zugriff zuletzt am 15.3.2024).

2 Vgl Bundeskriminalamt, Cybercrime Report 2022: Lagebericht über die Entwicklung von Cybercrime, Wien, Mai2023, abrufbar unter https://bundeskriminalamt.at/306/files/Cybecrime_2022_V20230517_webBF.pdf (Zugriff zuletzt am 2.4.2024).

3 Vgl Rechnungshof Österreich, Prävention und Bekämpfung von Cyberkriminalität, Wien, 2021, abrufbar unter https:// www.rechnungshof.gv.at/rh/home/home/004.766_Cyberkriminalita_t.pdf (Zugriff zuletzt am 2.5.2023).

4 Vgl beispielsweise DerStandard, Justizminister aus deutschsprachigen Ländern verstärken Kampf gegen Cybercrime, abrufbar unter https://www.derstandard.at/story/2000146233325/justizminister-aus-deutschsprachigen-laendernverstaerken-kampf-gegen-cybercrime (Zugriff zuletzt am 9.5.2023).

5 Statista, abrufbar unter https://de.statista.com/statistik/daten/studie/1230157/umfrage/unternehmen-die-in-den-letzten12-monaten-eine-cyber-attacke-erlebt-haben/ (Zugriff zuletzt am 2.4.2024).

6 Europaparlament, https://www.europarl.europa.eu/factsheets/de/sheet/63/kleine-und-mittlere-unternehmen#:~:text= Kleinstunternehmen%20sowie%20kleine%20und%20mittlere,Wertsch%C3%B6pfung%20in%20der%20EU%20beitragen (Zugriff zuletzt am 13.3.2024).

7 Deloitte, at-deloitte-cyber-security-report-2023.pdf (Zugriff zuletzt am 2.4.2024).

Cyberangriffe auf KMU

dieses Thema. Ein generelles Wissen über die Angriffsarten liefert KMU einen ersten Baustein, sich gegen Cyberkriminalität zu wappnen.

2.Vorgehensweise bei der Identifikation von für KMU relevanten Cyberangriffen Cyberangriffe umfassen eine Vielzahl unterschiedlicher Techniken, die zudem über die Zeit weiterentwickelt werden. Für KMU ist es zunächst sinnvoll, einen Überblick über die möglichen Bedrohungen und deren Funktionsweisen zu erhalten. Im Rahmen des Forschungsprojektes „SME 5.0 - A Strategic Roadmap Towards the Next Level of Intelligent, Sustainable and Human-Centred SMEs“, gefördert innerhalb des Programms Horizon MSCA 2021 der Europäischen Union, wurde ein Arbeitspaket zur Identifikation von Cyberrisiken konzipiert.

Diese Cyberrisiken wurden mithilfe einer systematischen Literaturrecherche (SLR) durchgeführt. In Anlehnung an den Forschungsprozess von Wright et al (2007)8 wurde eine Forschungsfrage entwickelt, die sich auf die Identifizierung von Bedrohungen für KMU konzentriert. Die Suche nach wissenschaftlichen Arbeiten erfolgte in den Datenbanken Scopus, Web of Science und Google Scholar und erstreckte sich von Februar2023 bis Juli 2023. Durch die kontinuierliche Verfeinerung der Suchbegriffe sowie Festlegung von Ausschluss- und Auswahlkriterien wurden 69 relevante Fachartikel identifiziert, die sich mit Cyberangriffen auf KMU befassen. Diese Beiträge wurden systematisch untersucht und die untersuchten Risiken ausgewertet. Die verschiedenen Arten werden im nächsten Kapitel dargestellt.

Ein Schwerpunkt der Forschung lag dabei auf der Rolle von Künstlicher Intelligenz (KI) in der Cybersicherheit. Bestimmte Arbeiten betonen die Vorteile von maschinellem Lernen in Netzwerkintrusionserkennungssystemen und heben die Bedeutung von Cyber Threat Intelligence (CTI) hervor. Zudem wird vorgeschlagen, die Selbstbestimmungstheorie (SDT) zu verwenden, um KMU zur Umsetzung von Cyber-Risikomanagement und Risikobewertung zu motivieren.

3.Arten von Cyberangriffen auf KMU und Risikokategorien

Insgesamt wurden in den Fachartikeln 325 für KMU relevante Cyberbedrohungen dargestellt. Die einzelnen Bedrohungen sowie die Relevanz, ausgedrückt über die Häufigkeit der Beschreibungen, sind in Abbildung 1 ersichtlich.

Malware

Mangelnde Sensibilisierung Phishing

DDos Dos

Datenlecks

Mangelndes Wissen

Fehlende Ressourcen

Ransomware

Mangelndes Cyber-Risikomanagement

Bedrohungen durch Webanwendungen

Insider-Bedrohung

Menschlicher Faktor

IoT-Bedrohungen

Botnetze

Passwort-Angriffe

Iden tätsdiebstahl

Social Engineering-Bedrohungen Spam

Bedrohungen durch mobile Geräte

Spionageprogramme

Externe Umgebungsbedrohungen

Bankkonto-Bedrohung

Falsche So ware-Update-Richtlinien

Netzwerk-Bedrohungen

Cloud-Bedrohungen

SQL-Einschleusung

Spear-Phishing

Man-in-the-Middle-Angriff Reputa onsverlust

Hardware-basierte Bedrohungen

Crross Site Scrip ng

Spoofing

Lauschangriffe

Drive-by-Angriffe

Birthday-Angriffe

AI-Bedrohungen

Häufigkeit der Beschreibungen in den Fachar keln

Abb1: Häufigkeitsverteilung der Cyberbedrohungen für KMU.

8 Vgl Wright/Brand/Dunn/Spindler, How to write a systematic review. Clinical Orthopaedics and Related Research 2007, 23ff.

Um einen übersichtlicheren Eindruck über die einzelnen Risiken zu erhalten, erfolgte in Anlehnung an die bestehende Literatur sowie die Besprechung im Team eine Verdichtung zu übergeordneten Risikokategorien, welche folgend dargestellt wird.

3.1.Malware

Die am häufigsten vertretene Gefahr für KMU ergibt sich aus Malware-Angriffen, insbesondere durch Ransomware, Spyware und Adware. Ransomware sperrt oftmals Systeme und verlangt ein Lösegeld für die Freigabe, Spyware hingegen dient dazu, Daten wie Passwörter zu stehlen, während Adware störende Werbung in der PC-Software platziert.

Die Verteilung der verschiedenen Malware-Typen zeigt, dass der Oberbegriff „Malware“ mit 44 Nennungen am häufigsten vertreten ist. Dabei wird oft betont, dass es in den meisten Fällen weniger wichtig ist, welches bösartige Programm das Netzwerk infiziert, folglich meist allgemein über Viren gesprochen wird. Besondere Aufmerksamkeit gilt dabei der Ransomware, die als besonders gefährlich gilt, da sie in der Lage ist, gesamte Unternehmensnetzwerke zu sperren und Lösegeld zu erpressen. Spyware und Adware werden eher am Rande behandelt, wobei Spyware oft unbemerkt bleibt und Adware im Allgemeinen als störend empfunden wird.

3.2.Social-Engineering-Threats

Bei Social-Engineering-Angriffen wird in der Regel der Systemnutzer gezielt angesprochen, um Informationen zu erhalten. Phishing, als bekanntester Social-Engineering-Angriff, ist in dieser Kategorie am häufigsten vertreten. Fast jeder ist von Phishing-Angriffen betroffen, sei es durch verdächtige E-Mails oder Telefonanrufe. Identitätsdiebstahl (engl Identify theft) folgt als zweithäufigste genannte Bedrohung und kann dazu verwendet werden, Phishing-Angriffe zu verbessern und Personen oder Unternehmer zu imitieren.

Social-Engineering-Threats und Spam haben dieselbe Häufigkeit in den Fachbeiträgen. Aufgrund der allgegenwärtigen Natur von Phishing werden Social-Engineering-Bedrohungen selten separat erwähnt. Spam fällt hauptsächlich unter Phishing, ebenso wie die letztgenannte Kategorie Spear-Phishing, bei der ein bestimmtes Ziel anstelle eines allgemeinen Phishing-Angriffs gewählt wird.

3.3.Human-Factor-Threats

Trotz der Automatisierung vieler Aufgaben in Cybersystemen sind menschliche Nutzer oder Betreiber nicht aus dem Cyberspace wegzudenken. Der am häufigsten genannte Risikofaktor ist ein Mangel an Wissen. Die Identifizierung von Risiken, der Schutz dagegen und die Anwendung von Gegenmaßnahmen werden durch Kenntnisse erleichtert. Der menschliche Faktor im Allgemeinen und Insider-Bedrohungen werden jeweils zwölfmal beschrieben. Bei Insider-Bedrohungen wird der Mensch selbst zur Gefahr, wobei es sich in der Regel um beabsichtigte Angriffe von innerhalb des Systems handelt. Passwortangriffe sind ebenso ein zentrales Thema, wobei es sich bei dieser Bedrohung um schlecht gewählte oder selten geänderte Passwörter handelt.

3.4.Management-Threats

Diese Kategorie handelt von Bedrohungen durch Missmanagement. Der Hauptpunkt ist der Bedarf an mehr Bewusstsein (engl Awarness), insbesondere bei KMU, die oft nicht ausreichend über ihre Attraktivität als Angriffsziel informiert sind. Managementversäumnisse und mangelnde Sensibilisierung können zu Risiken führen. Das mangelnde Bewusstsein wird als drittgrößte Managementbedrohung genannt und erfordert eine angemessene Strategie. Die Aufklärung von Mitarbeitern und die Einführung von Cyber-Risikomanagement erfordern jedoch Ressourcen wie Zeit und Geld. Insgesamt zeigen 14 Artikel, dass ein Mangel an Ressourcen als Bedrohung betrachtet wird. Besondere Probleme entstehen durch schlechte Software-Update-Richtlinien, da viele Benutzer ihre Software nicht aktualisieren.

Ein Mangel an Bewusstsein in KMU beeinflusst das Sicherheitsverhalten, während das Ignorieren des Cyber-Risikomanagements und begrenzte Ressourcen die Anfälligkeit für Cyberangriffe erhöhen. Die Bewältigung dieser Herausforderungen erfordert einen umfassenden Ansatz mit klaren Managementstrategien und gezielten Schulungsmaßnahmen.

3.5.Network-Threats

Viele Unternehmenssysteme basieren auf Netzwerken, die flexible Datenzugriffe von verschiedenen Standorten ermöglichen sowie schnelle Daten-Backup- und Übertragungsmöglichkeiten bieten. Jedoch sind diese Netzwerke auch Hauptzielscheiben von Angreifern. Besonders alarmierend sind Netzwerkbedrohungen, insbesondere Datenverletzungen, welche das häufigste Risiko in dieser Kategorie darstellen. KMU sehen sich auch mit Angriffen konfrontiert, die Systeme nicht brechen, sondern sie ohne internen Zugriff lahmlegen. Bekannte Angriffe wie Denial of Service (DoS) und Distributed Denial of Service (DDoS) stellen eine erhebliche Bedrohung dar.

Da KMU oft Dienstleister für größere Unternehmen sind, können selbst gut geschützte, größere Ziele beschädigt werden. DoS und insbesondere DDoS basieren auf Netzwerken von gehackten, ferngesteuerten Computern. Diese Botnetze nutzen die Maschinen anderer Menschen, um Schaden anzurichten. Andere Netzwerkangriffe sind vergleichsweise unbekannt und werden von den Hauptangriffen überschattet. Man-in-the-Middle-Angriffe, Lauschangriffe, Spoofing und Birthday-Angriffe sind weniger bekannt und werden normalerweise nur allgemein erwähnt.

3.6.Internet of Things and Operational-Technology-Threats

In den letzten Jahren sind Bedrohungen im Zusammenhang mit dem Internet of Things (IoT, dt Internet der Dinge) relevanter geworden, da die Vernetzung von Systemen in vielen Branchen Priorität hat. Mit der Einführung zahlreicher neuer Systeme und Geräte im Cyberspace entstehen neue Angriffsflächen für Hacker und Angreifer. Die IoT-Region wird als der häufigste mögliche Angriffspunkt betrachtet. Mobile Geräte, wie Smartphones oder Laptops, werden als potenzielle Schwachstellen identifiziert und belegen damit den zweiten Platz in dieser Kategorie. Dies ist auch auf die Flexibilität des Arbeitsplatzes zurückzuführen.

3.7.External-Environmental-Threats Nicht immer ist das Unternehmen allein für den Schaden verantwortlich, den ein Cyberangriff verursacht. Externe Umweltbedrohungen sind Angriffe, die teilweise oder vollständig auf andere gerichtet sind, aber dennoch das Unternehmen bedrohen. Hierzu zählen beispielsweise Cloud-Risiken, die möglicherweise die Cloud-Speicher anderer Unternehmen angreifen und zu Datenlecks führen können, oder Bedrohungen von Bankkonten, bei denen die Kreditinstitute, in denen Unternehmen ihr Geld aufbewahren, als Ziel ausgewählt werden. Diese Angriffe wurden jeweils viermal als „Cloud Threat“ und fünfmal als „Bank Account Threat“ beschrieben. Der durch einen Cyberangriff verursachte Verlust des Unternehmensrufs ist ebenfalls ein Faktor, der Kunden und Lieferanten dazu veranlassen kann, ihre Entscheidung zu überdenken, nicht mehr mit dem Unternehmen zusammenzuarbeiten. Der Rufverlust wird von vielen Autoren nicht als großes Problem betrachtet und wurde nur zweimal beschrieben.

3.8.Web-Applikation-Threats Angriffe können nicht nur im Netzwerk des Unternehmens, sondern auch beim Zugriff auf andere Netzwerke auftreten. In der Websphäre gibt es mehrere Gefahren. Webanwendungsbedrohungen im Allgemeinen werden des Öfteren beschrieben. Zu diesen Angriffen gehören SQL-Injections, die die Websites des Unternehmens angreifen, oder Cross-Site-Scripting und Drive-by-Angriffe, bei denen andere Websites gefährlich werden. Viele Mitarbeiter sind täglich auf Websites angewiesen und nutzen sie in ihrer Freizeit. Alltäglich genutzte oder vertraute Websites können mit diesen Angriffen schnell zu einer Bedrohung werden.

3.9.AI-Threats

KI ist derzeit in aller Munde. Mit Tools wie ChatGPT oder MidjourneyAI stehen leistungsstarke KIWerkzeuge vielen Anwendern zur Verfügung. Im Bereich von Cyberangriffen sind KI-Angriffe noch relativ selten. Stattdessen werden KI und maschinelles Lernen eingesetzt, um Angriffe zu verhindern und Muster von Angriffen zu erkennen, um ihnen entgegenzuwirken. Die sich ständig weiterentwickelnde Bedrohungslandschaft im Cyberbereich hat Unternehmen vor anhaltende Herausforderungen in der Cybersicherheit gestellt. Die Nutzung von KI hat sowohl offensive als auch defensive KIStrategien im Bereich von Cyberangriffen und Cybersicherheit hervorgebracht. Offensive KI kann die Effizienz und Effektivität von Cyberangriffen verbessern, während defensive KI darauf abzielt, die Cybersicherheitsmaßnahmen zu stärken.9

Abbildung 2 zeigt zusammengefasst die Anzahl der Einzelrisiken summiert nach den aufgestellten Risikokategorien. Im nächsten Beitrag werden die einzelnen Angriffsarten detaillierter beschrieben.

9 Siehe Johannsen/Kant, T-Governance-, Risiko- und Compliance-Management (IT-GRC) – Ein kompetenzorientierter Ansatz für KMU, in Weber/Reinheimer (Hrsg), Faktor Mensch (2022).

Malware

Netzwerk-Bedrohungen Management-Bedrohungen

Social Engineering-Bedrohungen Menschlicher Faktor IoT-Bedrohungen

Bedrohungen durch Webanwendungen Externe Umgebungsbedrohungen KI-Bedrohungen

Abb2: Zusammenfassung der Risikokategorien.

Auf den Punkt gebracht

Das Thema Cybersicherheit wird in Unternehmen immer relevanter. Längst stehen nicht mehr nur große Unternehmen im Fokus der Cyberattacken. Cyberkriminelle haben KMU als potenzielle Opfer entdeckt, welchen es oftmals an nötigen Sicherheitsbarrieren mangelt. Der erste Schritt ist daher die Schaffung eines Bewusstseins über die möglichen Cyberrisiken. Mit diesem Wissen können KMU erste Maßnahmen setzen, um sich gegen Cyberangriffe zu schützen.

Danksagung

Diese Forschung ist Teil des Projekts „SME 5.0 - A Strategic Roadmap Towards the Next Level of Intelligent, Sustainable and Human-Centred SMEs“, welche im Rahmen des Programms Horizon MSCA 2021 der Europäischen Union unter der Marie Skłodowska-Curie-Finanzhilfevereinbarung Nr10108648 gefördert wird. Die geäußerten Ansichten und Meinungen sind jedoch ausschließlich die der Autoren und spiegeln nicht unbedingt die der Europäischen Union oder des EIT wider. Weder die Europäische Union noch die Bewilligungsbehörde können für sie verantwortlich gemacht werden.

Im Dschungel der Nachhaltigkeitsregulatorik

Die Bedeutung neuer EU-Regularien für den Beschaffungsprozess

Sonja Irresberger / Sebastian Hofer

Der Begriff der Nachhaltigkeit ist nicht mehr aus dem allgemeinen Sprachgebrauch wegzudenken. Vielerorts wird darüber diskutiert, wie Nachhaltigkeit noch stärker in den Alltag integriert und – vor allem – gesteigert werden kann. Dies kann nicht allein am Individuum hängen und daher werden vor allem Unternehmen verstärkt in die Pflicht genommen, ihre gesellschaftspolitische Verantwortung wahrzunehmen und sich dem Thema zu widmen. Der europäische Gesetzgeber in Brüssel hat daher im Rahmen des European Green Deal in den vergangenen Jahren begonnen, eine Vielzahl an Regularien, sowohl direkt als auch indirekt anwendbar, zu verabschieden. Während insbesondere mit der CSRD eine Richtlinie verabschiedet wurde, die das Berichtswesen stark verändert, muss sich durch andere Regularien, denen medial weit weniger Aufmerksamkeit zuteil wurde, vor allem auch das Beschaffungswesen stark verändern. So müssen Unternehmen eine Vielzahl an Risiken entlang ihrer Lieferkette managen, um mit bestehenden oder kommenden Nachhaltigkeitsregularien compliant zu sein.

1.Neue Regularien

Die in den vergangenen Jahren verabschiedeten Richtlinien und Verordnungen waren allesamt vom Grundgedanken der langfristigen Erhaltung von Ressourcen, Umwelt und sozialen Systemen getragen. Die neuen Nachhaltigkeitsregularien haben allerdings nicht nur wirtschaftliche und soziale Auswirkungen, sondern ebenso signifikante Auswirkungen auf den Beschaffungsprozess von Unternehmen. Sie erfordern eine verstärkte Prüfung der Lieferanten, um die Einhaltung von Nachhaltigkeitsstandards sicherzustellen. Dazu müssen Unternehmen beispielsweise umweltfreundlichere Materialien verwenden oder soziale Aspekte wie Arbeitsbedingungen berücksichtigen. Zudem sind Transparenz und Berichterstattung über Beschaffungspraktiken erforderlich. Die Regulierungen bieten darüber hinaus Innovationsanreize, sind aber jedenfalls mit zusätzlichem Aufwand und damit Kosten verbunden. Die Komplexität der neuen Regularien sowie der „Regulierungsschub“ der vergangenen Jahre führen aktuell dazu, dass Unternehmen mit den verschiedenen Auswirkungen überfordert sind und den Überblick verlieren.

Der folgende Beitrag gliedert sich in zwei Teile. Während sich der erste Teil mit einem Auszug der wichtigsten Nachhaltigkeitsregularien auseinandersetzt, wird im zweiten Teil der Aspekt nachhaltiger Beschaffung berücksichtigt und der Frage nachgegangen, welche Möglichkeiten Unternehmen haben, den Beschaffungsprozess nachhaltiger zu gestalten. Besonders hervorzuheben ist die EU-Verordnung über entwaldungsfreie Lieferketten (European Deforestation Regulation, EUDR), da sie das strengste Lieferkettengesetz ist, das bereits in Kraft ist.

2.CSDDD

(Corporate Sustainability Due Diligence Directive)

Die CSDDD hat das Ziel, Menschen- und Umweltrechte innerhalb der EU besser zu schützen, indem sie insbesondere Beschaffungs- und Personalprozesse verstärkt in den Fokus rückt und umfassende umwelt- und menschenrechtsbezogene Sorgfaltspflichten einführt. Der aktuelle Richtlinienentwurf (Stand Dezember 2023) betrifft Unternehmen mit mehr als 500 Mitarbeitenden und einem Umsatz von über 150 Millionen € sowie solche mit mehr als 250 Mitarbeitenden und einem Umsatz von mindestens 20 Millionen € in bestimmten Sektoren wie Textilien, Bekleidung, Landwirtschaft und Bauwesen. Betroffene Nicht-EUUnternehmen werden von der Kommission in einer Liste veröffentlicht. Die CSDDD liegt aktuell nur in einer Entwurfsform vor. Während sich am Anwendungsbereich durchaus noch etwas ändern kann, werden sich die wesentlichen Inhalte vermutlich nicht mehr umfassend ändern, da sich ein Großteil der Anforderungen bereits aus dem OECD-Leitfaden für die Erfüllung der Sorgfaltspflicht für verantwortungsvolles unternehmerischen Handeln ergibt.

Der Richtlinienentwurf sieht einen risikobasierten Ansatz vor. Gemäß Artikel 6 des aktuellen Standes der CSDDD sollen tatsächliche oder potenzielle negative Auswirkungen entlang der gesamten Aktivitätenkette seitens der betroffenen Unternehmen identifiziert und bewertet werden. Eine präzise Abgrenzung erfolgt zudem insbesondere bei den Upstream- und Downstream-Geschäftsbeziehungen innerhalb der Lieferkette. Upstream-Geschäftsverbindungen fallen in den Anwendungsbereich der Risikoanalyse, sofern sie im Zusammenhang mit der Produktion von Waren oder Dienstleistungen stehen. Hierzu zählen beispielsweise für den

Produktionsprozess relevante Lieferanten oder Dienstleister in den Bereichen Entwurf, Beschaffung, Herstellung, Transport, Lagerung und Lieferung von Rohstoffen, Produkten oder Teilen sowie der Entwicklung von Produkten oder Dienstleistungen. Ebenso werden Downstream-Geschäftsbeziehungen erfasst, sofern sie in die Aktivitätenkette des Unternehmens eingebunden sind, insbesondere im Bereich Vertrieb, Transport, Lagerung und Entsorgung.

Ausgenommen sind im aktuellen Entwurf Downstream-Geschäftsbeziehungen im Zusammenhang mit Dual-Use-Produkten und einer Exportkontrolle unterliegenden Waffenverkäufe.

Nach dieser ersten Filterung, ob ein Geschäftspartner oder eine Geschäftstätigkeit tatsächlich von der Risikoanalyse erfasst ist, erfolgt eine detaillierte Identifikation und Bewertung der Aktivitäten hinsichtlich Wahrscheinlichkeit und Schwere der nachteiligen Auswirkungen. Das Ergebnis ist die Basis für eine tiefgehende Risikoanalyse, die bei Lieferanten bis zu Tier-N erforderlich sein kann. Allerdings ist darauf hinzuweisen, dass auch dieser Punkt (Analyse bis Tier-N) aktuell in Diskussion steht.

Basierend auf den Ergebnissen der Risikoanalyse werden Maßnahmen und Handlungsempfehlungen zur Vermeidung oder Abschwächung der potenziellen nachteiligen Auswirkungen getroffen. Darüber hinaus braucht es Prozesse, um tatsächliche negative Auswirkungen zu beenden oder zu minimieren. Die implementierten Abläufe, die Risikoanalyse sowie abgeleitete Maßnahmen müssen unternehmensseitig überwacht und regelmäßig auf ihre Aktualität und Wirksamkeit überprüft werden.

Die CSDDD gibt im Wesentlichen den Rahmen für den Due-Diligence-Prozess vor, wie er auch von der Taxonomie-Verordnung und der CSRD verlangt wird. Obwohl sich die Richtlinie erst im Entwurfsstadium befindet, ist es ratsam, sich bereits jetzt mit den Sorgfaltspflichten der CSDDD vertraut zu machen und diese mit anderen geltenden oder bevorstehenden EU-Regularien abzustimmen. Insbesondere Beschaffungsprozesse sollten überprüft und entsprechend angepasst werden.

3.CSRD (Corporate Sustainability Reporting Directive)

Die CSRD ist eine EU-Richtlinie, die die Anforderungen an die Nachhaltigkeitsberichterstattung für Unternehmen in der EU erheblich erweitert. Die Richtlinie trat am 5.1.2023 in Kraft und muss von den Mitgliedstaaten innerhalb von 18Monaten in nationales Recht umgesetzt werden.

Die Berichtspflichten der CSRD werden schrittweise eingeführt, beginnend mit großen Unternehmen von öffentlichem Interesse ab dem 1.1.2024. Die CSRD wird operativ durch die European Sustainability Reporting Stan-

dards (ESRS) umgesetzt. Diese Standards sollen Unternehmen helfen, die wesentlichen Umweltauswirkungen und -risiken zu identifizieren und darüber zu berichten, basierend auf einer Wesentlichkeitsanalyse ihrer Geschäftstätigkeit. Die CSRD setzt voraus, dass Unternehmen bereits einen Due-Diligence-Prozess implementiert haben, welcher unter anderem die Wesentlichkeitsanalyse informiert, und in zahlreichen Angabepflichten beschrieben werden muss.

In den ESRS sind auch Anforderungen, die sich auf die Lieferkette beziehen, enthalten. So sieht beispielsweise der S2 Angabepflichten im Zusammenhang mit wesentlichen Auswirkungen auf Arbeitskräfte innerhalb der Wertschöpfungskette („Workers in the Value Chain“) sowie Auswirkungen, die infolge von Produkten, Dienstleistungen und Geschäftsbeziehungen entstehen, vor. Die Etablierung eines entsprechenden Due-Diligence-Prozesses, welcher diese Anforderungen einerseits identifiziert und andererseits auch deren Einhaltung sichert, ist somit unerlässlich.

Auch der Standard G1 sieht in seinem Unterpunkt G1-2 („Management of relationships with suppliers“) die Berichterstattung über die Beziehung zu Lieferanten und insbesondere die Auswirkungen auf die unternehmenseigene Lieferkette vor. Selbstverständlich sind sowohl der Standard S2 als auch der Standard G1 nur anzuwenden, wenn diese im Zuge der Wesentlichkeitsanalyse als „wesentlich“ identifiziert werden.

4.EU-Taxonomie-Verordnung

Die EU-Taxonomie-Verordnung, beschlossen im Jahr 2021, soll durch die Einführung eines einheitlichen Klassifizierungssystems Investoren und Unternehmen in die Lage versetzen, ökologisch verantwortliche Investitionen klar zu identifizieren und zu fördern.

Durch die Verordnung erfolgt auch eine Bekämpfung von Greenwashing, indem klare Kriterien festgelegt werden, um zu bestimmen, welche wirtschaftlichen Aktivitäten als umweltfreundlich gelten. Die Taxonomie umfasst sechs wesentliche Umweltziele: Klimaschutz, Anpassung an den Klimawandel, nachhaltige Nutzung von Wasserressourcen, Übergang zu einer Kreislaufwirtschaft, Vermeidung von Umweltverschmutzung sowie Schutz der biologischen Vielfalt und der Ökosysteme. Durch die Schaffung dieses rechtlichen Rahmens wird nicht nur Transparenz gefördert, sondern auch ein Anreiz für Unternehmen geschaffen, nachhaltige Geschäftspraktiken zu verfolgen. Zugleich bietet sie den Finanzmärkten die Möglichkeit, Kapital gezielt in Projekte zu investieren, die den Übergang zu einer kohlenstoffarmen und ressourceneffizienten Wirtschaft vorantreiben.

Zudem legt die EU-Taxonomie-Verordnung fest, welche Wirtschaftsaktivitäten als nachhal-

tig eingestuft werden können. Dies ist der Fall, sobald die Aktivität einen wesentlichen Beitrag zur Erreichung von mindestens einem Umweltziel leistet, ohne dabei andere Umweltziele zu beeinträchtigen und unter Einhaltung des sozialen Mindestschutzes erreicht wurde.

Der soziale Mindestschutz, geregelt in Art18, stellt einen anderen zentralen Bestandteil der Verordnung dar. Er legt, wie bereits erwähnt, fest, dass Wirtschaftsaktivitäten nur unter seiner Einhaltung als nachhaltig qualifiziert werden können. Der Mindestschutz fordert dabei eine Übereinstimmung mit:

▶ OECD-Leitsätzen,

▶ UN-Leitprinzipien für Wirtschaft und Menschenrechte,

▶ ILO-Kernarbeitsnormen und

▶ Internationale Charta der Menschenrechte.

Es gibt vier Kernbereiche, in denen der Mindestschutz eingehalten werden soll:

▶ Menschenrechte (inkl Arbeitsrechte),

▶ Korruptionsbekämpfung,

▶ Besteuerung und

▶ fairer Wettbewerb.

Die Einhaltung der ersten beiden Punkte muss durch einen entsprechenden Due-DiligenceProzess auch für die Lieferkette sichergestellt werden. Sprich: Ein Unternehmen, das keinen Due-Diligence-Prozess nach OECD zur Achtung der Menschenrechte und Korruptionsbekämpfung für seine Lieferkette implementiert hat, kann keine taxonomiekonformen Aktivitäten ausweisen.

5.EUDR (European Deforestation Regualtion)

Die EU-Verordnung über entwaldungsfreie Lieferketten (European Deforestation Regulation, EUDR) soll die Folgen der weltweit fortschreitenden Abholzung eindämmen und ist die strengste aktuell bestehende Lieferkettenregulatorik. Sie ist bereits im Juli2023 in Kraft getreten und gilt als Verordnung unmittelbar. Ihre Wirkung entfaltet sie ab dem 30.12.2024. Sie löst die bereits seit 2013 bestehende EU-Holzhandelsverordnung (EU-Timber Regulation, EUTR) ab und erweitert diese. Wichtig zu verstehen ist, dass sich die Entwaldungs-Verordnung nicht nur auf Holz beschränkt, sondern zusätzlich für folgende Rohstoffe sowie daraus hergestellte Erzeugnisse gilt: Rinder, Kakao, Kaffee, Ölpalme, Kautschuk und Soja. Eine Liste der relevanten Rohstoffe und Erzeugnisse befindet sich in Anhang1 der Richtlinie. Auszugsweise sind darin genannt: Fleisch von Rindern, Schokolade, Kaffee geröstet oder entkoffeiniert, Luftreifen aus Kautschuk, Mehl von Sojabohnen oder auch Holzwaren zur Verwendung bei Tisch oder in der Küche.

Die Verordnung legt strenge Sorgfaltspflichten für Unternehmen fest, die bestimmte

Rohstoffe und Produkte auf dem Unionsmarkt erstmalig bereitstellen, kaufen und verkaufen oder exportieren. Hierbei wird in „Marktteilnehmer“ und „Händler“ getrennt. Hintergrund sind die alarmierenden Ausmaße der Entwaldung und deren Beitrag zu den Treibhausgasemissionen. Die Verordnung zielt darauf ab, die Ausdehnung landwirtschaftlicher Flächen einzuschränken und eine Reihe von Rohstoffen entwaldungsfrei zu produzieren. Allerdings beschränkt sie sich nicht nur auf den Schutz vor Waldschädigung, sondern es werden auch arbeits- und menschenrechtliche Aspekte geschützt und sie verpflichtet zur Einhaltung der einschlägigen Gesetzgebung des Herkunftslandes.

Folgende Bedingungen in Bezug auf deren Herkunft erfüllt, sind:

▶ Entwaldungsfreiheit seit 2020: Relevante Produkte werden entwaldungsfrei hergestellt, dh nicht auf entwaldeten Flächen bzw ohne die Entstehung von Waldschädigung.

▶ Einhaltung der Rechtsvorschriften des Ursprungslandes: Die relevanten Produkte werden legal erzeugt und die Rechtsvorschriften des Erzeugerlandes werden eingehalten.

▶ Vorliegen einer Sorgfaltserklärung: Für die relevanten Produkte wird eine Sorgfaltserklärung abgegeben, welche die Einhaltung der gebotenen Sorgfalt und das Vorliegen keines oder lediglich eines vernachlässigbaren Risikos bestätigt. Zudem wird die Erklärung ins Informationssystem der Kommission hochgeladen.

Sie betrifft dabei alle Marktteilnehmer und Händler in der Lieferkette, unabhängig von ihrer Größe. Kleinst- und Kleinunternehmer haben jedoch eine längere Umsetzungsfrist bis 30.6.2025. Unternehmen müssen hierbei eine Reihe von Schritten zur Erfüllung der Verordnungspflichten durchlaufen, darunter Informationsanforderungen, Risikobewertungen und Risikominderungsmaßnahmen.

Im Gegensatz zum deutschen Lieferkettengesetz und der CSDDD, die bei der Anwendung angemessener Sorgfalt in der Lieferkette im Wesentlichen ein ernsthaftes Bemühen fordern, verlangt die EUDR eine strikte Konformitätsgarantie. Die Gewährleistung einer 100%igen Konformität geht damit weit über die Anforderungen der CSDDD hinaus.

6.Battery Regulation

Die EU hat mit der „Batterieverordnung“ erstmalig auch ein Regelwerk verabschiedet, welches den gesamten Lebenszyklus von Batterien regelt und das in ersten Teilen bereits seit dem 18.2.2024 in Kraft ist. Die Verordnung zielt darauf ab, Batterien langlebiger zu machen, den Anteil schädlicher Substanzen zu reduzieren und die Nachhaltigkeit und Verwertbarkeit

zu verbessern. Sie betrifft eine breite Palette von Batterietypen, von herkömmlichen Gerätebatterien bis hin zu Elektrofahrzeugbatterien und Industriebatterien, wobei militärische und Weltraumbatterien ausgenommen sind. Hersteller müssen hier strenge Nachhaltigkeitsanforderungen erfüllen und Batterien entsprechend kennzeichnen. Ab dem 18.8.2028 müssen sie auch den Recyclinganteil bestimmter Materialien in Batterien dokumentieren. Die Verordnung legt Mindestanteile an recyceltem Material für Industriebatterien und Elektrofahrzeugbatterien fest und fördert die Verwendung gebrauchter Batterien für alternative Zwecke.

Zudem enthält die Verordnung einen digitalen „Batteriepass“, der, anwendbar ab Februar 2027, genaue Informationen über die Batterie enthalten muss. Des Weiteren müssen Hersteller Angaben zum CO2-Fußabdruck machen und Sorgfaltspflichten in der Lieferkette beachten. Diese sind in Kapitel VII der Verordnung beschrieben und weisen Parallelen zum deutschen Lieferkettensorgfaltspflichtengesetz sowie der CSDDD auf.

7.CBAM (Carbon Border Adjustment Mechanism)

Der Carbon Border Adjustment Mechanism (kurz: CBAM; deutsch: CO2-Grenzausgleichsmechanismus) soll verhindern, dass eine Verlagerung von Treibhausgasemissionen in Länder ohne oder mit geringeren Ambitionen zur Bekämpfung von CO2-Emissionen erfolgt. Die EU sieht das Risiko, dass Unternehmen entweder Waren aus dem EU-Ausland mit niedrigeren Anforderungen an die Emissionsreduktion importieren oder die Produktion in diese Länder verlagern. Seit Oktober2023 gilt für Importeure bestimmter CO2-intensiver Produkte wie Eisen, Stahl, Aluminium, Zement, Strom, Düngemittel und Wasserstoff eine Meldepflicht. Der aktuelle Anwendungsbereich des CBAM ist nur vorläufig. Die EU-Kommission plant den Anwendungsbereich bis 2034 stufenweise auf alle Industriegüter auszudehnen. Unternehmer müssen somit bestimmen, ob sie Waren importieren, deren Zolltarifnummer (KN-Nummer) in der CBAM-Verordnung angeführt ist und in Folge deren Emissionen entlang der Lieferkette.

Ab Januar 2026 dürfen nur noch registrierte Anmelder CBAM-Waren einführen. Der Handel mit Emissionszertifikaten beginnt dann, wobei zu beachten ist, dass Importeure genügend Zertifikate für ihre importierten grauen Emissionen erwerben müssen. Eine jährliche CBAMErklärung vergleicht die importierten Emissionen mit den erworbenen Zertifikaten.

Die Zollbehörden der EU-Mitgliedstaaten sind verpflichtet, die Einfuhr von CBAM-Waren durch nicht registrierte Anmelder zu verweigern.

8.Implikationen auf das Beschaffungswesen

Doch welche gemeinsamen Merkmale lassen sich in der gesamten Regulatorik identifizieren? Neben Implikationen auf andere Abläufe in der Organisation hat sie vor allem eine Auswirkung auf den Beschaffungsprozess und diese ist nicht zu unterschätzen. Einerseits zielt sie darauf ab, Unternehmen zu einem verantwortungsbewussteren Umgang mit Umwelt- und Sozialfragen in ihren Beschaffungs- und Betriebspraktiken zu verpflichten, andererseits aber bieten sie Unternehmen auch die Möglichkeit, neue Standards zu etablieren.

Im Wesentlichen verlangen fast alle Regularien die Erfüllung gewisser Sorgfaltspflichten und damit einen Due-Diligence-Prozess. Dies ergibt sich zum Teil bereits aus den unverbindlichen OECD-Leitsätzen, die die Basis für eine Vielzahl von Regulatorien darstellen. Die folgende Grafik skizziert den Due-Diligence-Prozess nach dem OECD-Leitfaden für die Erfüllung der Sorgfaltspflicht für verantwortungsvolles unternehmerisches Handeln:

Abb1: Due-Diligence-Prozess nach OECD.

Im Rahmen des bestehenden Compliance-Management-Systems sollte in einem ersten Schritt die Anwendbarkeit der jeweiligen Regulatorik überprüft werden. In Folge wird das Ausmaß bestimmt, welche Pflichten genau erfüllt werden müssen, und mit der Beschaffungsabteilung und zuständigen Personen ein Umsetzungsplan entwickelt. Dies wird in Richtlinien verankert. Ein Risikomanagementprozess entlang der gesamten Lieferkette muss implementiert werden, um die negativen Auswirkungen zu bestimmen. Eventuell sind diesbezügliche Mechanismen bereits im Unternehmen vorhanden. Bevor somit mit der Implementierung ein komplett neuer Prozesse begonnen wird, sollte jedenfalls eine Bestandsaufnahme bereits bestehender Abläufe erfolgen, um den Aufwand bestmöglich zu reduzieren.

Die Ausgangsbasis für eine Risikoanalyse ist je nach Regulatorik die Beschaffung bestimmter Informationen. Für die EUDR werden Namen und die Produktzusammensetzung, aber auch

die Geolokalisierungsdaten aller Grundstücke, von denen relevante Rohstoffe des Erzeugnisses stammen, benötigt. Die Produktzusammensetzung wird auch für CBAM benötigt, um identifizieren zu können, ob Waren mit relevanten KN(Kombinierte Nomenklatur) Nummern importiert werden. Auch die Batterieverordnung erfordert eine Informationsbeschaffung, die von den Rohstoffen und Zulieferern bis hin zur Gewinnung, Ursprungsland und die Mengen des Rohstoffs in der in Verkehr gebrachten Batterie reicht. Eine Auseinandersetzung mit den in den Systemen vorhandenen Produkt- und Lieferantenstammdaten ist somit unerlässlich.

Im Rahmen der Risikoanalyse werden im Anschluss relevante Risiken identifiziert, um sie zu steuern. Auf Basis dieser Ergebnisse müssen Präventions- oder Abhilfemaßnahmen geschaffen werden. Als eine erste Maßnahme empfiehlt sich jedenfalls ein Lieferantenverhaltenskodex, der den Lieferanten zur Einhaltung von Umwelt- und Menschenrechten verpflichtet. Darüber hinaus sollten Vertragsregelungen in Einkaufsverträgen geprüft und gegebenenfalls angepasst werden. Alternative Bezugsmöglichkeiten sollten evaluiert werden, falls ein Lieferant die Anforderungen nicht erfüllen kann. Die CSDDD sieht beispielsweise auch eine Entwicklung und Unterstützung des Lieferanten vor, damit dieser die Anforderungen erfüllen kann.

Die ergriffenen Maßnahmen müssen regelmäßig auf ihre Wirksamkeit überprüft werden. Darüber hinaus gibt es Dokumentations- und Berichtspflichten. Sämtliche dieser komplexen Verpflichtungen werden ohne passende ITToolunterstützung wohl nur schwer umsetzbar sein. Daher empfiehlt sich auch eine zeitnahe Evaluierung der Anschaffung eines entsprechenden Tools.

9.Warum sollte die Umsetzung der Sorgfaltspflichten zeitnah beginnen?

Die Nicht-Einhaltung der Vorgaben sieht je nach spezifischer Regulatorik empfindliche Strafen vor. Die EUDR beispielsweise sieht klare Sanktionen für Verstöße vor, darunter Gewinnabschöpfung und Bußgelder von mindestens 4% des Jahresumsatzes. Ohne Due-Diligence-Prozess für die Lieferkette wird etwa niemals Taxonomiekonformität in Hinblick auf die Erfüllung des Mindestschutzes erreicht werden. Die Höchstgrenze der Geldbußen soll nach aktuellem Entwurf der CSDDD nicht weniger als 5% des weltweiten Nettoumsatzes des Unternehmens in dem der Entscheidung über die Verhängung der Geldbuße vorausgehenden Geschäftsjahr betragen.

Daher sollte die Motivation, sich rechtzeitig mit den Anforderungen der Regulierung auseinanderzusetzen, nicht nur durch das drohende Reputationsrisiko beeinflusst werden, sondern vor allem auch durch die möglichen hohen Strafen.

Auf den Punkt gebracht

Die neuen EU-Richtlinien und Verordnungen, die unter anderem auf die Förderung nachhaltiger Beschaffungspraktiken abzielen, stellen Unternehmen vor eine Reihe von Chancen und Herausforderungen. Durch die Implementierung von Vorschriften wie der Corporate Sustainability Due Diligence Directive (CSDDD), der Corporate Sustainability Reporting Directive (CSRD), der EU-Taxonomie-Verordnung, der European Deforestation Regulation (EUDR) und dem Carbon Border Adjustment Mechanism (CBAM) werden Unternehmen dazu angehalten, ihre Beschaffungs- und Betriebspraktiken in Bezug auf Umwelt- und Sozialverträglichkeit zu überdenken.

Die Chancen liegen in der Stärkung der Unternehmensreputation, der Steigerung der Transparenz, dem Aufbau von Vertrauen bei den Verbrauchern und der Ausrichtung auf langfristige ökologische und soziale Vorteile. Jene Unternehmen, die diese Vorschriften erfüllen und sich aktiv für nachhaltige Praktiken einsetzen, erlangen mit Sicherheit Wettbewerbsvorteile und können so ihre Position am Markt stärken.

Demgegenüber stehen jedoch auch Risiken und Herausforderungen. Unternehmen müssen Investitionen (zB in IT-Software) tätigen, um die bestehenden und kommenden Anforderungen der Regularien zu erfüllen. Die Nichterfüllung kann zu rechtlichen Sanktionen, vor allem aber auch zu einem Reputationsverlust führen. Die Integration von Nachhaltigkeitsaspekten in den Beschaffungsprozess erfordert außerdem die Bereitstellung von zusätzlichen Kompetenzen und Ressourcen, was viele Unternehmen auch vor große personelle Herausforderungen stellt und stellen wird.

Insgesamt zeigen die EU-Richtlinien und Verordnungen die klare Absicht, Unternehmen zu einem verantwortungsbewussteren Umgang mit Umwelt- und Sozialfragen zu verpflichten. Eine proaktive Herangehensweise, die auf Transparenz, Compliance und langfristiger Nachhaltigkeit basiert, kann Unternehmen dabei unterstützen, sich an die sich verändernde regulatorische Landschaft anzupassen und langfristigen Erfolg zu sichern. Letztendlich liegt es im Interesse der Unternehmen, ihre Beschaffungsprozesse im Einklang mit den Anforderungen der nachhaltigen Entwicklung zu gestalten, um sowohl ökologische als auch wirtschaftliche Vorteile zu erzielen.

Meldewege und Compliance: Beschäftigte im Fokus

Stellen Sie sich vor, Mitarbeiter melden Probleme, aber keiner hört hin … Compliance

Domenic Dirnbacher

Mag. Domenic Dirnbacher ist seit 2021 Personalist mit dem Schwerpunkt öffentliches Dienstrecht in Niederösterreich. Davor war er Personalist in der Zentralleitung des BMF in Wien. Er trägt an Gesundheits- und Krankenpflegeschulen Berufsrecht vor.

Mitarbeiter in Unternehmen nehmen Missstände als erstes wahr, aber an wen kann man sich sinnvoll vertrauensvoll wenden? Risiken sollen durch Tools und Modelle (zB WhistleblowingHotline, Risikokontrollmatrix) identifiziert und risikominimiert behandelt werden. Oft werden Meldepflichten normiert, Prozesse angelegt – aber werden diese wirklich gelebt?

Ein Plädoyer, Mitarbeiter als aktive Compliance-Partner zu sehen, auszubilden und in einer offenen Kultur aufzunehmen: Eine Forderung weg vom starren Meldeweg hin zu einer offenen Kommunikationskultur.

1.Wer muss aktiv werden?

Man stelle sich vor, Mitarbeiter melden Probleme, und keiner hört richtig hin – dann melden sich Probleme rasch von selbst und das ziemlich lautstark. Mitarbeiter sind nahe am Geschehen und müssen vor Ort entscheiden, was es wert ist, zu melden. Andererseits müssen Empfänger die übermittelte Information rasch bewerten und einschätzen, wenn sie Informationen zugespielt bekommen. Ein Plädoyer dafür, Mitarbeiter als Compliance-Manger zu sehen. In der Praxis können ja mehrere Verhaltensmuster beobachtet werden: Einerseits findet man oft die, die bloß nicht mit Problemen auffallen oder diese schon gar nicht weitergeben wollen. Andererseits die, die jedes Problem nach oben melden, nach dem Motto: „Melden macht frei.“ Aber warum sollte man Vorfälle aus Überzeugung melden, wenn keiner da ist, der hinhört oder erst irgendwann entscheidet? In bekannten Fällen, wie zB im Wirecard-Fall1, lagen Hinweise vor, nur wurden diese nicht konsequent beachtet. Da fragt man sich doch als Mitarbeiter, wozu man auf Missstände hinweisen soll. Das wirft ein entsprechendes Licht auf die Unternehmenskultur. Unternehmen sind gut beraten, auch auf dieses Mosaiksteinchen im Index der Arbeitnehmerzufriedenheit und das Arbeitsklima zu achten.

Welches Verhalten gewünscht ist, muss jede Organisation für sich selbst entscheiden, doch was ist gewünscht (Zieldefinition) und lässt sich auch in vertretbarer Zeit umsetzen (Prozess zur Erreichung des Ziels)? Gerade festsitzende Unternehmenskulturen lassen sich nur schwer verändern. Problematisch ist dabei nicht die Einführung von Compliance-Richtlinien, die Einstellung von Compliance-Managern oder das Einrichten von Postfächern zur anonymen Meldung von Problemen und Missständen. Wesentliche Hebelpunkte sind einerseits die Einstellung der Belegschaft im Umgang mit Melde-

1 Doralt, Wirecard & Commerzialbank – was jetzt? ZFR 2020, 437.

pflichten und -möglichkeiten und andererseits die Kultur der Gesamtorganisation im Umgang damit. Das erfordert ein Aufeinander zugehen beider Gruppen, was eine umfassende aber feinfühlige Vorgehensweise erfordert: Mitarbeiter sollen früher Auffälligkeiten melden, wodurch Unternehmen früh agieren können und nicht reagieren müssen.

2.Was hat das mit Compliance zu tun?

Man kann Compliance als Einhaltung vorgegebener Regel betrachten: Je nach Fokus auf normativer Ebene wie zB der Verantwortlichkeit bei Verwaltungsübertretungen gem §9 VStG. Viele Unternehmen denken das Thema weiter und beziehen auch eigene Verhaltensregeln ein (Codes of Ethics oder Codes of Conduct).2

Im Dreieck Technik-Prozess-Mensch werden zu oft moderne Tools implementiert, ohne die internen Prozesse zu erarbeiten und Menschen dazu einzubinden. Dabei geht es wesentlich um Kommunikation und Austausch – also um das Einbinden von Menschen. Noch schlimmer: Oft wird Mitarbeitern das Thema an sich schon nicht verkauft, eine umfassende Beschäftigung oder gar Identifikation mit dem Thema fällt so besonders schwer. Eine Grundannahme aus dem Projektmanagement lautet: Erfolg = Qualität*Akzeptanz.3 Das heißt, je höher die Akzeptanz, desto höher ist auch der Erfolg (besonders bei Compliance-Themen)! Meldungen können sogar erwünscht sein: Seit 2009 läuft im medizinischen Bereich das Fehlerberichts- und Lernsystem CIRS der Ärztekammer.4 Dort werden Ursachen für Unfälle

2 Schima, Arbeitsrechtliche Grenzen der Compliance, DRdA2014, 197.

3 Sterrer, Let your projects fly: Projektmanagement –Methoden – Prozesse – Hilfsmittel3 (2008) 20.

4 Ärztekammer, 10 Jahre Critical Incident Reporting System CIRSmedical.at (Stand 23.10.2019) abrufbar unter aerztekammer.at/presseinformation/-/asset_publisher/ presseinformation/content/pk-mehr-patientensicher heit-durch-offenere-fehlerkultur/261766 (Zugriff zuletzt am 8. 1. 2024).

und Beinahe-Unfälle erhoben, um Prozesse und Abläufe zu optimieren. Das hilft zuerst der Gesamtorganisation. Positive Anreize könnten dann auch mittelbar für Mitarbeiter implementiert werden und Nutzen bringen.

3.Wo sind Meldewege festgehalten?

3.1.Arbeits- und öffentliches Dienstrecht

Aus der allgemeinen Treuepflicht der Vertragsparteien ergibt sich bereits die Meldepflicht zB bei Dienstverhinderungen. Grundsätzlich besteht sonst keine Pflicht, Umstände zu melden, die im überwiegenden Interesse des Arbeitgebers liegen: „KollegInnen brauchen nicht Betriebspolizei spielen“ 5 Hier kommt es auf die Tätigkeit/den Einsatzbereich an und auf die Art und Schwere des Verstoßes. Meldeverpflichtungen können aber zB im Rahmen von Kontrollbefugnissen auch Vertragsinhalt sein.

Meldepflichtig sind jedenfalls Umstände, bei denen es um Leib und Leben geht. Unter dieser Ebene korrespondiert zur Treuepflicht die Vertrauenswürdigkeit. Wenn Ereignisse, die Arbeitgeber und Mitarbeiter unmittelbar betreffen, nicht gemeldet werden, kann das Vertrauen erschüttert werden: Wer zB Diebstähle durch Arbeitskollegen nicht meldet, kann die eigene Vertrauenswürdigkeit stören.6 Man könnte aber auch meldenden Mitarbeitern die Möglichkeit einräumen, selbst für ein Abstellen des gefährlichen7 Verhaltens zu sorgen.8 Bei Erfolglosigkeit wird die Meldepflicht bejaht – sitzt der Meldepflichtige nun zwischen den Sesseln? Er kann Verstöße nicht abstellen, wenn sie nicht Leib und Leben betreffen, sondern die Sphäre des Arbeitgebers. Eine solche Pflichtverletzung könnte negative Folgen bis zur Entlassung zeitigen. Wenn gemeldet wird, wird dieses Verhalten befürwortet und belohnt, oder der Melder zum Störenfried und Täter umgewandelt?

Meldeverpflichtungen sind auch in diversen dienstrechtlichen Vorschriften niedergeschrieben. So zieht zB §53 BDG9 vor, dass Beamte Umstände zu melden haben, die in Ausübung des Dienstes den begründeten Verdacht einer von Amts wegen zu verfolgenden gerichtlich strafbaren Handlung, seiner Dienststelle betreffend, bekannt werden. Gemäß §54 BDG müssen Beamte Anbringen, die sich auf das Dienstverhältnis oder dienstliche Aufgaben beziehen, beim unmittelbaren Dienstvorgesetzten, melden. §17 ADV10 des Bundesministeriums für Landesverteidigung schreibt prägnant die Ein-

5 Grillberger, Kommentar zu OGH 25.9.1984, 4 Ob 83/ 83, ZAS 1956, 50.

6 Naderhirn, Whistleblowing im Arbeitsrecht – Ausgewählte Aspekte, DRdA 2014, 14.

7 In der Literatur werden zB Fälle von betrunken Fahren, Diebstahl durch Kollegen uam erwähnt.

8 Grillberger, OGH 25.9.1984, 4 Ob 83/83, ZAS 1986, 52.

9 Beamten-Dienstrechtsgesetz 1979 (BDG 1979), BGBl 1979/333 idF BGBl 2022/137.

10 Allgemeine Dienstvorschrift für das Bundesheer (ADV), BGBl 1979/43 idF BGBl 2019/422.

haltung des Dienstweges vor. Wer Meldepflichten verletzt, hat wegen Dienstpflichtverletzungen11 mit dienstrechtlichen Maßnahmen zu rechnen – von förmlichen Ermahnungen über Strafen durch die Disziplinarbehörde bis zur Entlassung.

3.2.Whistleblowing

Zuletzt in aller Munde war die etwas zögerliche Umsetzung der EU-Whistleblowing-Richtlinie12 durch das Hinweisgeberschutzgesetz.13 Sowohl Richtlinie als auch die nationale Umsetzung sehen folgende Punkte vor, zu denen sich Hinweisgeber melden sollen: Öffentliches Auftragswesen, Finanzdienstleistungen sowie Verhinderung von Geldwäsche und Terrorismusfinanzierung, Produkt- und Verkehrssicherheit, Umwelt- und Strahlenschutz, Lebensmittelsicherheit und Tierschutz, öffentliche Gesundheit, Verbraucher- und Datenschutz, Verhinderung und Ahndung von Straftaten.

Die Erwägungsgründe der Richtlinie beschreiben den Kern dieses Plädoyers ganz gut: Beschäftigte sind oft als erstes über Verstöße gegen geltendes Recht informiert, schrecken aber vor Meldungen zurück. Obwohl häufig Nachteile für das Gemeinwohl drohen, werden aus Angst vor negativen Folgen Meldungen nicht erstattet. Whistleblowing nur auf die im Gesetz festgelegten Punkte zu reduzieren, wäre jedoch gefährlich.14 Gerade bei der Umsetzung dieser Vorgaben könnte man das interne Meldewesen auf Herz und Nieren prüfen. Damit kommt man nicht nur auf den neuesten Stand, sondern scheidet eventuell veraltete Prozesse aus.15

3.3.Datenschutz

Auch im Datenschutzrecht sind Meldepflichten festgehalten. Wie Dienstgeber nun effiziente und starke Meldewege einrichten, bleibt diese Entscheidung jedoch schuldig. Es wird in den Leitlinien der EU nur davon gesprochen, dass man „angemessene technische und organisatorische Maßnahmen implizieren muss, um die Einhaltung der DSGVO sicherzustellen“.

3.4.Warum Warten keine gute Idee ist Es darf aber nicht vergessen werden, dass oftmals rasches Handeln gefordert ist. Zur Abwägung, ob bzw wann man Mitarbeitern zuhört, gesellt sich nun auch die Frage, wie rasch man darauf reagieren soll. Sicherlich braucht man

11 VwGH 26.11.1992, 92/09/0169.

12 Richtlinie 23.10.2019 zum Schutz von Personen, die Verstöße gegen das Unionsrecht melden, Richtlinie (EU) 2019/1937, L305/17.

13 Bundesgesetz über das Verfahren und den Schutz bei Hinweisen auf Rechtsverletzungen in bestimmten Rechtsbereichen (HinweisgeberInnenschutzgesetz –HSchG), BGBl I 2023/6.

14 Goricnik, Externes Whistleblowing durch einen Arbeitnehmer, DRdA 2016, 133.

15 Kovács, Whistleblowing – Anwendungsbereich und die betriebsverfassungsrechtliche Grundlage für den internen Meldekanal, DRdA 2022, 463.

Zeit, um Informationen zu bewerten. Dennoch sollte man nicht zu lange warten: Warum sollte man Informationen weitergeben, wenn damit nichts passiert? Ein guter Grund, rasch zu reagieren, kann anhand des Gleichbehandlungsrechts16 dargelegt werden:

Sexuelle Belästigung iSd §6 Abs2 GlBG liegt vor, wenn ein der sexuellen Sphäre zugehöriges Verhalten gesetzt wird, das die Würde einer Person beeinträchtigt oder dies bezweckt, für die betroffene Person unerwünscht, unangebracht oder anstößig ist und eine einschüchternde, feindselige oder demütigende Arbeitsumwelt für die betroffene Person schafft oder dies bezweckt oder berufliche Nachteile nach sich zieht. Belästigende Personen können der Arbeitgeber, Kollegen, aber auch Dritte in- und außerhalb des Arbeitsverhältnisses (zB externes Personal) sein. Festgehalten wurde, dass sexuelle Belästigung inakzeptabel ist: Nicht nur, weil die Intimsphäre und die sexuelle Integrität verletzt wurden, sondern auch, weil das Betriebsklima leidet.17 Der OGH fordert daher eine angemessene Reaktion des Arbeitgebers.18 Wenn Mitarbeiter in einer solch belastenden Phase Vorfälle melden, muss man dem Nachgehen und zwar zügig: Bei inakzeptablen Verhaltensweisen sollte man rasch an eine fristlose Beendigung denken. Für Arbeitgeber geht es nämlich nicht nur um den guten Ruf, sondern auch um das Geld. Für die erlittene Beeinträchtigung ist gem §12 Abs11 GlBG ein Schadenersatz von mindestens (!) 1.000Euro vorgesehen, wenn es gem §6 Abs1 Z2 GlBG unterlassen wird, angemessene Abhilfe zu schaffen. Arbeitgeber sind nämlich Normadressaten für Schadenersatz. Ihnen werden Mitarbeiter und Dritte zugerechnet.19

3.5.Kultur beachten und verändern

Wie oben erwähnt, sollte man folgende Formel im Gedächtnis behalten: Erfolg = Qualität*Akzeptanz.20 Compliance-Regeln werden aber häufig aufgrund negativ besetzter Ereignisse eingeführt: Der Sarbanes-Oxley-Act wurde nach dem großen Enron-Bilanzskandal eingeführt,21 Whistleblowing-Systeme werden als „Verpfeif“Hotlines22 abgekanzelt. Meldeverpflichtungen werden tendenziell eher als Bestrafung gesehen und nicht mit Belohnung verknüpft.

Meldesysteme als Essenz von ComplianceSystemen müssen wahr- und ernstgenommen werden. Dabei ist das positive Besetzen solcher Systeme wichtig, um Akzeptanz zu schaffen. Die Compliance-Kultur als Teil der Organisationskultur ist die Grundlage für die Angemessenheit

16 Hier insb Bundesgesetz über die Gleichbehandlung (GlBG), BGBl I 2004/66 idF BGBl I 2023/115.

17 OGH 3.8.2005, 9 ObA 112/05v.

18 OGH 29.9.2010, 9 ObA 13/10t.

19 Grundlegend dazu LG St. Pölten 7.1.1998, 29 R 453/97b.

20 Sterrer, Let your projects fly (2008) 20.

21 Lessambo, The International Corporate Governance System (2014) 166.

22 Spring, „Whistleblowing-Hotlines“, ecolex 2009, 363.

und Wirksamkeit des Systems und beeinflusst den Wert, den Mitarbeiter der Beachtung der Regeln beimessen.23

Wie die Forschung zeigt, ist eine positiv besetzte Herangehensweise zielführender. Bereits seit Ende der 50er Jahre wird daran geforscht, was Menschen motiviert bzw wie sie motiviert werden können: Bekannt ist die abstrakte aber anschauliche „Herzbergsche Motivatoren“-Lehre, die Motivationshintergründe in die Gruppen der Motivatoren und der Hygienefaktoren teilt. Hygienefaktoren verhindern Unzufriedenheit, sind aber nicht stark genug, um zu motivieren.24 Dabei ist zu beachten, dass diese sich durch die jeweilige Gruppe individuell zusammensetzen und sich auch verschieben können.25 Lohn hat zB in wirtschaftlich turbulenten Zeiten ein höheres Gewicht. Als Hygienefaktor wird sehr oft die Qualität der Beziehung zur Führungskraft, zu Kollegen und zu Mitarbeitern genannt – also soziale Umstände. Als Motivatoren werden vor allem Themen wie Leistungserleben, Anerkennung, Verantwortung genannt. Auch das Arbeitsumfeld muss frei von Hindernissen sein.26 Faktoren des Arbeitsumfelds lassen sich mit „Push“- und „Pull“-Faktoren beschreiben. „Push“-Faktoren beschreiben Umstände bei Mitarbeitern, die aus dem aktuellen Job drängen. „Pull“-Faktoren ziehen Mitarbeiter quasi an zB wegen attraktiver höherer Bezahlung. „Push“-Faktoren weisen ein häufigeres Auftreten auf als sog „Pull“-Faktoren.27 Wer sich stärker um seine Mitarbeiter kümmert und diese einbindet, verstärkt „Pull“-Faktoren und vermindert damit Personalfluktuation. Untersuchungen zeigen sogar, dass günstige Arbeitsbedingungen (insb Anerkennung neben geringer körperlicher Belastung) auch zu einem längerem Verbleib im Erwerbsleben führen können.28

Die Fokussierung auf Beschäftigte und deren Bedürfnisse hat noch weitere Effekte. Meldungen zu erstatten, setzt eine Entscheidung voraus. Entscheidungen selbständig treffen zu können

23 Bielefeld/Kressin/Zawilla, Wirksame Organisations-, Risiko- und Compliance-Kultur zur Haftungsvermeidung, ComplianceBerater 2020, 205.

24 Alshmemri/Shahwan-Akl/Phillip Maude, Herzberg’s Two-Factor Theory, Life Science Journal 5/2017, 12, DOI:10.7537/marslsj140517.03 (Stand 25.11.2023).

25 Crawford, et al, Linking job demands and resources to employee engagement and burnout: A theoretical extension and meta-analytic test. Journal of Applied Psychology 2010, 834; DOI:10.1037/a0019364 (Stand 25.11.2023).

26 Grundlegend dazu Herzberg, One more time: How do you motivate employees in Davis/Taylor (Hrsg), Design of jobs: Selected readings 1972, 113.

27 Semmer et al, Push and Pull Motivations for Quitting, A Three-Wave Investigation of Predictors and Consequences of Turnover, Zeitschrift für Arbeits- und Organisationspsychologie 2014, 173, DOI:10.1026/09324089/a000167 (Stand 25.11.2023).

28 Garthe/Hasselhorn, Wollen und können ältere Beschäftigte länger erwerbstätig bleiben, wenn sich ihre Arbeit verbessert? Zentralblatt für Arbeitsmedizin, Arbeitsschutz und Ergonomie 2023, 49.

bzw zu dürfen, kann wiederum ein Aspekt der Arbeitszufriedenheit darstellen.29 Arbeitszufriedenheit kann sich über die Vergütung, aber auch in subjektiver Wertschätzung bemerkbar machen. Entscheidungen vor Ort treffen zu lassen, kann auch als Wertschätzung erfahren und geschätzt werden.30 Für Dienstgeber wurde der Zusammenhang zwischen Jobzufriedenheit und Personalfluktuation belegt.31 Wer also hinschaut und sich um Beschäftigte kümmert, spart langfristig auch zB Rekrutierungskosten – ein globaler Ansatz hilft also nicht nur Mitarbeitern, sondern der Gesamtorganisation.

4.Fazit

Man muss kein Risikomanagement aufstellen, nur damit eines vorhanden ist. Wenn man rechtliche Grundlagen sucht, die konkrete Vorgaben aufstellen, wird man sich bestenfalls durch einen Dschungel an Themen durchkämpfen müssen. Besser wäre es, eine offene Kultur zu implementieren, die sich für die Meldungen der Mitarbeiter interessiert und wertschätzt. Folgende Anhaltspunkte können helfen:

▶ Mitarbeiterzentrierung: Wer Informationen erwirken will, muss sich an die wenden, die diese preisgeben können. Mit strafenden Maßnahmen erreicht man nachweislich wenig. Strategische Arbeit an der eigenen Unternehmenskultur.

29 Chia/Panatik, Perceptions of Employee Turnover Intention by Herzberg’s Motivation-Hygiene Theory: A Systematic Literature Review, in Journal of Research in Psychology 2/2019, 10.

30 Valuing Your Most Valuable Assets by Teresa Amabile and Steve Kramer https://hbr.org/2011/10/valuingyour-most-valuable (Zugriff zuletzt am 8.1.2024)

31 Semmer et al, Zeitschrift für Arbeits- und Organisationspsychologie, 2014, 173 (176).

▶ Positive Anreize: Erfolgserlebnisse bleiben positiv in Erinnerung und können zu erhöhter Teilnahme führen.

▶ Rechte/Pflichten klären: Klar abgegrenzte bzw abgrenzbare Regeln helfen Mitarbeitern bei der Durchführung (Arbeitsvertrag/Betriebsvereinbarung). Unschärfen und Graubereiche sollten verhindert oder niederschwellig aufgearbeitet werden.

▶ Seriösität/Integrität: Selbst aufgestellte Regeln einhalten und anwenden, steigert die Integrität und erhöht die Akzeptanz in der Belegschaft.

▶ Geschwindigkeit: Wer rasch hilft, hilft doppelt. Mitarbeitern bringt man Wertschätzung auch dadurch entgegen, indem sie rasch Rückäußerungen bekommen und informiert bleiben.

▶ Compliance weit denken: Nicht nur das „Regeln einhalten“ kann als Compliance verstanden werden, sondern auch das Aufzeigen und Gewichten von Abweichungen.

Auf den Punkt gebracht

Essenziell ist ein Führungsverhalten mit Mitarbeiter im Fokus und welches sie nicht als bloße Befehlsempfänger abstempelt. Andererseits bedarf es Mitarbeiter, die Probleme rechtzeitig aufzeigen, mit dem Gefühl ernstund wahrgenommen zu werden. Hier geht es also weniger um Compliance an sich, denn um Befähigung der Betroffenen, selbstbewusste Bewertungen und Entscheidungen zu treffen, um Compliance mit Leben zu befüllen. Es geht um Mitarbeiterzentrierung, wenn Führungskräfte behaupten: „employees are their most valuable asset“. Da muss auch etwas dran sein.

Nie wieder Neuerscheinungen verpassen!

Unsere Newsletter informieren Sie wöchentlich über unsere neuesten Produkte Jetzt anmelden: lindeverlag.at/newsletter

Der Umgang der Compliance mit Gerüchten

Thomas Schneider

Dipl.-Kfm. Thomas Schneider verantwortet die Compliance eines mittelständischen Handelsunternehmens in Essen.

Der US-Flugzeugbauer Boeing muss im Zusammenhang mit den Abstürzen zweier Maschinen vom Typ 737 Max 2,5 Milliarden Dollar Strafe und Entschädigung zahlen. Am 8.1.2021 hielt die US-Staatsanwaltschaft fest, dass das Unternehmen „Profit über Offenheit“ gestellt, „Halbwahrheiten“ verbreitet und „Vertuschung“ betrieben habe. Der Flurfunk von Boeing berichtete von den Schwierigkeiten des Modells sehr viel früher. Ein Jahr vor dem ersten Absturz kursierten E-Mails, in denen das neue Modell als „von Clowns entworfen, die von Affen beauftragt wurden“ bezeichnet wurde. Ein Mitarbeiter fragte Kollegen, ob sie ihre Familie in ein Flugzeug dieses Typs setzen würde. Die kurze Antwort: „Nein“. Bei diesen Äußerungen handelt es sich ausschließlich um E-Mails; dass der mündliche Austausch früher, intensiver und drastischer ausfiel, ist höchstwahrscheinlich. Erste Gerüchte haben sich zu konkreten Fakten entwickelt. Bei wirtschaftskriminellen Sachverhalten, beispielsweise im Kartell- und Korruptionsrecht, verhält es sich nicht anders.

1.Relevanz von Gerüchten für die Compliance

Ein Gerücht ist eine unverbürgte Nachricht von allgemeinem Interesse, die sich diffus und meistens mündlich verbreitet, wobei der Inhalt Veränderungen erfährt. Gerüchte leben vom Spannungsverhältnis. Sind sie wahr oder unwahr?

Gerüchte gibt es in jeder Organisation. Entscheidungen stehen an und werden vorbereitet, sind jedoch noch nicht spruchreif. Dann möchten Mitarbeiter wissen, wer befördert wird oder nicht, welcher Standort wächst, schrumpft oder geschlossen wird.

Jeder Mensch geht anders mit Gerüchten um. Dass keine bewussten Falschaussagen, keine ehrabschneidenden Behauptungen und radikalen, politischen Äußerungen in die Welt gesetzt werden sollen, bedarf nicht der Erläuterung. Dennoch sollte sich die Compliance in geeigneter Weise mit unternehmensinternen Gerüchten auseinandersetzen.

Der Konstruktivismus als Denkmodell versteht Wahrnehmung nicht als Abbildung der äußeren Realität, sondern als Konstruktion von Wirklichkeit: Die Welt wird nicht „entdeckt“, sondern „erfunden“. Menschliche Vorstellungen werden kommunikativ und sozial vermittelt. Scheinbare „Fakten“ sind das Ergebnis von Interpretationen, denn Erkenntnis ist ein aktiver, kein passiver Prozess. Wenn eine Anzahl von Mitarbeitern glaubt, dass der Geschäftsführer private und berufliche Reisen miteinander verknüpft, dass Kinder von Führungskräften bei der Vergabe von Praktika bevorzugt werden oder ein Mitarbeiter aufgrund „guter Beziehungen“ einen opulent ausgestatteten Dienstwagen bekommt, hat dies unmittelbare Auswirkungen auf das Verhalten, insbesondere das Verhältnis zu den Compliance-Vorgaben. Diese Beeinflussung des Verhaltens erfolgt unabhängig vom Wahrheitsgehalt. Relevanz gewinnen Gerüchte dadurch, dass Mitarbeiter diese für zutreffend halten. Deshalb sind Gerüchte für die Compliance relevant, da sie sich im Laufe der Zeit zu einer Tatsache entwickeln können.

2.Verhältnis der Compliance zu Gerüchten

Das Verhältnis zu bzw der Umgang mit Gerüchten ist keine Privatangelegenheit des einzelnen Compliance Officers (im Folgenden CO), sondern wird Einfluss auf die operative Compliance-Arbeit haben. In Fragen der persönlichen Integrität ist ein CO Vorbild für andere Mitarbeiter; im Guten wie im Schlechten. Neben seiner Vorbildfunktion ist er auch Kollege. In diesem Spannungsfeld ist es bedeutend, eine Atmosphäre zu schaffen, die von Integrität, Glaubwürdigkeit, Vertrauenswürdigkeit und Authentizität geprägt ist, und eine Vorgehensweise festzulegen, die einen professionellen Umgang mit Gerüchten gewährleistet.

In der Praxis sind Gerüchte mit einer Währung oder einem Marktplatz vergleichbar. Dauerhaft erfährt nur derjenige von Gerüchten, der selbst welche anbietet. Welche Farbe das neue Firmenlogo hat, wie die neuen Dienstwagen aussehen oder ob die Vormaterialpreise steigen könnten, kann sicherlich thematisiert werden.

Bei aller Individualität des einzelnen CO werden Hinweise entwickelt, wie der CO professionell und systematisch mit Gerüchten umgeht.

3.Wie sollte der CO Gerüchte aufnehmen?

Gerüchte werden im persönlichen Gespräch weitergegeben. So trivial diese Aussage ist, so schwer tun sich manche COs, solche Gespräche zu führen. Nur wenn Kontakte aufgebaut wurden, wenn

Der Umgang der Compliance mit Gerüchten

sich Zeit für das Gespräch genommen wird, entstehen Empathie und Vertrauen. Die scheinbare Schranke zwischen einem Mitarbeiter eines Zentralbereiches, der Unternehmensleitung und den Mitarbeitern der operativen Ebene verkleinert sich. Durch den sachlichen und vertrauensvollen Umgang reduziert sich die Angst der Kollegen, Informationen mit dem CO zu teilen.

Es gilt Offenheit zu zeigen, wenn ein Mitarbeiter auf einen CO zukommt, auch dann, wenn dieser nicht unmittelbar auf den Sachverhalt zu sprechen kommt, der ihn bewegt. Die Zeit zwischen dem Empfangen von Gerüchten durch oben genannte Gespräche und einer tatsächlichen Aktivität des CO sollte nicht unangemessen lang sein; in wenigen Fällen können jedoch mehrere Monate vergehen.

Um den Wahrheitsgehalt eines Gerüchts herauszufinden, benötigt der CO Informationen, die das Gerücht unterstützen oder als unwahr herausstellen. Anfangs hat der CO noch keinen festen Beweis und führt dazu, dass er den Hinweis im Hinterkopf behält. Zum Teil wird der CO nach weiteren Indizien Ausschau halten. In den meisten Fällen wird er das Gerücht aufnehmen, aber nichts unternehmen, bis das Gerücht an Substanz und Wesentlichkeit gewinnt. Dabei werden der Charakter, die Erfahrung und die Menschenkenntnis des CO die Evaluierung beeinflussen. Der CO sollte den Sachverhalt aus verschiedenen Perspektiven betrachten und mögliche Dimensionen abschätzen. Zusätzlich ist es notwendig, dass der CO sachlich und objektiv bleibt und seine Fürsorgepflicht hinsichtlich des „Informanten“ und „Beschuldigten“ nicht verletzt.

4.Wie kann ein CO mit Gerüchten umgehen?

Von entscheidender Bedeutung für den Umgang mit einem Gerücht ist dessen Kategorisierung durch die Einschätzung des CO. Folgende Kriterien spielen bei der Beurteilung des Gerüchts eine Rolle:

▶ Wie weit ist das Gerücht im Unternehmen verbreitet?

▶ Ist es plausibel?

▶ Welche Auswirkung hat es für den „Informanten“ und den „Beschuldigten“?

▶ Stammt die Information von einer vertrauenswürdigen Quelle?

▶ Wie ist das Schadenrisiko einzuschätzen?

Um eine valide Gesamteinschätzung zu gewinnen, sollten sich CO und Mitarbeiter des ComplianceBereichs über die Gerüchte austauschen, welche ihnen zu Ohren gelangen. Nach gewisser Zeit werden sich die Argumente und Hinweise bezüglich des Gerüchts gegebenenfalls weiter verdichten, sodass eine Beurteilung und eine Klassifizierung des Gerüchts möglich werden.

Das Verdrängen vor dem Bewerten ist

▶ durch eine klare Kategorisierung und

▶ durch eine Filterung zu ersetzen.

Ziel der Kategorisierung und des Filterns ist die Wahrscheinlichkeit, dass das Gerücht oder Teile davon der Wahrheit entsprechen könnten, zu ermitteln und zu bewerten, ob die als möglicherweise wahr zu qualifizierende inhaltliche Substanz für das Unternehmen, die Geschäftsführung oder sonstige Dritte relevant ist. Dann gilt es zu evaluieren, ob gehandelt werden muss, und wenn ja, welche operativen Schritte eingeleitet werden.

4.1.Das Kategorisieren

Kategorie

Mögliche beispielhafte Fragen/Erläuterung

Glaubwürdigkeit Woher kommt das Gerücht? Ist die Person, die das Gerücht in die Welt gesetzt hat, glaubwürdig? Ist die Person dafür bekannt, gerne „Geschichten zu erzählen“? Hat die Person aus Rache oder anderen Motiven ein Interesse daran, das Gerücht zu streuen?

Plausibilität/ Glaubhaftigkeit

Ist der Sachverhalt offensichtlich unmöglich und sind bloße Verwechslungen ausgeschlossen? Wurde das Gerücht zuvor schon einmal gehört?

Risikostruktur/ Schadenrisiko Ist, wenn das Gerücht wahr wäre, mit einem wirtschaftlichen Schaden und/oder einer Rufschädigung zum Nachteil des Unternehmens zu rechnen? Wie hoch könnte der Schaden sein?

Risikozusammenhang/Gesamtkontext

Passt das Gerücht „ins Bild“? Ist es so, dass es andere Anhaltspunkte dafür gibt, dass das Gerücht wahr sein könnte? Solche Anhaltspunkte können dem CO bekannt sein aus: anderen Gerüchten, Informationen aus Audits, Gesprächen mit Kollegen etc. Die Einschätzung ist von der Kenntnistiefe des CO zur Unternehmensstruktur, der Unternehmenskultur, den Prozessen im Unternehmen abhängig.

Dieses Vorgehen ist dem Prozedere zum Umgang mit „offiziellen“ Hinweisen auf nicht regelkonformes Verhalten ähnlich. Der Unterschied zwischen dem Umgang mit einem Gerücht und einem offiziellen Hinweis ist, dass kein formalisierter, dokumentierter Prozess den Umgang mit den Informationen regelt. Der CO erfährt das Gerücht in der Regel nicht in seiner Funktion als CO, sondern zum Beispiel beim Mittagessen in der Kantine. Hierin liegt eine besondere Brisanz. Der CO ist nicht nur Führungspersönlichkeit, sondern auch Kollege und Vertrauensperson. Das Gleichgewicht zwischen Verbündetem und Kollege einerseits und investigativem „Organ“ des Unternehmens andererseits zu finden, ist eine Herausforderung für jeden CO. Wenn der CO – überspitzt gesagt – jedes Gerücht an seinen Vorgesetzten melden würde, würde der CO schnell ausgegrenzt, und in Zukunft weder offiziell noch inoffiziell Informationen von seinen Kollegen erhalten. Vor allem aber sollte der CO – auch in solchen Situationen – nicht forcieren, als „Unternehmenspolizist“ wahrgenommen zu werden. Weder ist es für den CO persönlich eine angenehme Situation, noch ist es der wirksamen Compliance-Arbeit zuträglich.

4.2.Das Filtern

Auf Basis erster Überlegungen setzt der CO einen Filter ein; führt eine Gesamtabwägung durch:

▶ Hat sich das Gerücht hinreichend konkretisiert?

▶ Hat sich das Gerücht nicht hinreichend konkretisiert?

Bei dieser Entscheidung kommt neben der sachlichen Bewertung auch das Bauchgefühl ins Spiel –für das Filtern ist eine Mischung aus Lebenserfahrung, Menschenkenntnis, Weitblick und Integrität entscheidend.

Ist der „Gerüchte-Erzähler“ glaubwürdig, ist das Gerücht plausibel, steckt hinter dem Gerücht ein mögliches Schadenrisiko und passt das Gerücht ins Gesamtbild, ist es hinreichend konkretisiert. Wenn nicht, dann nicht: das Gerücht ist (noch) nicht hinreichend konkretisiert.

4.3.Das hinreichend konkretisierte Gerücht

Sobald sich ein Gerücht als hinreichend konkreti siert herausstellt, ist eine Nachverfolgung geboten.

Eine Nachverfolgung kann verschiedene Intensitätsgrade haben. Welche Art der Nachverfolgung der CO wählt, ist vom Gerücht und seiner Kategorisierung abhängig. In einigen Fällen wird der CO im ersten Schritt versuchen, weiter zu recherchieren bzw im Unternehmen Informationen abzufragen, um das Gerücht inhaltlich weiter zu unterfüttern. Eine andere Möglichkeit ist, den verantwortlichen Leiter der betroffenen Abteilung in einem Vier-Augen-Gespräch auf das Thema anzusprechen, um weitere Informationen dazu zu gewinnen. Sollte der Betroffene eine zentrale Rolle in dem Sachverhalt spielen, und ist möglicherweise das regelwidrige Verhalten, laut dem Gerücht, durch ihn erfolgt, verbietet sich diese Möglichkeit. Eine weitere Art der Nachverfolgung ist, das Gespräch mit einem vertrauten Kollegen zu suchen und die Einschätzung desjenigen zu dem Gerücht einzuholen. Ebenfalls kann der CO den Sachverhalt in den Umfang eines ohnehin geplanten Audits integrieren und so (beiläufig) versuchen, weitere Informationen zu gewinnen.

4.4.Das nicht hinreichend konkretisierte Gerücht Wenn sich ein Gerücht als nicht hinreichend konkretisiert darstellt, folgt ebenso das Anlegen des Risikofilters. Der CO schätzt ein, wie hoch das Risiko aus dem als möglicherweise wahr qualifizierten Sachverhalt ist, ob er eine gewisse Relevanzschwelle überschreitet oder ob es sich um eine Lappalie, unterhalb der Wesentlichkeitsgrenze, handelt. Der CO sollte sich die Frage stellen: Was wäre, wenn das Gerücht wahr ist? Ist das Risiko nach Einschätzung des CO kritisch, wird der CO dazu tendieren, das Gerücht, wie oben beschrieben, nachzuverfolgen. Ist das Risiko nach Einschätzung des CO eher gering, wird der CO die Informationen in seinem „Hinterstübchen“ parken und abwarten. Gewinnt der CO im Zeitablauf Informationen dazu, wird er die Kategorisierung des Gerüchts erneut vornehmen und gegebenenfalls die Risikoeinschätzung anpassen und, wenn notwendig, reagieren.

Wenn Gerüchte eine zunehmende Verbreitung im Unternehmen erfahren, es die sprichwörtlichen Spatzen von den Dächern pfeifen, gilt es ebenfalls zu handeln, seitens Unternehmensleitung und/oder Compliance das Gerücht zu entkräften und falschen Eindrücken entgegenzuwirken, wobei das entsprechende Gerücht konkret angesprochen und widerlegt wird.

Aufnahme von Gerüchten

Beurteilung von Gerüchten

Präven ve Maßnahmen

Gerücht bestä gt sich nicht

Mögliche Ak onen:

Repor ng

Verbreitung der Informa on im Unternehmen, dass sich das Gerücht nicht bestä gt hat, um Transparenz zu schaffen.

Führen von Gesprächen

Iden fika on von Schlüsselpersonen

Sammlung von Informa onen

Verdichtung von Hinweisen

Gerücht bestä gt sich

Mögliche Ak onen:

Richtlinien

Compliance Audit

Repor ng

Beeinflussende Faktoren zum Umgang mit Gerüchten durch den CO: Wesentlichkeit des Gerüchts, involvierte Personen, Bauchgefühl/Augenmaß des CO, Transparenz schaffen (ja/nein), Risikositua onen.

Gerücht bestehtweiter

Faktoren für den Umgang mit weiter bestehenden Gerüchten:

Machtgefüge Werte

Wesentlichkeit des Verstoßes

Gesetze

Mögliche Ak onen:

Repor ng

Compliance Audit

Sensible Unternehmenskultur –„Tone fromthe top“

InterneKommunika on / Schulung

Ggfexterne Kommunika on

Braucht es (weitere) präventive Maßnahmen?

Persönliche Eigenscha en des CO: Vertrauenswürdigkeit, Integrität, Authen zität, Menschenkenntnis, Fähigkeit weiterzudenken, Flexibilität/differenzierte Denkweise/ Abschätzung von Wesentlichkeit und möglichen Auswirkungen, Lebenserfahrung, Umgang mit „Grauzonen“.

Nach Aufdeckung und Abstellung regelwidrigen Verhaltens wird die Compliance abwägen, ob und falls ja, welche Maßnahmen zu ergreifen sind, um das Risiko der Wiederholung zu minimieren. Dafür ist es entscheidend, ob bei der Sachverhaltsaufarbeitung Regelungslücken oder IKS-Defizite im Unternehmen identifiziert wurden.

Regelungslücken können va liegen im

▶ IKS,

▶ Risikomanagement und

▶ Compliance Management System.

Allerdings sollten nicht nur bei Regelungslücken Maßnahmen ergriffen werden, um das Risiko einer Wiederholung des Sachverhaltes zu minimieren. Auch wenn keine Regelungslücke vorliegt, kann es empfehlenswert sein, Maßnahmen zu ergreifen, die die vorhandenen Maßnahmen sinnvoll ergänzen und das Schutzniveau des Unternehmens auf eine höhere Ebene heben. Das weitere Vorgehen ist davon abhängig, ob es sich bei einem identifizierten Fehlverhalten um einen bedauerlichen Einzelfall handelt, dem aber im Wesentlichen keine strukturellen Schwächen zugrunde liegen, oder ob weiteres Fehlverhalten in ähnlicher oder derselben Weise denkbar ist. Der CO abstrahiert den Sachverhalt, überträgt ihn auf andere Prozesse, andere Gesellschaften im Unternehmensverbund und überlegt darauf basierend, welche Risiken sich neben dem konkret realisierten Risiko aus dieser Analyse noch ergeben könnten. Erneut kommen die Qualitäten des CO und seine Kenntnis vom Unternehmen ins Spiel: Lebenserfahrung, Menschenkenntnis und Weitblick. Nur „wer sein Unternehmen kennt wie seine Westentasche“, wird aus Compliance-Vorfällen die richtigen, umfassenden und notwendigen Maßnahmen ableiten und an den richtigen Stellen regulierend eingreifen.

Wie interkulturelle Erfahrungen die Führungsebene bereichern

Johann Köngishofer

Stellen Sie sich eine Welt vor, in der das Hauptaugenmerk der Führungsebene nicht nur auf Zahlen und Daten liegt, sondern diese auch aus einer reichen Palette kultureller Perspektiven schöpft. In diesem Beitrag entdecken wir gemeinsam, wie interkulturelle Kompetenzen und Vielfalt die Entscheidungsfindung in Unternehmen revolutionieren können. Erkennen Sie mit mir die Welt der Unternehmensführung, in der Empathie, kulturelles Verständnis und Anpassungsfähigkeit Schlüsselrollen für Lösungen und Innovationen in unserer multipolaren Welt spielen.

1.Gut gemeint und trotzdem kritisch

Bei der Bestellung des CEO eines mittelständischen Unternehmens wählte das Board einen englischen Muttersprachler aus, der hervorragend mit dem Eigentümer und den Boardmitgliedern, ebenfalls englische Muttersprachler, kommunizieren konnte. Obwohl das Unternehmen Englisch als Kommunikationssprache etabliert hatte, sprach niemand anderer aus dem Vorstand oder der ersten Führungsebene Englisch als Muttersprache. Dies führte zu einer Herausforderung: Die Kommunikation zwischen dem CEO und dem Board bzw dem Eigentümer erfolgte in fließendem Englisch, während der Rest der Organisation durch den Sprachnachteil auf eine sekundäre Kommunikationsebene zurückfiel. Infolgedessen wurde die Rolle des CEO zu einer „permanenten Sprech- und Formulierungsstelle“, die nicht muttersprachliche Mitarbeiter in ihrem Handlungsspielraum einschränkte und damit die Vielfalt begrenzte.

Dieses Beispiel kann in jede beliebige Sprache und Konstellation transformiert werden, was zählt, ist das Ergebnis, und damit auch der Fortgang des Unternehmens aus dieser Entscheidung des Boards – gut gemeint und trotzdem kritisch.

Unsere globale Wirtschaft erfordert ein multipolares, tiefgreifendes Verständnis verschiedener Kulturen, Verhaltensweisen, Überlegungen, Kunden und Märkte. In diesem Kontext gewinnen interkulturelle Erfahrungen in allen Führungsebenen an Bedeutung. Ein solches Führungsteam, das Mitglieder mit diversen kulturellen Hintergründen und Erfahrungen einschließt, ist besser aufgestellt, um komplexe globale Herausforderungen zu meistern. Meine eigene berufliche Laufbahn, die mich durch Europa (Österreich, Deutschland, Italien), Nordamerika (USA, Kanada), Lateinamerika (Mexiko, Brasilien) und Asien (China und Indien) führte, war eine Reise durch unzählige Lektionen in Sachen Kulturen, Vielfalt, ethisches und ethnisches Verständnis, Führung,

Management und Anpassungsfähigkeit. Diese Erfahrungen haben mich nicht nur persönlich bereichert, sondern bieten auch wertvolle Einblicke in die Rolle, die interkulturelle Erfahrungen in der Führung und Entwicklung von Unternehmen spielen. Kulturelle Vielfalt führte zu kreativen Lösungen und Innovationen. Sie zeigt auch, wie wichtig es ist, offen für neue Ideen und Perspektiven zu sein.

2.Die Rolle der Sprache

Ein Schlüsselthema in diesem Kontext ist die Rolle der Sprache. Die effektive Verwendung einer „lingua franca“ erfordert ein Gleichgewicht zwischen sprachlichen Fähigkeiten, kulturellem Bewusstsein und Sensibilität für die Bedürfnisse von Nicht-Muttersprachlern. Ziel ist es, eine klare, respektvolle und inklusive Kommunikation zu fördern. Die Herausforderung liegt darin, Fachwissen und Führungspotenzial nicht zu übersehen, das möglicherweise aufgrund sprachlicher Barrieren verborgen bleibt.

Probleme in Märkten oder Kundenbeziehungen sind oft weniger mitarbeiter- als vielmehr prozess-, vorgehens- und verfahrensspezifisch. Misserfolge in Märkten und bei Kunden sind häufig auf Unternehmensstrukturen, ein unzureichendes Marktverständnis, langwierige Entscheidungsprozesse und mangelndes Verständnis für lokale Marktbedürfnisse zurückzuführen. Offenheit und Verständnis, Agilität und Schnelligkeit bei der Anpassung an Bedürfnisse sind essenziell und erfordern Akzeptanz und Offenheit im Konzept.

Aus meinen Positionen in globalen Unternehmen mit Hauptsitzen in Nordamerika, Europa und China lernte ich, dass sich die Vorgehensweisen zur Unternehmenssteuerung und zur Durchsetzung von Standards nur unwesentlich von den Regionen unterschieden. Natürlich sind die Märkte und Produkte an die lokalen Gesetze und Standards angepasst, im Kern aber strebt jedes Unternehmen nach Kontrolle gemäß den Vorgaben der Zentrale. Dies reicht von

IT-Systemen, die je nach Hauptsitz des Unternehmens nur in einer Sprache angeboten werden, bis hin zu regionalen Managern, die oftmals Expats sind und die Kultur der Unternehmenszentrale manifestieren. Hier gilt es, mit Weitsicht und Verständnis zu agieren sowie die Möglichkeiten und in die nachhaltige Unternehmensentwicklung einzubeziehen.

3.Kulturelle Sensibilität und Empathie

Heute, wo Geschäftsbeziehungen vernetzt und abhängig sind, wird die Fähigkeit, effektiv mit einer Vielzahl von Stakeholdern zu kommunizieren und zu interagieren, immer wichtiger. Dies betrifft nicht nur Kunden und Mitarbeiter, sondern auch Lieferanten, Regierungsbehörden und die breitere Gemeinschaft. Jede Region und Kultur bringt ihre eigenen Erwartungen und Kommunikationsstile mit sich. Ein tiefes Verständnis dieser Unterschiede ist wichtig, um erfolgreiche und nachhaltige Beziehungen aufzubauen.

In meiner Laufbahn habe ich gelernt, dass das Zuhören und Verstehen der Bedürfnisse und Sorgen aller Stakeholder ein Schlüssel zum Erfolg ist. Dazu braucht es nicht nur sprachliche Fähigkeiten, sondern auch ein hohes Maß an kultureller Sensibilität und Empathie. Durch das effektive Management dieser Beziehungen können Konflikte minimiert, Vertrauen aufgebaut und langfristige Partnerschaften gefördert werden, die für den Erfolg eines global agierenden Unternehmens unerlässlich sind. Daher ist es eine der Hauptaufgaben des Führungs- und Managementteams, sicherzustellen, dass das Unternehmen eine starke, integrative Strategie für das Stakeholder-Management verfolgt, die auf offener Kommunikation, gegenseitigem Respekt und Verständnis basiert.

Wir müssen uns von der Einstellung einer kulturellen oder wirtschaftlichen Superiorität lösen. Innovation und Kreativität, Geschäftsund Markterfolg sind global verteilt. Um eine integrative und respektvolle Struktur in Unternehmen zu fördern, müssen wir kulturelle Vielfalt wertschätzen, gleichberechtigte Teilnahme und Entscheidungsfindung entwickeln, globale

Denkweisen, Kommunikation und Feedbackkultur fördern sowie als Führungsgremium eine Vorbildfunktion einnehmen.

4.Ethische Herausforderungen

„Jeder neue Produktionsmitarbeiter verliert beim Kartenspielen mit seinem künftigen Chef 500€ in bar und bekommt dann einen Job. Darüber hinaus überweist jeder Mitarbeiter jeden Monat zehn Prozent seines Gehalts an seinen Chef und hat damit ein gutes Leben, erhält all seine Boni und wird immer hervorragend bewertet.“ Sind auch Sie schon ähnlichen Themen begegnet? Seien sie versichert, es gibt sie tatsächlich.

Heutzutage sehen sich Führungskräfte mit spezifischen ethischen Herausforderungen konfrontiert, die einzigartige Lösungsansätze erfordern. Um unethischen Gepflogenheiten effektiv entgegenzuwirken, ist es unabdingbar, spezifische Kontrollsysteme zu etablieren. Systeme solcher Art müssen regional angepasst sein, um den lokalen Gegebenheiten und vor allem kulturellen Besonderheiten gerecht zu werden, wobei Transparenz gefördert und unethisches Verhalten aktiv entmutigt wird. Die Implementierung solcher Systeme ist die wesentliche Verantwortung auf Führungsebene, um die Integrität und den Erfolg des Unternehmens zu gewährleisten.

In jedem Fall haben meine internationalen Erfahrungen nicht nur mein persönliches Leben bereichert, sondern auch meine berufliche Perspektive geformt. Sie lehrten mich, dass echte Führungsqualitäten Flexibilität, Empathie und die Fähigkeit erfordern, über kulturelle Grenzen hinweg zu denken und zu handeln.

In meinen Rollen als Manager und Aufsichtsrat nutzte und nutze ich diese Erfahrungen, um innovative Ansätze zu fördern, ein tiefgreifendes Verständnis für globale Märkte zu bieten und das Unternehmen in ethische und kulturell sensible Richtungen zu lenken. Meine Reise hat mir gezeigt, dass interkulturelles Know-how nicht nur ein Vorteil, sondern eine absolute Notwendigkeit ist, um in dieser globalisierten und multipolaren Welt erfolgreich zu sein.

GRC-Update

Überblick für die Praxis

Victoria Typpelt / Josef Baumüller

Victoria Typpelt ist Doktorandin an der TUWien im Fachbereich für Finanzwirtschaft und Controlling.

Dr. Josef Baumüller lehrt und forscht an der TUWien im Fachbereich für Finanzwirtschaft und Controlling.

Im Serviceteil von GRC aktuell präsentieren wir Ihnen die wichtigsten aktuellen Neuerungen des letzten Quartals zu GRC-Belange. Im Fokus stehen dabei einschlägige Normen, fachliche Stellungnahmen und sonstige Veröffentlichungen von besonderem Interesse rund um das Themenfeld.

1.Verlautbarungen

COSO und NACD veröffentlichen eine Aufforderung zur Einreichung von Vorschlägen für die Entwicklung eines Corporate Governance-Rahmenwerks und eines Anwendungsleitfadens (http://tinyurl.com/h7k4n9u2).

Im Dezember 2023 hat die European Financial Reporting Advisory Group (EFRAG) drei Entwürfe von Umsetzungsleitfäden betreffend die ESRS zu folgenden Themengebieten veröffentlicht:

▶ Wesentlichkeitsbeurteilung (http://tinyurl.com/msdczx5a),

▶ Wertschöpfungskette (http://tinyurl.com/yc8ynt97) und

▶ Liste der ESRS-Datenpunkte im Excel-Format (http://tinyurl.com/bd2ekh24).

Am 22.1.2024 hat die European Financial Reporting Advisory Group (EFRAG) die Entwürfe für zwei Standards zur Nachhaltigkeitsberichterstattung von kleinen und mittelgroßen Unternehmen (KMU) zur Konsultation veröffentlicht. Folgende zwei Standardentwürfe sind bis 21.5.2024 zur öffentlichen Konsultation gestellt:

▶ Entwurf ESRS LSME (kapitalmarktorientierte KMU) (http://tinyurl.com/4bpk28x4) und

▶ Entwurf ESRS VSME (nicht-kapitalmarktorientierte Unternehmen, Bericht auf freiwilliger Basis) (http://tinyurl.com/2p5ba35b).

Am 6.12.2023 hat das International Auditing and Assurance Standards Board (IAASB) den eigenständigen Prüfungsstandard „ISA for LCE“ für die Prüfung weniger komplexer Unternehmen veröffentlicht (http://tinyurl.com/489twtyx).

Das International Ethics Standards Board for Accountants (IESBA) startet die öffentliche Konsultation zu neuen ethischen Maßstäben für die Nachhaltigkeitsberichterstattung und -prüfung:

▶ Internationale Ethik-Standards für die Nachhaltigkeitsprüfung (http://tinyurl.com/mrxrbvdx) und

▶ Nutzung der Arbeit eines externen Experten (http://tinyurl.com/496yc2tu).

Die Internationale Organisation für Normung (ISO) veröffentlicht den neuen Standard ISO/ IEC42001 für Managementsysteme in Unternehmen, die KI enthalten sollen (http://tinyurl.com/ 32m9nrc9).

Als Teil der Bemühungen, die Anwendung von IFRSS1 und IFRSS2 zu unterstützen, hat die IFRS Foundation neues Lehrmaterial veröffentlicht, das Unternehmen dabei helfen soll, bei der Anwendung von IFRSS2 „Natur- und Sozialaspekte“ von klimabezogenen Risiken und Chancen zu berücksichtigen (https://tinyurl.com/22mpkraf).

2.Studien

In einer Marktstudie der deutschen Bundesanstalt für Finanzdienstleistungsaufsicht wurden 30Deutsche Kapitalverwaltungsgesellschaften befragt, wie Daten und Ratings zur Nachhaltigkeit bewertet werden. Das Ergebnis:ESG-Ratings sind teuer, die Datenqualität ist verbesserungswürdig (https://tinyurl.com/3c94ukdh).

Cyolo veröffentlichte eine in Zusammenarbeit mit dem Ponemon Institute durchgeführte globale Studie, in der analysiert wurde, wie Organisationen, die kritische Infrastrukturen, industrielle Kontrollsysteme und andere Systeme der Betriebstechnologie betreiben, den Zugang und das Risiko in einer Zeit zunehmender Konnektivität verwalten (https://tinyurl.com/ycxyb52b).

Die von Deloitte veröffentlichte Studie „Risikomanagement Benchmarkstudie 2023“ beantwortet die Fragestellung: Wie gut sind Risikomanagementsysteme deutscher Industrieunternehmen in bewegten Zeiten? (http://tinyurl.com/2pjaubht)

Die siebte Ausgabe der Deloitte-Studie „The Future of Compliance 2023“ untersucht, ob Organisationen Compliance-Ziele definieren und mit Hilfe von Key Performance Indicators (KPIs) messen (https://tinyurl.com/yfj2ap5y).

Die Deutsche Industrie- und Handelskammer veröffentlich den Innovationsreport 2023 „Innovationsbremse lösen“, in welchem die Investitionsaktivitäten von über 2.200 deutschen Betrieben untersucht wurden (http://tinyurl.com/2czyt8uz).

In der mittlerweile dritten europaweiten Umfrage des European Network for Compliance Officers (ENFCO) wurde untersucht, wie ESG von Compliance-Funktionen wahrgenommen wird und wie Unternehmen damit umgehen (https://tinyurl.com/3zf2sa2r).

Die vierte jährliche Ausgabe der „EY Europe Long-Term Value and Corporate Governance Survey“ untersucht die Rolle der Governance bei der Innovation nachhaltiger Geschäftsmodelle (https://tinyurl.com/f2s86zau).

Das F.A.Z.-Institut und Sopra Steria veröffentlichen in der Studienreihe „Managementkompass Survey“ Befragungsergebnisse zu dem Thema „Good Company“. Über 350 Entscheider aus Wirtschaft und öffentlicher Verwaltung in Deutschland berichteten über die Verankerung von ethischen Grundsätzen sowie ökologischer und sozialer Verantwortung in der Unternehmensstrategie (http://tinyurl.com/yrsdmtru).

Im Auftrag von LexisNexis Risk Solutions führte Forrester Consulting eine Umfrage zum Thema Finanzdelikte unter 482 Entscheidungsträgern aus Europa, dem nahem Osten und Afrika durch, die für die Einhaltung von Vorschriften verantwortlich sind, um deren Prioritäten und Herausforderungen zu verstehen (https://tinyurl.com/4azbrk35).

PWC veröffentlich die Studie „Global Risk Survey 2023 – Risiken in Chancen wandeln“, welche den Umgang und die aktuellen Herausforderungen des Risikomanagements aufzeigt (http://tinyurl.com/54d4c9sa).

In der „27. Global CEO Survey“ von PWC wurden mehr als 4.700 CEOs aus 105 Ländern –darunter auch aus Österreich – zu ihrer Einschätzung zu den aktuellen wirtschaftlichen Chancen und Herausforderungen befragt (https://tinyurl.com/4k3ebus7).

3.Buchneuerscheinungen

Aßländer, Wirtschafts- und Unternehmensethik (2023).

Berger/Wakounig, 100 Antworten zur Umsatzsteuer (2024).

Beyer/Heyd, Aufsichtsrat kompakt (2024).

Boczko, Information Systems in Accounting and Finance (2024).

Bürkle/Hauschka/Schieffer, Der Compliance Officer: Ein Handbuch in eigener Sache (2024).

Busu (Hrsg), Digital Economy and Green Revolution (2024).

Caballero/Piattini (Hrsg), Data Governance (2023).

Del Valle, Certified AI Risk, Governance and Compliance Specialist (2024).

Essia, GRC Trends for 2024 (2024).

Gaganos/Pasiouras/Tasiou/Zopounidis (Hrsg), Sustainable Finance and ESG (2024).

Glaser, Künstliche Intelligenz – KI als Jobkiller und Chance (2024).

Henke/Hülsken/Schneider/Varghese (Hrsg), Health Data Management (2024).

Hiller/Krüger/Riedl/Schempf/Steinhübel/Zeitnitz (Hrsg), Finance-Perspektive im Wandel. Digital, nachhaltig, resilient (2024).

Hofstetter, Corporate Governance (2023).

Hommelhoff/Hopt/Leyens (Hrsg), Unternehmensführung durch den Vorstand und Aufsichtsrat (2024).

Huynh, Data Governance: Ensuring Data Accuracy and Compliance (2024).

Hüttche (Hrsg), Finance in Crises (2024).

Institut für Umweltrecht, Recht der nachhaltigen Ressourcennutzung (2024).

Kark, Compliance-Risikomanagement (2024).

Kersten/Schröder, ISO 27001: 2022/2023: Management der Informationssicherheit nach den aktuellen Standards (2023).

Knoppe, Unternehmerische Wertschöpfung neu aufstellen (2024).

Knyrim, DGA – Data Governance Act (2023).

Manners-Bell, Supply Chain Risk Management: How to Design and Manage Resilient Supply Chains (2023).

Mendling/Risse/Rust, Digitalization and Tax Law (2023).

Moloi/George, Towards Digitally Transforming Accounting and Business Process (2024). Matschke/Brösel/Toll, Unternehmensbewertung5 (2024).

Reiss/Reiss, IT-Dokumentation im Wandel: Konzepte für Compliance, Agilität und Digitalisierung (2023).

Rentrop, IT-Governance (2024).

RMA Risk Management/Rating Association (Hrsg), Leitfaden zum Krisenmanagement ISO22361 (2024).

Ruhmannseder (Hrsg), Compliance in der Lieferkette (2024).

Sarkis, The Palgrave Handbook of Supply Chain Management (2024).

Sassen (Hrsg), Nachhaltigkeitsmanagement kompakt (2023).

Schmidpeter/Altenburger (Hrsg), Responsible Artificial Intelligence (2024).

Spießhofer/Späth (Hrsg), LkSG: Lieferkettensorgfaltspflichtgesetz unter Berücksichtigung AGBrechtlicher Besonderheiten – Kommentar (2024).

Walker/Wendt/Goubran/Schwarzt (Hrsg), Artificial Intelligence for Sustainability (2024).

Weber, Unternehmens- und Gesellschaftsrecht5 (2024).

Willcocks/Hindle/Stanton/Smith, Maximizing Value with Automation and Digital Transformation (2024).

Das Wertpapierfirmengesetz kompetent kommentiert

2023

264 Seiten, kart. 978-3-7073-4849-1

Von einem ausgewiesenen Expertenteam aus FMA-Mitarbeitenden digital erhältlich

€ 59, –

Steuern. Wirtschaft. Recht. Am Punkt. lindeverlag.at

Linde Campus

KI-Transformation

in Tax, Compliance & Finance

z Entwicklung einer nachhaltigen KI-Strategie im Unternehmen z 3 Module, getrennt buchbar, zugeschnitten auf Ihre individuellen Anforderungen

Tax-Transformation & Steuerfunktion mittels Künstlicher Intelligenz: Use Cases & Live-Demos

KI-Perspektiven für CFO & Audit: KI-gestützte Finanzberichterstattung, Forecasts und Prüfungsstandards 2 3 1

Compliance-Management & KI: Einsatzmöglichkeiten und KI-Lösungen unter Berücksichtigung des AI-Act, der DSGVO und ethischer Aspekte

Fachliche Leitung & Moderation:

Kirstin Krippner KPMG

Vortragende

Martin Setnicka S!MART thinking

Thomas Androsch, KPMG Law | Eberhard Bayerl, KPMG | Karin Bruchbacher, KPMG Law

Mario Felice, BMF | Michael Ginner, KPMG | Kerstin Heyn-Schaller, KPMG | Marcus Hudec, Universität Wien

Hannah Kercz, KPMG Law | Christian Sikora, KPMG | Lena-Maria Urban, KPMG Law

24.4. / 15.5. / 5.6.2024

9:00–17:00 Wien

MEETS ESG