Aus dem Unterricht des CAS Digital Risk Management mit Ferdinand Kobelt berichtet Jacek Wojdyla:

Beim heutigen Thema befassten wir uns mit den Aufgaben/Tätigkeiten von Verwaltungsräten und Führungsorganen im Zusammenhang mit Digital Risk Management und Digital Governance aus gesamtheitlicher Unternehmenssicht.

Aufgaben des Verwaltungsrates (AG)

Der Verwaltungsrat ist oberstes Aufsichts- und Gestaltungsorgan der Aktiengesellschaft und führt die Geschäfte selber oder er überträgt die Geschäftsführung an Dritte. Nach Gesetz hat der Verwaltungsrat unübertragbare Aufgaben (Art. 716 OR).

Der Verwaltungsrat ist der Sensor für Veränderungen. Verwaltungsräte brauchen einen weiten Horizont, um die grössten Herausforderungen der Unternehmung festzustellen, welche die Geschäftstätigkeit stark beeinflussen könnten. Der Verwaltungsrat muss heute, um seine Entscheidungen auf guten Grundlagen basieren zu können, ein umfangreiches Monitoring im Unternehmen sowie Business Intelligence sicherstellen.

Streben nach Wachstum, Gewinnmaximierung erfordern immer neue Ideen und Innovationen. Bei der Einführung digital getriebener Produkte und Dienstleistungen muss das Management drei Kernelemente immer im Fokus behalten: Komplexität, Qualität und Sicherheit. Das Risikomanagement spielt hierbei eine wesentliche Rolle als Vorbereitung bei der erfolgreichen Einführung neuer Geschäftsmodelle, für die der VR und das Management letztendlich gegenüber ihren Stakeholdern verantwortlich sind.

Corporate (Digital) Governance

Corporate Governance (CG) bezeichnet sämtliche Grundsätze und Regeln, mit deren Hilfe die Strukturen und das Verhalten der obersten Führungskräfte gesteuert und überwacht werden können. Durch die Corporate Governance wird das Verhältnis zwischen den Aktionären, dem Verwaltungsrat und der Geschäftsführung geregelt.

In der Schweiz sind der «Swiss Code of Best Practice for Corporate Governance» – der Leitfaden des Wirtschaftsdachverbands «Economiesuisse» – und die Corporate Governance Richtlinien der Schweizer Börse «Six Swiss Exchange» am weitesten verbreitet.

Von «Digital Governance» spricht man, wenn die digitalen Elemente in die «Corporate Governance» einfliessen und auf Stufe Verwaltungsrat behandelt werden.

Risikomanagement

Nebst den üblichen strategischen Kernfaufgaben, wie Finanzplanung, Strategiedefinition und Organisation, trägt der Verwaltungsrat die Gesamtverantwortung für das Risikomanagement im Unternehmen und definiert die Risikostrategie. Er muss periodisch das Risikoprofil überprüfen und ist für die Festlegung und Überwachung des internen Kontrollsystems verantwortlich. Zudem muss er eine Risikobeurteilung durchführen und berichtet darüber im Lagebericht.

Dualer Management Ansatz

Das folgende Diagramm veranschaulicht, wie in einem Unternehmen digitale Visionen /Veränderungen durch das oberste Management erkannt und in einem weiteren Schritt durch die digitalen Experten und den entsprechenden operativen Einheiten umgesetzt werden.

Kernfragen im Zusammenhang mit der Digitalisierung im Unternehmen

  • Welche neuen, digitalen Bedürfnisse der Gesellschaft will ich als Unternehmer mit dem Unternehmen erfüllen?
  • Womit kann ich durch die Digitalisierung einen Mehrwert für die Stakeholder schaffen (Kunden, Mitarbeiter, Anteilseigner, Kapitalgeber, Öffentlichkeit)?
  • Was sind im Bereich «Digital» die Kernkompetenzen meines Unternehmens?
  • Welches meiner digitalen Produkte/Leistungen ist für den Kunden besonders wertvoll?
  • Welches meiner digitalen Produkte/Leistungen eröffnet mir Zugang zu neuen/vielen Märkten?

Chancen: Was muss Board und Management bei der erfolgreichen Umsetzung der Digitalisierung beachten?

  • Bereitstellung geeigneter personeller Ressourcen für Digital Business (Ausreichend und mit spezifischem Know-how)
  • Ein geeignetes Geschäftsmodell (Aufbau- und Ablauforganisation) für das Digital Business entwickeln z.B. zentrales oder dezentrales Team, Digital Leader (CDO) bestimmen
  • Regeln, Verfahren, Verhaltensweisen der Digitalisierung anpassen (Digital Governance)
  • Kontrollierte IT-Entwicklungen in den Geschäftseinheiten ermöglichen, nicht nur in der IT-Abteilung
  • Entsprechende Budgets sind einzuplanen
  • Berücksichtigung der rechtlichen Rahmenbedingungen (Compliance)
  • Governance Instrumente einsetzen (PDCA-Zyklus)

Risiken

Strategische Risikoklassen werden von der Unternehmensführung in den Bereichen «Business», «Finance», «Markets», «Recht & Umwelt» und «Operations» behandelt. Operative Risiken im Zusammenhang mit Cybersecurity, bspw. Menschliches Versagen (verantwortlich für 52% der erfolgreichen Cyberattacken), Phishing E-Mails oder APT-Attacken etc. fallen in den Zuständigkeitsbereich von Risk- und IT-Operations.

Governance Frameworks und Standards

Die Unternehmensführung hat die Möglichkeit anhand von standardisierten Modellen und Richtlinien ihr Risikomanagement strategisch und strukturiert im Unternehmen umzusetzen.

  • ISO/IEC 31000:2009 Risk Management – Guidelines for principles and implementation of risk management
  • ONR 49000:2014 ff. Risikomanagement für Organisationen und Systeme – Begriffe und Grundlagen – Umsetzung von ISO 31000 in die Praxis
  • ISO/IEC 27001/27002:2013 – Information Security Management
  • NIST (National Institute for Technollogical Standards) – Cybersecurity Framework
  • CIS – Internet Security Controls
  • BITS – Social Media Risks and Mitigation