Was erwarten Sie, wenn Sie morgens in ihr Auto steigen? Da gibt es bestimmt eine Menge Antworten, aber was erwarten Sie implizit, wenn Sie den eigentlichen Nutzen des Autos betrachten? Jede Form des Fortbewegungsmittels beinhaltet u.a. den Anspruch von Sicherheit. Nun gibt es in der englischen Sprache die Differenzierungsmöglichkeit in „Safety“ und „Security“. Ersteres bezieht sich auf die Produktsicherheit (Product Safety) im weitesten Sinn, während letzteres mehr die Informations- und IT-Sicherheit (Information/IT Security) thematisiert. Im Rahmen der deutschen Sprache müssen wir mit einem Begriff auskommen, was aus meiner Sicht aber eher ein Vorteil als ein Problem ist. Doch Produkte stehen bei allen Unternehmen ziemlich am Ende eines langen Wertschöpfungsprozesses, der wiederum (zumindest bei Produktionsunternehmen) von Ingenieursleistungen und IT begleitet wird. Ergänzt man die Betrachtung um den dritten Faktor der wirtschaftlichen Leistungen, spannt sich eine dreidimensionale Verflechtung sowohl entlang der Aufbau- als auch der Ablauforganisation auf. Natürlich stehen dabei an erster Stelle die Gewinnerzielungsabsicht und das Vorhaben stetiger Wettbewerbsfähigkeit, um zukünftig an den globalen und zunehmend digitalisierten Märkten bestehen zu können. Doch die wenig erfreuliche Liste von IT-Zwischenfällen in 2017 mit den Beteiligten namens Shadow Brokers, WannaCry, Petya, NotPetya, Nyetya, Goldeneye, Wikileaks CIA Vault 7, Cloudbleed etc. ist beunruhigend1. Das rückt die Sicherheit in den Fokus. Ganz im Sinne der oben angesprochenen deutschen Spracheigenschaft sind Unternehmen gut beraten, das Thema Sicherheit ganzheitlich anzugehen. Für börsennotierte Unternehmen hierzulande steht die Umsetzung oder begründete Nicht-Umsetzung des Deutschen Corporate Governance Kodexes im Mittelpunkt solcher Maßnahmen (anderen Unternehmensformen wird die Umsetzung empfohlen). „Der Deutsche Corporate Governance Kodex (der ‚Kodex‘) stellt wesentliche gesetzliche Vorschriften zur Leitung und Überwachung deutscher börsennotierter Gesellschaften (Unternehmensführung) dar und enthält international und national anerkannte Standards guter und verantwortungsvoller Unternehmensführung.“2 Ein Teil davon entfällt auf das Risiko- und Compliance-Managements. Beide Institutionen und Maßnahmenpakete erfordern eine Rückendeckung von oberster Stelle, die sich juristisch in der letztendlichen Verantwortung bei den Organen (Organisation und Kontrolle) manifestiert. Der Rahmen ist also gesteckt und wir können uns ins Auto setzen. Reicht das aus? Wir werden sehen, denn die beiden folgenden Beiträge konkretisieren diese Anforderungen weiter.
Prof. Dr. Dirk Drechsler ist Autor mehrere Studienbriefe:
1410 Corporate Governance und Unternehmensethik
1420 Risikomanagement
1430 Compliance-Management-Systeme
1 Vgl. Newman, 2017, ohne Seitenangabe
2 Regierungskommission, 2017, S. 1
Literatur:
Newman, Lily Hay; The biggest cybersecurity disasters in 2017 so far; in: Wired; 01.07.2017; URL: https://www.wired.com/story/2017-biggest-hacks-so-far/ (letzter Zugriff am: 13.08.2017); 2017.
Regierungskommission Deutscher Corporate Governance Kodex; Deutscher Corporate Governance Kodex; in der Fassung vom 7. Februar 2017 mit Beschlüssen aus der Plenarsitzung vom 7. Februar 2017; URL: http://www.dcgk.de//files/dcgk/usercontent/de/download/kodex/170424_Kodex.pdf (letzter Zugriff am 13.08.2017); 2017.