ACNews. Aus der Praxis: International:

Größe: px
Ab Seite anzeigen:

Download "ACNews. Aus der Praxis: International:"

Transkript

1 ACNews AUDIT COMMITTEE NEWS/Fachpublikation für Aufsichtsräte Ausgabe 15/März 2014 Aus der Praxis: Der geheime Kampf um die Daten Den richtigen Vorstand bestellen Kompetenter Aufseher, unabhängiger Vermittler und neutrales Korrektiv im Aufsichtsrat von Familienunternehmen International: CR Berichterstattung im Trend

2 Inhalt Aus der Praxis Der geheime Kampf um die Daten 4 Vorsorge ist gefragt: Angriff abwehren, Spuren sichern und Lessons Learned 6 Den richtigen Vorstand bestellen eine Langfristaufgabe 8 Unabhängigkeit im Aufsichtsrat von Familienunternehmen 10 Kompetenter Aufseher, unabhängiger Vermittler und neutrales Korrektiv im Aufsichtsrat von Familienunternehmen 12 Lästige Pflicht? Prüfung von Jahres- und Konzernabschluss durch den Aufsichtsrat 14 Resonanz statt Redundanz Zusammenspiel von Jahresabschlussprüfung und interner Revision 16 Die OePR wird eine Präventivwirkung entfalten 20 Basel III: Die wesentlichsten Neuerungen 22 Solvency II Wohin geht die Reise? 24 International CR Berichterstattung im Trend 26 Im Gespräch Interview: Fünf Fragen an den Aufsichtsrat 28 Pinboard Events, Publikationen 30 Ihre Teilnahme am ACI Ziel des Audit Committee Institute von KPMG ist es, Aufsichtsorganen ein Forum für Diskussion, Information und Meinungsaustausch zu bieten. Die Teilnahme am ACI ist kostenlos und unverbindlich. Mit Ihrer Anmeldung erhalten Sie zweimal jährlich die Fachpublikation ACNews zugestellt mit Berichten über aktuelle Themen, die für Aufsichtsräte von Relevanz sind. Darüber hinaus werden Sie zum Audit Committee Round Table eingeladen einer Veranstaltung, die neben informa tiven Referaten die Möglichkeit zum persönlichen Meinungsaustausch zwischen Aufsichtsräten bietet. Anmeldung: Kontakt: Audit Committee Institute KPMG Austria AG Mag. Rainer Hassler 1090 Wien, Porzellangasse 51 Tel. +43 (1) Mag. Michael Ahammer 4020 Linz, Kudlichstraße 41 Tel. +43 (732) Audit Committee News, Ausg. 15/März Herausgeber: KPMG Austria AG 1090 Wien Für den Inhalt verantwortlich: Mag. Michael Ahammer Mag. Rainer Hassler AutorInnen dieser Ausgabe: Georg Beham, MSc Mag. Christian Grinschgl Mag. Yann-Georg Hansa Dr. Günther Hirschböck Dr. Johann Kronthaler Dr. Elisabeth Raml Elisabeth Scheiring, MSc Mag. Dominik Zacherl Fakten: Erscheint seit: 2006, zweimal jährlich Auflage: Stück Ausgewählte Artikel wurden aus dem Audit Committee Quarterly III/2013 (D) übernommen. Koordination: Elisabeth Scheiring, MSc Grafik und Design: Mag. Johanna Roither Druck: Das Österreichische Umweltzeichen für Druckerzeugnisse, UZ 24, UW 686 Ferdinand Berger & Söhne GmbH KPMG Austria AG Wirtschaftsprüfungs- und Steuerberatungsgesellschaft, österreichisches Mitglied des KPMG- Netzwerks unabhängiger Mitgliedsfirmen, die KPMG International Cooperative ( KPMG International ), einer juristischen Person schweizerischen Rechts, angeschlossen sind. Alle Rechte vorbehalten. Printed in Austria. KPMG und das KPMG-Logo sind eingetragene Markenzeichen von KPMG International. Die enthaltenen Informationen sind allgemeiner Natur und nicht auf die spezielle Situation einer Einzelperson oder einer juristischen Person ausgerichtet. Obwohl wir uns bemühen, zuverlässige und aktuelle Informationen zu liefern, können wir nicht garantieren, dass diese Informationen so zutreffend sind, wie zum Zeitpunkt ihres Eingangs oder dass sie auch in Zukunft so zu treffend sein werden. Niemand sollte auf Grund dieser Informa tionen handeln ohne geeigneten fachlichen Rat eingeholt zu haben. Die in dieser Zeitschrift vorhandenen personenbezogenen Bezeichnungen sind aufgrund der besseren Lesbarkeit und Verständlichkeit des Textes zumeist in der männlichen Form angegeben, beziehen sich aber selbstverständlich geschlechtsneutral sowohl auf die weibliche als auch auf die männliche Form. Wir danken für Ihr Verständnis. Unbenannt :28:58

3 Editorial Sehr geehrte Aufsichtsräte! Unternehmen, ihre Mitarbeiter sowie auch Sie als Kontrollorgan werden mit Veränderungen, neuen Gesetzen und Trends konfrontiert, die wesentlichen Einfluss auf den Arbeitsalltag nehmen. Auch die jüngste Umfrage des KPMG Audit Committee Institute nimmt auf diese Vielzahl an Veränderungen für Aufsichtsräte Bezug (zb gesetzliche/ regulatorische Compliance, Bestechung/Korruption, finanzielle Risiken, Risiken im Bereich IT und Cyber-Sicherheit, etc). Frühindikatoren können eine wesentliche Hilfestellung geben um zu verdeutlichen, wie das Unternehmen ausgerichtet ist und ob es sich mit seiner Strategie auf dem richtigen Weg befindet. Rechtzeitig vorzusorgen und die richtigen unternehmensrelevanten Entscheidungen zu treffen, kann auch hinsichtlich technologischer Trends wie Cloud Computing oder sozialer Netze für das Unternehmen essentiell werden. Finden Sie in der aktuellen Ausgabe zb Fragestellungen für adäquate Schutzmaßnahmen hinsichtlich Datensicherheit. Während Aufsichtsräte auf der einen Seite als Kontrollorgan agieren, wird auf der anderen Seite die Auswahl der Vorstandsmitglieder seitens des Gesetzgebers ganz in die Hand des Aufsichtsorgans gelegt. Dies gilt für die Bestellung des Vorstands von börsennotierten Gesellschaften wie auch für Familienunternehmen. Welche Kompetenzen insbesondere im Aufsichtsrat von Familienunternehmen die in Österreich einen ca 80-prozentigen Anteil an der Wirtschaft darstellen von Relevanz sind, können Sie ebenfalls in dieser Ausgabe erfahren. Wichtige Projekte auf europäischer Ebene waren auch Basel III sowie Solvency II. Finden Sie dazu weitere Informationen in diesem Heft. Unsere Fragen zu Kompetenzen und Eigenschaften von Aufsichtsräten, über verpflichtende Fortbildungsmaßnahmen sowie weitere Themen beantwortet Mag. Dr. h.c. Monika Kircher, CEO Infineon Technologies Austria AG. Univ. Prof. Roman Rohatschek, Stv. Leiter der OePR, haben wir darüber hinaus zu den Aufgaben der österreichischen Prüfstelle befragt. Ich wünsche Ihnen ein erfolgreiches Aufsichtsratsjahr und hoffe, dass wir Ihnen mit dieser Ausgabe wieder anwendbare Informationen für Ihre Funktion als Aufsichtsrat geben konnten. Rainer Hassler ACNews März

4 Der geheime Kampf um die Daten Eine Bedrohung für die Wirtschaft? Angela Merkel ist eine Terrorverdächtige. So muss es wohl sein. Weshalb sonst hätte die NSA die deutsche Bundeskanzlerin über so viele Jahre abgehört? Es sei denn, es geht doch nicht nur um Terrorabwehr und Verbrechensbekämpfung bei der Datensammelwut der amerikanischen Geheimdienste und ihrer Verbündeten. Genau so ist es. ZUR PERSON Elmar Theveßen ist stellvertretender Chefredakteur und Leiter der Hauptredaktion Aktuelles des ZDF. Wir stecken mitten drin in einem Kampf um den Erhalt und die Vorherrschaft unterschiedlicher politischer und gesellschaftlicher Systeme. In diesem Krieg gilt mehr als je zuvor: Wissen ist Macht. Es ist eine wilde und meist geheime Jagd auf Billionen politischer, wirtschaftlicher, gesellschaftlicher und militärischer Informationen, aus denen mithilfe perfektionierter Analysesoftware zukünftige Entwicklungen erkannt, aber auch konkrete Handlungsoptionen für politisches und strategisches Handeln entwickelt werden. Im Zentrum steht dabei vor allem die Wirtschaftsspionage. Der Antiterrorkampf und die Bekämpfung des organisierten Verbrechens sind da eher Nebenkriegsschauplätze, ausgeschaltete Terroristen und Kriminelle nur Beifang. Man stelle sich ein Land vor, das sich in einer extrem instabilen Lage befindet: Die Wirtschaft liegt am Boden, die Banken stehen am Abgrund, viele Politiker sind korrupt, die Arbeitslosigkeit ist hoch, es gibt Unruhen in den Straßen. Wenn ich über alle Akteure und über die Menschen im Land genauestens Bescheid weiß, könnte ich Banken in die Zahlungsunfähigkeit treiben, Menschenmassen in Aufruhr versetzen, Politiker erpressen und am Ende für wenig Geld das nationale Tafelsilber kaufen, zum Beispiel den größten Industrieund Fährhafen des Landes. Und wenn es Widerstand dagegen in der Bevölkerung gibt, können die gesammelten Daten auch zur Manipulation, Einschüchterung und Unterdrückung Andersdenkender missbraucht werden. Es ist mehr als ein Fantasieszenario, denn die Werkzeuge und Möglichkeiten dafür sind längst vorhanden. Am 31. Mai 2006 empfängt die Industrieund Handelskammer Frankfurt am Main hohen Besuch. Der damalige Präsident der Weltbank, Paul Wolfowitz, hält eine Rede. Vor seiner Ankunft im Gebäude am Börsenplatz stören sich die Sicherheitskräfte an einem dort abgestellten herrenlosen Pkw. Die deutsche Polizei ermittelt über das Kennzeichen den Fahrzeughalter und dessen Handynummer, kann ihn aber nicht erreichen. Amerikanische Beamte brauchen nur wenige Minuten, dann wissen sie, in welchen zwei Geschäften auf der Frankfurter Zeil der Gesuchte gerade was für wie viel Geld gekauft hat. Sie haben Zugriff auf seine Kreditkartendaten in Echtzeit. An einem Dienstagmittag im August 2013 ereignet sich im westfälischen Beckum etwas Seltsames: Wie von Geisterhand bewegt, beginnen die schweren Glocken der Stephanskirche zu schaukeln das Sonntagsgeläut mitten in der Woche. Ein Hacker mit Laptop hat es ausgelöst, ein netter Streich mit ernstem Hintergrund. Der Angriff gelingt, weil das Steuerungssystem der Kirche an das Internet angeschlossen ist. Glocken, Heizung, Stromversorgung ein Gotteshaus in Hackerhand. Die Experten vom CT- Magazin haben allein in Deutschland mehr als 100 Einrichtungen gefunden, die anfällig für solche Angriffe sind, darunter Fußballstadien, Gefängnisse und sogar Heizkraftwerke. Auf den ersten Blick mögen die beiden Vorfälle nicht viel miteinander zu tun haben. Aber sie zeigen das ganze Spektrum der Möglichkeiten, über die der amerikanische Geheimdienst NSA verfügen möchte vom Zugriff auf die Daten Einzelner bis zum Angriff auf die kritische Infrastruktur eines Landes. Das eine kann 4 ACNews März 2014

5 dabei durchaus dem anderen dienen. Wer möglichst persönliche Informationen über Menschen hat, kann umso leichter ihre Unterstützung erzwingen oder sich von ihnen Passwörter für den Diebstahl von Firmengeheimnissen oder für den Eingriff in sensible Industrieanlagen erschwindeln. Es klingt so weit entfernt vom 11. September 2001, der eine Art Katalysator für diese Entwicklung war. Zuerst ging es tatsächlich um Terrorabwehr, und die freie Wirtschaft wollte helfen. Telekommunikationsunternehmen, Kreditinstitute und Internet-Provider boten den Nachrichtendiensten ihre Daten an. Als sie später Skrupel bekamen, flatterten ihnen richterliche Anordnungen ins Haus, und sie sahen sich massivem Druck durch die Behörden ausgesetzt. Einige protestierten, brauchten aber gleichzeitig die Hilfe der Datensammler, um vor Wirtschaftsspionage und Hackerattacken besser geschützt zu sein. Seitdem haben die NSA und ihre Partnergeheimdienste ihre Programme massiv ausgebaut und dabei ein System zum Unterlaufen rechtlicher Hemmnisse errichtet: Sie spähen jeweils die Staatsbürger der anderen aus und tauschen dann die Daten. Bis vor wenigen Jahren war es nicht möglich, Unmengen von Daten zielgenau zu analysieren, geschweige denn sie zielgerichtet als Waffe einzusetzen. Dies ist durch die Entwicklung entsprechender Software, die Erschaffung komplexer Viren und den Zugriff auf alle vernetzten Geräte möglich. Insofern sind PRISM, Tempora und XKeyscore nur Werkzeuge in einem größeren Kampf, den der ehemalige NSA-Chef Michael Hayden so beschreibt: Fast alles, was derzeit da draußen läuft, ist Cyberspionage. Also Leute, die anderen Leuten Daten stehlen. Aber es geht auch schon darum, Systeme zu stören, und die nächste Stufe ist, etwas zu zerstören. Diese Stufe ist eigentlich längst erreicht. Es war der Stuxnet-Angriff auf das iranische Atomprogramm im Jahr Seitdem ist alles realisierbar. Amerika hat den ersten großen Angriff geführt, seine Gegner schlugen mit ähnlichen Methoden zurück. Banken, Behörden, sogar das Staudammsystem der USA wichtiger Bestandteil der Wasserversorgung des Landes wurden zum Ziel. Auch deshalb hat Barack Obama im September 2012 grünes Licht für die ganze Bandbreite an Cyberkriegsoptionen gegeben. In einer streng geheimen Anweisung des Präsidenten heißt es: Cyberattacken bieten einzigartige und unkonventionelle Fähigkeiten, um nationale Ziele der USA rund um die Welt voranzubringen. Alle Behörden sollen mögliche Ziele nationaler Bedeutung identifizieren, bei denen offensive Cyberoperationen eine günstige Balance zwischen Wirkung und Risiko im Vergleich mit anderen Werkzeugen nationaler Stärke bieten können. Als Hauptgegner gelten den USA dabei Länder wie Iran, Russland und vor allem China. Dort sieht man die Vereinigten Staaten als Angreifer, sich selbst aber als Opfer. Wang Xiaodong, einer der Vordenker des chinesischen Cyberkrieg- Programms, sagt: China darf und wird diesen Krieg nicht verlieren. Wer diesen Krieg verliert, wird auf ewig zur Kolonie des Siegers. Diesen Konflikt moralisch zu lösen, ist aussichtslos nur eine massive Aufrüstung in diesem Bereich wird die USA davon abhalten können, die Welt nach ihren Vorstellungen zu beherrschen und anderen ihren Willen aufzuzwingen. Aufrüstung heißt vor allem Daten sammeln. Mit dem gesammelten Wissen lassen sich die Waffen für die globale Auseinandersetzung zielgerecht auswählen und steuern, von politischer Erpressung bei bilateralen und multilateralen Verhandlungen über Sabotage und das Ausbooten anderer Wettbewerber im Wirtschaftsmarkt bis zu gezielten Angriffen mit Computerviren auf militärische und staatliche Einrichtungen sowie die kritische Infrastruktur eines Landes, mit Drohnenattacken, Kommandounternehmen und Mordanschlägen auf echte und vermeintliche Staatsfeinde. Die Industrie- und Wirtschaftsspionage ist entgegen allen Beteuerungen der Nachrichtendienste eine ihrer wichtigsten Aufgaben. Die Überwachung der Handelsdelegationen bei internationalen Tagungen, zb bei den G-20-Treffen, gehört genauso zum Repertoire wie die gezielte Ausspähung einzelner Unternehmen. Angriffe auf Firmen wie EADS oder Enercon in den vergangenen Jahren sind nur die Spitze eines Eisbergs. Der britische Lauschdienst GCHQ soll gemäß seinem Auftrag auch alles sammeln, was dem Wohle der britischen Wirtschaft dient. Die französische Handelsministerin erklärte Ende Oktober 2013, Wirtschaftsspionage sei eine Realität, und Frankreich müsse darin besser sein und besser organisiert als die anderen Länder. Die vom BDI geforderte Ächtung der Wirtschaftsspionage im Rahmen eines künftigen Freihandelsabkommens zwischen den USA und der EU erscheint angesichts solcher Haltungen reines Wunschdenken; die Einhaltung einer solchen Vereinbarung wäre kaum zu überprüfen. Und andere Wirtschaftsnationen, allen voran China und Russland, würden sich ins Fäustchen lachen. Jedes zehnte Unternehmen in Deutschland wird einmal pro Tag zum Ziel von Ausspähversuchen. Gesammelte Massendaten spielen dabei eine wichtige Rolle, weil in ihnen wertvolle Einzelinformationen stecken, die man nur mit der richtigen Software ausfiltern müsste. Die gewonnenen Daten können wiederum als Waffe genutzt werden, auch für Angriffe auf Infrastruktur oder Kommunikationssysteme. Die Netze der Telekom werden täglich Mal zum Ziel von Cyberattacken. Dieser neue Krieg befeuert eine neue Cyberrüstungsindustrie, die teure Computerprogramme zum Schutz vor Angriffen und gleichzeitig auch für eigene Angriffe entwickelt. Alle bisherigen Schutzmechanismen Datenschutzrichtlinien, internationale Konventionen oder gegenseitige Freundschaftsschwüre sind meist nur reine Kosmetik, in jedem Fall aber wirkungslos. Die Empörung westlicher Politiker über die Ausspähmaschinerie ist pure Heuchelei. Es geht hier um nicht weniger als die Frage, welches politische System in diesem Jahrhundert die Oberhand behält. Die US-Regierung hält es in diesem Konflikt offenbar für gerechtfertigt, sogar enge Verbündete und gute Freunde auszuspähen. Wenn Barack Obama glaubt, dass dies den nationalen Interessen der USA dient, irrt er gewaltig. Denn Amerika braucht Freunde und deren Verständnis und Unterstützung für den gemeinsamen Schutz vor Cyberangriffen der anderen. Letztlich muss der Westen sein Wertesystem schützen, ohne auf Methoden zurückzugreifen, die diese Werte selbst infrage stellen. ACNews März

6 Vorsorge ist gefragt: Angriff abwehren, Spuren sichern und Lessons Learned Die bislang stets bevorzugte Strategie der Prävention gegen Sicherheitsvorfälle von außen muss angesichts der technologischen Trends wie Cloud Computing, Bring Your Own Device (BYOD) oder der zunehmenden Verbreitung sozialer Netze als nicht mehr wirksam angesehen werden. Die große Verbreitung mobiler Endgeräte bedeutet für Unternehmen, die Kontrolle über ihr geistiges Eigentum zu verlieren, da sich diese Informationen nicht mehr innerhalb des Unternehmensumfelds befinden. Auch die Nutzung von Cloud-Diensten führt dazu, dass die schutzwürdigen Informationen nicht mehr nur innerhalb der eigenen Infrastruktur zu finden sind, sondern auch außerhalb. Zudem werden Angriffe gegen die Unternehmen subtiler und viel gezielter ausgeführt. Dies führt ebenfalls dazu, dass klassische Schutzsysteme wie Antivirus und Firewall nahezu blind sind, weil diese Angriffe nicht in der Breite bei den Herstellern dieser Systeme registriert werden. Welche neuen IT-Sicherheitsstrategien sind denkbar? Die Prävention der Zukunft heißt Detektion. Die Unternehmen müssen aktiv daran arbeiten, die Erkennung von erfolgreichen Angreifern auf die eigene Infrastruktur zu beschleunigen und die Verweilzeiten erfolgreicher Angreifer zu reduzieren. Dies erfordert die intensive Kenntnis der Vorgänge im eigenen Netz, die nur mittels aktiver Überwachung erlangt werden kann. Die Vorgangsweise zur Analyse von Sicherheitsvorfällen sollte idealerweise bereits im Vorfeld abgestimmt bzw ein externer Partner eingebunden werden, um möglichst zeitnahe Analysen zu ermöglichen. Neben den Interessen der Unternehmen sind aber auch die Persönlichkeitsrechte der Mitarbeiter hinsichtlich nicht überwachter (privater) Kommunikation zu respektieren. Besonders im Hinblick auf die bevorstehende Konsolidierung des Datenschutzgesetzes (EU Datenschutz Grundverordnung) sollte der rechtliche Rahmen (beispielsweise in Form von Zustimmungserklärungen oder Endbenutzervereinbarungen) geschaffen werden. Kenne die Werte! Unkenntnis der vorhandenen Daten (-typen) ist das Ende einer jeden Sicherheitsstrategie. Gezielte Sicherheitsmaßnahmen müssen sich nach dem Schutzbedarf der zu schützenden Daten orientieren. Dazu ist es wesentlich, einen Überblick über die eingesetzten Systeme und die damit verarbeiteten Daten zu erlangen. Nur so können Sicherheitsstrategien zielgerichtet entwickelt werden. In der Praxis haben sich Workshops mit den Stakeholdern des Unternehmens zur Identifikation von Kronjuwelen sowie eine nachgelagerte Analyse von dazugehörigen Sicherheitsmaßnahmen und deren Effektivität als sehr zielführend erwiesen. Die unabhängige Sicht auf das tatsächliche Sicherheitsniveau brachte oftmals unbekannte Angriffsvektoren oder Schwachstellen zum Vorschein. Lückenlose Aufklärung als Prävention für zukünftige Angriffe! Der sich zuletzt abzeichnende Trend lässt erkennen, dass für eine lückenlose Aufklärung professionelle forensische Ermittlergruppen notwendig werden, da in den Unternehmen zumeist kein ausreichend qualifiziertes Personal dafür vorhanden ist. In der von KPMG 2013 durchgeführten e-crime Studie sehen beinahe die Hälfte der befragten österreichischen Unternehmen die Rekrutierung von kompetentem Personal für die Prävention, Erkennung und Reaktion auf e-crime als Herausforderung. Auch die Tatsache, dass mehr als ein Drittel der betroffenen Unternehmen angaben, durch Zufall auf e-crime Vorfälle aufmerksam gemacht worden zu sein, zeigt, dass zum Thema e-crime noch Nachholbedarf besteht und Mitarbeiter noch besser geschult, sensibilisiert und Prozesse verbessert werden müssen. Reaktionsfähigkeit überschätzt Auch wenn die Erkennung und Aufklärung von Angriffen immer schwieriger wird, neigen die Unternehmen in Österreich dazu, ihre Vorbereitung auf die Bekämpfung von e-crime Vorfällen zu überschätzen. Die e-crime Studie zeigt, dass die konkrete Betroffenheit von e-crime Vorfällen die Reaktionsmaßnahmen beeinflusst: Bisher nicht betroffene Unternehmen sehen die Sanktionierung als erste Reaktionsmaßnahme bei Bekanntwerden von e-crime Vorfällen. 6 ACNews März 2014

7 Wie würden bzw wie haben Sie beim Bekanntwerden von e-crime-vorfällen reagiert? (unterschieden nach nicht betroffenen Unternehmen und jenen, die in den vergangenen zwei Jahren von e-crime betroffen waren) Angaben in Prozent (Mehrfachnennung möglich) Veränderung der bestehenden Präventionsmaßnahmen Sanktionierung der Täter Organisatorische Maßnahmen oder Strukturverändeungen 87 % 82 % 87 % 79 % 96 % 96 % Personelle Veränderungen von Verantwortlichkeiten und Zuständigkeiten 40 % 59 % Geplant (nicht betroffene Unternehmen) Tatsächlich (betroffene Unternehmen) Betroffene Unternehmen dagegen setzen eher zuerst auf die Anpassung von Präventionsmaßnahmen, da sie möglicherweise gelernt haben, dass der Schaden dadurch geringer zu halten ist (siehe Abbildung oben). Erweiterte Aufgaben für den Aufsichtsrat Vor dem Hintergrund der Überwachungsund Beratungspflichten des Aufsichtsrats sind verschiedene Fragen aus Sicht des Aufsichtsrats zu stellen: 1. Werden in Ihrem Unternehmen die wichtigsten Informationswerte (Kronjuwelen) identifiziert und adäquate Schutzmaßnahmen definiert? 2. Verfügt das Unternehmen über angemessene organisatorische Regelungen, die Mitarbeiter in die Lage versetzen, im Rahmen ihrer täglichen Arbeit möglichst wenig Angriffsfläche von außen zu bieten? Dies betrifft beispielsweise den Umgang mit s fremder Versender, mit unbekannten Telefonanrufern etc 3. Hat das Unternehmen Meldeprozesse installiert, sodass Verdachtsfälle hinsichtlich Sicherheitsproblemen und Angreifern gemeldet werden können? 4. Hat das Unternehmen wirksame Detektionsmaßnahmen gegen Sicherheitsverstöße etabliert? 5. Hat das Unternehmen die Wirksamkeit der Detektionsmaßnahmen geprüft und in einen kontinuierlichen Verbesserungsprozess eingebunden? Incident Response Vorsorge ist gefragt. In der Stress Situation eines identifizierten Hackerangriffes muss unmittelbar reagiert werden. Der Angreifer kann immer noch Herr des Systems sein. Abschalten von Systemen ist oft nicht die richtige Lösung. Zeitkritische Unternehmensprozesse würden dabei unterbrochen. Zumal könnte ein Abschalten den Angreifer darauf aufmerksam machen, dass er entdeckt wurde, was die spätere Identifikation des Angreifers erschweren könnte. Das Abschalten von Systemen löscht auch wichtige Spuren, die nicht mehr wiederherstellbar sind. Lässt man jedoch die Systeme weiter laufen, könnte der Schaden auch noch ansteigen. Beispielsweise, wenn der Angreifer sich im Netzwerk weiter ausbreitet oder Daten abzieht. Computer Forensiker können in solchen Situationen rasch die nötigen Informationen liefern, damit die Verantwortlichen eine faktenbasierende Entscheidung treffen können. Zusätzlich sollte jede Handlung penibelst dokumentiert werden. Eine gute Dokumentation von Beginn an ist die Basis für eine erfolgreiche Analyse des Vorfalles. Spezielle Computer Forensik Programme ermöglichen es, dass Datenbestände für spätere Untersuchungen mittels digitaler Fingerabdrücke eingefroren werden. Dies ist vor allem bei nachfolgenden Rechtsstreitigkeiten (Schadensersatz, Haftung etc) ein essentieller Schritt, die Daten werden in eine Art digitaler Asservatenkammer gesichert. Nicht jedes Unternehmen kann eigene Computer Forensiker beschäftigen. Hier sollte im Vorfeld schon der richtige externe Partner gewählt und eingebunden werden. ACNews März

8 Den richtigen Vorstand bestellen eine Langfristaufgabe Der Aufsichtsrat bestellt die Mitglieder des Vorstands einer Aktiengesellschaft und spricht wenn nötig Abberufungen aus. Der Gesetzgeber hat diese Aufgabe als wichtigstes Instrument vorbeugender Überwachung ganz in die Hand des Aufsichtsorgans gelegt: Das Gremium muss eigenständig geeignete Geschäftsführer auswählen, um die im Interesse von Unternehmen und Stakeholdern richtige Leitung einzusetzen. ZUR PERSON Dr. Willi Schoppen, Unternehmensberater mit internationaler Board- Expertise. In der Praxis kann der Aufsichtsrat diese Aufgabe kaum im Alleingang bewältigen. Er muss hier mit dem Vorstand kontinuierlich zusammenarbeiten, wobei Zuständigkeiten klar zu definieren sind. Zusammenarbeit von Aufsichtsrat und Vorstand essenziell Die interne Besetzung dominiert nach wie vor, auch wenn die Internationalisierung des Vorstands und die Suche nach mehr weiblichen Mitgliedern den Anteil externer Besetzungen steigen lassen wurden nach einer Untersuchung von Spencer Stuart circa 65 Prozent der Vorstandsmitglieder deutscher Unternehmen intern auf diese Position befördert. Der Aufsichtsrat jedoch hat im Rahmen seiner regulären Sitzungen nur sehr eingeschränkt Gelegenheit, Führungskräfte unterhalb der Vorstandsebene kennenzulernen, denn er tagt durchschnittlich nur sechsmal im Jahr. Es ist deshalb gute Praxis, dass der Aufsichtsratsvorsitzende in Abstimmung mit dem Vorstandsvorsitzenden gelegentlich mit den Führungskräften der zweiten Ebene spricht und diese im Aufsichtsrat präsentieren. Das alleine reicht aber nicht. Der persönliche, häufig emotional geprägte Eindruck muss durch harte Fakten ergänzt werden, die idealerweise über einen längeren Prozess gewonnen werden. Nur dann kann der Aufsichtsrat sicher entscheiden, wer für den Vorstand geeignet ist. Aufsichtsräte, die ihre Personalkompetenz verantwortungsvoll wahrnehmen, nutzen die Führungskräfteentwicklung, für die der Vorstand zuständig ist. Darauf bauen sie ihre langfristige Nachfolgeplanung auf. Einigkeit über die Anforderungen Vorstand und Aufsichtsrat müssen sich einig sein über die Kriterien zur Beurteilung der Kandidaten, die in der Führungskräfteentwicklung gefördert werden. Anforderungsprofile für jede Vorstandsposition sind in Anlehnung an die Strategie zu diskutieren. Neben strategischen Fähigkeiten und Fachkompetenz als wichtigsten Kriterien sind folgende Merkmale wesentlich: Format, Führungspotenzial und Teamfähigkeit: Die Persönlichkeiten innerhalb des Vorstands sollten zueinander passen; zugleich sollten die einzelnen Mitglieder kritikfähig gegenüber ihren Kollegen bleiben ( Zusammenpassen unter Spannung ). Charakter, Integrität sowie Cultural Fit und Sozialkompetenz: Benötigt werden starke Persönlichkeiten mit klarem Wertesystem. Ohne Hang zur Selbstdarstellung muss ihr Auftreten im Unternehmen und außerhalb überzeugen. Von Zeit zu Zeit sollten die Profile überprüft werden. Die zunehmende Komplexität des Geschäfts und Umfelds sowie die Geschwindigkeit der Entwicklung kann den Stellenwert von Anforderungen verändern. Ausschuss bereitet Vorstandsnachfolge vor Nachfolgeplanung ist eine ebenso sensible wie vertrauliche Aufgabe. Üblich ist deshalb ihre Delegation an einen 8 ACNews März 2014

9 Ausschuss (Personalausschuss oder Präsidium), zumal sie im Kern vorbereitenden Charakter hat. Allerdings sind die Aufgaben und Berichtspflichten des Ausschusses gegenüber dem Aufsichtsrat klar zu definieren. Der Aufsichtsratsvorsitzende, der ohnehin eng mit dem Vorstandsvorsitzenden zusammenarbeitet, leitet in der Regel den Ausschuss. Er diskutiert mit ihm mindestens zweimal pro Jahr die Förderung des Führungsnachwuchses. Auch sollte er die zweite Ebene kennen und möglichst auch High Potentials aus der dritten Ebene. Aus Gesprächen mit ihnen erhält er einen Eindruck von ihrer Persönlichkeit und Lebensplanung. Aufsichtsratsvorsitzender und Vorstand müssen dem zuständigen Ausschuss regelmäßig über die Karriereförderung und High Potentials im Unternehmen berichten, damit dieser einen Eindruck von der Leistungsfähigkeit der Führungskräfteentwicklung und dem Führungskräftepotenzial gewinnen kann. Ein Assessment mit dem Ziel, das Entwicklungs- und Führungspotenzial interner Kandidaten auszuloten auch im Vergleich zu etwaigen Externen hilft, die Erfolg versprechenden Führungskräfte im Hause zu identifizieren bzw zu beurteilen, ob ggf eine Besetzung von außen notwendig werden sollte. Das Plenum wird meist erst bei einer konkreten Besetzung eingebunden; der Ausschussvorsitzende unterrichtet das Plenum über den Fortgang des Besetzungsprozesses. Ist ein Finalkandidat benannt, muss der Ausschussvorsitzende sicherstellen, dass alle Aufsichtsratsmitglieder zeitig aussagekräftige Informationen erhalten: neben einem Lebenslauf auch die Begründung, warum dieser Kandidat der am besten geeignete ist. Schließlich sollten alle Aufsichtsratsmitglieder vor der Bestellung mit dem Endkandidaten sprechen. Die Aufsichtsratsmitglieder dürfen keinesfalls den Eindruck gewinnen, das neue Vorstandsmitglied erscheine wie Jack in the Box. Durch die kontinuierliche fundierte Information vom Anforderungsprofil bis zu den Auswahlgründen kann sich der Aufsichtsrat davon überzeugen, dass der oder die Richtige bestellt wird. Nachfolgeplanung ist Zukunftsvorsorge Mit der Auswahl geeigneter Vorstandsmitglieder stellt der Aufsichtsrat die Weichen für die Zukunft des Unternehmens. Personalentscheidungen für die oberste Ebene brauchen daher ein starkes Fundament. Dieses besteht aus einer langfristigen Nachfolgeplanung auf Basis der unternehmensinternen Führungskräfteentwicklung, klaren Profilen mit Anforderungen an die Fähigkeiten, Erfahrungen und die Persönlichkeit der Kandidaten sowie aus Vergleichen der internen mit möglichen externen Anwärtern. Entscheidend bleibt bei allem die Menschenkenntnis und Erfahrung der Aufsichtsratsmitglieder. Sie müssen letztlich die Fülle der Informationen zu einem aussagekräftigen Bild zusammenfügen, um eine Personalentscheidung zum Wohl des Unternehmens zu treffen. ACNews März

10 ZUR PERSON Dr. Jürgen Heraeus war bis zum Jahr 1999 Vorsitzender der Geschäftsleitung der Heraeus Holding GmbH. Seit Januar 2000 ist er Vorsitzender des Aufsichtsrats und Vorsitzender des Gesellschafterausschusses der Heraeus Holding GmbH. Daneben ist Dr. Jürgen Heraeus Vorsitzender des Aufsichtsrats der GEA Group AG sowie der Messer Group GmbH und Mitglied im Aufsichtsrat von Hauck & Aufhäuser Privatbankiers KGaA. 10 ACNews März 2014

11 Unabhängigkeit im Aufsichtsrat von Familienunternehmen Heraeus ist ein weltweit agierendes Familienunternehmen. Es verfügt über die Corporate Governance- Struktur einer börsennotierten Aktiengesellschaft und ist dennoch durch und durch von der Familie Heraeus und ihren Angehörigen geprägt. Die rechtlich verselbstständigten Heraeus-Geschäftsbereiche sind unter dem Dach der Heraeus Holding GmbH geeint. Deren beide Geschäftsführer werden von einem mitbestimmten Aufsichtsrat mit je sechs Anteilseigner- und Arbeitnehmervertretern bestimmt und überwacht. Daneben besteht ein momentan sechsköpfiger Gesellschafterausschuss, der die rund 200 familienangehörigen Gesellschafter der GmbH repräsentiert. Die Holding-Organe sind so besetzt und deren Zusammenarbeit dahingehend organisiert, dass sowohl die Prinzipien einer effektiv funktionierenden Corporate Governance gelebt werden als auch die Familienprägung gewahrt bleibt. Das Wichtigste dafür ist: Alle wie auch immer an Heraeus Beteiligten haben ein vitales Interesse daran, dass sich das Unternehmen positiv und nachhaltig entwickelt. In ihrer Corporate Governance-Struktur unterscheidet sich die Heraeus Holding GmbH nicht von der einer Publikumsgesellschaft. Ihr Aufsichtsrat hat dieselben Aufgaben und dieselben Entscheidungen zu treffen wie der einer Börsengesellschaft. Ebenso hat der Heraeus-Aufsichtsrat einen Prüfungsausschuss gebildet. Das zeigt den Heraeus-Gesellschaftern: Unser Aufsichtsrat handelt professionell. Für die Besetzung des Heraeus-Aufsichtsrats gelten im Grundsatz dieselben Voraussetzungen wie für die eines AG-Aufsichtsrats: Seine Mitglieder müssen neben fachlichen Kenntnissen auch Business-Know-how haben. Sie sollten weder Handlanger der Geschäftsführung noch einzelner Gesellschafter sein und auch dem Unternehmen in anderer beruflicher oder privater Beziehung nicht zu nahe stehen. Dieser Fehler wird gerade bei kleinen Familienunternehmen häufig begangen. Vor allem aber müssen Aufsichtsräte Rückgrat zeigen, müssen aktiv und konstruktiv diskutieren, müssen in ihrer Arbeit von dem gemeinsamen Willen getragen sein, das Unternehmen nach vorn zu bringen. Im Aufsichtsrat ist weder Platz für Ideologien noch für gegenseitige Vorurteile. Bei Heraeus beruht die Zusammenarbeit im Aufsichtsrat auf dem allseitigen Vertrauen, dass alle Mitglieder sowohl Arbeitnehmer- als auch Arbeitgebervertreter zum Wohle des Unternehmens tätig sind. Heraeus ist, wie gesagt, durch und durch familiär geprägt. Einer der beiden Holding- Geschäftsführer ist Familienangehöriger, ebenso der Vorsitzende des Aufsichtsrats. Daneben ist der aus Familienangehörigen zusammengesetzte Gesellschafterausschuss für die Familienprägung von wesentlicher Bedeutung. Seine Besetzung geht von den Gesellschaftern aus. Sie werden aufgerufen, sich bei Interesse für einen Ausschussposten zu melden. Der Vorsitzende der Heraeus- Geschäftsführung und der Aufsichtsratsvorsitzende beraten, wer im Sinne der Familienorientierung und sonstiger Qualifikationen am besten geeignet erscheint. Der Gesellschafterausschuss schlägt die Kandidaten dann der Gesellschafterversammlung zur Wahl vor. Möglich sind daneben aber auch unmittelbare Eigenbewerbungen. Unter den Familienangehörigen werden Talente gesucht, die befähigt sind, die Familie in den Gremien oder im operativen Management zu vertreten. Transparenz, die für den gesamten Heraeus-Konzern entscheidend ist, wird auch beim Gesellschafterausschuss und seinem Zusammenwirken mit den anderen Gremien gefordert und gelebt. Deshalb muss sowohl der Gesellschafterausschuss als auch der Aufsichtsrat gewissen Maßnahmen zustimmen bzw eine Empfehlung an die Gesellschafterversammlung geben. Dabei soll ein Ausschussentscheid den Aufsichtsrat nicht zu einem lediglich formalen Abnicken zwingen, weshalb für die Ausschussentscheidungen kennzahlenbasierte Leitplanken vorgegeben sind: Werden bestimmte Kennzahlen nicht eingehalten, muss der Gesellschafterausschuss die Anteilseignervertreter des Aufsichtsrats zur Beratung hinzuziehen. Dadurch bleiben die Einwirkungsmöglichkeiten des Aufsichtsrats gewahrt. Diese Familienprägung muss bewahrt und gepflegt werden. Bei Heraeus bilden die Gesellschafter eine Einheit und gliedern sich nicht etwa in Stämme. Hierfür sorgt nicht allein der Heraeus- Familienkodex, sondern auch und vor allem die regelmäßigen Treffen und Veranstaltungen für die Gesellschafter, die Vertrauen und Zusammenhalt fördern. ACNews März

12 Kompetenter Aufseher, unabhängiger Vermittler und neutrales Korrektiv im Aufsichtsrat von Familienunternehmen Die Anforderungen an Aufsichtsratsmitglieder und Beiräte in Familienunternehmen sind hoch von ihnen wird Professionalität, Sachverstand, branchen- und unternehmensspezifische Kompetenz sowie Sensibilität für die individuellen Werte und Ziele der Eigentümer erwartet. Zukunftsorientiert handeln Familienunternehmen haben ein vitales Interesse an der langfristig erfolgreichen Ausrichtung ihrer Unternehmensführung. Dabei sind für sie kompetente Aufsichts- bzw Beiräte heute mehr denn je von entscheidender Bedeutung insbesondere mit Blick auf die Integration von externer Fachkompetenz. Die Beweggründe für die Errichtung eines Aufsichtsgremiums können zwar vielfältig sein, haben aber immer ein gemeinsames Ziel: die nachhaltige Sicherung des eigenen Unternehmens über Generationen hinweg. Obwohl die meisten Familienunternehmen nicht gesetzlich zur Einrichtung eines Kontrollgremiums verpflichtet sind, haben heute viele Gesellschaften die Vorteile der freiwilligen Aufsichts- und Beiräte erkannt. In der strukturellen Ausgestaltung wird meist zwischen unternehmerischem und familiärem Bereich unterschieden. Dies dokumentiert sich zum Beispiel in der Etablierung sogenannter Gesellschafterausschüsse für den Unternehmenssektor und Familienräte für die Sphäre außerhalb des Unternehmens. Wobei die Familienräte neben der Organisation des Familienzusammenhalts mit dem Ziel einer generationenübergreifenden Klammer durchaus auch Zuständigkeiten für die Vermögenssphäre außerhalb des betrieblich gebundenen Vermögens beanspruchen und ihre Kompetenz bei Investitionsentscheidungen sowie Anlagestrategien einbringen. Häufig wird die Verbindung und die Koordination der Themen zwischen Gesellschafterausschuss und Familienrat personell beispielsweise durch Personenidentität des Vorsitzenden sichergestellt. 12 ACNews März 2014

13 Beitrag in strategischen Fragestellungen Bei zunehmender Unternehmensgröße und komplexen Inhaberstrukturen leisten Aufsichts- und Beiräte einen wesentlichen Beitrag in strategischen Fragestellungen. Sie fördern durch ihre außerhalb des Unternehmens erworbene Expertise und gesammelten Erfahrungen die unabhängige Meinungsbildung, zeigen Entscheidungsalternativen auf, sorgen für einen transparenten Informationsfluss und unterstützen bei wichtigen Personalentscheidungen auf Geschäftsführungsebene. Eine nachhaltige Unternehmensentwicklung ist gerade bei immer komplexeren Unternehmensstrukturen ohne die Integration objektiver Entscheidungsgrundlagen durch außenstehende Experten heute kaum mehr zu bewältigen. Eine Erkenntnis, die sich bei Familienunternehmen immer mehr durchsetzt. Mindestens ebenso wichtig ist die vorbeugende Objektivierungsfunktion des Aufsichtsrats bei etwaigen Konflikten. Regeln setzen In freiwillig eingerichteten Aufsichtsgremien in Familienunternehmen entscheiden die Inhaber selbst, welche Kontrollbefugnisse und Beratungsaufgaben sie ihren Gremien im Einzelnen übertragen. Je nach Unternehmen können diese von einer reinen Beratungsfunktion über die Befugnisse eines aktienrechtlichen Aufsichtsrats bis hin zur Leitung eines Verwaltungsrats reichen. Wichtige Aspekte der inneren Organisation des Aufsichts- oder Beirats sollten daher im Gesellschaftsvertrag und in einer Geschäftsordnung konkret festgehalten werden. Dies schafft den notwendigen Ordnungsrahmen für effektive und professionelle Kontrollgremien. Relevanz des Kontrollgremiums Die richtige Mischung aus familienfremden Fachleuten und Familienmitgliedern ist entscheidend für die Funktionsfähigkeit des Gremiums und sollte sowohl die Prinzipien einer effektiv funktionierenden Corporate Governance als auch die individuelle Familienprägung sicherstellen. Eine Dominanz der Eigentümer würde der Idee des unabhängigen Kontrolleurs widersprechen, auch wenn in der Praxis diese Dominanz immer noch zu erkennen ist. Externe Impulse und Fachwissen steigern die Transparenz und den Informationsfluss. Die richtige Besetzung sorgt darüber hinaus dafür, dass Wertorientierungen der Inhaberfamilien im Unternehmen beachtet werden und die emotionale Bindung der Eigentümer an das Unternehmen gestärkt wird. Insbesondere bei Konflikten wird die Rolle des Aufsichts- bzw Beirats als unabhängiger Schlichter, Vermittler und neutrales Korrektiv regelmäßig sichtbar. In großen Familienunternehmen sollten sich familieninterne Kandidaten für die genannten Gremien einem strengen Auswahlprozess unterwerfen Die richtige Mischung aus familienfremden Fachleuten und Familienmitgliedern ist entscheidend für die Funktionsfähigkeit des Gremiums. und sich bezüglich ihres fachlichen und persönlichen Qualifikationsniveaus an externen Kandidaten messen lassen. Aber auch die externen Kandidaten sollten neben fachlichen Kenntnissen auch Branchen-Know-how haben und dem Familienunternehmen in anderer beruflicher oder privater Beziehung nicht zu nahe stehen. Die Mitglieder derartiger Kontrollgremien sollten unabhängig sein, aktiv und konstruktiv mitwirken und wie alle Beteiligten Interesse daran haben, dass sich das Familienunternehmen positiv und nachhaltig entwickelt. Dies stellt das Niveau und die Schlagkraft der Gremien auf Dauer sicher und macht sie zu einem echten Mehrwert für die Unternehmen sowie dessen operatives (häufig familienfremdes externes) Management. Soziale Kompetenz Keine Frage, Aufsichts- und Beiräte in Familienunternehmen unterliegen vielfältigen Kompetenzanforderungen von der Prüfung der Rechnungslegung über die Analyse des Geschäftsmodells und der Unternehmensstrategie bis hin zur Würdigung von internen Kontrollsystemen, Compliance-Aspekten und der Abschlussprüfung. Besonders wichtig ist jedoch die soziale Kompetenz der Gremienmitglieder, gepaart mit einem breiten Wissens- und Erfahrungsschatz bezüglich der Inhaberfamilien, des Managements und der Nachfolge sowie dem Zusammenwirken von Fremd- und Familiengeschäftsführern mit dem Gesellschafterkreis. Die Bedeutung der Persönlichkeit und sozialen Kompetenz der Gremienmitglieder in Familienunternehmen kann daher nicht hoch genug eingeschätzt werden. Die Messlatte liegt hoch Die Qualifikationen von Aufsichtsmitgliedern sind über die Jahre immer weiter gestiegen. Diese Entwicklung in Richtung Professionalisierung setzt auch bei Familienunternehmen zeitversetzt ein. Mitglieder von Aufsichts- und Beiräten sollen unabhängig sein, über die erforderlichen fachlichen und branchenspezifischen Kenntnisse verfügen sowie genügend Zeit und Interesse für ihre Aufgabe mitbringen. Das persönliche Engagement eines jeden Mitglieds also auch die Zeit, die es für die Wahrnehmung seines Mandats aufbringen kann ist gerade in Familienunternehmen von nicht zu unterschätzender Bedeutung. Hier sind fokussierte Fachleute gefragt, die sich mit den Besonderheiten des Unternehmens, der Branche, der Inhaberfamilien und der Stakeholder genau auskennen. Das ist zeitintensiv, oft langwierig und erfordert ein hohes Maß an Identifikationsvermögen. ACNews März

14 Lästige Pflicht? Prüfung von Jahres- und Konzernabschluss durch den Aufsichtsrat Mehrere tausend Stunden können vom Abschlussprüfer eingesetzt werden, um zb einen börsennotierten Konzern zu prüfen. Kann da der einzelne Aufsichtsrat im Rahmen seiner persönlichen Prüfungspflicht noch etwas beitragen? Was muss der Aufsichtsrat im Rahmen seiner Prüfpflicht bezüglich Jahres- und Konzernabschluss tun? Der Aufsichtsrat hat den Jahres- und gegebenenfalls den Konzernabschluss sowie den Lagebericht innerhalb von zwei Monaten zu prüfen. Jedes einzelne Aufsichtsratsmitglied muss sich mit dieser Aufgabe befassen: den Abschluss lesen und sich selbst eine Meinung bilden. Diese Pflicht entfällt nicht gänzlich, wenn es einen Prüfungsausschuss gibt, auch wenn dieser die Hauptlast der Prüfung trägt. Optimal sind in den Jahresabschluss gut eingearbeitete Aufsichtsräte, die ihr Wissen austauschen und gemeinsam eine Meinung über den Jahresabschluss bilden. Doppelprüfung des Jahresabschlusses? Der Aufsichtsrat muss und kann den Abschluss nicht mit derselben Genauigkeit und Sorgfalt wie der Abschlussprüfer prüfen. Der Aufsichtsrat kann sich auf den Abschlussprüfer verlassen, sofern es keinen Anlass gibt, dessen Verlässlichkeit zu bezweifeln. Daher braucht der Aufsichtsrat klarerweise keine Prüfungshandlungen vornehmen, wie Inventurstichproben ziehen oder einzelne Bewertungsansätze kontrollieren. Er muss allerdings Bedenken nachvollziehen, die sich eventuell aus dem Abschlussprüfungsbericht ergeben. Von größter Bedeutung ist darüber hinaus, dass der Aufsichtsrat den True & Fair View des Abschlusses mit seiner speziellen Kenntnis des Unternehmens abgleicht. Hier hat der Aufsichtsrat in der Regel bessere Einblicke als der Abschlussprüfer: er befasst sich mit dem Unternehmen ganzjährig. Aufgrund der laufenden Berichte des Vorstands zu Geschäftspolitik und zu einzelnen Geschäften und Vorfällen hat er die Konsistenz der im Abschluss getroffenen Aussagen zu den ihm bekannten Not documented, not done Das ist das erste, das junge Wirtschaftsprüfer lernen. Auch für Aufsichtsräte ist ein sorgfältiger Nachweis darüber wichtig, wie er seine Überwachungsund Prüfungspflichten erfüllt hat (zb durch Korrespondenz, Protokollierung von Fragen und deren Beantwortung etc). Informationen zu prüfen. Wenn der Aufsichtsrat zb weiß, dass ein bestimmtes Tochterunternehmen mit schwerwiegenden Rechtsstreitigkeiten kämpft und er findet im Jahresabschluss keine diesbezügliche Vorsorge, dann muss er dieser Frage nachgehen. Insbesondere bei der Prüfung des Lageberichts sollte der Aufsichtsrat hinterfragen, ob er die dort getroffenen Aussagen als ausgewogen und zutreffend im Hinblick auf das Gesamtbild der Unternehmensentwicklung empfindet. Die Prüfung durch den Aufsichtsrat hat darüber hinaus eigenständige Ziele: Er muss beurteilen, ob die vom Vorstand vorgeschlagene Bilanzpolitik dem Interesse der Gesellschaft und ihrer Aktionäre entspricht. Weiters soll er prüfen, ob Teile des Gewinnes in die Rücklagen eingestellt werden sollten bzw zur Ausschüttung freigegeben werden können. Dazu muss er die Eigenkapitalausstattung der Gesellschaft und die Ausschüttungsinteressen der Aktionäre gegeneinander abwägen. Zusammenfassend ist festzuhalten, dass der Aufsichtsrat grundsätzlich darauf vertrauen kann, dass der geprüfte Abschluss rechtmäßig ist. Der Aufsichtsrat sollte aber prüfen, ob der Vorstand die Bilanzierungsspielräume zweckmäßig im Hinblick auf die Ziele der Aktionäre genutzt hat und ob er die Annahmen des Vorstands über die zukünftigen Entwicklungen gutheißen kann. 14 ACNews März 2014

15 Abb 2: Anregungen für die Prüfung des Jahresabschlusses bzw des Konzernabschlusses Abb 1: Beispiel einer To-Do-Liste eines Aufsichtsrats bei der inhaltlichen Jahresabschlussprüfung Alle erhaltenen Berichte des Vorstands, AR-Protokolle, Abschlussprüfer-Prüfungsbericht, Management Letter sorgfältig studieren Geschäftsberichte der Peer Group (Branche), die bereits veröffentlicht wurden oder vom Vorjahr durchsehen Inhalte querlesen passen die erhaltenen Informationen zusammen? Welche Fragen ergeben sich? Aussage des Bestätigungsvermerks studieren Clean Opinion? Ggf Redepflichtschreiben des Abschlussprüfers im Hinblick auf weiteren Handlungsbedarf und eingeleitete Maßnahmen hinterfragen Bekannte heikle Sachverhalte im Hinblick auf widerspruchsfreie Verarbeitung in den betroffenen Bilanzposten, Erläuterungen und im Lagebericht prüfen Prüfungsschwerpunkte mit dem Abschlussprüfer besprechen und eventuell ergänzen Frageliste bzgl erläuterungsund diskussionsrelevanter Sachverhalte erstellen Termine für eigenständige Informationsgewinnung planen und organisieren Wie haben sich schwierige Sachverhalte im letzten Jahr entwickelt? Hat sich die Situation verschärft? Welche heiklen Geschäfte werden in der Branche (Peer Group) thematisiert (zb stillgelegte Anlagen, Crossboarder-Leasing)? Gibt es entsprechende Themen auch im eigenen Unternehmen? Wie werden Beteiligungen bewertet? Welche Parameter werden zugrundegelegt? Werden externe Gutachten angefertigt? Wie bewerten andere Unternehmen, die auch dieselben Beteiligungen halten, diese Beteiligungen? Wie werden Wertminderungstests für Firmenwerte durchgeführt? Welche Änderungen sind bei den Parametern zu verzeichnen? Werden die Parameter länderspezifisch differenziert? Ergaben manche Wertminderungstests nur knapp, dass eine Abwertung nicht nötig ist? Wie erfolgt die Parametrisierung bei Bewertungen bei der Peer Group (andere börsennotierte Unternehmen der Branche)? Wurden Entwicklungskosten für selbsterstellte immaterielle Vermögenswerte aktiviert? Ist es ausreichend wahrscheinlich, dass diese Produkte marktreif werden? In welcher Höhe wurden bei Pensionsrückstellungen Parameter (Zinssatz, Fluktuation, Gehaltsdynamik) angesetzt und evtl gegenüber dem Vorjahr verändert? Gab es wesentliche Veränderungen bei den Sonstigen Rückstellungen im Vergleich zum Vorjahr? Was ist der Hintergrund für die hohe Auflösung, für die hohe Dotierung? Wurden aktive latente Steuerforderungen für Verlustvorträge erfasst? Können die Verlustvorträge in absehbarer Zeit durch steuerliche Gewinne verbraucht werden? Wie ausführlich sind Geschäfte mit nahestehenden Personen bzw Unternehmen geschildert? Fallen dem Aufsichtsrat ad hoc weitere Beziehungen oder Geschäfte ein, die kritisch sein könnten? Gibt es Geschäfte, bei denen die Bilanzierungsauswirkung die konkrete Vertragsgestaltung extrem stark beeinflusst hat (zb Unternehmenskäufe, Leasing, Factoring)? Welche Unternehmen sind nicht im Konzernabschluss konsolidiert? Aus welchem Grund? Bestehen hohe Verluste oder ein wesentliches negatives Eigenkapital bzw hohes Vermögen/hohe Schulden bei nichtkonsolidierten Unternehmen? Bestehen Zweckgesellschaften (Special Purpose Entities/außerbilanzielle Geschäfte), bei denen das Unternehmen Risiken trägt? In welcher Form sind diese Zweckgesellschaften im Konzernabschluss berücksichtigt? Gibt der Management Letter, der Prüfungsbericht oä Hinweise auf Kontroversen zwischen Abschlussprüfer und Management? Zeichnen sich manche Passagen durch besonders vorsichtige Formulierungen des Abschlussprüfers aus? Gibt es im Anhang unklare Formulierungen, die wenig aufschlussreich sind? Was steckt dahinter? Sind die Prognosen und die Entwicklungen lt Lagebericht des Vorjahres eingetreten oder zumindest auch ein Jahr später noch als aus damaliger Sicht sinnvoll nachvollziehbar? Gibt es Widersprüche bei den Prognosen/Planungen in Anhang, Lagebericht und internen betriebswirtschaftlichen Berechnungen? Decken sich dieses Planungen mit den unterjährigen Informationen des Vorstands und mit den Presseinformationen? Gibt es stark abweichende Zukunftseinschätzungen in der Peer Group? Welche Korrekturen ergaben sich aufgrund der Arbeit der Abschlussprüfer? Welche wurden berücksichtigt, welche nicht? ACNews März

16 ZU DEN PERSONEN Jens Hartke, Senior Manager Assurance Services, KPMG Deutschland Thorben Schenk, Senior Manager Assurance Services, KPMG Deutschland Quelle: Assurance Magazin, Sicherheit für Unternehmen, Heft 2/November ACNews März 2014

17 Resonanz statt Redundanz Zusammenspiel von Jahresabschlussprüfung und interner Revision Die Abschlussprüfung erhält eine größere Verlässlichkeit, wenn interne Revisionsprüfungen in den Prozess integriert und aktiv einbezogen werden. In den Geschäftsleitungen der Unternehmen ist diese wirksame Kombination aber noch nicht flächendeckend angekommen. Der Fokus für Jahresabschlussprüfung und Testat ist derzeit stark auf Kosteneinsparungsmöglichkeiten ausgerichtet. Wirtschaftsprüfungsgesellschaften müssen deshalb neue Wege finden, um Qualität und Mehrwert im Prüfungsbereich anzubieten. Eine intelligente Verzahnung von Abschlussprüfung und interner Revision bietet für Unternehmen und Prüfer gleichermaßen einen wirkungsvollen Ansatz. Ausgangssituation Unternehmen brauchen in Anbetracht der allgemeinen makro- und mikroökonomischen Veränderungen verstärkt Wissen über Angemessenheit, Funktionsfähigkeit und damit Sicherheit ihrer Entscheidungsprozesse. Sie sind die Basis, um die privat- und gesellschaftsrechtlichen Sorgfaltspflichten eines ordentlichen Kaufmanns zu erfüllen. Moderne Unternehmen nutzen heute die Informationen aus vorhandenen Corporate Governance-Systemen: RMS Risikomanagementsystem CMS Compliance Management- System IKS Internes Kontrollsystem IRS Internes Revisionssystem In der Praxis werden auch Informationen aus weiteren Managementsystemen (zum Beispiel Qualitätsmanagement, Umweltmanagement) einbezogen. Sie werden direkt im Unternehmen mittels intelligenter IT-Lösungen wie etwa Continuous Audit/Monitoring erhoben. Außerdem verlassen sich die Geschäftsleitungen traditionell auch gern auf die Erkenntnisse der Jahresabschlussprüfung. Hier besteht regelmäßig eine Erwartungslücke, da der Abschlussprüfer keinesfalls eine Gesamtaussage zur Wirksamkeit des gesamten IKS oder RMS trifft. Im Gegenteil: Gegenstand der Abschlussprüfung ist nur der rechnungslegungsbezogene Teil des IKS und wo gesetzlich vorgeschrieben etwa das Risikofrüherkennungssystem. Internes Kontrollsystem IKS Operative Kontrollen und Kontrollen im Hinblick auf die Einhaltung einer Vielzahl von Vorschriften und Gesetzen sind nicht originärer Prüfungsgegenstand. Der Prüfer macht keinesfalls eine positive Aussage zur Wirksamkeit des IKS. Es dient dem Prüfer lediglich als Aufsatzpunkt für die weitere Prüfungsplanung. Die Jahresund Abschlussprüfung deckt daher nur einen Ausschnitt der implementierten Kontrollen ab. Sie hat auch eine andere Zielsetzung. Risikomanagementsystem RMS Wo gesetzlich geboten oder freiwillig vereinbart, prüft der Abschlussprüfer, ob die Geschäftsleitung ein Überwachungssystem eingerichtet hat, um bestandsgefährdende Risiken frühzeitig zu erkennen. Es geht nur um einen Teil des RMS, nämlich die Früherkennung und auch nur um das Vorhandensein und nicht die Funktionsfähigkeit. CMS IT enabled Assurance Elemente einer umfassenden Assurance Wenn sich Geschäftsleitungen nur auf die Erkenntnisse der Jahresabschlussprüfung verlassen, entsteht regelmäßig eine Erwartungslücke in Bezug auf die Wirksamkeit des gesamten Corporate Governance-Systems. RMS QM Gering Assurance Level JAP IKS Hoch IRS Quelle: KPMG, 2013 ACNews März

18 Durch Scope- Reduzierungen nimmt der Umfang der weltweiten Vollprüfungen ab. Scope-Reduzierungen Die eigentliche Jahresabschlussprüfung wird heute dem Sicherheitsbedürfnis der Geschäftsleitung in Bezug auf die Governance-Systeme nur noch bedingt gerecht, da die in der Vergangenheit freiwillig beauftragten zusätzlichen Prüfungsleistungen heute durch die Geschäftsleitung nicht mehr abgerufen werden. Diese Scope-Reduzierungen führen zur Abnahme des Umfangs der weltweiten Vollprüfungen. Der Abschlussprüfer prüft im Rahmen seines berufsständischen Auftrags nur die Abschlussposten eines Unternehmens, die für die Ziele der Abschlussprüfung nötig sind. Unternehmensbereiche unterhalb der Wesentlichkeitsgrenze unterliegen wenn überhaupt regelmäßig lediglich analytischen Prüfungshandlungen, die der Unternehmensleitung Sicherheit in Bezug auf das gesamte Governance-System liefern können. So wird eine Assurance-Lücke aufgerissen, wenn die Sicherheitsbedürfnisse der Geschäftsleitung über den tatsächlichen Prüfungsumfang der Jahresabschlussprüfung hinausgehen. Ressourcenausstattung der internen Revision Die Aufgabe, die dargestellte Assurance- Lücke zu kompensieren, kommt oft der internen Revision zu. Aber auch andere Abteilungen oder externe Berater können hier eingesetzt werden. Aus Prüfersicht ist in der Praxis zu beobachten, dass die interne Revision oft nicht über die erforderlichen Ressourcen verfügt, um alle Risikofelder abzudecken. Dies liegt oft am schnellen Wachstum des Unternehmens oder neuen betrieblichen Prozessen. Die entstandene Assurance-Lücke kann dann oft nicht durch die eigene interne Revision alleine geschlossen werden. Hier kann der Jahresabschlussprüfer durch die Übernahme von Arbeitspaketen der internen Revision für mehr Sicherheit sorgen. Erhöhter Koordinationsaufwand Die Prüfungspläne des Abschlussprüfers, der internen Revision und anderer Abteilungen (Qualitätsmanagement, Compliance etc) werden oft nicht aufeinander abgestimmt. Durch Inanspruchnahme interner und externer Dienstleister entsteht ein erhöhter Koordinierungsaufwand. Aufsichtsgremien und Geschäftsleitung brauchen ein abgestimmtes und integriertes Gesamtbild, das alle Erkenntnisse auch in ihren Wechselwirkungen darstellt. Nur so können sie erkennen, ob ein ausreichender sogenannter Level of Assurance in der Corporate Governance erreicht wird. Oft ist das Gegenteil der Fall: Bestimmte Risiken werden nicht abgedeckt, andere dagegen mehrfach kontrolliert. Der Jahresabschlussprüfer kann durch die Übernahme von Aufgabenpaketen der internen Revision für mehr Sicherheit sorgen. 18 ACNews März 2014

19 Durch den Einsatz interner und externer Dienstleister entsteht ein erhöhter Koordinierungsaufwand. Kombination von interner Revision und Abschlussprüfung 1 Die identische Stoßrichtung von Abschlussprüfung und interner Revision macht die integrierte Betrachtung zweckmäßig. Sie ist immer dann auch effizient, wenn mehrere Assurance-Leistungen durch einen einzelnen Anbieter abgedeckt werden. Der Abschlussprüfer ist in der Lage, die internen Revisionsprüfungen effektiver und effizienter sowie mit hoher Prüfungsqualität durchzuführen. Dabei helfen seine umfangreichen lokalen und internationale Ressourcen. Langjährige Kenntnis des Unternehmens, seiner Geschäftstätigkeit, der Risiken und des internen Kontrollsystems sind von Vorteil. Das Management kann bei Bedarf die Leistungen der Abschlussprüfer gezielt und flexibel aufrufen, statt durch die Ausweitung der Innenrevision die Kosten zu steigern. Ein weiterer Effekt ergibt sich durch die Reduzierung von Redundanzen mit der Abschlussprüfung. Der risikoorientierte Ansatz der internen Revision identifiziert die für das Unternehmen wesentlichen Prüffelder. Erst im Anschluss entscheidet das Unternehmen, wer das jeweilige Prüffeld abdeckt (Innenrevision, Abschlussprüfer, andere). So werden Doppelprüfungen gezielt vermieden. Die unterjährige Durchführung zum Beispiel von IKS-Prüfungen führt zu einer direkten Entlastung der Organisation in der Zeit der originären Jahresabschlussprüfung. Permanente Betreuung vor Ort führt zu einer erhöhten Betreuungsqualität. Die Unabhängigkeit des Wirtschaftsprüfers Die Unterstützung des Unternehmens hinsichtlich seiner Internal Audit-Funktionen durch den Abschlussprüfer gefährdet die berufsrechtlichen Unabhängigkeitsanforderungen nicht, solange der Prüfer nicht selbst in verantwortlicher Position ist und die im Rahmen der Revision erarbeiteten Verbesserungspotenziale nicht selbst umsetzt. Die intelligente Verzahnung von Abschlussprüfung und interner Revision erhöht die Effektivität und Effizienz. Diese Kombination ist eine Chance für Unternehmen, neben dem klassischen Testat konkretes Verbesserungspotenzial zu erschließen, Prozesse zu verbessern und den Assurance-Grad zu erhöhen. Die intelligente Verzahnung von Abschlussprüfung und interner Revision erhöht Effektivität und Effizienz. Level of Assurance Zunehmende Scope-Reduzierung Quelle: KPMG, 2013 Level of Assurance früher Reduktion des Level of Assurance durch Scope-Reduzierungen Die entstehende Lücke muss geschlossen werden heute 1 Dieser Artikel gibt die Rechtsansicht der Scope of Work KPMG Deutschland wieder, die gesetzlichen Rahmenbedingungen dafür müssten in Österreich erst geschaffen werden ACNews März

20 Die OePR wird eine Präventivwirkung entfalten Im Dezember 2012 wurde im österreichischen Nationalrat das Rechnungslegungs-Kontrollgesetz (RL- KG) beschlossen, das nun seit 1. Juli 2013 in Kraft ist und in Österreich das Prüfverfahren für die Rechnungslegung kapitalmarktorientierter Unternehmen regelt. Die erste Anlaufstelle für die Abwicklung des Enforcement-Verfahrens in Österreich ist die Prüfstelle, deren Rechtsträger der Verein Österreichische Prüfstelle für Rechnungslegung (OePR) ist. Die ACNews-Redaktion hat Univ. Prof. Dr. Roman Rohatschek, Stv. Leiter der OePR, zu deren Aufgaben befragt. Welche wesentlichen Aufgaben erfüllt die OePR? Der Gesetzgeber gibt grundsätzlich vor, dass die Hauptaufgabe der OePR darin besteht, den Kapitalmarkt zu stärken und in Österreich konkurrenzfähiger zu machen. Die OePR wird vor allem eine Präventivwirkung entfalten. Das heißt, die Unternehmen werden vermutlich bereits bei der Erstellung ihres Konzernabschlusses 2013 einen stärkeren Fokus auf die Berichterstattung legen. Welche Qualifikationen hat ein Mitarbeiter der OePR zu erfüllen? Auch die Qualifikation der Mitarbeiter der OePR ist klar geregelt. Es sind auf alle Fälle erfahrene Prüfer und Personen aus dem Rechnungswesen, die eventuell auch Lehrtätigkeit ausüben. Junge Absolventen von der Universität können diese Voraussetzung nicht erfüllen, weil einerseits die fachliche Qualität und Erfahrung für die Tätigkeit erforderlich ist und andererseits die Zeit für eine entsprechende Einschulung fehlt. Wie viele Mitarbeiter soll die OePR haben? In Summe sollten es fünf ganzbeschäftige Prüfer sein, ideal wären vier Ganztags- und zwei Halbtagsbeschäftigte. Angesichts der Anzahl der zu prüfenden Unternehmen sollte dies ausreichend sein und ein entsprechendes Branchenspektrum abdecken. Nach welchen Kriterien werden die Unternehmen ausgewählt? Wird es einen Branchenmix geben? Bei Stichprobenprüfung, die den Normalfall darstellen wird, ist in der Verfahrensordnung klar festgelegt, dass die Auswahl auf Grundlage einer Risikogewichtung zu erfolgen hat. Dies ist auch wichtig, insbesondere im Hinblick auf die Argumentation, warum die OePR ein Unternehmen und nicht ein anderes auswählt. Die Risikogewichtung führt eben dazu, dass bestimmte Unternehmen früher in die Stichprobenprüfung fallen, als andere. Wie erfolgt das Prüfverfahren? Werden primär Desktop Reviews stattfinden oder auch vor Ort Prüfungen? Die Verfahrensordnung enthält diesbezüglich eine genaue Vorgabe. Es gibt einen Prüfsenat, bestehend aus dem Leiter der Prüfstelle, dem stellvertretenden Leiter und einen Berichtskritiker. Darüber hinaus wird ein verantwortlicher Prüfer bestimmt, der den Konzernabschluss prüft. Es wird natürlich zuerst Erstanforderungen geben mit der Bitte an das betreffende Unternehmen, uns die entsprechenden Unterlagen zu senden. 20 ACNews März 2014

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre,

Bericht des Aufsichtsrats. Sehr geehrte Aktionärinnen und Aktionäre, Bericht des Aufsichtsrats Sehr geehrte Aktionärinnen und Aktionäre, der Aufsichtsrat hat im abgelaufenen Geschäftsjahr die ihm gemäß Gesetz, Satzung und Geschäftsordnung obliegenden Aufgaben wahrgenommen

Mehr

juris GmbH Corporate Governance Bericht 2014

juris GmbH Corporate Governance Bericht 2014 juris GmbH Corporate Governance Bericht 2014 Inhalt 1. Einleitung... 3 2. Erklärung zum Public Corporate Governance Kodes des Bundes... 3 3. Gesellschafter und Gesellschafterversammlung... 4 4. Zusammenwirken

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Die Erklärung zur Unternehmensführung

Die Erklärung zur Unternehmensführung Die Erklärung zur Unternehmensführung nach BilMoG November 2009 AUDIT Inhalt Editorial Betroffene Unternehmen Inhalte Entsprechenserklärung ( 161 AktG) Unternehmensführungspraktiken Beschreibung von Arbeitsweise

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der

Richtlinie. des Arbeitskreises. Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater. in der Richtlinie des Arbeitskreises Fachgruppe Externe Datenschutzbeauftragte und Datenschutzberater in der Gesellschaft für Datenschutz und Datensicherheit e.v. - GDD - Verabschiedet von den Mitgliedern der

Mehr

Corporate Governance Bericht der TeleTrader Software AG für das Geschäftsjahr 2009

Corporate Governance Bericht der TeleTrader Software AG für das Geschäftsjahr 2009 Corporate Governance Bericht der TeleTrader Software AG für das Geschäftsjahr 2009 Unsere Gesellschaft, die TeleTrader Software AG, deren Aktien zum Handel im auction market der Wiener Börse zugelassen

Mehr

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2

1. Grundlagen. IIA Position Paper The Role of Internal Audit in Enterprise-Wide Risk Management, 2009, S. 2. 2 1.1. Definitionen 1. Grundlagen Risiko: Risiko bezeichnet die Möglichkeit eines Schadens oder Verlustes als Konsequenz eines bestimmten Verhaltens oder Geschehens. Risiken sind Bestandteil jeder unternehmerischen

Mehr

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements Inhalt 1: Revision als Manager von Risiken geht das? 2 : Was macht die Revision zu einem Risikomanager im Unternehmen 3 : Herausforderungen

Mehr

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance

Daimler Nachhaltigkeitsbericht 2014 Compliance 47. Compliance Daimler Nachhaltigkeitsbericht 2014 Compliance 47 Compliance Compliance ist ein unverzichtbarer Teil der Integritätskultur bei Daimler. Für uns ist es selbstverständlich, dass wir uns an alle relevanten

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken

COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien. Haftungsfragen bei Sicherheitslücken COMPLIANCE IN DER IT Risiken Rechtslage Gegenstrategien Haftungsfragen bei Sicherheitslücken Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH, Gauermanngasse 2-4, 1010 Wien

Mehr

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht

Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN. Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Notwendigkeit, Aufgabe und Funktion des BETRIEBLICHEN DATENSCHUTZBEAUFTRAGTEN Stand: Juli 2007 Helmut Loibl Rechtsanwalt und Fachanwalt für Verwaltungsrecht Paluka Sobola & Partner Neupfarrplatz 10 93047

Mehr

Beiräte im Mittelstand - Kaffeerunde oder Sparringspartner? -

Beiräte im Mittelstand - Kaffeerunde oder Sparringspartner? - Ruheposten für ehemalige Geschäftsführer und Senioren, Kaffeeklatsch für graumelierte Herren, die anschließend golfen gehen. Aber ist ein Beirat wirklich nur eine Anstandsinstitution oder kann er auch

Mehr

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980

Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 COMPLIANCE ASSURANCE Prüfung von Compliance Management- Systemen (CMS) nach dem IDW PS 980 Ein wirksames CMS hilft Ihnen, Compliance Verstöße zu erkennen und Risiken präventiv zu begegnen. Wir prüfen die

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident

Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Vortrag im Rahmen der Pressekonferenz zum Cloud Monitor 2014 Ansprechpartner Präsident Pressestatement Prof. Dieter Kempf, Präsident des BITKOM Berlin, 30. Januar 2014 Seite 1 Guten Morgen, meine sehr geehrten Damen und Herren! Wenn wir unsere Mitglieder nach den wichtigsten IT-Trends fragen,

Mehr

Aktivität zahlt sich aus

Aktivität zahlt sich aus 4 Betrieblicher Datenschutz: Aktivität zahlt sich aus Mit der zunehmenden Verbreitung moderner Informationstechnologien in den Betrieben fällt dem Datenschutz für Arbeitnehmer eine immer wichtigere Rolle

Mehr

Checkliste 3 Vorbereitung auf ein Bankgespräch

Checkliste 3 Vorbereitung auf ein Bankgespräch Checkliste 3 Vorbereitung auf ein Bankgespräch Ganz egal ob Sie Startkapital für Ihr Unternehmen benötigen oder nur einen Kontokorrentkreditrahmen für die Abwicklung Ihrer laufenden Geschäfte benötigen,

Mehr

ORGANE DER VORSTAND DER AUFSICHTSRAT MAG. RUDOLF PAYER. Operations & Finance MICHAEL FELDT, MBA. Sales & Marketing ING. MANFRED BENE.

ORGANE DER VORSTAND DER AUFSICHTSRAT MAG. RUDOLF PAYER. Operations & Finance MICHAEL FELDT, MBA. Sales & Marketing ING. MANFRED BENE. ORGANE DER VORSTAND MAG. RUDOLF PAYER Operations & Finance MICHAEL FELDT, MBA Sales & Marketing DER AUFSICHTSRAT ING. MANFRED BENE Vorsitzender DR. ANDREAS BIERWIRTH Mitglied ab 02.05.2013, Vorsitzender-Stellvertreter

Mehr

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle

Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle Public Corporate Governance Bericht 2014 des Aufsichtsrates und der Geschäftsführung der Deutschen Akkreditierungsstelle GmbH 1. Public Corporate Governance Kodex des Bundes Die Bundesregierung hat am

Mehr

Schaltbau Holding AG München

Schaltbau Holding AG München Schaltbau Holding AG München Ordentliche Hauptversammlung 11. Juni 2015 Bericht des Aufsichtsrates Aufsichtsratstätigkeit im Berichtsjahr Der Aufsichtsrat der Schaltbau Holding AG hat die ihm nach Gesetz

Mehr

ORDENTLICHE HAUPTVERSAMMLUNG der RAIFFEISEN BANK INTERNATIONAL AG am 17. Juni 2015

ORDENTLICHE HAUPTVERSAMMLUNG der RAIFFEISEN BANK INTERNATIONAL AG am 17. Juni 2015 ORDENTLICHE HAUPTVERSAMMLUNG der RAIFFEISEN BANK INTERNATIONAL AG am 17. Juni 2015 VORSCHLÄGE DES VORSTANDS UND AUFSICHTSRATS GEMÄSS 108 AKTG Tagesordnungspunkt 1 Eine Beschlussfassung zu diesem Tagesordnungspunkt

Mehr

Incident Response und Forensik

Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Incident Response und Forensik Der Einbruch eines Hackers in die Web-Applikation des Unternehmens, ein Mitarbeiter, der vertrauliche Daten

Mehr

Chancen der Aufsichtsratsevaluierung 2014

Chancen der Aufsichtsratsevaluierung 2014 Chancen der Aufsichtsratsevaluierung 2014 Grundsätzliches zur Evaluation Weltweit steigen die Anforderungen an die Qualität der Arbeit von Aufsichtsgremien. Fast alle internationalen Regelwerke fordern

Mehr

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Risikomanagement Gesetzlicher Rahmen 2007. SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor Risikomanagement Gesetzlicher Rahmen IBR INSTITUT FÜR BETRIEBS- UND REGIONALÖKONOMIE Thomas Votruba, Leiter MAS Risk Management, Projektleiter, Dozent

Mehr

Bericht des Aufsichtsrats

Bericht des Aufsichtsrats Bericht des Aufsichtsrats Sehr geehrte Aktionärinnen und Aktionäre, der Aufsichtsrat setzte sich im Geschäftsjahr 2012 in sorgfältiger Ausübung seiner Pflichten und Zuständigkeiten mit der operativen und

Mehr

Wie man mit Change Management IT-Projektkosten senken kann

Wie man mit Change Management IT-Projektkosten senken kann Wie man mit Change Management IT-Projektkosten senken kann ein Artikel von Ulrike Arnold Kaum ein Projekt wird in der vorgegebenen Zeit und mit dem geplanten Budget fertiggestellt. Und das, obwohl die

Mehr

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010 Der Datenschutzbeauftragte Eine Information von ds² 05/2010 Inhalt Voraussetzungen Der interne DSB Der externe DSB Die richtige Wahl treffen Leistungsstufen eines ds² DSB Was ds² für Sie tun kann 2 Voraussetzungen

Mehr

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v.

Studie,,IT-Sicherheit und Datenschutz 2015. Nationale Initiative für Internetund Informations-Sicherheit e.v. Studie,,IT-Sicherheit und Datenschutz 2015 Nationale Initiative für Internetund Informations-Sicherheit e.v. Studiendesign Zielgruppe: Fach- und Führungskräfte Stichprobe: N = 100 Befragungszeitraum: 7.

Mehr

Basel Committee on Banking Supervision: Principles for effective risk data aggregation and risk reporting (BCBS 239)

Basel Committee on Banking Supervision: Principles for effective risk data aggregation and risk reporting (BCBS 239) Basel Committee on Banking Supervision: Principles for effective risk data aggregation and risk reporting (BCBS 239) Neue Anforderungen an IT Architektur und Data Governance im Risikobereich von Banken

Mehr

Bedeutung des BilMoG für die Interne Revision

Bedeutung des BilMoG für die Interne Revision Bedeutung des BilMoG für die Interne Revision München, 18. Juni 2010 Volker Hampel Geschäftsführer DIIR e.v. 1 Regulatorische Initiativen bringen seit Jahren Veränderungen - Vom KonTraG zum BilMoG - Basel

Mehr

Beschreibung von IKS und RMS im Lagebericht

Beschreibung von IKS und RMS im Lagebericht November 2009 Beschreibung von IKS und RMS im Lagebericht AUDIT Inhalt Editorial Betroffene Unternehmen Verbindung zwischen RMS und IKS Verbindung zur Risikoberichterstattung Struktur und Inhalt der beschreibenden

Mehr

3 Social Recruiting Kritik und Erwiderungen

3 Social Recruiting Kritik und Erwiderungen 3 Social Recruiting Kritik und Erwiderungen Das Wichtigste in Kürze Das Verständnis von Social (Media) Recruiting als soziale Aktivität der Mitarbeiter stößt häufig auf Skepsis. Berechtigterweise wird

Mehr

Risikomanagement. der Softship AG

Risikomanagement. der Softship AG Risikomanagement der Softship AG Risikomanagement der Softship AG Wesentliche Merkmale des Risikomanagement- und des internen Kontrollsystems Um Risiken, die den Fortbestand der Gesellschaft gefährden,

Mehr

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen

Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum. Thomas Haeberlen Aktuelles zur Lage und Sicherheitsmaßnahmen im Cyber-Raum Thomas Haeberlen Gelsenkirchen, 11.Juni 2015 Agenda» Kernaussagen» Zahlen und Fakten zu Angriffen im Cyber-Raum» Cyber-Angriffsformen» Snowden-Enthüllungen»

Mehr

Compliance Management-Systeme

Compliance Management-Systeme RISK & COMPLIANCE Compliance Management-Systeme ADVISORY Compliance ein Thema mit wachsender Bedeutung für Ihren Unternehmenserfolg 3 Compliance ist das rechtmäßige Handeln von Unternehmen, ihren Organen

Mehr

CSR und Risikomanagement

CSR und Risikomanagement CSR und Risikomanagement Bedeutung der Risiken aus ökologischen und sozialen Sachverhalten im Rahmen der Prüfung des Risikoberichts und des Risikomanagements XX. April 2010 Risk Management Solutions Agenda

Mehr

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM

INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM INTERNE KONTROLL- UND RISIKOMANAGEMENTSYSTEME AKTUELLE HERAUSFORDERUNGEN AN GESCHÄFTSFÜHRUNG UND AUFSICHTSGREMIUM AGENDA Vorbemerkungen A. Grundlagen I. Was ist ein Risikomanagementsystem (RMS)? II. Was

Mehr

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH

Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex der Messe Düsseldorf GmbH Corporate Governance Kodex - Standards zur Steigerung der Transparenz und Kontrolle - Stand: Oktober 2011 1 Präambel und Geltungsbereich Die Messe Düsseldorf GmbH erkennt ihre soziale Verantwortlichkeit

Mehr

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde,

Seminar Datenschutz. Herzliche Einladung zum. Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Herzliche Einladung zum Seminar Datenschutz Am 17. Juni 2014 in Kassel (10 17 Uhr) Sehr geehrte Damen und Herren, liebe Freunde, Datenschutz sollte längst in allen Verbänden, Vereinen, Unternehmen, und

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

EXZELLENTE LÖSUNGEN DURCH KOMPETENZ UND PERSÖNLICHKEIT

EXZELLENTE LÖSUNGEN DURCH KOMPETENZ UND PERSÖNLICHKEIT EXZELLENTE LÖSUNGEN DURCH KOMPETENZ UND PERSÖNLICHKEIT WILLKOMMEN BEI KON-PART Die Unternehmerberater für Personalmarketing Seit 1986 haben sich die Unternehmer-Berater der KON-PART einer Personalberatung

Mehr

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH

Zertifizierung eines datenschutzbezogenen Compliance Management Systems. Daniel Wolff, Deloitte & Touche GmbH Zertifizierung eines datenschutzbezogenen Compliance Management Systems Daniel Wolff, Deloitte & Touche GmbH 9. Security Forum der FH Brandenburg, 22.01.2015 Audit & Enterprise Risk Services Tax & Legal

Mehr

FidAR Form III, 4. April 2011 in Berlin

FidAR Form III, 4. April 2011 in Berlin FidAR Form III, 4. April 2011 in Berlin Was tun Personalberater und Personalverantwortliche? - Herausforderungen und Chancen angesichts der Forderung, mehr Frauen in Aufsichtsräte und das Top Management

Mehr

Governance, Risk & Compliance

Governance, Risk & Compliance Governance, Risk & Compliance 05 Sehr geehrte Damen und Herren, ein erfolgreiches Unternehmen definiert sich heute nicht mehr ausschließlich über Umsatz und Gewinn. Die Art und Weise, wie Erfolge erzielt

Mehr

1 Erklärung. Bericht zum Corporate Governance Kodex - bremen online services GmbH & Co. KG Seite 2

1 Erklärung. Bericht zum Corporate Governance Kodex - bremen online services GmbH & Co. KG Seite 2 Bericht d4:!r bos KG zum Corporate Governance Kod«~x der Freien Hansestadt Bremen Der Senat der Freien Hansestadt Bremen hat am 16. Januar 2007 beschlossen, das Handbuch Beteiligungsmanagement in einer

Mehr

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem

IKS Transparenz schafft Sicherheit. Erfolgsfaktor Internes Kontrollsystem 17. Bundesfachtagung IKS Transparenz schafft Sicherheit Erfolgsfaktor Internes Kontrollsystem Mag. Gunnar Frei Warum braucht eine Gemeinde ein IKS? Landeskriminalamt ermittelt Wie aus gut informierten

Mehr

Familienunternehmen und Unternehmerfamilien

Familienunternehmen und Unternehmerfamilien Familienunternehmen und Unternehmerfamilien Wettbewerbsvorteil Unternehmerfamilie Verlust des Wettbewerbsvorteils Unternehmerfamilie (Family Governance) Unternehmensnachfolge und M&A Unternehmertestamente,

Mehr

CORPORATE GOVERNANCE BERICHT

CORPORATE GOVERNANCE BERICHT CORPORATE GOVERNANCE BERICHT Für Wincor Nixdorf ist eine verantwortliche, transparente und auf nachhaltige Wertschöpfung ausgerichtete Unternehmensführung und -überwachung wesentliche Grundlage für den

Mehr

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht

Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht Richtlinie des Instituts Österreichischer Wirtschaftsprüfer zur Formulierung des Bestätigungsvermerks gemäß 274 UGB des Abschluss/Bankprüfers zum Rechenschaftsbericht einer Verwaltungsgesellschaft (Kapitalanlagegesellschaft

Mehr

Audit in real life Auf was sollte man vorbereitet sein?

Audit in real life Auf was sollte man vorbereitet sein? IT ADVISORY Audit in real life Auf was sollte man vorbereitet sein? Novell Security Event 03.04.2008 v3 FINAL DRAFT DI Christian Focke Supervisor IT Advisory Wien Agenda Motivation Die Konsequenz Was ist

Mehr

your IT in line with your Business Geschäftsprozessmanagement (GPM)

your IT in line with your Business Geschäftsprozessmanagement (GPM) your IT in line with your Business Geschäftsprozessmanagement (GPM) Transparenz schaffen und Unternehmensziele effizient erreichen Transparente Prozesse für mehr Entscheidungssicherheit Konsequente Ausrichtung

Mehr

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010

Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Das Interne Kontrollsystem aus Prozessperspektive DI Martin von Malottke, MBA Wien, 15. April 2010 Agenda Zielsetzung Information zum IKS Unser Ansatz Ihr Nutzen Kontakt 2 1. Zielsetzung Zielsetzung Der

Mehr

Zuerst zu Open Source wechseln

Zuerst zu Open Source wechseln Zuerst zu Open Source wechseln Zuerst zu Open Source wechseln Inhaltsverzeichnis Zuerst zu Open Source wechseln... 3 In die Mitte.... 4 Veränderungen in der Wirtschaftlichkeit der IT.... 6 2 Zuerst zu

Mehr

WIR VON SEMCOGLAS GEMEINSAM STARK

WIR VON SEMCOGLAS GEMEINSAM STARK WIR VON SEMCOGLAS GEMEINSAM STARK WIR VON SEMCOGLAS Wir von SEMCOGLAS... sind zukunftsfähig... handeln qualitäts- und umweltbewusst... sind kundenorientiert... behandeln unsere Gesprächspartner fair...

Mehr

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI.

Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. Müssen Sie Ihre Informationen schützen? Werden Sie aktiv mit ISO/IEC 27001 von BSI. ISO/IEC 27001 von BSI Ihre erste Wahl für Informationssicherheit BSI ist die Gesellschaft für Unternehmensstandards,

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity

Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity Cyber SECURITY@Deutsche Telekom Thomas Tschersich, SVP Group Cyber- and Datasecurity BEISPIELE WELTWEIT ERFOLGREICHER CYBER- ANGRIFFE JEDES UNTERNEHMEN IST EIN MÖGLICHES OPFER Diverse Rechner von internen

Mehr

in Unternehmen der Gesundheits- und Sozialbranche - VQSV

in Unternehmen der Gesundheits- und Sozialbranche - VQSV 1. Kundenorientierung Umsetzung im QM-Handbuch Verantwortung gegenüber Kunden Den Kunden / Patienten / Bewohner als Partner und Mensch behandeln. Welches sind meine Kunden? Bedarfsgerechte Leistung Sicherstellen,

Mehr

Governance, Risk & Compliance für den Mittelstand

Governance, Risk & Compliance für den Mittelstand Governance, Risk & Compliance für den Mittelstand Die Bedeutung von Steuerungs- und Kontrollsystemen nimmt auch für Unternehmen aus dem Mittelstand ständig zu. Der Aufwand für eine effiziente und effektive

Mehr

ERGO Rahmenrichtlinie Anti-Fraud-Management

ERGO Rahmenrichtlinie Anti-Fraud-Management ERGO Rahmenrichtlinie Anti-Fraud-Management Stand: 20.02.2008 Inhaltsverzeichnis Einleitung...3 1. Gegenstand der Richtlinie, Anwendungsbereich, Zielsetzung...4 2. Umsetzung...4 3. Definitionen...4 4.

Mehr

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de

Position. Arbeitnehmerdatenschutz rechtssicher gestalten. Stand: März 2014 www.vbw-bayern.de Position Arbeitnehmerdatenschutz rechtssicher gestalten Stand: März 2014 www.vbw-bayern.de Vorwort X Vorwort Zehn Forderungen für einen praxisgerechten Beschäftigtendatenschutz Die vbw Vereinigung der

Mehr

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin

Prüfungsbericht. IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht IDEAL Lebensversicherung a.g. Berlin Prüfungsbericht zur Angemessenheit des Compliance-Management- Systems der IDEAL Lebensversicherung a.g. zur Umsetzung geeigneter Grundsätze und Maßnahmen

Mehr

Rheinischer Unternehmertag 12. Juli 2011

Rheinischer Unternehmertag 12. Juli 2011 www.pwc.de Der notwendige Datenschutz nicht nur in Großunternehmen Rheinischer Unternehmertag 12. Juli 2011 Agenda 1. Gesellschaft und Politik messen dem Thema Datenschutz mehr Bedeutung zu 2. Datenschutz

Mehr

Regierungskommission Deutscher Corporate Governance Kodex Geschäftsordnung

Regierungskommission Deutscher Corporate Governance Kodex Geschäftsordnung Regierungskommission Deutscher Corporate Governance Kodex Geschäftsordnung 1 Regierungskommission Deutscher Corporate Governance Kodex... 2 1.1 Aufgaben und Zielsetzung... 2 1.2 Zusammensetzung... 2 1.3

Mehr

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten

Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung und Rolle des Datenschutzbeauftragten Datenschutz in deutschen Unternehmen Einstellung zum Datenschutz, Stand der Umsetzung olle des Datenschutzbeauftragten 1 Einführung - Datenschutz in deutschen Unternehmen Die UIMCert führte in den vergangenen

Mehr

CORPORATE GOVERNANCE KODEX

CORPORATE GOVERNANCE KODEX CORPORATE GOVERNANCE KODEX für die Diakonie in Württemberg Verabschiedet von der Mitgliederversammlung des Diakonischen Werks der evangelischen Kirche in Württemberg e.v. am 18. November 2005. Geändert

Mehr

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II

_Factsheet. MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand. Machen Sie Ihr Risikomanagement fit für Solvency II _Factsheet MaRisk VA stellen das Risikomanagement von Versicherern auf den Prüfstand Machen Sie Ihr Risikomanagement fit für Solvency II Severn Consultancy GmbH, Phoenix Haus, Berner Str. 119, 60437 Frankfurt

Mehr

GESCHÄFTSORDNUNG des Präsidiums des Hamburger Sport-Verein e.v. in der Fassung vom 07.03.2015

GESCHÄFTSORDNUNG des Präsidiums des Hamburger Sport-Verein e.v. in der Fassung vom 07.03.2015 GESCHÄFTSORDNUNG des Präsidiums des Hamburger Sport-Verein e.v. in der Fassung vom 07.03.2015 Gemäß 18 Ziffer 1 der Satzung gibt sich das Präsidium des Hamburger Sport-Verein e.v. mit Zustimmung des Beirates

Mehr

Stellungnahme der ARGE DATEN zum Entwurf: Verordnung zur Implementierung von ELGA (ELGA-VO) 1. EINLEITUNG

Stellungnahme der ARGE DATEN zum Entwurf: Verordnung zur Implementierung von ELGA (ELGA-VO) 1. EINLEITUNG 1. EINLEITUNG Gemäß 17 Gesundheitstelematikgesetz 2012 (GTelG 2012) hat der Bundesminister für Gesundheit eine eigene ELGA-Ombudsstelle einzurichten und sicherzustellen, dass die Rechte der ELGA- von der

Mehr

GRUNDSÄTZE ÜBER DEN UMGANG MIT INTERESSENKONFLIKTEN

GRUNDSÄTZE ÜBER DEN UMGANG MIT INTERESSENKONFLIKTEN GRUNDSÄTZE ÜBER DEN UMGANG MIT INTERESSENKONFLIKTEN 02 HAUCK & AUFHÄUSER INVESTMENT GESELLSCHAFT S.A. Grundsätze der Hauck & Aufhäuser Investment Gesellschaft S.A Luxemburgische Verwaltungsgesellschaften

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk

Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Checkliste für Umsetzung der Auslagerungsregelungen der MaRisk Diese Checkliste erhebt keinen Anspruch auf Vollständigkeit. Trotz der sorgfältigen Erarbeitung der Checkliste, kann eine Garantie nicht übernommen

Mehr

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Data Loss Prevention Rechtliche Herausforderungen beim Kampf gegen Datenabfluss Dr. Lukas Feiler, SSCP Baker & McKenzie Diwok Hermann Petsche Rechtsanwälte TOPICS 1. Gesetzliche Pflichten zur Implementierung

Mehr

PIAAC Was brauchen wir, um Alltag oder Beruf erfolgreich zu meistern?

PIAAC Was brauchen wir, um Alltag oder Beruf erfolgreich zu meistern? 1 PIAAC Was brauchen wir, um Alltag oder Beruf erfolgreich zu meistern? Eine internationale Studie zur Untersuchung von Alltagsfertigkeiten Erwachsener Programme for the International 2 Gliederung 3 Seite

Mehr

Strategien erfolgreich umsetzen. Menschen machen den Unterschied.

Strategien erfolgreich umsetzen. Menschen machen den Unterschied. Strategien erfolgreich umsetzen. Menschen machen den Unterschied. Zukünftigen Erfolg sicherstellen die richtigen Menschen mit Strategien in Einklang bringen. Bevor wir Ihnen vorstellen, was wir für Sie

Mehr

Geschäftsordnung des Aufsichtsrats der HUGO BOSS AG. Metzingen. Verabschiedet in der Sitzung des Aufsichtsrats am 15. März 1993 in Metzingen

Geschäftsordnung des Aufsichtsrats der HUGO BOSS AG. Metzingen. Verabschiedet in der Sitzung des Aufsichtsrats am 15. März 1993 in Metzingen Geschäftsordnung des Aufsichtsrats der HUGO BOSS AG Metzingen Verabschiedet in der Sitzung des Aufsichtsrats am 15. März 1993 in Metzingen Geändert in den Sitzungen des Aufsichtsrats am 22. Mai 2000 in

Mehr

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f.

Entwurf einer Neufassung des IDW Standards: Die Prüfung des internen Kontrollsystems bei Dienstleistungsunternehmen (IDW EPS 951 n.f. Arbeitskreis Rechnungslegung des Deutschen Steuerberaterverbands e.v. Littenstraße 10 10179 Berlin Tel: 030/278 76-2 Fax: 030/278 76-799 Mail: rechnungslegung@dstv.de B 01/13 vom 31.05.2013 Entwurf einer

Mehr

bereit zum Abflug? Sind Ihre Talente

bereit zum Abflug? Sind Ihre Talente Sind Ihre Talente bereit zum Abflug? Die Weltwirtschaft wächst wieder und konfrontiert die globalen Unternehmen mit einem Exodus der Talente. 2013 und 2014 kommt das Wachstum in Schwung die Arbeitsmärkte

Mehr

SO WEHREN SIE ANGRIFFE AB! SO SCHÜTZEN SIE IHR UNTERNEHMEN!

SO WEHREN SIE ANGRIFFE AB! SO SCHÜTZEN SIE IHR UNTERNEHMEN! SO WEHREN SIE ANGRIFFE AB! SO SCHÜTZEN SIE IHR UNTERNEHMEN! Einladung zum CEO-Briefing Internationale Wirtschaftsund Industriespionage Mi, 30.09.2015 Haus der Industrie Schwarzenbergplatz 4 1030 Wien WIRTSCHAFTS-

Mehr

Corporate Governance

Corporate Governance Corporate Governance Der Verwaltungsrat Aufgaben Art. 716a OR Abs. 1 Der Verwaltungsrat hat folgende unübertragbare und unentziehbare Aufgaben: 1. die Oberleitung der Gesellschaft und die Erteilung der

Mehr

Kodexanpassungsvorschläge 2015. Medien-Telefonkonferenz 25. Februar 2015, 11 Uhr

Kodexanpassungsvorschläge 2015. Medien-Telefonkonferenz 25. Februar 2015, 11 Uhr Kodexanpassungsvorschläge 2015 Medien-Telefonkonferenz 25. Februar 2015, 11 Uhr Dr. Manfred Gentz, Vorsitzender der Regierungskommission Deutscher Corporate Governance Kodex Nicht mehr Notwendiges streichen,

Mehr

Infoblatt Security Management

Infoblatt Security Management NCC Guttermann GmbH Wolbecker Windmühle 55 48167 Münster www.nccms.de 4., vollständig neu bearbeitete Auflage 2014 2013 by NCC Guttermann GmbH, Münster Umschlag unter Verwendung einer Abbildung von 123rf

Mehr

Corporate-Governance-Bericht 2014

Corporate-Governance-Bericht 2014 Corporate-Governance-Bericht 2014 Run Simple The Best-Run Businesses Run SAP Corporate-Governance-Bericht Gute Corporate Governance ist für die SAP grundlegend für eine verantwortungsvolle Unternehmensführung.

Mehr

tue gutes und rede darüber!

tue gutes und rede darüber! Leitlinien tue gutes und rede darüber! Leitlinien für wirkungsvolle Berichterstattung über Corporate Citizenship Seite 2 / 8 einleitung Gesellschaftliches Engagement von Unternehmen wirkt dann, wenn es

Mehr

Delphi-Roundtable Talent Management 2020: HR-Abteilungen auf dem Weg zum strategischen Player

Delphi-Roundtable Talent Management 2020: HR-Abteilungen auf dem Weg zum strategischen Player Delphi-Roundtable Talent Management 2020: HR-Abteilungen auf dem Weg zum strategischen Player Name: Funktion/Bereich: Organisation: Stefan Schüßler Vertriebsleiter Personalwirtschaftssysteme SAP Deutschland

Mehr

Fundiert. Flexibel. Unabhängig. Einfach. Effizienzprüfung Kreditinstitute

Fundiert. Flexibel. Unabhängig. Einfach. Effizienzprüfung Kreditinstitute Fundiert. Flexibel. Unabhängig. Einfach. Effizienzprüfung Kreditinstitute diep Ihr Institut für die Effizienzprüfung Fundiert. Flexibel. Unabhängig. diep Deutsches Institut für Effizienzprüfung ist Deutschlands

Mehr

Basiswissen. Ursprung und Praxis der Genossenschaftsbanken. Inhalt

Basiswissen. Ursprung und Praxis der Genossenschaftsbanken. Inhalt _ Basiswissen Ursprung und Praxis der Genossenschaftsbanken Seit mehr als 150 Jahren schließen sich Gemeinschaften zu Genossenschaften zusammen. Heute gibt es sie in nahezu allen Bereichen. Lesen Sie mehr

Mehr

Banken tun sich mit der Umsetzung von BCBS 239 schwer

Banken tun sich mit der Umsetzung von BCBS 239 schwer Banken tun sich mit der Umsetzung von BCBS 239 schwer Andreas Bruckner Das Baseler Komitee für Bankenaufsicht (BCBS) hat am 23. Januar 2015 den Bericht über den Umsetzungsstand der Grundsätze für die effektive

Mehr

RWE Aktiengesellschaft. Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN.

RWE Aktiengesellschaft. Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN. RWE Aktiengesellschaft Die RWE Konzernsicherheit im Überblick. UND STÄRKEN SICHERN. 2 INHALT RWE-Konzern INHALT VORWORT 3 GELTUNGSBEREICH 4 SECURITY-LEITBILD 5 SECURITY-STRATEGIE 6 SECURITY-RAHMEN 8 VERANTWORTUNG

Mehr

Das neue Programm für Nachwuchsführungskräfte der Tönsmeier Gruppe

Das neue Programm für Nachwuchsführungskräfte der Tönsmeier Gruppe Young TALENTS Das neue Programm für Nachwuchsführungskräfte der Tönsmeier Gruppe Viele Experten prophezeien, dass angesichts der demografischen Entwicklung in Zukunft immer weniger gut ausgebildete, talentierte,

Mehr

Sicherheit im IT Umfeld

Sicherheit im IT Umfeld Sicherheit im IT Umfeld Eine Betrachtung aus der Sicht mittelständischer Unternehmen Sicherheit im IT Umfeld Gibt es eine Bedrohung für mein Unternehmen? Das typische IT Umfeld im Mittelstand, welche Gefahrenquellen

Mehr

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom

Aufbau und Zielsetzung des Compliance Managements der Deutschen Telekom Bescheinigung Wichtiger Hinweis: Regelungen von PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft ("PwC") und Ernst & Young GmbH Wirtschaftsprüfungsgesellschaft ("Ernst & Young") für den Zugang

Mehr

Trend 2013: IT ist Wachstumstreiber in EMEA

Trend 2013: IT ist Wachstumstreiber in EMEA 12. Februar 2013 Trend 2013: IT ist Wachstumstreiber in EMEA EMC-Umfrage unter 6 656 IT-Entscheidern in 22 Ländern gibt Aufschluss über die geschäftlichen Prioritäten für 2013 Die Umfrage identifiziert

Mehr

JUNI 2013 CYBER RISK SURVEY 2013

JUNI 2013 CYBER RISK SURVEY 2013 JUNI 213 CYBER RISK SURVEY 213 INHALT: 2 WEITERHIN HANDLUNGSBEDARF BEI UNTERNEHMEN 3 UNTERNEHMEN UNTER BESCHUSS 5 WAS RAUBT RISIKOMANAGERN DEN SCHLAF? 6 WISSENSLÜCKEN IM ZUSAMMENHANG MIT CYBER-RISIKEN

Mehr

Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter

Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter BARTSCH UND PARTNER RECHTSANWÄLTE GESELLSCHAFT DES BÜRGERLICHEN RECHTS Verantwortlichkeit, Delegation und Haftung für Geschäftsleiter und Mitarbeiter Rechtsanwalt Prof. Dr. Michael Bartsch Vortrag auf

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr