Die Top 3 Faktoren für Risikomanagement im Digitalen Zeitalter: Samuel Brandstätter, avedos im Bloginterview

Wenn sich Alles verändert, hilft professionelles Riskmanagement mit dem Unvorhersehbaren umzugehen. Samuel Brandstätter, CEO von avedos, zeigt bei seinem Vortrag auf dem 9. Confare CIO SUMMIT gemeinsam mit Franz Hoheiser Pförtner, dem CISO des Wiener KAV, wie moderne Tools für Compliance und Risikomanagement in der Praxis funktionieren.

Was bedeutet Risiko in Zeiten des Digitalen Wandels? Wie kann man Risiko überhaupt managen, wenn kein Stein auf dem anderen bleibt?

Die Bedeutung von Risiken in der digitalen Welt hat sich gegenüber der Bedeutung in der analogen Welt nicht geändert. Es geht im Kern des Risikomanagements nach wie vor darum, sicher zu stellen, dass organisationale oder individuelle Ziele erreicht werden. Dabei bildet Risikomanagement den Rahmen um mit unvorhergesehenen Ereignissen oder Entwicklungen umzugehen und aktive Steuerungsmaßnahmen zu setzen. 

Spezifische Domänen des Risikomanagements – wie beispielsweise das Informationsrisikomanagement – gewinnen durch den digitalen Wandel stark an Bedeutung. Informationen, die bis vor einigen Jahren ausschließlich in physischer Form vorlagen, existieren heute digital – und sind damit überall und zu jeder Zeit abrufbar. War es vor einigen Jahren noch ausreichend, wertvolle Informationen mit einem guten Perimeterschutz gegenüber außen zu schützen, so bringen die viel intensivere unternehmensübergreifende Vernetzung, der Trend Daten in der Cloud abzulegen und die viel einfachere Zugänglichkeit zu Informationen über mobile Devices die Notwendigkeit mit sich, den Informationsschutz neu zu überdenken und zu gestalten. Die zunehmende Vernetzung aller Bereiche des Lebens und die damit verbundene Generierung von Daten (herfür gibt es zahllose Beispiele – vom Fitness-Tracker bis zum Connected Car, vom intelligenten Kühlschrank bis zur digitalen Patientenakte) bringt darüber hinaus auch noch völlig neue Angriffsszenarien mit sich.  

Mit diesen Entwicklungen Schritt zu halten ist eine der wesentlichen Herausforderungen um im digitalen Wandel das Sicherheitsniveau aufrecht zu erhalten.

Welche Anforderungen stellt das Risikomanagement an die Prozesse und Organisation des Kunden?

Risikomanagement hat heute oft den Ruf des „Verhinderers“ – vor allem wenn es nur von wenigen Risikomanagern betrieben wird, die involviert werden müssen um bei kritischen Entscheidungen von einem Veto-Recht Gebrauch zu machen. Tatsächlich ist Risikomanagement aber eine Management-Disziplin, die von den operativen Management-Strukturen einer Organisation nicht zu trennen ist. Jeder Entscheidungsträger wägt Risiken in jedem Aspekt seines Handelns ab – ob mittels Bauchgefühl oder mit formalisierten Methoden. Das unternehmensweite Risikomanagement hat die klare Aufgabe einheitliche Methoden und Werkzeuge bereit zu stellen, die dem operativen Management dabei helfen, bessere Entscheidungen zu fällen. Interessanterweise ist zu beobachten, dass Organisationen mit einer starken Zielfokussierung Risikomanagement nicht als Hemmschuh, sondern als aktives Steuerungselement der Zielerreichung anerkennen – die operativen Manager sehen dabei die in das Risikomanagement investierte Zeit als Hilfestellung, ihre Ziele zu erreichen.

Welche Bedeutung hat dabei der „menschliche Faktor“?

Wie sich in diversen Wirtschaftskrisen gezeigt hat, kann man auch mit den besten Algorithmen nicht aus der Vergangenheit valide auf die Zukunft schließen. Risikoeinschätzungen – und die daraus resultierenden Einschätzungen der künftigen Entwicklung -  basieren im Wesentlichen immer auf drei Quellen: Daten aus der Vergangenheit, Parameter der Gegenwart in Verbindung zu den Daten der Vergangenheit und menschlichen Einschätzungen, Schlussfolgerungen, Ableitungen – also „Experts Judgement“. Ich bin der Überzeugung, dass auch in Zeiten von Big Data und mit Unmengen an verfügbaren historischen Daten der Mensch die entsprechende Schlussfolgerung ziehen wird und dabei auch immer seine subjektiven Erfahrungen und Eigenschaften eine Rolle spielen werden.

Welche Möglichkeiten bieten dazu GRC Tools? Wie sieht Ihr Einsatz in der Praxis aus?

Aus meiner Wahrnehmung gibt es zwei Arten von Softwarewerkzeugen im GRC-Umfeld. Es gibt Experten-Tools, die einen meist sehr kleinen Kreis von Experten dabei unterstützen, Daten aufzubereiten, mit speziellen Analyse- und Simulationsverfahren zu bearbeiten und auf sehr konkrete Fragestellungen statistisch nachvollziehbare Ergebniswahrscheinlichkeiten aufzuzeigen.

Die zweite Art von Werkzeugen sind Management-Systeme – also Werkzeuge, die das zentrale Risikomanagement enablen seine Governance-Funktion auszuüben. Dabei werden Prozesse und Methoden aufgebaut, die dabei helfen, eine homogene Risikomanagement-Vorgehensweise in die gesamte Management-Organisation zu tragen um damit die Zielfokussierung sowie die Resilienz gegenüber unvorhergesehenen Entwicklungen im Gesamtunternehmen zu stärken. Der größte Nutzen für Unternehmen entsteht genau dann, wenn begonnen wird, mehrere solche Management-Systeme zu integrieren um Synergien zwischen ERM, IKS, Audit Management, Compliance Management, Security Management und anderen GRC-Prozessen zu ziehen. Durch diese Integration entwickelt GRC seinen eigentlichen Mehrwert.

Was sind die 3 wichtigsten Erfolgsfaktoren für GRC im Digitalen Zeitalter?

Die Vision von avedos für GRC umfasst wesentliche Themenbereiche, die wir als kritische Erfolgsfaktoren von GRC-Initiativen – und damit auch des Erfolges des jeweiligen Unternehmens – sehen:

1.            Integration – GRC-Verantwortliche sind mehr und mehr gefordert ihre GRC-Prozess Silos aufzubrechen und zu integrieren. Vorstände können es in einer so bewegten Zeit nicht mehr akzeptieren, dass SIE in der Pflicht sind, sich aus unzähligen, nicht integrierten Berichten, das Gesamtbild aufzubauen um entscheidungsfähig zu sein. Auch ein einheitliches GRC-Tool zu implementieren, das dann erst wieder hermetisch separierte GRC-Silos in sich trägt, wird hier das Problem nicht lösen. Der Erfolg von GRC-Initiativen – vor allem aus Sicht der Vorstände und Aufsichtsräte – wird also maßgeblich davon abhängen ob GRC-Initiativen holistisch gedacht sind oder nur „alter Wein in neuen Schläuchen“.

2.            Agilität – Je schneller sich die Umwelt weiterentwickelt, desto schneller müssen sich auch Risikomanagement- und GRC-Prozesse entwickeln können. Dies verlangt höchste Flexibilität und Anpassbarkeit der eingesetzten GRC-Systeme. Es ist erforderlich alle Aspekte einer GRC-Initiative anhand des Reifegrades des Unternehmens weiterentwickeln zu können. Methoden, Prozesse, Standards- und Normen, Integrations-Szenarien, Schnittstellen  - all diese Elemente müssen sich den jeweiligen Gegebenheiten anpassen können um Sackgassen in der IT-Umsetzung von GRC zu vermeiden.

3.            Collaboration – je größer die Zielgruppe der in einen GRC-Prozess involvierten Personen ist, desto mehr ist die möglichst einfache, schnelle und transparent dokumentierte Zusammenarbeit zu GRC-Inhalten erforderlich. Dies umfasst sowohl Möglichkeiten der Personen- / Abteilungs- / Standort-übergreifenden Interaktion zu Risiken, Maßnahmen oder anderen GRC-Inhalten, als auch die Vereinfachung der Kommunikation über die unterschiedlichen Organisationsebenen.

Das Confare CIO SUMMIT ist Österreichs größter CIO Treffpunkt mit mehr als 300 IT-Entscheidern und der Verleihung des CIO AWARD an die besten IT-Manager Österreichs. Anmeldungen und Details auf www.ciosummit.at

 Die avedos business solutions gmbh ist ein Softwareunternehmen mit Sitz in Wien, das sich auf Governance, Risk und Compliance (GRC) spezialisiert hat. Das Unternehmen bietet seit 2005 flexible Softwarelösungen, mit denen GRC-Prozesse dargestellt und verwaltet werden um Risiken frühzeitig zu erkennen und Chancen optimal zu nutzen. Die Softwareplattform risk2value deckt eine Vielzahl von Anwendungsbereichen im Umfeld Enterprise Risk Management, Internes Kontrollsystem, Compliance Management, Audit Management und Informationssicherheitsmanagement ab. Zu den Kunden zählen die weltweit größten und erfolgreichsten Automobilhersteller, Versicherungen, Telekommunikations- und Handelsunternehmen.
www.avedos.com

CDO - Der Chief Digital Officer als Querulant oder Visionär?

Die Hamburg Port Authority betreibt seit 2005 das Hafenmanagement der Freien und Hansestadt Hamburg und ist für alle behördlichen Belange des Hamburger Hafens zuständig. Mit rund 1800 Beschäftigten wird der Hafenbetrieb sichergestellt, die Hafenentwicklung sowie die Entwicklung und Unterhaltung der Infrastruktur. Die HPA ist Ansprechpartner für alle Fragen der Sicherheit des Schiffsverkehrs, der Hafenbahnanlagen, des Immobilienmanagements, der wasser- und landseitigen Infrastruktur sowie der wirtschaftlichen Bedingungen im Hafen.

In dem 2012 erschienenen Hafenentwicklungsplan 2025 hat sich die HPA ehrgeizige Ziele gesetzt. Unter dem Motto „Hamburg hält Kurs – der Hamburger Hafenentwicklungsplan bis 2025 und seine strategische Hafenplanung“  wurde erarbeitet, wie der Hamburger Hafen seine Wettbewerbsposition langfristig erhalten und Wachstumspotentiale nutzen kann, wie die Arbeitsplätze im Hafen nachhaltig zu sichern seien und die Wertschöpfung des Hafens in Hamburg zu steigern.

Seit Januar 2009 lenkt Dr. Sebastian Saxe als Mitglied der Geschäftsleitung, CIO und Leiter Services die IT Geschicke der HPA und verantwortet den Ausbau und die Weiterentwicklung der IT-Landschaft um diese Ziele möglich zu machen. Inzwischen ist er als einer der wenigen Chief Digital Officer mit der Aufgabe betraut, den Hafen Hamburg auch in Zeiten der Digitalen Business Transformation als einen der bedeutendsten Seehäfen der Welt zu positionieren

„Als CDO ist mein Aufgabengebiet sehr vielfältig und verlangt vor allem eines: Überzeugungskunst!“, umreißt Sebastian Saxe sein Tätigkeitsfeld. „Es umfasst insbesondere die Strategieentwicklung und das Gestalten des Business-Case für die Digitalisierung, sowie deren konkrete Umsetzung.“ Dabei ist Fingerspitzengefühl gefragt. Als Keynote-Speaker beim 8. Confare CIO & IT-Manager Summit stellt Saxe eine bewusst provokative Frage: „Der CDO als Visionär oder Querulant?

„Da die Digitalisierung eines Unternehmens nahezu alle Geschäftsbereiche betrifft, mischt sich ein CDO auch in alle Prozesse ein.“  Beginnend bei internen Workflows, über Self-Services der Hafenkunden bis hin zum Einsatz des „Internets of Everything“ reicht der Impact des Digitalen Wandels auf das Geschäft des Logisikumschlagplatzes.

Die IT spielt natürlich eine wesentliche Rolle, Im Vergleich zu seiner Aufgabe als CIO ist vom CDO noch mehr Prozessverständnis und „Vermittlungsvermögen“ gefordert. „Die Fähigkeit Menschen bei der Einführung etablierter Technologien mitzunehmen ist genauso unerlässlich für den CDO wie Mut und Forschungsarbeit bei der Einführung von „on the Edge“-Technologien.“

Wie unterscheidet sich die Rolle des CDO von der des CIO? Vor welchen digitalen Herausforderungen steht die HPA?  Wie kann die Digitalisierung für den weltberühmten Hafen Hamburg in Zukunft ein entscheidender Wettbewerbsvorteil sein? Diese Fragen erläutert Dr. Sebastian Saxe im Rahmen des Vortrages auf dem 8. Confare CIO & IT-Manager Summit am 25/26. März 2015 in Wien. Die Veranstaltung stellt mit dem CIO AWARD und zahlreichen hochkarätigen Vorträgen DEN österreichischen IT-Treffpunkt von internationalem Format dar. Anmeldung und Details zum umfangreichen Konferenzprogramm auf www.ciosummit.at

Forderungsabsicherung und Liquiditätsmanagement bei internationalen Geschäften

Manfred Adlmanseder ist CFO der SML Maschinengesellschaft. Bei einer Vielzahl von internationalen Projekten in Asien, Südamerika und CEE hat er gelernt, auch in wirtschaftlich wechselhaften Zeiten bei langfristigen Projekten Liquidität zu sichern. Seit der ersten Kreditkrise hat sich das Risiko deutlich gesteigert. Im Interview erklärt der Finanzexperte wie er mit dem Risiko umgeht.

Was hat sich im internationalen Projektgeschäft seit 2008 geändert?

Am Anfang der Finanzkrise stand das Schlagwort von der "Kreditklemme". Die Banken kamen damals teilweise ihrer ureigensten Aufgabe, der Finanzierung der Wirtschaft, nicht mehr nach. Jene Unternehmen, die Ihre Liquidität nicht im Griff hatten standen plötzlich vor Zahlungsproblemen. Dazu kam ein in vielen Fällen drastischer Auftragseinbruch, durch den die im Projektgeschäft üblichen Anzahlungen ausbleiben. Auf der anderen Seite stieg das Ausfallsrisiko nicht nur bei Kunden und Abnehmern sprunghaft an, selbst Großbanken galten plötzlich nicht mehr als "too big to fail". Lokale Kreditmärkte sind auch jetzt noch häufig in ihrer Funktion eingeschränkt.
Parallel dazu hat sich aber auch das geopolitische Umfeld destabilisiert. Die Zahl der "failed states" steigt, Piraterie ist plötzlich wieder ein Thema, Phänomene wie der Arabische Frühling schaffen kein Klima für Wirtschaftswachstum und Investitionen, zumindest nicht kurzfristig.

Welchen Einfluss haben ‚Schuldenkrise‘ und Euro-Unsicherheit?

Die Schuldenkrise ist primär eine der öffentlichen Hand. Natürlich trifft es die Unternehmen wenn staatliche Aufträge ausbleiben. Das relativiert sich aber auf internationalen Märkten. Die Kapazitäten werden zusehends in Schwellenländern aufgebaut. Dort gibt es enormes Potential. Was die europäische Währung anbelangt, so kommt der Exportwirtschaft der derzeitige Eurokurs entgegen. Für uns wird es bei einem EUR/USD-Kurs über 1,30 in manchen Märkten schwierig.

Welchen Stellenwert hat Liquiditätsmanagement in Ihrem Geschäft?

Einen sehr hohen! Wir haben gerade ab Beginn der Finanzkrise erlebt, dass Unternehmen trotz voller Auftragsbücher zahlungsunfähig wurden. Im Projektgeschäft tätige Unternehmen finanzieren sich gewöhnlich in einem hohen Maß über erhalten An- und Zwischenzahlungen. Die Liquiditätsplanung ist im Projektgeschäft mit deutlich höheren Schwankungen der liquiden Mittel konfrontiert als in Produktionsbetrieben und zudem aufgrund der Auftragsgrößen deutlich schwerer planbar Hier gilt es sich zum einen von den Banken frei zu spielen und natürlich auch genügend rasch hebbare Liquiditätsreserven vorzusehen.

Haben Sie öfter Probleme mit Zahlungsausfällen?

Zahlungsausfälle kommen vor, die Frage ist dann nur wie man die Transaktionen strukturiert hat und wie man abgesichert ist. Grundsätzlich gilt es das Zahlungsausfallsrisiko so gering zu halten, dass ein positiver Deckungsbeitrag übrigbleibt. Das gelingt in der Regel nur, wenn man das Risiko eines Ausfalls entweder ganz an Dritte, z.B. Banken oder Finanzierungsinstitute auslagert oder zumindest eine Risikoteilung vornimmt. Also etwa eine Kreditversicherung mit anschließender Übernahme des Selbstbehaltes durch eine Kommerzbank, die in der Regel dann auch die Finanzierung übernimmt. Als Maschinen- und Anlagenbauer sollte man der Versuchung widerstehen selbst Bank zu spielen, auch wenn Zinsgewinne auf den ersten Blick oft verlockend erscheinen.

Welche strategischen Möglichkeiten gibt es sich abzusichern?

Vertrag, Versicherung und Bank - ich bevorzuge letztere. Verträge sind wichtig, in der Regel aber kein hinreichender Schutz vor Zahlungsausfällen. Kreditversicherungen, insb. die der ECA's, spielen trotz teilweise empfindlicher Prämien im Export eine entscheidende Rolle, sollen aber nicht mehr sein, als ein zusätzlicher "Fallschirm" und ersetzen nicht ein professionelles Risiko- und Forderungsmanagement. Die Bank verstehe ich als unverzichtbaren Partner im Exportgeschäft. Leider haben die Exportfinanzierungsabteilungen bei den österreichischen Banken nicht jenen Stellenwert den man sich von Seiten der Wirtschaft wünschen würde. Dazu kommt ein starker Fokus des Wiener Bankenplatzes auf CEE. Unsere Exporte aber gehen primär in die aufstrebenden Märkte in Fernost oder Lateinamerika aber auch in Schwellenländer wie Indien oder Indonesien. Hier sind die heimischen Banken gefordert die Exportwirtschaft zu begleiten.

DDr. Manfred Adlmanseder ist seit 2005 CFO der SML Maschinen GmbH. Davor war er Metall AG (AMAG) Leiter Konzernrechtsabteilung und Bereichsleiter Infrastruktur/Energie. Er studierte Rechtswissenschaften, Betriebswirtschaft, sowie Slawische Philologie. Seine Karriere begann er beim BMI und der Stadt Wien als Koordinator Flüchtlingsaufnahme

Am 22./23. Oktober hält er in Wien sein Seminar: Forderungsabsicherung und Liquiditätsmanagement bei internationalen Geschäften

Weitere Infos auf www.confare.at

Interview: Risiko managen – bevor die Krise hereinbricht

In Zeiten der Krise trennt sich die Spreu vom Weizen – wer rechtzeitig begonnen hat, die Risiken des Unternehmens zu analysieren, zu bewerten und letztendlich ein passendes Risikomanagement etabliert, ist darauf vorbereitet, wenn Risiken schließlich zu einer konkreten Gefahr werden. Dr. Wolfgang Haidegger ist Spezialist für das Enterprise Risk Management und nimmt im Interview Stellung dazu, wie man mit Risiken umgehen muss, um wirtschaftliche Nachteile und vielleicht sogar Haftstrafen vermeiden kann.

Das Wort Krise hat zur Zeit Konjunktur – Wie können Unternehmen verhindern, dass es soweit kommt?

Das Hauptaugenmerk muss auf der Strategie liegen. Diese weist ja den generellen Weg eines Unternehmens und macht es ursprünglich erfolgreich. Was aber wichtig ist, ist ständig zu überprüfen, ob die Rahmenbedingungen, unter denen eine Strategie einst entwickelt wurde, noch immer gültig sind. Hierzu zählen die ursprünglich erhobenen Risken, gesetzliche Rahmenbedingungen, technische Weiterentwicklung uvm. Nachgeordnet zu diesem generellen Vorgehen muss ein klares Reporting aller notwendigen Informationen an die geeigenten Personen erfolgen – die Grundlage jedes Monitoring der Bewertung und Umesetzung einer Gesamtstrategie.

In wie weit muss ich auch der IT-Manager mit rechtlichen und wirtschaftlichen Risiken befassen?

Der IT Manager wird immer mehr zum Manager einer Serviceeinrichtung, die als Profit Center geführt wird. Daher muss er sich mit der Kostenstruktur und dem Wert der Services seiner IT Abteilung auseinandersetzen. Investitionen in Mensch und Material sind dann ebenso nach wirtschaftlichen Grundsätzen zu tätigen, wie die Planung operationeller Prozesse. Rechtliche Fragen muss der IT Manager im Rahmen seiner Reportingpflicht für seine Abteilung kennen, sowie alle Bestimmungen, die für die Services gültig sind, die seine Abteilung liefert (Aufbewahrung von Daten, Betreiben von Kommunikationsinfrastruktur – Integrität der transportierten Informationen, Bereitstellen von Applikationen zur Auswertung gewisser Daten)

Was passiert, wenn man Risikomanagement zu wenig Beachtung schenkt?

Risken, denen ein Unternehmen generell ausgesetzt sein kann, reichen von einer nicht richtig gewählten Geschäftsstrategie über nicht klar definierte Kompetenzen bis zu einer ungenügend ausgestatteten technischen Infrastruktur. Risikomanagement deckt viele dieser – durchaus gängigen – Risken schon in der Analysephase auf und minimiert durch rechtzeitig geplante und implementierte Gegenmaßnahmen somit den potentiellen Schaden, den ein Unternehmen sonst nehmen könnte. Risikomanagement nicht geeignete Beachtung zu schenken läßt ein Unternehmen also im Ungewissen über mögliche Probleme und erlaubt im Falle des Eintritts eines Problems (das eventuell sogar verhindert werden hätte können) auch keine gut durchdachte Reaktion.

Welche Möglichkeiten bieten internationale Standards, wie ITIL und COBIT?

Internationale Standards wie ITIL, COBIT, ISO/IEC 27001 geben zunächst einmal eine Menge Erfahrung der verschiedenen beteiligten Autoren zu Themen wie IT-Governance, Service Delivery oder Security Management wieder. Diese Rahmenwerke sind auch zu ihren Themen recht vollständig, sodass man bei der Planung oder Analyse des entsprechenden Themas wenig wichtige Themen übersehen sollte. Sie formen weiters ein gemeinsames Verständnis zu den Themen die sie behandeln, das heißt, dass Geschäftspartner, die sich über die Verwendung eines international standardisierten Rahmenwerks einigen, auch nicht das Risiko eines großen „semantical gap“ einhandeln.