ey finance & performance magazine dezember 2018, esg ... · anders als bei den herkömmlichen...
TRANSCRIPT
ESG-Risk- ManagementDie Bedeutung der ESG-Risiken (Environmental, Social and Governance)
Dezember 2018
Finance &PerformanceESG-Risk-Management
Ein neuer Leitfaden unterstützt nun Unter-
nehmen bei der struktrierten Betrachtung
der ESG-Risiken (Environmental, Social
and Governance) in ihrem Risikomanage-
mentsystem.
Die digitale CFO-Agenda
Im Zuge der digitalen Transformation der
Finanzabteilung wird das Finanzwesen agiler,
vorausschauender und entscheidungsorien-
tierter. Dies verändert die Steuerungs-
per spektive des Finanzbereichs wesentlich.
Aufsichtsräte/Kreditinstitute
Die gesetzlichen Bestimmungen zum Aufsichts-
rat von Kreditinstituten haben sich insbesondere
bei der Zusammensetzung des Gremiums durch
die nunmehr notwendige Mindestanzahl an unab-
hängigen Mitgliedern wesentlich geändert.
Magazine
Foto
: get
tyim
ages
3EY Finance & Perfomance Magazine | Dezember 2018
Foto
Cov
er: G
etty
imag
es
Liebe Leserinnen! Liebe Leser!
EY begleitet Unternehmen in Österreich und auf der ganzen Welt als Transfor
mationspartner auf allen Etappen des digitalen Wandels. Das heißt für uns vor
allem, dass wir gemeinsam mit unseren Kunden Einsatzmöglichkeiten für neue
Technologien ausprobieren und dass wir untersuchen, welche Folgen der Wandel
konkret für Unternehmen, ihre Funktionsbereiche und auch ihre Berichterstat
tung hat.
Die durch Digitalisierung, aber auch durch immer größere Volatilität und Unsicherheit angetrie
bene Transformation lässt die Bedeutung eines funktionierenden Risikomanagementsystems
immerweitersteigen.DementsprechendinteressierensichStakeholdernebendenfinanziellen
Kennzahlen auch zunehmend für Faktoren wie die sogenannten ESGRisiken (Environmental,
Social and Governance). In der Titelgeschichte dieser Ausgabe beschreibt Georg Rogl, wie Unter
nehmeninÖsterreichihrergesetzlichvorgeschriebenenPflicht,überihreRisikenzuberichten,
nachkommen können.
Eines der zentralen Risiken für Unternehmen in der digitalen Welt ist die Bedrohung durch Cyber
angriffe. Die Europäische Union hat daher eine Strategie zur Erhöhung der Cybersicherheit im
Euroraum entwickelt. Die darin verankerte Richtlinie zur Sicherheit von Netz und Informations
systemen wird jetzt als sogenanntes NISGesetz in österreichisches Recht übernommen. Peter
Thiesen und Gottfried Tonweber zeigen, welche Unternehmen von den Anforderungen des Cyber
sicherheitsgesetzes erfasst sind und welche Änderungen auf sie zukommen.
NichtnurUnternehmenselbst,auchihrezentralenFunktionsbereichebefindensichinmitteneines
nachhaltigen Wandels. In dieser Ausgabe widmen wir daher jeweils einen umfassenden Beitrag
der Frage, welche neuen Anforderungen, aber auch welche neuen Chancen die Digitalisierung für
die Finanzfunktion bzw. für das Controlling bringt.
Im Namen des gesamten Redaktionsteams wünsche ich Ihnen viel Vergnügen beim Lesen.
Herzlichst
Ihr Gerhard Schwartz
Finance &PerformanceMagazine
4 EY Finance & Perfomance Magazine | Dezember 2018
Neues Cybersicherheitsgesetz in Österreich
Was ändert sich für die betroffenen Unternehmen?
Die digitale CFO-Agenda
Raschere Reaktionsfähigkeit
auf Marktherausforderungen
21
13
16
Aufsichtsräte von Kreditinstituten
Neue gesetzliche Bestimmungen ab 1. Jänner 2019
Foto
: Shu
tter
stoc
k
24Der digitale Controlling-Regelkreis
Der Weg zur Verwirklichung des Digital Controlling
für eine verbesserte Unternehmenssteuerung
Foto
: get
tyim
ages
Foto
: get
tyim
ages
Foto
: get
tyim
ages
5EY Finance & Perfomance Magazine | Dezember 2018
3 Editorial
5 Inhalt
6 ESG-Risikomanagement Integration von ESGRisiken in das EnterpriseRiskManagement
ÖsterreichischeUnternehmensindgesetzlichverpflichtet,überihreRisiken
zu berichten, was ein funktionierendes Risikomanagementsystem voraus
setzt. Internationale Rahmenwerke sind weit verbreitet und unterstützen Unter
nehmen dabei, ihre Risiken zu verstehen und zu steuern.
13 Die digitale CFO-Agenda
16 Der digitale Controlling-Regelkreis Digitalisierung aus dem Blickwinkel des Controllings
21 Neue Anforderungen für Aufsichtsräte von Kreditinstituten
24 Cybersicherheitsgesetz ante portas!
26 Found out
EY Global Information Security Survey 2018
27 Publikationen, Events, Impressum
InhaltDezember 2018
6 EY Finance & Perfomance Magazine | Dezember 2018
TOP | ESGRiskManagementFo
to: i
Sto
ckph
oto
7EY Finance & Perfomance Magazine | Dezember 2018
Integration von ESG-Risiken in das Enterprise-Risk-ManagementÖsterreichischeUnternehmensindgesetzlichverpflichtet,
über ihre Risiken zu berichten, was ein funktionierendes
Risikomanagementsystem voraussetzt. Internationale Rah
menwerke sind weit verbreitet und unterstützen Unter
nehmen dabei, ihre Risiken zu verstehen und zu steuern.
Mit den immer mehr an Bedeutung gewinnenden „Environ
mental, Social and Governance“Risiken (ESGRisiken)
haben sich Unternehmen im Rahmen ihres Risikomanage
ments traditionell weniger ausführlich auseinandergesetzt.
Ein im Oktober 2018 veröffentlichter Leitfaden unterstützt
nun Unternehmen bei der strukturierten Betrachtung die
ser Risiken im Risikomanagementsystem.
Veränderung der Risikolandschaft
ESGRisiken haben in den vergangenen Jahren stark an
Bedeutung gewonnen, dies spiegelt auch der jährliche
Report des World Economic Forum (WEF) in Davos wider,
der die globalen Risiken für die kommende Dekade pro
gnostizieren soll. Basierend auf einer Umfrage unter rund
700 Experten der WEFGemeinschaft wurden 30 globale
Risiken in fünf Kategorien (Wirtschaft, Umwelt, Geopolitik,
Soziales und Technologie) dargestellt.
Dabei kann man erkennen, dass vorwiegend Risiken im Zusammenhang mit dem Klimawandel stark an Bedeutung
gewonnen haben. Dies rückt auch das Thema der Treibhausgasemissionen sehr stark in den Fokus, was sich auf die Risiko
landschaft der Unternehmen auswirkt.
Umwelt Technologie Soziales Geopolitik Wirtschaft
Quelle: WEF Global Risk Report 2018, Abbildung IV
In den letzten zehn Jahren wurden ökonomische Risiken, die anfangs dominierten, von Risiken anderer Kategorien
zur Gänze in den Top 5 abgelöst. Vor zehn Jahren wurden folgende Risiken als die relevantesten eingeschätzt:
Wahrscheinlichkeit Auswirkungen
Wertverlust des Anlagevermögens Wertverlust des Anlagevermögens
Unsicherheiten im Nahen Osten Einschränkung der Globalisierung
gescheiterte und scheiternde Staaten Verlangsamung der chinesischen Wirtschaft
Preisanstieg bei Öl und Gas Preisanstieg bei Öl und Gas
chronische Krankheiten Pandemien
2008
Risiken mit dem höchsten Besorgnisgrad, gemessen an der Eintrittswahrscheinlichkeit und dem Ausmaß der
Auswirkung, sind aktuell laut WEF Global Risk Report die folgenden:
Wahrscheinlichkeit Auswirkungen
extreme Wetterereignisse Massenvernichtungswaffen
Naturkatastrophen extreme Wetterereignisse
Cyberattacken Naturkatastrophen
Datenmissbrauch/diebstahl Versagen bei der Anpassung an Klimaveränderungen
Versagen bei der Anpassung an Klimaveränderungen Wasserkrisen
2018
8 EY Finance & Perfomance Magazine | Dezember 2018
TOP | ESGRiskManagement
Potenzielles Risiko und dessen Auswirkungen
Einschränkung der Produktivität und höhere Kosten durch Extremwetterereignisse wie Überschwemmungen oder Dürren, z. B. durch Auswirkungen auf die eigenen Standorte oder auf die Lieferkette.
1 AFRAC (2017), „AFRACStellungnahme 9 – Lageberichterstattung gemäß §§ 243 bis 243b, 267 und 267a UGB“, Seite 46
Potenzielles Risiko und dessen Auswirkungen
Divestment aus fossilen Energieunterneh- men aufgrund von wachsendem Interesse an ESG-Themen der Investoren und daher erschwerte Kapitalbeschaffung für diese Unternehmen.
Unterstützung bei der Umsetzung der Verpflichtungen des NaDiVeG
Angesichts dieser rasanten Veränderung der Risikoland
schaft fehlt oft eine strukturierte Herangehensweise zur
Identifikation,BewertungundSteuerungvonRisikenim
ESGBereich. Aufgrund des Inkrafttretens des Nachhaltig
keits und Diversitätsverbesserungsgesetzes (NaDiVeG),
dasUnternehmenverpflichtet,ihrewesentlichenESG-
Risiken darzustellen und deren Handhabung zu erläutern,
gewinnt die strukturierte Risikoanalyse zusätzlich an Rele
vanz. In einer AFRACStellungnahme wird darauf Bezug
genommen: „Die wesentlichen Risiken und Maßnahmen zu
ihrer Vermeidung und Begrenzung sind zu erläutern,
ebenso die zugrundeliegenden Prozesse zu ihrer Identifi-
zierung und Bewertung.“1
WichtigdabeiistjedochdieDefinitionderartigerwesent-
licher Risiken. Anders als bei den herkömmlichen Risiko
berichterstattungspflichtennach§243Abs.1UGB,dievor
allemaufdieDarlegungfinanziellerUnsicherheitsfakto-
ren für das Unternehmen abzielen, ist im Zuge des NaDiVeG
ein breiteres Spektrum zu betrachten. Es geht nicht aus
schließlich um Risiken, denen das Unternehmen ausgesetzt
ist, sondern auch um jene, die wahrscheinlich negative
Auswirkungen auf die „Belange“ (Umwelt, Sozial und
Arbeitnehmerbelange, Achtung von Menschenrechten
sowie Bekämpfung von Korruption und Bestechung) haben.
Daher sind jene ESGRisiken darzustellen, die sich aus
der Geschäftstätigkeit des Unternehmens ergeben, und
da rüber hinaus auch solche, die sich aus den Geschäfts be
ziehungen des Unternehmens, dessen Erzeugnissen oder
Dienstleistungen ableiten lassen. Somit ist die gesamte
Wertschöpfungskette zu betrachten.
Die strukturelle Implementierung der Betrachtung von
ESGRisiken in das EnterpriseRiskManagement (ERM)
kann Unternehmen einen Vorteil bei der Erfüllung
der NaDiVeGVorgaben verschaffen. COSO (Committee of
Sponsoring Organizations of the Treadway Commission)
bietet nun eine Leitlinie, um die Integration von ESGRisiken
in das bestehende Risikomanagementsystem zu unter
stützen. Darüber hinaus helfen auch weitere Rahmenwerke
wie die Empfehlungen der Task Force on Climaterelated
Financial Disclosures (TCFD), die sich speziell mit den Risi
ken aus dem Klimawandel beschäftigen, in diesem Prozess.
Evolution der ERM-Standards
Die veränderte Risikolandschaft schlägt sich nicht nur
in aktuellen regulatorischen Vorgaben, sondern auch in
Standards zur Umsetzung unternehmensweiter Risiko
managementsysteme (ERM) nieder. Eines der verbreitets
ten Rahmenwerke, das „Enterprise Risk Management“
von COSO, wurde 2017 von Grund auf überarbeitet und
mit dem programmatischen Untertitel „Integrating with
Strategy and Performance“ veröffentlicht.
WährenddasetablierteModellrundumIdentifikation,
Bewertung und Steuerung von Risiken im Kern des neuen
COSOERM erhalten bleibt, wird nun ein wesentlich
stärkerer Fokus auf den Zusammenhang zwischen Risiko,
Strategie und Performance gelegt. Der ebenfalls in vielen
Unternehmen angewandte Risikomanagementstandard
ISO 31000 schlägt in seiner 2018 überarbeiteten Fassung
in dieselbe Kerbe.
Dieses erweiterte Verständnis des Risikomanagements
reflektiertauchdiesteigendeRelevanzvonESG-Risikenim
Kontext zunehmender Globalisierung und eines höheren
WERT-
STEIGERUNG
MISSION, VISION& GRUNDWERTE
UMSETZUNG & PERFORMANCE
STRATEGIEENTWICKLUNG
ENTERPRISE RISK MANAGEMENT
Review & Revision
Information, Communication, & Reporting
PerformanceStrategy & Objective-Setting
Governance & Culture
FORMULIERUNGGESCHÄFTSZIELE
9EY Finance & Perfomance Magazine | Dezember 2018
Potenzielles Risiko und dessen Auswirkungen
Schärfere Regularien zur Einschränkung der negativen Auswirkungen auf den Klimawandel wie z. B. die Bepreisung von CO2-Emissionen zur Verringerung des THG-Ausstoßes, Vorgaben zum Anteil des Energieverbrauchs aus erneuer-baren Quellen oder zu nachhaltigerer Land- nutzung.
Enterprise Risk Management
Integrating with Strategy and Performance (adapted) © 2017 Committee of Sponsoring
Organizations of the Treadway Commission (COSO). All rights reserved. Used with permission.
Foto
: iS
tock
phot
o
Bedarfs an Transparenz gegenüber den verschiedenen
Stakeholdern. Ein zeitgemäßes Risikomanagementsystem
soll so zur Unterstützung, Ergänzung und Sicherung einer
wertorientierten Unternehmenssteuerung beitragen. Dabei
ist es, ausgehend von der Mission, der Vision und den
Grundwerten des Unternehmens, integraler Teil der Strate
gieentwicklung,derZieldefinitionundderenUmsetzung
hin zu einer nachhaltigen Wertsteigerung.
Im Oktober 2018 veröffentlichte COSO gemeinsam mit dem
World Business Council for Sustainable Development
(WBCSD) einen Leitfaden zur Berücksichtigung von ESG
Risiken im Risikomanagementprozess mithilfe des COSO
ERMModells.
Ausgehend von Mission, Vision und Grundwerten können
Unternehmen demnach entsprechende Verhaltensweisen
und Entscheidungsgrundlagen in ihrer Unternehmenskultur
verankern, um im Rahmen der Strategieentwicklung und
ZielsetzungüberdiebloßeBetrachtungfinanziellerWerte
hinaus auch die Wertschöpfung für weitere interne und
externe Stakeholder zu betrachten. Damit bietet sich für
Unternehmen die Chance, ihren vollständigen Geschäfts
kontext zu verstehen und ihn in ihrer Strategie und Ziel
definitionzuberücksichtigen.
Ein enges Zusammenwirken von Strategieprozess, Risiko
management und Nachhaltigkeitsaspekten ermöglicht
auch eine detailliertere und ganzheitlichere Evaluierung
verschiedener Handlungsalternativen im Rahmen der
Strategieentwicklung.
10 EY Finance & Perfomance Magazine | Dezember 2018
TOP | ESGRiskManagement
Früher wurden ESGThemen im ERM oft als „Black Swan“
Risiken, also sehr unwahrscheinliche Risiken mit katastro
phalem Auswirkungspotenzial, gesehen. Dass sie in den
letzten Jahren an Bedeutung gewonnen haben, ist auch
einem gestiegenen öffentlichen Interesse, vermehrter
Medienberichterstattung und einem Wunsch von Investo
ren, Kunden und Lieferanten nach mehr Transparenz
geschuldet.
Die systematische Identifikation von ESGRisiken ist für
viele Unternehmen eine Herausforderung. Oft sind diese
nicht bekannt, basieren auf unvorhergesehenen Ereignis
sen oder sind nur längerfristig, über den typischerweise im
Risikomanagement betrachteten Zeitraum hinausgehend,
relevant. Zudem stellen viele ESGRisiken nur einen Teil
aspektoderEinflussfaktoreinesbereitsidentifizierten
Risikos dar, was eine losgelöste, individuelle Betrachtung
erschwert.
Auch die Bewertung, insbesondere eine monetäre Quanti
fizierung,vonESG-Risikenistoftmalsnichteinfach,meist
fehlen Erfahrungswerte. Trotzdem sollte man dabei dersel
ben Logik folgen, die auch für die anderen im ERM erfassten
Risiken angewandt wird, um eine aussagekräftige Risiko
priorisierungundeineangemesseneMaßnahmendefinition
zu ermöglichen.
Es ist daher nicht immer möglich, alle Risiken in diesem
BereichzuidentifizierenunddurchDefinitiongeeigneter
Maßnahmen zu mitigieren. Es können jedoch bereits prä
ventiv verschiedene Handlungsoptionen und Kommunika
tionspläne vorbereitet werden, um das Unternehmen
„widerstandsfähig“ gegen plötzlich eintretende, unvorher
gesehene Risiken zu machen.
Die Betrachtung von ESGRisiken in einem zeitgemäßen
Risikomanagementsystem kann Ihrem Unternehmen dabei
helfen, ein ganzheitliches Verständnis des Geschäftsum
felds und der Risikolandschaft zu entwickeln und damit eine
nachhaltige Wertsteigerung für die Organisation und ihr
Umfeld zu erreichen. Wir unterstützen Sie dabei gerne mit
umfassender Expertise und Praxiserfahrung.
Identifikation, Bewertung und Steuerung von ESG-Risiken
Unterstützende RahmenwerkeRisikomanagement und Nachhaltigkeitsexperten können
eineVielzahlESG-spezifischerRessourceneinsetzen,umihr
Verständnis der ESGbezogenen Auswirkungen und Abhän
gigkeiten zu verbessern, und diese als Ausgangspunkt für die
Risikobeurteilung des Unternehmens nutzen. Nachfolgend
findenSieeineAuswahldazu:
Task Force on Climate-related Financial Disclosures
(TCFD)
Die TCFD stellt mit ihrem Report ein Rahmenwerk zur Verbes
serungderErstellungundVerwendungklimarelevanterfinan-
zieller Angaben zur Verfügung. Dabei liegt ein klarer Fokus auf
RisikenundChancenundaufdenfinanziellenAuswirkungen
durch den Klimawandel.
GRI-Standards
Die Rahmenwerke der Global Reporting Initiative (GRI) sind
global und auch in Österreich die am meisten angewandten
Standards für die Nachhaltigkeitsberichterstattung und werden
auchhäufigzurUmsetzungderNaDiVeG-Anforderungen
herangezogen.
Carbon Disclosure Project (CDP)
Unternehmen berichten durch Beantwortung eines Frage
bogens über die Einschätzungen von Risiken und Chancen, die
mit dem Klimawandel einhergehen, sowie über die systematische Erfassung von THGEmissionen und Strategien zu deren
Reduktion.
11EY Finance & Perfomance Magazine | Dezember 2018
Georg Rogl
Senior Manager
T +43 1 211 70 1082
• Georg Rogl ist Senior Manager bei EY Österreich und
leitet operativ den Bereich Climate Change & Sustainability
Services. Er verfügt über langjährige Berufserfahrung im
Umwelt und Nachhaltigkeitsbereich. Er führt Prüfungen
von Nachhaltigkeitsberichten nach GRI durch und unter
stützt Unternehmen bei der Erstellung von Berichten.
Jakob Pötsch
Senior Consultant
T +43 664 60003 1565
• Jakob Pötsch ist Senior Consultant im Bereich Risk Advi
sory der EY Management Consulting GmbH in Österreich.
Sein Schwerpunkt liegt in der Implementierung und Prüfung
von Risikomanagementsystemen und internen Kontroll
systemen sowie in der Analyse und Weiterentwicklung von
Unternehmensprozessen.
Bernhard Gehmayr
Assistant
T +43 1 211 70 1494
• Bernhard Gehmayr ist Assistant im Bereich Climate
Change & Sustainability Services bei EY Österreich.
Zu seinen Tätigkeitsschwerpunkten zählen die Prüfung von
Nachhaltigkeitsberichten bzw. nichtfinanzieller Bericht
erstattung nach GRI in Verbindung mit dem NaDiVeG sowie
die Beratung zu Nachhaltigkeitsthemen.
Ihre Autoren
Foto
: iS
tock
phot
o
12 EY Finance & Perfomance Magazine | Dezember 2018
Digitalisierung der Finanzprozesse | Process Mining
Foto
: get
tyim
ages
13EY Finance & Perfomance Magazine | Dezember 2018
Die digitale CFO-Agenda
Die Digitalisierung hat die Finanzfunktion erreicht. Im Zuge
von Finance 4.0, der digitalen Transformation der Finanz
abteilung, wird das Finanzwesen agiler, vorausschauender
und entscheidungsorientierter. Dies verändert die Steue
rungsperspektive des Finanzbereichs wesentlich.
Die Fähigkeit, Daten mit hoher Geschwindigkeit zu analy
sieren und nahezu in Echtzeit darauf zu reagieren, kann
Finanz und Berichtsleitern helfen, schnell auf Markt
herausforderungen zu reagieren und das heutige volatile
Risikoumfeld besser zu managen.
Technologien ermöglichen es uns, große Mengen struktu
rierter und unstrukturierter Daten in Erkenntnisse umzu
wandeln,dieFinanzenundReportingneudefinierenkönnen.
Die Technologie ist zusammen mit den Veränderungen in
der Funktionsweise der Finanzabteilungen einschließlich
der Einbeziehung neuer Fähigkeiten und der Vermittlung
eines Blicks auf Vertrauen und „longterm value reporting“
eine neue Stufe in der Entwicklung der Finance 4.0.
Neue Technik zur Prozessanalyse – wie Process Mining einen neuen Blickwinkel erlaubt:
Die Analyse von Finanzprozessen und kontrollen von Unternehmen war bisher hauptsächlich eine manuelle Aufgabe, die Beobachtun
gen von Mitarbeiteraktivitäten, Anfragen von Prozessverantwortlichen, Überprüfungen von Prozessdokumenta tionen usw. beinhaltete.
Da ERPSysteme einen vollständigen AuditTrail von Transaktionsdaten, Ereignisprotokolldaten von Steuerelementen usw. speichern,
können mithilfe von ProcessMiningTechnologie tatsächliche Prozessabläufe visualisiert und die Qualität und Effektivität von Prozessen
und internen Kontrollen gemessen werden.
Daten aus verschiedenen Quell
systemen können extrahiert,
transformiert und geladen werden.
Alle Prozessvarianten, vom gängigsten Prozess
ablauf bis zur vollständigen Visualisierung aller
Prozesse, können automatisch dargestellt werden.
BIFunktionalitäten werden verwendet,
um Kosten, Zeit und Qualitätsprobleme
innerhalb des Prozesses zu erkennen.
Durch die neuen Technologien wie Robotics, künstliche
Intelligenz etc. werden festgefahrene Unternehmensstruk
turen teilweise ausgebremst und eine Anpassung des
Finanzbereichs ist aufgrund der fortschreitenden Digitali
sierung unumgänglich.
EY FAASt Process Miner
Process Mining ist eine intelligente BigDataTechnologie,
die reale Prozessabläufe visualisiert. Sie dient vor allem,
abernichtnurderIdentifikationzuvorunbekannterPro
zessschwächen und bietet einen Überblick über die End
toEndProzesse.
Der EY FAASt Process Miner ist eine von EY entwickelte
Lösung,dieimGegensatzzuanderenLösungensehrflexi
bel und mit wesentlich niedrigeren Lizenzkosten imple
mentierungsfähig ist.
Dat
abas
e
CRM
ERP ERPDash-board
BPM
14 EY Finance & Perfomance Magazine | Dezember 2018
Anforderungen
Die zu analysierenden Daten sind unabhängig von einem
speziellen System, weshalb Daten von einer Vielzahl von
ERPSystemen analysiert werden können.
Es gibt drei MindestDatenanforderungspunkte:
1. Aktivität/Transaktion
2. Zeitstempel der Aktivitäten
3.Case-ID/Sachverhaltsidentifikation
Eine Anreicherung des Datensatzes über die Mindestan
forderung hinaus mit zusätzlichen prozessrelevanten
Informationen erhöht die Aussagekraft der Analysen (zum
Beispiel beim Einkaufsprozess um Informationen wie Rech
nungsbetrag, Kostencenter etc.).
Der FAASt Process Miner konzentriert sich auf alle Aktivi
täten im Prozess, die auch im jeweiligen ERPSystem
erfasst sind. Das umfasst sowohl im System automatisch
durchgeführte Schritte als auch manuelle Handlungen
wie zum Beispiel Freigaben, wenn sie im ERPSystem auch
erfasst werden.
Was kann mit Process Mining erreicht werden?
• globale Prozesstransparenz durch
toolbasierte automatisierte Prozess-
erkennung und -analyse
• einmalige und kontinuierliche Prozess-
verbesserung
• erweiterte analytische Funktionalitäten
zur Erkennung von Kosten-, Zeit- und
Qualitätsproblemen
• effizientes und effektives Benchmarking
• Zukunftsvision des Echtzeitmanagements
von Finanzprozessressourcen
Digitalisierung der Finanzprozesse | Process Mining
Case ID
Timestamp
Activity
Open Case
Register
Re-open CaseDefine Permit
Define Permit
Confirmation
100345 12/2/2015 13:05:09 register100345 12/2/2015 13:15:12 define permit120443 12/2/2015 13:16:24 re-open case100345 12/2/2015 13:17:11 confirmation138332 12/2.2015 13:19:43 reservation120443 12/2/2015 13:16:24 re-open case100345 12/2/2015 13:17:11 confirmation138332 12/2.2015 13:19:43 reservation100345 12/2/2015 13:05:09 register100345 12/2/2015 13:15:12 define permit120443 12/2/2015 13:16:24 re-open case100345 12/2/2015 13:17:11 confirmation100345 12/2/2015 13:05:09 register100345 12/2/2015 13:15:12 define permit120443 12/2/2015 13:16:24 re-open case100345 12/2/2015 13:17:11 confirmation138332 12/2.2015 13:19:43 reservation
Foto
: get
tyim
ages
15EY Finance & Perfomance Magazine | Dezember 2018
Die generelle Übersicht über die wesentlichen Daten, KPIs
und Aktivitäten erfolgt über ein Dashboard, das je nach
Projekt und Branche angepasst werden kann.
Projektziele• ►klaresVerständnisderProzesseundderenStrukturen
hinsichtlich der Finanzorganisation und der Finanz
prozesse
• ►mehrTransparenzhinsichtlichvorzugsrelevanter Prozesse und weiterer Optimierungspotenziale
• ►VerbesserungderAbläufederlaufendenFinanzpro
zesse hinsichtlich Qualität und Geschwindigkeit sowie
Reduzierung der Arbeitsbelastung der Mitarbeiter
• ►IdentifizierungvonZeitfressern• ►KlarheitüberdieGrößedesAutomatisierungspotenzials
beispielsweise durch Robotic Process Automation
Ausblick und UmsetzungIm Rahmen unserer neuen Veranstaltungsreihe „EY Scout
Finance Innovation“, deren erste Veranstaltung bereits
am 09.11.2018 in Wien stattgefunden hat, haben wir die
Themen Process Mining, Robotic Process Automation
und Advanced Analytics vorgestellt, die die Transparenz und
EffizienzderFinanzprozesseerhöhen.Gernestehenwir
Ihnen mit unserer Praxiserfahrung zur Verfügung, wenn Sie
sich dafür interessieren, wie sich die Digitalisierung Ihrer
Finanzprozesse auf die Finanzabteilung auswirkt. Geben
Sie Korruption und Betrug keine Chance, dafür aber der
Compliance.
Mag. Kristina Aichwalder
Senior Manager
T +43 463 50 1000 5058
• Kristina Aichwalder ist Senior Managerin bei EY Öster
reich im Bereich Financial Accounting Advisory Services.
Sie hat umfassende Erfahrung in der Prüfungsleitung von
nationalen und internationalen Unternehmen sowie lang
jährige Erfahrung in der Durchführung von Beratungspro
jekten im Bereich Rechnungslegung wie z. B. Optimierung
des Jahres und Konzernabschlusserstellungsprozesses
sowie Berichterstattung.
Ihre Autorin
KPI-Portfolio (Auszug)
• # Cancelled cases
• # Variants
• # One time variants
• # Cases per variant
• Ø Time per process
activity
• % Delayed cases
• # Delayed cases
(clustered in days)
• # Suppliers
• # Cases
• Days payable
out standing (DPO)
• Ø Days until payment
• # Timely payments
• Sum of invoice volume
• Min./Max. process
flowtime
• ØProcessflowtime
Foto
: get
tyim
ages
Foto
: get
tyim
ages
16 EY Finance & Perfomance Magazine | Dezember 2018
Foto
: get
tyim
ages
Im Konzept des digitalen Controlling-Regelkreises werden die wesentlichen Auf-
gaben des Controllings in einem digitalen Umfeld integriert abgebildet. Es soll dem
Controlling als Rahmenwerk für eine strukturierte Herangehensweise dienen, um
die Vision eines Digital Controlling verwirklichen zu können. So gelingt es dem Con-
trolling, bei der Digitalisierung eine treibende Rolle einzunehmen und eine verbes-
serte Unternehmenssteuerung zu erreichen.
Controlling | Der digitale ControllingRegelkreis
17EY Finance & Perfomance Magazine | Dezember 2018
Das Ziel und der Weg: umfassende Inte gration digitaler Möglichkeiten
Auch wenn sich das Controlling meist noch in einer eher
passivenRollebefindet,erkennenUnternehmendieRele
vanz der Digitalisierung für das Controlling. Aktivitäten,
umPotenzialezuheben,wurdenbisdatohäufigerstingerin
gem Ausmaß ergriffen. Die stärkere Betrachtung des The
mas aus ControllingPerspektive – anstelle eines technolo
gischen Blickwinkels – verfolgt das Ziel, den Nutzen eines
integrierten Gesamtkonzepts klarer darzustellen. Es leiten
sich zwei wesentliche Aspekte für das Controlling ab:
• Digital Business: ControllingUnterstützung bei der
Entwicklung und Steuerung innovativer und disruptiver
Geschäftsmodelle im digitalen Umfeld
• Digital Controlling: Steigerung von Effektivität und
EffizienzindenControlling-Kernprozessendurchden
Einsatz digitaler Technologien
Das hier dargelegte Konzept fokussiert den Aspekt des
Digital Controlling. Um die Potenziale der Digitalisierung
im Controlling nutzen und entstehende Risiken managen
zu können, bedarf es einer strukturierten Herangehens
weise, aus der das Controlling für sich selbst eine Digitali
sierungsroadmap entwickeln muss.
Das Konzept: der digitale Controlling-Regelkreis
Die Digitalisierung im Controlling kann heute durch kon
krete Methoden und Technologien mit zahlreichen Anwen
dungsbeispielen belegt werden, wobei in der Regel spezi
Der digitale Controlling-RegelkreisDigitalisierung aus dem Blickwinkel des Controllings
fischeTeilbereicheimFokusstehen.Füreineganzheitliche
Herangehensweise bedarf es eines umfassenden Konzepts,
das die wesentlichen Elemente eines Digital Controlling,
die Digital Controlling Practices, integriert.
Der entwickelte Ansatz stellt eine Weiterentwicklung des
etablierten ControllingRegelkreises dar, der um einige
relevanteKomponentenergänztwurde.Dieachtdefinierten
Digital Controlling Practices ermöglichen eine Leistungs
steigerung in den ControllingKernprozessen. Eine Reihe
digitaler Technologien dient als Enabler der Elemente des
digitalen ControllingRegelkreises. Im Folgenden wird im
Detail auf die einzelnen Controlling Practices eingegangen.
Abb. 1: Der Controlling-Regelkreis unter Nutzung der
acht Digital Controlling Practices
Der digitale Controlling-Regelkreis
(3)
Continuous
Planning/
Scenarios
(8) Controlling Role & Organization
(1) Mass Data Engine
(6
) P
roce
ss &
Sys
tem
Exc
elle
nce
(7
) A
uto
mat
ic D
ecis
ion S
upp
ort
(5)
Real/Near
Time Management
(2)
Data-based
Modelling
(4)
Digital
Reporting
18 EY Finance & Perfomance Magazine | Dezember 2018
(1) Mass Data Engine
Die systematische Sammlung, Verarbeitung und Interpre
tation von Daten aus heterogenen Quellen ist eine Grund
voraussetzung für die meisten digitalen Ansätze. In Zukunft
sollen Daten wesentlich früher und teilweise in Echtzeit
abrufbar sein. Dadurch wird die Möglichkeit, geschäftsnahe
und relevante Analysen durchzuführen und Zusammen
hänge besser zu erkennen, erheblich gesteigert.
Die Zentralisierung und Harmonisierung der Daten aus ERP
Systemen spielen für das Controlling eine wesentliche
Rolle. Darüber hinaus gilt es jedoch, Daten aus weiteren
internen und externen Quellen zu integrieren, um einen
wesentlichen Mehrwert aus den digitalen Technologien
generieren zu können. Datenqualitätssicherung und Gover
nance rücken dabei in den Mittelpunkt.
(2) Data-based Modelling
Werttreibermodelle werden in Zukunft um quantitativ
ableitbare UrsacheWirkungsZusammenhänge aus Big
DataAnalyseverfahren erweitert. Dabei werden anstelle
aggregierter TopKPIs jene Kennzahlen, die als tatsächliche
Treiberidentifiziertwurden,anBedeutunggewinnen.In
einem Praxisbeispiel eines Autoherstellers wurde bei Big
DataAnalysen u. a. festgestellt, dass die Arbeitslosen
quote einer Region zwar nicht mit dem Absatz der Pkw
Sparte korreliert, sehr wohl aber mit jenem der LkwSparte.
Dementsprechend wurde das Modell der Mittelfristplanung
um diesen Treiber erweitert.
DieseModellesindeinzentralesToolfürdieQuantifizierung
von Unternehmenszielen und bilden die Grundlage für
Technologien der Digitalisierung wie Predictive Analytics.
(3) Continuous Planning/Scenarios
AndieStelleeinerPlanungzudefiniertenZeitpunktenwird
eine auf Advanced und Predictive Analytics basierende
kontinuierliche Planungsrechnung mit hohem Automatisie
rungsgrad treten. Zu jedem Zeitpunkt können als Entschei
dungsgrundlage datenbasierte Handlungsalternativen in
Form von Szenarien abgeleitet und zwischen Controlling
und TopManagement abgestimmt werden. Im konkreten
Fallbeispiel eines multinationalen Konzerns wurde in eini
gen Ländern – dank nachweislich geringerer Prognosefeh
ler – in einem ersten Schritt die SalesPlanung auf Basis
automatisierter Prognosen umgesetzt. In anderen Ländern
wurdenzurVerifizierungmanuellePlanungenheran-
gezogen.
Vergangenheitsorientierte PlanIstAbweichungsanalysen
werden eine geringere Rolle spielen, weil der Fokus auf die
zukunftsorientierte Steuerung gelenkt wird.
(4) Digital Reporting
Durch Digital Reporting werden alle relevanten Unterneh
mensdaten direkt aus den zentralen Massendaten cloud
basiert auf unterschiedlichen Devices abgerufen. Die Daten
können dynamisch dargestellt und die benötigten Details
zu den TopKennzahlen ad hoc analysiert werden. Dabei
kann auf praxiserprobte DashboardLösungen von einer
Reihe von Anbietern zurückgegriffen werden. Derzeit setzt
sich z. B. SAP stark mit dem Thema „voll integrierter Digi
tal Boardroom“ auseinander. Hier sollen mithilfe intuitiver
User Experience u. a. RealTimeInformationen und integ
rierte Business Insights als Entscheidungsgrundlage sowie
AdhocAnalysen bereitgestellt werden. Da der Blick in
die Zukunft stärker in den Fokus rückt, wird bei der Daten
visualisierung auch die Darstellung von Szenarien eine
wesentliche Rolle spielen.
(5) Real/Near Time Management
Dank der schnelleren Verfügbarkeit können Steuerungs
maßnahmen durch das kontinuierliche Monitoring relevan
ter Steuerungsgrößen schneller eingeleitet werden. Durch
digitale Technologien wie Advanced Analytics können Wir
kungszusammenhängeidentifiziertwerden,umdaraus
konkrete Handlungsempfehlungen abzuleiten. In der Praxis
gibt es u. a. in den Bereichen Produktion und Logistik
Anwendungsfälle, in denen ein direkter Zugriff auf Steue
rungsentscheidungen in Echtzeit erfolgen kann. Mittel
fristig werden nicht alle Daten in Echtzeit zur Verfügung
stehen.DankwesentlicherProzesseffizienzsteigerungen
(u. a. Daten zu Periodenabschlüssen) werden diese aber
zunächst schneller und in einem weiteren Schritt auch in
kürzeren Intervallen verfügbar sein.
(6) Process & System Excellence
Controlling-ProzessekönnendurcheffizientereSystem-
architekturen (z. B. HANA) und den Einsatz von Automa
tisierungstechnologienwesentlicheffizienterundeffektiver
gestaltet werden. Klassische ControllingAufgaben wie das
Erstellen von Periodenabschlüssen oder das Erstellen und
die Kommunikation von Reports können automatisiert und
somitschneller,häufigerundmitreduzierterFehlerquote
durchgeführt werden. Mittelfristig ist auch denkbar, dass
ArtificialIntelligencekomplexereAufgabenübernimmt.
(7) Automatic Decision Support
Durch verschiedene digitale Ansätze wird die automati
sierte Entscheidungsunterstützung auch im Controlling an
Relevanz gewinnen. Über das Thema Predictive Analytics
hinauswerdendabeivorallemTechnologienderArtificial
Intelligence immer wichtiger. Im Zuge manch einer opera
tiven Tätigkeit ist es möglich, dass Entscheidungen – etwa
Controlling | Der digitale ControllingRegelkreis
19EY Finance & Perfomance Magazine | Dezember 2018
über die Plausibilität einer Kostenposition – kontinuierlich
und vollkommen automatisiert getroffen werden. Hilfen für
Managemententscheidungen können automatisiert erfol
gen. Dabei wird das selbstständige und kontinuierliche Erstel
len von Forecasts, Berichten und Analysen möglich sein.
(8) Controlling Role & Organization
Die Digitalisierung stellt die ControllingOrganisation, aber
auch die Rolle des Controllers selbst vor neue Herausforde
rungen. Dementsprechend muss diesbezüglich in den
nächstenJahreneinewesentlicheTransformationstattfin
den. Das notwendige Knowhow im Bereich der digitalen
Technologien und Methoden muss in der Organisation auf
gebaut werden. Dies kann durch die Erweiterung der Skills
bestehender Mitarbeiter, aber auch durch die Aufnahme
von Fachexperten (z. B. Data Scientists) erreicht werden.
Somit wird das Controlling in Zukunft noch stärker inhalt
lich zum Erfolg des Unternehmens beitragen können.
Die digitalen Enabler: ein Blick auf relevante Technologien
Digitale Technologien und Methoden dienen im Konzept
des digitalen ControllingRegelkreises als Enabler und kön
nen in der Regel für diverse Digital Controlling Practices
eingesetzt werden. Auch neu aufkommende Technologien
werden der jeweils relevanten Practice zugeordnet und
haben somit keine Auswirkung auf den integrierten Digital
ControllingAnsatz. Aus der Perspektive der Digital Con
trolling Practices ist im Umkehrschluss jeweils eine Reihe
digi taler Technologien relevant. Welche Technologien und
Methoden in welchem Umfang und zu welchem Zeitpunkt
im Controlling zu etablieren sind, muss anhand eines
ganzheitlichen Ansatzes wie des digitalen ControllingRegel
kreises im Zuge der Entwicklung einer Digitalisierungs
roadmap festgelegt werden.
Mag. (FH) Christoph Tattyrek, MIB
Manager
T +43 1 21170 1951
• Christoph Tattyrek ist seit Anfang 2017 Manager bei Advisory
Services mit Fokus auf Effizienzsteigerung und Prozessoptimierung
im Controlling. Vor seiner Beratertätigkeit bestritt er eine zehn
jährige Karriere im Controlling eines börsennotierten (ATX)Unter
nehmens, zuletzt als Leiter des strategischen Controllings.
Mag. Mirko Waniczek
Executive Director
T +43 1 21170 1908
• Mirko Waniczek ist Executive Director bei Advisory Services mit
Fokus auf operativem und strategischem Controlling sowie Leistungs
steigerung im Controlling. Davor war er Partner bei Contrast Manage
ment Consulting. Er verfügt über mehr als 20 Jahre Erfahrung in der
Controllingberatung in diversen Branchen.
Ihre Autoren
Abb. 2.: Relevante Technologien für die Digital Controlling Practices
Technologies
Practices
Big
Dat
a
Adv
ance
d
Ana
lyti
cs
Dat
amin
ing
Pro
cess
M
inin
g
Das
hboa
rdin
g
Rob
otic
s
Artificial
Inte
llige
nce
Artificial
Gen
eral
Inte
ll.
Mob
ile
Clo
ud
Soc
ial M
edia
Dat
a S
cien
ce
Mass Data Engine
Databased Modelling
Continuous Planning/Scenarios
Digital Reporting
Real/Near Time Management
Process & System Excellence
Automatic Decision Support
Controlling Role & Organization
20 EY Finance & Perfomance Magazine | Dezember 2018
Foto
: get
tyim
ages
Kreditinstitute | Neue Anforderungen für Aufsichtsräte
21EY Finance & Perfomance Magazine | Dezember 2018
Die gesetzlichen Bestimmungen für den Aufsichtsrat von
Kreditinstituten haben sich insbesondere bezüglich der
Zusammensetzung des Gremiums durch die nunmehr not
wendige Mindestanzahl unabhängiger Mitglieder wesent
lich geändert. Die neuen Regelungen treten mit 01.01.2019
in Kraft, wobei spätestens zum Stichtag 01.07.2019 eine
ausreichende Anzahl unabhängige Mitglieder in den Auf
sichtsräten von Kreditinstituten vertreten sein muss.
DieZusammensetzung,diefachlicheQualifikationunddie
Verfügbarkeit von Organen in Kreditinstituten stehen
im Fokus der nationalen und europäischen Gesetzgebung
sowie der nationalen und europäischen Aufsichtsbehör
den. Im Jahr 2018 kam es hierbei zu weiteren gesetzlichen
Änderungen (BWGNovelle 2018 – siehe BGBl I Nr. 36/
2018), insbesondere in Bezug auf die Zusammensetzung
des Aufsichtsrats in Kreditinstituten. Die entsprechenden
Bestimmungen im § 28a BWG und die daraus abgeleiteten
Ausführungen der FMA im Fit & ProperRundschreiben
(FMARundschreiben zur Eignungsprüfung von Geschäfts
leitern, Aufsichtsratsmitgliedern und Inhabern von Schlüs
selfunktionen, August 2018) sollen dazu dienen, die Leit
linien der EBA und der ESMA (EBA/GL/2017/12/ESMA
7199598 bzw. EBA/GL/2017/11) im BWG verbindlich zu
konkretisieren und eine ausgewogene Rücksichtnahme auf
die Interessen aller Stakeholder zu ermöglichen. Die Domi
nanz einzelner Mitglieder oder Gruppen im Aufsichtsrat
soll durch die neuen Bestimmungen zur Zusammensetzung
des Aufsichtsrats verhindert werden.
Die einzelnen neuen Bestimmungen für die Zusammen
setzungdesAufsichtsratsundfürdieQualifikationsvoraus-
setzungen der Aufsichtsratsmitglieder können wie folgt
zusammengefasst werden.
Neue Anforderungen für Aufsichtsräte von Kreditinstituten
Zusammensetzung des Aufsichtsrats
§ 28a Abs. 5a BWG bestimmt nun eine Mindestanzahl
unabhängiger Mitglieder im Aufsichtsrat von Kreditinstitu
ten, wobei bei jedem Kreditinstitut mindestens ein Auf
sichtsratsmitglied unabhängig sein muss. Bei Kreditinsti
tuten von erheblicher Bedeutung gemäß § 5 Abs. 4 BWG
oder bei „kapitalmarktorientierten“ Kreditinstituten müssen
zumindest zwei unabhängige Mitglieder dem Aufsichtsrat
angehören. Für die Erreichung der Mindestanzahl sind bei
allen Kreditinstituten Arbeitnehmervertreter nicht zu
berücksichtigen.DieVerpflichtunggiltnichtfürInstitute,
deren Anteile zu 100 Prozent von einem anderen inlän
dischen Kreditinstitut gehalten werden und die weder von
erheblicher Bedeutung sind noch als kapitalmarktorien
tiertesKreditinstitutdefiniertwerden.
§ 28a Abs. 5a BWG bestimmt nun eine Mindestanzahl unabhängiger
Mitglieder im Aufsichtsrat von Kreditinstituten,
wobei bei jedem Kreditinstitut mindestens ein Auf
sichtsratsmitglied unabhängig sein muss.
22 EY Finance & Perfomance Magazine | Dezember 2018
Die Beurteilung, ob ein Mitglied des Aufsichtsrats als nicht
unabhängig einzustufen ist, erfolgt nach folgenden Krite
rien, die immer in Bezug auf das Institut wie auch auf
andere Unternehmen der Institutsgruppe anzuwenden
sind (§ 28a Abs. 5b BWG bzw. Ausführungen im FMA
Fit & ProperRundschreiben Rz. 86–94):
Mandatskriterium
• Geschäftsleiterfunktion innerhalb der letzten fünf
Jahre
• Ausübung einer Tätigkeit für einen durchgehenden
Zeitraum von zwölf Jahren als Geschäftsleiter oder
Aufsichtsratsmitglied
• Mitglied des höheren Managements i. S. d. § 2 Z. 1b
BWG in den letzten drei Jahren
Kriterium der wesentlichen finanziellen oder geschäft-
lichen Beziehung (bei juristischen Personen Geschäfts-
leiter des Unternehmens)
• Beteiligungen am Institut
• wesentliche fremdübliche Kredite (höher als 1 Prozent
der regulatorischen Eigenmittel des Instituts)
Kriterium des beherrschenden Anteilseigners
• inkl. Angestellten des beherrschenden Anteils eigners
oder Personen, die zum beherrschenden
Anteilseigner wesentliche Geschäftsbeziehungen
unterhalten
Kriterium des Angestellten
Kriterium des Beraters
• Bankprüfer in den letzten drei Jahren
• Berater (Anwälte, Wirtschaftsprüfer, Steuer und
Unternehmensberater sowie die Inhaber und
Geschäftsleiter solcher Unternehmen und Kanzleien),
die innerhalb der letzten drei Jahre in wesentlichem
Ausmaß tätig wurden
– Laut Fit & ProperRundschreiben der FMA muss eine
mehrmalige Beratung erfolgen oder eine einmalige
Beratung in erheblichem Ausmaß erfolgen; Erstellung
und Ausgestaltung von Strategien bzw. institutsinter
nen Leitlinien sind laut Rundschreiben immer als Bera
tungvonwesentlichemAusmaßzudefinieren.
Kriterium des wesentlichen Vertragspartners
• wesentlicher Vertragspartner, gegenwärtig oder
innerhalb der letzten drei Jahre (inkl. Personen in
Leitungsfunktionen beim Vertragspartner)
– Einstufung aufgrund monetärer Kriterien (u. a. hohe
Einlagen, substanzielle Bankgarantieverträge) und
aufgrund nichtmonetärer Kriterien (u. a. Vernetzun
gen im Sektor, Werbewert)
Bezieher wesentlicher Vergütungen neben der Tätigkeit
als Aufsichtsrat aus anderen wesentlichen finanziellen
oder geschäftlichen Beziehungen
• Zahlungen sind dann als wesentlich einzustufen, wenn
sie mindestens 15 Prozent des Jahresgesamtbrutto
einkommens des jeweiligen Aufsichtsrats ausmachen.
Vorliegen persönlicher Verflechtungen
• Ehegatten,Lebensgefährten,Kinder,Wahl-oderPfle
gekinder von Geschäftsleitern, Berater, Bankprüfer,
beherrschende Anteilseigner usw. sind ebenfalls nicht
als unabhängige Mitglieder des Aufsichtsrats ein
zustufen.
Kreditinstitute | Neue Anforderungen für Aufsichtsräte
Foto
: get
tyim
ages
23EY Finance & Perfomance Magazine | Dezember 2018
Laut § 28a Abs. 5c BWG muss es mindestens ein Auf
sichtsratsmitglied geben, für das keines dieser Kriterien,
die für eine Abhängigkeit sprechen, zutrifft. Sofern Insti
tute weitere unabhängige Mitglieder des Aufsichtsrats
benennen müssen, sind bei diesen die Unabhängigkeits
bestimmungen als widerlegbare Vermutung anzusehen.
Ist also eines der oben genannten Kriterien erfüllt, gelten
diese Mitglieder dennoch als unabhängig, wenn das Kre
ditinstitut nachweist, dass die Unabhängigkeit trotzdem
gegeben ist.
Für die Unterausschüsse des Aufsichtsrats gelten weitere
Regelungen, so zum Beispiel für den Risikoausschuss
(§ 39d BWG).
Qualifikationsvoraussetzungen
Die Mitglieder des Aufsichtsrats müssen jederzeit persön
lich zuverlässig, aufrichtig und unvoreingenommen sein.
Es dürfen keine Ausschlussgründe vorliegen und die Perso
nen müssen über geordnete wirtschaftliche Verhältnisse
verfügen. Eine angemessene zeitliche Verfügbarkeit (siehe
hierzu die Regelungen zur Mandatsbeschränkung) ist
sicherzustellen. Aufsichtsratsmitglieder müssen zusätzlich
über ausreichende Kenntnisse verfügen, um die entspre
chenden Aufgaben einzeln und gemeinsam wahrnehmen
zukönnen.DieKreditinstitutesindverpflichtet,denMit
gliedern des Aufsichtsrats laufend Schulungen anzubieten.
Die Fortbildung soll auf jeden Fall die grundlegenden Rege
lungendesBankgeschäftsundfinanztechnischesFachwis
sen beinhalten. Die Kreditinstitute haben interne Richt
linien zu erstellen, die sicherstellen, dass für die Mitglieder
desAufsichtsratsdieQualifikationsanforderungeneinge
halten werden. Dies erfolgt in der Regel im Rahmen der Aus
wahl und Beurteilung von Mitgliedern des Aufsichtsorgans
und beinhaltet auch institutsinterne Eignungsverfahren (z. B.
in Form von regelmäßigen facheinschlägigen Schulungen).
Der Besuch von Schulungsmaßnahmen und falls erforder
lich die internen Eignungsprüfungen sind regelmäßig
durchzuführen und zu dokumentieren. Diese Unterlagen
sind auf behördliches Ersuchen der FMA vorzulegen. In
den Aufsichtsrat entsandte Arbeitnehmervertreter müssen
auchdieQualifikationsanforderungendes§28aAbs.5
BWG erfüllen. Die Einhaltung dieser Bestimmungen und die
Bestätigung des Vorliegens der fachlichen Eignung eines
Arbeitnehmervertreters im Aufsichtsrat obliegen hierbei
dem Betriebsrat. Die FMA kann Aufsichtsratsmitglieder
anlassbezogen zu einem Fit & ProperTest einladen.
Foto
: get
tyim
ages
Die neuen gesetzlichen Anforderungen an die Zusammensetzung des Auf
sichtsrats sehen mindestens ein unabhängiges Mitglied vor. Sämtliche
AufsichtsratsmitgliedermüssendieQualifikationsvoraussetzungengemäß
§ 28a BWG erfüllen. Die Ausführungen laut Fit & ProperRundschreiben
der FMA sind hierbei zu beachten. Dafür sind die jeweiligen Institute ver
antwortlich.
Benötigen Sie Unterstützung bei der Umsetzung der Fit & ProperAnforde
rungen? Wir stehen Ihnen gerne mit umfangreicher Praxiserfahrung, u. a.
in Form von Fit & ProperWorkshops und Schulungen, zur Verfügung.
Mag. Georg Fikar
Director
T +43 1 211 70 1302
• ►GeorgFikaristDirectorundLeiterdesCompetenceCenterRegulatoryim
Bereich Financial Service Assurance bei EY Österreich und verfügt über lang
jährige Berufs erfahrung im Bankwesen. Er leitet Prüfungen von Jahres und Kon
zernabschlüssen von Kreditinstituten und Finanzdienstleistungsunternehmen
und unterstützt Unternehmen bei regulatorischen Themen und Sachverhalten, so
auch bei der Einhaltung der Fit & ProperBestimmung durch die Organisation und
Durchführung von Fit & ProperSchulungen.
Ihr Autor
Im Zusammenhang mit der Aufnahme einer Tätigkeit als
Vorsitzender des Aufsichtsrats bzw. für Vorsitzfunktionen
in anderen Ausschüssen des Aufsichtsrats sind noch wei
tere besondere Anforderungen gemäß § 28a BWG bzw. ge
mäß Fit & ProperRundschreiben der FMA zu beachten,
beispielsweise die „Coolingoff“Vorschriften für (ehema
lige) Geschäftsleiter. Die besonderen Vorschriften gelten
auch für die jeweiligen Stellvertreter.
24 EY Finance & Perfomance Magazine | Dezember 2018
Cybersicherheits- gesetz ante portas!
Diese Tatsachen haben auch auf europäischer Ebene einen
Handlungsbedarf aufgezeigt. Als Konsequenz daraus
hat die Europäische Union eine Strategie zur Erhöhung der
CybersicherheitimEuroraumdefiniert.TeildieserStrategie
ist die EURichtlinie „(EU) 2016/1148 des Europäischen
Parlaments und des Rates vom 6. Juli 2016 über Maßnah
men zur Gewährleistung eines hohen gemeinsamen Sicher
heitsniveaus von Netz und Informationssystemen in der
Union“.ZieldieserRichtlinieistdieDefinitionvonAnforde
rungen an die Netz und Informationssystemsicherheit für
Betreiber wesentlicher Dienste und für Anbieter digitaler
Dienste. Diese Richtlinie wird in den kommenden Tagen als
NISGesetz (NISG) in nationales Recht übernommen und
verpflichtetsomitösterreichischeUnternehmenzurEinhal
tungderdefiniertenSicherheitsanforderungen.
Betroffene Unternehmen
Laut NISG sind lediglich Betreiber wesentlicher Dienste
und Anbieter digitaler Dienste von den Bestimmungen des
Gesetzes betroffen. In diesem Zusammenhang sind Betrei
ber wesentlicher Dienste als Unternehmen zu verstehen,
deren zur Verfügung gestellter Dienst von essenzieller Bedeu
tung für das Funktionieren des Gemeinwesens in Öster
reich ist. Im Kontext des deutschen ITSicherheitsgesetzes
hatsichinderVergangenheitdieBegrifflichkeitder„kriti
schen Infrastruktur“ etabliert.
Zum Zweck der genauen Ermittlung der betroffenen Unter
nehmen werden im Zuge des Inkrafttretens des Gesetzes
SchwellenwertefürdieeinzelnenSektorendefiniert,ab
denen ein Unternehmen als Betreiber eines wesentlichen
DienstesoderalsAnbieterdigitalerDiensteklassifiziertist
und somit dem NISG unterliegt. Die betroffenen Unterneh
men werden durch Bescheid entsprechend in Kenntnis
gesetzt.
Anforderungen an die Netz- und Informationssystemsicherheit
Das NISG schreibt Betreibern wesentlicher Dienste und
Anbietern digitaler Dienste die Umsetzung geeigneter
und dem Stand der Technik entsprechender Sicherheits
maßnahmen vor, um eine Netz und Informationssystem
sicherheit zu gewährleisten. Im Wesentlichen kann diese
Anforderung größtenteils durch die Einführung eines
angemessenen Informationssicherheitsmanagementsys
tems und die Umsetzung eines BusinessContinuity
Managements erfüllt werden. Darüber hinaus sind Betrei
ber wesentlicher Dienste und Anbieter digitaler Dienste
dazuverpflichtet,etwaigeSicherheitsvorfälleunverzüglich
an die entsprechenden Stellen zu melden. Betreiber
wesentlicher Dienste haben innerhalb eines Jahres ab
Zustellung des Bescheids und anschließend mindestens alle
drei Jahre die Erfüllung der gesetzlichen Anforderungen
Gemäß NISG sind Unternehmen, die einen digitalen
Dienst in Österreich anbieten und kein Kleinstunterneh
men oder kleines Unternehmen sind, als Anbieter digita
ler Dienste zu sehen und fallen somit unter die Bestim
mungen des Gesetzes. Dieser Umstand ist jedoch nur auf
Anbieter nachfolgender digitaler Dienste zutreffend:
• OnlineMarktplätze
• OnlineSuchmaschinen
• CloudComputingDienste
Das NSIG sieht für Österreich sieben relevante
Sektoren der kritischen Infrastruktur vor:
• Energie
• Verkehr
• Bankwesen
• Finanzmarktinfrastrukturen
• Gesundheitswesen
• Trinkwasserversorgung
• digitale Infrastruktur
Mit der zunehmenden Digitalisierung in unserer Gesellschaft verlassen wir uns vermehrt auf IT- und Informationssysteme für die Erfüllung
diverser Aufgaben. Diese fortlaufende Transformation in eine digitale Welt erhöht zugleich die Komplexität und Kritikalität dieser Systeme.
Zusätzlich sehen wir uns innerhalb der letzten Jahre einer steigenden Bedrohungslage durch Cyberangriffe ausgesetzt.
Foto
: get
tyim
ages
25EY Finance & Perfomance Magazine | Dezember 2018
nachzuweisen.LautNISGsindhierzueineZertifizierung
oder der Nachweis einer entsprechenden Überprüfung
durcheinequalifizierteStellezuerbringen.Beieiner
qualifiziertenStellehandeltessichumeinenexternen
Dritten,deranhanddefinierterKriteriendurchdasBun
desministerium für Inneres dazu berechtigt ist, eine ent
sprechendeZertifizierungoderÜberprüfungnachNISG
durchzuführen.
Wir können Sie unterstützen
Basierend auf langjährigen Erfahrungen in den Bereichen
IT/Informationssicherheit und BusinessContinuity
Management ist EY in der Lage, betroffene Unternehmen
zielgerichtet zu unterstützen. Mittels einer modularen
Probeprüfung kann einem betroffenen Unternehmen eine
unabhängige Einschätzung zu seinem aktuellen Reifegrad
hinsichtlich der festgelegten Anforderungen geliefert und
etwaiger Handlungsbedarf aufgezeigt werden.
Im Anschluss daran unterstützen wir Sie gerne bei der
UmsetzungdervorabdefiniertenHandlungsfelder,umein
strukturiertes ITSicherheitskonzept im Unternehmen zu
etablieren. Durch unsere disziplinübergreifende Zusammen
arbeit zwischen Prozess, Security und ITBeratung bieten
wir Ihnen einen in Österreich einzigartigen Service, da wir
Ihnen Lösungen aus einer Hand mit integrierten organisa
torischen, technischen und sicherheitsrelevanten Kompe
tenzen bieten.
Bei welchen Tätigkeiten wir Sie unterstützen können
• Ableiten der relevanten Anforderungen für die
ITSicherheit aus der EURichtlinie 2016/1148
• Durchführen von SecurityAudits (z. B. GapAssess
ments), um den ITSicherheitsstatus zu ermitteln
• Konzipieren und Einführen eines ganzheitlichen
ITSicherheitskonzepts für das Unternehmen
• IdentifizierenundOptimierenderdamitverbundenenProzesse
• Erstellen der notwendigen Dokumentation
• Sicherstellen technischer und organisatorischer
Sicherheitsmaßnahmen
• Erarbeiten und Aktualisieren von Policies
• Konzipieren und Durchführen von Awareness
Schulungen
• Vorbereitung und Aufbau eines angemessenen Melde
wesens im Hinblick auf sicherheitsrelevante Vorfälle
Peter Thiesen
Manager
T +43 1 211 70 1526
• Peter Thiesen ist als Manager in der Abteilung Risk IT der EY Management
Consulting mitverantwortlich für die Dienstleistungen im Bereich Cyber Security. Sein
thematischer Schwerpunkt liegt in den Bereichen Informationssicherheit und Business
Continuity Management. Dies betrifft sowohl die Umsetzung in Unternehmen als auch
die Auditierung dieser Themengebiete. Darüber hinaus ist er fachlicher Experte für das
österreichische NISGesetz und die europäische NISRichtlinie.
DI Gottfried Tonweber
Director
T +43 1 211 70 1145
• Gottfried Tonweber ist Director bei EY Management Consulting im Bereich Risk IT und
Leiter des Bereichs Cyber Security in Österreich. Er verfügt über weitreichende Erfahrung
im Bereich nationaler und internationaler ITSecurityAudits sowie im Informations
sicherheitsmanagement (nach ISO 27000 und anderen Standards) und fungiert u. a. als
Subject Matter Expert für Business Continuity Management. Zu seinen Qualifikationen
zählen u. a. die CISA und die CRISCZertifizierung. Zusätzlich ist er Mitglied der ISACA
(Information Systems Audit and Control Association) und des Studiengangbeirats der
FH St. Pölten für Informationssicherheit.
Bernhard Zacherl
Senior Manager
T +43 21170 1404
• Bernhard Zacherl ist Senior Manager in der Abteilung Risk IT, stellvertretender
Leiter des Bereichs Cyber Security in Österreich und Themenverantwortlicher für die
Bereiche der informationsbezogenen Managementsysteme. In diesem Zusammen
hang begleitet er viele Kunden bei der Umsetzung von ComplianceAnforderungen im
Bereich Cyber Security.
Ihre Autoren
Cybersicherheit | Neues Netz und Informationssystemsicherheitsgesetz
Foto
: get
tyim
ages
26 EY Finance & Perfomance Magazine | Dezember 2018
Foundout
Bei mehr als der Hälfte der befragten Unternehmen wurde im vergangenen Jahr zumindest eine Cyberattacke
registriert. Bevor jedoch Verbesserungsmaßnahmen im Unternehmen eingeleitet werden, muss zuvor oft erst
einsignifikanterSchadendurcheineCyberattackeentstehen:EineCyberattackeohnezugefügtenSchaden
würde bei 63 Prozent der Unternehmen voraussichtlich nicht zu höheren Sicherheitsausgaben führen.
Erst wenn ein echter Schaden entstanden ist, sehen es drei Viertel der Befragten als wahrscheinlich an, dass
auch die Ausgaben für Cyber Security steigen, wie aus dem Global Information Security Survey 2018 der
Prüfungs und Beratungsorganisation EY hervorgeht. An der Umfrage beteiligten sich weltweit mehr als 1.400
Unternehmen.
Immerhin steigen die Ausgaben für die Abwehr von Attacken über das Internet bei der Mehrzahl der Unterneh
men. Nahezu die Hälfte der ITVerantwortlichen hält Budgetsteigerungen um ein Viertel oder sogar deutlich
mehr für nötig. Die globale EYUmfrage hat ergeben, dass das durchschnittliche Schadensausmaß eines Data
Breach rund 3,6 Millionen USDollar beträgt.
Kundendaten und Geschäftsgeheimnisse können in die falschen Hände geraten und einen nachhaltigen Ver
trauensverlust nach sich ziehen. Server können lahmgelegt werden, was kostspielige Produktionsausfälle zur
Folge hat. Öffentlichkeitswirksame Attacken wie Petya oder Wannacry haben bei vielen Unternehmen zwar
das Bewusstsein für die Gefahren geweckt, allerdings besteht in fast jeder Organisation noch ein großer Auf
holbedarf. Beispielsweise wurde unlängst bekannt, dass 1.464 Mitarbeiter des öffentlichen Dienstes in
Australien „password123“ als Passwort gewählt haben.
So ist Geld zwar ein entscheidender Faktor im Kampf gegen Cyberangriffe, aber nicht unbedingt der wichtigste:
30 Prozent der Befragten gaben an, dass das benötigte Knowhow im Umgang mit Cyberbedrohungen im
Unternehmen nicht vorhanden sei.
In Österreich zeigt sich speziell die Personalausstattung verbesserungswürdig. Hier gab die Mehrheit der Unter
nehmen an, noch nicht ausreichend personelle Kapazitäten für Informationssicherheit vorgesehen zu haben.
Gerade kleinere Unternehmen haben oft nicht die Mittel oder die Strukturen, um Angriffe sofort zu erkennen.
In Österreich sieht sich weniger als die Hälfte der Unternehmen in der Lage, einen umfassenden Cyberangriff
zu erkennen.
Die größten Sicherheitsrisiken hängen aus Sicht der Befragten direkt mit dem operativen Geschäft zusammen:
Kundeninformationen, Finanzinformationen und Strategiepläne sind aus Sicht der ITVerantwortlichen die
sensibelsten Daten, die Kriminelle abgreifen können.
Sicherheitslücke Nummer eins sind aus Sicht der Befragten die eigenen Mitarbeiter: Ein Drittel nennt unauf
merksame beziehungsweise unvorsichtige Mitarbeiter als Einfallstor für Cyberkriminelle, nur ein Viertel macht
veraltete Sicherheitsprogramme dafür verantwortlich.
Mitarbeiter müssen kontinuierlich geschult und über Datensicherheit aufgeklärt werden. Obwohl das Risiko
durch gefälschte EMails in den Medien nicht mehr so präsent ist, zeigen Daten aus dem ersten Halbjahr 2018,
dass täglich 6,4 Mrd. FakeMails im Umlauf sind. Solche Risiken können Firmen beispielsweise durch Trainings
programme minimieren.
EY Global Information Security Survey 2018Gefährliches Abwarten: Viele Unternehmen steigern Sicherheitsausgaben erst nach einem Schadensfall
Foto
: get
tyim
ages
27EY Finance & Perfomance Magazine | Dezember 2018
Ihre Meinung zählt
Wir freuen uns über Ihr Feedback! Bei
Rückmeldungen zu einzelnen Artikeln
können Sie sich gerne direkt an die
Autoren wenden. Die Kontaktdaten
findenSiejeweilsbeidenArtikeln.
Sollten Sie uns ein allgemeines Feedback
zum Finance & Performance Magazine
geben wollen, schreiben Sie bitte an:
Impressum
Eigentümer, Herausgeber und Medieninhaber
Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.H. („EY“),
Wagramer Straße 19, IZD Tower, 1220 Wien, [email protected]
Inhaltliche Gesamtverantwortung Mag. Gerhard Schwartz
Redaktion Mag. Gerald Steckbauer
Idee & Konzeption Fuenfwerken Design AG, Wiesbaden/Berlin
GestaltungCPoffice,SabineReissner
Druck Gerin Druck GmbH, Wolkersdorf
Finance & Performance Magazine Digitalversion
Nach Erscheinen der gedruckten Ausgabe senden wir Ihnen die digitale Version
unseres Magazins via EMail zu, sofern bei Ihren Daten eine gültige EMailAdresse
hinterlegt ist.
Selbstverständlich können Sie diesen zusätzlichen Service auch abbestellen bzw.
auswählen, welche der beiden Formen der Zusendung Sie in Zukunft wünschen.
Sollten Sie hierzu Fragen haben, so senden Sie uns bitte Ihre Nachricht an
Unsere Publikationen sind im Internet verfügbar und leicht mittels der Suchmaschine Ihrer
Wahlzufinden.BeiInteresseanzusätzlichenInformationenkontaktierenSieunsgerneper
EMail an [email protected].
Gedruckt nach der Richtlinie „Druck erzeugnisse“ des Österreichischen UmweltzeichensUWNr. 845
Publikationen
EY-Analyse der Top-30-F&E-Unternehmen Österreichs
Die durchschnittliche F&EIntensität der 30 börsennotierten ös
terreichischen Unternehmen mit den höchsten jährlichen
F&EAusgaben hat in den vergangenen fünf Jahren deutlich zu
genommen. Während die F&EAusgaben 2012 3,6 Prozent der
kumulierten Unternehmensumsätze betrugen, konnten sie
2017 auf 4,2 Prozent gesteigert werden. Im Vergleich zum Vor
jahr gab es einen leichten Anstieg um 0,1 Prozent. Europaweit
ging die F&EIntensität von 3,6 Prozent auf 3,4 Prozent zurück.
EY Global IPO Update Q3/2018
Auch im dritten Quartal haben weltweit weniger Unterneh
men den Schritt aufs Parkett gewagt als im Vorjahr: Die Zahl
der Börsengänge sank um 22 Prozent auf 302, das Gesamt
volumen stieg aber – vor allem dank einiger sehr großer IPOs
in China – um 9 Prozent auf 47 Mrd. USDollar. Speziell in Eu
ropa hat sich das IPOKlima zuletzt eingetrübt – mit einem
Rückgang der Zahl der Börsengänge um 23 Prozent auf 33
und einem sogar um 91 Prozent geschrumpften Emissionser
lös.Nur1,1Mrd.US-DollarflossenimdrittenQuartalanBör
senneulinge in Europa.
EY Global Information Security Survey 2018
Durch die fortschreitende Digitalisierung werden Kundenda
ten, Geschäftsgeheimnisse und interne Kommunikation stets
anfälliger für Hackerattacken. Bei mehr als der Hälfte der be
fragten Unternehmen wurde im vergangenen Jahr zumindest
eine Cyberattacke registriert. Erst wenn ein echter Schaden
entstanden ist, sehen es drei Viertel der Befragten als wahr
scheinlich an, dass auch die Ausgaben für Cyber Security stei
gen, wie aus dem Global Information Security Survey 2018
hervorgeht.
Aus Gründen der leichteren Lesbarkeit wird in dieser Publikation auf
diegeschlechtsspezifischeDifferenzierung,z.B.„Mitarbeiterinnen
und Mitarbeiter“, verzichtet. Entsprechende Begriffe gelten im Sinne
der Gleichbehandlung grundsätzlich für beide Geschlechter.
Events
EY Scout International Accounting
Business Breakfast
07.12.2018, Linz
14.12.2018, Wien
18.12.2018, Salzburg
GRI-zertifiziertes Training zur Erstellung
eines Nachhaltigkeitsberichts
28.–29.03.2019, Wien
39. Österreichischer Controllertag
Konferenz ControllerInstitut
21.–22.03.2019
Certified Business Data Scientist
Lehrgang ControllerInstitut
Start: 06.03.2019
Financial Steering
Lehrgang ControllerInstitut
Start: 29.03.2019
Bootcamp für Geschäftsführer
Lehrgang ControllerInstitut
Start: 11.04.2019
Gerne senden wir Ihnen nähere Infor
mationen zu unseren Veranstaltungen zu.
Schicken Sie dazu bitte eine EMail mit
Name und Firma an [email protected].
EY | Assurance | Tax | Transactions | Advisory
Die globale EY-Organisation im ÜberblickEY ist einer der globalen Marktführer in der Wirtschaftsprüfung, Steuerberatung, Transaktionsberatung und Managementberatung. Mit unserer Erfahrung, unserem Wissen und unseren Leistungen stärken wir weltweit das Vertrauen in die Wirtschaft und in die Finanzmärkte. Dafür sind wir bestens gerüstet: mit hervorragend ausgebildeten Mitarbeiterinnen und Mitarbeitern, dynamischen Teams, einer ausgeprägten Kundenorientierung und individuell zugeschnittenen Dienstleistungen. Unser Ziel ist es, die Funktionsweise wirtschaftlich relevanter Prozesse in unserer Welt zu verbessern – für unsere Mitarbeiterinnen und Mitarbeiter, unsere Kunden sowie die Gesellschaft, in der wir leben. Dafür steht unser weltweiter Anspruch „Building a better working world“.
Die globale EYOrganisation besteht aus den Mitgliedsunternehmen von Ernst & Young Global Limited (EYG). Jedes EYGMitgliedsunternehmen ist rechtlich selbstständig und unabhängig und haftet nicht für das Handeln und Unterlassen der jeweils anderen Mitgliedsunternehmen. Ernst & Young Global Limited ist eine Gesellschaft mit beschränkter Haftung nach englischem Recht und erbringt keine Leistungen für Kunden. Weitere InformationenfindenSieunterwww.ey.com.
In Österreich ist EY an vier Standorten präsent. „EY“ und „wir“ beziehen sich in dieser Publikation auf alle österreichischen Mitgliedsunternehmen von Ernst & Young Global Limited.
© 2018 Ernst & Young Wirtschaftsprüfungsgesellschaft m.b.H.All Rights Reserved.
GSA Agency SRE 1811154ED none
Diese Publikation ist lediglich als allgemeine, unverbindliche Information gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf sachliche Richtigkeit, Vollständigkeit und/oder Aktualität; insbesondere kann diese Publikation nicht den besonderen Umständen des Einzelfalls Rechnung tragen. Eine Verwendung liegt damit in der eigenen Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young Management Consulting GmbH und/oder anderer Mitgliedsunternehmen der globalen EYOrganisation wird ausgeschlossen. BeijedemspezifischenAnliegensollteeingeeigneterBeraterzurategezogenwerden.
www.ey.com/at