Methoden der Korruptionsprävention und Einhalten von Compliance in Großkonzernen

Die vorliegende Diplomarbeit befasst sich mit Korruption und Compliance aus Sicht der Wirtschaftswissenschaften. Ziel ist es, Begrifflichkeiten, die mit dem Thema am häufigsten assoziiert werden,näher zu erläutern. Maßnahmen zur Korruptionsprävention werden näher betrachtet und die Rolle des einzelnen Mitarbeiters wird erörtert. Anhand einer Mitarbeiterbefragungwird eruiert, wie der Wissensstand der befragten Mitarbeiter aktuell ist und wie stark das Inte-resse an der Thematik ist. Weiters wird das Ergebnis zusammengefasst und ein Ausblick über wichtige bzw. mögliche Vorgehensweisen von Unternehmen beschrieben

Ausgewählte Chancen und Herausforderungen der digitalen Transformation für die Produktentwicklung und Unternehmensorganisation im Finanzdienstleistungssektor

Vor dem Hintergrund der digitalen Transformation sind Finanzdienstleistungsunternehmen auf unterschiedlichen Ebenen zahlreichen Chancen sowie Herausforderungen ausgesetzt. Während der Einsatz neuer Technologien die Optimierung bestehender Geschäftsprozesse sowie das Angebot digitalisierter Finanzdienstleistungen ermöglicht, geht dies zugleich mit veränderten Arbeitsbedingungen innerhalb der Unternehmensorganisation einher. Darüber hinaus sind Finanzdienstleister dazu angehalten die sich ändernden Kundenerwartungen bei den bisherigen Geschäftsaktivitäten sowie bei der Produktentwicklung zu berücksichtigen. Das Ziel der vorliegenden kumulativen Dissertation ist es, bestehende Forschungsdesiderate hinsichtlich der Auswirkungen der digitalen Transformation auf den Finanzdienstleistungssektor, differenziert nach der Kunden- und Produktperspektive sowie der internen Unternehmensperspektive, vertiefend zu analysieren. Das Technology-Organization-Environment (TOE)-Framework von DePietro et al. (1990) wird dabei als theoretischer Rahmen zur Einordnung und Strukturierung der Forschungsmodule verwendet. Die Ergebnisse der acht Module zeigen, dass die Kundenbedürfnisse und –erwartungen im Finanzdienstleistungssektor verstärkt von der digitalen Transformation beeinflusst werden. Dies zeigt sich in der Beratungstätigkeit bspw. durch das Angebot neuer Kundenkanäle sowie der aus dem steigenden Wettbewerbsdruck resultierenden erhöhten Preistransparenz. Im Rahmen der Produktentwicklung sind zudem u. a. ESG-Risiken und Silent Cyber-Risiken zu beachten. Aus der Analyse der Auswirkungen der digitalen Transformation auf die Unternehmensorganisation geht hervor, dass über den Einsatz digitaler Innovationen innerhalb des Backoffice die Realisation von Effizienzgewinnen sowie das Entgegenwirken eines Personalmangels möglich ist. Darüber hinaus wird in den Modulen der Einfluss des Faktors Mensch auf die Cyber-Sicherheit hervorgehoben. Während dieser einerseits als „schwächstes Glied“ und potenzielles Angriffsziel im Sicherheitskonstrukt der Unternehmen dargestellt wird, ist andererseits das Potenzial der Beschäftigten zur Frühwarnung zu berücksichtigen

Stellenwert des Gesundheitscontrollings im Hinblick auf die Effektivität von Arbeits- und Gesundheitsschutz aus der Sicht deutscher Arbeitsmediziner

Einleitung: Die arbeitsmedizinische Tätigkeit bewegt sich heute im Spannungsfeld zwischen medizinischer Heilkunst und kundenorientierter Dienstleistung. Sie hat sich mit Fragen der Regulierung und Deregulierung und des betriebswirtschaftlichen Kalküls auseinanderzusetzen. An den Naht- und Schnittstellen eines integrierten und abgestimmten Managementsystems werden Qualität, Wirksamkeit und Effektivität des betrieblichen Arbeits- und Gesundheitsschutzes bestimmt. Gesundheitscontrolling ist eine Spezialisierung des allgemeinen Controllings mit einer funktions- oder objektspezifischen Ausprägung zur Unterstützung und Beratung des Managements. Der Begriff Gesundheitscontrolling ist nicht abschließend definiert und bezieht sich je nach Autor auf Aspekte des betrieblichen Gesundheitsmanagements (BGM), Qualitätsmanagements, Risikomanagements, Gesundheitsmonitorings sowie der Personalentwicklung und Kostenrechnung. Fragestellung: „Was verbindet der Arbeitsmediziner als Gesundheitsexperte im betrieblichen Handlungsfeld mit dem Begriff des Gesundheitscontrollings und ist oder könnte Gesundheitscontrolling für den Arbeitsmediziner ein effektives Instrument der Zielerreichung von Maßnahmen des betrieblichen Arbeits- und Gesundheitsschutzes sein?“ Die als heuristische Ausgangsüberlegung formulierte Gegenhypothese besagt, dass Arbeitsmediziner mit dem Thema Gesundheitscontrolling wenig verbindet. Zielsetzung: Befragung im Hinblick auf Begriffsverständnis, Motivation, Erfahrung und Kenntnisstand von Gesundheitscontrolling zur Widerlegung der getroffenen Annahme. Methode: Online-Befragung unter Arbeitsmedizinern plus Vertiefung durch vier teilstrukturierte persönliche Interviews. Die quantifizierten Ergebnisse wurden vor dem Hintergrund der Forschungsliteratur zum Thema interpretiert. Ergebnisse: Teilnehmerzahl von 115 mit insgesamt 2770 Antworten als (nicht repräsentative) zufällige Stichprobe aus der Grundgesamtheit der deutschen Arbeitsmediziner. Erkennbare Trends und differenzierte Aussagen lassen den Schluss zu, dass eine relevante Anzahl von Arbeitsmedizinern in Deutschland sich differenziert, praktisch und kritisch mit dem Thema Gesundheitscontrolling und den Reflektionen auf ihre eigene Tätigkeit auseinandersetzen

Strategisches GRC-Management: Anforderungen, Forschungsagenda und datenseitiges Modell

„Governance, Risk and Compliance“ (GRC) wird gegenwärtig überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. Die Integrationsmöglichkeiten und strategische Bedeutung von GRC werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert. Die vorliegende Arbeit entwickelt daher ein allgemeines Verständnis für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden Anforderungen hergeleitet, der Forschungsstand analysiert und eine Forschungsagenda entwickelt. Durch eine Delphi-Studie werden die Anforderungen und Forschungsbedarfe priorisiert. Ein datenseitiges Modell stellt die strukturellen Zusammenhänge von GRC auf Informationsebene dar.GRC as an acronym for governance, risk and compliance is currently looked at as a catchword and implemented with short-term, isolated initiatives. GRC is more considered to be a burden for the business and opportunities for integration as well as the strategic relevance of the topic is not recognized, which makes it difficult to realize potential benefits and synergies. Even though first GRC approaches exist, the overall topic area remains quite unstructured and is not narrowed down precisely. Detailed questions, which are relevant for the topic area, like automation of compliance controls and risk measures, modeling of GRC information as well as the determinants of compliance behavior cannot be sorted into their overall context. The research work at hand therefore aims to establish a basic understanding of an integrated and strategically oriented GRC management, which is called strategic GRC management. For this purpose, this research identifies requirements for such an approach based on an exhaustive and structured literature review, discusses the current state of research in this field and develops a research agenda. These research results are evaluated with a three round Delphi study which at the same time determines the importance of the requirements and the research needs and thereby enables its prioritization. Furthermore, a data-centred model for strategic GRC management, which depicts the structural relationships of GRC on the level its information, is constructed. The data model is demonstrated based on an example and evaluated using published practical examples. This research work provides, specifically with the research agenda, various research opportunities. The requirements and the data-centred model enable the assessment and further development of GRC related management systems in company practice.GRC als Akronym für "Governance, Risk and Compliance" wird gegenwärtig in der Unternehmenspraxis überwiegend als Schlagwort aufgegriffen und durch isolierte, kurzfristige Initiativen umgesetzt. GRC wird mehrheitlich als Bürde gesehen und die Integrationsmöglichkeiten sowie die strategische Bedeutung des Themas werden unzureichend erkannt, wodurch Nutzenpotentiale und mögliche Synergieeffekte nicht genutzt werden können. Obwohl erste integrierte GRC-Ansätze existieren, ist das Thema bislang wenig strukturiert und die Eingrenzung bleibt vage. Relevante Detailfragen, wie die Automatisierung der Compliance-Sicherung und Risikosteuerung, die Modellierung von GRC-Informationen und die Determinanten des Compliance-Verhaltens können nur schwer in den Gesamtzusammenhang eingeordnet werden. Die vorliegende Arbeit verfolgt daher das Ziel der Grundlegung eines allgemeinen Verständnisses für ein integriertes und strategisch ausgerichtetes Management von GRC, das als strategisches GRC-Management bezeichnet wird. Hierfür werden basierend auf einem umfangreichen Literaturreview Anforderungen an das strategische GRC-Management hergeleitet, der Forschungsstand strukturiert analysiert und eine Forschungsagenda entwickelt. Diese Forschungsergebnisse werden durch eine Delphi-Studie bestehend aus drei Befragungsrunden abgesichert. Die Studie bestimmt zudem die Bedeutung der einzelnen Anforderungen und Forschungsbedarfe, wodurch eine Priorisierung ermöglicht wird. Darüber hinaus wird ein datenseitiges Modell für das strategische GRC-Management entwickelt, das die strukturellen Zusammenhänge von GRC auf Informationsebene darstellt. Das Datenmodell wird an Hand eines Beispiels demonstriert und mit Hilfe einer Auswertung von publizierten Praxisbeispielen evaluiert. Die Arbeit stellt durch die Forschungsagenda vielfältige Anknüpfungspunkte für weitere Forschung zur Verfügung. Die Anforderungen sowie das datenseitige Modell ermöglichen eine Bewertung und Weiterentwicklung des GRC-Managements in der Unternehmenspraxis

Integriertes Management von Security-Frameworks

Security-Frameworks sind baukastenähnliche, zunächst abstrakte Konzepte, die aufeinander abgestimmte technische und organisatorische Maßnahmen zur Prävention, Detektion und Bearbeitung von Informationssicherheitsvorfällen bündeln. Anders als bei der Zusammenstellung eigener Sicherheitskonzepte aus einer Vielzahl punktueller Einzelmaßnahmen wird bei der Anwendung von Security-Frameworks das Ziel verfolgt, mit einem relativ geringen Aufwand auf bewährte Lösungsansätze zur Absicherung von komplexen IT-Diensten und IT-Architekturen zurückgreifen zu können. Die praktische Umsetzung eines Security-Frameworks erfordert seine szenarienspezifische Adaption und Implementierung, durch die insbesondere eine nahtlose Integration in die vorhandene Infrastruktur sichergestellt und die Basis für den nachhaltigen, effizienten Betrieb geschaffen werden müssen. Die vorliegende Arbeit behandelt das integrierte Management von Security-Frameworks. Im Kern ihrer Betrachtungen liegen folglich nicht individuelle Frameworkkonzepte, sondern Managementmethoden, -prozesse und -werkzeuge für den parallelen Einsatz mehrerer Frameworkinstanzen in komplexen organisationsweiten und -übergreifenden Szenarien. Ihre Schwerpunkte werden zum einen durch die derzeit sehr technische Ausprägung vieler Security-Frameworks und zum anderen durch die fehlende Betrachtung ihres Lebenszyklus über die szenarienspezifische Anpassung hinaus motiviert. Beide Aspekte wirken sich bislang inhibitorisch auf den praktischen Einsatz aus, da zur Umsetzung von Security-Frameworks immer noch ein erheblicher szenarienspezifischer konzeptioneller Aufwand erbracht werden muss. Nach der Diskussion der relevanten Grundlagen des Sicherheitsmanagements und der Einordnung von Security-Frameworks in Informationssicherheitsmanagementsysteme werden auf Basis ausgewählter konkreter Szenarien mehr als 50 Anforderungen an Security-Frameworks aus der Perspektive ihres Managements abgeleitet und begründet gewichtet. Die anschließende Anwendung dieses Anforderungskatalogs auf mehr als 75 aktuelle Security-Frameworks zeigt typische Stärken sowie Schwächen auf und motiviert neben konkreten Verbesserungsvorschlägen für Frameworkkonzepte die nachfolgend erarbeiteten, für Security-Frameworks spezifischen Managementmethoden. Als Bezugsbasis für alle eigenen Konzepte dient eine detaillierte Analyse des gesamten Lebenszyklus von Security-Frameworks, der zur grundlegenden Spezifikation von Managementaufgaben, Verantwortlichkeiten und Schnittstellen zu anderen Managementprozessen herangezogen wird. Darauf aufbauend werden an den Einsatz von Security-Frameworks angepasste Methoden und Prozesse u. a. für das Risikomanagement und ausgewählte Disziplinen des operativen Sicherheitsmanagements spezifiziert, eine Sicherheitsmanagementarchitektur für Security-Frameworks konzipiert, die prozessualen Schnittstellen am Beispiel von ISO/IEC 27001 und ITIL v3 umfassend ausgearbeitet und der Einsatz von IT-Sicherheitskennzahlen zur Beurteilung von Security-Frameworks demonstriert. Die praktische Anwendung dieser innovativen Methoden erfordert dedizierte Managementwerkzeuge, die im Anschluss im Detail konzipiert und in Form von Prototypen bzw. Simulationen umgesetzt, exemplifiziert und bewertet werden. Ein umfassendes Anwendungsbeispiel demonstriert die praktische, parallele Anwendung mehrerer Security-Frameworks und der spezifizierten Konzepte und Werkzeuge. Abschließend werden alle erreichten Ergebnisse kritisch beurteilt und ein Ausblick auf mögliche Weiterentwicklungen und offene Forschungsfragestellungen in verwandten Bereichen gegeben.Security frameworks at first are modular, abstract concepts that combine technical as well as organizational measures for the prevention, detection, and handling of information security incidents in a coordinated manner. Unlike the creation of scenario-specific security concepts from scratch, for which one has to choose from a plethora of individual measures, using security frameworks pursues the goal of reducing the required time and effort by applying proven solutions for securing complex IT services and IT architectures. The practical realization of a security framework requires its scenario-specific customization and implementation, which especially need to ensure its seamless integration into the existing infrastructure and provides the basis for sustained, efficient operations. This thesis highlights the integrated management of security frameworks. Therefore, it does not focus on individual security framework concepts, but on innovative management methods, processes, and tools for operating multiple security framework instances in complex enterprise-wide and inter-organizational scenarios. Its core contributions are motivated by the very technically oriented characteristics of current security frameworks on the one hand and by the lack of a holistic view on their life cycle that reaches beyond the customization phase on the other hand. These two aspects still inhibit the wide-spread practical application of security frameworks because still significant scenario-specific conceptual efforts have to be made in order to operate and manage the framework instances. After the discussion of the relevant fundamentals of security management and the classification of security frameworks into information security management systems, more than 50 management-specific requirements for security frameworks are derived from practical scenarios and get reasonably weighted. The application of the resulting criteria catalogue to more than 75 current security frameworks points out their typical strengths and weaknesses; besides improvement proposals for the analyzed security frameworks, it also motivates the security-framework-specific management methods that are developed afterwards. For each of the proposed concepts, a detailed analysis of the complete security framework life cycle serves as a reference base. It is also used to specify the basic management tasks, responsibilities, and interfaces to related management processes. Based on this life cycle specification, security-framework-specific management methods and processes, e. g., for risk management and for selected security operations tasks are specified, a security management architecture for security frameworks is designed, process-related interfaces based on ISO/IEC 27001 and ITIL v3 are elaborated, and the application of security metrics to quantitatively assess security frameworks is demonstrated. The practical application of the proposed innovative methods requires several dedicated management tools, which are devised in detail, implemented as prototypes or as simulations, exemplified, and evaluated. An extensive usage example demonstrates the practical application of multiple security frameworks in parallel based on the specified concepts and tools. Finally, all achieved results are critically assessed and an outlook to further research as well as open issues in related disciplines is given

Internetsicherheit in Europa

The question of how the law can deal with the problem of internet security is addressed in this volume. Starting with the fact that the internet is structurally insecure, the author finds that the uncertainty this causes must be countered with legal means, particularly when it comes to controlling information about weak spots. Hannfried Leisterer’s study examines whether and to what extent information management law can contribute to ensuring internet security

Die Auswirkungen des Deutschen Corporate Governance Kodex auf die Investor Relations Arbeit - insbesondere im Internet

Der Deutsche Corporate Governance Kodex (DCGK) der Regierungskommission unter Gerhard Cromme wurde am 26. Februar 2002 veröffentlicht und mit Inkrafttreten des Transparenz- und Publizitätsgesetzes am 26. Juli 2002 für alle börsennotierten Aktiengesellschaften verbindlich. Als Grundlage für die Umsetzung der Regeln zur Unternehmensleitung und -kontrolle ist ein gewisses Basiswissen nötig, das in dieser Arbeit vermittelt werden soll. Hierzu gehört nicht nur die Entwicklung der Corporate Governance in Deutschland mit Gesetzesreformen und privaten Regelwerken, sondern auch ein Vergleich mit Systemen in anderen Ländern, insbesondere den USA. Aufbauend hierauf können Hilfestellungen und Anregungen zur Umsetzung des Deutschen Corporate Governance Kodex gegeben werden. Dabei werden sowohl organisatorische, wie auch kommunikative Anforderungen berücksichtigt. Die Ausführungen zur Anwendung bisheriger sowie neu hinzukommender Medien soll vor allem Investor Relations Mitarbeitern Impulse für ihre Arbeit geben. Deshalb werden die Instrumente der Finanzkommunikation, insbesondere das Internet, eingehend auf ihre Einsatzmöglichkeiten zur Kommunikation der Corporate Governance untersucht

Globale Strukturen und deren Steuerung: Auswertung der Ergebnisse eines Förderprogramms der VolkswagenStiftung

"Das Vorhaben, über das hier zu berichten ist, geht auf eine Anregung des Max-Planck-Instituts für Gesellschaftsforschung (MPIfG) im Frühjahr 2003 zurück, die von der VolkswagenStiftung aufgegriffen und als Projekt finanziell gefördert wurde. Ausgangspunkt war die Beobachtung, dass in den Projekten des damals schon einige Zeit laufenden Förderschwerpunkts „Globale Strukturen und ihre Steuerung“ viele Einzelaspekte dieses Themas behandelt werden, dass sich daraus jedoch nicht ohne weiteres erkennen lässt, was sich auf einer höheren Abstraktionsebene, gewissermaßen in der Zusammenschau der Einzelergebnisse, über die sich entwickelnden globalen Strukturen und ihre Steuerung sagen lässt. Dass die an einem breit angelegten Förderprogramm beteiligten Forscher selbst das Bedürfnis haben, ihre eigenen Ergebnisse in einen größeren theoretischen Zusammenhang einzufügen, wurde sehr deutlich in den Diskussionen des von der Stiftung im Rahmen der Evangelischen Akademie in Loccum veranstalteten Kolloquiums, bei dem Anfang 2004 Ergebnisse aus dem Schwerpunkt präsentiert wurden. Eine Zusammenschau – oder Synthese – von Einzelergebnissen ist etwas anderes als eine deskriptive Zusammenfassung dessen, was in einem Förderschwerpunkt tatsächlich untersucht wurde. Es geht vielmehr darum, die Projektergebnisse aus der Perspektive einiger übergreifender Fragen zu betrachten und zu sehen, was sie zu ihrer Beantwortung beitragen können." [Autorenreferat