Besitzen Sie diesen Inhalt bereits, melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.

Dokumentvorschau
BFuP Nr. 4 vom Seite 556

IT-Risikoberichterstattung und ihre Determinanten: Eine empirische Analyse deutscher Konzernlageberichte

Schwerpunktthema: Prüfungswesen

Dipl.-Wi.-Inf. Pascal Schrader, Universität Mannheim und Univ.-Prof. Dr. Michael Dobler, Technische Universität Dresden

Risiken der Cybersecurity, Informationstechnologie und -sicherheit stellen zusehends wesentliche Gefährdungen des Geschäftsbetriebs dar, die Angaben in der obligatorischen Risikoberichterstattung erwarten lassen. Für Deutschland fehlen empirische Befunde zur Entwicklung und zu den Determinanten der IT-Risikoberichterstattung. Solche Befunde liefert der vorliegende Beitrag auf Basis einer automatisierten Inhaltsanalyse der Konzernlageberichte der DAX-, MDAX- und TecDAX-Unternehmen im Zeitraum 2016–2020. Die Ergebnisse der multiplen Regressionsanalyse zeigen, dass der Umfang der IT-Risikoberichterstattung (1) im Zeitablauf zugenommen hat, (2) nicht mit dem unternehmensspezifischen IT-Risiko, aber (3) positiv mit dem Anteil von Frauen im Aufsichtsrat zusammenhängt. Die Befunde bergen Implikationen für Regulierung, Praxis und Forschung.

1 Einleitung

Informationstechnologie und -systeme sind strategisch wie operationell bedeutsam für den Erfolg von Unternehmen. Damit einhergehende Risiken zählen zu den bedeutsamen Bedrohungen, gerade von Unternehmen, wobei Cyberrisiken besonders en vogue sind. Jüngst waren in Deutschland fast neun von zehn Unternehmen binnen eines Jahres von mindestens ei...