Mit ihren Entscheidungen für die Investitionsstrategie bestimmen die Verantwortlichen im Unternehmen maßgeblich den wirtschaftlichen Ereignishorizont ihres Unternehmens. Sie sind eine der wichtigen strategischen Stellgrößen zur Gefahrenabwehr. CFOs übernehmen in diesem Zusammenhang eine zentrale Rolle – ein Umstand, dem die zweite europäische Netz- und Informationssicherheitsrichtlinie (NIS-2) besonderes Gewicht verleiht. Sie verpflichtet Betreiber von digitalen Diensten, dezidierte Sicherheitsanforderungen zu erfüllen und etwaige Vorfälle sofort zu melden. Und sie nimmt den CFO direkt ins Fadenkreuz.
CFOs sind künftig für Risikomanagement und Compliance, die strategische Investitionsplanung, interne Kommunikation und Berichterstattung verantwortlich. Die NIS-2-Richtlinie schreibt vor, dass sie mitverantwortlich dafür sind, Notfallpläne und Wiederherstellungsstrategien zu entwickeln, um die finanziellen Auswirkungen von Sicherheitsvorfällen zu minimieren. CFOs müssen darüber hinaus die Implementierung der entsprechenden Maßnahmen kontrollieren. Und sie können persönlich haftbar gemacht werden, wenn ihr Unternehmen die Anforderungen der NIS-2 nicht erfüllt.
Neue Pflichten bei der IT-Sicherheit
Finanzchefs sind gefordert, durch gezielte Entscheidungen dafür zu sorgen, dass umfassende Risikomanagement-Frameworks eingeführt werden, die sowohl finanzielle als auch IT-Risiken abdecken. Es wird von ihnen erwartet, dass sie den strategischen Rahmen schaffen für agile Maßnahmen, die das wirtschaftliche Risiko reduzieren und den Fortbestand des Geschäftsbetriebs sicherstellen.
Finanzchefs müssen mit den zuständigen Behörden zusammenarbeiten und Informationen über Cybervorfälle austauschen. Das heißt, sie müssen sich regelmäßig über Cyberrisiken informieren. Dafür ist eine enge und vertrauensvolle Zusammenarbeit mit dem Chief Information Officer (CIO) oder dem Chief Technology Officer (CTO) unerlässlich.
Ist es Zeit für den CF&TO?
Das richtige Teaming zweier Experten-Funktionen, die an gemeinsamen Zielsetzungen arbeiten, ist Grundlage einer Strategie, die sowohl die betriebswirtschaftliche als auch die operative Handlungsfähigkeit des Unternehmens sichert. Angesichts der ohnehin immer stärkeren Annäherung des CFO an das Profil eines CTO darf man alternativ dazu durchaus bestehende Selbstverständlichkeiten in Frage stellen. Warum trennen, was absehbar immer mehr Überschneidungen aufweisen wird?
Viele Experten sind der Ansicht, dass ein vereinheitlichender Rollenzuschnitt über kurz oder lang Sinn ergibt. US-amerikanische Fintech-Start-ups wie Stripe und Plaid setzen beispielsweise auf die Verschmelzung von betriebswirtschaftlicher Verantwortung und technologischer Richtlinienkompetenz und haben die Hybridrolle eines Finanzchefs und eines Chief Operating Officer (COO) geschaffen, den CFO-COO.
Vielleicht wäre ein solches Modell auch für Unternehmen diesseits des Atlantiks die richtige Reaktion auf die Tatsache, dass Technologie ohnehin immer mehr zum wettbewerbsbestimmenden Zukunftsfaktor wird. Einen weiteren Vorteil hätte eine solche Verschmelzung zudem mit Blick auf die agile Entwicklung der Regulatorik. Ganz gleich welche Anforderungen oder Schlüsseltechnologien als Nächstes an der Tür klingeln – ein CF&TO (Chief Financial & Technology Officer) wäre sicherlich in der Lage, schnell zu reagieren.
Autor
Thomas Kombrecht
Thomas Kombrecht ist Autor für Bechtle Greenfield in Hamburg.