Wie Organisationen digitale Risiken in Resilienz umwandeln

Die Umfrage „EY Technology Risk Pulse“ zeigt, wie Governance, Kontrollen und Assessments bewertet werden, um digitale Risiken zu mitigieren.

Überblick

• Die EY-Umfrage zeigt, dass Unternehmen die Bedeutung von Compliance und Governance erkennen, um vertrauensvolle Beziehungen zu ihren Stakeholdern aufzubauen.
• IT-Compliance, KI-Integration und Cybersicherheit sind die wichtigsten Investitionsbereiche zum Managen digitaler Risiken.
• Risikobehandlung hilft Organisationen, technologische Herausforderungen selbstbewusst zu bewältigen.
  

Während die digitale Transformation Fahrt aufnimmt, wird auch die IT-Infrastruktur, die die Unternehmen und ihre Prozesse unterstützt, immer komplexer. Infolgedessen werden digitale Risiken, Kontrollen und die Sicherstellung von Integrität noch robustere Überwachungsmechanismen erfordern. Trotz dieser Herausforderungen bieten fortschrittliche technologische Tools neue Möglichkeiten, um Innovationen voranzutreiben, die Sicherheit zu verbessern und Resilienz aufzubauen.

Die Umfrage „EY Technology Risk Pulse“ von 2025 zeigt mehrere ermutigende Trends im Umfeld digitaler Risiken. Organisationen investieren proaktiv in Compliance, die Integration von Technologien und Cybersicherheit, um ihre Resilienz und Sicherheitslage zu stärken.

1. Digitale Governance und Compliance werden als entscheidend angesehen, um Vertrauen und Zuversicht gegenüber den Stakeholdern zu demonstrieren

Vorschriften und globale Rahmenbedingungen bleiben ein Hauptfokus, während Organisationen daran arbeiten, die Herausforderungen der technologischen Transformation zu bewältigen. Wenn es darum geht, Vertrauen und Zuversicht gegenüber den Stakeholdern zu projizieren, bewerten 81 Prozent der Befragten den Sarbanes-Oxley Act (SOX) und das Internal Control over Financial Reporting (ICFR) als sehr oder äußerst wichtig, und 78 Prozent betrachten die Berichterstattung über System and Organization Controls (SOC) als von hoher Bedeutung zur Unterstützung ihrer Jahresabschlussprüfungen.

Die Umfrageteilnehmer erkennen zudem die Bedeutung von Governance und der Ausrichtung ihrer Programme an globalen Standards wie den AICPA Trust Services Criteria (SOC 2), der International Organization for Standardization (ISO) und das National Institute of Standards and Technology (NIST) sowie an Vorschriften wie der Datenschutz-Grundverordnung (DSGVO) und der Richtlinie über die Sicherheit von Netz- und Informationssystemen 2 (NIS 2).

Viele Unternehmen setzen auf Reifegradanalysen ihrer Cybersecurity-Programme und auf Bewertungen der Auswirkungen von KI. Diese Instrumente sind entscheidend, um die Widerstandsfähigkeit zu erhöhen und eine wirksame Governance sowie die Einhaltung regulatorischer Vorgaben sicherzustellen.

2. Entscheidungstragende sind besorgt über die potenziell negativen Auswirkungen neuer Technologien auf ihre Organisation

Befragte aus dem Top-Management in verschiedenen Branchen sind sehr besorgt über die Auswirkungen neuer Technologien auf ihre Organisation.

Mehr als zwei Drittel der Befragten betrachten die Auswirkungen auf die Cybersicherheit als das größte Risiko für ihre Organisation, wobei die größten Cybersicherheitsbedenken Perimeter-Verletzungen (57 Prozent) und Risiken der Cloud-Sicherheit (53 Prozent) betreffen. Die Hälfte (50 Prozent) der Entscheidungstragenden glaubt, dass KI-generierte Angriffe zu den bedeutendsten Cybersicherheitsrisiken gehören.

Systemintegration, Audits, der Sarbanes-Oxley Act (SOX), interne Kontrollen über die Finanzberichterstattung (ICFR) und die Berichterstattung über System- und Organisationskontrollen (SOC) wurden ebenfalls als Bereiche eingestuft, die negativ von neuen Technologien betroffen sein könnten.

3. Organisationen investieren in IT-Compliance, KI-Integration und Cybersicherheit, um die digitale Integrität und das Risikomanagement zu stärken

Mehr als die Hälfte der Entscheidungstragenden erwartet, dass ihre Organisationen künstliche Intelligenz in der IT-Infrastruktur (59 Prozent) und in der Cybersicherheit (58 Prozent) innerhalb der nächsten 18 bis 24 Monate nutzen werden. Die Situation wird zusätzlich erschwert durch den Mangel an Fachkräften und Ressourcen – trotz erheblicher Investitionen in IT-Compliance, Bewertungen und KI. Nur 23 Prozent der Befragten berichteten, dass die Investition in Personal eine primäre Sorge darstellt.

Unternehmen konzentrieren ihre Investitionen vor allem auf IT-Compliance, Bewertungen und die Integration neuer Technologien. Gleichzeitig stärkt ein gezielter Fokus auf die Mitarbeitenden die Fähigkeit, mit den Entwicklungen in KI und Cybersicherheit Schritt zu halten und langfristigen Erfolg zu sichern. Dies zeigt sich auch in einer separaten Umfrage. Die EY-Cybersecurity-Studie 2025 offenbart: Führungskräfte in Unternehmen, die KI bereits in ihre Cybersicherheitspraktiken integriert haben, sind eher der Ansicht, dass Investitionen in Mitarbeitende gegenüber neuen Technologien Vorrang haben sollten.

4. Risikobehandlung befähigt Organisationen, technologische Herausforderungen selbstbewusst zu bewältigen und sich an ein immer neues digitales Umfeld anzupassen

Organisationen, die ihre Prüfer einbeziehen, um Dienstleistungen zur Risikobehandlung im digitalen Bereich anzubieten, identifizieren Cybersicherheit, Datensicherheit/digitale Resilienz, Bewertungen der IT-Systemimplementierung und SOC-Berichterstattung als wichtige Dienstleistungen.

Gefragt nach den wichtigsten Dienstleistungen zur Risikobehandlung im digitalen Bereich nannten 69 Prozent der Befragten Bewertungen von Cybersicherheitsprogrammen. Diese zielen proaktiv darauf ab, Schwachstellen zu identifizieren und sich gegen Bedrohungen zu schützen, die, wenn sie unentdeckt bleiben, die betriebliche Resilienz des Unternehmens direkt beeinträchtigen und das Vertrauen von Kunden und Investoren schädigen könnten. Diese Einschätzung in Bezug auf Bewertungen von Cybersicherheitsprogrammen war unter CIOs und CROs sogar noch stärker vertreten.

Insgesamt rangiert die Datensicherheit und digitale Resilienz bei 65 Prozent aller Befragten unter den drei wichtigsten Gründen für die Beauftragung einer Wirtschaftsprüfungsgesellschaft zur Unterstützung in der Risikobehandlung. Rund drei von vier CTOs sehen dies ebenso.

Während erwartet wird, dass Cyber- und Datensicherheit weiterhin im Vordergrund stehen, zeigt die Umfrage, dass Organisationen auch Assessments und Prüfungen (zum Beispiel SOC-Berichte), die ein umfassenderes Risikomanagement unterstützen und einen strukturierten Ansatz zur Identifizierung potenzieller Daten- und Datenschutzrisiken sowie Empfehlungen für Kontrollen bieten, als wertvoll erachten. Bewertungen der IT-Systemimplementierung, die die potenziellen Auswirkungen und die Bereitschaft von Technologieänderungen vor deren vollständiger Implementierung bewerten, werden insbesondere von CISOs und Controller:innen gelobt. Unter den anderen Führungskräften haben wir festgestellt, dass CCOs SOC-Berichterstattung und ISO-Zertifizierungen als wichtige Dienstleistungen im Bereich des digitalen Risikomanagements betrachten, die von einer Wirtschaftsprüfungsgesellschaft in Anspruch genommen werden sollten.

Tipps zum Aufbau von Resilienz und Vertrauen

Organisationen, die rigorose Assessments, Governance-Rahmenwerke und regulatorische Compliance annehmen, können Risiken in Resilienz umwandeln. So geht es:

• Investieren Sie in proaktive Compliance-Maßnahmen, um die Einhaltung von IT-relevanten Gesetzen und Vorschriften zu fördern.
• Priorisieren Sie die Entwicklung einer umfassenden Strategie zum digitalen Risikomanagement in der Cybersicherheit.
• Etablieren Sie klare Governance-Rahmenwerke für KI, um Vertrauen bei den Stakeholdern aufzubauen und Risiken im Zusammenhang mit der KI-Integration zu mindern.
• Integrieren Sie SOC-Berichterstattung und ISO-Zertifizierung in die Kernpraktiken, um die Aufsicht über Kontrollen zu stärken.
• Führen Sie Assessments der IT-Systemimplementierung durch, um die Bereitschaft und die Auswirkungen von Technologieänderungen vor der vollständigen Einführung zu bewerten.

Resilienz und Vertrauen entstehen nicht über Nacht, sondern durch kontinuierliches Engagement. Unternehmen sollten neue Technologien regelmäßig prüfen und vorausschauend in qualifizierte Fachkräfte und geeignete Ressourcen investieren, um sich auf mögliche Störungen vorzubereiten und ihre Widerstandsfähigkeit zu stärken.

Wer informiert bleibt und in solide Strategien für das IT-Risikomanagement investiert, kann die Herausforderungen des digitalen Zeitalters souverän meistern.