ÖBB Geschäftsbericht 2022

112 Konzernlagebericht Personal, Führung und Organisation Die Ansteckung von Mitarbeiter:innen mit einem pandemisch wirkenden Virus kann zu Ressourcenengpässen führen. Risikomindernd wirken strenge Hygiene- und Abstandregelungen sowie organisatorische Maßnahmen. In Hinblick auf Corona bestehen nach wie vor Ampelschaltungen, die entsprechende innerbetriebliche Verhaltensregeln nach sich ziehen. Des Weiteren besteht das Risiko, dass durch Nicht- bzw. Teilumsetzung von geplanten Maßnahmen, wie z. B. Effizienzsteigerungen oder Recruiting und Wissenstransfer, ein zusätzlicher Personalmehraufwand entsteht. Um dieses Risiko zu mindern, erfolgt ein umfassendes Monitoring. Recht und Haftung Der „Code of Conduct” enthält und regelt die ethischen Grundsätze und allgemeinen Prinzipien, an denen das wirtschaftliche Handeln des Konzerns ausgerichtet ist. Durch diesen Kodex wird unter anderem das Risiko von Kosten durch Strafen bei Verstößen gegen kartellrechtliche Bestimmungen gemindert. Das bestehende Compliance-Team arbeitet vor allem in diesem Risikofeld als ein wesentlicher Teil des Risikofrüherkennungs- und Überwachungssystems. Das dient in weiterer Folge auch der Risikovermeidung und somit auch der Schadensabwehr. Die Änderung von Rechtsvorschriften und Regelwerken kann – sowohl auf nationaler als auch auf internationaler Ebene – z. B. durch neue technische oder organisatorische Vorgaben zu erhöhten Systemkosten führen. Dementsprechend sorgfältig werden die Entwicklungen verfolgt und auf mögliche Auswirkungen hin untersucht, um frühzeitig reagieren zu können. Entsprechend dem Verbandverantwortlichkeitsgesetz kann ein Unternehmen für gerichtlich strafbare Taten seiner Mitarbeiter:innen oder Entscheidungsträger:innen verantwortlich gemacht und bestraft werden. Diesem Risiko gilt es zu begegnen. So werden im Rahmen des rechtlichen Risikomanagements strafrechtlich bedeutsame Bereiche identifiziert. Des Weiteren werden etwa im Bereich der Fahrlässigkeits-, Umwelt- und Korruptionstatbestände der Ist-Stand bewertet und Maßnahmen zur Risikovermeidung gesetzt. Mit der Einführung von Kontroll- und Berichtssystemen wurden Vorsorgemaßnahmen getroffen, ebenso wie mit der Erlassung allgemeiner Verhaltensanweisungen durch den „Code of Conduct”. Entsprechende Schulungen und die Schaffung klarer Verantwortlichkeitsbereiche dienen ebenfalls der Risikominimierung. Einkauf und Beschaffung Einkaufsseitig bestehen unter anderem noch immer Risiken durch die von der Coronapandemie verursachten Teuerungen bei verschiedenen Materialien und Dienstleistungen. Zu berücksichtigen ist, dass sich durch Preisschwankungen grundsätzlich auch Chancenpotenziale ergeben können. Eine weitere Verschärfung – vor allem in Hinblick auf die Beschaffung von Energie – ergibt sich aus den Wirkungen rund um den Ukrainekonflikt. Die Beobachtung und Analyse der Märkte und daraus abgeleitete punktuelle Beschaffungs- und Vertriebsentscheidungen, in Kombination mit entsprechenden Vertragsgestaltungen, ermöglichen eine Minderung der Risikolage. Begleitend zur Preisthematik können sich Lieferverzögerungen ergeben, die den Betrieb erschweren. Durch intensive Kontakte mit Lieferanten und Dienstleistern werden diese Risiken gemindert. Informationsverarbeitung Systemausfälle können bei den operativen Teilbereichen Mehraufwendungen und Umsatzeinbußen auslösen. Um dieses Risiko zu mindern, werden laufend eine Vielzahl von Maßnahmen gesetzt: zur Erhöhung der Verfügbarkeit der IT (z. B. Ausstattung der Serverräume), ebenso wie zur Erhöhung der Vertraulichkeit (u. a. Awareness-Schulung der Mitarbeiter:innen) und der Integrität der Daten (z. B. Back-up-Sicherungen). Neben den technischen Absicherungen sorgt der „Chief Information Security Officer” des Konzerns für eine konzernweite einheitliche Steuerung und Überwachung (Security-Governance) der Informationssicherheit. Diese Aufgabe erfüllt der „Chief Information Security Officer” gemeinsam mit den Ansprechpersonen in den Teilkonzernen und Gesellschaften. Die Security-Governance verpflichtet, dass durch die regelmäßige Prüfung der umgesetzten Maßnahmen Schäden – z. B. durch Schadsoftware – oder identifizierte Risiken gemindert werden. Am 01.04.2021 wurde das Programm „Informationssicherheit Next Level“ gestartet. Darin werden auch die Konzernprojekte „PROTECT“ und „Target Operating Model“ (TOM) behandelt. Ziel ist die Schaffung eines zentralen Teams InfoSec und die Etablierung eines „Security Operation Center“ (SOC) für IT-Applikationen der kritischen Infrastruktur. | LB53