Sep 12, 2023
Empirische Studie zur IT-Risikoberichterstattung in BFuP veröffentlicht
Pascal Schrader und Michael Dobler haben die Ausgestaltung der IT-bezogenen Risikoberichterstattung in den Konzernlageberichten deutscher Unternehmen sowie Einflussfaktoren darauf untersucht. Die Ergebnisse ihrer empirischen Analyse sind in Ausgabe 4/2023 der Zeitschrift Betriebswirtschaftliche Forschung und Praxis (BFuP) veröffentlicht.
Schrader, Pascal, & Dobler, Michael. (2023). IT-Risikoberichterstattung und ihre Determinanten: Eine empirische Analyse deutscher Konzernlageberichte. Betriebswirtschaftliche Forschung und Praxis, 75(4), 556–575.
Abstract (DE):
Risiken der Cybersecurity, Informationstechnologie und -sicherheit stellen zusehends wesentliche Gefährdungen des Geschäftsbetriebs dar, die Angaben in der obligatorischen Risikoberichterstattung erwarten lassen. Für Deutschland fehlen empirische Befunde zur Entwicklung und zu den Determinanten der IT-Risikoberichterstattung. Solche Befunde liefert der vorliegende Beitrag auf Basis einer automatisierten Inhaltsanalyse der Konzernlageberichte der DAX-, MDAX- und TecDAX-Unternehmen im Zeitraum 2016–2020. Die Ergebnisse der multiplen Regressionsanalyse zeigen, dass der Umfang der IT-Risikoberichterstattung (1) im Zeitablauf zugenommen hat, (2) nicht mit dem unternehmensspezifischen IT-Risiko, aber (3) positiv mit dem Anteil von Frauen im Aufsichtsrat zusammenhängt. Die Befunde bergen Implikationen für Regulierung, Praxis und Forschung.
Abstract (EN): IT Risk Reporting and its Determinants: An Empirical Analysis of German Group Management Reports
Risks related to cybersecurity, information technology, and information security increasingly threaten business operations and imply disclosures in mandatory risk reporting. In Germany, there is lack of empirical evidence on the development and the determinants of IT risk reporting. Our study provides such evidence based on an automated content analysis of group management reports of companies listed in the DAX, MDAX, and TecDAX in the period 2016–2020. Our multiple regression results indicate that the volume of IT risk reporting (1) has increased over time, (2) is unrelated to corporate IT risk, and (3) is positively associated with the share of women in the supervisory boards. The findings have implications for regulation, practice, and research.