EXPERT:IN

Stephanie Nöth-Zahn
Mar 13, 2026

TOPICS

Finance, Legal & Tax

EVENTS

Compliance now! GERMANY

Risikoanalyse und Compliance – ein Gespräch mit Dr. Stephanie Nöth-Zahn

‍Stephanie Nöth-Zahn ist Partnerin bei Horváth. Wir sprechen darüber, warum Risikomodelle, Scores und Wahrscheinlichkeiten zwar notwendig, aber nicht hinreichend sind und dass Zah-len nur dann helfen, wenn sie echte Entscheidungen und Veränderungen auslösen.

Business Circle: Sehr geehrte Frau Dr. Nöth-Zahn, zu Beginn etwas Persönliches: Sie den Bereich Compliance Excellence bei Horváth. Skizzieren Sie doch eingangs bitte kurz, wie Sie Ihr Weg dorthin geführt hat und warum Ihre Entscheidung gerade für den Bereich Compliance fiel.

Stephanie Nöth-Zahn: Durch Zufall. Ich hatte einen Job in China und dort mit jeder Menge Compliance Problemen zu kämpfen. Dort habe ich das erste Mal verstanden – ohne Compliance sind erfolgreiche Geschäftsmodelle langfristig nicht möglich. Es braucht Frameworks, anhand dessen alle sicher agieren können.

BC: Sie beschäftigen sich seit vielen Jahren mit seltenen und emergenten Risiken. Gerade im Cyber-Bereich gibt es kaum historisch vergleichbare Daten, nach denen sich modellieren ließe. Wie belastbar sind mathematische Risikomodelle unter diesen Voraussetzungen?

Nöth-Zahn: Da stimme ich nicht ganz zu. (Leider) haben wir, vor allem in der Cyber-Welt, immer mehr Daten, teilweise sogar ich Echtzeit. Wir haben kein Daten- sondern ein Kontext-Thema. Das heißt, die Daten und Modelle existieren, aber wir denken noch viel zu oft „Das betrifft uns nicht, die Daten treffen nur in einem anderen Kontext zu.“

BC: Viele Organisationen schreiben Reporting und Controlling groß: mit Scores, Wahrscheinlichkeiten und Schadenshöhen. Wie stellt man sicher, dass viele Zahlen auch mehr Sicherheit schaffen und nicht nur die Illusion davon?

Nöth-Zahn: Sehr gute Frage. Meiner Meinung nach müssen diese Zahlen zwei Kriterien e-füllen, um sinnstiftend zu sein:

(1) Moving the Needle – die Kennzahlen müssen so gewählt sein, dass über den Zeitverlauf für Entscheider erkennbar ist ob sich das Risiko verbessert oder verschlechtert

(2) No owner – No action – wenn ich etwas reporte brauche ich auch einen Ver-antwortlichen der entsprechende Maßnahmen ergreift

BC: Wie gelingt der Schritt von der Risikoanalyse zur tatsächlichen Risikosteuerung am besten? Was sind Ihre drei wichtigsten Tipps, für das Risikomanagement in einem Unter-nehmen?

Nöth-Zahn: Die drei Tipps wären:

(1) Risiko Appetit definieren – was darf uns auf keinen Fall passieren? Was sind wir bereit um das Risiko zu mitigieren? Oder wollen wir bewusst bestimmte Ri-siken akzeptieren das es Bestandteil unsere Geschäftsmodells ist?

(2) Risiko Reporting ist ein Muss - aber nur in Kombination mit Maßnahmen und entsprechenden Eigentümern

(3) Quantifizierung ist Königin – sicherlich noch nicht im ersten Jahr, aber wenn sich die finanzielle Auswirkung noch nicht schätzen lässt, ist das Risiko noch nicht ausreichend verstanden und verknüpft (mit weiteren Funktionen, Prozes-sen, etc.)

First und Second Line of Defence

BC: Gerade im Cyber-Risikomanagement liegt viel Fachwissen bei der IT – also in der First Line. Besteht hier die Gefahr, dass die Second Line zu stark von der Einschätzung der operativen Einheiten abhängig wird, weil die Compliance zu wenig Sachkenntnis hat?

Nöth-Zahn: Absolut, das Problem ist in vielen Unternehmen aktuell genau so gegeben. Mit dem Ergebnis, dass man oft nicht miteinander spricht. Die zwei genannten Abteilungen haben aber sehr spezielle Skills die in Kombination, vor allem mit Blick auf AI, so dringend benötigt werden. Daher gibt es diverse aktuelle Regulatorik (e.g. DORA, NIS2), die stark die Zusammenarbeit und Kommunikation zw. 1LOD und 2LOD einfordert.

BC: Abschließend: Sie werden nun zum zweiten Mal bei uns auf der Bühne stehen, herzlichen Glückwunsch dazu! Möchten Sie Ihren Eindruck von der Premiere der Compliance now! Germany aus dem Jahr 2025 mit uns teilen?

Nöth-Zahn: Der Österreicher-Charme wurde in den Taunus gebracht. Es war eine sehr heimelige Atmosphäre, in der sowohl kontrovers aber immer auf Augenhöhe diskutiert wurde. Daher sind wir auch Wiederholungstäter und freuen uns auf den Mai.

BC: Sehr geehrte Frau Dr. Nöth-Zahn, herzlichen Dank für Ihre offenen und differenzierten Einschätzungen in diesem anregenden Gespräch über die Zukunft von Risiko- und Cyber-Compliance. Wir freuen uns sehr, mehr davon zu hören, wenn wir Sie wieder auf unserer Bühne begrüßen dürfen.

Veranstaltungsgalerie

No items found.

UNSERE EXPERT:INNEN

Stephanie Nöth-Zahn

Horváth ‍

Partner

Dr. Stephanie Nöth-Zahn ist Partnerin bei Horváth und leitet den Bereich Compliance Excellence. Seit über 20 Jahren berät sie nationale und internationale Unternehmen zu den Themen Compliance, IT & Cyber Security und Risikomanagement. Sie hat Moderne Sinologie und Betriebswirtschaftslehre studiert. Promoviert hat sie in Edinburgh zu seltenen Risikoereignissen und emergenten Risiken, weiter forscht und publiziert sie zu diesen Themen.

Browse our upcoming Conferences

All Conferences
Konferenzen

IFA - Insurance Forum Austria

19
.
March
2026
19. / 20. März 2026
Nächster Termin folgt in Kürze
Konferenzen

Kapitalmarktrecht

24
.
March
2026
24. März 2026
Nächster Termin folgt in Kürze
Konferenzen

Circular Economy Stream

26
.
March
2026
26. / 27. März 2026
Nächster Termin folgt in Kürze

Other articles

11.3.26
Nicht nur Paragraphen, sondern auch Algorithmen verstehen: Interview mit Wolfgang Raschka
Finance, Legal & Tax
10.3.26
Das Rechtskataster neu gedacht: Statische Listen sind ein Risiko für Compliance-Officer
Finance, Legal & Tax
9.3.26
Wirtschaftspsychologie & Compliance Skills. Carmen Schön im Gespräch über Dos and Don'ts
Finance, Legal & Tax
Text Link
Finance, Legal & Tax
Text Link
Compliance