Intern werden Risikoberichte vorwiegend in dreimonatigen Abständen ausschliesslich an das Topmanagement geliefert, Schwellenwerte sind kaum vorhanden und Zuständigkeiten nicht abschliessend geklärt. Extern werden die gesetzlichen Anforderungen sowie die berufsständischen und betriebswirtschaftlichen Empfehlungen zu einem grossen Teil nicht erfüllt. Die Untersuchung diagnostiziert eine mangelnde Risikokultur: Werte und Einstellungen, Kenntnisse und Fähigkeiten sowie Risikodefinitionen und Risikogrundsätze sind die Ursachen für das mangelhafte Risikoreporting. Was also ist zu tun?

• Erstens: Schaffung einer Risikokultur durch eindeutiges Commitment des Managements, Zurverfügungstellung von Ressourcen, Sicherstellung von Kompetenzen und Review des Systems.
• Zweitens: Organisatorische Einbindung der internen Risikoberichterstattung in das bestehende Berichtssystem und adressatengerechte Informationsversorgung in Art, Form und Menge und entsprechend den Interessen Bedürfnissen und Erwartungen der Empfänger.
• Drittens: Beachtung der Mindestbestandteile eines externen Risikoberichtes. Hierzu zählen die Darstellung des Risikomanagementsystems, die Beschreibung und Kategorisierung der Risiken, die Darstellung von Risikokonzentrationen und bestandsgefährdenden Risiken, Angaben von Veränderungen gegenüber dem Vorjahr und eine Gesamteinschätzung der Risikolage.

Risikokultur

Der Verantwortung des Managements, eine dem Unternehmen entsprechende Risikokultur zu schaffen und aufrecht zu erhalten, muss ein hoher Stellenwert beigemessen werden. Die Österreichische Norm ONR 49001 verlangt in diesem Zusammenhang von der obersten Leitung:

• das Risikomanagement-System in das bestehende Führungssystem zu integrieren oder als eigenständiges System zu gestalten,
• das Risikomanagement-System mit den Zielen der Organisation in Einklang zu bringen,
• die Risikoakzeptanz im Einklang mit anerkannten Anforderungen der interessierten Parteien zu bringen,
• die Risikopolitik, einschließlich Zielen und Strategien, festzulegen,
• die Bedeutung und den Nutzen des Risikomanagements der Organisation zu vermitteln,
• die Verfügbarkeit von fachlichen, personellen und finanziellen Ressourcen sicherzustellen,
• die Risikokommunikation zu planen, lenken und zu leiten und
• die Bewertungen des Risikomanagement-Systems in geplanten Abständen durchzuführen.

Die Bedeutung der Risikokultur für die Risikoberichterstattung wird in der oben erwähnten Studie zu 24% mit sehr gross und zu 50% mit gross beurteilt und 92% der Unternehmen glauben, dass eine ungeeignete Risikokultur zu einem wesentlichen Risiko für das Unternehmen werden kann.

Internes Risikoreporting

Ein funktionierendes internes Risikoreporting setzt voraus, dass das Risikomanagement im gesamten Managementprozess integriert ist. Risikomanagement ist somit ein Teil der Führungsprozesse und steht in Wechselwirkung zu den allen anderen Prozessen. Neben der ablauf- und aufbauorganisatorischen Eingliederung des internen Risikoreportings sind die nachfolgenden Grundsätze einer adressatengerechte Informationsversorgung zu beachten:

• nicht zu wenig Informationen,
• nicht zu viel Informationen,
• nach Informationswert geordnet,
• didaktikgerecht,
• formgerecht (Sprache und Darstellung) und
• aktuell.

Fehlende Informationen führen zu Fehlenentscheidungen. Gründe für einen Informationsmangel können sein die Nichtverfügbarkeit, die Kosten, das absichtliche Zurückhalten (Information ist Macht, Unsicherheit über Informationsfolgen, Bequemlichkeit) und/oder das unabsichtliche Zurückhalten von Informationen (Unfähigkeit, Nachlässigkeit).

Zu viel Informationen überfordern den Informationsempfänger, weil die Aufnahme-, Verarbeitungs- und Speicherkapazität des Menschen für Informationen begrenzt ist. Gründe für eine Informationsüberlastung können sein die Informationsfilterkosten, Zeitmangel, Unfähigkeit, eigene Risikominimierung und Information als Zuwendung.

Informationen sind nach dem Informationswert zu ordnen, d.h. Wichtiges zuerst, Unwichtiges später oder gar nicht. Informationen sollten gut, schnell und beständig zu speichern sein (didaktikgerecht). Fach-Chinesisch und Zahlenfriedhöfe, zu späte und zu frühe Informationen sind zu vermeiden.

Externes Risikoreporting

Das externes Risikoreporting ist mit der Inkraftsetzung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vorgeschrieben und in verschiedenen nationalen Gesetzen verankert (HGB, AktG, KapCoRiLiG, TranPuG). Da Gesetze wenig konkret sein können, haben sich verschiedene Standards entwickelt. Hierzu zählen die Prüfungsstandards des Instituts der Deutschen Wirtschaftsprüfer (IDW PS 340 und PS 720) und der Deutscher Rechnungslegungs-Standard Nr. 5 (DRS 5). Der DRS 5 regelt in 37 Grundsätzen die Risikoberichterstattung von Konzernen in Konzerlageberichten, ist aber auch für jede andere Rechtsform anwendbar.

Berichtet werden muss über Risiken, „die die Entscheidungen der Adressaten des Konzernlageberichts beeinflussen könnten“. Es wird die Bildung der nachfolgenden Risikokategorien empfohlen: Umfeldrisiken und Branchenrisiken, unternehmensstrategische Risiken, leistungswirtschaftliche Risiken, Personalrisiken, informationstechnische Risiken, finanzwirtschaftliche Risiken und sonstige Risiken. Im Jahresabschluss eines großen deutschen Personaldienstleisters findet sich folgende beispielgebende Gliederung eines externen Risikoberichtes:

1. Einzelrisiken
1.1 Gesamtwirtschaftliche Risiken
1.2 Branchenrisiken
1.3 Risiken aus den betrieblichen Aufgabenbereichen
1.4 Risiken aus der Finanzierung
1.5 Rechtliche Risiken
1.6 IT-Risiken
1.7 Management-Risiken
1.8 Sonstige Risiken
2. Gesamtrisiko
3 Risiko-Managementsystem
3.1 Grundsätzliches
3.2 Risikoidentifikation
3.3 Risikomessung
3.4 Risikoanalyse und Risikobewertung
3.5 Risikoüberwachung/Risikocontrolling
3.6 Risikosteuerung
3.7 Umgang mit Risiken
3.8 Organisation und Dokumentation des Risiko-Managements

Lesen Sie im fünften und letzten Teil dieser Artikel-Serie zum Thema „Risikomanagement und Rating“. Um zu den anderen Beiträgen dieser Artikelserie zu gelangen, klicken Sie bitte auf einen der nachfolgenden Hyperlinks:

Risikomanagement - Teil 1: Nutzen und Mehrwerte
Risikomanagement - Teil 2: Aufbau und Organisation
Risikomanagement - Teil 3: Frühwarnindikatoren und Risikokennzahlen
Risikomanagement - Teil 4: Internes und externes Risikoreporting
Risikomanagement - Teil 5: Scoring und Rating