Risikokultur
Der Verantwortung des Managements, eine dem Unternehmen entsprechende Risikokultur zu schaffen und aufrecht zu erhalten, muss ein hoher Stellenwert beigemessen werden. Die Österreichische Norm ONR 49001 verlangt in diesem Zusammenhang von der obersten Leitung:
Die Bedeutung der Risikokultur für die Risikoberichterstattung wird in der oben erwähnten Studie zu 24% mit sehr gross und zu 50% mit gross beurteilt und 92% der Unternehmen glauben, dass eine ungeeignete Risikokultur zu einem wesentlichen Risiko für das Unternehmen werden kann.
Internes Risikoreporting
Ein funktionierendes internes Risikoreporting setzt voraus, dass das Risikomanagement im gesamten Managementprozess integriert ist. Risikomanagement ist somit ein Teil der Führungsprozesse und steht in Wechselwirkung zu den allen anderen Prozessen. Neben der ablauf- und aufbauorganisatorischen Eingliederung des internen Risikoreportings sind die nachfolgenden Grundsätze einer adressatengerechte Informationsversorgung zu beachten:
Fehlende Informationen führen zu Fehlenentscheidungen. Gründe für einen Informationsmangel können sein die Nichtverfügbarkeit, die Kosten, das absichtliche Zurückhalten (Information ist Macht, Unsicherheit über Informationsfolgen, Bequemlichkeit) und/oder das unabsichtliche Zurückhalten von Informationen (Unfähigkeit, Nachlässigkeit).
Zu viel Informationen überfordern den Informationsempfänger, weil die Aufnahme-, Verarbeitungs- und Speicherkapazität des Menschen für Informationen begrenzt ist. Gründe für eine Informationsüberlastung können sein die Informationsfilterkosten, Zeitmangel, Unfähigkeit, eigene Risikominimierung und Information als Zuwendung.
Informationen sind nach dem Informationswert zu ordnen, d.h. Wichtiges zuerst, Unwichtiges später oder gar nicht. Informationen sollten gut, schnell und beständig zu speichern sein (didaktikgerecht). Fach-Chinesisch und Zahlenfriedhöfe, zu späte und zu frühe Informationen sind zu vermeiden.
Externes Risikoreporting
Das externes Risikoreporting ist mit der Inkraftsetzung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vorgeschrieben und in verschiedenen nationalen Gesetzen verankert (HGB, AktG, KapCoRiLiG, TranPuG). Da Gesetze wenig konkret sein können, haben sich verschiedene Standards entwickelt. Hierzu zählen die Prüfungsstandards des Instituts der Deutschen Wirtschaftsprüfer (IDW PS 340 und PS 720) und der Deutscher Rechnungslegungs-Standard Nr. 5 (DRS 5). Der DRS 5 regelt in 37 Grundsätzen die Risikoberichterstattung von Konzernen in Konzerlageberichten, ist aber auch für jede andere Rechtsform anwendbar.
Berichtet werden muss über Risiken, „die die Entscheidungen der Adressaten des Konzernlageberichts beeinflussen könnten“. Es wird die Bildung der nachfolgenden Risikokategorien empfohlen: Umfeldrisiken und Branchenrisiken, unternehmensstrategische Risiken, leistungswirtschaftliche Risiken, Personalrisiken, informationstechnische Risiken, finanzwirtschaftliche Risiken und sonstige Risiken. Im Jahresabschluss eines großen deutschen Personaldienstleisters findet sich folgende beispielgebende Gliederung eines externen Risikoberichtes:
1. Einzelrisiken
1.1 Gesamtwirtschaftliche Risiken
1.2 Branchenrisiken
1.3 Risiken aus den betrieblichen Aufgabenbereichen
1.4 Risiken aus der Finanzierung
1.5 Rechtliche Risiken
1.6 IT-Risiken
1.7 Management-Risiken
1.8 Sonstige Risiken
2. Gesamtrisiko
3 Risiko-Managementsystem
3.1 Grundsätzliches
3.2 Risikoidentifikation
3.3 Risikomessung
3.4 Risikoanalyse und Risikobewertung
3.5 Risikoüberwachung/Risikocontrolling
3.6 Risikosteuerung
3.7 Umgang mit Risiken
3.8 Organisation und Dokumentation des Risiko-Managements
Lesen Sie im fünften und letzten Teil dieser Artikel-Serie zum Thema „Risikomanagement und Rating“. Um zu den anderen Beiträgen dieser Artikelserie zu gelangen, klicken Sie bitte auf einen der nachfolgenden Hyperlinks:
Risikomanagement - Teil 1: Nutzen und Mehrwerte
Risikomanagement - Teil 2: Aufbau und Organisation
Risikomanagement - Teil 3: Frühwarnindikatoren und Risikokennzahlen
Risikomanagement - Teil 4: Internes und externes Risikoreporting
Risikomanagement - Teil 5: Scoring und Rating