Warum und für wen man Risikoberichte erstellt
Wenn die Risiken identifiziert und bewertet sind, werden sie für Entscheider aufbereitet. Die Dokumentation und Berichterstattung ist Aufgabe des Risikomanagements. Es muss regelmäßig alle interessierten und betroffenen Mitarbeiterinnen und Mitarbeiter des Unternehmens über die Risikopositionen und Risikobewertungen informieren und alle Hintergründe dazu zugänglich machen.
Insbesondere das Top-Management muss jederzeit über die Risiken und ihre Entwicklung informiert sein.
Die Berichterstattung muss unterschiedliche Anforderungen erfüllen:
Risikoberichte für Mitarbeitende
Die unmittelbar mit dem Risikomanagement befassten Mitarbeiterinnen und Mitarbeiter müssen täglich wissen, wie sich die Risikosituation darstellt. Sie blicken auf die relevanten Kennzahlen und erhalten sofort Nachricht, wenn sich Veränderungen ergeben. Die Verantwortlichen stoßen gegebenenfalls notwendige Sofortmaßnahmen an, um Schaden zu begrenzen oder Risiken zu begegnen.
Beispiele: Eine Produktmanagerin muss sofort aktiv werden, wenn durch ein Produkt bei einem Kunden ein Schaden entsteht. Die PR-Abteilung muss eine Meldung erstellen, wenn über einen negativen Vorfall im Unternehmen in der Presse berichtet wird.
Risikoberichte für das Management
Das Management überprüft monatlich die Risikostrategie: Welche Risiken bestehen? In welche Risikoklasse sind diese eingeordnet? Welche Entwicklungsverläufe für Risiken lassen sich erkennen? Ist das Unternehmen ausreichend darauf vorbereitet? Welche Strategien zum Risikomanagement werden verfolgt? Welche Aktivitäten oder Projekte sind erforderlich?
Beispiele: Das Management muss Maßnahmen ergreifen, wenn Produkte häufig zu spät geliefert werden und Konventionalstrafen daraus folgen. Es muss Gefährdungsbeurteilungen anpassen, wenn in einem Bereich immer mehr Arbeitsunfälle passieren.
Risikoberichte für das Top-Management
Das Top-Management überprüft halbjährlich, ob das Risikomanagementsystem insgesamt den Anforderungen genügt. Es überprüft den Risikokatalog, die Risikostrategie sowie die geplanten und eingeleiteten Maßnahmen und Projekte, ob diese der Leitlinie zum Risikomanagement entsprechen und mit der Unternehmensstrategie vereinbar sind. Es entscheidet über Änderungen im Risikomanagement.
Beispiele: Das Top-Management muss Projekte initiieren und Budgets für die IT-Sicherheit einplanen, wenn durch Cyberangriffe die IT-Sicherheit bedroht ist und das Risiko eines Totalausfalls droht. Es muss aktiv werden, wenn durch Whistleblowing bekannt wird, dass im Vertrieb mit Schmiergeld gearbeitet wird.
Ob diese Aufgaben täglich, monatlich oder halbjährlich (wie hier vorgeschlagen) durchgeführt werden, hängt vom einzelnen Unternehmen und den relevanten Risikopositionen ab.
Darstellungsformen der Risiken
Eine einfache und übersichtliche Darstellung über die Risiken liefert das Risikoportfolio. Hier sind die beiden wichtigen Bewertungskriterien Eintrittswahrscheinlichkeit und Schadensausmaß der einzelnen Risiken unmittelbar erfasst und abgebildet. Es bietet Entscheidern eine erste Orientierung.
Die Dokumentation und die Berichte oder Reports sollten alle weiterführenden Informationen enthalten, die Bedeutung, Folgen und Handlungsoptionen für das einzelne Risiko erläutern und belegen. Diese können in einem Risikokatalog oder Risikohandbuch zusammengeführt sein. Wichtig ist, Veränderungen regelmäßig sichtbar zu machen. Dabei können die Informationen nach Geschäftsbereichen des Unternehmens unterteilt werden.
Ergänzend zum Risikokatalog, in dem alle relevanten Risiken gemeinsam erfasst sind, kann es Berichte, Studien und Auswertungen zu einzelnen Risiken oder wichtigen Einflussfaktoren geben. Diese werden für jedes Risiko gesondert dokumentiert. Beispielsweise kann für einzelne Risiken ein Worst-Case-Szenario erstellt werden, das dem Risikokatalog als Anhang beigefügt wird. Manche Unternehmen lassen auch Gutachten zu einzelnen Risiken von externen Experten erstellen.
Rechtliche Aspekte des Risikoberichts
Die Dokumentation der Risiken ist auch aus rechtlicher Sicht notwendig. Damit weisen das Unternehmen und das verantwortliche Management nach, was sie im Einzelnen im Rahmen des Risikomanagements unternehmen.
Wenn es zu einem Schadensfall kommt und rechtliche Auseinandersetzungen mit Privatpersonen, anderen Unternehmen oder Behörden folgen, kann das Management seine Aktivitäten umfassend nachweisen. Deshalb sollte die Dokumentation Informationen beinhalten zu den Aspekten:
- Methode der Risikoidentifizierung (Risikoerfassungsbogen)
- verwendete Methoden zur Erfassung und Bewertung von Risiken
- Übersicht über genutzte Quellen
- Organisation des Risikomanagements im Unternehmen: Wer trägt welche Verantwortung? Wer hat welche Aufgaben? Welche Prozesse sind im Unternehmen implementiert?
Diese Informationen dienen dem Nachweis, dass Geschäftsführung oder Vorstand ihren Organisations- und Überwachungspflichten nachkommen.
Risiko-Reports und Dokumentation erstellen
Klären Sie zunächst:
- Wie funktioniert in Ihrem Unternehmen das Berichtssystem für Risiken?
- Wer gibt welche Informationen wann wohin weiter, wenn es um Risiken, Gefahren oder Bedrohungen für Ihr Unternehmen geht und wenn es darum geht, negative Folgen und Schaden zu vermeiden oder zu begrenzen?
Halten Sie dann fest, wie das Risikomanagement die Risiken für die Fachabteilungen aufbereitet und weiterträgt. Das betrifft:
- Inhalte: Worüber soll in einem Risiko-Report berichtet werden? Was soll dargestellt werden?
- Struktur: In welcher Form werden die Informationen weitergegeben? Wie werden die Informationen aufbereitet und vermittelt?
Eine Variante ist es, die Risiken, mögliche Folgen, Eintrittswahrscheinlichkeit und das mögliche Schadensmaß in Form einer Tabelle zu pflegen und an die Fachbereiche und Entscheider weiterzugeben. Dazu können:
- Risikoberichte halbjährlich erstellt oder aktualisiert werden,
- spezielle Risiken, die neu auftauchen, sofort und über ein „Alarmsystem“ an alle betroffenen Fachbereiche und an die Entscheider weitergegeben werden.
Es ist Aufgabe der Geschäftsleitung, die Prozesse des Risikomanagements und der Berichterstattung zu planen und die genaue Form der Risiko-Dokumentation festzulegen.
Nutzen Sie die folgende Vorlage als Beispiel dafür, wie mögliche Risiken in Ihrem Unternehmen benannt, bewertet und erläutert werden können. Alle relevanten Risiken können in dieser Form einzeln dargestellt werden.
Die Zusammenfassung aller dieser Risikobeschreibungen kann als Bericht oder Report dienen. Die folgende Vorlage gibt dafür eine Übersicht. Sie wird der Dokumentation der einzelnen Risiken vorangestellt.
Diese Beschreibungen können durch Risikoportfolios oder Risikolandkarten (Risk-Map) ergänzt werden. Mit den folgenden Vorlagen können Sie passende Risikoportfolios erstellen und visualisieren.
Erstellen Sie daraus dann:
- ein Risikoportfolio oder eine Risikolandkarte für die schnelle Übersicht und das Monitoring sowie
- ein Berichtssystem mit allen und ausführlichen Informationen zu allen relevanten Einzelrisiken, gegebenenfalls getrennt nach Geschäftsbereichen.
Risiken einzugehen, ist immer ein wesentlicher Teil unternehmerischer Entscheidungen. Um die Folgen und Schäden zu begrenzen, gibt es unterschiedliche Risikostrategien. Welche Merkmale diese haben, lesen Sie im folgenden Abschnitt dieses Handbuch-Kapitels.