Aufbau eines Risikoberichtswesens
Zur Verbesserung der Information der Unternehmensleitung hat diese im Rahmen ihrer Organisationsgewalt sicherzustellen, dass ihr alle relevanten Risiken des Unternehmens im Rahmen einer regelmäßigen Berichterstattung zur Kenntnis gelangen. Ein Risikoberichtswesen mit definierten Schwellenwerten für jede Stufe der Risikokommunikation ist zu installieren. Die Definition der Berichtsinhalte für das Risikoberichtswesen muss sich an den Informationsbedürfnissen ihrer Berichtsadressaten ausrichten.
Risikoberichtsblätter als Detailbericht
Die Risikoberichtsblätter (s. Abb. 12) zeigen - als Kommunikationsinstrument das Ergebnis der Risikoidentifikation und -bewertung in einer Kombination aus tabellarischer, grafischer und verbaler Darstellung - die Risiken jeweils zu einem Berichtszeitpunkt.
Abb. 12: Prinzipskizze für einen Risikobericht
Risikoberichtsblätter kontinuierlich aktualisieren
Wichtig ist, dass die Risikoberichtsblätter im Zeitablauf aktualisiert werden (z. B. einmal jährlich eine umfassende Risikoinventur; monatliche Aktualisierung der Bewertung bei bestandsgefährdenden Risiken), d. h., neue oder sich ändernde Risiken müssen erfasst, fortgeschrieben und kommuniziert werden. Nur auf diese Weise können Steuerungsmaßnahmen zeitnah ergriffen werden. Durch die permanente Fortschreibung wird sich die Reaktionsgeschwindigkeit des Unternehmens auf neue Risikosituationen erhöhen und zur Schadensbegrenzung beitragen.
Unterschiedliche Typen von Risikoberichten
Aus diesem Grund ist es sinnvoller, einen "großen" Risikobericht z. B. nur einmal jährlich zu erstellen, der alle Risiken beschreibt, deren Eintrittswahrscheinlichkeit und Auswirkung auf das Unternehmen enthält und Maßnahmen der Risikosteuerung zeigt.
Die wesentlichen Veränderungen bei den Risiken und Maßnahmen zur Risikosteuerung sollten in einem "kleinen" Risikobericht z. B. alle drei Monate berichtet werden. Für die laufende operative Steuerung und Überwachung von Risiken werden in einem monatlichen Bericht die Risikofrühwarnindikatoren sowie die operativen Steuerungs- und Überwachungsmaßnahmen gezeigt. Der Bericht sollte neben einer Beschreibung der Störungen auch die erwarteten Kosten für die Steuerungs- und Überwachungsmaßnahmen beinhalten (s. Abb. 13).
Abb. 13: Unterschiedliche Berichtstypen für Risikoberichte
Kennzahlen definieren ist eigenes Projekt
Die Definition der Kennzahlen für einen monatlichen Risikobericht stellt erfahrungsgemäß die größte Herausforderung dar und wird in der Praxis regelmäßig auch als eigenständiges Projekt angegangen.
Festlegung von Berichtszyklen
Neben den regelmäßigen Berichten muss das Risikoberichtswesen so flexibel gestaltet sein, dass bei Eilbedürftigkeit (z. B. neu auftretende, wesentliche Risiken) umgehend – unter Umgehung förmlicher Berichtsstrukturen, institutionalisierter Kommunikationswege und Periodizitäten der Berichterstattung – Sofortmeldungen an die zuständigen Entscheidungsträger gelangen (Ad-hoc-Berichterstattung).
Risikobetrachtungen in Reportingprozess integrieren
Um den Aufbau eines eigenständigen Risikoberichtswesens – zusätzliche Berichtswege, Berichtszeitpunkte und Berichtsadressaten – möglichst zu vermeiden, ist das Ziel die Integration von Risikobetrachtungen in den laufenden Reportingprozess.
Ziel ist ein Risikofrüherkennungssystem
Die gesetzlichen Anforderungen werden nicht mit einem Berichtswesen erfüllt, das lediglich ex post über eingetretene Risiken informiert, vielmehr muss das bestehende Berichtswesen zu einem Risikofrüherkennungssystem ausgebaut werden. Hierin besteht in der Praxis die größte Herausforderung für den Risiko-Controller. Mit einem Risikofrüherkennungssystem wird den Entscheidungsträgern ein Instrument an die Hand gegeben, das ihnen anhand relevanter Messgrößen zeitnah zuverlässige und eindeutige Informationen über die aktuelle und zukünftige Risikosituation im Unternehmen und damit Risikotransparenz verschaffen soll.