RisikomanagementRisiken dokumentieren und berichten

Mit der Dokumentation und dem Reporting trägt das Risikomanagement die Ergebnisse und Erkenntnisse seiner Arbeit ins Unternehmen. Das Management und die Fachbereiche können dadurch ihre Entscheidungen und Aktivitäten darauf ausrichten, Schaden zu vermeiden – ohne Chancen ungenutzt zu lassen.

Risikoberichte als Entscheidungsgrundlage

Wenn die Risiken identifiziert und bewertet sind, werden sie für Entscheider aufbereitet. Die Dokumentation und Berichterstattung ist Aufgabe des Risikomanagements. Es muss regelmäßig alle interessierten und betroffenen Mitarbeiter des Unternehmens über die Risikopositionen und Risikobewertungen informieren und alle Hintergründe dazu zugänglich machen. Insbesondere das Top-Management muss jederzeit über die Risiken und ihre Entwicklung informiert sein.

Die Berichterstattung muss unterschiedliche Anforderungen erfüllen:

Risikoberichte für Mitarbeiter

Die unmittelbar mit dem Risikomanagement befassten Mitarbeiter müssen täglich wissen, wie sich die Risikosituation darstellt. Sie blicken auf die relevanten Kennzahlen und erhalten sofort Nachricht, wenn sich Veränderungen ergeben. Die Mitarbeiter stoßen gegebenenfalls notwendige Sofortmaßnahmen an, um Schaden zu begrenzen oder Risiken zu begegnen.

Risikoberichte für das Management

Das Management überprüft monatlich die Risikostrategie: Welche Risiken bestehen? In welche Risikoklasse sind diese eingeordnet? Welche Entwicklungsverläufe für Risiken lassen sich erkennen? Ist das Unternehmen ausreichend darauf vorbereitet? Welche Strategien zum Risikomanagement werden verfolgt? Welche Aktivitäten oder Projekte sind erforderlich?

Risikoberichte für das Top-Management

Das Top-Management überprüft halbjährlich, ob das Risikomanagementsystem insgesamt den Anforderungen genügt. Es überprüft den Risikokatalog, die Risikostrategie sowie die geplanten und eingeleiteten Maßnahmen und Projekte, ob diese der Leitlinie zum Risikomanagement entsprechen und mit der Unternehmensstrategie vereinbar sind. Es entscheidet über Änderungen im Risikomanagement.

Ob diese Aufgaben täglich, monatlich oder halbjährlich (wie hier vorgeschlagen) durchgeführt werden müssen, hängt vom einzelnen Unternehmen und den relevanten Risikopositionen ab.

Darstellungsformen der Risiken

Eine einfache und übersichtliche Darstellung über die Risiken liefert das Risikoportfolio. Hier sind die beiden wichtigen Bewertungskriterien Eintrittswahrscheinlichkeit und Schadensausmaß der einzelnen Risiken unmittelbar erfasst und abgebildet. Es bietet Entscheidern eine erste Orientierung.

Die Dokumentation und die Berichte oder Reports sollten alle weiterführenden Informationen enthalten, die Bedeutung, Folgen und Handlungsoptionen für das einzelne Risiko erläutern und belegen. Diese können in einem Risikokatalog oder Risikohandbuch zusammengeführt sein. Wichtig ist, Veränderungen regelmäßig sichtbar zu machen. Dabei können die Informationen nach Geschäftsbereichen des Unternehmens weiter unterteilt werden.

Ergänzend zum Risikokatalog, in dem alle relevanten Risiken gemeinsam erfasst sind, kann es Berichte, Studien und Auswertungen zu einzelnen Risiken oder wichtigen Einflussfaktoren geben. Diese werden für jedes Risiko gesondert dokumentiert. Beispielsweise kann für einzelne Risiken ein Worst-Case-Szenario erstellt werden, das dem Risikokatalog als Anhang beigefügt wird. Manche Unternehmen lassen auch Gutachten zu einzelnen Risiken von externen Experten erstellen.

Dokumentation der Risiken als Teil der rechtlichen Absicherung

Die Dokumentation der Risiken ist auch aus rechtlicher Sicht notwendig. Damit weisen das Unternehmen und die verantwortlichen Manager nach, was sie im Einzelnen im Rahmen des Risikomanagements unternehmen. Wenn es zu einem Schadensfall kommt und rechtliche Auseinandersetzungen mit Privatpersonen, anderen Unternehmen oder Behörden folgen, kann das Management seine Aktivitäten umfassend nachweisen. Deshalb sollte die Dokumentation Informationen beinhalten zu den Aspekten:

  • Methode der Risikoidentifizierung (Risikoerfassungsbogen)
  • verwendete Methoden zur Erfassung und Bewertung von Risiken
  • Übersicht über genutzte Quellen
  • Organisation des Risikomanagements im Unternehmen: Wer trägt welche Verantwortung? Wer hat welche Aufgaben? Welche Prozesse sind im Unternehmen implementiert?

Diese Informationen dienen dem Nachweis, dass Geschäftsführung oder Vorstand ihren Organisations- und Überwachungspflichten nachkommen.

Praxis

Klären Sie zunächst: Wie funktioniert in Ihrem Unternehmen das Berichtssystem für Risiken? Wer gibt welche Informationen wann wohin weiter, wenn es um Risiken, Gefahren oder Bedrohungen für Ihr Unternehmen geht und wenn es darum geht, negative Folgen und Schaden zu vermeiden oder zu begrenzen?

Halten Sie dann fest, wie das Risikomanagement die Risiken für die Fachabteilungen aufbereitet und weiterträgt. Das betrifft:

  • Inhalte: Worüber soll in einem Risiko-Report berichtet werden? Was soll dargestellt werden?
  • Struktur: In welcher Form werden die Informationen weitergegeben? Wie werden die Informationen aufbereitet und vermittelt?

Eine Variante ist es, die Risiken, mögliche Folgen, Eintrittswahrscheinlichkeit und das mögliche Schadensmaß in Form einer Tabelle zu pflegen und an die Fachbereiche und Entscheider weiterzugeben. Dazu können:

  • Risikoberichte halbjährlich erstellt oder aktualisiert werden,
  • spezielle Risiken, die neu auftauchen, sofort und über ein „Alarmsystem“ an alle betroffenen Fachbereiche und an die Entscheider weitergegeben werden.

Es ist Aufgabe der Geschäftsleitung, die Prozesse des Risikomanagements und der Berichterstattung zu planen und die genaue Form der Risiko-Dokumentation festzulegen.

Nutzen Sie die folgende Vorlage als Beispiel dafür, wie mögliche Risiken in Ihrem Unternehmen benannt, bewertet und erläutert werden können. Alle relevanten Risiken können in dieser Form einzeln dargestellt werden.

Die Zusammenfassung aller dieser Risikobeschreibungen kann als Bericht oder Report dienen. Die folgende Vorlage gibt dafür eine Übersicht. Sie wird der Dokumentation der einzelnen Risiken vorangestellt.

Diese Beschreibungen können durch Risikoportfolios oder Risikolandklarten (Risk-Map) ergänzt werden. Mit den folgenden Vorlagen können Sie passende Risikoportfolios erstellen und visualisieren.

Erstellen Sie daraus dann:

  • ein Risikoportfolio oder eine Risikolandkarte für die schnelle Übersicht und das Monitoring sowie
  • ein Berichtssystem mit allen und ausführlichen Informationen zu allen relevanten Einzelrisiken, gegebenenfalls getrennt nach Geschäftsbereichen.

Risiken einzugehen ist immer ein wesentlicher Teil unternehmerischer Entscheidungen. Um die Folgen und Schäden zu begrenzen, gibt es unterschiedliche Risikostrategien. Welche Merkmale diese haben, lesen Sie im folgenden Abschnitt dieses Handbuch-Kapitels.