Die ultimative Fibel für eine effektive Risikoberichterstattung

Ein Mechanismus, der sicherstellt, dass die Unternehmensleitung, die Geschäftsmanager und andere Beteiligte risikobasierte Entscheidungen treffen und ihren Aufsichtspflichten nachkommen

Am Ende des Tages sollte der ERM-Prozess als ein Zyklus oder eine Rückkopplungsschleife betrachtet werden… was bedeutet, dass es nie einen endgültigen Endpunkt gibt.

Es ist wie mit den vier Jahreszeiten – es gibt nie einen Endpunkt, sondern nur eine kontinuierliche Schleife über das Jahr hinweg. Der Herbst geht in den Winter über, der Winter in den Frühling, der Frühling in den Sommer und wieder zurück in den Herbst, und der Zyklus geht weiter, wie er es seit Äonen tut.

In früheren Artikeln habe ich andere Punkte entlang der ERM-Schleife wie Risikoidentifizierung, -bewertung und -analyse sowie Prozessentwicklung besprochen.

In diesem Artikel werde ich mich mit dem letzten Punkt in diesem Kreislauf befassen – der Risikoberichterstattung.

Bevor ich fortfahre, möchte ich erklären, dass dieser Leitfaden nicht unbedingt darauf eingeht, wie Sie in Ihrem Unternehmen Risikoberichte erstellen sollten. Wie Sie in den folgenden Abschnitten sehen werden, gibt es viele organisations- und personenspezifische Faktoren, die für eine effektive Risikoberichterstattung ausschlaggebend sind.

Während im Folgenden einige Beispiele angeführt werden, konzentriert sich dieser Artikel auf die Elemente eines soliden Risikoberichts und auf Überlegungen, die davon abhängen, für wen Ihr Bericht bzw. Ihre Berichte bestimmt sind.

Zunächst möchte ich Ihnen eine Definition geben…

Was ist Risikoberichterstattung und warum ist sie wichtig?

Da die Risikoberichterstattung von Organisation zu Organisation sehr unterschiedlich sein kann, ist eine genaue Definition schwer zu finden. Das COSO ERM Framework (2017) sagt jedoch Folgendes über die Risikoberichterstattung:

Die Berichterstattung unterstützt Mitarbeiter auf allen Ebenen dabei, die Beziehungen zwischen Risiko, Kultur und Leistung zu verstehen und die Entscheidungsfindung bei der Strategie- und Zielsetzung, der Governance und dem Tagesgeschäft zu verbessern.

Und wie Norman Marks in seinem Buch World-Class Risk Management erklärt (…eine Quelle, auf die ich in diesem Artikel noch näher eingehen werde), sollte das Management von Risiken ein wesentlicher Bestandteil des täglichen Managements und der Entscheidungsfindung in einer Organisation sein. Es ist jedoch wichtig, dass die Geschäftsleitung und der Vorstand in regelmäßigen Abständen eine Bestandsaufnahme vornehmen. Auf diese Weise wissen der Vorstand und die Geschäftsleitung, dass die Organisation auf dem richtigen Weg ist, ihre Ziele zu erreichen.

Neben der Bestandsaufnahme ist die Risikoberichterstattung auch aus rechtlicher Sicht wichtig. In der Vergangenheit musste ein Verwaltungsrat nicht unbedingt von einem Risiko wissen, aber heute kann er sich nicht mehr darauf berufen, dass er von einem Risiko, das sich zu einem großen Problem entwickelt hat, einfach nichts gewusst hat. Verwaltungsratsmitglieder haben die Pflicht, die Risiken zu verstehen, mit denen ein Unternehmen konfrontiert ist, und sicherzustellen, dass die Geschäftsleitung diese Risiken in angemessener Weise angeht.

Trotz der Bedeutung der Risikoberichterstattung ist der Grad der Zufriedenheit mit „… der Art und dem Umfang der internen Berichterstattung über wichtige Risikoindikatoren, die für die Überwachung neu auftretender Risiken durch leitende Angestellte nützlich sein könnten“, laut dem Bericht „2018 State of Risk Oversight“ der NC State University eher gering. Mehr als 40 % der Befragten geben an, dass sie mit der Qualität der Berichterstattung, die sie von ihren Risikoverantwortlichen erhalten, „überhaupt nicht“ oder „minimal“ zufrieden sind.

Warum ist das so?

Zwei Hauptgründe (keine Sorge – ich werde später ausführlicher auf sie eingehen):

1. Der Bericht spricht nicht die richtige Zielgruppe an.

Da der Hintergrund der beabsichtigten Empfänger oder ihr Wissen über ERM nicht verstanden wird, sind Risikoberichte entweder überwältigend (zu detailliert) oder so hochrangig, dass sie keine wirklichen Informationen liefern.

2. Der Bericht ist eine Dokumentationsübung ohne Einblicke.

Ein Bericht, der lediglich eine Liste von Risiken ohne Echtzeiteinblicke und Perspektiven zur Erreichung kritischer Ziele liefert, bedeutet im Wesentlichen, dass der Risikobericht ein hübsches Bild ist, das dokumentiert, was die Leute bereits wissen. Außerdem sind Risikolisten schnell veraltet, da jede Entscheidung entweder bestehende Risiken verändert oder neue Risiken schafft.

Risikoberichte, die lediglich Risiken auflisten, sind eine von mehreren Möglichkeiten, wie ERM in die gefürchtete „Check-the-box“-Falle tappen kann. Vorstandsmitglieder und Führungskräfte werden in einer solchen Situation den Wert von ERM in Frage stellen.

Ein echter Risikobericht mit Mehrwert bietet Echtzeiteinblicke und -perspektiven zu Risiken für die Ziele. Allerdings kann es in einem formalen Rahmen schwierig sein, zeitnahe Informationen zu erhalten, daher sollten Sie darauf achten, wie viel Zeit für das Sammeln, Zusammenstellen, Analysieren und Berichten der Informationen benötigt wird. Organisationen mit robusteren ERM-Prozessen nutzen die Risikoberichterstattung als Sprungbrett für weitere Diskussionen über Strategie, Risikominderung und mehr.

Allgemeine Tipps zur Risikoberichterstattung

Vorhin habe ich kurz erwähnt, dass die Anforderungen an einen Risikobericht je nach Zielgruppe variieren. Es gibt jedoch einige allgemeine Tipps zur Risikoberichterstattung, die sicherstellen, dass Ihre Risikoberichte umsetzbar und leicht zu konsumieren sind. Zu diesen Tipps gehören:

  • Berichtsstruktur – Wie auch immer Sie in Ihrer Organisation Risikoberichte entwickeln, sie müssen in erster Linie intuitiv sein. Sie sollten dem Publikum nicht beibringen müssen, wie man den Bericht liest und wie man darauf reagiert. Wenn Sie dies tun, ist der Bericht zu komplex und/oder zu verwirrend. Berücksichtigen Sie auch den Hintergrund der Endnutzer – wie viel wissen sie über Risikomanagementpraktiken in Unternehmen? Haben sie eher einen geschäftlichen, technischen oder juristischen Hintergrund?
  • Risikoterminologie – Ein Grund, warum viele Unternehmen mit der Risikoberichterstattung Schwierigkeiten haben, ist die in den Berichten verwendete Sprache. Wie ich hier erkläre, ist es für ERM-Fachleute wichtig, eine Sprache zu verwenden, die mit dem Unternehmen übereinstimmt, anstatt technische Begriffe zu verwenden, die nur einige wenige verstehen werden. Die meisten Benutzer von Risikoberichten werden die Feinheiten der Risikobewertung und anderer Messungen nicht verstehen, daher muss dies berücksichtigt werden.
  • Berichte müssen umsetzbar sein – Eine der häufigsten Beschwerden über Risikoberichte ist, dass sie einfach eine Liste von Risiken ohne weitere Analyse liefern. Wie Norman Marks erklärt, ist eine Liste von Risiken für das Risikomanagement nützlich, aber was die Nutzer des Berichts, insbesondere die Entscheidungsträger, brauchen, ist ein kumulatives Verständnis der Risiken und ihrer Auswirkungen auf die Ziele, nicht eine Einzelanalyse. Denken Sie mehr über die Ursache(n) des Risikos nach, über die Auswirkungen auf die Geschäftsziele, darüber, wie weit das Risiko in der gesamten Organisation verbreitet ist, ob es Spielraum für ein höheres Risiko gibt und ob es Chancen für die Organisation gibt, wenn dieses Risiko eintritt.

Hinweis: Die Risikoaggregation ist eine fortgeschrittene Methode, um zu verstehen, wie sich mehrere Risiken kumulativ auf die Ziele auswirken, aber da die meisten Praktiken wahrscheinlich eine fortgeschrittene Computermodellierung beinhalten, sollte die Risikoaggregation keine Priorität haben, bis Sie den Prozess der Risikoberichterstattung für Ihre Organisation festgeschrieben haben.

Diese allgemeinen Tipps zur Risikoberichterstattung gelten unabhängig von der Zielgruppe. Letzten Endes geht es um Klarheit…alle Text- oder Bildelemente in Risikoberichten müssen so klar sein, dass der Benutzer sie verstehen kann, ohne zu viel nachdenken zu müssen, und dann in der Lage ist, auf der Grundlage dieser Informationen schnell Entscheidungen zu treffen.

4 Risikoberichtszielgruppen – Was Berichte enthalten sollten

Der wichtigste Faktor bei der Gestaltung von Risikoberichten hängt davon ab, wer der Endbenutzer ist. Ein Risikobericht für ein Gremium auf Vorstandsebene wird ganz anders aussehen als ein Bericht für einen Risikoverantwortlichen.

Die Risikoberichterstattung für den Vorstand wird beispielsweise eher „ganzheitlich“ sein und sich auf die Risiken für das Erreichen der Unternehmensziele konzentrieren. Die Struktur und der Detaillierungsgrad der Risikoberichte werden allmählich granularer oder konzentrieren sich auf spezifische Risiken, je weiter man auf der Organisationsleiter nach unten geht. Und Risikoberichte für Aufsichtsbehörden haben eine Vielzahl von Erwägungen, die sich von denen für interne Verbraucher unterscheiden.

Lesen Sie weiter, um mehr über diese vier Zielgruppen und ihre Anforderungen an Risikoberichte zu erfahren.

Vorstand und Risikoausschuss auf Vorstandsebene

Kurz gesagt, der Vorstand oder ein Risikoausschuss auf Vorstandsebene benötigt einen leistungsbezogenen Bericht, der sich auf die Erreichung der Ziele konzentriert. Die Aufgaben des Vorstands oder des Risikoausschusses auf Vorstandsebene werden häufig an den Prüfungsausschuss delegiert.

Was erwartet der Vorstand von einem Risikobericht? Die Gewissheit, dass der CEO und andere Führungskräfte die Risiken für die Ziele verstehen und angemessene Maßnahmen ergreifen, um diese Risiken anzugehen.

Warum? Damit der Vorstand über die Informationen verfügt, die er benötigt, um die Risiken für die Erreichung der Ziele zu verstehen und seine Aufsichtspflichten zu erfüllen.

Was? Dieser Bericht ist sehr allgemein gehalten und soll zu weiteren Diskussionen über das weitere Vorgehen anregen, sei es in Form von Abhilfemaßnahmen oder einer Änderung der Strategie.

Die meisten Organisationen erstellen mindestens einmal jährlich einen vollständigen Bericht, aber dieser Zeitrahmen bedeutet, dass die Informationen unmittelbar vor diesem Bericht aktualisiert werden müssen. (Andernfalls sind Informationen, die 6 Monate alt sind, nutzlos.)

Die Teilnehmer an einer Umfrage des NC State hatten einen gemeinsamen Nenner, was ihre Berichte betraf. Der Großteil der in den Berichten enthaltenen Informationen war textbasiert, wobei grafische/visuelle Elemente wie Diagramme oder Heatmaps eine unterstützende Rolle spielten. Visuelle Elemente spielen eine wichtige Rolle, wenn es darum geht, kritische Fragen zu formulieren und den Grad der Gefährdung durch die wichtigsten Risiken aufzuzeigen.

Hier sind einige Beispiele für Heatmaps aus einem früheren Projekt. Obwohl ich dieses Beispiel anführe, gibt es Einschränkungen bei Heatmaps, die ich in einem zukünftigen Beitrag erörtern möchte…

Die große Mehrheit der Befragten erklärt auch, dass sie in ihren Präsentationen auf Vorstandsebene nur über die 10 bis 15 größten Risiken für das Unternehmen berichten.

Ich kann es nicht oft genug betonen: Diese Berichte an den Vorstand sollten allgemein gehalten sein und nur die Top-Risiken enthalten.

In einigen Fällen kann der Vorstand vierteljährlich oder sogar monatlich ein Follow-up oder einen „Deep Dive“ zu besonders besorgniserregenden Risiken verlangen, wenn das Risiko bedeutend genug ist. Wenn das Risiko wirklich in der gesamten Organisation verankert ist, liegt diese Verantwortung bei den Geschäftsfunktionen des Unternehmens. Wenn IT-, Marketing-, Finanz-, Rechts- oder HR-Führungskräfte dem Vorstand Bericht erstatten, sollten sie die Führung bei der Berichterstattung über die wichtigsten Risiken und ihre Einschätzung dieser Risiken übernehmen.

Andererseits werden Risiko- und/oder Prüfungsausschüsse auf Vorstandsebene vollständige Berichte des Risikomanagementteams erwarten, da dies in vielen Fällen die Foren sind, in denen detaillierte Diskussionen über den weiteren Weg stattfinden. Ein solcher Ausschuss übernimmt auch die Aufsichtsfunktion für das Risikomanagement.

Besehen wir uns als Beispiel Southwest Airlines. Die Risikoberichte für den Vorstand von Southwest haben 4 Informationsebenen:

  1. Ermitteln Sie die größten Risiken
  2. Beschreiben Sie alle Aktionspläne für diese Risiken (vergangene, gegenwärtige,
  3. Listen Sie „akzeptierte“ Risiken auf, die außerhalb der Kontrolle der Organisation liegen
  4. Beschreiben Sie die Auswirkungen, die diese großen Risiken auf die Erreichung der Ziele haben könnten

Senior Management

Führungskräfte wie der CEO und andere werden viele der gleichen Anforderungen an Risikoberichte haben wie der Vorstand. In diesem Fall müssen die Berichte jedoch etwas detaillierter sein, aber nicht so detailliert, dass die Führungskräfte beim Lesen überfordert sind.

Die Führungskräfte verlassen sich darauf, dass die ERM-Mitarbeiter die Risiken zusammen mit den Risikoverantwortlichen prüfen und sie nach den verfügbaren Informationen priorisieren. Die ERM-Mitarbeiter stellen den Führungskräften dann eine kurze Liste von Risiken zur Verfügung und geben ihnen Hinweise für die zu treffenden Entscheidungen. In diesen Berichten werden Komponenten der Risikoinformationen wie Kategorie, Auswirkung/Wahrscheinlichkeit, Geschwindigkeit und bisherige Abhilfemaßnahmen erörtert.

Risikoberichte an die Geschäftsleitung müssen auch mehr als die oben erwähnten 10-15 Einzelrisiken der obersten Kategorie abdecken. Damit das Management seine Verantwortung wahrnehmen kann, muss es das Gesamtrisiko für ein Ziel verstehen. Einzeln betrachtet mag ein Risiko keine große Sache sein, aber wenn es „aggregiert“ wird, könnte es eine große rote Flagge darstellen.

(Es ist wichtig zu beachten, dass echte „Aggregation“ ein sehr fortgeschrittenes Thema ist, das nicht versucht werden sollte, während noch ein ERM-Prozess in Ihrer Organisation entwickelt wird.)

ERM kann auch Handlungsschritte zur Risikominderung oder zur Änderung der Strategie auf der Grundlage von Beobachtungen und allgemeinem Wissen empfehlen.

Letztendlich liegt es in der Verantwortung des Managements, dafür zu sorgen, dass geeignete Kontrollen und andere risikobezogene Aktivitäten vorhanden sind.

Ein Risiko-Dashboard ist ein Instrument, das Führungskräfte in ausgereiften ERM-Programmen verwenden, um die Informationen zu erhalten, die sie zur Erfüllung ihrer Aufgaben benötigen. Die Erstellung eines Risiko-Dashboards kann manuell mit Excel (oder einem ähnlichen Tool) erfolgen, dies ist jedoch eine der Hauptanwendungen von Risikosoftware. Die ERM-Software, für die es zahlreiche Optionen gibt, enthält Indikatoren für den Status der wichtigsten Risiken, Abhängigkeiten, Auswirkungen und den Umgang mit ihnen. Mit einem kurzen Blick kann die Führungskraft den Risikoverantwortlichen sowie ein zusammenfassendes Diagramm mit den wichtigsten Risiken, anderen wichtigen Risikoindikatoren usw. sehen.

Visuelle Tools wie ein Dashboard, das auch in Berichte auf Vorstandsebene aufgenommen werden kann, sind eine großartige Möglichkeit für Ihr Publikum, Daten schnell zu verstehen.

Beispiel für ein Risiko-Dashboard mit freundlicher Genehmigung der NC State University

Ein Wort der Vorsicht: Wie von Norman Marks, COSO, mir selbst und anderen Vordenkern im Bereich Risiko erörtert, sollten sich Unternehmen zunächst auf die Einführung und Verfeinerung ihrer Prozesse konzentrieren, bevor sie sich auf eine technologische Lösung stürzen. Ein Tool sollte den Risikoprozess in einer Organisation nicht diktieren. Stattdessen sollte eine Organisation ihren Prozess mindestens ein Jahr lang einrichten und verfeinern und dann ein Tool finden, das diesen Prozess unterstützt. Schließlich sollte die Software ein rationelleres Risikomanagement in der gesamten Organisation unterstützen.

Es gibt noch eine andere Möglichkeit der Berichterstattung. Das ist die „informelle“ Berichterstattung. Wie sieht die informelle Risikoberichterstattung aus? Unternehmen mit einem soliden ERM-Prozess, der im gesamten Unternehmen verankert ist und von den Führungskräften gut angenommen wird, werden die Sichtweise von Risikofachleuten einholen. Die abrufbaren Erkenntnisse, Meinungen und Perspektiven des Risikoteams sind es, die den wahren Wert des ERM ausmachen.

Risikoeigentümer

Die letzte interne Zielgruppe für die Risikoberichterstattung sind die mittleren Führungskräfte und andere Mitarbeiter an der Front, die tatsächlich für die Risiken verantwortlich sind, d.h. die Personen, die für die Überwachung und Umsetzung der von der oberen Führungsebene vorgeschriebenen Risikominderungsmaßnahmen zuständig sind.

Obwohl Berichte auf jeder Ebene umsetzbare Informationen liefern müssen, ist dies für Berichte an Risikoeigentümer besonders wichtig.

Diese Berichte werden auch den höchsten Detaillierungsgrad in Bezug auf das Risiko, einschließlich der wichtigsten Risikoindikatoren, aufweisen. Die Berichte an die Risikoverantwortlichen konzentrieren sich auf die Leistungskennzahlen und enthalten die aktuellsten Informationen über die Bewertung aller Risiken, für die der jeweilige Verantwortliche zuständig ist. Dies mag auf den ersten Blick überwältigend erscheinen, aber es liegt in Ihrer Verantwortung, in Ihren Berichten sowohl prägnant als auch präzise zu sein. Denken Sie daran, eine Kombination aus Text und visuellen Elementen zu verwenden.

Ein Beispiel für ein gutes visuelles Element für Risikoeigentümerberichte ist ein Radardiagramm (erhältlich in Excel), das die Ergebnisse der Risikobewertung mit den Risikotoleranzstufen vergleicht.

Ein wesentlicher Unterschied zu anderen Berichten besteht darin, dass die Risikoeigentümer die Informationen in ihren Berichten nicht dazu verwenden, eine Strategie zu entwickeln oder zu ändern, sondern um das Tagesgeschäft der Organisation zu planen und zu budgetieren.

Wie bei den Berichten für den Vorstand und die leitenden Angestellten muss das Format auf den beruflichen Hintergrund und das ERM-Wissen des Endnutzers zugeschnitten werden.

Regulierungsbehörden

Als letzte Zielgruppe für die Risikoberichterstattung sind alle relevanten Regulierungsbehörden zu nennen, die von den Organisationen verlangen, über Risiken zu berichten. Börsennotierte Unternehmen in den USA sind von der Securities and Exchange Commission (SEC) verpflichtet, über die wichtigsten Risiken zu berichten. Ein weiteres Beispiel für eine obligatorische Risikoberichterstattung ist das Own Risk Solvency Assessment (ORSA) für US-Versicherungsunternehmen auf Bundesstaatsebene oder die Solvency-II-Berichterstattung in der Europäischen Union.

Als ehemalige Versicherungsaufsichtsbehörde in meinem Heimatstaat Florida kann ich bestätigen, dass alle Risikoberichte für eine Aufsichtsbehörde ein Gleichgewicht zwischen dem Bedürfnis des Unternehmens, die regulatorischen Anforderungen zu erfüllen, und dem Bedürfnis der Aufsichtsbehörde, die Risiken des Unternehmens zu verstehen, herstellen müssen. Natürlich muss das Versicherungsunternehmen die Risiken offenlegen, ohne dabei zu sehr ins Detail zu gehen, was zu einer genaueren Prüfung durch die Aufsichtsbehörden führen kann.

Zum gegenwärtigen Zeitpunkt ist auch unklar, wie gut die Aufsichtsbehörden die Unternehmensrisiken wirklich verstehen und daher in der Lage sind, die Informationen zu verdauen und tiefgreifende Fragen zum Bericht zu stellen.

Der Bericht der SEC, der als 10-k bekannt ist, sucht nicht nach einer Liste von Risiken mit detaillierten Bewertungsinformationen, sondern eher nach einer Darstellung der großen Risiken für das Unternehmen.

In diesem Fall ist es am besten, sich die Berichte anderer Unternehmen wie den von Walmart anzuschauen, um zu verstehen, was in einen 10-k-Bericht aufgenommen werden sollte, wenn Ihr Unternehmen einen vorlegen muss.

Abschließend…

Ich möchte noch einmal betonen, dass die Risikoberichterstattung wirklich unternehmensspezifisch ist. Der Inhalt eines Berichts und seine Aufmachung hängen von einer Vielzahl von Faktoren ab, einschließlich der Bedürfnisse der Nutzer, des beruflichen Hintergrunds und der Fähigkeiten des Publikums sowie anderer individueller Faktoren. Das Wissen über die Benutzer von Risikoberichten ist entscheidend, um sicherzustellen, dass die hilfreichsten Berichte zur Erleichterung der weiteren Diskussion über Risiken erstellt werden.

Fühlen Sie sich nicht unter Druck gesetzt, bestimmte Elemente einzubeziehen, vor allem, wenn die Organisation noch nicht bereit dafür ist oder wenn der Risikoprozess diese Elemente noch nicht unterstützt.

Und zu guter Letzt, Sie haben es vielleicht schon erraten… Risikoberichte sind sehr fließend. Denken Sie nicht einen Moment lang, dass die Art und Weise, wie Sie Risikoberichte erstellen, jedes Mal dieselbe sein wird.

Erinnern Sie sich einfach daran, dass der Prozess und das Format für die Risikoberichterstattung in Ihrer Organisation ein sich ständig weiterentwickelnder Prozess ist.

Die Risikoberichterstattung ist ein ziemlich tiefgehendes Thema, aber dieser Leitfaden sollte eine gute Grundlage dafür bieten, was Sie bei der Entwicklung von Berichten in Ihrer Organisation berücksichtigen müssen.

Finden die Vorstandsmitglieder und Führungskräfte in Ihrer Organisation Risikoberichte hilfreich, um Risiken für strategische Ziele anzugehen?

Bieten sie Ihnen als Risikofachmann die Anleitung, die Sie brauchen, um ihnen die richtigen Informationen in einer für sie hilfreichen Art und Weise zur Verfügung zu stellen?

Ich bin an Ihren Gedanken und Erfahrungen zu diesem wichtigen Thema interessiert…kommentieren Sie einfach unten oder beteiligen Sie sich an der Konversation auf LinkedIn, um Ihre Perspektive oder Frage(n) mitzuteilen.

Und wenn Sie Schwierigkeiten haben, prägnante und umsetzbare Risikoberichte für Ihr Unternehmen oder eine Aufsichtsbehörde zu erstellen, besuchen Sie meine Beratungs-Website (Strategic Decision Solutions), um mehr darüber zu erfahren, wie ich Unternehmen dabei helfe, Herausforderungen zu überwinden und langfristigen Erfolg zu gewährleisten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.