Risikosteuerung und Risikokontrolle/-berichterstattung

Wie bereits im Teil 2 – „Mit Risikomanagement immer auf Kurs“ hervorgehoben, sind seit dem 01.01.21 Unternehmen, resultierend aus der Verschärfung des Unternehmensstabilisierungs- und -restrukturierungsgesetzes (StaRUG), verpflichtet, das Risikomanagement bzw. ein Risikenfrüherkennungssystem zu implementieren und in ihr Handeln zu integrieren. Die Corona-Krise zeigt auf, dass durch die spät erkannten materialisierten Risiken und plötzlich aufgetretenen wirtschaftlichen Herausforderungen für ein Unternehmen, ein gelebtes und funktionierendes Risikenfrüherkennungssystem an Wichtigkeit mehr und mehr zunimmt.

Aufbauend auf Teil 2 unserer Blog Serie – „Mit Risikomanagement immer auf Kurs“, mit den Schwerpunkten Risikobewertung und Risikoaggregation, gehen wir im Teil 3 auf die Risikosteuerung, die Risikokontrolle sowie deren Berichterstattung innerhalb des Risikomanagements ein.

Risikosteuerung

Primär ist sicherzustellen, dass die Risikotragfähigkeit größer ist als der Risikoumfang und die eingeschätzte Risikosituation mit den verbundenen Chancen in Relation steht. Risiken sollten nur eingegangen werden, wenn angemessene Ertragspotenziale gegenübergestellt werden können. Bei einem negativen Chancen-Risiko-Verhältnis der Risikozielvorstellungen des Unternehmens, wird mittels der Risikosteuerung eingegriffen und es wird angestrebt die geplante Soll-Risikosituation zu erreichen (z.B. Abschluss von Versicherungen etc.). Dabei wird das ursprüngliche Bruttorisiko auf ein angemessenes Maß reduziert.

Die Risikosteuerung kann in drei Teilbereiche untergliedert werden:

  • Risikovermeidung,
  • Risikoverminderung und
  • Risikotransfer

Durch eine Risikovermeidung wird ein Verzicht von bestimmten Risiken (prospektiv), bei unverhältnismäßig hohen Risikopotenzialen erreicht. Die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß wird aus Sicht des Unternehmens auf null reduziert.

Die Risikoverminderung ermöglicht die Reduktion des gesamten Risikogehaltes durch Beeinflussung der Risikostruktur. Durch geeignete Maßnahmen wird auf die Eintrittswahrscheinlichkeit und/oder das Schadenausmaß eines Risikos eingewirkt.

Ein Risikotransfer hat die Übertragung von Risiken an Dritte als Hintergrund. Das ursprüngliche Risiko bleibt bestehen, wird jedoch nicht mehr allein getragen (z.B.: die (Rück-) Versicherung, Transfer auf den Kapitalmarkt, Kunden oder Lieferanten, Outsourcing von Funktionen oder Bereichen etc.).

Nicht identifizierte Risiken können nicht bewusst gesteuert werden. Sie werden jedoch unbewusst durch die Etablierung allgemeiner Steuerungsmaßnahmen vermindert.

Das Netto-Risiko (verbleibende Restrisiko), nach der Anwendung von Risikosteuerungsmaßnahmen, wird vom Unternehmen getragen.

Risikokontrolle

Die Risikokontrolle ist ein Resümee und steuerndes Element des Risikomanagementprozesses. Sie dient der Beurteilung von Effizienz und Wirksamkeit des Risikomanagements sowie zur Feststellung möglicher Verbesserungspotenziale (Dokumentation, Berichterstattung).

Risikoberichterstattung

Die Risikoberichterstattung berichtet über das Risikoprofil des Unternehmens, überwacht und stellt sicher, dass identifizierte und bewertete Risiken den (internen und externen) Zielgruppen mitgeteilt werden. Sie ermöglicht es den im Risikomanagementprozess eingebunden Parteien ihrer Überwachungs- oder Entscheidungsfunktion nachzukommen.

  • Eine interne Berichterstattung beinhaltet eine Abstimmung des Risikoberichts mit den Unternehmensbereichen und wird dem Vorstand, den Schlüsselfunktionen und dem Aufsichtsrat in regelmäßigen Abständen oder ad-hoc zur Verfügung gestellt. Somit wird sichergestellt, dass alle wichtigen Informationen zur Risikosituation kommuniziert werden.
  • Bei einer externen Berichterstattung wird in handelsrechtliche und aufsichtsrechtliche Berichterstattung unterschieden.