Das Verfassen von Berichten über Unternehmensrisiken für leitende Angestellte ist eine der wichtigsten Aufgaben von Chief Compliance Officers. Eine wirksame Risikoberichterstattung ist von grundlegender Bedeutung für ein starkes Compliance-Programm und, offen gesagt, für die Sicherheit der Karriere eines Chief Compliance Officers. Es ist etwas, das jeder Compliance-Fachmann verstehen und gut machen muss.
Lassen Sie uns also heute einen Schritt zurücktreten und die Grundlagen besprechen: Was ist Risikoberichterstattung, und wie erstellt man einen effektiven Risikobericht?
Was ist ein Risikobericht?
Ein Risikobericht vermittelt Informationen über die gegenwärtig dringlichsten Risiken des Unternehmens. In der Regel werden darin kritische Risiken behandelt, deren Folgen für das Unternehmen katastrophal sein könnten, sowie neu auftretende Risiken, die in Zukunft größere Probleme verursachen könnten, wenn sie nicht sorgfältig überwacht werden.
Darüber hinaus sollte der Risikobericht erörtern, wie gut das Unternehmen diese Risiken zum jetzigen Zeitpunkt beherrscht oder nicht. So könnte der Bericht auch Material darüber enthalten, welche Richtlinien unzureichend sind, welche Kontrollen nicht so gut wie erwartet funktionieren oder welche zusätzlichen Schritte notwendig sein könnten, um das Risiko innerhalb der Toleranzgrenzen des Unternehmens zu halten.
Warum die Risikoberichterstattung wichtig ist
Vor allem ist es wichtig, dass die Richtlinien unzureichend sind, denn die Aufgabe des Vorstands ist es, die Wirksamkeit der Risikomanagementsysteme zu überwachen – und das kann der Vorstand (insbesondere der Prüfungsausschuss) nur dann gut tun, wenn er weiß, wie hoch die Risiken des Unternehmens tatsächlich sind. Prüfungsausschüsse, die bei der Überwachung des Risikomanagements nachlässig vorgehen, verletzen ihre gesetzlichen Treuepflichten und können vor Gericht verklagt werden. Daher ist es nicht verwunderlich, dass Prüfungsausschüsse eine kompetente und effektive Risikoberichterstattung wünschen.
Risikoberichte sind auch deshalb wichtig, weil sie dem Vorstand helfen, strategische Ratschläge zu erteilen. So könnte Ihr Risikobericht beispielsweise vor einem hohen Korruptionsrisiko warnen, wenn das Unternehmen in Schwellenländer expandiert. Dieser Bericht könnte den Vorstand dazu veranlassen, zu überdenken, ob eine Expansion sinnvoll ist, oder alternative Preisstrategien oder einen anderen Schritt. Unabhängig davon ist der Risikobericht das Rohmaterial, das der Vorstand verwendet, um diese Entscheidungen abzuwägen.
In der Zwischenzeit wird sich das Managementteam auf die Risikoberichte stützen, um zu verstehen, wie es seine Tätigkeiten ändern muss, um risikobewusster zu handeln. Angenommen, der Vorstand beschließt, dass eine Expansion in Schwellenländer notwendig ist. Die Geschäftsleitung muss dann entscheiden, wie dieses Ziel erreicht werden soll. Ein gründlicher Risikobericht wird den Führungskräften helfen zu verstehen, wie sie die Richtlinien für Geschenke und Bewirtung oder die Anreizvergütung für das Erreichen von Verkaufsquoten oder die Due-Diligence-Systeme für die Untersuchung von Kunden in Übersee aktualisieren müssen.
Eine wirksame Risikoberichterstattung ist auch für die Regulierungsbehörden wichtig. Sollten sie jemals Ihr Unternehmen besuchen, um das Verhalten oder das Compliance-Programm zu überprüfen, und dabei eine schwache Fähigkeit zur Meldung und Erörterung von Risiken vorfinden, kann das nichts Gutes bedeuten. Beachten Sie diesen Abschnitt aus dem U.S. Justizministeriums zur Bewertung von Compliance-Programmen:
Der Ausgangspunkt für die Bewertung eines Staatsanwalts, ob ein Unternehmen über ein gut konzipiertes Compliance-Programm verfügt, besteht darin, das Geschäft des Unternehmens aus wirtschaftlicher Sicht zu verstehen und zu sehen, wie das Unternehmen sein Risikoprofil ermittelt, bewertet und definiert hat…
Ein Unternehmen kann sein Risikoprofil nicht ermitteln, bewerten und definieren, wenn die Führungskräfte nicht darüber sprechen, was diese Risiken sind – und ein Risikobericht ist für diese Diskussion von grundlegender Bedeutung.
Was ein Risikobericht enthalten sollte
Wie bereits erwähnt, sollte Ihr Risikobericht die kritischsten Risiken sowie neu auftretende Risiken ansprechen.
Die für die Einhaltung der Vorschriften Verantwortlichen werden sich naturgemäß auf kritische oder neu auftretende Risiken für die Einhaltung der Vorschriften konzentrieren, und das ist ein guter Ausgangspunkt. Ihr Bericht könnte sich beispielsweise mit den Datenschutzvorschriften befassen, wenn Sie in neue Märkte expandieren, oder mit den Vorschriften für die Auftragsvergabe durch die Regierung, wenn Sie beginnen, sich um öffentliche Aufträge zu bewerben. Compliance-Beauftragte werden sich auch immer Gedanken über die Durchsetzung von Anti-Korruptionsvorschriften machen.
Denken Sie hier weitreichend. Überlegen Sie, wie Veränderungen in den Routineabläufen Ihres Unternehmens die Art der seit langem bestehenden Risiken verändern könnten. Ein neu auftretendes kritisches Risiko könnte zum Beispiel die Verlagerung der Arbeit von zu Hause aus sein, was Ihre Risiken in Bezug auf Betrug, Cybersicherheit und Belästigung radikal verändern könnte, ohne dass sich die Gesetze und Vorschriften, die diese Themen regeln, ändern. Manchmal führt eine Verlagerung der Tätigkeiten dazu, dass die bestehenden Richtlinien und Kontrollen für die bestehenden Risiken unzureichend sind, und dies sollte in einem Risikobericht berücksichtigt werden.
Das Beispiel der Heimarbeit macht auf einen weiteren wichtigen Punkt aufmerksam: Ändern sich externe Bedingungen, die die Annahmen in Ihrem Risikomanagementprogramm in Frage stellen?
Die Verlagerung der Heimarbeit findet beispielsweise aufgrund der COVID-19-Krise statt. In ähnlicher Weise könnten neue handelspolitische Maßnahmen in der ganzen Welt zu Sanktionsrisiken führen; eine Fusion könnte zu kartellrechtlichen Risiken führen. Je breiter Sie mögliche neu auftretende oder kritische Risiken definieren, desto besser können Sie die tatsächlichen neu auftretenden oder kritischen Risiken identifizieren, die in Ihren Bericht aufgenommen werden sollten.
Was ein Risikobericht ansprechen sollte
Jedes Risiko im Bericht sollte eine Diskussion über seine möglichen Auswirkungen enthalten. Das ist es, was leitende Angestellte und Vorstandsmitglieder verstehen wollen, wenn sie entscheiden, wie das Risiko behandelt werden soll.
Wir können „Auswirkungen“ auf verschiedene Weise definieren:
- Finanziell: Geldstrafen als Teil einer behördlichen Durchsetzungsmaßnahme; damit verbundene Personal- oder Ausrüstungskosten für diese Untersuchung (externer Rechtsbeistand, neue Technologie usw.); entgangene Einnahmen oder Gewinne
- Operativ: ob ein Risiko dazu führen könnte, dass Bestände nicht verkauft werden können, Fabriken nicht genutzt werden können, Geschäftsprozesse nicht funktionieren, wenn sie benötigt werden, usw.
- Strategisch: ob ein Risiko bestimmte langfristige Optionen vereiteln könnte, z.B. dass dem Unternehmen zu wenig Barmittel zur Verfügung stehen, um Fusionsziele zu erwerben oder neue Produkte zu entwickeln
- Reputationsrisiko: könnte ein Risiko den Ruf des Unternehmens bei Kunden, Verbrauchern oder Geschäftspartnern schädigen
Nicht jedes Risiko erfordert eine vollständige Erörterung aller oben genannten Punkte, aber die für die Einhaltung der Vorschriften Verantwortlichen sollten zumindest diese Variablen in Betracht ziehen und prüfen, welche davon für das von Ihnen erörterte Risiko am wichtigsten sind.
In dem Bericht sollte untersucht werden, wie das Compliance-Programm versucht, das betreffende Risiko anzugehen. Geben Sie z.B. an, ob die bestehenden Richtlinien und Kontrollen des Unternehmens zu den gewünschten Ergebnissen führen oder welche Schwachstellen in den Kontrollen bestehen, die das Risiko beherrschen sollen. Die Besprechung sollte auch einen Zeitplan für Maßnahmen zur Behebung etwaiger Kontrollschwächen enthalten, den Verantwortlichen für das Risiko benennen und den Vorstand oder die Geschäftsführung um Rat fragen, falls dies erforderlich ist.
Wie erstellt man einen wirksamen Risikobericht?
Angenommen, Ihr Bericht hat alle Risiken ermittelt, die wirklich aufgenommen werden sollten. In diesem Fall besteht die Gefahr, dass der Bericht zu viele Informationen enthält, so dass der Leser überfordert ist oder nicht weiß, was er tun soll. Bei einem wirksamen Risikobericht kommt es nicht nur auf den Inhalt, sondern auch auf den Fokus und die Struktur an.
Der Risikobericht sollte zum Beispiel leicht zu lesen und zu verdauen sein. Das bedeutet, dass eine Zusammenfassung der Risiken und der Gründe, warum sie in den Bericht aufgenommen wurden, gefolgt von ausführlichen Erörterungen der einzelnen Risiken und der entsprechenden Daten. Die Länge der Zusammenfassung kann variieren, aber als Faustregel gilt, dass jede Zusammenfassung, die mehr als 10 Seiten umfasst, eher zu lang ist.
Nach dieser Zusammenfassung können Sie in die Details eintauchen, die sehr umfangreich sein können. Hier können Sie unterstützende Daten (je mehr Diagramme oder Grafiken aus Datenvisualisierungstools verwendet werden, desto besser), Prüfberichte, Fallgeschichten, Kostenprognosen usw. einfügen. In elektronischer Form können Sie Ihren Risikobericht sogar mit Links strukturieren, die es dem Leser ermöglichen, von der Zusammenfassung bis zur ausführlichen Diskussion vor- und zurückzuspringen.
Ein effektiver Bericht verknüpft außerdem jedes Risiko eindeutig mit einem erklärten Unternehmensziel. Schließlich kommen die meisten Leser des Risikoberichts aus dem operativen Geschäft oder aus dem Management, ohne viel Hintergrundwissen über Compliance oder Risikomanagement. Durch die Verknüpfung des Risikos mit einem Geschäftsziel erfährt der Leser, warum das Risiko wichtig ist und seine Aufmerksamkeit verdient.
Schließlich entwirft ein wirksamer Bericht einen Aktionsplan oder wirft Fragen auf, die der Vorstand oder die Geschäftsleitung beantworten muss. Ein wirksamer Bericht bezieht den Leser mit ein, indem er ihm entweder versichert, dass es einen Plan gibt, um das Risiko unter Kontrolle zu bringen, oder ihn um Ratschläge für das weitere Vorgehen bittet. Ein Risikobericht erfasst den aktuellen Stand der Herausforderungen des Risikomanagements eines Unternehmens und zeigt mögliche Wege in die Zukunft auf.
Was ein Risikobericht nicht ist, ist eine Übung für sich. Er ist keine „Check-the-box“-Übung, um zu zeigen, dass die Compliance-Funktion ihre Aufgabe erfüllt hat. Er ist ein Instrument, das den Führungskräften bei ihrer Aufgabe, das Unternehmen zu leiten, hilft – und je kompetenter Sie mit diesem Instrument umgehen, desto erfolgreicher wird Ihr Compliance-Programm sein.