Erfolgreiche operative Risikoberichterstattung

Herausforderungen bei der effektiven Erfassung von Vorfalldaten überwinden

In unseren vorherigen Artikeln der Risk Management Blueprint-Reihe haben wir die Grundlagen eines soliden Risikomanagements untersucht, von der Festlegung Ihres Rahmenwerks und Risikobereitschaft über die Entwicklung geeigneter Taxonomien, der Durchführung gründlicher Bewertungen bis hin zur Umsetzung des Three-Lines-of-Defence-Modells. Nun wenden wir uns einem kritischen, aber oft schwierigen Aspekt des Risikomanagements zu: Wie können Sie die Mitarbeiterinnen und Mitarbeiter Ihres Unternehmens dazu bringen, Risiken tatsächlich zu melden? 

Selbst mit den besten Rahmenwerken kann Ihr Risikomanagementsystem nur so effektiv sein wie die Informationen, die darin eingebettet sind. Wenn operative Vorfälle und Beinaheunfälle nicht gemeldet werden, verlieren Sie wertvolle Gelegenheiten, Kontrollschwächen zu identifizieren, wichtige Lehren zu ziehen und zukünftige Verluste zu verhindern. 

In diesem Artikel untersuchen wir die drei Haupthindernisse für eine effektive Risikoberichterstattung und stellen praktische Strategien zu ihrer Überwindung vor.

Die drei größten Barrieren einer wirksamen Risikoberichterstattung

Die Herausforderung bei der operativen Risikoberichterstattung geht häufig über die vielzitierte „Schuldzuweisungskultur“ hinaus. Auf Grundlage langjähriger Praxiserfahrung lassen sich drei zentrale Barrieren identifizieren, die eine effektive Berichterstattung verhindern:

1. Fehlende Klarheit, was zu berichten ist

Die erste und grundlegendste Barriere ist das fehlende Verständnis darüber, welche Ereignisse überhaupt meldepflichtig sind.

Beim Aufbau einer starken Risikokultur sollte nicht automatisch davon ausgegangen werden, dass Mitarbeiterinnen und Mitarbeiter Informationen zurückhalten wollen, denn häufig wissen sie einfach nur nicht, nach welchen Kriterien ein Vorfall als berichtspflichtig gilt.

Diese Unsicherheit führt zu Zögern und Inkonsistenz. Ohne klare Leitlinien besteht die Gefahr, dass entweder zu wenig gemeldet wird (wertvolle Risikoinformationen gehen verloren) oder zu viel (wichtige Hinweise werden durch Datenmengen überdeckt).

Die Lösung beginnt damit, klare und umsetzbare Hinweise darauf zu geben, was in Ihrer Organisation als meldepflichtiges Ereignis gilt.

2. Komplexe Prozesse ohne erkennbaren Mehrwert

Selbst wenn klar ist, was zu melden ist, scheitert die Umsetzung oft an zu aufwendigen oder unübersichtlichen Meldeprozessen. Wenn das Reporting mit komplizierten Systemen oder langwierigen Formularen verbunden ist, wird es schnell als zusätzliche Belastung empfunden – insbesondere dann, wenn kein erkennbarer Nutzen oder Rückfluss der Informationen erfolgt.

Ein erfahrener Risikomanager brachte es treffend auf den Punkt: „Von den Fachbereichen zu verlangen, zentral zu berichten, ohne die Ergebnisse zurückzuspielen, ist wie auf einer Tastatur zu tippen, ohne einen Bildschirm zu haben.“

Fehlt dieser Rückfluss, sinken Motivation und Qualität der Meldungen spürbar.

Insbesondere für Risiken und Vorfälle mit hohem Schadenspotential bietet sich ein dezidiertes „Ad-Hoc-Reporting“ mit einfachen Vorlagen und Meldeketten an, um Informationen möglichst schnell und effizient aus den Fachbereichen bzw. der dezentralen Ebene an das zentrale Risikomanagement zu kommunizieren. Die zentrale Risikomanagementfunktion kann gemäß der Systemmethodik mit gezielten Rückfragen dann alles weitere in die Wege leiten, um Risikoveränderungen oder neue Risiken dann entsprechend systemisch abzubilden.

3. Angst vor Schuldzuweisungen und zusätzlicher Arbeit

Die dritte Barriere betrifft die Folgen des Meldens. Dazu gehört nicht nur die Angst, für gemeldete Vorfälle verantwortlich gemacht zu werden (Schuldzuweisungskultur), sondern auch die Sorge, dass eine Meldung zusätzliche Aufgaben nach sich zieht – etwa Untersuchungen, Dokumentationen oder Korrekturmaßnahmen.

Selbst in Unternehmen mit einer grundsätzlich positiven Risikokultur bleibt dieser Aspekt relevant. Die Lösung liegt darin, eine unterstützende Umgebung zu schaffen und gleichzeitig effiziente Folgeprozesse zu gestalten, die Mitarbeiterinnen und Mitarbeiter nicht unnötig belasten. Wie zuvor benannt, bietet sich dafür ein generell nutzerfreundlicher Meldeprozess inkl. guter Vorlagen und einfachen Meldeketten an.

Gestaltung eines effektiven Risikoberichterstattungssystem

Um die drei beschriebenen Barrieren zu überwinden, benötigen Sie ein strukturiertes Design für den Reportingprozess.
Bevor Sie eine Kampagne zur Förderung der Mitarbeiterberichterstattung starten, sollten Sie diese drei entscheidenden Gestaltungsentscheidungen berücksichtigen:

Was soll berichtet werden – Festlegung des Reporting-Umfangs

Die erste Designentscheidung betrifft die Frage, welche Ereignisse in den Reporting-Umfang aufgenommen werden sollen.
Während finanzielle Verluste in der Regel verpflichtend zu melden sind (insbesondere für regulierte Unternehmen), kann es sinnvoll sein, den Umfang zu erweitern – etwa um:

• Beinahe-Vorfälle: Ereignisse, die nur durch Zufall – und nicht durch wirksame Kontrollen – vermieden wurden. Das Melden solcher Vorfälle ist ein Kennzeichen einer reifen Risikokultur, da sie Kontrolllücken aufzeigen, ohne dass bereits ein Schaden eingetreten ist.
• Zufällige Gewinne: Unerwartet positive Ergebnisse infolge von Fehlern, z. B. ein Handelsfehler, der aufgrund günstiger Marktbewegungen zu einem Gewinn führt. Diese werden oft unterberichtet, bieten aber wertvolle Hinweise auf Kontrollschwächen.
• Kontrollschwächen: Situationen, in denen Kontrollen als unzureichend identifiziert wurden, auch wenn noch kein Vorfall eingetreten ist.

Tipp: Ein erweiterter Reporting-Umfang liefert tiefere Risikoerkenntnisse, setzt jedoch auch eine höhere organisatorische Reife voraus.

Wie soll berichtet werden – Aufbau des Prozesses

Die zweite Designentscheidung betrifft den Aufbau und Ablauf des Meldeprozesses. Häufig genutzte Ansätze sind:

• Zentralisiertes Reporting: Eine eigene Risikofunktion erfasst und dokumentiert die von der Fachabteilung gemeldeten Vorfälle. Eine bestimmte Retail-Bank setzte diesen Ansatz erfolgreich um, indem ein Team von fünf festangestellten Mitarbeiterinnen und Mitarbeitern die Erfassung und Dokumentation von Vorfällen bankenweit übernahm. Dies vereinfachte den Prozess für die Fachbereiche erheblich, die lediglich die Risikofunktion per Telefon oder E-Mail informieren mussten, wenn ein Vorfall auftrat.
• Integriertes Reporting: Nutzung bereits bestehender Datenquellen, z. B. IT-Logs, Abstimmungsdifferenzen oder Ticketsysteme. Dadurch sinkt der Meldeaufwand, während die Datenbasis breiter wird.
• Dezentralisiertes Reporting: Die Fachbereiche erfassen ihre Vorfälle selbst, z. B. über Risikoverantwortliche oder direkte Meldungen von Mitarbeiterinnen und Mitarbeitern.
• Eigenständige Systeme: Verwendung spezialisierter Risikomanagementsoftware oder Excel-Tools zur Vorfallserfassung – dies kann allerdings Integrationsprobleme mit anderen Managementsystemen verursachen.
  
  

Wirkungsbewertung – finanziell und darüber hinaus

Die dritte Designentscheidung betrifft, welche Auswirkungen gemessen und berichtet werden sollen:

• Finanzielle und nicht-finanzielle Auswirkungen (z. B. Reputationsschäden, Unterbrechung des Geschäftsbetriebs, Kundenzufriedenheit)
• Tatsächliche vs. potenzielle Auswirkungen
• Reporting-Schwellenwerte, die mit der Risikobereitschaft des Unternehmens abgestimmt sind

Diese Entscheidungen sollten die Risikobereitschaft, die regulatorischen Anforderungen und die verfügbaren Ressourcen des Unternehmens widerspiegeln – und dabei angemessen und praktikabel bleiben.

Risikomeldungen einfach und wertvoll gestalten

Um die ersten beiden Barrieren – Unklarheit darüber, was zu berichten ist, und zu komplexe Prozesse – zu überwinden, liegt der Schlüssel in der Vereinfachung und einer klaren Anleitung.

Seien Sie sparsam mit den Informationen, die Sie erfassen. Befolgen Sie die goldene Regel des Reportings: Der Nutzen der Informationen muss die Kosten ihrer Erhebung übersteigen.

Erheben Sie daher nur die Informationen, die für ein wirksames Risikomanagement wirklich relevant sind. In der Praxis umfasst dies typischerweise:

• Datum und Uhrzeit
• Ort bzw. betroffene Organisationseinheit
• Beschreibung des Ereignisses
• Art des Ereignisses
• Auswirkungen (tatsächlich und potenziell)
• Unmittelbare Reaktionsmaßnahmen
• Ursachen und Kontrollversagen
• Maßnahmenplan (falls erforderlich)

Verwenden Sie strukturierte und standardisierte Formate, beispielsweise Drop-down-Menüs, die auf Ihrer Risikotaxonomie basieren – anstatt Freitextfelder.
Das beschleunigt nicht nur den Meldeprozess, sondern ermöglicht auch eine bessere Vergleichbarkeit und Auswertung der Daten. Freitextfelder sollten auf einen kurzen Kommentarbereich beschränkt werden.

Integration bestehender Datenquellen

Nutzen Sie – wo immer möglich – bereits vorhandene Informationsquellen, anstatt vollständig neue Reporting-Prozesse aufzubauen.
 Dazu können beispielsweise folgende Datenquellen herangezogen werden:

• Buchungseinträge im Hauptbuch (General Ledger)
• Ereignisprotokolle aus anderen Systemen oder Services
• Rückstellungen aus juristischen Verfahren
• Kundenbeschwerden
• IT-Incident-Logs
• Qualitätssicherungs-Reviews
  
  

Dieser Ansatz reduziert nicht nur den Meldeaufwand, sondern zeigt gegenüber Aufsichtsbehörden und Prüfern, dass Ihre Vorfalldatenbank umfassend und belastbar ist – anstatt sich ausschließlich auf freiwillige Meldungen zu stützen.

Mehrwert schaffen durch wirksames Feedback

Um die Wahrnehmung zu überwinden, dass das Melden von Vorfällen für die Meldenden keinen Nutzen hat, sollten Sie einen zuverlässigen Feedback-Mechanismus einführen:

Geben Sie analysierte Informationen regelmäßig an die Fachbereiche zurück. Zeigen Sie ihnen nicht nur die eigenen Vorfalltrends, sondern auch Vergleichsdaten von anderen Fachbereichen. Dies schafft folgenden Mehrwert:

• Die Fachbereiche können die von ihnen gemeldeten Informationen überprüfen und validieren
• Der Vergleich mit anderen Einheiten ermöglicht wertvolle Erkenntnisse und Lernchancen
• Gesunde Transparenz und konstruktiver Wettbewerb fördern die Qualität der Meldungen
• Es wird sichtbar, dass Reporting zu konkreten Ergebnissen führt und nicht nur eine Formalität ist
  
  

Ein einfaches regelmäßiges Reporting, das z. B. die Anzahl der Ereignisse, deren finanzielle Auswirkungen sowie das Verhältnis Verlust zu Ertrag zeigt, kann dabei sehr wirkungsvoll sein. Die operativen Verluste im Verhältnis zum operativen Ergebnis sind ein nützlicher Vergleichsmaßstab zwischen Geschäftsbereichen. Als Orientierungsgröße gilt in der Finanzbranche ein Richtwert von etwa 2 % – dieser Wert ist jedoch stark branchenabhängig und kann in kapitalintensiven oder regulierten Industrien deutlich abweichen. Sinnvoller als ein externer Benchmark ist daher oft der interne Zeitvergleich: Sinkt die Quote über Perioden hinweg, ist das ein verlässliches Zeichen verbesserter Kontrollwirksamkeit. Mit zunehmender Automatisierung ist grundsätzlich ein rückläufiger Trend zu erwarten.

Eine effektive operative Risikoberichterstattung entsteht nicht zufällig – es erfordert eine durchdachte Gestaltung, die die drei zentralen Barrieren adressiert. Durch klare Vorgaben, einfache Prozesse und sichtbaren Mehrwert durch Feedback lässt sich ein Reporting-System etablieren, das wesentliche Risikoinformationen erfasst und die Fachbereiche aktiv einbindet. Am Ende geht es beim Reporting nicht um Dokumentation als Selbstzweck, sondern um das Schaffen von Erkenntnissen, die zu besseren Entscheidungen und wirksameren Kontrollen führen.

Unterschiedliche Ansätze für unterschiedliche Ereignisse

Operationelle Risiken weisen ein charakteristisches Verteilungsmuster auf, das unterschiedliche Ansätze für verschiedene Arten von Vorfällen erfordert:

Umgang mit häufigen Kleinschäden – die Kraft der Mustererkennung

Kleinschäden bezeichnen die zahlreichen kleinen Vorfälle, die in den meisten Unternehmen regelmäßig auftreten.     

Für diese gilt:

• Suchen Sie nach Mustern, die auf strukturelle Schwächen hinweisen – die „tropfenden Wasserhähne“ Ihres Unternehmens.
• Nutzen Sie KI-gestützte Analysen, um in großen Datenmengen wiederkehrende Zusammenhänge oder Risikoschwerpunkte zu identifizieren.
• Wenn keine auffälligen Muster erkennbar sind, können diese Kleinschäden als betriebliche Normalität betrachtet und in die Kalkulation oder Preisgestaltung einbezogen werden.
  
  

Umgang mit Großschäden – Lernen aus wesentlichen Ereignissen

Großschäden sind seltene, aber bedeutende Vorfälle, die erhebliche Auswirkungen haben können.

Für diese gilt:

• Sofortige Meldung sicherstellen – in der Regel erfolgt dies ohnehin, da solche Ereignisse zu groß sind, um unbemerkt zu bleiben.
• Gründliche Ursachenanalyse durchführen (z. B. mithilfe einer Bow-Tie-Analyse, wie in einem späteren Artikel erläutert).
• Konkrete Maßnahmenpläne entwickeln und nachverfolgen, um identifizierte Schwachstellen gezielt zu beheben.

Diese Zweiteilung operativer Risiken – viele kleine Verluste und wenige große – zeigt, warum durchschnittsbasierte Kennzahlen irreführend sein können.
Ihr Ansatz sollte dieser Realität Rechnung tragen, anstatt alle Ereignisse gleich zu behandeln.

Rollen und Verantwortlichkeiten in der operativen Risikoberichterstattung

Klare Verantwortlichkeiten sind entscheidend für ein wirksames Reporting.
Im Rahmen des bekannten Three Lines of Defence-Modells ergeben sich folgende Rollen:

Erste Linie – Operatives Geschäft:

• Trägt die Hauptverantwortung für das Erkennen und Melden von Ereignissen.
• Analysiert Vorfälle und leitet geeignete Maßnahmen zur Behebung ein.
• Implementiert Verbesserungen, um erkannte Schwächen nachhaltig zu beseitigen.
  
  

Zweite Linie – Risikomanagement:

• Unterstützt und berät die operativen Einheiten bei der Meldung und Analyse.
• Sorgt für einheitliche Reporting-Standards und Qualitätssicherung.
• Bündelt und analysiert die Informationen für das Management.
• Gibt Feedback an die Fachbereiche zu Trends und Erkenntnissen.
  
  

Dritte Linie – Interne Revision:

• Prüft unabhängig die Angemessenheit und Wirksamkeit des Reporting-Prozesses.
• Bestätigt die Effektivität des Systems zur Erfassung und Bewertung operativer Risiken.
• Erkennt im Rahmen ihrer regulären Prüfungen in den Fachbereichen und dezentralen Einheiten zusätzlich weitere noch nicht aufgenommene Risiken und vermindert so die Gefahr „blinder Flecken“ auf der Risikolandkarte
  
  

Diese klare Rollenverteilung stellt sicher, dass das Reporting vollständig, konsistent und effizient erfolgt – ohne Doppelarbeit oder Verantwortlichkeitslücken.

Möchten Sie erfahren, wie Sie nach der Meldung von Risiken richtig reagieren können?

Wenden Sie sich für weitere Informationen gerne an unsere Expertinnen und Experten.

Sehen Sie sich unsere vollständige Risk Management Blueprint-Reihe an. 

Diese Reihe vermittelt umfangreiches Fachwissen und Know-how zu den Grundlagen des Risikomanagements.