20.07.2017 |  Studie

Nachholbedarf: Risikokommunikation im Geschäftsbericht

Für Unternehmen ist Vertrauen wichtiger denn je – doch das Vertrauen der Kunden, Aktionäre und anderer Stakeholder muss verdient werden. In einem immer transparenteren Umfeld - dank der modernen Informationskultur, die große Mengen an Daten und Informationen in kürzester Zeit verfügbar macht - wird eine möglichst offene und nachvollziehbare Kommunikation seitens der Unternehmen erwartet – insbesondere in den Geschäftsberichten sowie der Finanzkommunikation. Werden die Erwartungen der Aktionäre und Stakeholder nicht erfüllt, kann dies einen herben Vertrauensverlust nach sich ziehen.

Die Qualität der Geschäftsberichte ist gestiegen

Der Geschäftsbericht ist ein wichtiges Medium für die Kommunikation des Unternehmens mit Gesellschaftern, Banken, Mitarbeitern, etc. Er gibt Aufschluss über die wirtschaftliche Entwicklung im vergangenen Geschäftsjahr, aber auch über die strategische Ausrichtung und Perspektiven in der Zukunft. Zudem nimmt die Risikokommunikation einen immer bedeutenderen Stellenwert ein. Hier gibt es aber gerade bei den deutschen Maschinen- und Anlagenbauern noch einiges nachzubessern. Eine Studie der Unternehmensberatung KPMG zeigt auf, dass die externe Risikokommunikation in den Geschäftsberichten der Branche sehr unterschiedlich gehandhabt wird. Untersucht wurden 15 Unternehmen der Branche. 

Grundsätzlich sorgte die Norm DRS20, die im November 2012 verabschiedet wurde, für eine bessere Qualität von Geschäftsberichten, auch hinsichtlich der Anpassung, Erweiterung und Ergänzung der Risikokommunikation. Die Norm regelt die Anforderungen an die Konzernlageberichterstattung. Trotz der grundsätzlichen Einhaltung der gesetzlichen Vorgaben, gibt es große Unterschiede zwischen verschiedenen Unternehmen derselben Branche. Insbesondere in Bezug auf Risikoaspekte bleiben Lücken offen. 

Dies ist problematisch, da die Rechnungslegungsadressaten von den Unternehmen erwarten, umfassend über mögliche Risiken und den Umgang damit sowie entsprechende Maßnahmen informiert zu werden. Hier sollten die Maschinen- und Anlagenbauer auch über das Minimum der gesetzlichen Vorgaben hinausgehen. Auch erfolgt keine oder nur eine geringe Auseinandersetzung mit strategischen Themen im Geschäftsbericht. 

Gerade IT-Sicherheit und Cyberkriminalität bleiben außen vor

Gerade die IT-Sicherheit bleibt in der Kommunikation häufig außen vor. Angesichts der Tatsache, dass die Branche im Zuge der Industrie 4.0 immer weiter digitalisiert wird, sollten aber gerade hier eine umfassende Aufklärung und eine offene Berichterstattung erfolgen. Bereits jedes dritte Unternehmen ist Opfer von Cyberkriminalität.

Dabei nimmt nicht nur die Häufigkeit der Vorfälle, sondern auch die Schadenintensität zu. Zu den Delikten zählen beispielsweise Sabotage, Erpressung und Betrug. Aber auch die Datensicherheit ist ein zentrales Thema: Im Rahmen von „Big Data“ werden immer Kundendaten gesammelt und ausgewertet. Diese sind ein lohnendes Ziel für Cyberkriminelle. Derartige Risiken werden im Geschäftsbericht allerdings häufig gar nicht angesprochen – ein Fehler.

Offene Risikokommunikation im Geschäftsbericht schafft Vertrauen

Um das Vertrauen zu erhalten, sollten Unternehmen offen darlegen, dass sie sich der Risiken im Bereich der IT-Sicherheit und Digitalisierung bewusst sind – und ihre Gegenmaßnahmen in der Risikokommunikation im Geschäftsbericht erläutern. So kann beispielsweise der Beitrag der IT zur Unternehmenssicherheit erläutert werden. Auch eine Vorstellung der eingesetzten IT-Sicherheitssysteme und ein Überblick über entsprechende Audits und Zertifikate können Vertrauen schaffen.

Das große Risiko bei mangelnder Transparenz in der Kommunikation: Kunden und Finanzmarkt zweifeln an der Kompetenz des Unternehmens, die Risiken zu erkennen und abzuschätzen – und damit auch an dessen Befähigung, ihnen im Ernstfall entgegenzutreten. Treten tatsächlich Probleme auf, geraten die Unternehmen zudem in die Defensive. Es entsteht leichter der Verdacht, sie seien möglicherweise nicht ausreichend auf das Risiko vorbereitet gewesen oder hätten nicht die nötigen Vorkehrungsmaßnahmen getroffen.

Für eine umfassende Risikokommunikation im Geschäftsbericht sollten natürlich alle gesetzlichen Vorgaben erfüllt werden. Dies darf für Unternehmen aber nur das absolute Minimum sein. Es ist wichtig, auch darüber hinaus über Präventionsmaßnahmen und Sicherheitsvorkehrungen zu informieren. Insgesamt muss überprüft werden, ob Umfang und Form der Risikokommunikation im Geschäftsbericht mit dem Branchenumfeld übereinstimmen. Auch sollte das angemessene Verhältnis zwischen gesetzlich vorgeschriebenen und freiwilligen Informationen geprüft werden.

Beispielsweise sollten folgende Punkte in der Risikokommunikation berücksichtigt werden:

  • Vorhandensein eines Frühwarnsystems
  • Identifikation und Beheben von Schwachstellen
  • Information über Risiko-Controlling und Compliance (inkl. Verantwortliche)
  • Branchenspezifische Faktoren
  • Absicherung durch Dritte.