Darstellung der Risiken in den Geschäftsberichten: Es wird besser, aber es bleibt noch viel Luft nach oben

Wunschliste für eine lesenswerte und verständliche Risikoberichterstattung

Hackerangriffe. Datenschutz. Umweltkatastrophen. Terroranschläge. Trump. Zunehmender Protektionismus. Längste Regierungsbildung in der Geschichte der Bundesrepublik. Unruhen in einigen Ländern der Welt. Brexit.

Die Liste ist nicht abschließend. Was sie zeigt: Die Anzahl der Risiken für Unternehmen ist nicht kleiner geworden. Ganz im Gegenteil: Vor allem das Thema Cyber-Risiken wurde durch die Hackerangriffe im letzten Jahr auf eine neue Ebene gehoben.

Ein Blick in ältere Geschäftsberichte zeigt: Die Risikoberichterstattung hat in den vergangenen Jahren an Bedeutung gewonnen. Während in den Berichten vor einigen Jahren die Risiken lediglich beschrieben wurden, findet sich nun zunehmend eine Risikomatrix in der Berichterstattung. Auffallend ist jedoch die unterschiedliche Anzahl der Risiken. SAP unterteilt beispielsweise in 36 einzelne Risiken, die in zehn Kategorien (z. B. Finanzrisiken) eingeteilt werden. Bei RWE ist die Darstellung einzelner Risiken im Bericht von 2016 noch nicht so detailliert wie bei SAP: Hier werden lediglich die wesentlichen Risiken zusammengefasst aufgezeigt. Weiterlesen

Cyber-Risiken: Zunehmende Bedeutung in der Risikoberichterstattung

Hackerangriffe. Jahresabschlusserstellung. Risikoberichterstattung. Die Hackerangriffe wie beispielsweise im Mai diesen Jahres werden bei einigen Unternehmen sicherlich in der Risikoberichterstattung auftauchen. Als separat dargestelltes Risiko. Mit steigendem Bedeutungsgrad. Mit hoher Eintrittswahrscheinlichkeit. Trend: Risiko steigend.

Auch wenn dies sicherlich nicht bei allen Unternehmen eine zunehmende Bedeutung hat. Es gibt immer mehr Unternehmen, bei dem Hackerangriffe die Existenz gefährden können. Genau dann, wenn ein solcher Angriff den Umsatz beeinflusst. Beispielsweise ein Onlineshop. Wenn dieser nicht online ist, kaufen die Kunden anderswo ein.

SAP stellt im Risikobericht 36 einzelne Risiken dar.

Weiterlesen

Wesentlichkeit und andere schwer fassbare Rechtsbegriffe im Rahmen der nichtfinanziellen Erklärung

Im letzten Blog habe ich mich mit den Vorschlägen des DRSC für eine Überarbeitung des Lageberichtsstandards DRS 20 durch E-DRÄS 8 im Hinblick auf die neuen gesetzlichen Anforderungen für eine nichtfinanzielle Erklärung befasst. Dabei wurde auch das aktuelle Positionspapier des IDW zum Thema angesprochen. Die Berichtspflichten knüpfen dabei an das Vorliegen wesentlicher Sachverhalte an und auch weitere unbestimmte Rechtsbegriffe grenzen die Berichtspflichten ein. Kann man diese operationalisieren? Weiterlesen

Neue Risiken für Unternehmen: Hackerangriff legt Wirtschaft seit Freitag lahm

Was bedeutet dies für die Risikoberichterstattung?

Hackerangriff weltweit. Sicherlich haben Sie diese Meldung am Freitagabend auch in den Nachrichten gesehen. Ich denke mir nichts weiter dabei, bis ich am Samstag am Stuttgarter Hauptbahnhof stehe: Anstelle der Informationen zu den einzelnen Zügen auf den Bildschirmen steht dort lediglich die Information „Bitte Aushänge beachten“. In Stuttgart war die Deutsche Bahn kreativ. Auf von Hand geschriebenen Aufstellern stehen die Abfahrtszeiten der Züge. Ich fühle mich wie in Havanna, wo immer noch Fahrpläne von Hand an den Bahnhöfen hängen. Als sowohl an den Bahnhöfen in Karlsruhe und Freiburg die digitalen Anzeigen nur auf „Bitte Aushänge beachten“ anzeigen, wird mir das Ausmaß etwas bewusster. Ich fühle mich wie in „You are wanted“, einer Serie von Matthias Schweighöfer, in der die Geschichte eines Mannes erzählt wird, der gehackt wird. Der Film ist also teilweise Wirklichkeit geworden.

Die Risiken unserer vernetzten und digitalisierten Welt liegen also bei Hackerangriffen und Daten. Daten – das sind die Vermögenswerte der Zukunft. Ein Hackerangriff könnte unsere ganze Wirtschaft lahmlegen. Wird darüber seitens der Unternehmen in den Geschäftsberichten ausreichend berichten? Wie die aktuellen Hackerangriffe zeigen, wurde diesen offenbar nicht hinreichend vorgebeugt. Wurde das Risiko als eher gering eingestuft? Waren die Kosten zu hoch? Wie kann es sein, dass große Unternehmen nicht regelmäßig ihre Programme updaten? Fragen über Fragen. Was dieser Angriff zeigt: Wir sind verwundbar. Ein Hacker, der wo auch immer sitzt, kann die Wirtschaft zum Anhalten bringen. So musste beispielsweise Peugeot laut Pressemeldungen die Produktion unterbrechen.

Weiterlesen