Lesezeit: ca. 9 Minuten | Stand: Februar 2026 | Autor: Marvin Zimbelmann
Hand aufs Herz: Wie sieht Ihr Risikoregister aus? Wenn die Antwort „eine Excel-Liste mit zwölf Zeilen, die letztens im Q4 2023 aktualisiert wurde" lautet – dann sind Sie in guter Gesellschaft. Und in schlechter Verfassung.
Ein Risikoregister ist das operative Herzstück jedes Risikomanagementsystems. Ohne funktionierendes Register bleibt Ihr gesamtes RMS ein theoretisches Konstrukt. Hier erfahren Sie, welche Felder ein professionelles Risikoregister enthält, welche Fehler Sie vermeiden sollten und wie Sie das Register dauerhaft am Leben halten.
Was ein Risikoregister leisten muss
Ein Risikoregister ist kein Dokumentationsarchiv, das einmal im Jahr für den Wirtschaftsprüfer hervorgekramt wird. Es ist ein aktives Steuerungsinstrument, das drei Funktionen gleichzeitig erfüllt:
Funktion 1: Transparenz schaffen. Alle identifizierten Risiken sind an einem Ort dokumentiert – mit Bewertung, Maßnahmen und Verantwortlichkeiten. Keine Risiken mehr, die nur im Kopf einzelner Führungskräfte existieren.
Funktion 2: Entscheidungen ermöglichen. Die Geschäftsführung sieht auf einen Blick, wo die größten Risiken liegen und ob die Gegenmaßnahmen greifen. Ohne Register fehlt die Entscheidungsgrundlage.
Funktion 3: Compliance erfüllen. IDW PS 340 n.F. fordert die dokumentierte Erfassung und Bewertung von Risiken. § 91 Abs. 2 AktG und das StaRUG verlangen ein Früherkennungssystem. Ein gepflegtes Risikoregister ist der Nachweis, dass dieses System existiert.
Wer diese drei Funktionen ernst nimmt, baut kein Register, das 200 Risiken in einer unübersichtlichen Tabelle begräbt. Sondern ein fokussiertes Werkzeug, das die 25 bis 40 geschäftsrelevanten Risiken sauber abbildet.
Die Pflichtfelder: Was in jedes Risikoregister gehört
Nicht jedes Risikoregister braucht 30 Spalten. Aber bestimmte Felder sind nicht verhandelbar, wenn das Register den Anforderungen nach ISO 31000, COSO ERM und den IDW-Prüfungsstandards genügen soll.
Die Basisdaten
Risiko-ID: Eine eindeutige Kennung (z. B. STR-001 für strategische Risiken, OPS-003 für operative Risiken). Die ID folgt der [Risiko-Taxonomie](/blog/risiko-taxonomie-entwickeln) Ihres Unternehmens und macht jedes Risiko über Berichte hinweg nachverfolgbar.
Risikobezeichnung: Ein prägnanter Name, der das Risiko klar beschreibt. „Lieferantenausfall Hauptkomponente X" ist brauchbar. „Supply Chain Risiko" ist es nicht.
Risikobeschreibung: Zwei bis drei Sätze, die das Risiko konkretisieren. Was genau könnte passieren? Welcher Auslöser ist denkbar? Welche Unternehmensbereiche wären betroffen?
Taxonomie-Kategorie: Zuordnung zur übergeordneten Risikokategorie (strategisch, operativ, finanziell, Compliance, ESG etc.).
Die Bewertung
Brutto-Bewertung: Eintrittswahrscheinlichkeit und Schadenshöhe vor Berücksichtigung bestehender Maßnahmen. In der Regel auf einer 5×5-Skala gemäß der Methodik aus Ihrem [Risikomanagement-Handbuch](/blog/risikomanagement-handbuch-erstellen).
Bestehende Maßnahmen / Kontrollen: Welche Gegenmaßnahmen sind bereits implementiert? Nicht „es gibt einen Prozess", sondern konkret: „Dual-Sourcing-Strategie für Hauptkomponente seit Q2 2025, vertragliche Pönalen bei Lieferverzug."
Netto-Bewertung: Eintrittswahrscheinlichkeit und Schadenshöhe nach Berücksichtigung bestehender Maßnahmen. Die Differenz zwischen Brutto und Netto zeigt, ob Ihre Kontrollen tatsächlich wirken.
Die Steuerung
Risikoeigner (Risk Owner): Name und Funktion der Person, die für dieses Risiko verantwortlich ist. Immer eine konkrete Person, nie eine Abteilung. Der Einkaufsleiter, nicht „der Einkauf".
Handlungsbedarf: Übersteigt das Netto-Risiko die Schwellenwerte aus dem [Risk-Appetite-Statement](/blog/risk-appetite-statement-formulieren)? Wenn ja: Welche zusätzlichen Maßnahmen sind geplant?
Maßnahmen-Status: Für jede geplante Maßnahme: Wer ist verantwortlich? Bis wann? Was ist der aktuelle Stand?
Trend: Steigend (↑), stabil (→) oder sinkend (↓). Ein einfacher Indikator, der im Quartals-Reporting sofort zeigt, in welche Richtung sich ein Risiko entwickelt.
Letzte Aktualisierung: Datum der letzten inhaltlichen Überprüfung. Nicht das Datum, an dem jemand die Datei geöffnet hat, sondern wann die Bewertung tatsächlich überprüft wurde.
Praxis-Tipp: Widerstehen Sie der Versuchung, weitere „Nice-to-have"-Spalten hinzuzufügen. Jedes zusätzliche Feld erhöht den Pflegeaufwand. Und ein Register, das zu aufwendig zu pflegen ist, wird nicht gepflegt. Starten Sie mit diesen Feldern. Ergänzen können Sie immer noch.
Excel, Software oder SharePoint? Die Tool-Frage
Die Frage nach dem richtigen Tool kommt garantiert. Die Antwort ist pragmatischer, als die meisten GRC-Software-Anbieter es Ihnen verkaufen wollen.
Excel: Der unterschätzte Standard
Für Unternehmen bis 500 Mitarbeitende – und das betrifft den Großteil des deutschen Mittelstands – ist ein gut strukturiertes Excel-Template die sinnvollste Lösung. Die Vorteile liegen auf der Hand:
Jeder kann damit umgehen, keine Schulung nötig.
Volle Flexibilität bei Anpassungen.
Keine laufenden Lizenzkosten.
Einfacher Austausch per E-Mail oder SharePoint.
Der entscheidende Punkt: Die Qualität eines Risikoregisters hängt nicht vom Tool ab, sondern von der Struktur und der Disziplin, mit der es gepflegt wird. Ein schlecht strukturiertes GRC-Tool produziert genauso wertlose Ergebnisse wie eine schlecht strukturierte Excel-Tabelle.
Wann eine GRC-Software Sinn ergibt
Ab einer bestimmten Komplexität stößt Excel an Grenzen. Indikatoren, dass eine dedizierte Software sinnvoll werden könnte:
Mehr als 100 aktive Risiken über mehrere Geschäftsbereiche.
Mehrere Standorte oder Tochtergesellschaften, die konsolidiert werden müssen.
Automatisierte Workflows für Risiko-Reviews und Eskalationen.
Integration mit anderen GRC-Prozessen (Compliance-Management, internes Kontrollsystem).
Aber – und das ist der Fehler, den viele machen – Software kommt nach dem Prozess, nicht davor. Wer ein GRC-Tool kauft, bevor Taxonomie, Bewertungsmethodik und Verantwortlichkeiten definiert sind, digitalisiert Chaos. Erst den Prozess aufsetzen, dann das Tool auswählen.
Praxis-Tipp: Wenn Sie mit Excel starten, investieren Sie Zeit in die Struktur: Dropdown-Listen für Taxonomie-Kategorien und Bewertungsskalen, bedingte Formatierung für Risiko-Ampeln, ein separates Tabellenblatt für die Risikomatrix-Visualisierung. Das kostet anfangs zwei Stunden – und spart Ihnen langfristig Wochen.
Die fünf häufigsten Fehler beim Risikoregister
Nach über acht Jahren in Compliance und Risikomanagement kenne ich die Muster. Diese fünf Fehler sehe ich in fast jedem Unternehmen, das sein Register zum ersten Mal aufsetzt – oder seit Jahren mitschleppt.
Fehler 1: Zu viele Risiken, zu wenig Substanz
Das Register hat 180 Einträge, aber niemand kann erklären, warum „Reputationsverlust durch negative Presse" ein eigenständiges Risiko und nicht die Auswirkung anderer Risiken ist. Quantität ist kein Qualitätsmerkmal.
Besser: Starten Sie mit 20 bis 30 Risiken, die tatsächlich geschäftsrelevant sind. Jedes Risiko muss den Satz bestehen: „Wenn dieses Risiko eintritt, hat es messbare Auswirkungen auf [Umsatz / Kosten / Reputation / Compliance-Status]." Was diesen Test nicht besteht, fliegt raus.
Fehler 2: Vage Risikobeschreibungen
„Regulatorische Veränderungen" ist kein Risiko. Es ist eine Kategorie. Ein Risiko wäre: „Verschärfung der EU-Lieferkettenregulierung (CSDDD) führt zu zusätzlichem Prüf- und Dokumentationsaufwand bei 120 Tier-1-Lieferanten. Geschätzter Mehraufwand: 2 FTE, €180.000 p.a."
Je konkreter die Beschreibung, desto besser die Bewertung und desto zielgerichteter die Gegenmaßnahmen.
Fehler 3: Brutto = Netto (oder Netto fehlt komplett)
Wenn die Brutto-Bewertung identisch mit der Netto-Bewertung ist, gibt es zwei Möglichkeiten: Entweder existieren keine Gegenmaßnahmen – dann stimmt etwas mit Ihrem Risikomanagement nicht. Oder die Maßnahmen wurden bei der Netto-Bewertung nicht berücksichtigt – dann stimmt etwas mit Ihrem Register nicht.
Die Differenz zwischen Brutto und Netto ist einer der wichtigsten Indikatoren. Sie zeigt, ob Ihre Kontrollen wirken. Wirtschaftsprüfer schauen sich genau das an.
Fehler 4: Abteilungen statt Personen als Risikoeigner
„Verantwortlich: IT-Abteilung" bedeutet in der Praxis: Niemand ist verantwortlich. Ein Risiko braucht einen konkreten Risk Owner mit Namen. Diese Person muss die Bewertung bestätigen, Maßnahmen vorantreiben und im Quartals-Review Rede und Antwort stehen.
Fehler 5: Das Register lebt nicht
Das tödlichste Problem: Das Register wird einmal befüllt und dann vergessen. Nach sechs Monaten sind die Hälfte der Bewertungen veraltet, drei Risikoeigner haben die Position gewechselt, und zwei neue regulatorische Anforderungen fehlen komplett.
Besser: Feste Review-Zyklen einplanen. Quartalsweise für das Gesamtregister, monatlich für die Top-10-Risiken. Und: Verknüpfen Sie die Register-Pflege mit bestehenden Prozessen. Wenn das Quartals-Reporting ohnehin stattfindet, wird das Register-Update davor geschaltet – nicht als separater Termin, der im Tagesgeschäft untergeht.
Vom leeren Blatt zum fertigen Register: Der Startprozess
Sie haben die Felder, Sie kennen die Fehler. Aber wie befüllen Sie das Register zum ersten Mal?
Schritt 1: Taxonomie klären. Bevor Sie ein einziges Risiko eintragen, brauchen Sie ein Ordnungssystem. Die [Risiko-Taxonomie](/blog/risiko-taxonomie-entwickeln) definiert, in welche Kategorien Ihre Risiken fallen. Ohne Taxonomie wird das Register schnell chaotisch.
Schritt 2: Risiken identifizieren. Über [Einzel-Interviews](/blog/risiko-interviews-fuehren) mit Führungskräften und [moderierte Workshops](/blog/risiko-workshops-moderieren) sammeln Sie die Risiken aus dem operativen Geschäft. Wichtig: Nicht nur die Risikomanagement-Abteilung befragt sich selbst, sondern die Fachabteilungen liefern ihre Perspektive.
Schritt 3: Brutto bewerten. Jedes Risiko wird nach Eintrittswahrscheinlichkeit und Schadenshöhe bewertet – zunächst ohne Berücksichtigung bestehender Maßnahmen. Nutzen Sie die Bewertungsskalen aus Ihrem Risikomanagement-Handbuch.
Schritt 4: Maßnahmen dokumentieren und Netto bewerten. Für jedes Risiko: Welche Kontrollen existieren bereits? Wie wirksam sind sie? Was bleibt als Netto-Risiko?
Schritt 5: Abgleich mit dem Risk Appetite. Liegt das Netto-Risiko innerhalb der Toleranzgrenzen aus dem [Risk-Appetite-Statement](/blog/risk-appetite-statement-formulieren)? Wenn nicht: Zusätzliche Maßnahmen definieren und terminieren.
Schritt 6: Review-Zyklus festlegen. Wer aktualisiert wann? Wie fließen die Daten ins [Quartals-Reporting](/blog/risiko-reporting-geschaeftsfuehrung)? Ohne feste Zyklen stirbt das Register nach der Erstbefüllung.
Praxis-Tipp: Die Erstbefüllung dauert typischerweise vier bis sechs Wochen – inklusive Interviews, Workshop und Konsolidierung. Planen Sie diesen Zeitraum realistisch ein. Wer das in einer Woche durchpeitschen will, bekommt ein Register, das die Realität nicht abbildet.
Zusammenfassung: Ihr Risikoregister-Check
Bevor Sie Ihr Register das nächste Mal öffnen, prüfen Sie diese fünf Punkte:
Pflichtfelder vollständig? Risiko-ID, Beschreibung, Taxonomie, Brutto-/Netto-Bewertung, Risikoeigner, Maßnahmen, Trend, letzte Aktualisierung.
Konkret genug? Jedes Risiko muss in zwei Sätzen verständlich sein – auch für jemanden, der es zum ersten Mal liest.
Brutto ≠ Netto? Die Differenz zeigt die Wirksamkeit Ihrer Kontrollen.
Personen statt Abteilungen? Jedes Risiko hat einen Risk Owner mit Namen.
Letztes Update < 90 Tage? Wenn nicht, ist Ihr Register veraltet.
Sie wollen nicht bei Null anfangen?
Ein Risikoregister aufzubauen, das den Anforderungen nach ISO 31000, COSO ERM und IDW PS 340 n.F. genügt, kostet Zeit – vor allem bei der Strukturierung. Die richtigen Felder, die richtige Bewertungslogik, die richtige Verknüpfung mit Taxonomie und Risikomatrix.
Die Risikoregister-Vorlage der ComplianceWerkstatt liefert Ihnen ein sofort einsetzbares Excel-Template mit allen Pflichtfeldern, vordefinierten Bewertungsskalen, automatischer Risikomatrix und integrierter Maßnahmenverfolgung. Basierend auf ISO 31000 und den IDW-Prüfungsstandards, konzipiert für den deutschen Mittelstand.
