1. Einleitung

In volatilen Zeiten und unter dem Brennglas von mediatisierten Gesellschaften, sollte unter den diversen Risiken, denen insbesondere große Unternehmen und Organisationen ausgesetzt sind, den Gefahren für Ansehen und guten Ruf besonderes Augenmerk zukommen.

Unsere Ausgangsthese: Unter den großen Unternehmen wie sie beispielsweise im DAX 40 gelistet sind, ist insbesondere bei Banken und Versicherungen zu erwarten, dass sie in ihrer Risikoberichterstattung auch auf das Thema Reputationsrisiko eingehen. Jedenfalls mehr, als andere Unternehmen dies tun. Um dies genauer herauszufinden, haben wir die Kapitel bzw. Abschnitte zum Risikomanagement in den aktuellen Geschäftsberichten (2025 digital veröffentlichte Berichte über das Geschäftsjahr 2024) von Deutsche Bank, Commerzbank, Allianz, Hannover Rück und Munich Re genauer angesehen.

Dabei waren für uns drei Kategorien forschungsleitend. Erstens wollten wir wissen, ob das Reputationsrisiko überhaupt als eigene Risikoklasse gesehen und welchen Stellenwert dem gegeben wird. Darüber hinaus wollten wir die zentralen Analyse- und Bewertungsmethoden festhalten, incl. der organisationalen Verankerung. Und zum dritten haben wir die Art der Berichterstattung unterverschiedenen Gesichtspunkten erst analysiert und danach im Vergleich bewertet. Diese Gesichtspunkte waren: Transparenz, Plazierung, Tonalität, Stakeholder-Adressierung, thematische Verbindungslinien, Kommunikationskanäle, Verantwortliche.

Da die Unternehmen über eine ganze Reihe von Risikoarten berichten, waren nicht zwingend sonderlich elaborierte Aussagen zur Anschlußkommunikation über Reputationsrisiken zu erwarten. Daher richteten wir unseren Blick etwas weiter. Wir wollten abschließend, was die fünf Unternehmen zur ihrer Art der Risikokommunikation allgemein sagen und ob der Grad der Differenziertheit hier evtl. zu kommunikativen Alleinstellungen führen könnte.

Zur vergleichenden Bewertung haben wir jeweils ein einfaches Punktesystem genutzt und die Ergebnisse in zwei Tabellen visualisiert.

Die Geschäftsberichte werden von allen genannten Unternehmen dauerhaft digital im Internet bereitgestellt. Für die Analyse wurden die Dokumente heruntergeladen, insgesamt durchgesehen, für die Analyse und Auswertung wurden dann insbesondere folgende Abschnitte speziell zum Risikomanagement zugrunde gelegt:

• Hannover Rück: Risikomanagement S. 87–104; Reputationsrisiko S. 92–95 (Kommunikation S. 98–100)​
• Deutsche Bank: Risikomanagement S. 67 ff.; Reputationsrisiko S. 72–75
• Commerzbank: Risikomanagement S. 52–61; Reputationsrisiko S. 55–57
• Allianz: Risikomanagement S. 20–32; Reputationsrisiko S. 25–27​
• Munich Re: Risikomanagement S. 42–54; Reputationsrisiko S. 47–49​

2. Analyseteil

Deutsche Bank

1. Identifikation von Reputationsrisiken
Reputationsrisiko ist als eigenständige Risikokategorie definiert und nimmt im Risikobericht einen hohen Stellenwert ein. Auslöser sind regulatorische Verstöße, ethische Fehltritte, Geldwäsche, IT-Sicherheitsprobleme und negative Medienberichterstattung. Die Wechselwirkungen mit anderen Risiken werden explizit hervorgehoben.

2. Analyse- und Bewertungsmethoden
Die Deutsche Bank verfügt über ein dediziertes Reputational Risk Office, das für Identifikation, Bewertung und Steuerung von Reputationsrisiken verantwortlich ist. Es existieren klar definierte Eskalations- und Prüfprozesse, die eine konzernweite, qualitative Bewertung ermöglichen. Quantitative Methoden oder spezifische Kennzahlen werden nicht ausgewiesen.

3. Berichterstattung & Kommunikation

• Transparenz: Die Berichterstattung ist umfassend und benennt Reputationsrisiken explizit. Prozesse zur Identifikation und Steuerung werden detailliert beschrieben, jedoch keine konkreten Schadensfälle oder quantitative Analysen veröffentlicht. Die Offenheit signalisiert ein hohes Problembewusstsein.
• Struktur/Platzierung: Das Thema ist in einem eigenen Unterkapitel im Risikobericht verankert. Die klare Strukturierung unterstreicht die Bedeutung und erleichtert die Nachvollziehbarkeit.
• Sprache/Tonalität: Die Sprache ist sachlich, prozessorientiert und betont Prävention und Kontrolle. Die Bank verweist auf die kontinuierliche Weiterentwicklung der Kontrollmechanismen.
• Stakeholder-Ansprache: Externe Stakeholder wie Kunden, Investoren und Öffentlichkeit werden als relevante Gruppen genannt. Ein aktiver Dialog oder Feedbackmechanismen werden jedoch nicht beschrieben.
• Verknüpfung mit anderen Themen: Enge Verbindung zu Compliance, regulatorischen Risiken und IT-Sicherheit. Reputationsrisiken werden als Folge anderer Risikokategorien verstanden.
• Kommunikationskanäle: Spezifische Kanäle für den Umgang mit Reputationsrisiken werden nicht genannt. Die Bedeutung transparenter Kommunikation im Krisenfall wird betont, ohne Details zu nennen.
• Verantwortlichkeiten: Die Verantwortung liegt beim Reputational Risk Office und den jeweiligen Fachbereichen. Konkrete Namen oder Rollen werden nicht genannt.

Bewertung:
Die Deutsche Bank verfolgt einen strukturierten, prozessorientierten Ansatz. Die Berichterstattung ist umfassend, bleibt aber abstrakt. Es fehlen konkrete Beispiele, quantitative Analysen und proaktive Kommunikationsstrategien.

Commerzbank

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als eigenständige Kategorie geführt. Auslöser sind Regelverstöße, ethische Konflikte, Nachhaltigkeitsprobleme und negative Berichterstattung. Die Bedeutung für das Vertrauen von Kunden und Investoren wird betont.

2. Analyse- und Bewertungsmethoden
Spezifische Richtlinien und ein Reputationsrisikokomitee prüfen und bewerten kritische Fälle. Die Bewertung erfolgt qualitativ anhand von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Quantitative Kennzahlen werden nicht ausgewiesen.

3. Berichterstattung & Kommunikation

• Transparenz: Die Berichterstattung ist transparent und benennt Reputationsrisiken explizit. Prozesse zur Identifikation und Bewertung werden beschrieben, jedoch keine konkreten Schadensfälle oder quantitative Analysen veröffentlicht.
• Struktur/Platzierung: Das Thema ist in einem eigenen Unterkapitel im Risikobericht verankert. Die klare Strukturierung unterstreicht die Bedeutung und erleichtert die Nachvollziehbarkeit.
• Sprache/Tonalität: Die Sprache ist sachlich, präventiv und betont Prävention und Kontrolle. Interne Kontrollmechanismen und Präventionsmaßnahmen werden hervorgehoben.
• Stakeholder-Ansprache: Externe Stakeholder wie Kunden, Investoren und Öffentlichkeit werden als relevante Gruppen genannt. Hinweise auf aktiven Dialog oder Feedbackmechanismen fehlen.
• Verknüpfung mit anderen Themen: Enge Verbindung zu Compliance, Nachhaltigkeit und Kundenbeziehungen. Reputationsrisiken werden als Folge anderer Risikokategorien verstanden.
• Kommunikationskanäle: Spezifische Kanäle für den Umgang mit Reputationsrisiken werden nicht genannt. Die Bedeutung transparenter Kommunikation im Krisenfall wird betont, ohne Details zu nennen.
• Verantwortlichkeiten: Die Verantwortung liegt beim Reputationsrisikokomitee und den jeweiligen Fachbereichen. Konkrete Namen oder Rollen werden nicht genannt.

Bewertung:
Die Commerzbank behandelt Reputationsrisiken systematisch und transparent, bleibt aber auf abstrakter, qualitativer Ebene. Es fehlen konkrete Beispiele, quantitative Analysen und proaktive Kommunikationsstrategien.

Allianz

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als Teil der nicht-finanziellen Risiken betrachtet und explizit erwähnt. Auslöser sind Compliance-Verstöße, Nachhaltigkeitsthemen, Managementfehler und negative Medienberichterstattung. Die Bedeutung für das Geschäftsmodell und das Vertrauen der Stakeholder wird betont.

2. Analyse- und Bewertungsmethoden
Konzernweite Standards und regelmäßige Überprüfungen zur Identifikation und Bewertung. Die Bewertung erfolgt qualitativ anhand von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Quantitative Methoden oder spezifische Kennzahlen werden nicht ausgewiesen.

• 3. Berichterstattung & Kommunikation
  Transparenz: Die Berichterstattung ist knapp, aber klar. Reputationsrisiken werden explizit genannt, jedoch ohne konkrete Schadensfälle, quantitative Analysen oder detaillierte Szenarien.
• Struktur/Platzierung: Das Thema ist im allgemeinen Risikobericht integriert und wird als Querschnittsthema verstanden, das mit anderen Risiken wie Compliance und Nachhaltigkeit verknüpft ist.
• Sprache/Tonalität: Die Sprache ist sachlich, defensiv und auf Prävention ausgerichtet. Interne Kontrollmechanismen und Präventionsmaßnahmen werden betont.
• Stakeholder-Ansprache: Externe Stakeholder wie Kunden, Investoren und Öffentlichkeit werden als potenziell Betroffene erwähnt. Hinweise auf aktiven Dialog, Feedback-Mechanismen oder spezifische Kommunikationsmaßnahmen im Krisenfall fehlen.
• Verknüpfung mit anderen Themen: Enge Verknüpfung mit Compliance, Nachhaltigkeit und operativen Risiken. Verstöße in diesen Bereichen werden als zentrale Auslöser für Reputationsschäden identifiziert.
• Kommunikationskanäle: Keine spezifischen externen Kommunikationskanäle genannt. Die Bedeutung schneller und transparenter Kommunikation im Krisenfall wird allgemein betont, ohne Details zu nennen.
• Verantwortlichkeiten: Die Verantwortung liegt bei den zentralen Risikomanagement- und Compliance-Funktionen. Konkrete Rollen oder Namen werden nicht genannt.

Bewertung:
Die Allianz adressiert das Thema knapp und strukturiert, bleibt aber auf abstrakter, qualitativer Ebene. Es fehlen konkrete Beispiele, quantitative Analysen und proaktive Kommunikationsstrategien.

Hannover Rück

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als eigenständige Risikokategorie geführt, meist als Folge anderer Risiken wie Compliance-Verstößen, Datenschutzverletzungen, Nachhaltigkeitsproblemen oder operativen Fehlern. Auslöser werden konkret benannt, darunter Regelverstöße, Fehlverhalten, negative Medienberichterstattung und Managementfehler.

2. Analyse- und Bewertungsmethoden
Konzernweiter, standardisierter Risikomanagementprozess, in dem Reputationsrisiken regelmäßig identifiziert und bewertet werden. Die Bewertung erfolgt qualitativ anhand von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Quantitative Kennzahlen werden nicht ausgewiesen.

• 3. Berichterstattung & Kommunikation
  Transparenz: Die Berichterstattung ist offen und benennt Reputationsrisiken explizit, bleibt jedoch abstrakt. Keine konkreten Schadensfälle, Szenarien oder quantitativen Analysen.
• Struktur/Platzierung: Das Thema ist als Querschnittsrisiko im Kapitel Risikomanagement integriert. Die Verknüpfung mit anderen Risiken wie Compliance, Nachhaltigkeit und operativen Risiken wird betont.
• Sprache/Tonalität: Die Sprache ist sachlich, defensiv und auf Prävention ausgerichtet. Interne Kontrollmechanismen und Präventionsmaßnahmen werden hervorgehoben.
• Stakeholder-Ansprache: Externe Stakeholder wie Kunden, Investoren und Öffentlichkeit werden als potenziell Betroffene erwähnt. Hinweise auf aktiven Stakeholder-Dialog, Feedback-Mechanismen oder spezifische Kommunikationsmaßnahmen im Krisenfall fehlen.
• Verknüpfung mit anderen Themen: Enge Verknüpfung mit Compliance, Nachhaltigkeit und operativen Risiken. Verstöße in diesen Bereichen werden als zentrale Auslöser für Reputationsschäden identifiziert.
• Kommunikationskanäle: Keine spezifischen externen Kommunikationskanäle genannt. Die Bedeutung schneller und transparenter Kommunikation im Krisenfall wird allgemein betont, ohne Details zu nennen.
• Verantwortlichkeiten: Die Verantwortung liegt bei der zentralen Risikomanagementfunktion und den Fachbereichen. Konkrete Rollen oder Namen werden nicht genannt.

Bewertung:
Hannover Rück adressiert Reputationsrisiken systematisch und transparent, bleibt aber auf abstrakter, qualitativer Ebene. Es fehlen konkrete Beispiele, quantitative Analysen und proaktive Kommunikationsstrategien.

Munich Re

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als Querschnittsrisiko beschrieben, das aus anderen Risiken wie Compliance-Verstößen, operativen Fehlern, Nachhaltigkeitsthemen oder Managementversagen entstehen kann. Die Bedeutung für das Vertrauen von Kunden, Investoren und Öffentlichkeit wird betont.

2. Analyse- und Bewertungsmethoden
Konzernweites Reputationsrisikomanagement mit Fokus auf Prävention und Krisenreaktion. Die Bewertung erfolgt qualitativ anhand von Eintrittswahrscheinlichkeit und potenziellen Auswirkungen. Quantitative Methoden oder spezifische Kennzahlen werden nicht ausgewiesen.

• 3. Berichterstattung & Kommunikation
  Transparenz: Die Berichterstattung ist ausführlich und benennt Reputationsrisiken explizit. Prozesse zur Identifikation und Steuerung werden detailliert beschrieben, jedoch keine konkreten Schadensfälle oder quantitative Analysen veröffentlicht.
• Struktur/Platzierung: Das Thema ist im Risikobericht integriert und wird als Querschnittsthema verstanden, das mit anderen Risiken wie Compliance, Nachhaltigkeit und operativen Risiken verknüpft ist.
• Sprache/Tonalität: Die Sprache ist sachlich, präventiv und betont Prävention und Kontrolle. Interne Kontrollmechanismen und Präventionsmaßnahmen werden hervorgehoben.
• Stakeholder-Ansprache: Externe Stakeholder wie Kunden, Investoren und Öffentlichkeit werden als potenziell Betroffene erwähnt. Hinweise auf aktiven Dialog, Feedback-Mechanismen oder spezifische Kommunikationsmaßnahmen im Krisenfall fehlen.
• Verknüpfung mit anderen Themen: Enge Verknüpfung mit Compliance, Nachhaltigkeit und operativen Risiken. Verstöße in diesen Bereichen werden als zentrale Auslöser für Reputationsschäden identifiziert.
• Kommunikationskanäle: Keine spezifischen externen Kommunikationskanäle genannt. Die Bedeutung schneller und transparenter Kommunikation im Krisenfall wird allgemein betont, ohne Details zu nennen.
• Verantwortlichkeiten: Die Verantwortung liegt bei den zentralen Risikomanagement- und Compliance-Funktionen. Konkrete Rollen oder Namen werden nicht genannt.

Bewertung:
Munich Re behandelt Reputationsrisiken ausführlich und präventiv, bleibt aber auf qualitativer, abstrakter Ebene. Es fehlen konkrete Beispiele, quantitative Analysen und proaktive Kommunikationsstrategien.

3. Bewertung

Vergleich der Reputationsrisiko-Berichterstattung: Methodik und Bewertung der Konkretionsgrade

Um die Unterschiede in der Berichterstattung zum Reputationsrisiko zwischen den Unternehmen klarer herauszuarbeiten, wird im Folgenden ein Punktesystem (1 = sehr abstrakt, 5 = sehr konkret) für drei Oberkategorien angewendet:

1. Identifikation von Reputationsrisiken
2. Analyse- und Bewertungsmethoden
3. Berichterstattung & Kommunikation

Bewertungskriterium: Je präziser und konkreter Mechanismen, Funktionen, Entscheidungsprozesse, Strukturen, Medien, Instrumente und Kanäle im Bericht genannt werden, desto höher die Punktzahl. Die Bewertung erfolgt jeweils am Ende der Analyse pro Unternehmen und Kategorie. Die Ergebnisse werden abschließend tabellarisch zusammengefasst, um die Unterschiede auf einen Blick sichtbar zu machen.

Deutsche Bank

1. Identifikation von Reputationsrisiken
Reputationsrisiko ist als eigenständige Risikokategorie definiert. Es werden zahlreiche Auslöser (z.B. regulatorische Verstöße, IT-Probleme, Medienberichte) benannt und die Wechselwirkungen mit anderen Risiken erläutert.
Punkte: 4

2. Analyse- und Bewertungsmethoden
Ein dediziertes Reputational Risk Office mit klaren Prüf- und Eskalationsprozessen ist beschrieben. Die Bewertung bleibt jedoch qualitativ, ohne quantitative Kennzahlen.
Punkte: 4

3. Berichterstattung & Kommunikation
Das Thema ist prominent platziert, die Prozesse werden detailliert erläutert. Es fehlen jedoch konkrete Schadensfälle, quantitative Analysen und spezifische Kommunikationskanäle.
Punkte: 3

Commerzbank

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als eigenständige Kategorie geführt, mit klaren Auslösern (Regelverstöße, Nachhaltigkeit, Medien).
Punkte: 4

2. Analyse- und Bewertungsmethoden
Ein Reputationsrisikokomitee und spezifische Richtlinien sind benannt, die Bewertung bleibt aber qualitativ.
Punkte: 3

3. Berichterstattung & Kommunikation
Das Thema ist strukturiert und transparent dargestellt, aber ohne konkrete Beispiele, quantitative Analysen oder Kommunikationskanäle.
Punkte: 3

Allianz

1. Identifikation von Reputationsrisiken
Reputationsrisiko wird als Teil der nicht-finanziellen Risiken explizit erwähnt, Auslöser werden benannt, aber weniger detailliert als bei Banken.
Punkte: 3

2. Analyse- und Bewertungsmethoden
Konzernweite Standards und Überprüfungen sind beschrieben, die Bewertung bleibt qualitativ und allgemein.
Punkte: 2

3. Berichterstattung & Kommunikation
Das Thema ist knapp, aber klar integriert, ohne konkrete Beispiele oder Kommunikationskanäle.
Punkte: 2

Hannover Rück

1. Identifikation von Reputationsrisiken
Reputationsrisiko ist als eigenständige Kategorie geführt, Auslöser werden konkret benannt.
Punkte: 4

2. Analyse- und Bewertungsmethoden
Standardisierter Risikomanagementprozess, Bewertung qualitativ, keine quantitativen Angaben.
Punkte: 3

3. Berichterstattung & Kommunikation
Offene, aber abstrakte Darstellung, keine konkreten Fälle oder Kanäle.
Punkte: 2

Munich Re

1. Identifikation von Reputationsrisiken
Reputationsrisiko als Querschnittsrisiko, zahlreiche Auslöser werden benannt.
Punkte: 4

2. Analyse- und Bewertungsmethoden
Konzernweites Management, qualitative Bewertung, keine quantitativen Methoden.
Punkte: 3

3. Berichterstattung & Kommunikation
Ausführliche, aber abstrakte Darstellung, keine konkreten Beispiele oder Kanäle.
Punkte: 3