Triplenavi:

Risikomanagement

Mit der VR-Aufgabe der Überwachung (OR 716a) ist Risikomanagement seit jeher eine implizite Aufgabe des Verwaltungsrates. Mit den Revisionen (2008 und 2013) wurden internes Kontrollsystem und Risikobericht explizit im Obligationenrecht vorgeschrieben. Die Empfehlungen des Swiss Code gehen mit der weiter gefassten Definition des IKS noch stärker Richtung umfassendes Risikomanagement.

Definition und Hintergrund

Synonym verwendete Begriffe:
Internes Kontrollsystem, Risk Management
 
Unter Risikomanagement versteht man alle Tätigkeiten zur Identifikation, Einschätzung, Steuerung und Überwachung von Risiken bezüglich der Zielerreichung im Unternehmen. Risiken und Risikoklassen
 
Der heutige Begriff des Risikos entwickelte sich im 14. Jahrhundert im Umfeld des Seehandels und der damit entstehenden Versicherungen. Die Idee des Risikomanagements als Aufgabe des Verwaltungsrates ist nach den Entwicklungen um SOX (Sarbanes Oxley Act) auch explizit im OR aufgenommen worden. 2008 kam mit OR 728 die Pflicht der Revisionsstelle, die Existenz eines internen Kontrollsystems zu prüfen. Mit OR 961c müssen grössere Unternehmen ab 2013 anstelle des Jahresberichts ein Lagebericht mit einer Risikoeinschätzung erstellen.

Risikomanagement für Verwaltungsräte

Allgemeine Aufgaben

Obwohl das Risikomanagement nicht explizit als Aufgabe des Verwaltungsrates genannt ist, ist dieser aufgrund der nicht delegierbaren gesetzlichen Aufgaben wie Rechnungslegung und Finanzkontrolle, Überwachung, etc. verantwortlich für das Risikomanagement im Unternehmen. Der Verwaltungsrat
  • trägt die Gesamtverantwortung für das Risikomanagement im Unternehmen
  • definiert die Risikostrategie
  • muss periodisch das Risikoprofil überprüfen
  • ist verantwortlich für die Festlegung und Überwachung des internen Kontrollsystems
  • führt eine Risikobeurteilung durch und berichtet darüber im Lagebericht

Internes Kontrollsystem

Seit der Aktienrechtsrevision 2008 trägt der Verwaltungsrat die Verantwortung für die Existenz eines internen Kontrollsystems. Details dazu siehe Internes Kontrollsystem.

Lagebericht

Seit der Aktienrechtsrevision 2013 müssen ordentlich revisionspflichtige Unternehmen anstelle des Jahresberichts einen Lagebericht mit einer Risikobeurteilung erstellen. Obwohl diese neu auf die gesamten Unternehmensrisiken Bezug nimmt, wird die Berichterstattung kaum detailliert auf konkrete Risiken eingehen.

Begriffsabgrenzung

Das Risikomanagement befasst sich mit Risiken und Chancen im Unternehmen, beurteilt und bewertet sie. Es betrachtet sowohl finanzielle, operative wie strategische und auch marktspezifische Risiken.

Internes Kontrollsystem (IKS)

Das interne Kontrollsystem (IKS) fokussiert dagegen eher auf Schadensbegrenzung bei internen Prozessen mittels Kontrollmassnahmen. Externe und strategische Risiken werden grösstenteils ausgeklammert. Im OR-Verständnis wird IKS primär als rechnungslegungsrelevante interne Kontrollmassnahmen interpretiert.

Finanzkontrolle

Im Gegensatz zum IKS gehört zur Finanzkontrolle auch eine proaktive und inhaltliche Kontrolle von Finanzflüssen (z.B. Liquidität). Hier wird nicht nur Prozesskonformität sichergestellt, sondern auch aktiv nach Wirtschaftlichkeit und Effizienz gesucht.

Interne Revision

Die interne Revision bezweckt neben der Beurteilung von Wirksamkeit der Governance- und Risikomanagementprozesse als 'operational audit' auch die Verbesserung von Geschäfts- und Führungsprozessen.
 

Bausteine des Risikomanagement

Elemente Risikomanagement

Der Aufbau eines unternehmensweiten Risikomanagements beinhaltet diverse Facetten. Wirksam werden diese nur, wenn sie entsprechend im Unternehmen verankert und gelebt werden. Elemente des Risikomanagements Obwohl die Elemente des Risikomanagements immer dieselben sind, unterscheiden sich deren konkrete Ausgestaltung im jeweiligen Unternehmen je nach Grösse, Branche, Geografie etc..

Die drei Kernprozesse des Risikomanagement

Vereinfacht kann das Risikomanagement in drei Hauptschritte eingeteilt werden: Risikoidentifikation, Bewertung und Steuerung. Kernprozesse des Risikomanagements Die im ersten Schritt für das Unternehmen identifizierten und relevanten Risiken werden im zweiten Schritt qualitativ und quantitativ bewertet. Anschliessend wird basierend auf der Risikostrategie (Risikoappetit) die geeignete Massnahme zur Steuerung des Risikos ausgewählt (Vermeiden, Reduzieren, Transfer, Akzeptieren) und implementiert.

Werkzeuge Risikomanagement

Die klassischen Werkzeuge des Risikomanagements reichen von der einfachen Erfassungsliste der Unternehmensrisiken, zur Einordnung via Risikolandkarte (Muster Risikoliste und -Matrix) bis zu komplexen Bewertungsmodellen von Risiken zur Einschätzung des 'Value at Risk'. Eine vom Verwaltungsrat verabschiedete Risk Policy legt die Leitlinien des Risikomanagements für das Unternehmen schriftlich fest (s. Muster Risk Policy).

Markt

Konkrete Informationen über die Praxis von Risikomanagement in Schweizer Unternehmen gibt es nur spärlich. Auch die Geschäftsberichte und vermutlich auch die neuen Lageberichte sind hier wenig ergiebig. Das Thema Internes Kontrollsystem als klassische Domäne der Revisoren ist etwas besser ausgeleuchtet. Dazu siehe unter IKS.

Wichtigste Risiken

Eine Studie aus Deutschland zeigt eine Liste der von mittelständischen Unternehmen als sehr wichtig oder wichtig erachteten Risiken (Daten aus der Risknet Benchmarkstudie Risikomanagement im Mittelstand 2011). Wichtigste Risiken
Quelle: Daten www.risknet.de

Kostenanteile der verschiedenen Funktionsbereiche

Eine Umfrage von HSG / KPMG unter grösseren Schweizer Unternehmungen zeigt die ungefähren Aufwendungen für die verschiedenen Funktionsbereiche des Risikomanagments im Unternehmen. Echte Kostentransparenz ist aufgrund der vielen versteckten Kosten kaum anzutreffen - die Verteilung dürfte jedoch in etwas der Praxis entsprechen. Kosten Risikomanagement
Quelle: Daten KPMG Effektive Assurance 2012.
 

Diskussions- und Knackpunkte rund ums Thema

  • Die Frage um den notwendigen Umfang des Risikomanagements im Unternehmen ist ein Dauerbrenner, vom Gesetzgeber bewusst offengelassen, akademisch nicht wirklich beantwortbar.
  • Die Juristen sind sich auch mit der Einführung des neuen Lageberichts nicht einig, ob das vom VR zu verantwortende Risikomanagement sich wirklich nur auf finanzielle Geldflüsse (im Sinne des IKS) beziehen soll.
  • Viele Unternehmen verwechseln Risikomanagement mit dem Abschluss von Versicherungen. Oft sind damit jedoch eher unwahrscheinliche und nicht die existenzgefährdenden Risiken berücksichtigt.
 

Weiterführende Literatur und Links

Risikomanagement, Internes Kontrollsystem (IKS) - die ewigen Renner - und jeder erfindet es neu. Ein Kurzabriss von Gressly (2008), etwas theoretischer aber gründlicher sind Fraser (2010) und Merbecks (2004). Auf Deutschland ausgerichtet, aber immer eine interessante Quelle zum Thema ist Romeikes Portal risknet.de.

Titel / +Details
Autor
Jahr
Q
P
Link
Enterprise Risk Management
Fraser, John
2010
5
5
Today's Leading Research and Best Practices for Tomorrow's Executives
Umfassendes und aktuelles Werk zum unternehmensweiten Risk Management. Geschichte, strategische Einbettung, Rolle des Risk Managers und des Boards, Tools, quantitative Analyse etc. Englisch.
Land: Gl
Andere Autoren: BettyJ. Simkins
Seiten: 600
Verlag: Wiley
ISBN: 978-0-470-49908-5
Risk Management Benchmarking 2010
PWC
2010
5
5
Eine Studie zum aktuellen Stand des Risikomanagements in Grossunternehmen in der deutschen Realwirtschaft
Ausführliche Marktdaten 2010 zu Risikomanagement in Grossunternehmen D. Definition, Organisation, Risikoidentifikation, Bewertung, Verlinkung, Steuerung.
Land: D
Monat: 9
Seiten: 44
Verlag: www.pwc.ch
Expectations of Risk Management Outpacing Capabilities
KPMG
2013
5
4
It’s Time For Action
Umfrage bei 1092 CROs zu Risikomanagement, Exposure, Appetit, Interne Kontrolle, Nutzenmessung etc.
Land: Gl
Seiten: 60
Verlag: www.kpmg.com
www.risknet.de - Portal zum Thema Risikomanagement
Risknet.de
2010
4
4
Recht breites Portal zum Thema Risikomanagement von Frank Romeike. Zum Teil etwas Deutschland-lastig, aber mit viel interessanter Literatur.
Land: DE
Verlag: www.risknet.de
Risikomanagement, Organisation, Compliance für Unternehmer
Zenke, Ines
2015
Land: Gl
Andere Autoren: Ralf Schäfer, Holger Brocke
Monat: 7
Seiten: 400
Verlag: Walter de Gruyter
ISBN: 978-3-11-035463-8
IT-Governance als Aufgabe des Verwaltungsrates
Willi, Annette
2008
Kriterien einer sorgfältigen Pflichterfüllung unter Berücksichtigung der strategischen Rolle der IT im Unternehmen
Seiten: 305
Verlag: Schulthess
Bibliothek: ZB
ISBN: 978-3-7255-5713-4
Intelligentes Risikomanagement
Merbecks, Andreas
2004
5
3
Das Unvorsehbare meistern
Analytisch aber doch verständliches Material aus der McKinsey-Praxis. Messung, Handling, organisatorische Verankerung von Risiken.
Land: Gl
Andere Autoren: McKinsey
Monat: 3
Seiten: 312
Verlag: Überreuter, Redline Wirtschaft
Bibliothek: Zug, WIN
ISBN: 978-3-8323-0964-0
Informationssicherheit in der IT und persönliche Haftung der Verwaltungsräte
Schneider, Jürg
2009
5
4
Handlich kurzer Beschrieb: Rechtliche Anforderungen an IT-Sicherheit (hard/soft law), Zuständigkeiten des VR, wichtigste Massnahmen zur Haftungsprävention
Seiten: 50
Verlag: Helbing Lichtenhahn
Bibliothek: ZB
ISBN: 978-3-7190-2802-2
Risikomanagement – mehr als nur gesetzliche Pflichterfüllung
Gressly, Jean-Max
2008
5
4
Kurze Darstellung der Bedeutung und Aufbau eines Risikomanagements mit entsprechenden Graphiken - auch in KMU.
Andere Autoren: André Wyss
Quelle: Treuhänder
Monat: 10
Verlag: www.treuhaender.ch
auf Seite: 739-744
Risk Management at Board Level
Kalia, Vinay
2019
2
2
A Practical Guide for Board Members
Neben dem schlechten Englisch ist auch der Inhalt nicht wirklich empfehlenswert.
Andere Autoren: Roland Müller
Seiten: 234
Verlag: Haupt
ISBN: 978-3-258-08124-3
Alignment of Internal Audit, Risk Management and Compliance Functions
Theytaz, Natacha
2010
4
4
Zeigt anhand Beispiele Roche, Novartis, Syngenta die Vorteile einer Koordination der verschiedenen Funktionen. Englisch
Land: Gl
Andere Autoren: Peter Elam, Neil Dempsey
Quelle: Treuhänder
Monat: 9
Seiten: 5
Verlag: www.treuhaender.ch
auf Seite: 588-592
Risikomanagement im Konzern
Kajüter, Peter
2012
Eine empirische Analyse börsennotierter Aktienkonzerne
Umfassendes Werk - jedoch mit Beispieldaten aus dem deutschen Raum.
Land: Gl
Seiten: 454
Verlag: Vahlen
ISBN: 978-3-8006-3440-8
 
 
 
Nach oben Empfehlen Feedback
×

Haben Sie Ideen / Feedbacks / Korrekturen zur Seite?

Wir freuen uns immer über konstruktive Ideen / Feedbacks / Korrekturen zur Webseite - schreiben Sie uns doch eine kleine Notiz.

Die e-Mail Adresse wird nur für allfällige Rückfragen benutzt und weder publiziert noch an Dritte weitergegeben.