Chief Risk Officer (CRO)

Mitglied oder direkt der Geschäftsleitung unterstellte Schlüsselfunktion zur unternehmensweiten Steuerung von Risiken.

Definition

Der Chief Risk Officer (CRO) ist die zentrale Schlüsselfunktion einer Gesellschaft für die unternehmensweite Steuerung sämtlicher Risiken. Er verantwortet das Risk-Management-Framework, die Risikoidentifikation, die Risikobewertung, die Risikoberichterstattung und die Risiko-Governance. Er ist Sparringpartner für CEO, CFO und Verwaltungsrat bei strategischen Entscheidungen mit Risikodimension.

In regulierten Branchen ist er typischerweise Mitglied der Geschäftsleitung mit direkter Berichtslinie zum Verwaltungsrat oder zum Audit Committee. In nicht regulierten KMU ist die Funktion oft mit dem CFO oder einem dedizierten Risk Manager kombiniert. Die Bedeutung der Funktion wächst durch zunehmende Risikokomplexität (Cyber, geopolitisch, Klima, regulatorisch).

Aufgaben und Rechtsgrundlage

In der Schweiz ist die Funktion nicht in einem einzigen Gesetzesartikel kodifiziert. Die Pflichten ergeben sich aus mehreren Quellen:

OR Art. 716a Abs. 1 Ziff. 5: Oberaufsicht über die mit der Geschäftsführung betrauten Personen.
OR Art. 728a Abs. 1 Ziff. 3: internes Kontrollsystem.
OR Art. 717: Sorgfalts- und Treuepflicht der Organe.
FINMA-Rundschreiben 2017/1: Corporate Governance Banken, mit expliziten CRO-Anforderungen.
Versicherungsaufsichtsgesetz VAG mit Risk-Management-Anforderungen.
Swiss Code of Best Practice für börsenkotierte Gesellschaften.

Die Kernaufgaben umfassen:

Risikomanagement-Framework definieren und pflegen.
Risikoinventar mit Identifikation, Bewertung und Klassifikation aller relevanten Risiken.
Risikoappetit festlegen, abgestimmt mit dem Verwaltungsrat.
Risikolimiten überwachen (Kreditrisiken, Marktrisiken, Operationelle Risiken).
Stress-Tests und Szenarioanalysen durchführen.
Risiko-Reporting an Geschäftsleitung und Verwaltungsrat verantworten.
Frühwarnsystem betreiben.
Kapitalplanung und Versicherungsstrategie steuern.
Schnittstelle zu Aufsichtsbehörden und Rating-Agenturen.

Praxis Schweiz

In Schweizer Konzernen ist der CRO meist Mitglied der erweiterten Geschäftsleitung mit direkter Berichtslinie an den CEO und einer fachlichen Berichtslinie an das Audit Committee oder ein separates Risk Committee. Die Funktion ist organisatorisch unabhängig von operativen Bereichen, was Interessenkonflikte vermeidet.

In Banken und Versicherungen ist die Struktur durch FINMA-Vorgaben konkretisiert: der CRO hat ein direktes Vortragsrecht beim Verwaltungsrat, eine schriftlich definierte Funktionsbeschreibung und einen geschützten Eskalationsweg. Verstösse gegen diese Struktur sind regulatorisch sanktioniert.

In KMU wird die Funktion oft kombiniert mit CFO, COO oder einem dedizierten Risk Manager. Wichtig ist, dass die Risikoarbeit nicht zur Nebentätigkeit wird, die unter operativem Druck wegfällt. Eine periodische externe Risiko-Beratung kann die interne Funktion stärken.

Best Practice in der Schweiz umfasst:

Quartalsweise Risiko-Reports an das Audit Committee.
Jährliche Risikoinventur mit Diskussion im Gesamt-VR.
Risikoappetit-Dokument, das vom VR genehmigt wird.
Eskalationsregeln für kritische Vorfälle.
Integration des Risikomanagements in Strategie- und Budgetprozess.

Häufige Fehler

Klassische Schwächen in der Praxis:

CRO ohne echte Unabhängigkeit, berichtet ausschliesslich an operative Vorgesetzte.
Risikoinventar als Checklistenübung ohne Verbindung zur strategischen Diskussion.
Risikoappetit ist nicht definiert oder nicht vom VR genehmigt.
Risiko-Reports ohne klare Eskalations-Kriterien.
Risikomanagement nicht in Strategie- und Budgetprozess integriert.
Fehlende quantitative Bewertung (Szenarien, Stress-Tests).
Kombination mit Funktionen, die Interessenkonflikte erzeugen.
Cyber-, ESG- und geopolitische Risiken werden vernachlässigt.
Keine periodische externe Validierung des Risikomanagement-Frameworks.

Abgrenzung

Compliance Officer: fokussiert auf Einhaltung von Gesetzen und Regularien, der CRO hat ein breiteres Risiko-Mandat.
CFO: verantwortet Finanzplanung und Reporting, der CRO fokussiert auf Risikoperspektive aller Geschäftsfelder.
Internal Audit: prüft die Wirksamkeit des Risikomanagements, ist aber unabhängig davon.
Audit Committee: Aufsichtsorgan, der CRO ist operativer Funktionsträger.
Versicherungsmanager: spezialisierte Funktion zur Vertragsabschluss-Steuerung, der CRO verantwortet das Gesamt-Risiko inklusive Eigenversicherung.

Häufige Fragen

Was ist ein Chief Risk Officer?

Der Chief Risk Officer (CRO) ist die zentrale Schlüsselfunktion einer Gesellschaft für die unternehmensweite Steuerung sämtlicher Risiken. Er verantwortet das Risk-Management-Framework, die Risikoidentifikation, die Risikobewertung, die Risikoberichterstattung und die Risiko-Governance. In regulierten Branchen ist er Mitglied der Geschäftsleitung mit direkter Berichtslinie zum Verwaltungsrat oder Audit Committee.

Ist der CRO in der Schweiz gesetzlich vorgeschrieben?

In nicht regulierten Branchen ist die Funktion nicht explizit gesetzlich vorgeschrieben, ergibt sich aber aus der Pflicht zur sorgfältigen Unternehmensführung (OR Art. 716a) und zur Einrichtung eines internen Kontrollsystems (OR Art. 728a). Bei Banken und Versicherungen ist sie zwingend durch FINMA-Rundschreiben vorgeschrieben (Bankengesetz, Versicherungsaufsichtsgesetz). Bei börsenkotierten Gesellschaften ist sie durch den Swiss Code of Best Practice empfohlen.

Welche Aufgaben hat ein CRO?

Kernaufgaben sind: Risikomanagement-Framework definieren, Risikoinventar pflegen, Risikoappetit festlegen, Risikolimiten überwachen, Stress-Tests und Szenarioanalysen durchführen, Risiko-Reporting an Geschäftsleitung und Verwaltungsrat verantworten, Frühwarnsystem betreiben und Kapitalplanung sowie Versicherungsstrategie steuern. Er ist Sparringpartner für CEO und CFO bei strategischen Entscheidungen mit Risikodimension.

Wie ist der CRO organisatorisch eingebettet?

Best Practice ist die direkte Berichtslinie an den CEO und parallel an das Audit Committee oder Risk Committee des Verwaltungsrats. Die organisatorische Unabhängigkeit von operativen Bereichen ist zentral, um Interessenkonflikte zu vermeiden. In regulierten Branchen schreibt die Aufsicht oft eine Mindestausstattung mit Ressourcen und definierte Eskalationsrechte vor. In KMU wird die Funktion oft mit CFO oder Compliance Officer kombiniert.

Was unterscheidet CRO und Compliance Officer?

Der CRO verantwortet alle Risiken (strategisch, operationell, finanziell, regulatorisch, Reputations- und ESG-Risiken). Der Compliance Officer fokussiert auf die Einhaltung von Gesetzen, Regularien und internen Vorgaben. In regulierten Branchen sind die Funktionen oft getrennt, in nicht regulierten Strukturen werden sie kombiniert. Der CRO denkt in Eintritts-Wahrscheinlichkeiten und Schäden, der Compliance Officer in Verstossrisiken.

Welche Beziehung hat der CRO zum Verwaltungsrat?

Der CRO hat in der Regel direkten Zugang zum Audit Committee oder Risk Committee mit regelmässigem Reporting (quartalsweise oder monatlich). Bei kritischen Risiken hat er ein Eskalationsrecht direkt an den VR-Präsidenten. Der VR ist über die Risikolandkarte, kritische Einzelrisiken und Wirksamkeit des Risikomanagements informiert. Bei börsenkotierten Gesellschaften ist die Risikoberichterstattung Bestandteil des Lageberichts.

Wann braucht ein Unternehmen einen eigenständigen CRO?

Eigenständig ab ungefähr 200 Millionen Franken Umsatz oder hoher Risiko-Komplexität (Internationalität, Produkthaftung, Cyber, regulatorische Komplexität). Bei Banken und Versicherungen jeder Grösse zwingend. In kleineren KMU kann die Funktion vom CFO, CEO oder einem dedizierten Risk Manager mit übernommen werden. Eine externe Risk-Management-Beratung kann die Funktion ergänzen.

Welche Verantwortung hat der CRO bei einem Schadensfall?

Bei einem Schadensfall haftet der CRO als Geschäftsleitungsmitglied nach OR Art. 754 persönlich und solidarisch, wenn er seine Pflichten verletzt hat. Dazu zählen: nicht rechtzeitig erkannte Risiken, fehlende Eskalation, unzureichende Mitigations-Massnahmen. Eine Entlastung durch ein dokumentiertes Risikomanagement-Framework ist möglich, wenn die Sorgfaltspflicht nachweislich erfüllt wurde. Der VR haftet daneben für die Oberaufsicht.