Risiko-Management
Systematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
Definition
Risiko-Management ist die systematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft. Es zielt darauf ab, Risiken bewusst zu nehmen, zu vermeiden, zu transferieren oder zu mindern — entsprechend dem definierten Risikoappetit der Gesellschaft.
Risiko-Management ist eine unübertragbare Aufgabe des Verwaltungsrats im Rahmen der Finanzkontrolle und Finanzplanung (OR Art. 716a Abs. 1 Ziff. 3). Die Berichterstattung zur Risikobeurteilung ist gesetzlich gefordert (OR Art. 961c).
Risiko-Kategorien
Risiken werden typischerweise in mehrere Kategorien gegliedert:
Strategische Risiken
- Markt- und Wettbewerbsrisiken: Marktverlust, Disruption durch neue Wettbewerber.
- Technologische Risiken: Veraltete Technologien, Substitution.
- Geschäftsmodell-Risiken: Wegfall der Erlösbasis.
- Reputationsrisiken: Markenschaden, Glaubwürdigkeitsverlust.
Operationelle Risiken
- Prozessrisiken: Fehler in der Wertschöpfung.
- IT-Risiken: Systemausfall, Cyberangriffe.
- Personalrisiken: Schlüsselpersonen-Abgang, Engpässe.
- Lieferanten- und Lieferkettenrisiken: Versorgungsausfall.
Finanzielle Risiken
- Marktpreisrisiken: Zinsen, Wechselkurse, Rohstoffpreise.
- Kreditrisiken: Kundenausfälle, Kontrahentenausfall.
- Liquiditätsrisiken: Cashflow-Probleme.
- Bewertungsrisiken: Wertberichtigungen auf Vermögenswerte.
Compliance- und Rechtsrisiken
- Regulatorische Risiken: Neuregulierung, Verstösse.
- Steuerrisiken: Streitigkeiten, Nachzahlungen.
- Vertragsrisiken: Garantien, Haftungsansprüche.
- Persönliche Haftungsrisiken: der Organe.
ESG-Risiken
- Klimarisiken (physisch und transitorisch) — Naturkatastrophen, CO2-Regulierung.
- Soziale Risiken: Arbeitsbedingungen, Menschenrechte in der Lieferkette.
- Governance-Risiken: Korruption, Compliance-Versagen.
Risiko-Management-Prozess
Ein typischer Zyklus umfasst sechs Schritte:
- Risiko-Identifikation — was kann schiefgehen?
- Risiko-Bewertung — wie wahrscheinlich und wie schwerwiegend?
- Risiko-Priorisierung — welche Risiken erfordern Massnahmen?
- Risikobehandlung — vermeiden, mindern, transferieren, akzeptieren.
- Monitoring — verändern sich die Risiken oder ihre Wirksamkeit der Massnahmen?
- Berichterstattung an Geschäftsleitung, VR, Stakeholder.
Der Zyklus läuft fortlaufend — Risiken und Massnahmen werden regelmässig aktualisiert.
Risikoappetit und Risikotragfähigkeit
Zwei zentrale Begriffe:
- Risikoappetit: welche Risiken ist die Gesellschaft bereit zu tragen, um ihre Ziele zu erreichen? Diese ist eine strategische Entscheidung des VR.
- Risikotragfähigkeit: welche Risiken kann die Gesellschaft tatsächlich tragen, ohne ihre Solidität zu gefährden? Dies ist eine objektive Grösse, abhängig von Kapital, Liquidität und operativer Resilienz.
Risikoappetit darf die Risikotragfähigkeit nicht übersteigen — sonst ist die Gesellschaft in der Existenz gefährdet.
Risikobehandlung
Vier Strategien:
| Strategie | Ansatz | Beispiel |
|---|---|---|
| Vermeiden | Aktivität nicht durchführen | Verzicht auf risikoreichen Markteintritt |
| Mindern | Wahrscheinlichkeit oder Auswirkung reduzieren | IKS, Doppelunterschriften, Backup-Systeme |
| Transferieren | Risiko auf Dritte übertragen | Versicherung, Outsourcing, Hedging |
| Akzeptieren | Risiko bewusst tragen | Operatives Restrisiko nach Massnahmen |
Die Wahl der Strategie hängt vom Kosten-Nutzen-Verhältnis ab — vollständige Vermeidung ist meist nicht möglich oder zu teuer.
VR-Verantwortung im Risiko-Management
Der VR trägt mehrere zentrale Aufgaben:
- Risikoappetit definieren: bewusst und schriftlich.
- Risiko-Management-Framework genehmigen: Strukturen, Prozesse, Verantwortlichkeiten.
- Risk Report regelmässig würdigen: quartalsweise als Standing Item.
- Kritische Einzelrisiken vertiefen: bei strategischen Themen.
- Krisen-Bereitschaft prüfen: Business Continuity, Notfallpläne.
Bei börsenkotierten Gesellschaften ist die jährliche Risikobeurteilung im Anhang des Geschäftsberichts publikationspflichtig (OR Art. 961c Abs. 2 Ziff. 2).
Audit Committee und Risiko-Management
In grösseren Gesellschaften bereitet der Audit Committee die VR-Risiko-Befassung vor:
- Vorbereitung der Risikolandkarte zusammen mit dem CRO (Chief Risk Officer).
- Prüfung des IKS als operatives Risiko-Kontrollsystem.
- Schnittstelle zur externen Revision zu kritischen Risiken.
- Risk Report an den Gesamt-VR mit Empfehlungen.
Die letztliche Entscheidung über Risikoakzeptanz bleibt beim Gesamt-VR.
Häufige Schwächen
Typische Risiko-Management-Defizite:
- Risikolandkarte ohne Konsequenz: Risiken werden identifiziert, aber nicht behandelt.
- Falsche Risiken im Fokus: bekannte Risiken werden überschätzt, neue übersehen.
- Statische Modelle: Risikobewertungen werden nicht angepasst.
- Silo-Risiko-Management: Funktionen managen ihre Risiken einzeln, ohne Gesamtsicht.
- Risiko-Theater: formale Prozesse ohne kulturelle Verankerung.
- Schwarze Schwäne unterschätzt: Extremereignisse werden ausgeblendet.
- Mangelnde Krisenvorbereitung: Business Continuity Plans existieren nicht oder sind veraltet.
Aktuelle Trends
- Klimarisiko-Management: TCFD-Standards, Stresstests, Net Zero.
- Cyber-Risk-Management: als eigenständige Risikodomäne.
- Geopolitische Risiken: verschärft seit 2022 (Ukraine, Sanktionen, Lieferketten).
- ESG-Risiken: zunehmende regulatorische und Stakeholder-Anforderungen.
- AI-Risiken: Halluzinationen, Bias, Reputationsrisiken durch KI-Systeme.
Abgrenzung
- Internes Kontrollsystem (IKS): operativer Mechanismus zur Risikominderung — Teilaspekt des Risiko-Managements.
- Compliance: fokussiert auf Regeleinhaltung — Compliance-Risiken sind ein Teilbereich.
- Risikokultur: die kulturelle Dimension des Risiko-Managements — die unsichtbare Voraussetzung für funktionierende Systeme.
Häufige Fragen
Was ist Risiko-Management?
Risiko-Management ist die systematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft. Es zielt darauf, Risiken bewusst zu nehmen, zu vermeiden, zu transferieren oder zu mindern, entsprechend dem definierten Risikoappetit. Es ist eine unübertragbare VR-Aufgabe gemäss OR Art. 716a Abs. 1 Ziff. 3.
Ist Risikoberichterstattung gesetzlich vorgeschrieben?
Ja. Die Berichterstattung zur Risikobeurteilung ist gemäss OR Art. 961c gesetzlich gefordert. Bei börsenkotierten Gesellschaften ist die jährliche Risikobeurteilung im Anhang des Geschäftsberichts publikationspflichtig (OR Art. 961c Abs. 2 Ziff. 2). Zudem ist Risiko-Management Teil der unübertragbaren VR-Aufgaben gemäss OR Art. 716a.
Welche Risiko-Kategorien sind zu unterscheiden?
Risiken werden typischerweise in fünf Kategorien gegliedert: strategische Risiken (Markt, Wettbewerb, Geschäftsmodell, Reputation), operationelle Risiken (Prozesse, IT, Personal, Lieferketten), finanzielle Risiken (Zinsen, Kredit, Liquidität, Bewertung), Compliance- und Rechtsrisiken (Regulierung, Steuern, Verträge) sowie ESG-Risiken (Klima, Soziales, Governance).
Was ist der Unterschied zwischen Risikoappetit und Risikotragfähigkeit?
Der Risikoappetit ist die strategische Entscheidung des VR, welche Risiken die Gesellschaft zur Zielerreichung tragen will. Die Risikotragfähigkeit ist eine objektive Grösse, abhängig von Kapital, Liquidität und operativer Resilienz, die zeigt, welche Risiken die Gesellschaft tatsächlich verkraften kann. Der Risikoappetit darf die Risikotragfähigkeit nie übersteigen.
Welche Strategien gibt es zur Risikobehandlung?
Vier Strategien: Vermeiden (Aktivität nicht durchführen, z.B. Verzicht auf risikoreichen Markteintritt), Mindern (Wahrscheinlichkeit oder Auswirkung reduzieren durch IKS, Doppelunterschriften, Backups), Transferieren (Risiko auf Dritte übertragen via Versicherung, Outsourcing, Hedging) und Akzeptieren (Restrisiko bewusst tragen). Die Wahl hängt vom Kosten-Nutzen-Verhältnis ab.
Wie läuft der Risiko-Management-Prozess ab?
Der Zyklus umfasst sechs Schritte: Risiko-Identifikation, Risiko-Bewertung (Wahrscheinlichkeit und Schwere), Priorisierung, Risikobehandlung (vermeiden, mindern, transferieren, akzeptieren), Monitoring und Berichterstattung an Geschäftsleitung, VR und Stakeholder. Der Zyklus läuft fortlaufend, Risiken und Massnahmen werden regelmässig aktualisiert.
Welche Rolle hat das Audit Committee?
In grösseren Gesellschaften bereitet das Audit Committee die VR-Risiko-Befassung vor: Risikolandkarte zusammen mit dem CRO erstellen, IKS als operatives Kontrollsystem prüfen, Schnittstelle zur externen Revision zu kritischen Risiken pflegen und Risk Report mit Empfehlungen an den Gesamt-VR liefern. Die letztliche Entscheidung über Risikoakzeptanz bleibt beim Gesamt-VR.
Was sind typische Schwächen im Risiko-Management?
Häufig sind Risikolandkarten ohne Konsequenz (identifiziert aber nicht behandelt), Fokus auf falsche Risiken (bekannte überschätzt, neue übersehen), statische Modelle, Silo-Risiko-Management ohne Gesamtsicht, Risiko-Theater ohne kulturelle Verankerung, unterschätzte schwarze Schwäne sowie mangelnde Krisenvorbereitung mit veralteten Business Continuity Plans.
Was ist ein Risikoprofil?
Ein Risikoprofil ist die Gesamtheit der wesentlichen Risiken eines Unternehmens nach Geschäftsmodell, Markt, Finanzen, Regulierung, Technologie und Organisation. Es ist die Grundlage für strategische Risiko-Entscheide des Verwaltungsrats.
Verwandte Einträge
- IKS (Internes Kontrollsystem) — Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
- Corporate Governance — Gesamtsystem der Führung und Kontrolle einer Gesellschaft — Verhältnis zwischen Verwaltungsrat, Geschäftsleitung, Aktionären und weiteren Stakeholdern.
- Audit Committee (Prüfungsausschuss) — Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
- Verwaltungsrat (VR) — Oberstes Leitungsorgan der Aktiengesellschaft mit unübertragbaren und unentziehbaren Aufgaben gemäss Obligationenrecht.