Verwaltungsrats-Lexikon

Risikoappetit / Risk Appetite Statement

Strategische Entscheidung des Verwaltungsrats, welche Risiken die Gesellschaft zur Zielerreichung tragen will, schriftlich festgehalten als Risk Appetite Statement.

Definition

Risikoappetit ist die strategische Entscheidung des Verwaltungsrats, welche Risiken die Gesellschaft zur Erreichung ihrer Ziele bewusst tragen will. Er wird im Risk Appetite Statement (RAS) schriftlich festgehalten und bildet den Rahmen für operative Risiko-Entscheidungen aller Ebenen.

Das RAS ist Bestandteil eines reifen Risiko-Management-Frameworks nach Swiss Code of Best Practice, COSO ERM (Enterprise Risk Management) und ISO 31000. In regulierten Branchen (Banken, Versicherungen) ist es regulatorisch erwartet.

Funktion

Risikoappetit erfüllt mehrere Funktionen:

  • Strategische Verankerung: Risiken werden bewusst und im Rahmen der Strategie genommen.
  • Operative Steuerung: Mitarbeitende und Geschäftsleitung haben einen klaren Rahmen.
  • Konsistenz: Risiko-Entscheidungen sind über Funktionen und Märkte konsistent.
  • Kommunikation: Stakeholder verstehen die Risiko-Positionierung.
  • Reporting-Grundlage: KRIs und Limiten werden risikoappetit-basiert definiert.
  • Verantwortung: VR-Verabschiedung schafft Klarheit über Verantwortlichkeiten.

Risikoappetit vs. Risikotragfähigkeit

Eine zentrale Unterscheidung:

DimensionRisikoappetitRisikotragfähigkeit
CharakterStrategische EntscheidungObjektive Grösse
BezugWas wollen wir tragenWas können wir tragen
Bestimmt durchVR-EntscheidungKapital, Liquidität, Resilienz
VeränderbarDurch VR-EntscheidDurch Strukturveränderung
VerhältnisDarf Tragfähigkeit nicht übersteigenSetzt die obere Grenze

Bei FINMA-beaufsichtigten Instituten sind beide Konzepte regulatorisch verankert (Solvency II, FINMA-Rundschreiben Operationelle Risiken).

Elemente eines guten RAS

Risiko-Philosophie

  • Grundhaltung zu Risiko (konservativ, ausgewogen, opportunistisch).
  • Bezug zur Strategie und Eigentümerstruktur.
  • Stakeholder-Orientierung.

Risiko-Kategorien

Differenzierte Aussagen je Kategorie:

  • Strategische Risiken (Markteintritt, M&A, Innovation).
  • Operationelle Risiken (Prozesse, IT, Personal, Lieferketten).
  • Finanzielle Risiken (Markt, Kredit, Liquidität, Währung).
  • Compliance- und Rechtsrisiken (in der Regel Null-Toleranz für Verstösse).
  • Reputationsrisiken (in der Regel niedrige Toleranz).
  • ESG-Risiken.
  • Cyber-Risiken.

Quantitative Limiten

  • Verlusttoleranzen (max. Verlust X Mio. CHF pro Jahr).
  • Liquiditätspuffer (mind. 90 Tage operative Liquidität).
  • Konzentrationsgrenzen (max. X Prozent Umsatz pro Kunde).
  • Kreditlimiten je Gegenpartei.
  • Marktrisiko-Limiten (VaR, Stress).

Qualitative Aussagen

  • Null-Toleranz für Korruption, Sanktionsverstösse, Geldwäscherei.
  • Niedrige Toleranz für Reputationsschäden.
  • Akzeptanz strategischer Risiken im Rahmen der Wachstumsstrategie.

Verbindung zu KRIs

  • Welche Indikatoren operationalisieren die Limiten.
  • Schwellenwerte (Grün, Gelb, Rot).
  • Eskalations-Mechanismen.

Governance

  • Verabschiedung durch VR.
  • Verantwortlichkeiten für Einhaltung.
  • Review-Frequenz (jährlich plus bei Bedarf).
  • Eskalation bei Verstössen.

Rechtsgrundlage

Aktienrecht

  • OR Art. 716a Abs. 1 Ziff. 3: Risiko-Management.
  • OR Art. 717: Sorgfaltspflicht.
  • OR Art. 961c: Berichterstattung zur Risikobeurteilung.

Best Practice

  • Swiss Code of Best Practice: Risiko-Management mit Risikoappetit.
  • COSO ERM: Enterprise Risk Management Framework.
  • ISO 31000: Risk Management Principles.

Regulatorisch

  • FINMA-Rundschreiben: für Banken und Versicherungen, mit RAS-Anforderungen.
  • Solvency II: ORSA mit Risikoappetit.

Praxis Schweiz

Banken und Versicherungen

FINMA-beaufsichtigte Institute haben formale RAS mit quantitativen Limiten in mehreren Risikodomänen. ORSA (Own Risk and Solvency Assessment) bei Versicherungen.

Industrie und Handel

Zunehmend formales RAS bei börsenkotierten Gesellschaften und Konzernen. KMU haben oft pragmatische Versionen oder informellen Risikoappetit ohne schriftliche Fassung.

Familienunternehmen

Eigentümer-Risikoappetit prägt den unternehmerischen Risikoappetit. Eigentümerstrategie und RAS sollten kohärent sein.

Stiftungen und Vereine

RAS auch für gemeinnützige Organisationen wichtig, insbesondere bei Anlage- und Reputationsrisiken.

Operationalisierung

Kaskadierung

  • RAS auf VR-Ebene (Strategisch).
  • Operative Limiten auf Geschäftsleitungs-Ebene.
  • Detail-Limiten auf Funktionsebene.

KRIs (Key Risk Indicators)

  • Pro Limite ein oder mehrere Indikatoren.
  • Schwellenwerte (Grün, Gelb, Rot).
  • Reporting-Rhythmus.
  • Eskalation bei Überschreitung.

Risiko-Komitees

  • Risk Committee als VR-Ausschuss bei grösseren Gesellschaften.
  • Risk Committee auf Geschäftsleitungs-Ebene.
  • Funktions-spezifische Komitees (Credit, Market, Operational).

Verbindung zur Vergütung

  • Risikoappetit-Verletzungen mit Bonus-Konsequenzen.
  • ESG- und Compliance-KPIs in der Vergütung.
  • Long-Term Incentives mit Risiko-Anpassung.

VR-Verantwortung

Der VR muss:

  • Risk Appetite Statement verabschieden, mindestens jährlich.
  • Kohärenz mit Strategie und Risikotragfähigkeit sicherstellen.
  • Reporting über Einhaltung und Verstösse erhalten.
  • Materielle Limitenverletzungen behandeln.
  • Anpassungen bei strategischen Veränderungen prüfen.
  • Eigene Risiko-Diskussion im VR führen.
  • Audit Committee mit der Vorbereitung beauftragen.

Reporting

VR-Reporting

  • Quartalsweise an Audit oder Risk Committee.
  • Halbjährlich oder jährlich an Gesamt-VR.
  • Heat Map mit Risiko-Status je Kategorie.
  • Limitenverletzungen und Reaktion.

Management-Reporting

  • Monatlich an Geschäftsleitung.
  • Wöchentlich oder täglich für hochfrequente Risiken (Markt).

Externes Reporting

  • Risikobeurteilung im Geschäftsbericht (OR Art. 961c).
  • Nichtfinanzielle Berichterstattung (OR Art. 964a ff.).
  • Aufsichtsbehörden (FINMA bei Banken und Versicherungen).

Häufige Fehler

  • Generische Statements ohne operative Wirkung.
  • Fehlende Kaskadierung in operative Limiten.
  • Verwechslung von Risikoappetit und Risikotragfähigkeit.
  • Null-Toleranz-Aussagen ohne Realismus (kein Korruptionsfall, kein Cybervorfall ist nicht realistisch).
  • Fehlende KRIs zur Operationalisierung.
  • Keine Anpassung an strategische Veränderungen.
  • Fehlende Eskalations-Mechanismen.
  • VR-Verabschiedung als Formalität ohne Diskussion.
  • Fehlende Verbindung zur Vergütung.
  • Reines Compliance-RAS ohne strategische und operative Risiken.

Aktuelle Trends

  • ESG- und Klima-Risikoappetit als eigene Kategorie.
  • Cyber-Risikoappetit mit quantitativen Limiten.
  • Dynamische Anpassung bei strategischen Veränderungen.
  • Verbindung zur Vergütung mit KPI-Anbindung.
  • Stakeholder-RAS mit Berücksichtigung breiterer Erwartungen.
  • Stress-Testing zur Validierung der Risikoappetit-Annahmen.

Abgrenzung

  • Risikotragfähigkeit ist objektive Grösse, Risikoappetit ist strategische Entscheidung.
  • Risiko-Limiten sind operative Konkretisierung des Risikoappetits.
  • Risiko-Strategie ist breiter, RAS ist eine Komponente.
  • KRIs operationalisieren das RAS.
  • Risk Tolerance wird teilweise synonym verwendet, technisch oft etwas enger als Akzeptanzgrenze.

Häufige Fragen

Was ist Risikoappetit?
Risikoappetit ist die strategische Entscheidung des Verwaltungsrats, welche Risiken die Gesellschaft zur Zielerreichung tragen will. Er wird im Risk Appetite Statement (RAS) schriftlich festgehalten und gibt den Rahmen für operative Risiko-Entscheidungen. Er muss kohärent mit Strategie, Risikotragfähigkeit und Stakeholder-Erwartungen sein.
Warum braucht es ein Risk Appetite Statement?
Ohne explizit definierten Risikoappetit treffen Geschäftsleitung und Mitarbeitende Risiko-Entscheidungen implizit, inkonsistent oder über das gewünschte Mass hinaus. Das RAS schafft Klarheit, kommuniziert Erwartungen, ermöglicht risikobasierte Steuerung, ist Grundlage für KRIs und Limiten und ist Best Practice nach Swiss Code, COSO ERM und ISO 31000.
Was unterscheidet Risikoappetit von Risikotragfähigkeit?
Risikoappetit ist eine strategische Entscheidung des VR (welche Risiken wollen wir tragen). Risikotragfähigkeit ist eine objektive Grösse (welche Risiken können wir tragen ohne Existenzgefährdung), abhängig von Kapital, Liquidität, operativer Resilienz. Risikoappetit darf die Risikotragfähigkeit nicht übersteigen, sonst gefährdet er die Gesellschaft.
Welche Elemente enthält ein gutes Risk Appetite Statement?
Risiko-Philosophie und Kontext, Risiko-Kategorien mit Differenzierung (strategisch, operationell, finanziell, Compliance, ESG), quantitative Limiten (Verlusttoleranzen, Liquiditätspuffer, Konzentrationsgrenzen), qualitative Aussagen (Reputations- und Compliance-Risiken null Toleranz), Verbindung zu KRIs, Eskalations-Mechanismen, Review-Frequenz, Verantwortlichkeiten.
Wie verbindet sich Risikoappetit mit operativer Steuerung?
Das Risk Appetite Statement wird in operative Risiko-Limiten kaskadiert: pro Funktion, Geschäftsbereich, Produkt, Markt. Key Risk Indicators (KRIs) operationalisieren die Limiten mit Schwellenwerten und Eskalation. Risiko-Komitees und Risk Officers steuern im Rahmen der Limiten. Bei Limitenverletzung erfolgt Eskalation an Management, Audit Committee, ggf. VR.
Welche Rolle hat der Verwaltungsrat?
Der VR verabschiedet das Risk Appetite Statement, mindestens jährlich, und überprüft seine Kohärenz mit Strategie und Risikotragfähigkeit. Er erhält Reporting über Einhaltung und Verstösse, behandelt materielle Limitenverletzungen, prüft Anpassungen bei strategischen Veränderungen. Bei FINMA-beaufsichtigten Instituten ist das RAS regulatorisch erwartet.
Welche Risiko-Kategorien sind zu adressieren?
Strategische Risiken (Markteintritt, Akquisitionen, Geschäftsmodell), operationelle Risiken (Prozesse, IT, Personal, Lieferketten), finanzielle Risiken (Markt, Kredit, Liquidität, Währung), Compliance- und Rechtsrisiken (Korruption, Sanktionen, Datenschutz), Reputationsrisiken, ESG-Risiken (Klima, Soziales, Governance), Cyber-Risiken. Differenzierung je nach Geschäftsmodell.
Welche Fehler treten häufig auf?
Häufig sind generische Statements ohne operative Wirkung, fehlende Kaskadierung in operative Limiten, Verwechslung von Risikoappetit und Risikotragfähigkeit, Null-Toleranz-Aussagen ohne Realismus, fehlende KRIs zur Operationalisierung, keine Anpassung an strategische Veränderungen, fehlende Eskalations-Mechanismen, VR-Verabschiedung als Formalität ohne Diskussion, fehlende Verbindung zur Vergütung.

Verwandte Einträge

  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Corporate GovernanceGesamtsystem der Führung und Kontrolle einer Gesellschaft — Verhältnis zwischen Verwaltungsrat, Geschäftsleitung, Aktionären und weiteren Stakeholdern.
  • Strategische FührungLaufende strategische Steuerung der Gesellschaft durch den Verwaltungsrat — Prozess, der die Unternehmensstrategie in Realität umsetzt.
  • Key Risk Indicators (KRI)Messbare Indikatoren zur Operationalisierung des Risikoappetits, mit Schwellenwerten und Eskalations-Mechanismen für proaktive Risiko-Steuerung.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →