Verwaltungsrats-Lexikon

Risikokarte / Heat Map

Visuelle Darstellung der wesentlichen Unternehmens-Risiken nach Eintritts-Wahrscheinlichkeit und Schadens-Höhe als Steuerungs-Werkzeug.

Definition

Eine Risikokarte oder Heat Map ist die visuelle Darstellung der wesentlichen Unternehmens-Risiken nach Eintritts-Wahrscheinlichkeit und Schadens-Höhe. Sie ist zentrales Werkzeug des Risiko-Managements und ermöglicht eine schnelle Priorisierung von Massnahmen und VR-Aufmerksamkeit.

Die Risikokarte erfüllt die gesetzliche Pflicht aus OR Art. 716a Abs. 3 (Ausgestaltung Risiko-Management) und OR Art. 961c (Risiko-Darstellung im Lagebericht). Sie ist die anschauliche Aggregation des Risiko-Registers.

Aufbau und Inhalt

Eine professionelle Risikokarte hat klare Struktur.

Achsen-Definition

  • X-Achse: Eintritts-Wahrscheinlichkeit (typisch fünf Stufen).
  • Y-Achse: Schadens-Höhe (typisch fünf Stufen).
  • Skala in Prozent und CHF-Bandbreiten.
  • Klare Schwellenwerte, unternehmens-spezifisch.

Risiko-Cluster

  • Kritisch (rot): hohe Wahrscheinlichkeit, hoher Schaden.
  • Hoch (orange): zwei der drei kritischen Quadranten.
  • Mittel (gelb): mittlere Lagen.
  • Niedrig (grün): geringe Wahrscheinlichkeit und Schaden.

Risiko-Kategorien

  • Strategische Risiken.
  • Operative Risiken.
  • Finanzielle Risiken.
  • Compliance-Risiken.
  • Cyber- und IT-Risiken.
  • Reputations-Risiken.
  • ESG-Risiken.
  • Externe Risiken.

Brutto- und Netto-Sicht

  • Brutto: ohne Kontrollen.
  • Netto: mit implementierten Massnahmen.
  • Differenz zeigt Wirkung der Kontrollen.
  • Beide Sichten in VR-Reporting.

Massnahmen-Status

  • Pro kritischem Risiko: Massnahmen, Verantwortliche, Frist.
  • Status (geplant, in Arbeit, umgesetzt).
  • Wirkungs-Bewertung.
  • Reporting an Audit Committee.

Trends-Sicht

  • Vergleich mit Vorperiode.
  • Neue Risiken markiert.
  • Verschwundene Risiken dokumentiert.
  • Pfeile für Veränderung.

Detail-Hinterlegung

  • Pro Risiko: Beschreibung, Annahmen, Bewertungs-Grundlage.
  • Verantwortlicher Eigentümer.
  • Verlinkung zu Massnahmen-Plan.
  • Audit-Trail über Bewertungs-Änderungen.

Praxis Schweiz

In der Schweizer Praxis hat die Risikokarte etablierte Konventionen.

Bei börsenkotierten Gesellschaften

Standard, oft Teil des Geschäftsberichts in aggregierter Form. Detail-Sicht intern, im Audit Committee diskutiert. Externe Risiko-Audits bei reguliertem Sektor.

Bei grösseren KMU

Wachsende Praxis, oft im Rahmen ISO 31000 (Risiko-Management) oder ISO 27001 (Informations-Sicherheit). Halbjährliche Aktualisierung typisch.

Bei kleinen KMU

Häufig informell, ohne strukturierte Karte. Bei Compliance-Audit oder vor Übergabe an nächste Generation Aufholbedarf.

Bei reguliertem Sektor

Banken: FINMA-Rundschreiben verlangen umfassendes Risiko-Reporting. Versicherungen: Solvenz-II-Anforderungen. Pharma: Swissmedic-Anforderungen.

Bei Pandemie und Krisen

COVID-19 hat Pandemie- und Lieferketten-Risiken massiv ins Bewusstsein gebracht. Heute Standard-Risiken in jeder Karte. Auch Klimarisiken zunehmend prominent.

Workshops zur Erstellung

Typisch zwei bis vier Workshops mit GL und Bereichsleitern. Externe Moderation oft hilfreich. Diskussion mit Audit Committee zur Validierung. Verabschiedung im Gesamt-VR.

Aktualisierungs-Frequenz

Quartalsweise bei dynamischen Branchen (Tech, Finanzen). Halbjährlich bei stabilen Branchen. Bei wesentlichen Ereignissen ad-hoc.

Sprache und Format

Visuelle Karte für Schnell-Übersicht. Detail-Tabelle für Diskussion. Bei börsenkotierten Gesellschaften oft EN als Konzern-Sprache.

Rolle Chief Risk Officer

In grösseren Gesellschaften eigenständige Funktion. In KMU oft Doppelrolle mit CFO oder General Counsel. Direkter Berichtsweg an VR oder Audit Committee wichtig.

Häufige Fehler

Typische Schwächen bei Risikokarten.

Methodische Probleme

  • Schwellenwerte zu generisch, nicht unternehmens-spezifisch.
  • Bewertungen subjektiv ohne klare Kriterien.
  • Brutto-Netto-Differenzierung fehlt.
  • Annahmen nicht dokumentiert.

Inhaltliche Probleme

  • Wichtige Risiko-Kategorien fehlen (Cyber, ESG, Reputation).
  • Schlüsselpersonen-Risiken ignoriert.
  • Interne Betrugs-Risiken tabuisiert.
  • Klumpen-Risiken übersehen.

Prozess-Probleme

  • Karte wird einmal jährlich erstellt, nicht aktualisiert.
  • Massnahmen-Status nicht getrackt.
  • Keine Verlinkung mit Action Tracker.
  • Diskussion im VR oberflächlich.

Kultur-Probleme

  • GL beschönigt Risiken.
  • VR fragt nicht kritisch nach.
  • Externe Berater zu freundlich.
  • Whistleblowing-Risiken werden nicht abgebildet.

Werkzeug-Probleme

  • Excel-Karte ohne Versionierung.
  • Keine Integration mit operativen Systemen.
  • Kein automatisches Reporting.
  • Mobile Sicht fehlt.

Strategische Probleme

  • Risiken werden separat von Chancen behandelt.
  • Keine Verbindung zur Strategie.
  • ESG-Risiken nicht integriert.
  • Geopolitische Risiken unterschätzt.

Compliance-Probleme

  • OR Art. 716a und 961c nicht erfüllt.
  • Aufsichts-Anforderungen unzureichend.
  • Lagebericht-Darstellung mangelhaft.
  • Datenschutz-Risiken bei DSG-Inkrafttreten ignoriert.

Abgrenzung

Das Risiko-Register ist die Detail-Liste aller Risiken mit Beschreibungen, Annahmen und Massnahmen. Die Risikokarte ist die aggregierte visuelle Sicht.

Das interne Kontrollsystem (IKS) sind die Kontroll-Massnahmen. Die Risikokarte zeigt die Risiken vor und nach Wirkung des IKS.

Das Governance Dashboard zeigt KPIs zur Governance-Reife. Die Risikokarte ist meist eine Sektion oder verlinkt.

Der Compliance Report fokussiert auf Compliance-Risiken. Die Risikokarte ist breiter und umfasst alle Risiko-Kategorien.

Der Krisen-Management-Plan regelt die Reaktion auf eingetretene Krisen. Die Risikokarte ist Frühwarnsystem und Priorisierungs-Werkzeug.

Häufige Fragen

Was ist eine Risikokarte oder Heat Map?
Eine Risikokarte (Heat Map) ist die visuelle Darstellung der wesentlichen Unternehmens-Risiken nach Eintritts-Wahrscheinlichkeit (X-Achse) und Schadens-Höhe (Y-Achse). Sie ist zentrales Werkzeug des Risiko-Managements und ermöglicht eine schnelle Priorisierung von Massnahmen. Typisch werden Risiken in Cluster (kritisch, hoch, mittel, niedrig) eingeteilt und farblich markiert.
Warum braucht der VR eine Risikokarte?
OR Art. 716a Abs. 3 verpflichtet den VR zur Ausgestaltung des Risiko-Managements. OR Art. 961c verlangt im Lagebericht eine Darstellung wesentlicher Risiken. Die Risikokarte ist das praktische Werkzeug, um diese Pflicht wahrzunehmen und transparent zu machen. Sie schafft Klarheit über Prioritäten und ermöglicht systematische Massnahmen-Steuerung.
Wie wird eine Risikokarte erstellt?
Standard-Prozess: Identifikation der Risiken durch Workshops mit GL und Bereichsleitern, Bewertung der Eintritts-Wahrscheinlichkeit (typisch in fünf Stufen), Bewertung der Schadens-Höhe (typisch quantitativ in CHF-Bandbreiten), Plotting in 5x5- oder 4x4-Matrix, Diskussion und Validierung im Audit Committee, Verabschiedung im VR. Aktualisierung quartalsweise oder halbjährlich.
Welche Risiko-Kategorien gibt es?
Standard sind strategische Risiken (Markt, Wettbewerb, Innovation), operative Risiken (Prozess, Personal, Lieferketten), finanzielle Risiken (Liquidität, Währung, Zinsen, Forderungsausfälle), Compliance-Risiken (Recht, Regulatorik, Korruption), Cyber- und IT-Risiken, Reputations-Risiken, ESG-Risiken und externe Risiken (Naturkatastrophen, Pandemien, geopolitische Risiken).
Wer ist verantwortlich für die Risikokarte?
Verantwortlich für die Erstellung ist die Geschäftsleitung, typisch koordiniert vom Chief Risk Officer, CFO oder General Counsel. Verabschiedung und periodische Überprüfung erfolgt durch den VR, oft via Audit Committee. Bei reguliertem Sektor sind teilweise externe Risiko-Audits Pflicht (FINMA, BAG für Pharma).
Wie unterscheidet sich Brutto- und Netto-Risiko?
Brutto-Risiko ist das Risiko vor Massnahmen (ohne Kontrollen). Netto-Risiko ist das Risiko nach implementierten Kontrollen (mit Wirkungs-Annahme). Beide Sichten sind sinnvoll: Brutto zeigt die theoretische Exposition, Netto die tatsächliche Restrisiko-Lage. Bei Massnahmen-Diskussion sind beide nötig, um Effekt der Massnahmen zu bewerten.
Welche Schwellenwerte sind typisch?
Schadens-Höhe: Bei KMU bis CHF 100'000 (niedrig), bis CHF 1 Mio. (mittel), bis CHF 10 Mio. (hoch), über CHF 10 Mio. (kritisch). Eintritts-Wahrscheinlichkeit: unter 5 Prozent (sehr unwahrscheinlich), 5 bis 25 Prozent (unwahrscheinlich), 25 bis 50 Prozent (möglich), 50 bis 75 Prozent (wahrscheinlich), über 75 Prozent (sehr wahrscheinlich). Schwellen müssen unternehmens-spezifisch sein.
Welche Risiken werden oft unterschätzt?
Häufig unterschätzt sind Cyber-Risiken (besonders Ransomware), Schlüsselpersonen-Risiken, Lieferketten-Risiken (Klumpen-Bildung), Reputations-Risiken in Social Media, Compliance-Risiken bei wachsendem Auslands-Geschäft, Klimarisiken und Transition-Risiken (Energie, Mobilität), und KI-Risiken (Halluzinationen, Bias, Haftung). Auch interne Betrugs-Risiken werden oft tabuisiert.

Verwandte Einträge

  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • Governance DashboardÜbersicht zentraler Governance-KPIs für den VR mit Status zu Compliance, Risiken, Beschluss-Umsetzung, Sitzungs-Disziplin und strategischen Initiativen.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →