Risk-Management im Verwaltungsrat

Es ist das Ziel dieses Beitrages, die rechtlichen Grundlagen für die Implementierung des Risikomanagements sowie praktische Hinweise zur Umsetzung aufzuzeigen. Im Fokus steht dabei der Verwaltungsrat eines KMU, welches die Schwellenwerte der ordentlichen Revision (Bilanzsumme CHF 20 Mio./Umsatzerlös CHF 40 Mio./250 Vollzeitstellen im Jahresdurchschnitt) nicht erfüllt.

1. Unübertragbare Aufgaben des Verwaltungsrates

Auf den ersten Blick auferlegt das Obligationenrecht nur denjenigen Gesellschaften die Pflicht, im Lagebericht über die Durchführung einer Risikobeurteilung zu orientieren, die einer ordentlichen Revision unterliegen (Art. 961c Abs. 2 Ziff. 2 OR). Auch die Existenz eines internen Kontrollsystems wird durch die Revisionsstelle nur bei denjenigen Unternehmen geprüft, die der ordentlichen Revision unterstehen (Art. 728a Abs. 1 Ziff. 3 OR). Daraus lässt sich jedoch nicht der Schluss ziehen, der Verwaltungsrat eines KMU sei von der Pflicht zum Risikomanagement und zur Implementierung eines internen Kontrollsystems befreit.

Während es sich bei der Risikobeurteilung und Prüfung des internen Kontrollsystems um reine Berichterstattungspflichten des Verwaltungsrates handelt, ist dieser im Rahmen der Oberleitung der Gesellschaft verpflichtet, die Strategie gemäss statutarischem Zweck des Unternehmens festzulegen, unabhängig von der Grösse der Aktiengesellschaft (Art. 716a Abs. 1 Ziff. 1 OR). Die Auseinandersetzung mit der Unternehmensstrategie bedingt zwangsläufig, dass sich der Verwaltungsrat über die Stärken und Schwächen sowie die Chancen und Risiken der Gesellschaft Gedanken machen muss. ¹ Somit hat der Verwaltungsrat nicht nur die Pflicht, mögliche Risiken für die Unternehmung zu identifizieren und zu quantifizieren, sondern auch Massnahmen zur Minderung der Eintretenswahrscheinlichkeit bzw. der Schadenshöhe zu treffen. Aus der unübertragbaren Pflicht zur Oberleitung der Gesellschaft ergibt sich auch für den KMU-Verwaltungsrat eine Prüfungs- und Handlungspflicht betreffend das Risikomanagement. «Diese beiden Pflichten sind Ausdruck des hohen Sorgfaltsmassstabs, dem ein Verwaltungsrat eines schweizerischen KMU zu genügen hat.» ² 

Nebst der Oberleitung der Gesellschaft ist der Verwaltungsrat verpflichtet, das Rechnungswesen, die Finanzkontrolle und -planung so auszugestalten, dass die Grundsätze der ordnungsgemässen Buchführung und Rechnungslegung eingehalten werden (Art. 716a Abs. 1 Ziff. 3 i.V.m. Art. 957 ff. OR). Damit wesentliche Fehler in der finanziellen Berichterstattung verhindert, aufgedeckt und korrigiert werden können, darf auch der Verwaltungsrat eines KMU nicht auf ein internes Kontrollsystem verzichten. ³

2. Konkrete Umsetzung in der Praxis

Leider enthält das Schweizerische Obligationenrecht keinerlei Vorgaben, wie der Verwaltungsrat seiner gesetzlichen Oberleitungs-, Prüfungs- und Handlungspflicht in Bezug auf das Risikomanagement nachzukommen hat. Grundsätzlich bieten sich Lösungsansätze in technischen Normen wie zum Beispiel der ISO 31000:2018 4 oder dem COSO-En-terprise Risk Management 5  (Committee of Sponsoring Organizations) an. Diese Normen liefern einen sehr allgemeinen Ansatz, 6 der weder industrie-, sektor- noch länderspezifisch sowie sehr komplex ist und sich in der Praxis für schweizerische KMU nur als beschränkt tauglich erweist.

Aufgrund des fehlenden gesetzlichen Rahmens werden unterschiedliche Ansätze zur Durchführung des Risikomanagements vertreten. Einerseits gilt die Auffassung, das Risikomanagement sei individuell an die Grösse, Komplexität und Finanzierung des Unternehmens anzupassen. Die neuere Literatur hingegen wählt einen integralen Ansatz. Der Schreibende vertritt die Meinung, dass der integrale Ansatz aufgrund der Normiertheit und Systematik zu begrüssen ist. Persönliche Erfahrung mit militärischen Stabsarbeitsprozessen und die Anwendung von Risikomanagementsystemen in KMU haben gezeigt, dass folgendes Vorgehen praxistauglich ist: 7  Das Risikomanagementkonzept wird mittels einer Tabelle unterstützt. Darin werden die einzelnen Schritte des Risikomanagements (Erkennung, Bewertung, Beurteilung und Bewältigung) sowie die Risiken nach Kategorien geordnet (s. Abb. 1).

a. Risiken identifizieren (Erkennung)

Bei der Festlegung bzw. Überprüfung der Unternehmensstrategie sowie im Rahmen der (delegierten) Geschäftsführung werden Risiken identifiziert und systematisch folgenden zwei Schlüsselfragen unterworfen:

• Welche Ereignisse und Entwicklungen können die Zielerreichung des Unternehmens gefährden oder beeinflussen?
• Welche eigenen Handlungen oder Unterlassungen können negative Auswirkungen auf das Unternehmen oder eine Anspruchsgruppe des Unternehmens haben?

b. Risiken analysieren und bewerten

Die identifizierten Risiken werden fortlaufend analysiert und bewertet. Für jedes Risiko werden qualitative und quantitative Aussagen betreffend die Eintretenswahrscheinlichkeit und das Schadenausmass festgehalten. Bei der Risikobewertung sind die Ursachen und die mit dem Eintreten des Risikos verbundenen Auswirkungen in knapper Form zu umschreiben. Es empfiehlt sich, die Risiken in Kategorien festzuhalten (z.B. Organisation, Infrastruktur, Personal, Beschaffungsmarkt, Produktionsprozesse, Logistik und Absatzmarkt). Bei der Risikobewertung geht es um die Abschätzung der Höhe der Risiken, die sich aus dem Produkt von Eintretenswahrscheinlichkeit und Schadensausmass ergibt. Die bewerteten Risiken werden in einer Risikomatrix dargestellt, woraus sich die Höhe der Risiken ergibt (s. Abb. 2). Aufgrund der Höhe der Risiken können die zu ergreifenden Massnahmen priorisiert werden.

c. Risiken beurteilen

Die Risikomatrix erlaubt es dem Verwaltungsrat, die Höhe der Risiken zu beurteilen und die Prioritäten für die Erarbeitung der Massnahmen zu deren Bewältigung festzulegen. Da es insbesondere in KMU die zeitlichen und personellen Ressourcen nicht zulassen, sämtliche Risiken gleichzeitig zu behandeln, ist wie folgt vorzugehen:

• Im roten Bereich sind diejenigen Risiken mit potenziellen Personenschäden (Tote/Verletzte) zuerst zu behandeln. Anschliessend sind die Risiken mit interner und zuletzt diejenigen mit externer Ursache anzugehen. Da alle Risiken im roten Bereich eine hohe Eintretenswahrscheinlichkeit bzw. des tieferen Schadensausmasses und ein grosses Schadensausmass aufweisen, sind Massnahmen unerlässlich.
• Im gelben Bereich befinden sich Risiken mittlerer Stufe, die Massnahmen erfordern, aufgrund der geringeren Eintretenswahrscheinlichkeit bzw. des geringeren Schadenausmasses jedoch nicht dringend sind. Zuerst sind diejenigen Risiken mit interner, anschliessend die Risiken mit externer Ursache zu behandeln.
• Im grünen Bereich befinden sich die tief eingestuften Risiken, welche keine besonderen Massnahmen ausser der regelmässigen Überwachung erfordern.
• Die Beurteilung, welche Risiken der Verwaltungsrat als tragbar und welche er als untragbar erachtet, ist zu begründen und im Risikomanagementkonzept festzuhalten. Risiken, die untragbar sind, deuten darauf hin, dass möglicherweise unerfüllbare Unternehmensziele vorliegen, was eine Überprüfung der Strategie auslösen sollte. Müssen solche Risiken trotzdem eingegangen werden, so sind sie vom Verwaltungsrat besonders sorgfältig zu überwachen.

d. Risiken bewältigen

Nach der Risikobeurteilung werden Massnahmen zur Bewältigung der Risiken erarbeitet, wobei folgende Möglichkeiten bestehen:

• Vermeidung: Das Risiko kann nur durch Verzicht auf die entsprechende Tätigkeit bewältig werden.
• Verminderung: Das Risiko kann nur durch präventiv angeordnete Massnahmen bewältigt werden, die die Eintretenswahrscheinlichkeit oder das Schadensausmass reduzieren.
• Überwälzen: Das Risiko wird ausgelagert.

Der Verwaltungsrat entscheidet über die zu treffenden Massnahmen, mit denen er die erkannten Risiken bewältigen will. Bei der Umsetzung der Unternehmensstrategie werden sämtliche Risiken und Massnahmen in den Geschäftsprozessen erfasst. Falls notwendig und angemessen, können die wichtigsten Risiken gesondert in allgemeinverbindlichen Reglementen oder Weisungen aufgeführt werden.

e. Risiken überwachen

Der Verwaltungsrat überwacht anhand einer Übersicht die Risiken und die Massnahmen zu deren Bewältigung kontinuierlich (s. Abb. 3). Mindestens einmal im Jahr muss der Verwaltungsrat den Risikomanagementprozess wiederholen und die Risiken auf Vollständigkeit und Tragbarkeit prüfen sowie die notwendigen neuen Massnahmen zur Risikobewältigung ergreifen.

Auch wenn das Eingehen von Risiken ein integraler Bestandteil der unternehmerischen Tätigkeit ist, ist es nicht nur rechtlich notwendig, sondern auch vernunftmässig geboten, die entsprechenden Geschäftsrisiken bewusst und systematisch zu erkennen, zu bewerten, zu beurteilen und zu bewältigen. Zwar werden die Risiken durch ein implementiertes Risikomanagementkonzept nicht kleiner, aber die Gefahr, dass die Unternehmung den Risiken zum Opfer fällt, sinkt markant. 

1. DURRER MIRJAM, Die Pflicht des Verwaltungsrates zum integralen Risikomanagement im KMU, Diss. Zürich/St. Gallen 2017, S. 31 f., m.w.H.
2. DURRER MIRJAM, a.a.O., S. 38.
3. PFAFF DIETER/FLEMMING RUUD, Schweizer Leitfaden zum Internen Kontrollsystem (IKS), 8. Aufl., Zürich 2019, S. 42.
4. www.iso.org/iso-31000-risk-­management.html, letztmals ­besucht am 20.07.2022.
5. www.coso.org, letztmals besucht am 20.07.2022.
6. DURRER MIRJAM, a.a.O., S. 250 ff.
7. Regl 50.040 d, Führung und ­Stabsorganisation der Armee 17 (FSO 17, zweite überarbeitete Auflage), Stand am 01.12.2021, Anhang 3.