Weka Plus

Risikomanagement: Chancen nutzen und Gefahren gezielt steuern

Auch ohne explizite Pflicht müssen KMU und Behörden in der Schweiz ihre Risiken managen, sonst haften die Verantwortlichen unter Umständen persönlich. Im nachfolgenden Artikel erklärt der Autor, was das genau heisst und wie Risikomanagement sinnvoll und pragmatisch angepackt werden kann.

04.06.2024 Von: Christian Hafner
Risikomanagement

Einleitung

Immer mehr Verwaltungsräte und Behörden erkennen, dass

  • die grössten Risiken wie Verlust des guten Namens oder Cyber-Gefahren nicht oder nur unzureichend versichert werden können und
  • es notwendig ist, Risiken nachweisbar zu managen, um die gesetzliche Prüfungsund Handlungspflicht zu erfüllen.

Die Erkenntnis ist das eine. Zur Tat zu schreiten, ist das andere. In diesem Sinne sollen die nachfolgenden Ausführungen aufzeigen, dass Risikomanagement für KMU und Behörden heutzutage ein Muss ist und pragmatisch umgesetzt werden kann. Schliesslich übersteigt der Nutzen eines RMS (RMS = Risikomanagement), wenn richtig angepackt, das Management der Gefahren und schliesst die Chancen mit ein. Denn wo es Gefahren gibt, gibt es immer auch Chancen.

Die gesetzliche Pflicht zum Risikomanagement

Durch die OR-Revision im Jahr 2013 müssen nur noch «grössere Unternehmen» im Lagebericht Aufschluss über die Durchführung einer Risikobeurteilung geben. Diese Berichterstattungspflicht entfällt für KMU, die nicht ordentlich geprüft werden müssen.

Hinweis: Kommt der VR der Risikomanagementpflicht nicht nach, droht ihm unter Umständen eine aktienrechtliche Verantwortlichkeitsklage oder möglicherweise eine strafrechtliche Verfolgung.

Damit wurde die Prüfungspflicht1 des unternehmensinternen Risikomanagements für KMU-Verwaltungsräte aber nicht aufgehoben. Diese gesetzliche Prüfungspflicht ist völlig grössenunabhängig. Zudem unterliegen die Unternehmensführung und der Verwaltungsrat der Pflicht, den Risiken durch aktives Handeln zu begegnen.

Implizit sind die Leitungsorgane in der Schweiz gesetzlich verpflichtet, ein Risikomanagementsystem zu betreiben, denn

  • prüfen kann nur, wer die Risiken des Unternehmens identifiziert, analysiert und bewertet.
  • handeln kann nur, wer das Risikomanagement sowie das interne Kontrollsystem aktiv ausgestaltet, implementiert und überwacht.

Risiken versichern anstatt managen

Risiken versichern tönt nach einem eleganten Ausweg, um selbst nicht aktiv Risiken managen zu müssen. Der Haken dabei ist, dass das Abwälzen von Risiken nur eine mögliche Strategie ist. Sie muss deshalb nicht immer die richtige und beste sein.

Tipp: Für jedes Risiko gilt es zu prüfen, ob es abgewälzt, akzeptiert, begrenzt, vermieden oder vermindert werden soll und kann. Mit einer Versicherung kann das Risiko nur teilweise abgewälzt werden.

Nehmen wir als Beispiel die Cyber-Gefahr – gemäss dem Allianz Risk Barometer das Top-Risiko 2022 in der Schweiz mit 61% Nennungen. Besonders «doppelte Erpressungstaktiken » sind ein besorgniserregendes Cyber-Risiko.

Immer öfter beschränken sich Cyber-Kriminelle nicht nur auf das Erpressen von Lösegeld nach Verschlüsselung von Daten. Sie drohen nachfolgend auch mit Veröffentlichung sensibler Daten, wenn nicht nochmals gezahlt wird. Somit löst der Eintritt eines Cyber-Risikos sofort auch ein Reputationsrisiko aus. Der Verlust des guten Namens kann aber nicht versichert werden. Dasselbe gilt für viele andere Risiken, wie zum Beispiel bei der Verletzung von Nachhaltigkeitsverpflichtungen. Deshalb bleibt nur: Selbst vorsorgen!

Selbst wenn Sie eine Cyber-Schutz-Versicherung abschliessen, ist diese Abwälzungsstrategie nicht genügend. Die Auswirkungen bei Eintritt des Risikos sind so schlimm, dass Sie Ihrer Verantwortung nur gerecht werden, wenn Sie (zusätzlich) andere Risikostrategien anwenden. Das Reputationsrisiko gilt als das bedeutsamste und gleichzeitig am schwierigsten zu handhabende Risiko. Umso mehr sollten die Ursache- und Wirkungsbeziehungen zwischen Reputationsrisiken und anderen Risikoarten umfassend analysiert werden. Nur so können Reputationsrisiken möglichst überschneidungsfrei identifiziert und gesteuert werden.

Einstieg ins Risikomanagement leicht gemacht

Der Einstieg ins Risikomanagement gelingt am besten mit einem pragmatischen Ansatz. Wenn richtig gemacht, eröffnet das Vorgehen erst noch Chancen, die geschäftlich genutzt werden können. Risikomanagement ist im Grunde weder kompliziert noch aufwendig. Zudem ist es nichts Neues. Es wurde schon immer praktiziert. Es hiess einfach anders: Vorbeugungsmassnahmen. Ein Risiko (möglicher Fehler) wurde gefunden, die Ursache ermittelt, Massnahmen ergriffen.

Das gehört zum Tagesgeschäft jedes Unternehmers und Geschäftsführers und jeder Unternehmerin und Geschäftsführerin. Sie kommen morgens ins Unternehmen und sehen Risiken und Chancen. Dann treffen sie Entscheidungen und Massnahmen, um die Risiken zu vermeiden und um die Chancen nutzen zu können.

Was sich verändert hat, ist das Bewusst und Transparentmachen dieses Verhaltens. Die Entscheidungen, welche zu den Vorbeugungsmassnahmen führen, werden im Risikomanagement bewusst getroffen und transparent kommuniziert. Zudem wird die Wirksamkeit der Entscheidungen überprüft, und diese Resultate dienen der Überprüfung der Entscheidungen – und all das in einer angemessenen Häufigkeit.

Jetzt weiterlesen mit Weka+

  • Unlimitierter Zugriff auf über 1100 Arbeitshilfen
  • Alle kostenpflichtigen Beiträge auf weka.ch frei
  • Täglich aktualisiert
  • Wöchentlich neue Beiträge und Arbeitshilfen
  • Exklusive Spezialangebote
  • Seminargutscheine
  • Einladungen für Live-Webinare
ab CHF 24.80 pro Monat Jetzt abonnieren Sie haben schon ein W+ Abo? Hier anmelden
Newsletter W+ abonnieren