swissaxis

Riskmanagement & IKS News

RM + IKS: Rivalen, Geschwister, Partner?

Auf welche Governance-Stufe gehören RM und IKS? Gehören sie organisatorisch zusammen?

Bis vor Kurzem wurde in Lehre und Praxis organisatorisch klar zwischen IKS und Risikomanagement unterschieden.

Folgt man den aktuellen Empfehlungen des «Institute of Internal Auditors (IIA)» und des «Swiss Code of Best Practice for Corporate Governance» braucht es einen neuen Ansatz.

Das IIA ordnet das IKS und RM nicht (mehr) klar einer der beiden ersten «Line of Defences» zu.

Gemäss IIA muss das Leitungsorgan (VR, Behörde) die Risikobereitschaft der Organisation bestimmen und die Aufsicht über das Risikomanagement (inkl. der internen Kontrollen) ausüben.

Das Management (GL, Verwaltung)

  • errichtet und unterhält geeignete Strukturen und Prozesse für das Management des Betriebs und der Risiken (inkl. interner Kontrollen).
  • entwickelt, implementiert und verbessert kontinuierlich die Risikomanagementpraktiken (inkl. interner Kontrollen) auf Prozess-, System- und Entitätsebene.
  • stellt das Erreichen der Risikomanagement-Ziele sicher, wie z. B. Einhaltung von Gesetzen, Regulierungen und akzeptablem ethischem Verhalten, interne Kontrollen, Informations- und Technologiesicherheit, Nachhaltigkeit und Qualitätssicherung.
  • stellt Analysen und Berichte über die Angemessenheit und Wirksamkeit des Risikomanagements (inkl. interner Kontrollen) bereit.

 

Da das Obligationenrecht nur die Prüfungspflicht der Existenz des internen Kontrollsystems (IKS) festhält, jedoch keine Begriffsdefinition und Mindestanforderungen an das IKS nennt, schliesst der neue «Swiss Code of Best Practice for Corporate Governance» diese Lücke.

Der Swiss Code definiert das IKS als Trilogie von Risikomanagement, Compliance-Management und Finanzüberwachung (Ziffern 26 bis 29).

Die interne Revision soll die Wirksamkeit des IKS beurteilen (Ziffer 31), und die externe Revision soll sich von Gesetzes wegen auf die Prüfung der Existenz des IKS beschränken.

Um nun die Frage zu beantworten, auf welche Governance-Stufe das Risk Management und IKS angesiedelt werden sollen, lohnt es sich die Verantwortlichkeiten des Verwaltungsrats in Erinnerung zu rufen.

  • Die Überwachung der Geschäftstätigkeit des Unternehmens und die Sicherstellung, dass es im Einklang mit den geltenden Gesetzen und Vorschriften agiert.
  • Die Festlegung von Strategien und Zielen für das Unternehmen sowie die Überwachung der Umsetzung dieser Strategien.
  • Die Überwachung der Finanzen des Unternehmens, einschliesslich der Aufstellung und Überwachung von Budgets und der Genehmigung von Investitionsentscheidungen.
  • Die Sicherstellung, dass das Unternehmen über angemessene interne Kontrollen und Risikomanagementprozesse verfügt.
  • Die Überwachung der Geschäftsleitung des Unternehmens und der Entscheidungen, die von ihr getroffen werden.

 

Mit der Änderung des schweizerischen Aktienrechts per 01. Januar 2023 hat sich zudem die kollektive Haftungssituation des Verwaltungsrats geändert. Er ist nun auch für Fragen der operativen Zahlungsfähigkeit des Unternehmens persönlich und undelegierbar verantwortlich. Eine Missachtung dieser Pflicht kann erhebliche kollektive Haftungsrisiken begründen.

Fazit: Ob Sie

  • Ihr IKS als Trilogie von Risikomanagement, Compliance-Management und Finanzüberwachung definieren, oder
  • das RM traditionell eher als strategische Funktion und IKS mehr als ein operationelle Aufgabe zur Vermeidung von Risiken sehen,

 

für eine angemessene gute Unternehmensführung müssen alle Risk Management-Funktionen in die Nähe des obersten Leitungsorgan rücken.

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert