swissaxis

swissaxis 
swissRM™ 
swissIKS® 
swissPIXAS® 
swissGOVV® 
Menu
Menu

Riskmanagement & IKS News

Wer fragt, der führt – auch im Risk Management

Wie das oberste Leitungsorgan mit dem richtigen Risk Reporting seine Verantwortung fürs Risk Management wahrnehmen kann.

Wer in einem obersten Leitungsorgan sitzt – sei es als Verwaltungsrat eines KMU, als Stiftungsrat einer NPO, in der Kantonsregierung oder dem Stadt-/Gemeinderat – trägt Verantwortung. Auch fürs Risikomanagement.

Doch wie erfüllt man diese Verantwortung konkret? Was muss dem Gremium berichtet werden? Und welche Fragen sollte das oberste Organ stellen, um seine gesetzlichen Pflichten zu erfüllen – ohne operativ einzugreifen?

Die Pflicht ist klar – und unabhängig von der Grösse

Entgegen einem verbreiteten Irrtum gilt die Pflicht zum Risikomanagement nicht nur für börsenkotierte Unternehmen. Auch kleine und mittlere Organisationen müssen sicherstellen, dass Risiken identifiziert, bewertet und gesteuert werden.

Und: Mit der Aktienrechtsrevision 2023 ist der Verwaltungsrat zusätzlich persönlich haftbar für die Zahlungsfähigkeit des Unternehmens.

Was muss die Geschäftsleitung dem obersten Organ berichten?

Damit die Überwachungsfunktion wahrgenommen werden kann, braucht es ein fundiertes, verständliches und strukturiertes Risk Reporting. Es geht nicht um formale Berichte, sondern um die Grundlage für informierte Fragen und strategische Entscheide.

Diese sieben Elemente sollte jedes Risk Reporting enthalten:

  1. Risikolandschaft im Überblick

Visuelle Darstellung (z. B. Heatmap) der aktuellen Gesamtrisikolage inkl. Kategorisierung.

  1. Entwicklung und Dynamik

Veränderungen seit dem letzten Bericht: neue Risiken, verschobene Bewertungen, abgeschlossene Risiken.

  1. Kritische Einzelrisiken im Detail

Vertiefte Beschreibung ausgewählter Risiken mit Ursache, Eintrittswahrscheinlichkeit, Wirkung, Szenarien und Steuerungsmassnahmen.

  1. Massnahmenübersicht

Liste laufender und geplanter Massnahmen inkl. Umsetzungsstand (z. B. Ampelsystem), Verantwortlichkeit und Fälligkeiten.

  1. Status der Kontrollen (IKS)

Darstellung relevanter Schlüsselkontrollen, festgestellter Lücken, Häufigkeit und Ergebnisse.

  1. Risikokultur und Hinweise

Bericht über Vorfälle (Incidents), Beinahe-Ereignisse (Near Misses), interne Hinweise, Lessons Learned und Stimmungsindikatoren.

  1. Management-Empfehlungen / Entscheidungsbedarf

Explizite Aussagen zu allfälligen Entscheidungsbedarfen, Budgetfreigaben oder strategischen Implikationen

Was sollte das oberste Leitungsorgan fragen?

Die norwegische IIA (The Institute of Internal Auditors) hat 2025 einen wegweisenden Fragenkatalog publiziert. Daraus lassen sich fünf Handlungsfelder ableiten, die jede Führungsinstanz regelmässig thematisieren sollte – basierend auf dem Reporting.

  1. Rolle und Verantwortung
  • Verstehen wir unsere Verantwortung im Risikomanagement?
  • Wird uns transparent berichtet, wie das RM strukturiert ist?

  1. Ziel und Ambition
  • Ist klar, wie RM zur Zielerreichung beiträgt?
  • Haben wir die Ambition und Reife, die unserer Verantwortung entspricht?

  1. Risikoprofil
  • Wird unser Risikoprofil kontinuierlich überwacht?
  • Erkennen wir Veränderungen frühzeitig?

  1. Methodik
  • Wie werden Risiken bewertet?
  • Wie wird mit Unsicherheit umgegangen?

  1. Organisation
  • Ist klar, wer wofür zuständig ist?
  • Hat die Risikofunktion genug Ressourcen und Mandat?

Diese Fragen müssen nicht alle gleichzeitig gestellt werden – aber sie sollten über das Jahr hinweg systematisch adressiert sein.

Fazit: Ohne fundiertes Reporting keine wirksame Aufsicht

Das Risikomanagement ist nur so stark wie seine Einbindung in die Führungsarbeit.

Für Verwaltungs-, Stiftungs-, Regierungs- oder den Stadt-/Gemeinderat bedeutet das:

  • Nicht selbst Risiken managen – aber verstehen und hinterfragen.
  • Kein Detailwissen – aber das grosse Bild kennen.
  • Keine Kontrolle auf Zuruf – aber Reporting mit Struktur und Konsequenz.


Denn: Wer fragt, führt. Und wer führt, trägt Verantwortung.

Quellen: 
• swissaxis AG (2022): Gesetzliche Pflicht zum RM im Verwaltungsrat
• IIA Norway (2025): Questions the Board Should Ask About Risk Management
• swissaxis AG (2023): Neue Haftung des VR seit 2023
• swissaxis AG (2023): IKS gemäss Swiss Code
• swissaxis AG (2022): GRC = Sackgasse?
• swissaxis AG (2024): Good Governance – von der Pflicht zur Kür
• OpenAI (2024). ChatGPT 4o. Unterstützt bei Struktur und Textgenerierung

image_pdfAls PDF speichern

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert