Riskmanagement & IKS News
Risk Management: Die Chance für Leitungsorgane ihre Verantwortung bewusst wahrzunehmen
Ein Cybervorfall, ein Haftungsfall, ein Projektdesaster – und der Ruf geht sofort an die Spitze: „Warum hat das niemand verhindert?“ In vielen Organisationen ist unklar, welche Rolle das oberste Leitungsorgan im Risikomanagement überhaupt hat. Dabei schreiben internationale Standards und nationale Erwartungen eine aktive, informierte Rolle vor – nicht bloss ein Abnicken formaler Berichte. Doch wie lässt sich das mit einer realistischen Agenda und ohne operatives Mikromanagement umsetzen?
- Risiko ist Führungssache – und zwar auf Augenhöhe
Ob Verwaltungsrat, Gemeinderat oder Vorstand: Das oberste Leitungsorgan trägt die Gesamtverantwortung für die Organisation – und damit auch für deren Risikofähigkeit. Das bedeutet:
- Risiken müssen im Kontext von Zielerreichung verstanden werden – nicht nur als Bedrohung.
- Entscheidungen müssen risikoinformiert getroffen werden.
- Das Risikomanagementsystem muss angemessen ausgestaltet und überprüft werden – keine Blackbox, sondern ein integriertes Führungsinstrument.
Die «Board Guidelines on Risk Management» des Instituts für Interne Revision formulieren es klar:
“The board is responsible for defining and overseeing the ambition level for risk management. Not knowing is not a defense.”
- Die richtigen Fragen stellen – nicht alle Antworten haben
Gremienmitglieder müssen nicht Risikoexperten sein – aber sie müssen wissen, welche Fragen sie stellen sollten. Denn Fragen schaffen Orientierung, fördern Verantwortlichkeit und ermöglichen eine konstruktive Zusammenarbeit mit der Geschäftsleitung.
Empfohlene Kontrollfragen aus der Praxis (basierend auf IIA Norway & Governance Institute of Australia):
- Haben wir einen klaren Risikoappetit formuliert – und kennen alle Beteiligten diesen?
- Ist unser Risikoprofil abgestimmt auf Strategie, Budget und Ressourcen?
- Wie reagieren wir auf eintretende Risiken – gibt es Lernprozesse?
- Welche externen Entwicklungen könnten unser Geschäftsmodell gefährden?
- Sind IKS und Risikomanagement systematisch verknüpft oder nur formal parallel?
Praxis-Tipp: Planen Sie 1–2 Risikoschwerpunkte pro Jahr für vertiefte Diskussionen im Gremium – z. B. Projektabwicklung, Fachkräftemangel, Finanzierung.
- Wie ein Leitungsgremium Risikomanagement im Jahreslauf konkret verankert
Viele Gremien treffen sich monatlich – doch Risikomanagement wird nur einmal jährlich besprochen, oft im Zusammenhang mit der Jahresrechnung. Das reicht nicht.
Unten ein konkreter Jahresplan für Gremien mit 12 Sitzungen pro Jahr, um Risikomanagement strategisch und pragmatisch zu integrieren
Praxis-Tipp: Lassen Sie pro Vertiefungsthema ein Mitglied als „Götti“ auftreten, das den Austausch mit der Geschäftsleitung vorbereitet und im Gremium präsentiert.
- Was gute Leitungsgremien konkret tun (sollten)
Das Governance Institute of Australia bringt es auf den Punkt:
“Boards add the most value when they ensure that risk is integrated into all decision-making – not isolated as a compliance box.”
Best Practices aus der Umsetzung:
- Risiko-Charta verabschieden: Klärt Rollen, Prinzipien & Zusammenarbeit
- Selbstevaluation zur Risk Governance (jährlich): Was hat funktioniert? Was nicht?
- Digitale Risiko-Dashboards einfordern: Besser als Excels, transparenter für alle
- Workshops mit Bereichsleitungen: B. zu Lieferantenrisiken oder Projekten
Fazit: Verantwortung wahrnehmen beginnt mit Struktur
Ein Gremium muss nicht alle Risiken kennen – aber wissen, wie man sie erkennt, beurteilt und adressiert. Wer Risikomanagement fest im Jahresverlauf verankert, schafft nicht nur Transparenz, sondern ermöglicht bessere Entscheidungen, vorausschauende Planung und eine resilientere Organisation.
Jahresplan Risk Management im Leitungsorgan
Strukturierter Fahrplan für ein Gremium mit monatlicher Sitzung
Monat | Thema / Traktandum | Ziel | Benötigte Informationen |
Januar | Risikoambition & -strategie bestätigen | Abgleich mit Zielen, Budget, Strategie | Risikoprofil, Strategie, Vorjahresbericht |
Februar | IKS-Jahresplanung genehmigen | Sicherstellung der operativen Kontrolle | IKS-Plan, Verantwortungsmatrix |
März | Risiko-Update Q1 | Früherkennung & Diskussionsbasis | GL-Bericht, externe Umfeldinfos |
April | Lessons Learned aus Vorfällen / Audits | Verbesserung & Lernen | Auditberichte, Vorfallanalysen |
Mai | Deep Dive: Projektrisiken | Fokus auf strategische Investitionen | Projektstatus, Budgetentwicklung |
Juni | Mid-Year Risk Review | Anpassung der Steuerung | Risikomatrix, Abweichungsanalyse |
Juli | Deep Dive: Personalrisiken | Fachkräftemangel, Know-how-Verlust | HR-Kennzahlen, Absenzen, Planung |
August | IKS-Kontrollstand H1 | Prüfung der Umsetzung | Kontrollnachweise, Rückmeldungen |
September | Deep Dive: Externe Risiken | Umfeld, Lieferanten, Politik | Marktstudien, Vertragslage |
Oktober | Budget & Risikoplanung Folgejahr | Integrierte Planung | Budgetentwurf, Risikoprofil |
November | RM-/IKS-Jahresbericht genehmigen | Governance sichern | RM-/IKS-Bericht, Revision |
Dezember | Evaluation Risk Governance | Reflexion & Verbesserung | Fragenkatalog, externe Meinung (optional) |
Quellen:
- IIA Norway (2025): Board Guidelines on Risk Management – Questions the Board Should Ask. www.iia.no
- Governance Institute of Australia (2022): Risk Management Guide for Directors. www.governanceinstitute.com.au
- swissaxis AG (2024): Praxiserfahrung aus Einführung von IKS- und RM-Strukturen in Verwaltungsräten & Exekutivorganen.
