Ticker :

Seminar für Sekretäre des VR 2018: Integrales Risikomanagement

Am 14. Juni 2018 fand das Seminar für Sekretäre des Verwaltungsrats am Insitut für Finanzdienstleistungen Zug (IFZ) statt. Loomion hat schon über zwei Vorträge geschrieben. Ein weiteres Referat hielt Frau Dr. Mirjam Durrer über „Die Pflicht der Verwaltungsräte zum integralen Risikomanagement (in KMU)“.

Postauto Affäre

Postauto Affäre

Frau Dr. Mirjam Durrer ist Rechsanwältin bei GRUBER PARTNER in Aarau und hat ihre Dissertation mit dem oben ganannten Titel erfolreich abgeschlossen. Ihre Spezialisierung  liegt im Bereich Wirtschaftsrecht und in international normierten Risikomanagementsystemen wie auch der ISO-Norm 31000, die wir im letzten Artikel beschrieben haben. Der Vortrag von Frau Durrer behandelte die rechtlichen Grundlagen des integralen Risikomanagements und gab auch interessante Einblicke in die Praxis.

 

Frau Dr. Mirjam Durrer begann ihren Vortrag mit der Postauto-Affäre in der Schweiz. Durch Buchhaltungstricks wurden zwischen 2007 und 2016 Gewinne in der Höhe von 107 Mio. Franken verschleiert und dadurch erhöhte Subventionen in Millionenhöhe „eingesackt“. Die Kantone schrieben an das Bundesamt für Verkehr (BAV), das schlussendlich in diesem Jahr Strafanzeige gegen die Postauto AG und unbekannt stellte.

Die Rückforderung beläuft sich auf 78,3 Mio. Schweizer Franken. Dieser Zustand war dem Verwaltungsrat und der Führungsriege schon länger bekannt, deswegen werden bestimmte Protokolle wohl auch unter Verschluss gehalten. Chefin Frau Susanne Ruoff, die im Zuge der Affäre schon Köpfe rollen ließ, musste schlussendlich selbst gehen. Das Vertrauen in die Schweizerische Post ist weiterhin geschädigt.

 

Laut Art. 663b Ziff. 12 Obligationsrecht (OR) aus dem Jahr 2008 müssen auch KMU Angaben über die Durchführung einer Risikobeurteilung in der Jahresrechnung machen. Der Fokus muss vor allem auf Risiken mit wesentlichem Einfluss auf die Jahresrechnung liegen. Hierzu wird ein internes Kontrollsystem (IKS) benötigt (Art 728a und Art. 728b OR).

 

In 2013 wurden die Vorschriften im OR verschärft. Der Aufschluss über die Durchführung einer Risikobeurteilung im Lagebericht (961c Abs. 2 Ziff. 2 OR) ist nunmehr unabhängig von der Rechtsform. Der zu beleuchtende Bereich muss zu dem auf unternehmensweite Risiken ausgedehnt werden. Die Berichterstattungspflicht trifft nur größere Unternehmen. Schwellenwerte hierzu sind 20 Mio. Bilanzsumme, 40 Mio. Umsatzerlös oder 250 Vollzeitstellen. Der Verwaltungsrat solcher Unternehmen hat über die die Durchführung einer Risikobeurteilung und das IKS zu berichten.

 

Was ist die Handlungspflicht des Verwaltungsrats? Der VR muss aktiv die identifizierten, analysierten und bewerteten Risiken managen. Zudem muss der VR das IKS ausgestalten, implementieren und überwachen. Risikomanagement eine der Führungsaufgaben des VR. Delegationsmöglichkeiten gibt es kaum, die Überwachung des Risikomanagements ist eine unübertragbare und unentziehbare Aufgabe.

 

Das Rahmenwerk hierzu liefern die Standards COSO und die ISO 31000. Es handelt sich hier um technische Normen, die per se nicht rechtsverbindlich aber durchaus rechtswirksam sind.

Wie sieht integrales Risikomanagement in der Praxis aus? Das Risikomanagement hangelt sich an festen Schritten entlang. Als erstes müssen die Risiken identifiziert werden, indem die Frage diskutiert wird, was alles passieren kann. Danach müssen die Risiken bewertet und analysiert werden. Im Anschluss muss das Risiko präventiv verringert werden durch: vermeiden, verringern, teilen und annehmen. Als Teil der reaktiven Risikobeseitigung muss es ein Notfallmanagement, ein Krisenmanagement und ein Business Continuity Management geben. Dies sind die integralen Bestandteile des Risikomanagements.

 

Wie das Beispiel der Postauto-Affäre zeigt, lag hier ein klares Riskio vor, da wohlweislich Gewinne vorlagen und trotzdem Subventionen angenommen wurden und dafür die Bilanz gefälscht wurde. Der Verwaltungsrat hat sogar darüber diskutiert, wie man diese Gewinne in der Bilanz verschieben kann. Das Risiko war also nicht nur offensichtlich, sondern wurde statt an dieser Stelle Risiko zu vermeiden und zu verhindern, über Jahre noch vergrößert. Erstaunlich ist aber zu Zeiten der Compliance, dass es doch immer wieder solche Fälle gibt, die irgendwann aufgedeckt werden. Es ist unfassbar, wenn sich man die Historie der Postauto-Affäre vor Augen führt, die in 2007 anfing und erst in 2017 ein Ende fand, bzw. erst dieses Jahr die Strafanzeige nach über einem Jahrzehnt gestellt wurde.

 

Aber für jede Risikoanalyse ist ein großer Bedarf an Informationen da, die möglichst vollständig und aktuell einsehbar sein müssen. Die Informationen bilden die Basis eines jeden integralen Risikomanagement Systems. Deswegen sind Board Portale mit sicheren Datenräumen wie Loomion twelve directors Portals unausweichlich bei der Implementierung von IKS.

 

#BoardMatters #Loomion_Kolumne #Loomion #Board_Portal #Virtual_DataRoom #CorpGov #papierlos #Boardroom #FreeYourBoard #Digitalisierung #Corporate #Governance #Compliance #CSR #DeutscherCorporateGovernanceKodex #Hauptversammlung #Aufsichtsrat #SecureDataRoom #FTAR18 #FTAR17

 

 

Am 7. November wird der Gründer vom Board Portal von Loomion, Markus Bosch, in einem Workshop über effektives und sicheres Meeting-Management im Rahmen der Fachtagung für Aufsichtsrätein Berlin referieren.

 

 

 

 

 

Bild: Karin Hofer NZZ