Das Ziel jedes Unternehmens ist gewinnbringend zu arbeiten und Verluste zu vermeiden. Letztere führen zwangsläufig zu einer Schmälerung des Eigenkapitals und ohne Reserven rasch zu einer existenzbedrohenden Situation. Das unternehmerische Handeln unterliegt einem permanenten Erfolgsdruck. Ohne genügend Gewinn und sich daraus generierende Liquidität kann kein Unternehmen über einen längeren Zeitraum existieren.
Unternehmerische Tätigkeit ist immer mit Risiken verbunden. Bringt das neue Produkt den gewünschten Erfolg? Gibt es neue Rahmenbedingungen, die durch interne Faktoren, wie veraltete Strukturen und Organisation, fehlende Digitalisierung, fehlende Qualifikation bei Mitarbeitenden etc. oder externe Faktoren, wie neue Gesetze, Umweltauflagen, geopolitische Veränderungen, Pandemie, etc. zu Problemen führen können?
Risiken und deren Eintretenswahrscheinlichkeit verändern sich unter Einfluss von internen und externen Faktoren laufend, was diese unberechenbar macht. Risk-Management ist eine unabdingbare und permanente Aufgabe der Unternehmensleitung.
Die Herausforderung der unternehmerischen Verantwortungsträger ist,
- relevante Sachverhalte/Prozesse und die damit verbundenen Risiken zu identifizieren;
- nach Wesentlichkeit zu klassifizieren;
- deren Auswirkungen richtig einzuschätzen;
- die richtigen präventiven Massnahmen vorzusehen und zu kontrollieren und überwachen,
um letztendlich risikobezogener Schaden vermeiden oder minimieren zu können.
Risiken können reduziert werden, wenn bei allen unternehmerischen Prozessen eine ausgeprägte Sensibilisierung für Risiken - Risikobewusstsein - vorhanden ist. Dabei sind auch Ethik und Selbstverantwortung der Mitarbeiter auf allen Stufen von entscheidender Bedeutung. Eine risikobewusste Grundhaltung allein ist im heutigen Umfeld auch bei kleineren Unternehmen nicht mehr ausreichend. Es muss weit systematischer vorgegangen werden.
Der COSO-Würfel visualisiert, wie Risikomanagement das ganze Unternehmen betrifft. COSO ist eine private Organisation, die durch verschiedene international bekannte Berufsorganisationen und Institute im Bereich Rechnungslegung, finanzielle Führung und interne Revision bereits 1985 gegründet wurde.
Risk-Management muss gemäss COSO ein integraler Bestandteil des gesamten unternehmerischen Handelns sein. Das aktuelle COSO-Rahmenwerk ist somit kein isolliert zu betrachtendes Kontrollsystem, sondern es steht im Blickpunkt der strategischen und operativen Zielerreichung des Unternehmens. Dies wird denn auch mit der oberen Fläche des Würfels dargestellt, wo man die Hauptaufgaben der Unternehmensleitung, nämlich Strategie (strategisch), Geschäftsführung (betrieblich) und Geschäftsüberwachung (Berichterstattung und Compliance) findet.
Zu guter Corporate Governance bei einer KMU gehört der angemessene Umgang mit Risiken. Nach Art. 663b Ziffer 12 OR müssen Angaben zur Risikobeurteilung auch im Anhang der Jahresrechnung der Aktiengesellschaft enthalten sein. Mit dem neuen Rechnungslegungsrecht müssen gemäss Art. 961c ORRev. alle Unternehmen ab einer bestimmten Grösse (CHF 20 Mio Bilanzsumme, 40 Mio Umsatz, 250 Vollzeitstellen pro Jahr) im Lagebericht Aufschluss über die Risikobeurteilung geben. Angemessenes Risk-Management ist somit ein nicht mehr wegzudenkender Aspekt der Unternehmensführung und Überwachung. Mangelndes Risik-Management kann bei Schaden und nachweislichen Sorgfaltspflichtverletzungen zu Verantwortlichkeitsansprüchen gegenüber Leitungsorganen führen.