Wilfried Lux, welchen Anteil hatte das Risikomanagement am Untergang der Credit Suisse?

Grossbanken haben ein institutionalisiertes Risikomanagement, das unabhängig sein muss und wichtige Geschäfte genehmigt. Auch die Geschäftsleitung soll riskante Geschäfte nicht einfach durchdrücken können. Bei der CS versagte das System, das Risikomanagement hatte sicherlich grossen Anteil daran.

Können Sie benennen, inwiefern es versagte?

Banken sind mit diversen Risiken konfrontiert. Bei der CS war das Liquiditätsrisiko relevant. Fürs Risikomanagement der CS gibt es gute und schlechte Beispiele: Im Coronajahr 2020 bildete sie Rückstellungen für Kreditrisiken über 1,1 Milliarden Franken. Das war berechtigt, denn aufgrund unterbrochener Lieferketten gerieten viele Unternehmen in Liquiditätsengpässe. Andererseits erhöhte die CS gleichzeitig das Anlagevolumen in den «Supply Chain Finance Fonds», also von Lieferketten abhängigen risikoreichen Anlagen, von 7 auf 10 Milliarden Franken. Da fragt man sich: Warum schritt das Risikomanagement nicht ein?

Wer ist fürs Risikomanagement verantwortlich?

Das kommt aufs Unternehmen an. Grossbanken haben eigene Abteilungen, die einem Chief Risk Officer unterstehen. Bei vorbildlicher Risikokultur sind aber alle Mitarbeitenden in ihrer Zuständigkeit verantwortlich, insbesondere Führungskräfte. Risikobewusstsein muss überall sein. Der Risikomanager verantwortet den Prozess. Bei KMU ist meist der Geschäftsführer oder Inhaber gleichzeitig Risikomanager. Das Gesetz sagt: Verwaltungsräte haben eine Sorgfaltspflicht und müssen das Risikomanagement sicherstellen.

Welche rechtlichen Rahmenbedingungen gelten in der Schweiz?

Grundlage bildet das Obligationenrecht (OR). Artikel 716 schreibt die Sorgfaltspflicht vor. Sie ist explizit unübertragbar und unentziehbar. Der Verwaltungsrat kann operative Aufgaben delegieren, Grundsätze und Prozesse des Risikomanagements muss er aber festlegen und kontrollieren. Weiter verlangt Artikel 961, dass Unternehmen, die einer ordentlichen Revision unterstehen, im Jahresbericht die Durchführung der Risikobeurteilung ausweisen müssen. Das betrifft also grössere Unternehmen, die mindestens zwei der folgenden Schwellenwerte übertreffen: Bilanzsumme von mehr als 20 Millionen, über 40 Millionen Franken Umsatz oder über 250 Vollzeitstellen. Bei kleineren Unternehmen genügt eine eingeschränkte Revision. Für alle ist jedoch ein internes Kontrollsystem, auch IKS genannt, verpflichtend. Es beinhaltet ebenfalls eine Risikobeurteilung. Risikomanagement ist strategisch, IKS operativ.

Wie macht man Risikomanagement?

Die klassischen Phasen sind: Risiko-Identifikation, -Analyse, -Bewertung, -Bewältigung und -Überwachung sowie -Kommunikation. Sie werden jährlich durchlaufen. Bei der Identifikation helfen Brainstormings, Risikokataloge oder Analysetools: Was tut sich gesellschaftlich, technisch und so weiter? Danach wird analysiert: Wie wirken sich Risiken aufs Unternehmen aus? In der Folge können Eintretenswahrscheinlichkeit und Schadenausmass bewertet werden. Bei der Bewältigung wird festgelegt, wie man gegensteuern kann: Soll man Risiken akzeptieren, ganz vermeiden, auf Versicherungen überwälzen, Partner suchen, um Kosten zu teilen? Schlussendlich müssen die Risiken überwacht werden. Was man kennt, kann man besser steuern.

Im Zusammenhang mit der CS war oft auch von «Risikokultur» die Rede.

Sie ist eng verknüpft mit der Organisationskultur. Kulturen liegen lange Prozesse zugrunde. Dass Verwaltungsräte und Manager Kulturen vorleben, ist entscheidend. Die Bedeutung des Risikomanagements muss klar sein und verlangt konsequentes Handeln: Bei zu risikoreichen Geschäften muss ein Veto kommen. Ausnahmen sind hinderlich für eine gute Risikokultur. Risikomanagement darf nicht nur als Fassade nach aussen herhalten.

Welche Risiken sind für KMU in unserer Region relevant?

Nicht nur Grossunternehmen haben Risiken, sondern auch KMU. Es gibt finanzielle Risiken, wie zum Beispiel Währungs- oder Liquiditätsrisiken. Die meisten sind aber nicht finanzieller Natur. Aktuell offenkundig sind Risiken in den Lieferketten – verbunden mit Umsatzeinbrüchen. Viele Unternehmen denken nun um. Effizienz ist nicht alles. Ein einzelner Lieferant kann zu besseren Konditionen führen, aber auch in gefährliche Abhängigkeiten. Cyberattacken mit Erpressungen sind ebenfalls hochaktuelle Risiken für KMU. In einem aktuellen Forschungsprojekt beschäftigen wir uns mit Risiken von Pflegeheimen. Da schlägt der Fachkräftemangel voll durch. Wenn das Betreuungsverhältnis nicht mehr sichergestellt werden kann, muss von Gesetzes wegen die Auslastung reduziert werden.

Wie gut sind Ostschweizer Firmen auf Risiken vorbereitet?

Unsere Forschungspartner sind gut aufgestellt. Wir führten bei ihnen auch Forschungsprojekte zur Resilienz durch. Sie bedingt gutes Risikomanagement. Viele haben auch die Pandemie ohne grössere Schäden überstanden. Auf absehbare Risiken sind die meisten Unternehmen gut vorbereitet. Gefährlich bleiben die überraschenden. Deshalb sind Agilität und Flexibilität wichtig.

Was hindert KMU daran, ein gutes Risikomanagement aufzuziehen?

Es bedeutet erstmal Aufwand mit wenig Ertrag – auf den ersten Blick. Manche erkennen die Relevanz nicht oder es ist nicht in der Strategie verankert. Teilweise fehlen Experten, Knowhow oder die Bereitschaft dafür Geld auszugeben. Eine weitere Gefahr ist, dass die Beurteilung der Risiken nur durch einzelne Personen durchgeführt wird, statt breit abgestützt ist – dann fehlt die Objektivität. Schlussendlich braucht es einen Verantwortlichen, der Risikomanagement mit einem klaren Prozess vorantreibt.

Was raten Sie KMU, die sich eher am Rande mit systematischem Risikomanagement beschäftigen?

Das Wichtigste ist die Auseinandersetzung mit dem Thema. Man muss sich der Risiken bewusst werden und den Mitarbeitenden zeigen, dass das Thema wichtig ist. Sich mal einen Tag rausnehmen und Risiken zu diskutieren, kann im Eintrittsfall allesentscheidend sein. Wenn es wirklich noch Firmen gibt, die kein Risikomanagement betreiben, wird es für sie höchste Zeit.