Issue
6/10
Category
Fachbeitrag
Authors
Christophe Tagouo
Lead

KMU müssen sich verschiedenen Herausforderungen in Bezug auf die Erfüllung der ­Gesetzesvorgabe des Art. 663b Ziff. 12 OR stellen; daher wird es notwendig, aus juristischer Sicht den Begriff des Risikomanagements sowie die entsprechende Aufgabenverteilung zwischen den Organen zu definieren. Im Rahmen des jetzigen, im Parlament beratenen Abänderungsvorhabens von Art. 663b Ziff. 12 OR fällt einer solchen Analyse eine ganz besondere Bedeutung zu.

Content
Title
1. Einleitung
Level
2
Text

Das Risikomanagementsystem ist für die Erreichung der Unternehmensziele von besonderer Bedeutung. Es gehört zu den Mechanismen und Prozessen, die ein Unternehmen einführt, um seinen Fortbestand und seine Überlebensfähigkeit zu sichern. Ebenso wie bei Grossunternehmen ist das Risikomanagement oder auch nur die Risikobeurteilung für KMU nicht neu. Im Bewusstsein um die Bedeutung dieses ­Managementinstruments wissen die Eigen­tümer oder Leiter dieser Art von Unternehmen, dass der Fortbestand oder Wohlstand ihres ­Unternehmens unbedingt von ihrer Fähigkeit abhängt, Risiken zu identifizieren, Irrtümer oder Unregelmässigkeiten aufzudecken und die ­gebotenen Massnahmen zu ergreifen, um das Vermögen des Unternehmens zu schützen, die Zuverlässigkeit der Finanzaufstellungen zu ­gewährleisten usw. Kurz gesagt ist die Risiko­beurteilung Teil des erfolgreichen Managements jedes Unternehmens. Muss man darauf schliessen, dass die Einführung der Verpflichtung zur Aufnahme von Angaben über die Durchführung einer Risikobewertung in das ­Gesetz in Gestalt von Artikel 663b Ziffer 12 OR für die KMU nichts ändert? Nichts ist weniger­sicher. Zwar war das Risikomanagement in der Praxis bereits Gegenstand von Überlegungen im Unternehmen, die Neuerung besteht jedoch in der gesetzlichen Vorschrift, die seine Formalisierung verlangt1. Erstaunlicherweise geht diese Forderung nicht mit Erklärungen über die Art und Weise einher, wie sie zu konkretisieren ist, was vor allem in KMU zu erheblichen Unsicherheiten geführt hat.

Die gesetzliche Verankerung der Verpflichtung zur Durchführung eines Risikomanagements erfolgte ohne Berücksichtigung der Unternehmensgrösse. Im Unterschied zu börsennotierten oder wirtschaftlich bedeutenden Unter­nehmen, bei denen das öffentliche Interesse vorrangig ist und mithin die Einführung von formalisierten und gut dokumentierten Prozessen rechtfertigt, besitzen KMU sehr vielfältige Strukturen, angefangen von einfachen Unter­nehmen, die durch eine starke Beteiligung der Kapital­eigentümer am Management geprägt sind, bis hin zu solchen mit einer sehr komplexen Organisation. Diese Situation erschwert die Konzeption eines Modells für die Durchführung und Veröffentlichung der Risikomanagementpro­zesse. Im Übrigen veranlasst der partikuläre Charakter der KMU den Gesetzgeber i.A. dazu, ihnen Erleichterungen im Verhältnis zum herkömmlichen System zu gewähren, das für Grossunternehmen gilt: Dies erklärt sich durch das Bemühen, eine exzessive Regulierung zu vermeiden, was zu unverhältnismässig hohen Verwaltungskosten für die KMU führen würde2.

Neben dem Problem der Formalisierung des Risikomanagements wirft die Anwendung von Art. 663b Ziffer 12 OR auch einige Fragen hinsichtlich des Sinns der Kontrolle auf, die von der Revisionsstelle ausgeübt wird, wobei letztere bei KMU i.A. nur eine eingeschränkte Revision vornimmt.

Um den Sinn und die Tragweite der Anwendung von Art. 663b Ziffer 12 OR für KMU festzustellen, werden wir uns zunächst mit dem Begriff des Risikomanagements befassen, bevor wir uns anschliessend mit den Bedingungen für seine Durchführung und schliesslich mit dem Auftrag der Revisionsstelle beschäftigten werden.

Title
2. Der Begriff des Risikomanagementsystems
Level
2
Title
2.1 Definition
Level
3
Text

Vom rechtlichen Standpunkt aus betrachtet lässt sich das Risikomanagementsystem nicht problemlos definieren. Das Gesetz schweigt sich darüber aus, weil ihm diese Bezeichnung fremd ist. Es zieht den Begriff der Risiko-­be­urteilung vor. In jedem Falle ist das Risiko­management in Fachkreisen nicht unbekannt, da es sich auf einen «Prozess oder eine Auf­gabe im Rahmen der ordentlichen Geschäfts­führung» bezieht3. Die Eidgenössische Finanzmarktaufsicht (Finma) definiert das Risiko-­management detailliert und präzise4:

«Das Risikomanagement beinhaltet die Methoden und Prozesse, die der Identifikation, der Beurteilung, den Risikostrategien bzw. -steuerungsmassnahmen, der Überwachung und Berichterstattung von Risiken dienen.»

Aus dieser Definition ergibt sich, dass ein vollständiges Management der Risiken somit eine Reihe von Prozessen impliziert, die sich in die folgenden Hauptkomponenten unterteilen lassen: Identifikation, Beurteilung, Überwachung und Durchführung der Massnahmen für die Überwachung der Risiken5. Diesen verschiedenen Bestandteilen des Systems entsprechen die sachdienlichen und angemessenen Arten von Massnahmen, die eingeführt werden müssen, um Risiken, die die Tätigkeiten des Unter­nehmens bedrohen, festzustellen, zu überwachen oder zu verhüten.

Der Gesetzgeber befasst sich nur mit der Komponente der Risikobeurteilung des Risiko­managementsystems. Tatsächlich verlangt Art. 663b Ziffer 12 OR von allen Aktiengesellschaften, dass sie im Anhang zur Jahresrechnung Angaben über die Durchführung einer ­Risikobeurteilung machen. Im Prüfungsstandard 890 heisst es: «Der Risikobeurteilungsprozess des Unternehmens bildet die Grundlage für die durch die Unternehmensleitung zu identifizierenden Risiken, die im IKS beachtet werden müssen. […] Im Rahmen der Risikobeurteilung identifiziert das Unternehmen seine wesentlichen Geschäftsrisiken, schätzt deren Bedeutung und Eintretenswahrscheinlichkeit ein und definiert Massnahmen, um diesen Risiken zu begegnen.» Streng genommen beschränkt sich die ­Risikobeurteilung auf die Prozesse zur Identifizierung und Beurteilung der Risiken6.

Title
2.2 Bezug zum internen Kontrollsystem
Level
3
Text

Das Risikomanagementsystem und das interne Kontrollsystem sind beide dafür bestimmt, eine angemessene Sicherheit bei der Verfolgung der Unternehmensziele zu bieten. Beide bilden somit die Kehrseiten ein und derselben Medaille. Diese Gleichheit der Zielsetzungen führt i.A. dazu, dass beide Prozesse miteinander asso­ziiert werden, was zu Verwechslungen und Verwirrungen zwischen beiden Systemen führen kann7.

Wegen seines breiten Ansatzes ist der Risikobeurteilungsprozess im internen Kontrollsystem enthalten8. Die Risikoorientierung des internen Kontrollsystems soll dabei helfen, die Gefahr von erheblichen Anomalien in den Jahresrechnungen festzustellen. Dieser Ansatz ist nicht immer die Regel. Das Risikomanagement­system kann unabhängig vom internen Kon­trollsystem konzipiert sein. In diesem Fall gibt es Modelle, wie das «COSO Enterprise Risk ­Management Framework» (ERM), das einen anerkannten Bezugsrahmen bietet (siehe nächsten Punkt).

Der Gesetzgeber selbst stellt sich ein Risiko­management vor, das nichts mit dem internen Kontrollsystem zu tun hat, denn die Pflicht zur Durchführung einer Risikobeurteilung gilt für alle Unternehmen, die einen Anhang zur Jahresrechnung erstellen, während die Einführung eines internen Kontrollsystems nur für Unternehmen verlangt wird, die der ordent­lichen ­Revision unterliegen, d.h. für börsen­notierte oder wirtschaftlich bedeutende Gesellschaften und für solche, die sich für eine ordentliche ­Revision entschieden haben. Dar­aus folgt, dass KMU zwar der ersten Verpflichtung unterliegen, der zweiten jedoch grundsätzlich nicht.

Title
2.3 Das COSO-ERM-Modell
Level
3
Text

Mit der Forderung nach der Durchführung einer Risikobeurteilung waren zahlreiche Unternehmen in Ermangelung jeder Art von Modell mit dem Problem der praktischen Umsetzung des Gesetzes konfrontiert. Sehr schnell hat man ­ihnen aber geraten, sich an die Arbeiten des Committee of Sponsoring Organizations of the Treadway Commission (COSO) zu halten, die als Bezugsrahmen für die Entwicklung von geeigneten Risikomanagementsystemen für ­Unternehmen dienen9. Dieses Modell besitzt die Besonderheit, dass es einen breiten Ansatz bietet, der für jede Art von Organisation, ungeachtet ihrer Grösse, der Komplexität der Geschäftstätigkeiten oder des Risikoprofils die Grundlage für die Definition eines wirksamen Risiko­managementsystems bilden kann. Ausserdem definiert sich COSO-ERM als «ein Prozess, ausgeführt durch Überwachungs- und Leitungs­organe, Führungskräfte und Mitarbeiter einer Organisation, angewandt bei der Strategiefestlegung sowie innerhalb der Gesamtorganisa­tion, gestaltet, um die die Organisation beeinflussenden, möglichen Ereignisse zu erkennen und hinreichende Sicherheit bezüglich des ­Erreichens der Ziele der Organisation zu gewährleisten».10

Um dem Unternehmen dabei zu helfen, seine Ziele zu erreichen, muss sich das Risiko­managementsystem nach COSO auf die folgenden Aspekte konzentrieren: die strategische Ausrichtung, die der Zielsetzung des Unternehmens dient, die betrieblichen Ziele für den wirksamen und ­wirtschaftlichen Ressourceneinsatz, die Bericht­erstattung in Verbindung mit deren Zuverlässigkeit und die Regeleinhaltung in Gestalt anwendbarer Gesetze und ­Vorschriften.

Ausserdem verlangt die wirksame Umsetzung eines Risikomanagements die Berücksichtigung der folgenden Hauptaspekte: (1) das interne Umfeld, das die Kultur und den Geist der Unternehmung erfasst und die Art und Weise strukturiert, wie die Risiken betrachtet und behandelt werden; (2) die Festlegung von Zielen, um potenzielle Ereignisse zu bestimmen, die deren Erreichung beeinflussen können; (3) die Identifikation von Ereignissen, um interne und externe Risiken (und Chancen) unterscheiden zu können, die die Erreichung der Ziele beeinflussen können; (4) die Beurteilung der Risiken, um sie im Hinblick auf ihre Eintretenswahrscheinlichkeit und ihre Auswirkungen analysieren zu können; (5) die Steuerung der Risiken und die Erarbeitung von Lösungen, mit denen sich die Risiken beherrschen lassen; (6) die Kontroll­aktivitäten, die Politiken und Verfahren definieren, die für die wirksame Umsetzung der Massnahmen zur Behandlung der Risiken bestimmt sind; (7) die Information und die Kommunikation, mit denen sich die Informationen sammeln und innerhalb der Organisation weitergeben ­lassen; und schliesslich (8) die Überwachung, die anhand der laufenden Führungstätigkeiten oder anhand von separaten Beurteilungen oder durch die Kombination beider Verfahren erfolgt.

Das relativ komplex angelegte COSO-ERM, das für börsenkotierte oder wirtschaftlich bedeutende Unternehmen bestens geeignet erscheint, ist für KMU meist überdimensioniert. Seine Implementierung könnte für diese zu überhöhten Kosten führen. Die Vielfalt der KMU, die insbesondere durch die Existenz von sehr unterschiedlichen Strukturen gekennzeichnet ist, erschwert die Konzeption eines Bezugsmodells für das Risikomanagement11. Die Flexibilität des COSO-ERM-Bezugsmodells ermöglicht jedoch dessen Anpassung an die Merkmale des Unternehmens oder an das vom Risikomanagement verfolgte Ziel12.

Title
3. Umsetzung des Risikomanagementsystems für KMU
Level
2
Text

Die Einführung eines wirksamen Risikomanagementsystems scheitert an der Ungenauigkeit des Gesetzestextes. Diese betrifft sowohl die Durchführung einer Risikoanalyse als auch jene Personen, die diese neue Gesetzesvorschrift zu erfüllen haben. Dies gilt insbesondere für KMU, für die sich die Frage stellt, ob diese gesetzliche Auflage ihre Besonderheiten berücksichtigt hat.

Title
3.1 Ansatz
Level
3
Text

Die lakonische Formulierung in Artikel 663b ­Ziffer 12 OR hat zu unterschiedlichen Interpretationen und auf diese Weise zu Unklarheiten geführt, wie der Ansatz für die Durchführung der Risikobeurteilung und die Modalitäten für die Veröffentlichung der damit verbundenen Angaben aussehen sollen13. Darüber hinaus ist diese unglückliche Situation aufgrund der ­Zögerlichkeiten und des Sinneswandels des Gesetzgebers noch weit von einer Klärung entfernt14.

Title
3.1.1 Durchführung der Risikobeurteilung
Level
4
Text

Das Gesetz enthält keinerlei Angaben darüber, wie die Risikobeurteilung konkret durchzuführen ist. Weder die Botschaft noch die parlamentarischen Arbeiten liefern eine mögliche Klärung. Allerdings kann man sich vorstellen, dass es darum geht, anhand des Verständnisses und der Tätigkeiten des Unternehmens diejenigen Prozesse und Methoden festzulegen, die eine Identifikation, Beurteilung und Kontrolle der ­Risiken ermöglichen, die die Fortsetzung der Geschäftstätigkeiten gefährden können.

Grundsätzlich muss die Durchführung der ­Risikobeurteilung im Unternehmen Gegenstand von Diskussionen unter der Leitung des Verwaltungsrats werden. Konkret gesehen müssen diese Prozesse dokumentiert werden. Diese Formalisierung muss sich in einem angemessenen Rahmen bewegen, um Mehrkosten infolge einer zu umfangreichen Dokumentation zu vermeiden. Letztere hängt unbedingt von der Komplexität und von der Risikoaussetzung des Unternehmens ab: Sehr anspruchsvolle Situationen verlangen eine Dokumentation der Prozesse in der Weise, dass der Ansatz die Identifikation der Hauptrisiken und die Ergreifung von Massnahmen für deren Steuerung und Überwachung fördert15. Dies erfordert genauer gesagt nähere Angaben über die Substanz der Risiken und die damit verbundenen adäquaten Massnahmen. Bei kleineren Unternehmen dagegen kann eine einfache Anmerkung im Protokoll der jährlichen Diskussionen des Verwaltungsrats zu dem Thema genügen16. In jedem Falle verfügen die Leitungsorgane des Unternehmens auf diesem Gebiet über einen gewissen Ermessensspielraum.

Der Umfang der Risikobeurteilung betrifft im Prinzip nur die mit den Finanzaufstellungen verbundenen Risiken. Der Botschaft zufolge geht es darum, sich nicht mit allen Unternehmensrisiken zu befassen, sondern nur mit jenen, die erheblichen Einfluss auf die Jahresrechnung haben können17. Diese Eingrenzung fällt logischerweise in den Rahmen der Revision der Jahresrechnung, insofern als die Angaben über die Durchführung der Risikobeurteilung anschlies­send in den Anhang aufgenommen werden. Als Managementinstrument kann die Risikoanalyse über die Finanzberichte hinaus angelegt sein, um sämtliche Risiken des Unternehmens abzudecken, die sowohl finanzielle als auch betriebliche oder strategische Risiken sein können. Diesbezüglich ist darauf hinzuweisen, dass die nichtfinanziellen Risiken die Erreichung der Unternehmensziele ebenfalls gefährden können, vor allem ist nicht auszuschliessen, dass sie Auswirkungen auf die finanzielle Situation des Unternehmens haben können18.

Der Inhalt von Art. 663b Ziffer 12 OR bleibt zweifellos ein Thema, das mit Vorsicht zu geniessen ist. Zwar erkennt das HWP eindeutig den unverhältnismässigen Charakter der Bestimmungen von Art. 663b Ziffer 12 OR für KMU an, aber es sagt nichts über die geeignete Art und Weise seiner Anwendung aus19. Vielmehr begnügt es sich damit, auf den Entwurf vom 21. Dezember 2007 über die Revision von Aktiengesellschaften und des Aktien- und Rechnungslegungsrechts zu verweisen, der den gegenwärtigen Zustand verändern soll, um die unterschiedlichen Unternehmensgrössen bei der Durchführung der Risikobeurteilung zu berücksichtigen. Dieser Entwurf sieht in der Tat vor, die Veröffentlichung über die Risikobeurteilung auf den Jahresbericht zu verschieben, den Unternehmen, die der eingeschränkten ­Revision unterliegen, nicht erstellen müssen20. Dieser Sinneswandel des Gesetzgebers soll zweifellos und zu Recht die Unsicherheiten beseitigen, die durch die problematisch gewordene gesetzliche Auflage einer Risikobeurteilung für KMU entstanden sind21.

Title
3.1.2 Veröffentlichung der Angaben über die Durchführung der Risikobeurteilung
Level
4
Text

Art. 663b Ziffer 12 erwähnt die Durchführung der Risikobeurteilung und besagt, dass die damit verbundenen Angaben im Anhang zur Jahresrechnung veröffentlicht werden müssen. Ebenso wie die übrigen Angaben in den Finanzaufstellungen muss auch diese Veröffentlichung den Grundsätzen für die ordnungsgemässe Veröffentlichung der Jahresrechnungen entsprechen22. Aber ebenso wie die Risikobeurteilung selbst, ist auch die Durchführung der Veröffentlichung der damit verbundenen Angaben prob­lematisch, weil sich das Gesetz hinsichtlich ­der Beschaffenheit, des Inhalts und des Um-­fangs dieser gesetzlichen Verpflichtung ausschweigt23.

Angesichts der Schweigsamkeit des Gesetz­gebers haben die betroffenen Fachkreise auf der Grundlage von unterschiedlichen Varianten die Bedingungen für die Durchführung dieser Veröffentlichungspflicht aufgestellt, sowohl was die Prozesse für die Risikobeurteilung betrifft, als auch in Bezug auf die Beschaffenheit der Risiken. Bei den Risikobeurteilungsprozessen gibt es eine ganze Palette von Optionen24:

  • den Hinweis, dass der Verwaltungsrat eine Risikobeurteilung vorgenommen hat (im Sinne einer Erklärung über deren Ausführung); keine Erklärungen zum Risikobeurteilungsprozess;
  • ergänzende Angaben über die vorhandenen Risikobeurteilungsprozesse und über die Massnahmen für die Steuerung und Überwachung der Risiken;
  • detailliertere Angaben über die Überwachungsprozesse des Risikomanagementsystems, die Identifikation, die Quantifizierung (Grundlage und Annahmen), die Bericht­erstattung, Kontrolle und Steuerung der ­Risiken.

Nach der Klärung der Beurteilungsprozesse ist es angezeigt, sich mit der Art der Risiken zu befassen, die im Anhang identifiziert werden können. Auch hier gibt es mehrere Möglichkeiten: Je nach Fall können die Angaben über den Risikobeurteilungsprozess entweder ohne Angabe der Risiken vorgelegt oder nur durch Angaben über die finanziellen Risiken ergänzt werden, d.h. über die erheblichen Risiken, die in einem direkten Zusammenhang mit der Jahresrechnung stehen, oder ergänzt durch die Veröffent­lichung aller erheblichen Risiken des ­Unter-nehmens, d.h. sowohl der finanziellen als auch strategischen Risiken25.

Die Existenz dieser unterschiedlichen Varianten setzt voraus, dass der Verwaltungsrat über einen gewissen Ermessensspielraum verfügt, sowohl was den Inhalt als auch was den Umfang der Veröffentlichung angeht. Dieser Ermessensspielraum wird gleichwohl durch die Notwendigkeit eingeschränkt, die Beschaffenheit, Grös­se und Komplexität des Unternehmens, die Risikoaussetzung sowie den Kreis der Aktionäre zu berücksichtigen. Insbesondere ist danach zu unterscheiden, ob das betreffende Unternehmen ein KMU ist oder eine Gesellschaft, die der ­ordentlichen Revision unterliegt26.

Soweit es insbesondere die KMU betrifft, ist ihr heterogener Charakter für die Formulierung eines einheitlichen Veröffentlichungsmodells nicht förderlich. In Anbetracht der voranstehend dargelegten unterschiedlichen Varianten besteht jedoch Anlass, auf die dritte Variante zu verzichten, da sich ihre Umsetzung, verbunden mit der Identifikation diverser Risiken für die KMU, als kompliziert erweisen kann27. Ausserdem könnte sie zur Veröffentlichung von vertraulichen Daten führen. KMU können sich mit minimalen Angaben über die Durchführung der Risikobeurteilung begnügen, indem sie sich auf die erste Variante in Bezug auf die Veröffent­lichung einer einfachen Erklärung über die Durchführung der Risikobeurteilung ohne Angabe der Risiken stützen28, es sei denn, Gründe in Zusammenhang mit der Komplexität der Strukturen oder des Risikoprofils gebieten zusätzliche Erläuterungen zu den Risikobeurteilungsverfahren und deren Substanz29.

In jedem Fall gibt die Durchführung einer Risikobeurteilung im Rahmen von KMU im Allgemeinen Anlass zu minimalen Angaben im Anhang30. Sie sind somit weit davon entfernt, irgendeine Einschätzung der Auswirkungen des Risikomanagements auf die Finanzaufstellungen zu fördern. Infolgedessen stellt sich die Frage nach der Relevanz der Veröffentlichung der genannten Daten im Anhang. Die Aussicht, dass die laufende Revision des Gesellschafts- und des Rechnungslegungsrechts zu einer ­Umkehr der Haltung in Bezug auf die Durchführung der Risikobeurteilung im Anhang führt, zugunsten einer Veröffentlichung im Jahres­bericht, entspricht dem Anliegen, zumindest im Hinblick auf KMU eine Vorschrift zu klären, deren praktische Umsetzung kompliziert geworden ist.

Title
3.2 Verteilung der Zuständigkeiten unter den Organen der Gesellschaft
Level
3
Text

Auf den ersten Blick sagt das Gesetz nichts dar­über aus, wer für die Einführung eines Risikomanagementsystems zuständig ist. Anzu­merken ist, dass die Verpflichtungen zur Durchführung einer Risikobeurteilung sowie zur Überprüfung der Existenz eines internen Kon­trollsystems nicht mit einer entsprechenden Veränderung der Zuständigkeiten des Verwaltungsrats einhergegangen ist. Diese mangelnde Klarheit hat zu Problemen bei der Umsetzung dieser neuen Gesetzesvorschriften geführt, da sowohl der Verwaltungsrat als auch die Revi­sionsstelle beteiligt sind. Diesbezüglich liefert die Botschaft eine Erklärung hinsichtlich des Organs, das für die Durchführung der Risikobeurteilung und deren anschliessende Veröffentlichung verantwortlich ist: Diese Aufgabe fällt in der Hauptsache dem Verwaltungsrat zu31. Desgleichen vertritt Redaktion: Auf Französisch ist es das "Manuel suisse d'audit" (MSA), was auf Deutsch vielleicht "Risikobeurteilungs-Handbuch" heissen könnte? EGGdas Noch zu klären, wofür diese Abkürzung stehtRHB die Auffassung, dass der Verwaltungsrat für die Beschaffenheit, den Inhalt und den Umfang der Angaben haftet, die im Anhang gemacht werden32. Alle diese Erläuterungen sind die Antwort auf eine Interpretation von Art. 716a Ziffer 1 OR, der die Gestaltung eines Risikomanagementsystems zu einer unübertragbaren und unentziehbaren Aufgabe des Verwaltungsrats erklärt33.

Zwar ist der Verwaltungsrat theoretisch für die Durchführung der Risikobeurteilung und deren Veröffentlichung zuständig, in der Praxis ist dies jedoch nicht immer klar. Man muss sagen, dass die Forderung nach einer Risikoanalyse – wie jede Neuerung – eine Reihe von Unternehmensleitern unvorbereitet getroffen hat, insbesondere in der Kategorie der KMU, wo ihre Umsetzung nicht problemlos erfolgt ist. Mit dieser Situation konfrontiert, kann die Revisionsstelle dazu veranlasst sein, in diesem Punkt die Ini­tiative zu ergreifen34. Genauer gesagt hängt ihre Revisionstätigkeit davon ab, dass sich der Verwaltungsrat an seine Verpflichtungen hält. Daher obliegt es ihr, Letzteren zu internen Überlegungen über die Risikobeurteilung aufzufordern und deren Ergebnisse gesetzesgemäss im Anhang niederzulegen. In keinem Falle aber darf sie an die Stelle des Verwaltungsrats treten, um sie selbst vorzunehmen, andernfalls würde sie den Rahmen ihres Auftrags überschreiten und infolgedessen das Risiko eingehen, wegen Anmas­sung von Geschäftsleitungsbefugnissen haftbar gemacht zu werden.

Obwohl nach dem Gesetz der Verwaltungsrat der Hauptschuldner der Verpflichtung zur Durchführung einer Risikobeurteilung ist, arbeitet die Geschäftsführung eng mit ihm zusammen35. Sie spielt i.A. eine entscheidende Rolle bei der Durchführung der beschlossenen Massnahmen sowie für deren Effizienz. In der Tat gibt sie dem Verwaltungsrat Orientierungshilfe bei der Entwicklung der Prozesse und bei der effektiven Umsetzung seiner Anweisungen.

Title
4. Überprüfung der Risikobeurteilung anlässlich der eingeschränkten Revision
Level
2
Title
4.1 Allgemein
Level
3
Text

Indem das Gesetz dem Verwaltungsrat jeder Aktien­gesellschaft vorschreibt, Angaben über die Durchführung einer Risikobeurteilung im Anhang zu machen, muss die Revisionsstelle notwendigerweise diese Angaben überprüfen. Es stellt sich jedoch die Frage nach der Zuverlässigkeit einer solchen Überprüfungspflicht. Vor allem ist darauf hinzuweisen, dass der Gesetzgeber ein differenziertes Revisionssystem eingeführt hat, das sich nach der Grösse der betroffenen Unternehmen und dem angestrebten Schutzziel richtet36. So werden börsenkotierte oder wirtschaftlich bedeutende Unternehmen einer ordentlichen Revision unterzogen, deren Sicherheitsniveau hoch ist, während andere – insbesondere KMU – im Allgemeinen Gegenstand einer eingeschränkten Revision sind, deren Sicherheitsniveau niedriger ist37.

Soweit es Unternehmen betrifft, die der ordentlichen Revision unterliegen, da sie überwiegend im öffentlichen Interesse stehen, hätte man erwartet, dass der Prüfungsauftrag des Revisors im Bereich des Risikomanagements dazu dient, eine angemessene Sicherheit hinsichtlich der Durchführung der Risikobeurteilung zu liefern. Im Falle von Unternehmen dagegen, bei denen sich die Revisionsverpflichtung auf eine eingeschränkte Revision beschränkt, müsste die Sicherheit, welche die Überprüfung der Durchführung der Risikobeurteilung bietet, ­geringer sein, da das Ziel dieser Art von Revi­sion darin besteht, die privaten Interessen der beteiligten Parteien und der Gläubiger zu schützen.

Trotz der Einführung der Bestimmungen der Artikel 663b Ziffer 12 OR und 728a Abs. 1 Ziffer 3 OR, die eine Kontrolle der Durchführung der Risikobewertung durch die Revisionsstelle vorschreiben, sei es separat oder im Rahmen der Überprüfung der Existenz eines internen Kontrollsystems, war dem Gesetzgeber daran gelegen, ihre begrenzte Tragweite zu erläutern: Sie ziehen keine neue Verpflichtung für die Revi­sionsstelle nach sich38. In Ermangelung einer sachlichen Kontrolle ist die Kontrollaufgabe rein formeller Natur. Diese Vorsichtsmassnahme, die zweifellos getroffen wurde, um das Phänomen zu vermeiden, das üblicherweise als ­«expectation gap» (Erwartungslücke) bezeichnet wird, ist gleichwohl die Relevanz der Ver­öffentlichung des Risikobeurteilungsprozesses im Anhang problematisch39, denn trotz der ­Sicherheitsmassnahmen des Gesetzgebers ­besteht für den Revisor ein nicht zu vernachlässigendes Haftungsrisiko. Dies betrifft ins­besondere diejenigen Unternehmen, die einer eingeschränkten Revision unterliegen.

Title
4.2 Sorgfalt bei der Überprüfung
Level
3
Text

Anlässlich der Kontrolle der ordnungsgemässen Buchführung der Unternehmen, die einer eingeschränkten Revision unterliegen, muss die Revisionsstelle überprüfen, ob der Verwaltungsrat eine Beurteilung der Risiken vorgenommen hat und die Angaben über diese Durchführung im Anhang veröffentlich hat. Da für das Risikomanagement in vollem Umfang der Verwaltungsrat verantwortlich ist, besteht die Aufgabe der Revisionsstelle darin zu bescheinigen, dass diese Verpflichtung erfüllt worden ist. Man kann also sagen, dass es sich um eine nicht sach­liche und somit ausschliesslich formelle Be­urteilung handelt.

Um die Durchführung der Risikobeurteilung zu attestieren, muss sich der Revisor entsprechend der gesetzlichen Anforderung auf eine Minimalkontrolle beschränken. Allerdings sind die Modalitäten für ihre Durchführung umstritten: Einigen Autoren zufolge40 darf sich der Revisor weder auf die Feststellung einer reinen Ankündigung der Risikobeurteilung im Anhang noch auf eine simple Überprüfung der Dokumentation beschränken. Er muss die Kontrolle etwas weiter vorantreiben, um sich nicht nur davon zu überzeugen, dass eine Risikoanalyse tatsächlich stattgefunden hat, er muss sich auch über deren Qualität äussern. Zwar kann diese Einstellung bezüglich des Auftrags des Revisors im Hinblick auf Unternehmen, die der ordentlichen Revision unterliegen, in Betracht gezogen werden, aber das Wesen der eingeschränkten Revision schliesst sie für KMU aus41.

Was die erforderliche Sorgfalt des Revisors betrifft, sieht der Standard zur eingeschränkten Revision (SER) eine methodische Kontrolle vor: Die Vorbereitung und Planung der eingeschränkten Revision sollen der Revisionsstelle die Möglichkeit geben, vom Risikomanagementsystem Kenntnis zu nehmen und die ­Tätigkeiten und das Umfeld des Unternehmens zu verstehen. Dadurch ist sie in der Lage, ihre eigenen Schlüsse bezüglich der formellen Übereinstimmung der veröffentlichten Angaben mit der Beurteilung der Risiken zu ziehen42. In diesem Rahmen stützt sich der Revisor im Wesentlichen auf die zur Verfügung gestellte Dokumentation und führt nötigenfalls Anhörungen der Leitungsorgane, d.h. des Verwaltungsrats und der Geschäftsführung, durch.

In Anbetracht des Wesens und des Gegenstands der eingeschränkten Revision ist davon auszugehen, dass sich der Revisor zunächst auf die Dokumentation über die Risikobeurteilung stützen muss, um eine formelle Einschätzung abzugeben, wie es das Gesetz verlangt. Erst wenn sich diese Einsichtnahme als un­zureichend erweist, kann er anschliessend ergänzende Anhörungen der Mitglieder des Verwaltungsrats oder der Geschäftsführung oder beliebiger Mitarbeiter vornehmen. Da jedoch die Einfachheit der Strukturen mancher KMU Anlass zu sehr wenig formalisierten Risikobeurteilungsprozessen gibt, ist es zulässig, dass sich der Revisor in diesem Kontext auf die Anhörungen beschränkt, um sich eine Vorstellung von der Art und Weise zu verschaffen, wie die Risiken identifiziert und behandelt werden43.

Beim gegenwärtigen Stand des Rechts obliegt es in keinem Fall dem Revisor, eine eingehende Untersuchung über die Beurteilung der Risiken anzustellen, da er sich nicht über die Richtigkeit oder Unrichtigkeit der diesbezüglichen Angaben im Anhang äussern muss. Dieser Vor­behalt könnte allerdings der Veröffentlichung der Angaben über die Durchführung der Risiko­beurteilung im Anhang jegliches Interesse nehmen, da der Umfang der Kontrolle des Revisors weit davon entfernt ist, die Auswirkungen der Risikobeurteilung auf die Finanzaufstellungen einzuschätzen44. Letztlich ist sie weder für die Aktionäre von besonderer Bedeutung, da es sich nicht um eine Wirksamkeitskontrolle handelt, noch für die Gläubiger, die im Übrigen über andere Möglichkeiten verfügen, um ihre Interessen zu schützen.

Title
4.3 Revisionsbericht
Level
3
Text

Im Unterschied zur ordentlichen Revision, die zur Abfassung von zwei Berichten führt, von denen der detailliertere für den Verwaltungsrat bestimmt ist und der eher knappe Bericht für die Hauptversammlung, wird die Überprüfung im Falle der eingeschränkten Revision durch einen einzigen Bericht bestätigt, der sich an ­die Hauptversammlung richtet und sich auf die Ergebnisse der Tätigkeiten der Revisionsstelle bezieht: In Anbetracht des Wesens der ein­geschränkten Revision besitzt der genannte ­Bericht die Besonderheit, dass sein Inhalt begrenzt ist.

Soweit es die Risikobeurteilung betrifft, muss der Inhalt des Testats des Revisors kurz aus­fallen45. Ausserdem ist es in der Praxis zulässig, dass sich der Revisor auf den Hinweis beschränkt, dass eine Risikoanalyse stattgefunden hat. Diese Aussage gilt insbesondere für die eingeschränkte Revision. Da er nicht zu einer eingehenden Prüfung verpflichtet ist, kann man vom Revisor logischerweise keinen eingehenden Bericht erwarten, der nähere Angaben über die Beurteilungsmodalitäten oder Angaben über die Wirksamkeit der Beurteilung enthält46.

Da der Revisor mit der Kontrolle der formellen Übereinstimmung der Angaben des Anhangs mit der Durchführung der Risikobeurteilung beauftragt ist, stellt jede fehlende oder unzureichende Veröffentlichung der Risikobeurteilung einen Verstoss gegen Art. 663b Ziffer 12 OR dar, der Gegenstand eines Vorbehalts im Revisionsbericht werden muss. Gleichwohl ist es plausibel, dass ein Verzicht auf die Durchführung der Risikobeurteilung in Verbindung mit einer Darlegung der Gründe keinen erheblichen Mangel der Jahresrechnung darstellt und infolgedessen genügen kann, um einen Vorbehalt im Revisionsbericht zu vermeiden47.

In jedem Fall und unbeschadet alle Vorbehalte, die er im Revisionsbericht anmelden kann, ist der Revisor nicht befugt, Empfehlungen bezüglich der Genehmigung der Jahresrechnung abzugeben, und jeder Aktionär muss sich anhand der erhaltenen Informationen seine eigene Meinung bilden. Dies ergibt sich aus der Tatsache, dass die Überprüfung des Revisors anlässlich einer eingeschränkten Revision zu einer negativen Feststellung führt: Er muss überprüfen, ob Sachverhalte vorliegen, die ihm die Schluss­folgerung gestatten, dass die Jahresrechnung nicht mit dem Gesetz und der Satzung in Einklang steht. In der Tat gibt er durch ein negatives Testat eine Konformitätserklärung ab.

Title
5. Schlussfolgerung
Level
2
Text

Da sie Risikomanagementprozesse traditionell formlos gehandhabt haben, ist es nicht verwunderlich, dass KMU Probleme bei der Anwendung der neuen Gesetzesvorschrift für die ­Risikobeurteilung haben. Und dies umso mehr, als die Lücken im Gesetzestext ihre Aufgabe noch zusätzlich verkomplizieren. Zwar haben die Interpretationsbemühungen der Treuhandkammer und der Rechtslehre eine gewisse Verdeutlichung hinsichtlich des Verständnisses der Absichten des Gesetzgebers gebracht, sie haben jedoch auch aufgezeigt, in welchem Masse die vorgegebenen Grenzen für die Risikobeurteilung deren Wirksamkeit beeinträchtigen. Erste Erfahrungen mit der Anwendung des Gesetzes haben diese Tendenz und den Fortbestand einer Reihe von Problemen bestätigt, und dies in einem solchen Masse, dass alle Diskussionen in Bezug auf Art. 663b Ziffer 12 OR heute auf eine Diskussion über ihre ratio legis hinauslaufen48. Der Gesetzgeber plant zudem im Rahmen der Reform des Aktien- und Rechnungslegungsrechts, die gegenwärtig im Parlament geprüft wird, KMU zu Recht von der Verpflichtung zur Veröffentlichung von Angaben über die Risikobeurteilung im Anhang zu befreien. Alle diesbezüglichen Veröffentlichungen sollen im Jahresbericht (neu: Lagebericht) erscheinen, den Unternehmen, die der eingeschränkten Revi­sion unterliegen, nicht erstellen müssen. Daraus würden sich letztlich zwei Hauptvorteile im Verhältnis zum geltenden Gesetz ergeben: Einerseits wird es Sache des Verwaltungsrats sein, über eine Risikoanalyse zu entscheiden, deren Prozess sie im Hinblick auf Ausführung und Wirksamkeit regelt, und andererseits wäre der Revisor nicht mehr dazu veranlasst, diesbezüglich irgendeine Rolle zu übernehmen, was ihm jedes Haftungsrisiko erspart.

Text

Wir danken Herrn Dr. iur. Pascal Montavon für seine Vorschläge und Anmerkungen bei der Formulierung dieses Textes.

  1. Annen, M., Internes Kontrollsystem und Risikobeurteilung, in TREX 2008, 271; Renggli K., Risikobeurteilung im Anhang (Art. 633b Ziff. 12 OR), in TREX 2009, 26.
  2. Siehe Botschaft zur Änderung des Obligationenrechts (Revisionspflicht im Gesellschaftsrecht) sowie zum Bundesgesetz über die Zulassung Beaufsichtigung der Revisorinnen und Revisoren vom 23. Juni 2004, BBl 2004 3989.
  3. Renggli (FN 1), 25.
  4. FINMA-Rundschreiben 08/32 Corporate Governance, Risikomanagement und Internes Kontrollsystem bei Versicherern vom 20. November 2008.
  5. Siehe Böckli P., Schweizer Aktienrecht, 4. Auflage, ­Zürich / Basel / Genf 2009, § 15 Nr. 204.
  6. Böckli (FN 5), Nr. 204; Renggli (FN 1), 25.
  7. Siehe Peter H. / Cavadini-Birchler F. / Dunant O., in: ­Pierre Tercier / Marc Amstutz (Hrsg.), Commentaire romand, Code des Obligations II, Basel 2008, Art. 28a Nr. 28.
  8. Annen (FN 1), 271; der «Swiss Code of Best Practice for Corporate Governance», Kapitel 19, siehe auch den International Standard of Auditing ISA 315 «Kenntnis des Unternehmens und seines Umfelds und Beurteilung des Risikos für erhebliche Anomalien»; COSO’s Internal Control – Integrated Framework (www.coso.com).
  9. Wyss L., Das IKS und die Bedeutung des Legal Risk Management, in RSDA / SZW 1/2007, 40.
  10. Siehe Internetsite von COSO: www.coso.com.
  11. Renggli (FN 1), 26.
  12. Siehe Risikomatrix auf der Basis des COSO-Modells nach Annen (FN 1), 272.
  13. Handbuch der Wirtschaftsprüfung (nachstehend: HWP) 2009, 300; Böckli (FN 5), Nr. 206
  14. Siehe Botschaft zur Änderung des Obligationenrechts vom 21. Dezember 2007, BBl 2008 1589 und insbesondere Art. 961 des überarbeiteten OR-Entwurfs (nachstehend OR-E).
  15. Renggli (FN 1), 26.
  16. Mäder R., Risikobeurteilung nach Art. 663b Ziff. 12 OR, in RSDA / SZW 4/2009, 256. (Nr. 27), 262.
  17. Botschaft (FN 2), 4036.
  18. Siehe Böckli (FN 5), Nr. 206. Die Botschaft (FN 2), 4036 ist in diesem Punkt nicht eindeutig: «Es ist klarzustellen, dass die Risikobeurteilung nicht sämtliche Geschäftsrisiken erfasst, sondern nur die Erläuterung derjenigen Risiken, die einen wesentlichen Einfluss auf die Beurteilung der Jahresrechnung haben könnten. Solche Risiken können beispielsweise in den Bereichen der Branchenzugehörigkeit, der Grösse des Unternehmens, der technologischen Entwicklungen, der Arbeitsmarktverhältnisse, der Formen der Finanzierung und der Liquiditätslage, der Konkurrenzsituation, des Produktemixes, der internen Organisation, der Eigentümerstruktur, der externen Einflüsse von interessieren Dritten (Stakeholder) oder der Umwelt bestehen.».
  19. HWP 2009, 301.
  20. Art. 961 Ziffer 3 OR-E (FN 14).
  21. Stenz T. / Zemp R., Erste Erfahrungen mit der Ordentlichen Revision, Neuerungen haben sich mehrheitlich bewährt, in: Der Schweizer Treuhänder 10/2009, 690.
  22. Art. 662a OR.
  23. Annen (FN 1), 271, HWP 2009, 300.
  24. HWP 2009, 300/301.
  25. HWP 2009, 301.
  26. Siehe Böckli (FN 5), Nr. 208.
  27. Annen (FN 1), 271; Renggli (Nr. 1), 27.
  28. Einigen Autoren zufolge sind die Minimalangaben nur zulässig, wenn sie mindestens die Qualität der Risikobeurteilung betreffen. Siehe Mäder (FN 16), 259.
  29. Siehe HWP 2009, S. 301; Böckli (FN 5), Nr. 208; Montavon P.  / Wichser J.-P., Droit suisse de la révision, Coresponsabilité des organes de la SA, Lausanne 2009, 107.
  30. Böckli (FN 5), Nr. 208; Stenz / Zemp (FN 21), 690.
  31. Botschaft (FN 2), 4036.
  32. HWP 2009, 301.
  33. Wyss (FN 9), 37; Mäder (FN 16), 256.
  34. Montavon / Wichser (FN 29), 150; Lechartier P. / Oesch L., Analyse des risques et SCI, un an après, in: Der Schweizer Treuhänder 10/2009, 695.
  35. Siehe Tagouo C., Système de gestion des risques et corporate governance, AJP / PJA 05/2010, 604–605.
  36. Botschaft (FN 2), 3989.
  37. Siehe Bourqui C. / Bourqui P. D., Le contrôle restreint et sa fiabilité, in: RSDA / SZW 6/2007, 428.
  38. Botschaft (FN 2), 4023.
  39. Für die ordentliche Revision, siehe: Stenz / Zemp (FN 21), 690.
  40. Siehe u. a.: Böckli (FN 5), Nr. 210, Nr. 478; Watter R. /  Pfiffner D. C., Commentaire bâlois, Droit des obligations, Art. 729a Nr. 8.
  41. Siehe: Montavon / Wichser (FN 29), 149.
  42. Siehe auch: Renggli (FN 1), 26.
  43. Schweizer Treuhandkammer: Überprüfung des internen Kontrollsystems PS 890, 19.
  44. Siehe: Stenz / Zemp (FN 21), 690.
  45. Montavon / Wichser (FN 29), 149. Siehe ausserdem die nuancierte Stellungnahme von Böckli (FN 5), Nr. 149.
  46. Nuancierter in diesem Punkt: Watter / Pfiffner (FN 40), Art. 729a Nr. 8.
  47. Renggli (FN 1), 30; scheint gegenteiliger Ansicht zu sein.
  48. Stenz / Zemp (FN 21), 690; Lechartier / Oesch (FN 34), 695.
Tags
Revision
Treuhand
Unternehmensberatung
Date