Implementierung

Jetzt, da erforderliche Grundsätze und Richtlinien werden erstellt wurden, wird das Risikomanagementkonzept wird implementiert.

Im Projektverlauf werden Grundsätze und Richtlinien erstellt, um alle Entscheidungen und Prozesse zusammenzufassen. Diese Dokumente werden durch die Firmenleitung und das Management freigegeben. Sie dienen zusätzlich den Mitarbeitenden des Unternehmens als Grundlage bei der Wahrnehmung ihrer Risikomanagementverantwortung.

Die definierten Massnahmen aus der Phase "Risikomanagementprozess" werden nun umgesetzt. Ein wichtiges Kernelement ist die fortlaufende Überwachung der Umsetzung sowie deren Berichterstattung, für welche die Risikoverantwortlichen verantwortlich sind. Zuhanden der Geschäftsleitung und des Verwaltungsrats müssen periodisch Zusammenfassungen aller Risiken mit Angabe des Umsetzungsstatus der definierten Massnahmen erstellt werden.

Offenlegung im Geschäftsbericht

Die neuen gesetzlichen Bestimmungen (Art. 961c OR) verpflichten die Unternehmen, im Anhang des Geschäftsberichts Angaben über die Durchführung einer Risikobeurteilung zu machen.

Bei den Angaben betreffend die Durchführung einer Risikobeurteilung wird zwischen dem Risikobeurteilungsprozess und den Risiken selbst unterschieden.

Informationen zum Risikobeurteilungsprozess betreffen den Prozess selbst und die Struktur der Risikobeurteilung beziehungsweise des allfälligen Risikomanagements. Sie werden mit der Darlegung der Massnahmen ergänzt, die sich aus den identifizierten Risiken ergeben. Folgende Punkte sind entsprechend in der Berichterstattung zu berücksichtigen:

	Generelle Kommentare	Detailliertere Informationen
Prozess	Durchführung der Risikobeurteilung und ev. des Risikomanagement-Prozesses	Details zum Prozess wie Häufigkeit der Risikobewertung Durchgeführte Bewertungsverfahren Verwendung von Risikolandschaften
Struktur	Generelle Kommentare zur Zuteilung der Verantwortlichkeiten	Details zur Struktur wie Verantwortlichkeiten, dh. Stellen/Abteilungen Berichterstattung Zugrunde gelegtes Rahmenwerk
Massnahmen	Generelle Kommentare zu den definierten Massnahmen für die identifizierten Risiken, insb. zu denjenigen, die Einfluss auf die finanzielle Berichterstattung haben	Details zu getroffenen Massnahmen wie Bezug zu einem Internen Kontrollsystem (IKS) Informationen über die Risikomanagement-Massnahmen wie Organisation, Recht/Compliance, Prozess, Versicherung etc.

Generelle Kommentare

Detailliertere Informationen

Prozess

Durchführung der Risikobeurteilung und ev. des Risikomanagement-Prozesses

Details zum Prozess wie

Häufigkeit der Risikobewertung
Durchgeführte Bewertungsverfahren
Verwendung von Risikolandschaften

Struktur

Generelle Kommentare zur Zuteilung der Verantwortlichkeiten

Details zur Struktur wie

Verantwortlichkeiten, dh. Stellen/Abteilungen
Berichterstattung
Zugrunde gelegtes Rahmenwerk

Massnahmen

Generelle Kommentare zu den definierten Massnahmen für die identifizierten Risiken, insb. zu denjenigen, die Einfluss auf die finanzielle Berichterstattung haben

Details zu getroffenen Massnahmen wie

Bezug zu einem Internen Kontrollsystem (IKS)
Informationen über die Risikomanagement-Massnahmen wie Organisation, Recht/Compliance, Prozess, Versicherung etc.

Es sind drei Stufen der Offenlegung möglich:

Generelle Informationen zu den vom Verwaltungsrat als mit höchster Priorität zu betrachtenden Risiken
Zusätzliche Informationen zu den wesentlichen identifizierten spezifischen Risiken mit direktem Einfluss auf den Jahresabschluss
Zusätzliche Informationen zu den wesentlichen spezifischen Geschäftsrisiken

Unternehmen mit eingeschränkter Revisionspflicht können ihre Berichterstattung auf wenige generelle Kommentare ihres Risikobeurteilungsprozesses beschränken.

Firmen mit ordentlicher Revision müssen eine detailliertere Darstellung ihres Risikobeurteilungsprozesses sowie Informationen zu identifizierten Risiken offenlegen.

Beispiel einer möglichen Offenlegung des Risikobeurteilungsprozesses: