IDW PS 340: Prüfung des Risikofrüherkennungssystems

Vom quantitativen Kurswechsel zur Chancensicht


Comment

"Wenn das Schiff auf falschem Kurs ist, genügt es nicht, den Kapitän auszuwechseln – man muss den Kurs ändern." Das beschriebene Szenario des tschechischen Schriftstellers Pavel Kosorin ist ein Spiegelbild vieler Unternehmen. Salopp formuliert könnte es auch heißen: Läuft der Laden nicht, muss der Geschäftsführer gehen. So ist der Deal. Was Unternehmen und ihre Aufsichtsgremien indes vernachlässigen, ist meist eine grundlegende Kursänderung der Gesamtorganisation. Doch die wäre in unseren Zeiten durchaus angebracht – insbesondere mit Blick auf die Risikolandkarte vieler Unternehmen. Klappt man diese Karte auf, so wird diese groß, größer und zugleich unhandlicher im Gebrauch. Sie taugt also nur bedingt bei der Risikoorientierung. Dies verdeutlicht unter anderem die Bandbreite an Risiken – von der Geopolitik über den voranschreitenden Klimawandel bis zu kriselnden Volkswirtschaften. Für Unternehmenslenker Grund genug die eigene Organisation besser auf stürmische Zeiten vorzubereiten. Denn Rettungsboote sollten nicht erst im Sturm gebaut werden. Doch dafür ist besagte Kursänderung in Richtung eines modernen Risikomanagements zwingend erforderlich, um nicht sehenden Auges direkt in den größten Sturm zu segeln.

Quantitative Methoden, kompakte Informationen

Das Manöver müsste daher lauten: Klar zum Wenden. Das neue Ziel heißt nun quantitative Methoden im Risikomanagement. Die Mannschaft und der Kapitän lassen damit qualitative Risikobetrachtungen hinter sich mit einer bunten Risikomatrix und der Höhe der Eintrittswahrscheinlichkeit samt Risikobuchhaltung. Den Grund für ein solches Wendemanöver umschreibt Samuel Brandstätter, Gründer und CEO, avedos GRC GmbH: "Wir beobachten seit geraumer Zeit, dass für viele Unternehmen eine rein qualitative Bewertung nicht mehr ausreicht und der Trend sich zunehmend in Richtung quantitativer Methoden bewegt, meist in Vorbereitung für Simulationsverfahren. Hilfreich waren dem Unternehmen dabei viele Gespräche mit Aufsichtsräten. Eine daraus gewonnene Erkenntnis sei nach Brandstätters Worten, dass Risiken für Aufsichtsräte erst dann relevant und greifbar würden, wenn sie quantitativ beurteilbar seien. "Das setzt voraus, dass ich die Informationen in kompakter Form vermitteln kann", so Brandstätter. Und er ergänzt: "Von daher ist der IDW PS 340, in dem was er jetzt fordert oder die Richtung, die er einschlägt, nur sinnvoll."

Diese Richtung zeigt sich unter anderem in der stärkeren Fokussierung auf quantitative Methoden im Rahmen des neuen Standards IDW PS 340 n.F. zur Prüfung des Risikofrüherkennungssystems vom Sommer 2020. Dabei wurden nach Aussagen des Instituts der Wirtschaftsprüfer (IDW) unter anderem die "Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen entwickelten Grundelemente" konkretisiert. Zudem liegt die "Betonung der Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit und Risikoaggregation", so das IDW weiter. Brandstätter sieht das Ganze indes nicht nur unter dem regulatorischen Aspekt. Vielmehr sorge der neue Standard für eine merklich bessere Kommunikation zwischen dem Risikoeigentürmer (Risk Owner) und dem Management, aber auch zwischen dem Management und dem Aufsichtsrat.

Entmystifizierung von Simulationen

Das Wiener Unternehmen avedos hatte bereits im Jahr 2019 eine Simulations-Engine in die eigene Risikomanagementsoftware "risk2value" integriert. Die ganzheitliche GRC-Software ermöglicht unterschiedliche GRC-Anwendungsfälle integrativ abzubilden. Der Vorteil laut avedos: "Mittlere bis große Unternehmens- und Konzernstrukturen profitieren von einem merklich reduzierten Arbeitsaufwand bei gleichzeitig optimierten GRC-Prozessen." Von Vorteil ist für das Unternehmen die bereits über 15 Jahre Erfahrung im Umgang mit komplexen GRC-Umsetzungen aus der Praxis, u.a. in sehr großen Konzernen. Brandstätter erklärt zur Simulations-Engine: "Wir versuchen damit die Simulation zu entmystifizieren, denn es gibt immer noch zu viele Risikomanager die das Thema als zu komplex ansehen. Um den Gesamtprozess zu vereinfachen, gestalten wir bestimmte Use Cases die letztendlich das erfüllen, was der IWD PS 340 fordert."

Früherkennung und Risikoaggregation

In Bezug auf das Erfüllen des Prüfstandards heißt das auch, eindeutige Betrachtungen von "Netto-Risiken" sowie der Risikosteuerung als Bestandteil der zu prüfenden Grundelemente eines Risikofrüherkennungssystems. Eine "Gemeinsame Stellungnahme" unterschiedlicher Experten vom Januar 2020 folgert: "Die gesetzlich geforderte Hauptaufgabe eines Risikofrüherkennungssystems – als Kern des Risikomanagements – besteht darin "bestandsgefährdende Entwicklungen" früh zu erkennen (§ 91 Abs.2 AktG).

Um dieser Aufgabe gerecht zu werden, ist es erforderlich, klar zu definieren, was eine solche ‚bestandsgefährdende Entwicklung‘ ist." Und weiter: Die Früherkennung bestandsgefährdender Entwicklungen erfordert die Identifikation seltener Extremrisiken und aufgrund der Nichtaddierbarkeit von Risiken eine Risikoaggregation (stochastische Simulation)." Hinter der "stochastischen Szenariosimulation" steht die Idee für zufällig gewählte Parameter über die entsprechenden Zusammenhänge die zugehörigen Ergebnis- oder Zielgrößen zu ermitteln. Sprich: Potenzielle Zukunftsszenarien zu simulieren, um hieraus zu lernen beziehungsweise präventive oder reaktive Maßnahmen zu definieren. Das zur Ermittlung der Zielgrößen verwendete Modell ist in der Regel deterministischer Natur, das heißt, mit dem Festlegen der Parameter sind die Zielgrößen eindeutig bestimmt. Der Vorteil des Einsatzes der stochastischen Szenariosimulation liegt in einer schnellen und einfachen Ermittlung von Ergebnissen.  

Komplexität reduzieren, Handlungsoptionen gewinnen

Gerade mit Blick auf die Komplexität haben Risikomanager mittelständischer Unternehmen Nachholbedarf, auch weil die Kapazitäten fehlten. "Mittelständler haben nicht vorweg Wirtschaftsprüfer oder Beratungsunternehmen im Haus, die ihnen Konzepte entwickeln, die auf sie zugeschnitten sind und mit denen sie dann zu uns kommen", erklärt Brandstätter. Im Umkehrschluss heißt das für avedos mit mehr Standards zu arbeiten, um mittelständische Unternehmen in die gleiche Lange zu versetzen, wie es mit großen Konzernen geschieht. Das Stichwort lautet Best-Practice-Ansätze. Brandstätter hierzu: "Diese Ansätze sollen Risikomanager im Mittelstand in die Lage versetzen, in wenigen Tagen ein Ergebnis zu erzielen." Mit ihren Standard-Lösung bietet avedos hierzu einen fertigen Baukasten an – vom Enterprise Risk Management über den Datenschutz bis zum Business Continuity. Brandstätter sieht dies als Startpunkt an. Und doch denkt avedos weiter, sprich hat den Kompass in die Zukunft gestellt. Denn mittelständischen Unternehmen wird mithilfe der avedos-Lösung der zukünftige Ausbau der Lösung ermöglicht. "Unternehmen können die jeweilige Lösung Schritt für Schritt ausbauen und letztendlich den Reifegrad im gesamten Risikomanagementprozess erhöhen", resümiert Brandstätter. Und damit lässt sich der Kurs der Unternehmen ändern – bei voller Kontrolle über das eigene "Schiff" und die Segel Richtung Zukunft gesetzt. Und die heißt die Terra incognita in Form der Chancen und eines modernen Risikomanagements entdecken.

[vimeo:473727575]

 

 

[ Source of cover photo: Adobe Stock.com / Philip Steury ]
Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.