Michel Eyquem de Montaigne, einem Denker und Schriftsteller des 16. Jahrhunderts, wird häufig das folgende Zitat zugeordnet: "Kein Wind ist demjenigen günstig, der nicht weiß, wohin er segeln will." Umgekehrt könnte hieraus abgeleitet werden, dass nicht der Wind die Richtung bestimmt, sondern das Segel.
Aus einer jüngst von Deloitte veröffentlichte "Benchmarkstudie Risikomanagement 2020" könnte abgeleitet werden, dass viele Unternehmenslenker Risikomanagement eher nicht als wertvolles Navigationsinstrument nutzen, sondern aktuell eher als reines (und möglicherweise regulatorisches) Dokumentationsinstrument. Die Studie kommt zu dem Ergebnis, dass nicht einmal die Hälfte der 64 führenden deutschen Industrieunternehmen über ein Risikotragfähigkeitskonzept und 41 Prozent der Studienteilnehmer über keine dokumentierte Risikostrategie verfügen.
Provokant könnte formuliert werden, dass nicht wenige Industrieunternehmen in einem Blindflug unterwegs sind, da sie keine ausreichende Transparenz über ihr Risikoportfolio haben und wohl nur vermuten, dass das Risikodeckungspotenzial im Stressszenario ausreichen wird. Wenn keine Risikostrategie vorhanden ist, wurde in der Konsequenz auch der Risikoappetit (Risikoakzeptanz) nicht definiert. Daher ist es nicht überraschend, dass 50 Prozent der befragten Unternehmen ihren Risikoappetit noch nicht definiert haben. Die positive Seite: Immerhin 16 Prozent der Unternehmen haben ihren Risikoappetit quantitativ definiert.
Abb. 01: Analyse der Risikotragfähigkeit im Unternehmen [Frage: Inwiefern wir die Risikotragfähigkeit des Unternehmens analysiert?] (Bildquelle: Deloitte)
Abb. 02: Definition des Risikoappetits [Inwiefern erfolgt die Definition eines Risikoappetits für das Unternehmen? Mehrfachantworten möglich] (Bildquelle: Deloitte)
Unter Risikotragfähigkeit (auch Netto-Risikotragfähigkeit genannt) versteht man allgemein den maximal möglichen Verlust, der gerade noch durch die verfügbaren Liquiditätsreserven eines Unternehmens abgedeckt werden kann. Die Risikotragfähigkeit entspricht dem Umfang von zusätzlich tragbarem Risiko und stellt somit die Differenz zwischen Risikodeckungspotenzial und Gesamtrisikoumfang dar.
Erstaunlich ist, dass im ursprünglichen Entwurf des neuen Prüfungsstandards PS 340 ("Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB") auch ein qualitatives Risikotragfähigkeitskonzept vorgesehen war. Die Unsinnigkeit eines solchen Ansatzes offenbart sich spätestens bei einer Analyse konkreter Unternehmensinsolvenzen. Siehe vertiefend den Text: Risikoaggregation wird zur Pflicht
Methoden zur Risikoaggregation unbekannt
69 Prozent der befragten Unternehmen verdichten Risiken durch Bildung von Aggregaten nach Risikoarten und 75 Prozent leiten inzwischen eine Einschätzung der Gesamtrisikosituation des Unternehmens auf Basis der gemeldeten Einzelrisiken ab. Dabei handelt es sich wohl eher um eine Art Konsolidierung und weniger um eine methodisch fundierte Aggregation von Risiken.
Diese Konsolidierung erfolgt häufig anhand qualitativer Einschätzungen oder der bloßen Addition von Schadenserwartungswerten (Siehe hierzu den Text: Die größte anzunehmende Dummheit im Risikomanagement).
Lediglich 24 Prozent nutzen bisher fundierte stochastische Simulationsverfahren und nur 34 Prozent berücksichtigen Wechselwirkungen zwischen den Risiken bei der Einschätzung der Gesamtrisikosituation.
Die Autoren der Deloitte-Studie sind davon überzeugt, dass der Einsatz stochastischer Simulationsverfahren mit der fortschreitenden Digitalisierung weiter zunehmen wird, da sie eine pragmatische Möglichkeit darstellen, die Gesamtrisikosituation so realistisch wie möglich abzubilden.
Abb. 03: Methoden zur Ermittlung einer Gesamtrisikoposition [Frage: Inwiefern erfolgt die Ermittlung einer Gesamtrisikoposition des Unternehmens per Aggregation bewerteter Einzelrisiken?] (Bildquelle: Deloitte)
Von einem Dokumentationssystem zu einem Steuerungsinstrument
Obwohl die neuen regulatorischen Anforderungen aus dem IDW-Standard PS 340 bereits ab 2021 für börsennotierte Gesellschaften verpflichtend werden, besteht insgesamt eher eine große Unkenntnis.
Die Benchmark-Studie kommt zum Ergebnis, dass mehr als einem Drittel der befragten Unternehmen die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IDW PS 340 n.F. nicht bzw. nicht vollumfänglich bekannt sind. Nur jedes Fünfte weiß genau, welche konkreten Anforderungen und Änderungen für das unternehmensweite Risikomanagement-System bevorstehen. Eine Auseinandersetzung mit den zukünftigen Anforderungen ist jedoch vor allem für börsennotierte Unternehmen zwingend erforderlich, nachdem die Maßnahmen des Vorstands nach § 91 Abs. 2 AktG für Geschäftsjahre beginnend ab dem 1. Januar 2021 nach dem überarbeiteten Prüfungsstandard prüfungspflichtig sind.
Abb. 04: Bekanntheit der bevorstehenden Änderungen durch den IDW PS 340 n.F. [Frage: Inwiefern sind Ihnen die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IDW PS 340 n.F. bekannt?] (Bildquelle: Deloitte)
Rund die Hälfte der Befragten gibt an, die neuen Anforderungen gemäß IDW PS 340 n.F. an, das Risikofrüherkennungssystem des Unternehmens zumindest im Wesentlichen zu erfüllen.
Eine Vorbereitung bezüglich der Erfüllung zukünftiger regulatorischer Anforderungen des IDW PS 340 n.F. haben die Unternehmen, deren Geschäftsjahr am 1. Januar beginnt, bereits bis Ende 2020 sicherzustellen. So ist der notwendige Anpassungsbedarf auf Basis des aktuellen Status quo des Risikomanagement-Systems zu analysieren und sind entsprechende Maßnahmen zu ergreifen.
Mit den regulatorischen Neuerungen hat sich das Risikofrüherkennungssystem von einem reinen Berichts- zu einem umfassenderen Managementinstrument weiterentwickelt und nimmt zukünftig eine übergeordnete "Klammerfunktion" über alle Governance- und Managementsysteme im Unternehmen ein. Diese Entwicklung ist zu begrüßen, denn nur so wird Risiko- und Chancenmanagement zu einem strategischen und wertschöpfenden Instrument.
Mit den aufgeführten wesentlichen Neuerungen des IDW PS 340 n.F., die sich an die Unternehmen richten, geht eine erweiterte Berichtspflicht des Abschlussprüfers im Prüfungsbericht einher. In diesem Zusammenhang hat der Abschlussprüfer festgestellte wesentliche Mängel des Risikofrüherkennungssystems im Prüfungsbericht zukünftig festzuhalten. Darüber hinaus muss er über sonstige festgestellte (unwesentliche) Mängel berichten und für die Berichtsadressaten wichtige Verbesserungsvorschläge unterbreiten. Ggf. hat der Prüfer sein Urteil im Falle wesentlicher Mängel einzuschränken bzw. im Falle umfassender Mängel sogar zu versagen.
Laut der Benchmark-Studie erfüllt der überwiegende Teil der befragten Unternehmen zwar die aktuell geltenden regulatorischen Anforderungen des IDW PS 340, jedoch liegt ein insgesamt signifikanter Optimierungs- und Handlungsbedarf hinsichtlich der Erfüllung der zukünftigen Anforderungen vor. Bedingt durch die notwendige Befassung mit dem IDW PS 340 n.F. besteht nunmehr die Gelegenheit, das Risikomanagement-System der Unternehmen gezielt zu einem strategischen Steuerungsinstrument auszubauen.
Beschreibung zukünftiger Anforderungen | |
Erweiterte konzernweite Identifikation bestandsgefährdender Entwicklungen auf Basis eines ganzheitlichen Gesamtrisikoinventars |
|
Rechtzeitiges Erkennen von Risiken in einem oder mehreren handlungsorientierten Zeithorizonten |
|
Bestimmung und fortlaufende Analyse der Risikotragfähigkeit |
|
Aggregation von Risiken zur Beurteilung der Bestandsgefährdung |
|
Berücksichtigung von Maßnahmen zur Risikosteuerung bei der Bewertung von „Nettorisiken" |
|
Einführung des Grundelements der Risikosteuerung in das Risikofrüherkennungssystem |
|
Konkretisierung der Systemdokumentation zu den Maßnahmen nach § 91 Abs. 2 AktG |
|
Tab. 01 - IDW PS 340 n.F.: Neue Anforderungen und Umsetzungsstatus [Quelle: Benchmarkstudie Risikomanagement 2020 / Deloitte]