Unkenntnis über IDW PS 340 n.F.

Die nächsten Baustellen im Risikomanagement


Unkenntnis über IDW PS 340 n.F.: Die nächsten Baustellen im Risikomanagement Studie

Michel Eyquem de Montaigne, einem Denker und Schriftsteller des 16. Jahrhunderts, wird häufig das folgende Zitat zugeordnet: "Kein Wind ist demjenigen günstig, der nicht weiß, wohin er segeln will." Umgekehrt könnte hieraus abgeleitet werden, dass nicht der Wind die Richtung bestimmt, sondern das Segel.

Aus einer jüngst von Deloitte veröffentlichte "Benchmarkstudie Risikomanagement 2020" könnte abgeleitet werden, dass viele Unternehmenslenker Risikomanagement eher nicht als wertvolles Navigationsinstrument nutzen, sondern aktuell eher als reines (und möglicherweise regulatorisches) Dokumentationsinstrument. Die Studie kommt zu dem Ergebnis, dass nicht einmal die Hälfte der 64 führenden deutschen Industrieunternehmen über ein Risikotragfähigkeitskonzept und 41 Prozent der Studienteilnehmer über keine dokumentierte Risikostrategie verfügen.

Provokant könnte formuliert werden, dass nicht wenige Industrieunternehmen in einem Blindflug unterwegs sind, da sie keine ausreichende Transparenz über ihr Risikoportfolio haben und wohl nur vermuten, dass das Risikodeckungspotenzial im Stressszenario ausreichen wird. Wenn keine Risikostrategie vorhanden ist, wurde in der Konsequenz auch der Risikoappetit (Risikoakzeptanz) nicht definiert. Daher ist es nicht überraschend, dass 50 Prozent der befragten Unternehmen ihren Risikoappetit noch nicht definiert haben. Die positive Seite: Immerhin 16 Prozent der Unternehmen haben ihren Risikoappetit quantitativ definiert.

Abb. 01: Analyse der Risikotragfähigkeit im Unternehmen [Frage: Inwiefern wir die Risikotragfähigkeit des Unternehmens analysiert?] Bildquelle: DeloitteAbb. 01: Analyse der Risikotragfähigkeit im Unternehmen [Frage: Inwiefern wir die Risikotragfähigkeit des Unternehmens analysiert?] (Bildquelle: Deloitte)

Abb. 02: Definition des Risikoappetits [Inwiefern erfolgt die Definition eines Risikoappetits für das Unternehmen? Mehrfachantworten möglich] (Bildquelle: Deloitte)Abb. 02: Definition des Risikoappetits [Inwiefern erfolgt die Definition eines Risikoappetits für das Unternehmen? Mehrfachantworten möglich] (Bildquelle: Deloitte)

Unter Risikotragfähigkeit (auch Netto-Risikotragfähigkeit genannt) versteht man allgemein den maximal möglichen Verlust, der gerade noch durch die verfügbaren Liquiditätsreserven eines Unternehmens abgedeckt werden kann. Die Risikotragfähigkeit entspricht dem Umfang von zusätzlich tragbarem Risiko und stellt somit die Differenz zwischen Risikodeckungspotenzial und Gesamtrisikoumfang dar.

Erstaunlich ist, dass im ursprünglichen Entwurf des neuen Prüfungsstandards PS 340 ("Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB") auch ein qualitatives Risikotragfähigkeitskonzept vorgesehen war. Die Unsinnigkeit eines solchen Ansatzes offenbart sich spätestens bei einer Analyse konkreter Unternehmensinsolvenzen. Siehe vertiefend den Text: Risikoaggregation wird zur Pflicht

Methoden zur Risikoaggregation unbekannt

69 Prozent der befragten Unternehmen verdichten Risiken durch Bildung von Aggregaten nach Risikoarten und 75 Prozent leiten inzwischen eine Einschätzung der Gesamtrisikosituation des Unternehmens auf Basis der gemeldeten Einzelrisiken ab. Dabei handelt es sich wohl eher um eine Art Konsolidierung und weniger um eine methodisch fundierte Aggregation von Risiken.
Diese Konsolidierung erfolgt häufig anhand qualitativer Einschätzungen oder der bloßen Addition von Schadenserwartungswerten (Siehe hierzu den Text: Die größte anzunehmende Dummheit im Risikomanagement).

Lediglich 24 Prozent nutzen bisher fundierte stochastische Simulationsverfahren und nur 34 Prozent berücksichtigen Wechselwirkungen zwischen den Risiken bei der Einschätzung der Gesamtrisikosituation.

Die Autoren der Deloitte-Studie sind davon überzeugt, dass der Einsatz stochastischer Simulationsverfahren mit der fortschreitenden Digitalisierung weiter zunehmen wird, da sie eine pragmatische Möglichkeit darstellen, die Gesamtrisikosituation so realistisch wie möglich abzubilden.

Abb. 03: Methoden zur Ermittlung einer Gesamtrisikoposition [Frage: Inwiefern erfolgt die Ermittlung einer Gesamtrisikoposition des Unternehmens per Aggregation bewerteter Einzelrisiken?] (Bildquelle: Deloitte)Abb. 03: Methoden zur Ermittlung einer Gesamtrisikoposition [Frage: Inwiefern erfolgt die Ermittlung einer Gesamtrisikoposition des Unternehmens per Aggregation bewerteter Einzelrisiken?] (Bildquelle: Deloitte)

Von einem Dokumentationssystem zu einem Steuerungsinstrument

Obwohl die neuen regulatorischen Anforderungen aus dem IDW-Standard PS 340 bereits ab 2021 für börsennotierte Gesellschaften verpflichtend werden, besteht insgesamt eher eine große Unkenntnis.

Die Benchmark-Studie kommt zum Ergebnis, dass mehr als einem Drittel der befragten Unternehmen die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IDWPS 340 n.F. nicht bzw. nicht vollumfänglich bekannt sind. Nur jedes Fünfte weiß genau, welche konkreten Anforderungen und Änderungen für das unternehmensweite Risikomanagement-System bevorstehen. Eine Auseinandersetzung mit den zukünftigen Anforderungen ist jedoch vor allem für börsennotierte Unternehmen zwingend erforderlich, nachdem die Maßnahmen des Vorstands nach § 91 Abs. 2 AktG für Geschäftsjahre beginnend ab dem 1. Januar 2021 nach dem überarbeiteten Prüfungsstandard prüfungspflichtig sind.

Abb. 04: Bekanntheit der bevorstehenden Änderungen durch den IDW PS 340 n.F. [Frage: Inwiefern sind Ihnen die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IDW PS 340 n.F. bekannt?] (Bildquelle: Deloitte)Abb. 04: Bekanntheit der bevorstehenden Änderungen durch den IDWPS 340 n.F. [Frage: Inwiefern sind Ihnen die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IDWPS 340 n.F. bekannt?] (Bildquelle: Deloitte)

Rund die Hälfte der Befragten gibt an, die neuen Anforderungen gemäß IDWPS 340 n.F. an, das Risikofrüherkennungssystem des Unternehmens zumindest im Wesentlichen zu erfüllen.

Eine Vorbereitung bezüglich der Erfüllung zukünftiger regulatorischer Anforderungen des IDWPS 340 n.F. haben die Unternehmen, deren Geschäftsjahr am 1. Januar beginnt, bereits bis Ende 2020 sicherzustellen. So ist der notwendige Anpassungsbedarf auf Basis des aktuellen Status quo des Risikomanagement-Systems zu analysieren und sind entsprechende Maßnahmen zu ergreifen.

Mit den regulatorischen Neuerungen hat sich das Risikofrüherkennungssystem von einem reinen Berichts- zu einem umfassenderen Managementinstrument weiterentwickelt und nimmt zukünftig eine übergeordnete "Klammerfunktion" über alle Governance- und Managementsysteme im Unternehmen ein. Diese Entwicklung ist zu begrüßen, denn nur so wird Risiko- und Chancenmanagement zu einem strategischen und wertschöpfenden Instrument.

Mit den aufgeführten wesentlichen Neuerungen des IDWPS 340 n.F., die sich an die Unternehmen richten, geht eine erweiterte Berichtspflicht des Abschlussprüfers im Prüfungsbericht einher. In diesem Zusammenhang hat der Abschlussprüfer festgestellte wesentliche Mängel des Risikofrüherkennungssystems im Prüfungsbericht zukünftig festzuhalten. Darüber hinaus muss er über sonstige festgestellte (unwesentliche) Mängel berichten und für die Berichtsadressaten wichtige Verbesserungsvorschläge unterbreiten. Ggf. hat der Prüfer sein Urteil im Falle wesentlicher Mängel einzuschränken bzw. im Falle umfassender Mängel sogar zu versagen.

Laut der Benchmark-Studie erfüllt der überwiegende Teil der befragten Unternehmen zwar die aktuell geltenden regulatorischen Anforderungen des IDWPS 340, jedoch liegt ein insgesamt signifikanter Optimierungs- und Handlungsbedarf hinsichtlich der Erfüllung der zukünftigen Anforderungen vor. Bedingt durch die notwendige Befassung mit dem IDWPS 340 n.F. besteht nunmehr die Gelegenheit, das Risikomanagement-System der Unternehmen gezielt zu einem strategischen Steuerungsinstrument auszubauen.

Neuerungen des IDWPS 340 n.F.

Beschreibung zukünftiger Anforderungen

Erweiterte konzernweite Identifikation bestandsgefährdender Entwicklungen auf Basis eines ganzheitlichen Gesamtrisikoinventars

  • Die Beurteilung, ob eine Bestandsgefährdung vorliegt, ist aus Sicht des Mutterunternehmenskonzernweit auf Grundlage eines ganzheitlichen Gesamtrisikoinventars zu treffen.
  • Dabei werden zukünftig alle internen und externen Entwicklungen betrachtet, unabhängig davon, ob diese aus gesellschaftsrechtlichen oder schuldrechtlichen Vertragsbeziehungen resultieren. Je nach Risikoprofil des jeweiligen Unternehmens betrifft dies bspw. Risiken von Schlüssellieferanten/-kunden, einzuhaltende Bestimmungen aus Kreditverträgen (Covenants) oder die Einhaltung eines Zielratings.
  • Risiken in Tochtergesellschaften, Beteiligungen, Joint Ventures und Zweckgesellschaften können sich unmittelbar oder mittelbar auf das Mutterunternehmen auswirken.

Rechtzeitiges Erkennen von Risiken in einem oder mehreren handlungsorientierten Zeithorizonten

  • Bestandsgefährdende Entwicklungen werden so recht zeitig erkannt, dass noch geeignete Maßnahmen zur Sicherung des Fortbestands des Unternehmens ergriffen werden können.
  • Hierbei sind handlungsorientierte Zeithorizonte auf Basis des Risikoprofils für das Unternehmen sowie differenziert nach relevanten Risikofeldern/-arten zu bestimmen.
  • Dazu zählt zudem die unverzügliche Weiterleitung besonders eilbedürftiger Risiken auf einem Berichtsweg.

Bestimmung und fortlaufende Analyse der Risikotragfähigkeit

  • Die Beurteilung, ob eine Bestandsgefährdung hinsichtlich der Vermögens- Finanz- und Ertragslage des Unternehmens vorliegt, setzt die Bestimmung einer unternehmensweiten Risikotragfähigkeit im Verhältnis zur Gesamtrisikoposition voraus.
  • Die Risikotragfähigkeit ist das maximale Risikoausmaß, welches das Unternehmen ohne Gefährdung des eigenen Fortbestands im Zeitablauf tragen kann. Durch die Unternehmensleitung ist diese fortlaufen unter Berücksichtigung von Ergebnis- und Liquiditätsentwicklungen zu analysieren und zu überwachen.

Aggregation von Risiken zur Beurteilung der Bestandsgefährdung

  • Eine Bestandsgefährdung kann durch das Zusammenwirken von individuell nicht wesentlichen bzw. nicht bestandsgefährdenden Risiken eintreten. Dies schließt ebenso gleichartige Risiken unterhalb eines Schwellenwerts ein.
  • Anhand der Aggregation solcher Risiken erfolgen Analyse und Überwachung von Risikokonzentrationen in der Risikolandschaft.
  • Eine Gesamtrisikoposition durch Aggregation aller Einzelrisiken ist als Vergleichswert zur Risikotragfähigkeit zu ermitteln. Hierbei sind relevante Wechselwirkungen zwischen Risiken zu berücksichtigen.

Berücksichtigung von Maßnahmen zur Risikosteuerung bei der Bewertung von „Nettorisiken"

  • Die Dokumentationsanforderungen zur Risikobewertung werden zukünftig konkretisiert. Die Bruttorisiken sind grundsätzlich zunächst zu erfassen und anschließend vermindert um den Effekt der Maßnahmen zur Risikosteuerung als Nettorisiken darzustellen.
  • Die Brutto-/Nettobewertung von Risiken ist je nach Risikoart unterschiedlich relevant. So lassen sich bspw. Gegenmaßnahmen zu Ergebnisrisiken erfahrungsgemäß ausreichend quantifizieren.
  • Die Risikobewertung hat ebenso die Bewertung sogenannter Tail-Event-Risiken (Extremrisiken mit sehr hohem Schadensausmaß und sehr niedriger Eintrittswahrscheinlichkeit) zu umfassen.

Einführung des Grundelements der Risikosteuerung in das Risikofrüherkennungssystem

  • Die Risikosteuerung ist zukünftig ein expliziter und verpflichtender Bestandteil der Grundelemente eines Risikofrüherkennungssystems. Die Entscheidungen zur Risikosteuerung werden für die identifizierten und bewerteten Risiken festgelegt und nachvollziehbar dokumentiert.
  • Dafür ist ein Managementsystem für Maßnahmen zur Risikosteuerung einzurichten, welches die Maßnahmen zum jeweiligen Risiko bestimmt und hinreichend nachverfolgt (z.B. Status sowie Angemessenheit und Wirksamkeit der Maßnahmen).

Konkretisierung der Systemdokumentation zu den Maßnahmen nach § 91 Abs. 2 AktG

  • Vor dem Hintergrund der zwischenzeitlich ergangenen Rechtsprechung stellt die fehlende Systemdokumentation des RMS einen Verstoß gegen § 91 Abs. 2 AktG dar, der zu einem Mangel in Bezug auf die vom Vorstand zu treffenden Maßnahmen und einer entsprechenden Feststellung im Prüfungsbericht führt.

Tab. 01 - IDWPS 340 n.F.: Neue Anforderungen und Umsetzungsstatus [Quelle: Benchmarkstudie Risikomanagement 2020 / Deloitte]

 

[ Bildquelle Titelbild: Adobe Stock / Lichtfexx ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.