IDW PS 340: Prüfung des Risikofrüherkennungssystems
Frank Romeike | RiskNET – The Risk Management Network
„Wenn das Schiff auf falschem Kurs ist, genügt es nicht, den Kapitän auszuwechseln – man muss den Kurs ändern.“ Das beschriebene Szenario des tschechischen Schriftstellers Pavel Kosorin ist ein Spiegelbild vieler Unternehmen. Salopp formuliert könnte es auch heißen: Läuft der Laden nicht, muss der Geschäftsführer gehen. So ist der Deal.
Moderne Risikomanagement-Strategien
Unternehmen und ihre Aufsichtsgremien vernachlässigen oft eine grundlegende Kursänderung der Gesamtorganisation, die in Zeiten zunehmender Risiken dringend erforderlich wäre. Die Risikolandkarte vieler Unternehmen wird immer komplexer sowie unhandlicher und bietet daher nur begrenzte Orientierung für das Risikomanagement.
Dies verdeutlicht u.a. die Bandbreite an Risiken – von der Geopolitik über den voranschreitenden Klimawandel bis zu kriselnden Volkswirtschaften. Für Unternehmensleiter:innen Grund genug, die eigene Organisation besser auf schwierige Zeiten vorzubereiten. Denn Rettungsboote sollten nicht erst im Sturm gebaut werden.
Um nicht blindlings in turbulente Zeiten zu segeln. ist eine Kursänderung in Richtung moderner Risikomanagementstrategien unerlässlich,
Quantitative Methoden, kompakte Informationen
Das Manöver müsste daher klar lauten: Wenden. Weg vom qualitativen Risikomanagement, hin zu quantitativen Methoden. Das bedeutet, dass wir uns von bunten Risikomatrizen und subjektiven Einschätzungen verabschieden und stattdessen Zahlen und Fakten nutzen, um Risiken zu bewerten und zu verwalten.
Den Grund für ein solches Wendemanöver umschreibt Geschäftsführer von GBTEC Austria Samuel Brandstätter: „Wir beobachten seit geraumer Zeit, dass für viele Unternehmen eine rein qualitative Bewertung nicht mehr ausreicht und der Trend sich zunehmend in Richtung quantitativer Methoden bewegt, meist in Vorbereitung auf Simulationsverfahren.“
Diese Erkenntnis ergab sich aus vielen Gesprächen mit Vorständen und Aufsichtsräten: dass Risiken für Vorstand und Aufsichtsrat erst dann relevant und greifbar sind, wenn sie quantitativ bewertet werden.
„Das setzt voraus, dass ich die Informationen zur Risikotragfähigkeit in kompakter Form vermitteln kann“, erklärt Brandstätter. Und er ergänzt: „Von daher sind die eigeschlagene Richtung des IDW PS 340 und seine Anforderungen an das Risikomanagement nur sinnvoll.“
Diese Richtung zeigt sich u.a. in der stärkeren Fokussierung auf quantitative Methoden im Rahmen des Prüfungsstandards IDW PS 340 n.F. zur Überprüfung des Risikofrüherkennungssystems. Gemäß Aussagen des Instituts der Wirtschaftsprüfer (IDW) wurden dabei die „Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen entwickelten Grundelemente“ spezifiziert.
Zudem würden nun die „Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit und Risikoaggregation“ betont, so das IDW weiter. Brandstätter betrachtet dies nicht nur aus regulatorischer Sicht. Vielmehr führe der IDW-Prüfungsstandard zu einer deutlich verbesserten Kommunikation zwischen Risikoeigentürmer:in (Risk Owner) und Management, sowie zwischen Management und Aufsichtsrat.
Entmystifizierung von Simulationen
GBTEC hatte bereits im Jahr 2019 eine Simulations-Engine in BIC GRC integriert. Die ganzheitliche GRC-Software ermöglicht es, unterschiedliche GRC-Anwendungsfälle integrativ abzubilden. Ein großer Vorteil, wie GBTEC betont: „Mittlere bis große Unternehmen und Konzerne profitieren von einer deutlich reduzierten Arbeitsbelastung bei gleichzeitig optimierten GRC-Prozessen.“
Von Vorteil sind für das Unternehmen die bereits über 15 Jahre an Erfahrung in der praktischen Umsetzung vielfältiger GRC-Projekte, u.a. in sehr großen Konzernen. Brandstätter über die Simulations-Engine: „Wir versuchen damit, die Simulation zu entmystifizieren, denn es gibt immer noch zu viele Risikomanager:innen, die das Thema als zu komplex ansehen. Um den Gesamtprozess zu vereinfachen, gestalten wir bestimmte Use-Cases, die letztendlich das erfüllen, was der IDW PS 340 fordert.“
Durch diese bewährten Best-Practice-Beispiele wird die Einführung der quantitativen Risikobetrachtung nach IDW PS 340 um ein Vielfaches erleichtert. Dies kommt großen Organisationen mit komplexen Strukturen ebenso zugute wie kleinen Unternehmen, die mit den sofort einsatzbereiten Standardlösungen einen einfachen Einstieg in die Welt der Quantifizierung finden.
Früherkennung und Risikoaggregation
Um den Prüfstandard IDW PS 340 nach § 317 Abs. 4 HGB zu erfüllen,ist es wichtig, ein klares Verständnis von „Netto-Risiken" zu haben und die Bedeutung der Überprüfung des eigenen Risikofrüherkennungssystems zu betonen. In einer „Gemeinsamen Stellungnahme“ folgern Expertinnen und Experten: „Die gesetzlich geforderte Hauptaufgabe eines Risikofrüherkennungssystems – als Kern des Risikomanagements – besteht darin, „bestandsgefährdende Entwicklungen“ früh zu erkennen (§ 91 Abs.2 AktG).
Um diesem Ziel gerecht zu werden, ist es erforderlich, klar zu definieren, was eine solche ‚bestandsgefährdende Entwicklung ist. Nach IDW PS 340: „Die Früherkennung bestandsgefährdender Entwicklungen erfordert die Identifikation seltener Extremrisiken und aufgrund der Nichtaddierbarkeit von Risiken eine Risikoaggregation (stochastische Simulation).“ Die Idee hinter der „stochastischen Szenariosimulation“ besteht darin, die entsprechenden Ergebnis- oder Zielgrößen für zufällig gewählte Parameter zu ermitteln, um potenzielle Zukunftsszenarien zu simulieren. Die dabei gewonnenen Daten ermöglichen, präventive oder reaktive Maßnahmen zu definieren.
Das Modell, das zur Ermittlung der Zielgrößen verwendet wird, ist deterministisch, was bedeutet, dass die Zielgrößen durch die festgelegten Parameter eindeutig bestimmt sind. Vorteil der stochastischen Szenariosimulation ist die schnelle und einfache Ermittlung von Ergebnissen.
Komplexität mindern, Optionen gewinnen
Angesichts der zunehmenden Knappheit von Ressourcen und der steigenden Komplexität von Risiken besteht bei mittelständischen Unternehmen ein Bedarf an verbessertem Risikomanagement. „Mittelständler haben nicht vorweg Wirtschaftsprüfer:innen oder Beratungsunternehmen im Haus, die speziell zugeschnittene Konzepte entwickeln, mit denen sie dann zu uns kommen", erklärt Brandstätter. Für GBTEC bedeutet das, mehr Standardansätze zu entwickeln, um mittelständische Unternehmen auf das gleiche Niveau wie große Konzerne zu bringen. Das Stichwort lautet Best-Practice-Ansätze.
Brandstätter hierzu: „Diese Ansätze sollen dem Risikomanagement im Mittelstand ermöglichen, innerhalb weniger Tage Ergebnisse zu erzielen." Mit ihren Standardlösungen bietet GBTEC einen fertigen Werkzeugkasten an - von Enterprise Risk Management über Datenschutz bis hin zu Business Continuity Management.
GBTEC denkt weiter und hat den Blick in die Zukunft gerichtet. Die GBTEC-Lösung ermöglicht mittelständischen Unternehmen, ihre Lösung kontinuierlich auszubauen. „Unternehmen können ihre Lösung schrittweise erweitern und letztendlich den Reifegrad ihres gesamten Risikomanagementprozesses erhöhen," fasst Brandstätter zusammen. Auf diese Weise können Unternehmen ihren Kurs ändern - und dabei die volle Kontrolle über das eigene Schiff behalten. Modernes Risikomanagement bedeutet auch, Terra Incognita zu befahren und neue, spannende Chancen zu entdecken.
Lernen Sie unsere Risikomanagement-Software BIC Enterprise Risk kennen
In unserem Webinar "Chancen- und Risikosimulation mit BIC Enterprise GRC" gehen wir auch auf die Themen Risikoaggregation und Risikotragfähigkeit ein und zeigen Ihnen live im Tool, wie eine konkrete Umsetzung aussehen kann. Entdecken Sie außerdem BIC Enterprise Risk, unsere sofort einsetzbare Risikomanagement-Lösung, die alle gängigen Standards abdeckt.
Wieviel Risiko trägt Ihr Unternehmen?
Lernen sie, wie sie mit BIC Enterprise Risk die Aggregation und Simulation von Risiken und Chancen so effektiv wie möglich durchführen können.
BIC Enterprise Risk
BIC Enterprise Risk ist unsere schnell einsetzbare, gängige Standards erfüllende und intuitiv bedienbare Standard-Solution.
GBTEC Software AG
Gesundheitscampus-Süd 23
44801 Bochum
Deutschland
Weitere Informationen
Karriere
Webinars & Events
Videos
Podcast
Newsletter