IDW PS 340: Prüfung des Risikofrüherkennungssystems

Frank Romeike | RiskNET – The Risk Management Network

„Wenn das Schiff auf falschem Kurs ist, genügt es nicht, den Kapitän auszuwechseln – man muss den Kurs ändern.“ Das beschriebene Szenario des tschechischen Schriftstellers Pavel Kosorin ist ein Spiegelbild vieler Unternehmen. Salopp formuliert könnte es auch heißen: Läuft der Laden nicht, muss der Geschäftsführer gehen. So ist der Deal.

Vom quantitativen Kurswechsel zur Chancensicht

Was Unternehmen und ihre Aufsichtsgremien indes vernachlässigen, ist meist eine grundlegende Kursänderung der Gesamtorganisation. Doch die wäre in unseren Zeiten durchaus angebracht – insbesondere mit Blick auf die Risikolandkarte vieler Unternehmen. Klappt man diese Karte auf, so wird diese groß, größer und zugleich unhandlicher im Gebrauch.

Sie taugt also nur bedingt bei der Risikoorientierung. Dies verdeutlicht u.a. die Bandbreite an Risiken – von der Geopolitik über den voranschreitenden Klimawandel bis zu kriselnden Volkswirtschaften. Für Unternehmenslenker Grund genug die eigene Organisation besser auf stürmische Zeiten vorzubereiten. Denn Rettungsboote sollten nicht erst im Sturm gebaut werden.

Doch dafür ist besagte Kursänderung in Richtung eines modernen Risikomanagements zwingend erforderlich, um nicht sehenden Auges direkt in den größten Sturm zu segeln.

Quantitative Methoden, kompakte Informationen

Das Manöver müsste daher lauten: Klar zum Wenden. Das neue Ziel heißt nun quantitative Methoden im Risikomanagement. Die Mannschaft und der Kapitän lassen damit qualitative Risikobetrachtungen hinter sich mit einer bunten Risikomatrix und der Höhe der Eintrittswahrscheinlichkeit samt Risikobuchhaltung.

Zoom Icon

Den Grund für ein solches Wendemanöver umschreibt Geschäftsführer von GBTEC Austria Samuel Brandstätter: „Wir beobachten seit geraumer Zeit, dass für viele Unternehmen eine rein qualitative Bewertung nicht mehr ausreicht und der Trend sich zunehmend in Richtung quantitativer Methoden bewegt, meist in Vorbereitung auf Simulationsverfahren.“

Hilfreich waren dem Unternehmen dabei viele Gespräche mit Vorständen und Aufsichtsräten. Eine daraus gewonnene Erkenntnis sei nach Brandstätters Worten, dass Risiken für Vorstand und Aufsichtsrat erst dann relevant und greifbar würden, wenn sie quantitativ beurteilbar seien.

„Das setzt voraus, dass ich die Informationen zur Risikotragfähigkeit in kompakter Form vermitteln kann“, so Brandstätter. Und er ergänzt: „Von daher ist der IDW PS 340, in dem was er für das Risikomanagement fordert oder die Richtung, die er einschlägt, nur sinnvoll.“

partner icon

Diese Richtung zeigt sich u.a. in der stärkeren Fokussierung auf quantitative Methoden im Rahmen des Prüfungsstandards IDW PS 340 n.F. zur Prüfung des Risikofrüherkennungssystems vom Sommer 2020 nach § 317 Abs. 4 HGB. Dabei wurden nach Aussagen des Instituts der Wirtschaftsprüfer (IDW) unter anderem die „Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen entwickelten Grundelemente“ konkretisiert.

Zudem liegt die „Betonung der Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit und Risikoaggregation“, so das IDW weiter. Brandstätter sieht das Ganze indes nicht nur unter dem regulatorischen Aspekt. Vielmehr sorge der IDW Prüfungsstandard für eine merklich bessere Kommunikation zwischen dem Risikoeigentürmer (Risk Owner) und dem Management, aber auch zwischen dem Management und dem Aufsichtsrat.

Entmystifizierung von Simulationen

GBTEC hatte bereits im Jahr 2019 eine Simulations-Engine in die eigene Risikomanagementsoftware BIC GRC Solutions integriert. Die ganzheitliche GRC Software ermöglicht unterschiedliche GRC Anwendungsfälle integrativ abzubilden. Der Vorteil laut GBTEC: „Mittlere bis große Unternehmens- und Konzernstrukturen profitieren von einem merklich reduzierten Arbeitsaufwand bei gleichzeitig optimierten GRC Prozessen.“ Von Vorteil ist für das Unternehmen die bereits über 15 Jahre Erfahrung im Umgang mit komplexen GRC Umsetzungen aus der Praxis, u.a. in sehr großen Konzernen. Brandstätter erklärt zur Simulations-Engine: „Wir versuchen damit die Simulation zu entmystifizieren, denn es gibt immer noch zu viele Risikomanager, die das Thema als zu komplex ansehen.

Um den Gesamtprozess zu vereinfachen, gestalten wir bestimmte Use Cases die letztendlich das erfüllen, was der IDW PS 340 fordert.“ Durch diese bestehenden Best Practice Use Cases wird die Einführung von quantitativer Risikobetrachtung nach IDW PS 340 um ein Vielfaches erleichtert. So profitieren einerseits große Organisationen mit komplexen Strukturen, andererseits aber auch kleinere Unternehmen, die mit den rasch einsetzbaren Out-of-the-box Standard Solutions einen einfachen Start in die Welt der Quantifizierung finden.

Früherkennung und Risikoaggregation

In Bezug auf das Erfüllen des Prüfstandards IDW PS 340 nach § 317 Abs. 4 HGB heißt das auch, eindeutige Betrachtungen von „Netto-Risiken“ sowie der Risikosteuerung als Bestandteil der zu prüfenden Grundelemente eines Risikofrüherkennungssystems. Eine „Gemeinsame Stellungnahme“ unterschiedlicher Experten vom Januar 2020 folgert: „Die gesetzlich geforderte Hauptaufgabe eines Risikofrüherkennungssystems – als Kern des Risikomanagements – besteht darin „bestandsgefährdende Entwicklungen“ früh zu erkennen (§ 91 Abs.2 AktG).

Um dieser Aufgabe gerecht zu werden, ist es erforderlich, klar zu definieren, was eine solche ‚bestandsgefährdende Entwicklung‘ ist.“ Und weiter nach IDW PS 340: Die Früherkennung bestandsgefährdender Entwicklungen erfordert die Identifikation seltener Extremrisiken und aufgrund der Nichtaddierbarkeit von Risiken eine Risikoaggregation (stochastische Simulation).“ Hinter der „stochastischen Szenariosimulation“ steht die Idee für zufällig gewählte Parameter über die entsprechenden Zusammenhänge die zugehörigen Ergebnis- oder Zielgrößen zu ermitteln. Sprich: Potenzielle Zukunftsszenarien zu simulieren, um hieraus zu lernen bzw. präventive oder reaktive Maßnahmen zu definieren.

Das zur Ermittlung der Zielgrößen verwendete Modell ist in der Regel deterministischer Natur, das heißt, mit dem Festlegen der Parameter sind die Zielgrößen eindeutig bestimmt. Der Vorteil des Einsatzes der stochastischen Szenariosimulation liegt in einer schnellen und einfachen Ermittlung von Ergebnissen. 

Komplexität reduzieren, Handlungsoptionen gewinnen

Gerade mit Blick auf die Komplexität haben Risikomanager mittelständischer Unternehmen Nachholbedarf, auch weil die Kapazitäten fehlten. „Mittelständler haben nicht vorweg Wirtschaftsprüfer oder Beratungsunternehmen im Haus, die ihnen Konzepte entwickeln, die auf sie zugeschnitten sind und mit denen sie dann zu uns kommen“, erklärt Brandstätter. Im Umkehrschluss heißt das für GBTEC mit mehr Standards zu arbeiten, um mittelständische Unternehmen in die gleiche Lage zu versetzen, wie es mit großen Konzernen geschieht. Das Stichwort lautet Best-Practice-Ansätze.
Brandstätter hierzu: „Diese Ansätze sollen Risikomanager im Mittelstand in die Lage versetzen, in wenigen Tagen ein Ergebnis zu erzielen.“ Mit seinen Standard-Lösungen bietet GBTEC hierzu einen fertigen Baukasten an – vom Enterprise Risk Management über den Datenschutz bis zum Business Continuity Management.

Brandstätter sieht dies als Startpunkt an. Und doch denkt GBTEC weiter, sprich hat den Kompass in die Zukunft gestellt. Denn mittelständischen Unternehmen wird mithilfe der GBTEC-Lösung der zukünftige Ausbau der Lösung ermöglicht. „Unternehmen können die jeweilige Lösung Schritt für Schritt ausbauen und letztendlich den Reifegrad im gesamten Risikomanagementprozess erhöhen“, resümiert Brandstätter. Und damit lässt sich der Kurs der Unternehmen ändern – bei voller Kontrolle über das eigene „Schiff“ und die Segel Richtung Zukunft gesetzt. Und die heißt die Terra incognita in Form der Chancen und eines modernen Risikomanagements entdecken. 

Lernen Sie unsere Risikomanagement-Software BIC GRC kennen.

In unserem Webinar "Wieviel Risiko trägt Ihr Unternehmen?" gehen unsere GRC Experten auf die Themen Risikoaggregation und Risikotragfähigkeit ein und zeigen Ihnen live im Tool, wie eine konkrete Umsetzung aussehen kann. Oder entdecken Sie unsere Out-of-the-Box Lösung BIC Enterprise Risk für ein professionelles Risikomanagement, das die gängigen Standards abdeckt.

Wieviel Risiko trägt Ihr Unternehmen?

Lernen sie wie sie mit BIC Enterprise Risk die Aggregation und Simulation von Risiken so effektiv wie möglich durchführen können.

Webinaraufzeichnung anfordern

Usability Icon

BIC Enterprise Risk

BIC Enterprise Risk ist unsere schnell einsetzbare, gängige Standards erfüllende und intuitiv bedienbare Standard Solution.

BIC Enterprise Risk entdecken

Haben Sie Fragen?

Haben Sie Fragen zu unseren Produkten oder Dienstleistungen?
Unsere Experten sind Ihnen gerne behilflich und freuen sich auf Ihre Anfrage.

grc@gbtec.com+43 1 3670876 -0Kontakt