- Argentina(Español)
- Australia(English)
- Österreich (Deutsch)
- Bahrain(English)
- Belgique (Français)
- België(Nederlands)
- Botswana(English)
- Brasil (Português)
- Canada(English)
- Canada (Français)
- Chile(Español)
- China(English)
- China(Chinese)
- Colombia(Español)
- Czechia(Czech)
- Denmark(Danish)
- República dominicana(Español)
- Egypt(English)
- France (Français)
- Deutschland (Deutsch)
- Greece(English)
- Hong Kong SAR China(English)
- Hungary(English)
- Hungary(Hungarian)
- India(English)
- Indonesia(English)
- Ireland(English)
- Israel(English)
- Italy(English)
- Italia(Italiano)
- Japan(English)
- 日本(日本語)
- Kazakhstan(English)
- Kazakhstan(Kazakh)
- Kazakhstan(Russian)
- Latvia(English)
- Lithuania(English)
- Luxembourg(English)
- Luxembourg(Français)
- Malaysia(English)
- Malawi(English)
- Mexico(Español)
- Morocco(English)
- Maroc(Français)
- Namibia(English)
- Netherlands(English)
- Nederland(Nederlands)
- New Zealand(English)
- Nigeria(English)
- Norway(English)
- Oman(English)
- Panamá(Español)
- Perú(Español)
- Philippines(English)
- Portugal(English)
- Poland(Polish)
- Portugal(English)
- Portugal (Português)
- Puerto Rico(Español)
- Qatar(English)
- Romania(English)
- Romania(Romanian)
- Singapore(English)
- Saudi Arabia(English)
- Serbia(English)
- Slovakia(English)
- Slovakia(Slovak)
- Slovenia(English)
- South Africa(English)
- South Korea(English)
- (English)
- España (Español)
- Sweden(English)
- Taiwan(English)
- Taiwan(Chinese)
- Thailand(English)
- Tunisia(English)
- Tunisie(Français)
- Turkey(English)
- Turkey(Turkish)
- Uganda(English)
- Ukraine(English)
- Ukraine(Ukrainian)
- United Arab Emirates(English)
- United Kingdom(English)
- United States(English)
- Uruguay(Español)
- Vietnam(English)
- Venezuela(Español)
- Zambia(English)
Risikomanagement nutzenstiftend gestalten
Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) hat den Prüfungsstandard 340 neu formuliert, der die Prüfung des Risikofrüherkennungssystems von Unternehmen regelt. Mit der Überarbeitung der bisherigen Prüfungsleitlinien soll der fortentwickelten Einrichtung und Prüfung von Corporate Governance Systemen entsprochen werden. Aufgrund der jüngsten Entwicklungen steht für die Wirtschaftsprüfer dabei viel auf dem Spiel – daher wird sich die gängige Prüfungspraxis auch im Bereich des Risikomanagements für deutsche Unternehmen ab 2021 ändern.
In einem Prüfungsstandard werden die Grundsätze ordnungsmäßiger Jahresabschlussprüfungen für die Wirtschaftsprüfer festgehalten. Die Anwendung der Neufassung des Prüfungsstandards 340 IDW ist Pflicht für Geschäftsjahre, die nach dem 31.12.2020 beginnen. Die Einhaltung der im Prüfungsstandard formulierten Anforderungen an das unternehmerische Risikomanagement haben Wirtschaftsprüfer in börsennotierten Unternehmen verpflichtend zu prüfen. Inwieweit die Prüfer auch bei nicht-börsennotierten Unternehmen die gleichen Anforderungen stellen, bleibt abzuwarten. Ein Abstrahleffekt – analog zu den KonTraG-Vorschriften – ist wahrscheinlich.
Der nächste „allesfressende Paarhufer“, der durch’s Dorf getrieben wird?
Zum unternehmerischen Risikomanagement existieren bereits eine Reihe von regulatorischen Anforderungen und vergleichbaren Vorgaben. Nach Inkrafttreten des Gesetzes zur Kontrolle und Transparenz in Unternehmen (KonTraG) im Jahr 1998 folgten u. a. das Gesetz zur Modernisierung des Bilanzrechts (BilMoG) und entsprechende ISO-Standards. Dabei zeigt sich, dass die darin formulierten Anforderungen oft höher sind als sich ihr Erfüllungsgrad in der Unternehmenspraxis zeigt. So findet sich im Jahresabschluss am Ende der Ausführungen zur Risikolage regelmäßig die Aussage, dass keine existenzgefährdende Risikosituation vorliegt. De facto haben aber bei weitem nicht alle Unternehmen die methodische Grundlage, diese Aussage – insbesondere auch unter Berücksichtigung von Wechselwirkungen und Kumulationseffekten – zu verifizieren. Dieser Umstand verwehrte jedoch regelmäßig nicht den Erhalt des Testates im Rahmen der Jahresabschlussprüfung. Dies wird sich künftig ändern, da die Arbeit der Wirtschaftsprüfer stärker im Fokus steht.
Welche Anforderungen beinhaltet der neue Prüfungsstandard?
Der Prüfungsstandard 340 formuliert eine Reihe von Anforderungen an das Risikomanagement. Er detailliert damit, welche Elemente ein Risikomanagement in einem Unternehmen zu enthalten hat, insbesondere:
- Es ist ein Überwachungssystem einzurichten, damit den Fortbestand eines Unternehmens gefährdende Entwicklungen früh erkannt werden.
- Maßnahmen müssen auf ein frühzeitiges Erkennen von Risiken, die einzeln oder im Zusammenwirken mit anderen Risiken dem Ziel der Unternehmensfortführung entgegenstehen können, ausgerichtet sein.
- Die unternehmensindividuelle Risikotragfähigkeit muss qualitativ oder quantitativ bestimmt werden, um beurteilen zu können, ob eine bestandsgefährdende Entwicklung vorliegt.
- Verantwortungsbereiche und Rollen im Risikomanagement sind klar geregelt, abgegrenzt, kommuniziert und dokumentiert; die Aufgabenträger erfüllen die erforderlichen persönlichen und fachlichen Voraussetzungen.
- Identifizierte Risiken werden vor dem Hintergrund der Risikotragfähigkeit des Unternehmens im Hinblick auf deren Eintrittswahrscheinlichkeit und mögliche Auswirkungen systematisch bewertet.
- Die Entscheidungen zur Risikosteuerung werden für die identifizierten und bewerteten Risiken festgelegt und nachvollziehbar dokumentiert.
- Im Zusammenhang mit bestandsgefährdenden Entwicklungen existiert ein angemessener Informationsfluss (inkl. Ad-hoc-Meldungsprozess). Dieser umfasst einen standardisierten Berichtsprozess auf der Basis konkreter Zuständigkeiten, Frequenzen, Schwellenwerte und Berichtsformate sowie angemessene Informations- und Schulungsmaßnahmen.
- Eine prozessintegrierte und prozessunabhängige Überwachung stellt die Einhaltung der Anforderungen an das Risikomanagement sicher.
- Es existiert eine konzernweite Verpflichtung für eine Einhaltung der Anforderungen.
Diese Forderungen erscheinen nicht wirklich überraschend oder revolutionär. Vielmehr ist es erwägenswert, sie beim Umsetzen eines Risikomanagements unabhängig von regulatorischen Detaillierungen zu verfolgen. Hervorzuheben dabei ist, dass im Prüfungsstandard keine methodischen Vorgaben festgeschrieben sind, die im Risikomanagement zu verwenden sind, was Unternehmen Gestaltungsspielraum gibt.
Viel Aufwand nur für die Erfüllung regulatorischer Anforderungen?
Unternehmen sollten die Chancen nutzen, die sich hieraus ergeben: Während die Erfüllung der regulatorischen Anforderungen als Pflichtaufgabe anzusehen ist, stellt ein unternehmerisches Risikomanagement einen echten Mehrwert dar. Dies umfasst beispielsweise, dass:
- vor einer größeren Investitionsentscheidung Chancen und Gefahren abgewogen werden
- die Unternehmensführung überlegt, ob und wie ein Unternehmen damit umgehen kann, wenn mehrere Risiken gleichzeitig eintreten und
- Projekte mit einem höheren Risiko eine höhere Rendite versprechen müssen als solche mit einer geringen Unsicherheit über das Projektergebnis.
Zum heutigen Zeitpunkt laufen diese Überlegungen meist individuell in den Köpfen Weniger ab, rein auf Basis des Informationsstands des Abwägenden und ohne explizit nachvollziehbar und dokumentiert für die Organisation zu sein.
Das Momentum neuer Regulatorien mit ausreichendem Freiraum bei der methodischen Ausgestaltung wie jetzt beim IDW 340 können Unternehmen nutzen, um aus einem weniger effizienten und strukturierten ein wirklich relevantes und wertstiftendes Risikomanagement zu entwickeln. Unsere Erfahrung zeigt, dass Methoden und Steuerungsprozesse zum Geschäftsmodell, der Organisationsform und Kultur des Unternehmens passen müssen. Eine „one-size-fits-all“ Herangehensweise ist hier nicht angebracht. Oft hat ein Unternehmen nur eine Chance, eine Veränderung in der Planung und Steuerung nachhaltig umzusetzen, bevor ein Thema für mehrere Jahre „verbrannt“ ist - diese zu nutzen wird in einem zunehmend unsicheren Umfeld immer wichtiger. Die geringen methodischen Spezifikationen des neuen Prüfungsstandards ermöglichen vielfältige Gestaltungsoptionen, um das Risikomanagement durch die Anpassung auf unternehmensindividuelle Gegebenheiten zu einem wirklich nutzenstiftenden Bestandteil der Unternehmensführung zu entwickeln. Letztendlich benötigen Unternehmen kein theoretisches Konstrukt, sondern ein Risikomanagement, welches Transparenz schafft und Steuerungsimpulse generiert.