Dr. Hans-Jürgen Hillmer
Praxis-Info!
Problemstellung
Die wachsende Bedeutung von Risikomanagementsystemen (RMS) hat die Prüfungs- und Beratungsgesellschaft Deloitte mit einer Studie unter Einbeziehung der Erfahrungen von Risikomanagementverantwortlichen in 64 führenden deutschen Industrieunternehmen hinterfragt. Basis der im Juli 2020 veröffentlichten Studie sind die Anforderungen an ein wirksames RMS gemäß der Prüfungsstandards IDW PS 981 sowie IDW PS 340 n.F. Vor allem dem im Juni 2020 durch das IDW verabschiedeten IDW PS 340 n.F. kommt hier eine besondere Bedeutung zu: Obwohl diese regulatorischen Anforderungen bereits ab 2021 für börsennotierte Gesellschaften verpflichtend werden, besteht insoweit offenbar noch vielfach und weitreichend Handlungsbedarf.
Lösung
Im Rahmen der Studie wurde festgestellt, dass der RMS-Reifegrad in Unternehmen im Vergleich zur Benchmarkstudie Risikomanagement 2017 zwar gestiegen, aber noch reichlich „Luft nach oben“ vorhanden sei: Es bestehe weiterhin deutliches Optimierungspotenzial bei nahezu allen Grundelementen eines RMS (zu einer Übersicht dieser Grundelemente siehe die Tabelle). Mit Blick auf die Unternehmenssteuerung streben zahlreiche Unternehmen eine bessere Verzahnung des RMS mit den Controlling-Instrumenten wie Planungs- und Forecast-Prozessen an.
Dringender Handlungsbedarf wird in der Studie hinsichtlich der Erreichung einer sog. „IDW PS 340 n.F.-Readiness“ diagnostiziert: Mehr als einem Drittel der Befragten sind die bevorstehenden Änderungen im Rahmen der Prüfung von Risikofrüherkennungssystemen gemäß IPW PS 340 n.F. zum Befragungszeitpunkt nicht bzw. nicht vollumfänglich bekannt.
Übersicht der Analysebereiche |
Analysebereich | Kerninhalte/-aufgaben |
(1) Überwachung und Verbesserung des RMS | - Überwachung der Angemessenheit und Wirksamkeit durch prozessintegrierte und prozessunabhängige Kontrollen
- Weiterentwicklung des RMS
|
(2) Risikokommunikation | - Angemessener Risikoinformationsfluss
- Festlegung von Zuständigkeiten, Intervallen, Schwellenwerten, Eskalationsstufen und Berichtsformaten
- Berichtsprozess zur unverzüglichen Übermittlung von relevanten Risikoinformationen
- Maßnahmen zur Risikosteuerung mit dem Ziel einer Risikovermeidung, -reduktion, -teilung bzw. eines -transfers sowie der Risikoakzeptanz
|
(4) Risikobewertung | - Systematische Bewertungs- und Aggregationsverfahren
- Verwendung eines Verfahrens zur Einschätzung von Bedeutung und Wirkungsgrad von Risikosteuerungsmaßnahmen
|
(5) Risikokultur | - Grundlage eines RMS
- Grundsätzliche Einstellungen und Verhaltensweisen beeinflussen das Risikobewusstsein
|
(6) Ziele des RMS | - Ableitung einer Risikostrategie im Einklang mit Unternehmensstrategie und -zielen
- Festlegung der „Risikotragfähigkeit“ und des „Risikoappetits“
- Vorgaben zum Umgang mit Risiken (Risikopolitik)
|
(7) Organisation des RMS | - Transparente und eindeutige Aufbauorganisation
- Klar definierte Ablauforganisation
- Erfüllung der persönlichen und fachlichen Voraussetzungen
- Ausreichende Ressourcen
|
(8) Risikoidentifikation | - Regelmäßige und systematische Analyse von internen und externen Entwicklungen im Verhältnis zu den festgelegten Zielen
|
In der Studie werden u.a. drei aktuelle Risikomanagementtrends aufgezeigt, die bei der Verminderung noch vorhandener Defizite Vorrang haben sollten:
(1) Einsatz von RMS-Softwarelösungen als Effizienztreiber: Die Anwendung professioneller RMS-Softwarelösungen ist nach den Einschätzungen der Studienteilnehmer besonders wichtig: Demnach wird ein IT-gestütztes RMS bei 88% der befragten Unternehmen eingesetzt, von denen 71% professionelle RMS-Softwarelösungen nutzen. Die Vorteile solcher Lösungen bestehen in erheblichen Effizienz- und Skalenvorteilen einer vorwiegend workflowbasierten Ablauforganisation, wonach zuvor stark manuell geprägte Prozessschritte standardisiert und größtenteils automatisiert erfolgen. Je nach Wirkungsgrad der eingesetzten RMS-Softwarelösung lässt sich erfahrungsgemäß der Gesamtaufwand des RMS erheblich positiv beeinflussen. Lediglich 12% der Befragten geben an, im Rahmen des RMS keine IT-Anwendungen zu nutzen. Zu erwarten ist, dass im Zuge der digitalen Transformation und durch das Aufkommen zeitgemäßer Business-Intelligence-Technologien zum RMS deren Möglichkeiten erheblich ausgeweitet werden und die Nutzerfreundlichkeit weiter optimiert werden kann.
(2) Einsatz von gezielten Szenarioanalysen: Die Nutzung von Szenarioanalysen erfolgt etwa bei der Hälfte der befragten Unternehmen fallbezogen bei aktuellen Themenfeldern mit Risikobezug (z.B. Brexit). Bei rund einem Drittel werden Einzelrisiken gezielt unter Betrachtung unterschiedlicher Szenarien hinsichtlich deren möglichen Auswirkungen analysiert. Dies dient häufig der Schaffung einer realistischen Basis für eine weiterführende Risikoaggregation (Zuordnung einzelner Risiken, z.B. Einbruch der Lieferkette, zu denjenigen Posten der Erfolgsrechnung, bei denen sie Planabweichungen verursachen können (z.B. bei Umsatzerlösen)) und Ermittlung einer Gesamtrisikoposition für das Unternehmen. Die gezielte Nutzung von Szenarioanalysen zur Beurteilung strategischer Optionen oder zu Top-Risiken des Unternehmens befindet sich hingegen noch auf niedrigem Niveau. Voraussetzung für eine adäquate Szenarioanalyse ist stets eine hinreichende und möglichst realistische Datenbasis, die sowohl relevante externe als auch interne Einflussfaktoren umfasst. Obwohl Szenarioanalysen bislang eher fallbezogen im Kontext konkreter Risikoentwicklungen wie Krisenfällen Anwendung finden, fördert ihre durchgehende Anwendung die strategische Frühaufklärung von Risiken. Ferner bietet sich die Nutzung von Szenarioanalysen für die Simulation von Extremszenarien wie etwa Pandemien und deren möglichen Auswirkungen auf das Unternehmen an.
(3) Einrichtung von übergeordneten und crossfunktionalen Komitees: Ein Risikomanagement- bzw. GRC-Komitee stellt ein effektives Steuerungsgremium zur Weiterentwicklung des RMS sowie der adäquaten Überwachung und ebenso Steuerung der Risikosituation des Unternehmens dar. Bei rund zwei Dritteln der Befragten existiert ein solches Komitee, dessen Aufgabenbereich einen direkten Bezug zum RMS aufweist. Etwa ein Drittel hat indes kein übergeordnetes Gremium zur kontinuierlichen Weiterentwicklung und Verbesserung des RMS eingerichtet. Zusätzlich gab jedes fünfte der befragten Unternehmen an, ein solches übergeordnetes Gremium zum RMS im Bedarfsfall überwiegend bei besonderen Ereignissen und Entwicklungen mit hoher Relevanz als Taskforce zu nutzen.
- Zusammenfassend betonen die für die Studie verantwortlichen Deloitte-Experten Markus Link und René Scheffler, dass die Notwendigkeit zur Einführung von Risikotragfähigkeitskonzepten aufgrund wirtschaftlicher und regulatorischer Entwicklungen bedeutender denn je sei. In ganzheitlicher Form existieren sie jedoch bei nicht einmal der Hälfte der Befragten. Gleichzeitig verfügten 41% der Studienteilnehmer über keine dokumentierte Risikostrategie.
- Aktuell empfehlen die Deloitte-Experten, in der Unternehmenspraxis die Schnittstellen des RMS als besonders ausbaubedürftig zu betrachten, und zwar
– zum Business Continuity Management (42%; siehe aktuelle Corona-Virus-Pandemie), – zum Projektrisikomanagement (59%; siehe regelmäßige Kosten- und Terminüberschreitungen bei Großprojekten) und – zum Nachhaltigkeitsmanagement (61%; siehe wachsende Bedeutung von Nachhaltigkeitsthemen in der Öffentlichkeit).
- Über die besondere Bedeutung des Risikomanagements in Zeiten der Corona-Pandemie haben Zwirner/Boecker kürzlich die BC-Leser informiert. Bei der Begrenzung des Schadens durch das Corona-Virus können demnach Risikomanager mit dem Einsatz der richtigen Methoden und Maßnahmen einen entscheidenden Beitrag nicht nur zum Schutz der Menschen, sondern auch zur Stabilität der Unternehmensorganisation leisten. Dies erfordere jedoch ein Umdenken. In vielen Fällen sei Risikomanagement heutzutage noch immer stark von einer Rückwärtsbetrachtung geprägt. Häufig fehle es an einer vorausschauenden Risikokultur. In dieser für alle Beteiligten völlig neuartigen Situation können die Risikomanager nur begrenzt auf bisherige Erfahrungen und bewährte Maßnahmen zur Risikosteuerung zurückgreifen. Umso wichtiger sei es, neue Wege im Risikomanagement zu beschreiten (zum Maßnahmenkatalog mit mehr als 20 Positionen siehe unter https://rsw.beck.de/cms/main?docid=428074). Auf diese Weise können Risikomanager mit einer erfolgreichen Risikosteuerung ihre Rolle als Partner der Geschäftsführung stärken.
- Die Deloitte-Experten Link/Scheffler weisen noch darauf hin, dass mit den regulatorischen Neuerungen des IDW PS 340 n.F. Risikotragfähigkeitskonzepte künftig für börsennotierte Unternehmen verpflichtend umzusetzen sind. Der aktualisierte Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision (DIIR) weist analoge Anforderungen an das RMS auf. Hieraus resultiert ein dringender Handlungsbedarf für die betroffenen Organisationen, entsprechend angemessene und für die Unternehmen geeignete Maßnahmen zu treffen. Aufgrund der Ausstrahlwirkung des § 91 Abs. 2 AktG gilt dies in Abstufung zudem für alle weiteren Unternehmen. Aber auch jenseits regulatorischer Anforderungen sollte der Antrieb zur Einführung von Risikotragfähigkeitskonzepten in deren Chancen für die Unternehmensteuerung und dem frühzeitigen Erkennen bestandsgefährdender Entwicklungen liegen.
- Dass Risikomanagement keineswegs ein auf größere Unternehmen fokussiertes Betätigungsfeld, sondern ein Mittelstandsthema ist, bestätigt auch eine weitere Studie, zu der nähere Informationen am 6.8.2020 bekannt wurden: Als Schlüsselergebnis des „Plansecur-Report: Finanzbranche 2020“ hat sich ergeben, dass die Absicherung betrieblicher Risiken bei der mittelständischen Wirtschaft in Deutschland an erster Stelle steht, so die Einschätzung von 70% der befragten Finanzberater. Dabei geht es keineswegs nur um Betriebsunterbrechungen oder ähnliche coronabedingte Folgen, sondern beispielsweise auch um die Abwehr von Cyberangriffen. So verzeichnen immerhin 46% der Berater eine rege Nachfrage nach Cyberversicherungen (mehr dazu unter https://plansecur.de/aktuelles.html).
|
Dipl.-Kfm. Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld
BC 9/2020
becklink431113