Studie

IDW PS 981: Benchmark-Studie 2017

Risikomanagement und Unternehmenssteuerung

Redaktion RiskNET10.07.2017, 09:11

Manchmal lohnt ein Blick zurück in die Vergangenheit, um den Blick für das Zukünftige zu schärfen. Als Odysseus, König von Ithaka, seine Fahrt vorbei an den liebreizenden aber zugleich gefährlichen Sirenen plante, befolgte er den Rat der Zauberin Kirke. Die schlug ihm und seinen Männern eine Art "Verhaltenskodex" vor, um mit seinem Schiff die gefürchteten Sirenen zu passieren.

Die Chancen auf ein weiteres Leben wahrend und die Risiken des getötet werden minimierend, verstopften sich die Männer die Ohren mit Wachs. Somit konnten diese die betörenden Gesänge der Sirenen nicht hören. Odysseus selbst ließ sich an den Mast des Schiffes binden, damit er den Lockungen der Sirenen nicht erliegen konnte. Im Grunde handelt es sich bei dem von Homer beschriebenen Abenteuer des Odysseus um ein praxisnahes, proaktives und effektives Risikomanagement. Im Klartext heißt das: Was uns Odysseus Abenteuer im speziellen Fall lehrt, ist ein Chancen- und Risikomanagement par excellence. Die beste Route wählen. Chancen und Risiken in Abstimmung mit Kirke, als eine Art Analystin fungierend, im Vorfeld abwägen, um die richtigen Schlüsse zu ziehen und vorausschauend zu agieren. Manch Unternehmen könnte aus dieser scheinbar simplen Geschichte rund um den Kapitän sowie Risikomanager Odysseus für das hier und jetzt lernen.

Denn die Fähigkeit, Chancen und Gefahren (Risiken) adäquat abzuwägen, ist ein zentraler Erfolgsfaktor des unternehmerischen Erfolgs – damals wie heute. Der Erfolg eines Unternehmens hängt wesentlich von der Qualität der Entscheidungen der Unternehmensführung ab. In diesem Kontext zählt Risikomanagement zu den originären Leitungsaufgaben eines jeden Geschäftsleiters und ist fester Bestandteil einer guten "Corporate Governance". Auch, weil jede unternehmerische Tätigkeit direkt mit Unsicherheit und damit den hieraus entstehenden Chancen und Risiken zusammenhängt. Bei jeder unternehmerischen Entscheidung geht es schlussendlich um das Abwägen von Chancen und Risiken.

Regulatorische Verpflichtung zur Wirksamkeitsprüfung

Nicht zuletzt seit der Konkretisierung der Aufgaben des Aufsichtsrats in Bezug auf die Corporate- Governance-Systeme durch § 107 Abs. 3 AktG werden in der Praxis Vorgehensweisen zur Überwachung der Wirksamkeit eines Risikomanagement-Systems diskutiert. Der im März 2017 verabschiedete und freiwillig anzuwendende Prüfungsstandard des Instituts der Wirtschaftsprüfer PS 981 "Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen" (IDW PS 981) dient als Instrument zur Durchführung von Angemessenheits- und Wirksamkeitsprüfungen des RMS.

Der Wirtschaftsprüfer und Unternehmensberater Deloitte hat Risikomanagement-Verantwortliche in 53 deutschen Unternehmen nach dem Status Quo ihres Risikomanagements befragt. Die Konzeption der Studie beruht auf den Anforderungen an ein wirksames RMS gemäß IDW PS 981. Die darin enthaltenen acht Grundelemente (siehe Abb. 01) eines RMS wurden in der Studie systematisch analysiert.

Abb. 01: Die acht Grundelemente eines Risikomanagement-Systems

Abb. 01: Die acht Grundelemente eines Risikomanagement-Systems

83 Prozent der an der Studie teilgenommenen Unternehmen erzielen einen Umsatz von mehr als eine Mrd. Euro, 58 Prozent über 5 Mrd. Euro. 26 Prozent der Befragten sind im DAX 30 und 28 Prozent im MDAX gelistet. Bei den weiteren Teilnehmern handelt es sich größtenteils um kapitalmarktorientiere und international tätige Unternehmensgruppen außerhalb dieser beiden Indizes. Bei der Branchenstruktur dominiert der Sektor Consumer & Industrial Products mit 64 Prozent, gefolgt von Technology, Media & Telecommunications mit 17 Prozent.

Risikomanagement wird vermehrt als aktives Steuerungsinstrument genutzt

88,4 Prozent der Teilnehmer geben an, dass ihr Risikomanagement als aktives Steuerungsinstrument das Erreichen der Unternehmensziele unterstützt. Ein großer Teil der Befragten hat demnach den Mehrwert und die Bedeutung des Risikomanagements für die Unternehmenssteuerung erkannt und setzt es bewusst dazu ein.

Abb. 02: Bedeutung von Risikomanagement für die Unternehmenssteuerung [Frage: In welchem Maß unterstützt Ihr Risikomanagement als aktives Steuerungsinstrument das Erreichen der Unternehmensziele?]

Abb. 02: Bedeutung von Risikomanagement für die Unternehmenssteuerung [Frage: In welchem Maß unterstützt Ihr Risikomanagement als aktives Steuerungsinstrument das Erreichen der Unternehmensziele?]

In diesem Kontext gaben 90 Prozent der Studienteilnehmer an, dass sich das Top-Management regelmäßig mit Fragen des Risikomanagements, wie beispielsweise dessen Weiterentwicklung beschäftigt. Zum Top-Management zählen in diesem Zusammenhang die erste und zweite Führungsebene im Unternehmen. Ferner lassen sich die Aufsichtsräte aller Studienteilnehmer regelmäßig über den Stand des RMS und die Risikosituation berichten. Dies kann als ein deutliches Zeichen für das Wissen um die Bedeutung des Risikomanagements aus Sicht der Unternehmensorgane bewertet werden.

Strategisches Risikomanagement hoch im Kurs

Im Zeitalter disruptiver Geschäftsmodelle ist es bemerkenswert, dass sich in 98,1 Prozent der teilnehmenden Unternehmen sich in ihrem Risikomanagement-System mit strategischen Risiken beschäftigen und bei 70,6 Prozent ist der Risikomanagement-Verantwortliche auch für das strategische Risikomanagement zuständig. Diese Fokussierung auf strategische Risiken ist insbesondere vor dem Hintergrund der strategischen Relevanz eines Risikomanagement von imminenter Bedeutung. Empirische Studien zeigen immer wieder auf, dass mehr als 60 Prozent der "Unternehmenswertvernichter" im Bereich der strategischen Risiken liegen.

Abb. 03: Relevante Risikoarten im Risikomanagement [Frage: Mit welchen Risikoarten (strategisch/operativ/weitere Bestandteile) ist Ihr Risikomanagement-System befasst? (Mehrfachantworten möglich)]

Abb. 03: Relevante Risikoarten im Risikomanagement [Frage: Mit welchen Risikoarten (strategisch/operativ/weitere Bestandteile) ist Ihr Risikomanagement-System befasst? (Mehrfachantworten möglich)]

Zwecks Identifikation neuer Risikogebiete erfolgen bei 50,9 Prozent der Teilnehmer Diskussionen zwischen Risikomanagement-Verantwortlichen und der Strategieabteilung. Hier erscheint die Verzahnung ausbaufähig. Wenn keine Strategieeinheit existiert, kann dieser Dialog auch direkt mit der Geschäftsleitung geführt werden.

37,7 Prozent der Teilnehmer identifizieren beziehungsweise aktualisieren ihre Risiken zwar parallel zur Unternehmensplanung beziehungsweise zu unterjährigen Forecasts, allerdings erfolgt dies laut eigenen Angaben ohne Abstimmung mit den Planungsverantwortlichen. Bei 26,4 Prozent der Befragten besteht laut eigener Einschätzung gar keine zeitliche Parallelität zwischen Risikoidentifikation/-aktualisierung und der Unternehmensplanung. Diese relativ hohen Quoten überraschen, da Informationen zu wesentlichen Risiken wichtige Parameter für die Erstellung der Unternehmensplanung und unterjähriger Forecasts darstellen sollten. Ferner werden Risiken bei vielen Unternehmen als "negative Abweichungen vom Plan" definiert. Eine fehlende Verzahnung zwischen Risikomanagement und Unternehmensplanung erscheint daher kontraproduktiv.

Rolle der Risikomanagement-Funktion

Trotz der erkannten hohen Bedeutung des Risikomanagements übernimmt die Risikomanagementfunktion nur bei wenigen Unternehmen die Rolle eines Business Partners. Lediglich 11,3 Prozent der Teilnehmer beziehen den Risikomanager als internen Berater bei anstehenden Entscheidungen mit ein. Teilweise übernimmt er diese Rolle in einem hybriden Ansatz für ausgewählte Themenstellungen. Die Wahl der Rolle liegt im Ermessen der Unternehmensleitung und wird sich auch an den Erfordernissen der Geschäftstätigkeit und der Unternehmenskultur orientieren. Der Wertbeitrag eines Risikomanagements würde steigen, wenn es nicht nur von der Unternehmensleitung für das Tagesgeschäft instruiert und im Rahmen einzelner Entscheidungen konsultiert, sondern auch in diese Entscheidungen involviert wird, so die Autoren von Deloitte.

In der Selbstwahrnehmung ein solider Reifegrad im Risikomanagement erreicht

Nach Einschätzung der befragten Risikomanager hat der Reifegrad von Risikomanagement-Systemen in deutschen Unternehmen ein solides Maß erreicht und ein institutionalisiertes RMS gilt inzwischen als "state of the art". Häufig übernimmt ein zentraler (Teil-) Bereich "Risikomanagement" eine Klammerfunktion für die Risikomanagementaktivitäten im Unternehmen. In der Unternehmenspraxis bestehen ferner meist formelle oder informelle Schnittstellen zu den Bereichen Controlling, Compliance Management, IKS und Interne Revision.

Abb. 04: Selbsteinschätzung des Ausgestaltungsgrads des Risikomanagements [Frage: Wie würden Sie den Ausgestaltungsgrad der Grundelemente Ihres Risikomanagements einschätzen?]

Abb. 04: Selbsteinschätzung des Ausgestaltungsgrads des Risikomanagements [Frage: Wie würden Sie den Ausgestaltungsgrad der Grundelemente Ihres Risikomanagements einschätzen?]

Kritisch muss hier die Selbsteinschätzung bewertet werden - denn wer gibt schon gerne in einer externen Befragung zu, dass das Risikomanagement im Unternehmen auf einem nur geringen Reifegrad basiert. Interessant wäre hierzu eine Status-Quo-Analyse basierend auf tatsächlichen Fakten oder auch die ergänzende Befragung weitere Stakeholder. Die befragten Risikomanager haben jedoch auch Optimierungspotenziale insbesondere hinsichtlich Risikokultur, Ziele des Risikomanagements und Risikosteuerung erkannt.

Ausbau und Optimierung der Risikokultur

Hinsichtlich der Risikokultur werten 13,2 Prozent der Befragten den Handlungsbedarf als dringend. Die Deloitte-Autoren weisen in diesem Kontext darauf hin, dass in der Praxis insbesondere die Unternehmensleitung durch einen transparenten und proaktiven Umgang  mit Risiken sowie einem klaren Bekenntnis zum Mehrwert von Risikomanagement die Risikokultur positiv beeinflussen kann ("Tone from the Top").

Abb. 05: Attribute einer positiven Risikokultur [Frage: Was sind Ihrer Einschätzung nach Attribute einer positiven Risikokultur? (Mehrfachantworten möglich)]

Abb. 05: Attribute einer positiven Risikokultur [Frage: Was sind Ihrer Einschätzung nach Attribute einer positiven Risikokultur? (Mehrfachantworten möglich)]

Nutzung stochastischer Methoden nimmt zu

Die Nutzung von Risikosimulationen, Szenarioanalysen und die Verwendung von quantitativen und stochastischen Methoden zur Risikoaggregation nehmen weiter zu. Inzwischen nutzt laut eigenen Angaben bereits rund ein Drittel der befragten Unternehmen entsprechende Methoden. Einerseits kann ein drohendes Gesamtrisikopotenzial letztlich nur durch die kombinierte Betrachtung der Risiken ermittelt werden. Andererseits muss die Ausgestaltung des Risikomanagements insbesondere auf die Informationsbedürfnisse des Top-Managements und dessen Arbeitsweise Rücksicht nehmen, so die Autoren.

Ein weiterer Aspekt ist eine häufig anzutreffende Skepsis gegenüber stochastischen Verfahren, die unter anderem durch die wissenschaftliche Studie "Simulationen in der Unternehmenssteuerung" dargelegt wurde. Die gemeinsam von der Technischen Universität Hamburg-Harburg und der RiskNET GmbH durchgeführten Studie hat gezeigt, dass positive Erfahrungen ein klarer Treiber für den Einsatz dieser Methoden ist. Liegt einmal eine positive Erfahrung mit den Einsatz eines Instruments vor, wird es zukünftig tendenziell häufiger eingesetzt als Instrumente, mit denen keine beziehungsweise negative Erfahrungen vorliegen. Allgemein eilt Simulationen der Ruf voraus, dass sie zu komplex seien. Dies wird auch als die größte Hürde beim Einsatz von Simulationsmodellen wahrgenommen, so die Studienergebnisse. "Das Management hat in der Regel eher wenig Erfahrung mit Simulationen und setzt daher häufiger bekannte und vermeintlich einfachere Methoden ein.", ergänzt Frank Romeike, geschäftsführender Gesellschafter von RiskNET und einer der Studienautoren.

Abb. 06: Nutzung von Risikosimulation und -aggregation [Frage: Nutzen Sie Verfahren zur Risikosimulation und -aggregation?]

Abb. 06: Nutzung von Risikosimulation und -aggregation [Frage: Nutzen Sie Verfahren zur Risikosimulation und -aggregation?]

Welchen Nutzen bietet IDW PS 981

Zwecks  Hebung  der  erkannten  Optimierungspotenziale  planen  38  Prozent  der Teilnehmer  eine  Überarbeitung  ihres Risikomanagement-Systems in Anlehnung am neuen IDW PS 981 und 13 Prozent eine Prüfung des Systems nach IDW PS 981 bereits innerhalb der nächsten zwölf Monate. Dies ist ein Zeichen für die hohen Erwartungen an den gerade erst veröffentlichten Standard. Nach Ansicht der Autoren deckt dieser alle wesentlichen Anforderungen und Elemente eines Risikomanagement-Systems ab und ist kompatibel zu allen gängigen Risikomanagement-Rahmenwerken als Grundlage des eingerichteten Systems. Ferner kann er aufgrund seiner Flexibilität neben Prüfungszwecken auch zur Optimierung von Teilbereichen des Risikomanagements genutzt werden (beispielsweise des Projektrisikomanagements oder des Supply Chain Risk Managements).

Reduzierung von Haftungsrisiken erwartet

Der IDW PS 981 wird von den Teilnehmern als Instrument zur Wirksamkeitsüberwachung des Risikomanagement-Systems gesehen. In Kombination mit der Anwendung der weiteren IDW PS zur Prüfung von Corporate Governance Systemen kann der IDW PS 981 somit einen Beitrag zur Wahrnehmung der Überwachungspflichten von Aufsichtsräten gemäß § 107 Abs. 3 AktG in Bezug auf die Corporate Governance im Unternehmen leisten. Der überwiegende Teil der befragten Unternehmen erwartet in diesem Zusammenhang eine Reduzierung der Haftungsrisiken als Folge einer Prüfung des Risikomanagement-Systems gemäß IDW PS 981.

Link zur Studie

[ Bildquelle: oben: © Julydfg - Fotolia.com | Studienergebnisse: Deloitte ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Blickpunkt

Digital, digitaler, am digitalsten

Redaktion RiskNET06.09.2017, 10:09

Als im Jahr 1761 das französische Schiff "Utile" vor der Insel Tromelin im indischen Ozean sank, rettete sich eine Gruppe von Sklaven auf das Eiland. Die nur rund 1,7 Kilometer lange und...

Interview

IDW PS 981

Licht und Schatten im Risikomanagement

Redaktion RiskNET28.08.2017, 08:19

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele...

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...