IDW PS 981

Die jüngst veröffentlichte "Risikomanagement Benchmarkstudie 2017" des Prüfungs- und Beratungsunternehmens Deloitte zeigt, dass viele Unternehmen den Wert eines Risikomanagements für die eigene Unternehmenssteuerung erkannt haben. Und doch herrscht in der Ausgestaltung von Risikomanagementsystemen in der Praxis vieler Unternehmen zum Teil noch eine Lücke. Die Redaktion von RiskNET sprach mit Markus Link, Partner Audit Corporate bei Deloitte, über viel Positives aber auch die Baustellen in puncto funktionierender und vor allem gelebter Risikomanagement-Systeme.

Was sind aus Ihrer Sicht die überraschendsten Erkenntnisse aus der jüngst von Ihnen veröffentlichten Studie zu den Grundelementen gemäß IDW PS 981?

Markus Link: Eine wesentliche Beobachtung unserer Studie ist, dass die teilnehmenden Unternehmen Bedeutung und Mehrwert des Risikomanagements (RMS) für die Unternehmenssteuerung erkannt haben. Umso erstaunlicher ist es festzustellen, dass die Selbsteinschätzungen zum Ausgestaltungsgrad des RMS noch viele Optimierungspotenziale zeigen. Besonders bemerkenswert ist in diesem Zusammenhang, dass grundlegende Elemente wie Risikokultur oder Ziele des RMS die größten Potenziale aufzeigen und dass die Rolle der Risikomanagement-Funktion als ausbaufähig erscheint.
Eine weitere Überraschung ist die hohe Quote von jeweils ca. 30% an Unternehmen, die laut eigenen Angaben einen quantitativen Risikoappetit definieren und Methoden der Risikosimulation und -aggregation nutzen. Diese hohe Quote haben wir im Vorfeld der Untersuchungen nicht erwartet.
Hinzu kommt der interessante Fakt, dass 38% der Unternehmen die Veröffentlichung des IDW PS 981 als Anlass nehmen möchten ihre RMS Prozesse einer kurzfristigen Überarbeitung in Anlehnung an den neuen Standard zu unterziehen. 13% der Unternehmen planen ferner sich kurzfristig einer entsprechenden Prüfung zu unterziehen. Gemessen an Erfahrungen mit der Einführung vergleichbarer Standards, z.B. des IDW PS 980 zur Prüfung von Compliance Management Systemen, sind diese Angaben als Zeichen für eine zu erwartende Etablierung des IDW PS 981 als RMS-Prüfungsstandard der Wahl anzusehen.

Ein angemessenes RMS gemäß IDW PS 981 beruht auf acht miteinander in Wechselwirkung stehenden Grundelementen. Können Sie diese Grundelemente und deren Relevanz bitte kurz erläutern?

Markus Link: Die Grundelemente des IDW PS 981 orientieren sich grundsätzlich an den Elementen des COSO-ERM Rahmenwerks: Risikokultur, Ziele und Organisation des RMS, Risikoidentifikation, Risikobewertung, Risikosteuerung und -kommunikation sowie der Überwachung und Verbesserung (siehe auch Infokasten, Anmerkung der Redaktion).

Was wird gemäß IDW PS 981 konkret geprüft?

Markus Link: Der mögliche Umfang einer Prüfung nach IDW PS 981 besitzt eine hohe Flexibilität. Ausgehend von der Betrachtung der grundsätzlichen Ausgestaltung des RMS, die stets erfolgt, bietet der Standard die Möglichkeit unter Berücksichtigung der individuellen Risikosituation des Unternehmens spezielle Bestandteile des RMS einer eingehenden Betrachtung zu unterziehen.

Der Prüfungsscope kann beispielsweise nach organisatorischen Einheiten (z.B. Prüfung des RMS einer ausgewählten Tochtergesellschaft), Prozessen (z.B. Prüfung des RMS in der Supply Chain) oder auch Risikoarten (strategisch/operativ; z.B. Prüfung des RMS bezogen auf den Umgang mit Produktionsrisiken) abgegrenzt werden. Die im Prüfungsscope liegenden RMS-Bestandteile sind in einer RMS-Beschreibung durch das Unternehmen festzuhalten und in Bezug auf die 8 Grundelemente eines RMS darzustellen. Diese Aussagen werden daraufhin im Rahmen der Prüfung durch den Prüfer verifiziert. Dabei kann zwischen einer Angemessenheits- und einer Wirksamkeitsprüfung ausgewählt werden.

Eine Prüfung des RMS nach IDW PS 981 ist für Unternehmen freiwillig. Wo sehen Sie den wesentlichen Mehrwert dieser freiwilligen Prüfung?

Markus Link: Eine freiwillige Prüfung des Risikomanagementsystems nach IDW PS 981 entfaltet ihren Mehrwert auf mehreren Ebenen.
Erstens unterstützt sie die Unternehmensleitung in der Überprüfung der wirksamen Umsetzung ihrer Direktiven zum Risikomanagement. Die flexiblen Möglichkeiten der Anpassung des Prüfprogramms an die Bedürfnisse des Auftraggebers sorgen hierbei für ein hohes Maß an Individualisierbarkeit.
Zweitens kann die Prüfung des RMS nach IDW PS 981 eine wesentliche Hilfestellung zur Ausübung der Überwachungspflichten (bspw. für börsennotierte Aktiengesellschaften nach § 107 Abs. 3 AktG) von Aufsichtsorganen leisten und die Nachweisführung signifikant erleichtern.
Drittens sind Unternehmen, die im Fokus der Öffentlichkeit agieren in Zeiten hochkomplexer Organisationen und Prozesse gesteigerten Erwartungen an Transparenz und Überwachung ausgesetzt. Die Prüfung nach IDW PS 981 bietet die Möglichkeit zur außenwirksamen Kommunikation eines unabhängigen Urteils über Aufbau und Wirksamkeit eines wesentlichen Governance-Instrumentes.
Zudem können Erkenntnisse aus den Prüfungshandlungen und die daraus resultierenden Handlungsempfehlungen zu einer Weiterentwicklung des Risikomanagementsystems beitragen.

Rund 90 Prozent der befragten Unternehmen haben ausgesagt, dass sie den Mehrwert und die Bedeutung des Risikomanagements für die Unternehmenssteuerung erkannt haben und Risikomanagement auch bewusst hierzu einsetzen. Wunschdenken oder Realität? Wie passt das zu der Aussage, dass die Risikomanagementfunktion nur bei wenigen Unternehmen die Rolle eines Business Partners einnimmt? Lediglich 11,3 Prozent der Teilnehmer beziehen den Risikomanager als internen Berater bei anstehenden Entscheidungen mit ein.

Markus Link: In der Tat klafft in der Unternehmenspraxis zum Teil noch eine Lücke zwischen dem erkannten Mehrwert von Risikomanagement für die Unternehmenssteuerung und der konkreten Ausgestaltung von Risikomanagementsystemen zur optimalen Nutzung dieses Mehrwerts. Die genannten Aussagen der Studie belegen genau diesen Zustand. Gleichzeitig zeigt eine Vielzahl an aktuellen Projekten zur weiteren Optimierung von Risikomanagementsystemen, dass die Unternehmen an der Schließung dieser Lücke arbeiten. Im Rahmen der Weiterentwicklung des RMS wird teilweise auch die Rolle der Risikomanagement-Funktion aufgewertet. Der Risikomanager kann als interner Risikomanagement-Berater wertvolle Beiträge aufgrund seines methodischen Know-hows und seiner Kenntnisse der Risikosituation liefern.
Abgesehen von der Rolle der Risikomanagement-Funktion ist eine engere Verzahnung des Risikomanagements mit den Wertschöpfungs- und Managementprozessen zielführend, um das Risikomanagement vermehrt für die Unternehmenssteuerung nutzen zu können. Auch hieran arbeiten einige Unternehmen bereits.

Überraschend war, dass sich rund 98 Prozent der teilnehmenden Unternehmen in ihrem Risikomanagement-System mit strategischen Risiken beschäftigen. Wie passt dies zu der Tatsache, dass die Mehrzahl der Unternehmensschieflagen und -zusammenbrüche auf strategische Risiken zurückzuführen ist? Dies spricht eher dafür, dass die Erkenntnisse eben gerade nicht in die Unternehmenssteuerung einfließen.

Markus Link: Dass 98% der Unternehmen angeben sich im Rahmen ihrer Risikomanagement-Prozesse mit strategischen Risiken auseinanderzusetzen, überrascht uns zunächst einmal nicht. Aus den genannten Unternehmensschieflagen und -zusammenbrüchen, aufgrund eingetretener strategischer Risiken, haben die Unternehmen eben diese Lehre gezogen. Es wird zu beobachten sein, inwiefern der vermehrte Fokus auf strategische Risiken im Rahmen des RMS zukünftig Schieflagen und Insolvenzen vermindern kann. Dabei ist zu berücksichtigen, dass der Eintritt von strategischen Risiken aufgrund ihrer Komplexität und der teils sehr langfristigen und daher schwer zu prognostizierenden Entwicklungen niemals gänzlich ausgeschlossen werden kann. Das bloße Erkennen einer strategischen Gefahr im Rahmen der Risikofrüherkennung bedeutet nicht zwingend, dass ein Unternehmen geeignete Gegenmaßnahmen entwickeln kann.

Nach Einschätzung der befragten Risikomanager hat der Reifegrad von Risikomanagement-Systemen in deutschen Unternehmen ein solides Maß erreicht und ein institutionalisiertes RMS gilt inzwischen als “state of the art“. Haben Sie Unterschiede hinsichtlich Branchen oder Unternehmensgröße oder Eigentümerstruktur in der Studie untersucht?

Markus Link: Unsere Studienergebnisse bestätigen, dass der Institutionalisierungsgrad des Risikomanagements tendenziell stark mit dem Regulierungsgrad des (Kapital-)Marktes, in welchem ein Unternehmen agiert korreliert. Je höher der Grad desto institutionalisierter das Risikomanagementsystem. Gleichzeitig muss dies nicht zwangsläufig bedeuten, dass ein hoch institutionalisiertes Risikomanagement ein hohes Maß an Mehrwert für die Unternehmenssteuerung liefert.

Wo sehen Sie die größten Baustellen beim Aufbau eines funktionierenden und gelebten Risikomanagement-Systems?

Markus Link: Ausgehend vom Status quo der Risikomanagementsysteme bei deutschen Industrieunternehmen sehen wir insbesondere folgende Handlungsfelder zur Weiterentwicklung:

• Die Risikokultur sollte insbesondere durch einen positiven "Tone-from-the-top" seitens der Unternehmensleitung sowie durch pragmatische Lösungen zur Operationalisierung des Risikomanagements für die Mitarbeiter beeinflusst werden. Sie liefern die Grundlage für ein wirksames RMS.
• RMS sollten stärker mit der Unternehmenssteuerung (z.B. der Unternehmensplanung) und den Unternehmensprozessen verzahnt werden um den Mehrwert des RMS als Steuerungsinstrument zu steigern. Aufbau und Förderung von Risikomanagement-Silo-Organisationen im Unternehmen zwecks ausschließlicher Erfüllung formaler, regulatorischer Anforderungen an die interne und externe Risikoberichterstattung sollten vermieden werden.
• Die bisherige Rolle der Risikomanagement-Funktion im Unternehmen sollte teilweise überdacht und ggf. aufgewertet werden. Tendenziell kann eine Entwicklung des Risikomanagers zum Business Partner im Sinne eines In-House-Risikomanagement-Beraters zielführend sein.
• Die etablierten Risikomanagementprozessschritte Identifikation, Bewertung, Steuerung und Bewertung bedürfen punktueller Weiterentwicklungen. Moderne Risikomanagement-Softwarelösungen bieten in diesem Kontext effiziente und userfreundliche Unterstützungsmöglichkeiten.
• Die Überwachung des RMS sollte weiter vorangetrieben werden. Insbesondere die Überwachung der Wirksamkeit wesentlicher Risikosteuerungsmaßnahmen erscheint verbesserungswürdig. Prozessunabhängig kann der neue IDW PS 981 als zielführendes Instrument zur Angemessenheits- und Wirksamkeitsüberwachung genutzt werden und ist dabei flexibel an die Bedürfnisse von Aufsichtsräten im Kontext ihrer Überwachungspflichten gemäß § 107 Abs. 3 AktG anpassbar. Über Prüfungszwecke hinaus kann der IDW PS 981 aufgrund seiner Ausgestaltung und Flexibilität zur Weiterentwicklung des gesamten RMS, ausgewählter Risikomanagement-Subsysteme (z.B. Project Risk Management) sowie einzelner RMS-Grundelemente (z.B. Risikokultur) effizient verwendet werden.

Markus Link ist Partner im Bereich Audit & Assurance bei Deloitte und leitet den Bereich Corporate Governance Assurance. Er verfügt über langjährige Erfahrung als Wirtschaftsprüfer internationaler Konzerne und betreut kapitalmarktorientierte Unternehmen im Rahmen gesetzlicher Abschlussprüfungen sowie bei der Prüfung von Corporate-Governance-Systemen.