Neufassung des IDW Prüfungsstandards 340 (PS 340)

Risikoaggregation wird zur Pflicht


Neufassung des IDW Prüfungsstandards 340 (PS 340): Risikoaggregation wird zur Pflicht Kolumne

Unternehmen erleben regelmäßige wirtschaftliche Hochs und Tiefs. Und einige schaffen es bei einer Talfahrt nicht mehr heraus und müssen sich in die Insolvenz verabschieden. Studien über Insolvenzursachen zeigen regelmäßig auf, dass der Absturz in den meisten Fällen "hausgemacht“ ist und vermeidbar gewesen wäre. Der "böse schwarze Schwan“ – als Sinnbild des Undenkbaren – wird dann immer gern und häufig als Entschuldigung verwendet, um von der eigenen Unfähigkeit abzulenken. Risiken und existierende Frühwarnsignale werden nicht selten komplett ausgeblendet – frei nach dem rheinischen Motto "Et kütt wie et kütt" oder "Et hätt noch emmer joot jejange". Man glaubt, dass schon irgendwie in den Griff zu kriegen. Vielen Unternehmen fällt es beispielsweise schwer, potenzielle Stressszenarien zu antizipieren und gelegentlich auch mal den "Reset-Knopf“ zu drücken, um beispielsweise den "lahmenden Gaul“ zu verlassen und auf ein neues Pferd (neue Strategie) zu setzen.

So haben beispielsweise die Schweizer Wissenschaftler Probst/Raisch bereits vor vielen Jahren aufgezeigt, dass Unternehmensinsolvenzen einer einheitlichen Logik des Niedergangs folgen. Die beiden Wissenschaftler haben die 100 größten Unternehmenskrisen über einen Zeitraum von fünf Jahre in den USA und Europa analysiert. Etwa 70 Prozent der von Ihnen untersuchten Unternehmenspleiten lässt sich auf das sog. "Burnout-Syndrom“ zurückführen. Der Niedergang der verbleibenden 30 Prozent lässt sich durch das sog. "Premature-Aging-Syndrom“ erklären.

Die Unternehmen, die unter dem Burn-out-Syndrom litten, durchliefen vor der Existenzkrise eine Phase exzessiven Wachstums durch Fusionen und Übernahmen. Um die neuen Puzzleteile zu integrieren, baute das Management die eigene Organisation fast ununterbrochen um. Und die Mitarbeiter verstanden weder die Strategie, noch identifizierten sie sich mit der Unternehmenskultur (welche?). Und an der Spitze der Unternehmen stand regelmäßig ein mächtiger, visionärer und oft selbstherrlicher Chef, der dem Unternehmen eine überzogene Erfolgskultur aufzwang. Geschwächt durch hohe Schulden, eine wachsende Komplexität und massive Risikoeintritte, brechen viele Unternehmen im "worst case“-Szenario in sich zusammen.

Bei Unternehmen, die unter dem Premature-Aging-Syndrom leiden, ist es eher umgekehrt: Die Umsätze stagnieren, das Management verändert das Unternehmen nur zögerlich (trotz vieler Frühwarnsignale und diverser Risikoeinschläge), die Führungsspitze ist insgesamt eher schwach und es fehlt eine Erfolgs- und Unternehmenskultur.

Fakt ist auch, dass die Ursachen für Unternehmensschieflagen und -pleiten sich nicht auf einen isolierten Risikoeintritt zurückführen lässt. Vielmehr führt die kumulierende Wirkung von verschiedenen Risiken (beispielsweise ein konjunktureller Abschwung in Verbindung mit einer Disruption von Geschäftsmodellen sowie einer strategischen Fehlpositionierung etc.) zu einer Überstrapazierung der Risikotragfähigkeit, was schließlich in einer Sackgasse endet.

Neue Anforderungen an Corporate-Governance-Systeme abgebildet

Vor wenigen Tagen wurde der Entwurf einer Neufassung des IDW Prüfungsstandards "Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB“ (IDW EPS 340 n.F.) verabschiedet. Im Kern geht es beim IDWPS 340 um die gesetzlich verankerte Prüfung des Risikofrüherkennungssystems durch die Wirtschaftsprüfer.

Blicken wir zunächst auf die Überarbeitung des IDWPS 340. Dieses wurde unter anderem erforderlich, um der seit der Einführung des § 91 Abs. 2 AktG durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und der Fortentwicklung der Unternehmenspraxis im Bereich der Einrichtung und Prüfung von Corporate-Governance-Systemen Rechnung zu tragen, so das IDW. Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) wurde bereits im Jahr 1932 gegründet und repräsentiert heute rund 13.000 Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften. Das IDW publiziert sogenannte "IDW-Verlautbarungen", u.a. in Form von "IDW Prüfungsstandards (IDW PS)".

Die Neufassung des IDWPS 340 berücksichtigt unter anderem die folgenden Themen:

  • Konkretisierung der Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen entwickelten Grundelemente (vgl. die freiwilligen Prüfungsstandards IDWPS 980 und IDW PS 981);
  • Stärkerer Fokus und Betonung der Pflichten eines Unternehmens in Bezug auf die Entwicklung eines Risikotragfähigkeitskonzepts sowie der Aggregation von Risiken;
  • Klarstellungen zur Betrachtung von "Netto-Risiken“ sowie zur Risikosteuerung als Bestandteil der zu prüfenden Grundelemente eines Risikofrüherkennungssystems;
  • Verdeutlichung der Dokumentationspflichten des Unternehmens unter Berücksichtigung der zwischenzeitlich ergangenen Rechtsprechung.

Bis zum 15.01.2020 dürfen Stellungnahmen zum Entwurf abgegeben werden.

Qualitative Risikotragfähigkeitskonzepte sind Unfug

Der Entwurf des PS 340 verdeutlicht noch einmal, dass die Beurteilung, ob eine bestandsgefährdende Entwicklung vorliegt, die Bestimmung der unternehmensindividuellen Risikotragfähigkeit durch den Vorstand voraussetzt. Überraschend ist, dass der Standard zur Ermittlung der Risikotragfähigkeit auch qualitative Methoden zulässt. Wie eine solche "qualitative“ Bewertung der Risikotragfähigkeit in der Praxis erfolgen soll, bleibt im Dunkeln. Ein solcher Ansatz ist Unfug, da ein Risikotragfähigkeitskonzept zwingend eine Quantifizierung erfordert. Hier empfiehlt sich ein Blick beispielsweise in den "Risikotragfähigkeitsleitfaden“, der am 24. Mai 2018 seitens BaFin und der Deutschen Bundesbank veröffentlicht wurde, und das neue aufsichtliche Anspruchsniveau zur Beurteilung bankinterner Risikotragfähigkeitskonzepte festschreibt.

Das Grundprinzip gilt für alle Branchen gleichermaßen: Unter Risikotragfähigkeit (auch Netto-Risikotragfähigkeit genannt) versteht man allgemein den maximal möglichen Verlust, der gerade noch durch die verfügbaren Liquiditätsreserven eines Unternehmens abgedeckt werden kann. Die Risikotragfähigkeit entspricht dem Umfang von zusätzlich tragbarem Risiko und stellt somit die Differenz zwischen Risikodeckungspotenzial und Gesamtrisikoumfang dar. Was soll ein Entscheider nun damit anfangen, wenn der Risikomanager ihm mitteilt, dass das Risikodeckungspotenzial "hoch“ und der Gesamtrisikoumfang "mittelhoch“ ist? Die Differenz ("freie“ Risikotragfähigkeit) ist "niedrig“ bis "vielleicht gar nicht existent“. Voraussichtlich wird ein intelligenter CFO und CEO (der tagtäglich sein Unternehmen vor allem auch über quantitative Größen steuert) den Risikomanager im Best-Case-Szenario aus seinem Büro werfen. Im Worst-Case-Szenario wird sich der Risikomanager einen neuen Job suchen dürfen.

Bedauerlicherweise ist in der Praxis des Risikomanagements (außerhalb der Finanzdienstleister) nach wie vor, dass ein erhebliches Defizit über die Anwendung etablierter und verfügbarer Methoden existiert. Ein leistungsfähiges und wirksames Risikomanagement bedingt zwingend Kompetenzen bezüglich der Quantifizierung von Risiken durch geeignete Verteilungsfunktionen und stochastische Prozesse, Szenariosimulationen, Grundlagen der Statistik und Modellierungskompetenz etc.

Bestandsgefährdende Entwicklung resultieren selten aus Einzelrisiken

Außerdem verdeutlicht der Standard noch einmal, dass bestandsgefährdende Entwicklungen vor allem auch aus dem Zusammenwirken mehrerer Risiken resultieren können. Diese führen möglicherweise bei einer isolierten Betrachtung zu keiner Bestandsgefährdung. Daher ist zwingend eine Aggregation relevanter Risiken erforderlich, um zu beurteilen, ob eine bestandsgefährdende Entwicklung vorliegt. Neben einer wechselseitigen Verstärkung von Risiken zu einem bestandsgefährdenden Risiko können Diversifikationseffekte auch zu einer Reduktion im Risikoportfolio führen. Daher ist es wichtig, dass wesentliche Abhängigkeiten zwischen Risiken methodisch fundiert abgebildet werden.

Der Sachverhalt, dass nicht Einzelrisiken, sondern der aggregierte Gesamtrisikoumfang für die Beurteilung der (freien) Risikotragfähigkeit und den Grad der Bestandsbedrohung eines Unternehmens maßgeblich ist, war schon im Jahr 1998 mit der Inkraftsetzung des Kontroll- und Transparenzgesetzes (KonTraG) bekannt. Auch in "alten“ Fassung des IDWPS 340 war die Risikoaggregation bereits gefordert: "Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können.“

Gefordert wurde immer schon eine Aggregation aller (wesentlichen) Risiken über alle Risikoarten sowie auch über die Zeit. Da nur quantifizierte Risiken auch aggregiert werden können, ist das Gebot der Quantifizierung sämtlicher Risiken nur konsequent. Methodisch erfordert die Aggregation von Risiken zwingend den Einsatz von Simulationsverfahren, weil Risiken – anders als Kosten und Umsätze – nicht addierbar sind. Diese Simulationsverfahren sind die Weiterentwicklung der Szenario-Analyse.

Mittels stochastischer Simulation wird bei der Risikoaggregation eine große repräsentative Anzahl risikobedingt möglicher Zukunftsszenarien analysiert. Auf diese Weise wird eine realistische Bandbreite der zukünftigen Erträge und Liquiditätsentwicklung aufgezeigt.

Bereits der im November 2018 veröffentlichte Revisionsstandard "Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision“ des Deutsches Institut für Interne Revision e.V. (DIIR) hatte die Relevanz der Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs hervorgehoben. Dort wird auch klar auf "quantifizierte Einzelrisiken“ verwiesen. Denn sowohl die Risikoaggregation als auch die Ermittlung der Risikotragfähigkeit bedingt zwingend eine Quantifizierung.

Literatur zur Vertiefung:

  • IDW (2019): Entwurf einer Neufassung des IDW Prüfungsstandards: Die Prüfung der Maßnahmen nach § 91 Abs. 2 AktG im Rahmen der Jahresabschlussprüfung gemäß § 317 Abs. 4 HGB (IDW EPS 340 n.F.) Stand: 15.07.20191
  • Probst, G./Raisch, S. (2004): Die Logik des Niedergangs, in: Harvard Business Manager, Ausgabe März 2004, S. 37-45.
[ Bildquelle Titelbild: Adobe Stock ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.