IDW PS 340 n.F.

Lästige Pflicht oder Chance für das Risikomanagement?


IDW PS 340 n.F.: Lästige Pflicht oder Chance für das Risikomanagement? Kolumne

Geprägt von ihrem Alltag und der Arbeit im Spannungsfeld zwischen erster Verteidigungslinie und Vorstand stehen im Dialog mit Risikomanagern meistens Themen wie Risikokultur oder die Akzeptanz des Risikomanagement-Systems im Vordergrund.

Häufige Fragestellungen sind etwa:

  • "Wie erreiche ich inhaltlich plausible und treffende Risikobewertungen und nicht nur die eilige Freigabe zwei Tage nach Ablauf der Frist?"
  • "Wie behalte ich den Überblick zum Umsetzungsstand der vereinbarten Maßnahmen?"
  • "Wie kann ich meinem Vorstand zu den Risiken berichten, ohne als Überbringer der schlechten Botschaft zu wirken?"

Zuletzt allerdings entstand durch den Entwurf der Überarbeitung des Prüfungsstandards IDWPS 340 eine durchaus hitzige Diskussion rund um Aspekte wie die Risikotragfähigkeit und Risikoaggregation. Im Grund sind das Auseinandersetzungen zur Methodik des Risikomanagement-Systems und auch bis zu welchem Grad, an welchen Prozessschritten quantitative Ansätze sinnvoll und/oder notwendig sind.

Ende Juni wurde schließlich der IDWPS 340 n.F. verabschiedet. Daraus ergeben sich eine Reihe von Auswirkungen auf die bestehenden und bisher vom Prüfer attestierten Systeme im Sinne der Frühwarnfunktion. Den meisten Unternehmen werden Veränderungen ihrer Methodik bevorstehen: Das Stichwort "Bestandsgefährdung" ist hier entscheidend. Die Beurteilung, ob diese vorliegt und die vorgegebene regelmäßige Analyse der Situation führt zwingend zu einem Abgleich zwischen der Risikotragfähigkeit sowie der aktuellen Gesamtrisikoposition. Ein weiterer wichtiger Aspekt ist in diesem Zusammenhang die Aggregation der Risiken über die Zusammenfassung auf Risikoarten hinaus. Als weitere Konsequenz muss die Nachverfolgung der definierten Maßnahmen gestärkt werden, was sich aus der Verankerung einer verpflichtenden Risikosteuerung ergibt.

Eine kürzlich veröffentlichte und hier bei RiskNET auch bereits thematisierte Deloitte-Studie bestätigt den Handlungsbedarf in den Unternehmen. So gaben zum Beispiel mehr als einem Drittel der Studienteilnehmer an, dass ihnen die sich daraus ergebenden Änderungen nicht oder nicht vollumfänglich bekannt waren. Weiterhin sehen nur etwa die Hälfte der Befragten die neuen Anforderungen durch ihr Risikomanagementsystem als erfüllt an.

Auch Expertenmeinungen legen nahe, dass es eine gewisse Diskrepanz zwischen diesen Anforderungen bzw. den darunterliegenden wissenschaftlichen Ansätzen und dem Umsetzungsgrad dieser Konzepte in den Unternehmen gibt. Die Betrachtung des zeitlichen Rahmens verdeutlicht die Dringlichkeit dieses Themas: Sofern das neue Geschäftsjahr zum 1. Januar 2021 beginnen, wird das Risikofrüherkennungssystem dieses Jahres bereits nach dem überarbeiteten Prüfungsstandard geprüft.

Deswegen haben wir uns entschlossen, dieses Thema gemeinsam mit den Teilnehmer des diesjährigen RiskNET Summit 2020 im Rahmen eines Workshops zu erarbeiten. Darin wird es darum gehen, die bisherigen Ansätze hinsichtlich der neuen Anforderungen zu hinterfragen, Möglichkeiten der "quick-wins" auszuloten sowie die ersten Erkenntnisse aus den Abstimmungen mit den jeweiligen Prüfern auszutauschen. 

Die inhaltlichen Schwerpunke drehen sich damit um:

  • Ganzheitliches Gesamtrisikoinventar:
    • Welche Methoden und Techniken in der Risikoidentifikation haben sich bewährt?  
    • Welche modernen Ansätze sind erprobt worden und welche Erkenntnisse resultieren daraus?  
  • Qualitative und quantitative Risikobewertungen:
    • Wo stehen die 2nd Lines in der Anwendung quantitativer Bewertungen? Was sind Erfahrungswerte in der Kommunikation mit / Guidance der Risk Owner?
    • Welche Schritte sind noch erforderlich, um den Anforderungen zu entsprechen?
  • Betrachtung von Risikotragfähigkeit, bzw. Risikoappetit:
    • Welche Mechanismen gibt es bereits im Unternehmen, die kurzfristig für die Zwecke der Bestimmung von Risikotragfähigkeit und Risikoappetit angewandt werden können?
    • Wie kann eine mittelfristige Verankerung dieses Ansatzes erreicht werden?
  • Dokumentation und Nachverfolgung von Maßnahmen:
    • Wie kann ein sinnvolles Tracking erfolgen, ohne die Tätigkeit der 2nd Line nicht in ein manuelles Nachverfolgen ausarten zu lassen?
    • Wie kann die Wirksamkeit der umgesetzten Maßnahmen ermittelt werden?
  • Ermittlung der Gesamtrisikoposition durch Aggregation:
    • Welche Erfahrungswerte (1st Line, andere 2nd Line-Fachbereiche, Vorstand/GF) gibt es bereits mit Aggregationsverfahren?
    • Wie kann diese Anforderung kurzfristig umgesetzt werden?

Wir freuen uns schon auf den regen Austausch dazu! Sie sind noch nicht angemeldet?

Jetzt anmelden

 

Autorin
Claudia Howe | Alyne

[ Bildquelle Titelbild: Adobe Stock / Elnur ]
Themengebiete
In Verbindung stehende Artikel
Die nächsten Baustellen im RisikomanagementDie nächsten Baustellen im Risikomanagement
Von Wortmonstern und HirngespinstenVon Wortmonstern und Hirngespinsten
Risikotragfähigkeit, Risikoaggregation und QuantifizierungRisikotragfähigkeit, Risikoaggregation und Quantifizierung
Themenverwandte Artikel
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.