Blindheit der Risikofrüherkennung

Die Insolvenz der Wirecard AG ist das Resultat eines unentdeckt gebliebenen "Fraud-Risikos". Weder der Betrugsfall selbst, noch das konkrete Risiko für einen solchen Betrugsfalls – das Fraud-Risiko – wurden vom unternehmenseigenen Risikomanagement, dem internen Kontrollsystem, der internen Revision oder dem Abschlussprüfer erkannt. Insolvenzen und diesen vorangehende "bestandsgefährdende Entwicklungen" (§ 91 AktG) können natürlich auch durch andere Risiken verursacht werden, wie beispielsweise negative Auswirkungen durch gescheiterte Projekte oder eine makroökonomische Krise (wie die "Corona-Krise").

Der aktuelle spektakuläre Fall Wirecard verweist auf ein grundlegendes Problem: die Risikofrüherkennungssysteme eines großen Teils der Aktiengesellschaften sind nicht in der Lage mögliche "bestandsgefährdende Entwicklungen" aus bestehenden Einzelrisiken oder Kombinationseffekte dieser Einzelrisiken früh zu erkennen, wie es der Gesetzgeber fordert. Dies zeigen regelmäßig Studien, wie aktuell die von Köhlbrandt et al. [Köhlbrandt et al. 2020] und die "Benchmark-Studie Risikomanagement" von Deloitte [Deloitte 2020]. Beunruhigend ist, dass diese Defizite bestehen, obwohl Abschlussprüfer auf die häufig bestehenden schwerwiegenden Mängel gar nicht verweisen. Der Nutzen der Abschlussprüfung ist fraglich, wenn bei einem großen Anteil der Unternehmen Testate erteilt werden, wenn viele Risikofrüherkennungssysteme – leicht belegbar – nicht in der Lage sind mögliche "bestandsgefährdende Entwicklungen" früh zu erkennen. Es besteht Handlungsbedarf.

Aktuelle Studie: Das Risikomanagement vieler Unternehmen erfüllt die gesetzlichen Anforderungen nicht – trotz Bestätigung durch Abschlussprüfer

Die Risikomanagementsysteme vieler Aktiengesellschaften schaffen kaum ökonomischen Mehrwert und erfüllen auch die gesetzlichen Mindestanforderungen aus §§ 91 und 93 AktG nicht. Nicht nur bei spektakulären und überraschenden Insolvenzfällen, von Euromicron (2019) bis Wirecard (2020), findet man auch gravierende Defizite im Risikomanagement. Eine Studie zum Risikomanagement der DAX und MDAX-Unternehmen zeigt beispielsweise folgendes [vgl. Köhlbrandt, J./Gleißner, W./Günther, Th. 2020]:

1. Bei den meisten Unternehmen in DAX und MDAX ist nicht erkennbar, dass diese definieren, was für sie eine "bestandsgefährdende Entwicklung" ist. Damit bleibt zweifelhaft, ob beispielsweise bestandsgefährdende Entwicklungen durch die Verletzung von Kreditvereinbarungen (Covenants) oder von Mindestanforderungen eines Ratings untersucht werden. Die Risikotragfähigkeit wird oft nicht beachtet.
2. Eine "bestandsgefährdende Entwicklung" kann bei keinem Unternehmen völlig ausgeschlossen werden. Eine für Aktionäre nützliche Information über den "Grad der Bestandsgefährdung" findet man allerdings selten. Den Grad der Bestandsgefährdung könnte man durch die Insolvenzwahrscheinlichkeit (bzw. ein Rating als Maß für das Insolvenzrisiko) ausdrücken. Dabei sind die Erkenntnisse von Risikoanalyse und Risikosimulation zu berücksichtigen.
3. Bei vielen Unternehmen muss bezweifelt werden, ob "bestandsgefährdende Entwicklungen" auch aus der Kombinationswirkung mehrerer Einzelrisiken erkannt werden (was der IDWPS 340 und der DIIR Nr. 2 fordern). Die dafür notwendige Risikoaggregation (Monte-Carlo-Simulation), die die Auswirkung auch mehrerer Risiken beispielsweise auf Covenants und das Rating untersucht, wird bei vielen Unternehmen (d.h. knapp drei Viertel) nicht durchgeführt. Bei über 90 % der untersuchten Unternehmen ist aber nicht erkennbar, dass die erforderliche Aggregation der Risiken auch "über die Zeit" (d.h. über mehrere Jahre) durchgeführt wird.
4. Nur bei wenigen Unternehmen ist erkennbar, dass konsequentes Risikomanagement bei der Vorbereitung "unternehmerischer Entscheidungen" (i.S. § 93 Abs. 1 AktG) bereits konsequent einbezogen wird (siehe dazu DIIR RS Nr. 2). Neben Defiziten bei der Risikoquantifizierung selbst zeigt die Studie, dass die Informationen des Risikomanagements noch kaum bei der Bestimmung "erwartungstreuer" Planwerte, der Ableitung des Eigenkapitalbedarfs oder der Kapitalkosten Berücksichtigung finden.

Abb. 01: Ergebnisse zur Risikoaggregation und Bericht an den Gesamtvorstand [Quelle: Köhlbrandt, et al., 2020, S. 254]

Die Tabelle zeigt, dass nur bei einer Minderheit der Unternehmen (9 von 72) ein sachgerechte Risikoaggregation durchgeführt wird, um mögliche "bestandsgefährdende Entwicklungen" auch aus Kombinationseffekten von Einzelrisiken zu erkennen.

Ähnliche Defizite zeigt auch die "Benchmark-Studie Risikomanagement" 2020 von Deloitte. Gemäß der Umfrage von Deloitte nehmen nur bestenfalls 24 % der Unternehmen eine sachgerechte Risikoaggregation vor. 43 % der Unternehmen geben an eine "Addition von Schadenserwartungswerten" vorzunehmen, was nicht hilft, um eine Bestandsgefährdung zu erkennen.
Ein einfaches Beispiel zeigt, dass eine Risikoaggregation über die Berechnung des Gesamtschadenserwartungswerts nicht möglich ist.

Angenommen ein Unternehmen mit Eigenkapital 80 hat genau zwei Risiken, R1 und R2. R1 hat eine erwartete Schadenshöhe von 200 und eine Eintrittswahrscheinlichkeit von 10 %. R2 eine erwartete Schadenshöhe von 100 und eine Eintrittswahrscheinlichkeit von 20 %. Der Gesamtschadenserwartungswert ist damit 200 x 10 % + 100 x 20 % = 40 und kleiner als das Eigenkapital. Aber jeder Risikoeinschlag führt zur Überschuldung und ist bestandsgefährdend.

Die Berechnung des Gesamtschadenserwartungswertes der Risiken ist kein geeignetes Risikoaggregationsverfahren und nicht in der Lage mögliche "bestandsgefährdende Entwicklungen" im Sinne § 91 AktG aus Kombinationseffekten von Risiken zu identifizieren.

Fazit: Ein Risikofrüherkennungssystem, das dieses Verfahren nutzt, erfüllt die gesetzlichen Anforderungen nicht und darf seitens der Abschlussprüfer nicht akzeptiert werden.

Erschreckend ist, dass viele Abschlussprüfer offenbar bisher nicht klarstellen, dass dies kein geeignetes Risikoaggregationsverfahren ist.

Zudem scheinen nach der Deloitte-Studie nur 18 % der Unternehmen die Liquiditätsreserven des Unternehmens mit dem Risikoumfang zu vergleichen, obwohl heute Illiquidität – und nicht Überschuldung – die Hauptbedrohung darstellt.

Das Problem: Die Prüfung durch den Abschlussprüfer

Die gravierenden Defizite zeigen, dass trotz der Prüfung seitens der Abschlussprüfer diese gravierenden Defizite in den Risikomanagementsystemen bestehen, insbesondere in den Bereichen Risikoquantifizierung, Risikoaggregation und der Nutzung von Risikoinformationen bei der Vorbereitung "unternehmerischer Entscheidungen" (§ 93 AktG). Die bisherige Prüfungspraxis ist folglich nicht geeignet. Ein Aktionär kann nämlich nicht darauf vertrauen, dass Unternehmen adäquate Risikomanagementsysteme haben, wenn ein Jahresabschluss uneingeschränkt testiert wird. Es ist notwendig, dass nach der Veröffentlichung des neuen IDW Prüfungsstandards 340 n.F. (Juli 2020) das Risikofrüherkennungssystem konsequenter geprüft wird.

Es ist die zentrale Anforderung aus § 91 AktG darin zu sehen, dass das Risikofrüherkennungssystem mögliche "bestandsgefährdende Entwicklungen" früh erkennt. Diese ergeben sich gelegentlich aus sehr seltenen sogenannten "Extremrisiken", die potenziell sehr hohe Schäden auslösen, wie die aktuelle Corona-Pandemie. In der Regel ergeben sie sich aus Kombinationseffekten von Einzelrisiken. Diese auszuwerten und den Gesamtrisikoumfang zu bestimmen, ist Aufgabe der Risikoaggregation. Damit ist die Risikoaggregation neben der quantitativen Risikoanalyse der zentrale methodische Baustein eines Risikofrüherkennungssystems. Bei der Risikoaggregation muss unter Bezugnahme auf die Unternehmensplanung untersucht werden, wie wahrscheinlich Kombinationen von Einzelrisiken sind, die zur Illiquidität führen. Überschuldung hat heute eine eher nachrangige Bedeutung. Zu beachten sind also die Liquiditätswirkungen von Risiken und die Auswirkungen der Risiken auf das zukünftige Rating und Kreditvereinbarungen (Covenants), die zur Kreditkündigung führen können.

Die entsprechende Forderung zur Prüfung auch der Methoden des Risikomanagements, speziell der Risikoquantifizierung und Risikoaggregationsverfahren, findet man bereits seit 2018 im DIIR Revisionsstandard Nr. 2 (Deutsches Institut für interne Revision). Auf die Notwendigkeit der Risikoaggregation mittels Monte-Carlo-Simulation wurde das IDW im Zusammenhang mit der Überarbeitung des IDWPS 340 von einer Gruppe von 16 Hochschullehrern hingewiesen [siehe Angermüller et al. 2020].
Im Allgemeinen kann man sehr leicht nachweisen, dass Risikomanagementsysteme den gesetzlichen Anforderungen nicht genügen [siehe Gleißner 2020]. Damit stellt sich die Frage, warum Abschlussprüfer oft leicht erkennbare Defizite "ignorieren". Hierfür kann man sich eine Reihe von Gründen vorstellen, die sich aus der Situation und Interessenslage der Wirtschaftsprüfungsgesellschaften ergeben. Diese reichen von einem Mangel an geeigneten Mitarbeitern für die Prüfung von Risikoaggregationsverfahren bis hin zur Vermutung, dass Abschlussprüfer einen Konflikt mit Mandanten, von denen sie bezahlt werden, vermeiden möchten [siehe eine Übersicht bei Gleißner 2020].

Fazit: Konsequentere Prüfung ist nötig!

Die Risikomanagementsysteme deutscher Aktiengesellschaften weisen gravierende Defizite auf, die bestehen, obwohl diese durch den Abschlussprüfer geprüft werden (siehe IDWPS 340 n.F.). Die bisherigen Prüfungen, speziell der Verfahren für die Risikoaggregation, sind weitgehend wirkungslos, wie die Nutzung völlig ungeeigneter Verfahren bei einer Vielzahl von Unternehmen belegt [siehe Deloitte 2020]. Eine konsequente Prüfung der Methoden des Risikomanagements, speziell auch der Risikoaggregation, ist erforderlich, will man die Aktivitäten der Wirtschaftsprüfer in diesem Bereich weiter rechtfertigen [siehe kritische dazu Straubhaar 2020].

Quellenverzeichnis sowie weiterführende Literatur

• Angermüller, N. O./Berger, Th. B./Blum, U./Erben, R. F./Ernst, D./Gleißner, W./Grundmann, Th./Heyd, R./Hofmann, K. H./Mayer, Ch./Meyer, M./Rieg, R./Schneck, O./Ulrich, P./Vanini, U. (2020): Gemeinsame Stellungnahme zum IDW EPS 340, https://www.idw.de/blob/121892/bdef576a6a3bff52ee039511482c6057/down-idweps340nf-gem-stn-hochschullehrer-rm-data.pdf, Stand 17.02.2020.
• Berger, T./Gleißner, W. (2007): Risikosituation und Stand des Risikomanagements aus Sicht der Geschäftsberichterstattung, in: ZCG – Zeitschrift für Corporate Governance, Heft 2/2007, April 2007, S. 62-68.
• Deloitte (2020): Benchmarkstudie Risikomanagement 2020. Ausgestaltung von Risikomanagementsystemen nach IDW PS 981 und IDW 340 n.F., Download unter: https://www2.deloitte.com/de/de/pages/audit/articles/risikomanagement-benchmarkstudie-2020.html (abgerufen am 09.07.20).
• Gleißner, W. (2018): Risikomanagement 20 Jahre nach KonTraG: Auf dem Weg zum entscheidungsorientierten Risikomanagement, in: Der Betrieb vom 16.11.2018, Heft 46, S. 2769-2774.
• Gleißner, W. (2020): Wie beweist man, dass das Risikomanagement den Anforderungen der §§ 91 und 93 AktG nicht genügt (obwohl bestätigende Prüfberichte der Wirtschaftsprüfer existieren)?, in: RWZ, Heft 7-8/2020 (August 2020), S. 273-280.
• Gleißner, W./Kimpel, R. (2019): Prüfung des Risikomanagements und der neue DIIR Revisionsstandard Nr. 2, in: ZIR, Heft 4/2019, S. 148-159.
• Köhlbrandt, J./Gleißner, W./Günther, Th. (2020): Umsetzung gesetzlicher Anforderungen an das Risikomanagement in DAX- und MDAX-Unternehmen. Eine empirische Studie zur Erfüllung der gesetzlichen Anforderungen nach den §§ 91 und 93 AktG, in: Corporate Finance, Heft Nr. 07-08/2020, S. 248-258.
• RiskNET (2020): Die nächsten Baustellen im Risikomanagement. Unkenntnis über IDWPS 340 n.F., Abruf unter: https://www.risknet.de/themen/risknews/die-naechsten-baustellen-im-risikomanagement/ (07.07.2020).
• Straubhaar, Th. (2020): Das Wirecard-Versagen offenbart die Rückständigkeit der Kontrolleure, 02.07.2020, https://www.welt.de/wirtschaft/article210873329/Zeitalter-der-herkoemmlichen-Wirtschaftspruefung-ist-abgelaufen.html (abgerufen am 13.07.2020).
• Wolfrum, M. (2020): Der Fall Euromicron AG – Beispiel für die Nutzlosigkeit von Risikomanagementtestaten durch den Wirtschaftsprüfer, in: Jahrbuch Risikomanagement 2020, Risikomanagement-Schriftenreihe der RMA (erscheint in Kürze).