IDW Positionspapier: Fortentwicklung der Unternehmensführung und -kontrolle

Erste Lehren aus dem Fall Wirecard


Carl Ehlers
IDW Positionspapier: Fortentwicklung der Unternehmensführung und -kontrolleKolumne

Dem Vorsitzenden der Regierungskommission Deutscher Corporate Governance Kodex, Rolf Nonnenmacher, wirft man mit Recht vor, dass die rechtswidrigen Vorschriften des Kodex die Ursache für die Unternehmensskandale börsennotierte Konzerne sind.

Inzwischen hat er in einem Interview im Handelsblatt vom 3. Juli 2020 die Absicht geäußert, im Kodex vorzusehen, dass die Wirtschaftsprüfer in der Zukunft den Jahresabschluss von Börsenkonzernen vollständig und ordnungsmäßig nach Aktien- und Handelsrecht zu prüfen, zu beurteilen und zu testieren.

Auch die Wirtschaftsprüfer, denen man vorwirft, bei den Prüfungen versagt zu haben, bemühen sich händeringend um die Verbesserung ihrer ramponierten Reputation. Das Institut der Wirtschaftsprüfer (IdW) hat beispielsweise am 15. Juli 2020 ein Positionspapier mit Vorschlägen verfasst.

Von besonderem Interesse ist der zweite Abschnitt "Corporate Governance der Unternehmen von öffentlichem Interesse". Dort wird in Abschnitt 2.2.5 im Zusammenhang mit IT-Risiken der folgende Vorschlag unterbreitet: "Die Widerstandsfähigkeit von Unternehmen kann auch durch IT-Risiken, z.B. Cyberangriffe, eingeschränkt sein. Das IDW regt daher an, gesetzlich klarzustellen, dass das Risikomanagementsystem des Unternehmens auch IT-Risiken zu umfassen hat. Auch die vorstehend angezeigte Erklärung zur Fortführung der Unternehmenstätigkeit soll Maßnahmen gegen mögliche existenz-bedrohende IT-Risiken um fassen."

Mit diesem Vorschlag, dass gesetzlich klargestellt werden solle, dass "auch IT Risiken" vom Risikomanagementsystem zu berücksichtigen sind, bestätigt das Institut der Wirtschaftsprüfer aufs Neue, dass es seinen Anforderungen nicht gerecht wird.
Das IdW empfiehlt so etwas Banales dem Gesetzgeber allen Ernstes als Fortentwicklung der Unternehmensführung und -kontrolle. Man kann nicht glauben, dass ein Wirtschaftsprüfer, Autor des IDW-Positionspapiers, nicht weiß, was ein Risikomanagementsystem beinhaltet.

Das Positionspapiers des IDW bestätigt die Einschätzung von Experten für wirksame und funktionierende Risikomanagement-Systeme, dass die Mehrzahl der Wirtschaftsprüfer auf dem Gebiet Risikomanagement ein großes Wissensdefizit aufweisen. Das, obwohl das Risikomanagementsystem Bestandteil des Lernstoffs und der Prüfungsordnung für Wirtschaftsprüfer ist. Aber die Praxis zeigt schon seit geraumer Zeit, dass diese wesentlichen Grundlagen keineswegs ausreichend sind. Das liegt daran, dass das Risikomanagementsystem ein System zur Unternehmenssteuerung ist, dass alle betrieblichen Funktionen, Situationen und Aktionen umfassend. Um dies zu beherrschen, ist zum Beispiel neben fortgeschrittenen betriebswirtschaftlichen und methodischen sowie mathematischen Kenntnissen zum Verstehen der Risikobewertung (die weit über die triviale Bewertung von Eintrittswahrscheinlichkeit und Schadensausmaß hinausgeht) auch eine profunde Kenntnis der Führungsmethoden erforderlich.
 
Es ist daher notwendig, dass die Wirtschaftsprüfer die Prüfung des Risikomanagementsystems in einem Konzern übernehmen, zuvor eine umfassende Ausbildung hierüber absolviert haben.

Es ist eine erschreckende Vorstellung, dass auch die Spitzen des IdW, die das IDW-Positionspapier für das Fachinstitut ihres Berufsstandes veröffentlicht haben, um nach dem Wirecard-Skandal mit ihren Empfehlungen zur Verbesserung der Prüfung und Kontrolle der deutschen Konzerne geben, als Wirtschaftsprüfer nicht wissen, dass IT-Risiken schon immer – wie jedes andere Risiko – ein integraler Bestandteil eines Risikomanagementsystems sind. Denn im Risikomanagementsystem werden

  • systemimmanent alle (!) nur denkbaren Risiken eines Unternehmens oder Konzerns regelmäßig konzernweit erfasst, die bei Eintritt zu einer existenzbedrohenden Krise führen können;
  • über das Risikoinventar und die Aggregation der Risiken die Mitglieder der Unternehmensführung über die finanziellen Auswirkungen, aber auch die möglichen Maßnahmen zur Beherrschung der Risiken regelmäßig informiert;
  • der Unternehmensführung bei einem funktionierenden Risikomanagementsystem, basierend auf dem Wissen ihrer Mitarbeiter, die alle Informationen über die Risiken und Chancen gegeben, damit sie das Unternehmen wert- und damit chancen- und risikoorientiert erfolgreich zu führen in der Lage sind.

Autor:

Dr. Carl Ehlers
, Berlin

 

[ Bildquelle: laplateresca - stock.adobe.com ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden