Benchmark-Studie PS340

Umsetzung wirksamer Risikofrüherkennungssysteme


Benchmark-Studie PS340: Umsetzung wirksamer Risikofrüherkennungssysteme Studie

Bereits seit dem Jahr 1998 sind Unternehmen verpflichtet, ein Risikofrüherkennungssystem im Unternehmen wirksam umzusetzen, um bestandsgefährdende Entwicklungen rechtzeitig zu erkennen. Basierend auf § 91 Abs. 2 AktG (resultierend aus dem Artikelgesetz Gesetz zur Kontrolle und Transparenz im Unternehmensbereich, KonTraG) müssen Unternehmen ein Risikofrüherkennungssystem einrichten. Der Gesetzgeber hat im Jahr 1998 darauf verzichtet, für die Geschäftsführung einer GmbH eine ähnliche Regelung in das GmbH-Gesetz (GmbHG) aufzunehmen, sondern vielmehr in seiner Gesetzesbegründung festgestellt: "Es ist davon auszugehen, dass für Gesellschaften mit beschränkter Haftung je nach ihrer Größe, Komplexität ihrer Struktur usw. nichts anderes gilt und die Neuregelung (des Aktiengesetzes) Ausstrahlungswirkung auf den Pflichtenrahmen der Geschäftsführer auch anderer Gesellschaftsformen hat" (Bundestags-drucksache Nr. 13/9712, S. 15).

Ein Blick in die Praxis und Erfahrungen aus Unternehmenskrisen präsentieren nicht selten ein anderes Bild: Risikomanagement ist häufig eher vergleichbar mit einem "Potemkinschen Dorf". Bei einer oberflächlichen Analyse wirkt das Risikomanagement ausgearbeitet und beeindruckend, es fehlt aber an Substanz. Warum? Risikomanagement wird sehr häufig aus einer reinen "Compliance"-Perspektive umgesetzt, was vor allem dazu führt, dass Unmengen an Risiken dokumentiert und konserviert werden (Risiken werden in einer Art "Risikobuchhaltung" erfasst und konserviert). Sinn und Zweck ist hierbei nicht, Risikomanagement im Sinne einer risiko- und wertorientierten Unternehmenssteuerung oder gar einer "Frühwarnung" zu betreiben, sondern primär die gesetzlich definierten Anforderungen zu erfüllen. Was allerdings durch derartige rückspiegelorientierte Dokumentationssystem auch nicht gelingen kann.

Monitoring des "Gesundheitszustands" gelingt nur bedingt

Was häufig fehlt, ist eine Fokussierung auf die potenziellen, so genannten bestandsgefährdenden Entwicklungen in der Zukunft sowie das Monitoring des "Gesundheitszustands" über geeignete Frühwarnindikatoren. Also exakt das, was das Gesetz seit dem Jahr 1998 fordert. Ein wichtiges Instrument zur Risikoidentifikation sind Frühwarnsysteme, mit deren Hilfe Frühwarnindikatoren rechtzeitig latente (d. h. verdeckt bereits vorhandene) Risiken oder schwache Signale aufzeigen, sodass noch hinreichend Zeit für die Ergreifung geeigneter Maßnahmen zur Abwendung oder Reduzierung besteht. Frühwarnsysteme verschaffen dem Unternehmen Zeit für Reaktionen und optimieren somit die Steuerbarkeit eines Unternehmens, d. h. sie tragen zur Reduzierung potenzieller "Überraschungen" bzw. Risiken bei. Und sie erhöhen die Robustheit bzw. den "Gesundheitszustand" und reduzieren im Umkehrschluss die Bestandsgefährdung eines Unternehmens.

Und das Erkennen von bestandsgefährdenden Entwicklungen durch kumulierende Effekte und die Identifikation sowie das kontinuierliche Monitoring relevanter Kennzahlen zur Messung der Bestandsgefährdung bedingt Methodenkompetenz, beispielsweise über den Aufbau von Frühwarnsystemen, das Erkennen "schwacher Signale", eine quantitative Bewertung von Risiken sowie Methoden zur Risikoaggregation. Und exakt hier liegen in der Praxis häufig massive Defizite. Im Ergebnis führt dies zu dem Resultat, dass eine Mehrzahl der eingeführten Risikomanagementsysteme schlicht und einfach unwirksam ist. Dies zeigt auch ein regelmäßiger Blick in die Risikoberichterstattung der Unternehmen, die entweder in eine Schieflage geraten sind oder die sich bereits in der Insolvenz befinden. So können wir im Risikobericht (siehe Geschäftsbericht zum 31.12.2018) der Wirecard AG gleich 43-mal den Begriff Risikomanagement lesen. Hierbei wird an verschiedenen Stellen auf den hohen Reifegrad und die Erfüllung internationaler Standards (bspw. die ISO 31000) verwiesen. Tatsächlich zeigt eine nähere Betrachtung, dass das (vom Wirtschaftsprüfer testierte) Risikomanagementsystem offenkundig gravierende Defizite aufwies, beispielsweise weil adäquate Verfahren zur Risikofrüherkennung sowie für die Risikoaggregation fehlten.

Neue gesetzliche Anforderungen an Frühwarnsysteme

Ergänzend zu § 91 Abs. 2 AktG gibt es mit dem StaRUG (Gesetz über den Stabilisierungs- und Restrukturierungsrahmen für Unternehmen) seit dem 01.01.2021 in Deutschland ein für Risiko- und Krisenfrüherkennung wesentliches neues Gesetz. Das StaRUG präzisiert und erweitert vorhandene gesetzliche Regelungen. Es betrifft neben Aktiengesellschaften ausdrücklich auch andere juristische Personen, insbesondere mittelständische GmbHs. Mit den neuen Regelungen zum sogenannten Restrukturierungsplan sollen mehr Möglichkeiten für Unternehmen in einer Krise geschaffen werden, diese Krise ohne eine Insolvenz zu bewältigen. Der aus einem darstellenden und gestaltenden Teil bestehende Restrukturierungsplan erläutert neben den Krisenursachen insbesondere die zur Krisenbewältigung erforderlichen Maßnahmen (§ 6 StaRUG). Zudem werden Unternehmen mit § 1 StaRUG verpflichtet ein Krisenfrüherkennungssystem zur Identifikation möglicher "bestandsgefährdender Entwicklungen" zu etablieren, was die Durchführung von Risikoanalyse und Risikoaggregation bedingt.

Überarbeitung des Prüfungsstandards IDWPS 340

Auch der vom Institut der Wirtschaftsprüfer (kurz: IDW) herausgegebene Prüfungsstandard 340 beinhaltet die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB. Der im Jahr 1999 erstmalig beschlossenen Standard fordert u.a. eine durchgehende Quantifizierung der erkannten fundamentalen Risiken an, da dies eine notwendige Voraussetzung zur späteren Risikoaggregation darstellt. Ein häufiger Fehler seitens der Unternehmen liegt darin, dass Risiken weder quantifiziert noch aggregiert werden und somit eine Bestandsbedrohung überhaupt nicht erkannt werden kann. 

Eine Aggregation (d. h. Berechnung des gesamten Risikoportfolios inkl. Abhängigkeiten) ist in besonderem Maße notwendig, da spezifische Einzelrisiken meist im Zusammenwirken mit anderen Risikopositionen – durch Kumulationseffekte – erst gefährdend für den Fortbestand der Unternehmung wirken. Bereits der "alte" IDWPS 340 schreibt in dem Zusammenhang vor: "Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können."

Der im Jahr 2020 überarbeitete Prüfungsstandard konkretisiert damit vor allem Anforderungen, die bereits in der Vergangenheit für Risikofrüherkennungssysteme galten und orientiert sich hierbei auch an weiteren Standards, beispielsweise dem im November 2018 veröffentlichte Revisionsstandard "Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision" des Deutsches Institut für Interne Revision e.V. (DIIR), der die Relevanz der Risikoaggregation zur Bestimmung des Gesamtrisikoumfangs hervorhebt. Dort wird auch klar auf "quantifizierte Einzelrisiken" verwiesen. Denn sowohl die Risikoaggregation als auch die Ermittlung der Risikotragfähigkeit bedingt zwingend eine Quantifizierung.

Die Zahl ist das Wesen aller Dinge

Die Zahl ist das Wesen aller Dinge, hat einst der berühmte Philosoph Pythagoras von Samos (570-510 v. Chr.) gesagt. Wir leben in einer Welt von Zahlen. Zahlen begegnen uns tagtäglich und überall, beim Autofahren, in der Bank, vor dem Computer, beim Einkaufen, beim Telefonieren oder bei der täglichen Zeitungslektüre. Auf der einen Seite lieben wir Zahlen, da sich so die Welt und viele Themen bequem systematisieren und ordnen lassen. Auf der anderen Seite ist Mathematik, das Rechnen mit Zahlen, unbeliebt und die Fähigkeiten der meisten Mitarbeiter in Unternehmen, mathematische Methoden praxisorientiert anzuwenden, erscheinen auf die vier Grundrechenarten beschränkt.

Im IDWPS 340 wird in Abschnitt A18 fälschlicherweise im Zusammenhang von Methoden zur Risikoaggregation von unterschiedlich anerkannten quantitativen und qualitativen Verfahren gesprochen, ohne derartige Methoden näher zu erläutern. Ein Blick in die Praxis und Wissenschaft zeigt, dass derartige qualitative Verfahren nicht existieren, die es ermöglichen würde a) Risiken zu aggregieren und b) hieraus eine Bestandsgefährdung abzuleiten.

Im Jahr 2021 hat das Kompetenzportal RiskNET in Kooperation mit dem norwegischen Unternehmen Corporater die Benchmark-Studie "PS 340: Umsetzung wirksamer Risikofrüherkennungssysteme" durchgeführt. An der empirischen Umfrage haben insgesamt 164 Unternehmen aus unterschiedlichen Branchen und Größenklassen teilgenommen. 

Nachfolgend sind die wesentlichen Ergebnisse der Studie zusammengefasst:

  • Fast zwei Drittel der befragten Unternehmen verfügen über eine dokumentierte Risikostrategie – hier zeigt sich vor allem ein hoher Reifegrad bei Banken und Versicherungen.
  • 64 % der Unternehmen, die über noch keine dokumentierte Risikostrategie verfügen, werden diese kurz- bzw. mittelfristig entwickeln. Hierbei handelt es sich durchgängig um keine Finanzdienstleister (die alle bereits über eine solche verfügen).
  • 63 % der befragten Unternehmen, die aktuell noch über keinen Ansatz zur Berechnung des Risikodeckungspotenzials (RDP) verfügen, haben keine Pläne, in naher Zukunft ein Risikotragfähigkeitskonzept bzw. ein Ansatz zur Berechnung des Risikodeckungspotenzials (RDP) zu entwickeln und zu dokumentieren. Dies ist umso erstaunlicher, als dass die gesetzlichen Anforderungen an das frühzeitige Erkennen einer Bestandsbedrohung (siehe § 91 Abs. 2 AktG sowie StaRUG) nicht erfüllt werden können.
  • Die "größte Baustelle" bei der Umsetzung einer gelebten Risikokultur sehen rund 60 % der Unternehmen in der fehlenden Unterstützung vom mittleren Management ("Tone from the middle") – weit vor einer fehlenden Unterstützung durch das Top-Management ("Tone from the top").
  • 52 % der befragten Unternehmen haben angeben, dass zwischen Performance- sowie Finanz- und Risikomanagement bereits heute eine Verknüpfung erfolgt.
  • Bei den Unternehmen, die bisher über keine Verknüpfung von Performance-/ Finanz- und Risikomanagement verfügen, planen rund ein Viertel eine Verknüpfung in der Zukunft. Und immerhin 61 % der Befragten erwägen eine Verknüpfung.
  • Nur 18 % der Unternehmen führen regelmäßig dedizierte Risk Assessments (beispielsweise in Form von Szenarioanalysen) zu strategischen Risiken mit der Geschäftsleitung durch. Diese Aussage sollte vor dem Hintergrund kritisch betrachtet werden, dass eine große Anzahl der bestandsbedrohenden Entwicklungen aus "strategischen Risikoeintritten" resultiert.
  • Rund 50 % der Unternehmen arbeiten mit semi-quantitativen oder rein qualitativen Ansätzen zur Risikobewertung, was im Umkehrschluss bedeutet, dass eine "Bestandsbedrohung" des Unternehmens nicht ermittelt werden kann.
  • Nur 36 % der befragten Unternehmen bewerten Risiken mithilfe geeigneter und für das jeweilige Risiko passende Verteilungsfunktionen, was die Grundlage für eine fundierte Risikoaggregation liefert.
  • 37 % der Unternehmen ermitteln die Gesamtrisikoposition auf Basis einer "Expertenschätzung", was sicherlich kein methodisch solides Fundament für die Ermittlung einer "Bestandsbedrohung" darstellt.
  • Die quantitative Bewertung der ökonomischen Sinnhaftigkeit von Maßnahmen erfolgt in der Praxis bei einer Mehrzahl der Unternehmen (59 %) basierend auf einer "Experten-Schätzung".
  • Readyness IDWPS 340 n.F.: Der Erfüllungsgrad der Anforderungen aus dem IDWPS 340 werden im Durchschnitt mit 60 Prozent bewertet.

 

[vimeo:659232797]

 

[vimeo:643368448]

 

[ Bildquelle Titelbild: Adobe Stock.com / Anatoly Stojko ]
Risk Academy

Die Intensiv-Seminare der RiskAcademy® konzentrieren sich auf Methoden und Instrumente für evolutionäre und revolutionäre Wege im Risikomanagement.

Seminare ansehen
Newsletter

Der Newsletter RiskNEWS informiert über Entwicklungen im Risikomanagement, aktuelle Buchveröffentlichungen sowie Kongresse und Veranstaltungen.

jetzt anmelden
Lösungsanbieter

Sie suchen eine Softwarelösung oder einen Dienstleister rund um die Themen Risikomanagement, GRC, IKS oder ISMS?

Partner finden
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.