Suche
deen

Wirtschaftsprüfung

Risikomanagement im Wandel - Neue Anforderungen an die Ausgestaltung und Prüfung

Für Un­ter­neh­men stei­gen an­ge­sichts der zu­neh­men­den glo­ba­len Un­si­cher­hei­ten, pan­de­mi­scher Ri­si­ken und Nach­hal­tig­keits­ri­si­ken die An­for­de­run­gen an das Ri­si­ko­ma­nage­ment. Nur durch ein um­fas­sen­des und ro­bus­tes Ri­si­kofrüher­ken­nungs­sys­tem können die Ri­si­ken in der Lie­fer­kette frühzei­tig iden­ti­fi­ziert und be­stands- und li­qui­ditätsgefähr­dende Ri­si­ken pro­ak­tiv ge­steu­ert wer­den. Neue Hin­weise gibt hierfür der im Juli 2020 über­ar­bei­tete IDW Prüfungs­stan­dard PS 340 n.F. „Die Prüfung des Ri­si­kofrüher­ken­nungs­sys­tems“.

Effektive Risikofrüherkennung - nicht nur für Aktiengesellschaften

Die ge­setz­li­che An­for­de­rung zur Ein­rich­tung ei­nes Ri­si­kofrüher­ken­nungs­sys­tems er­gibt sich aus § 91 Abs. 2 AktG, wo­bei schon bis­her von ei­ner Aus­strah­lungs­wir­kung auf an­dere Rechts­for­men, insb. GmbHs aus­zu­ge­hen war. Diese An­for­de­rung wurde erst kürz­lich durch das Ge­setz über den Sta­bi­li­sie­rungs- und Re­struk­tu­rie­rungs­rah­men für Un­ter­neh­men, kurz StaRUG, ko­di­fi­ziert. Nach den Vor­ga­ben des § 91 Abs. 2 AktG hat der Vor­stand bzw. die Ge­schäftsführung „ge­eig­nete Maßnah­men zu tref­fen, insb. ein Über­wa­chungs­sys­tem ein­zu­rich­ten, da­mit den Fort­be­stand der Ge­sell­schaft gefähr­dende Ent­wick­lun­gen früh er­kannt wer­den“. Bei börsen­no­tier­ten Ak­ti­en­ge­sell­schaf­ten (AG) ist die Wirk­sam­keit die­ses Ri­si­kofrüher­ken­nungs­sys­tems für be­stands­gefähr­dende Ri­si­ken gemäß § 317 Abs. 4 HGB re­gelmäßig durch den Ab­schlussprüfer zu be­ur­tei­len. Aber auch bei al­len an­de­ren Un­ter­neh­men kann eine frei­wil­lige Prüfung der Do­ku­men­ta­tion der Ein­hal­tung der all­ge­mei­nen Sorg­falts­flicht der Ge­schäftsführung die­nen („busi­ness jud­ge­ment rule“).

Neue Herausforderungen und Anforderungen

Die re­le­van­ten An­for­de­run­gen an die Ri­si­kofrüher­ken­nungs- und Über­wa­chungs­sys­teme von AGs kon­kre­ti­siert seit dem Jahr 2000 der IDW PS 340, der seit­her so­wohl die Ba­sis für die Prüfung die­ser Sys­teme dar­stellt als auch - zu­sam­men mit dem IDW PS 981 - als Maßstab für die grundsätz­li­che Aus­ge­stal­tung der Sys­teme al­ler an­de­ren Un­ter­neh­men her­an­ge­zo­gen wer­den kann. Die im Jahr 2020 ak­tua­li­sierte Fas­sung des IDW PS 340 n.F. passt den Stan­dard an die all­ge­meine Wei­ter­ent­wick­lung in der Cor­po­rate Go­ver­nance an und stellt insb. klar, dass die Früher­ken­nung be­stands­gefähr­den­der Ent­wick­lun­gen auf der Ba­sis der un­ter­neh­mens­in­di­vi­du­el­len Ri­si­ko­tragfähig­keit zu er­fol­gen hat, wo­bei die Ri­si­ken zur Ein­schätzung der Ge­samt­ri­si­ko­si­tua­tion zu ag­gre­gie­ren sind.

Unternehmensindividuelle Risikotragfähigkeit

Die ak­tu­el­len Ent­wick­lun­gen ma­chen deut­lich, wie un­ter­schied­lich die Ge­schäfts­mo­delle von Ri­si­ken be­trof­fen sind und wie in­di­vi­du­ell die Un­ter­neh­men dar­auf rea­gie­ren. Als Ba­sis für die Be­ur­tei­lung be­stands­gefähr­dende Ent­wick­lun­gen stellt der IDW PS 340 n.F. kon­se­quen­ter­weise auf die in­di­vi­du­elle Ri­si­ko­tragfähig­keit des je­wei­li­gen Un­ter­neh­mens ab, wo­bei diese von der wirt­schaft­li­chen Lage des Un­ter­neh­mens ebenso abhängt wie von sei­nen Möglich­kei­ten zur Ka­pi­tal­auf­brin­gung.

Zur Er­mitt­lung der Ri­si­ko­tragfähig­keit können so­wohl quan­ti­ta­tive als auch qua­li­ta­tive Me­tho­den her­an­ge­zo­gen wer­den. Glei­chermaßen prag­ma­ti­sch wie aus­sa­gekräftig sind Kenn­zah­len, die auf den Zu­sam­men­hang zwi­schen be­stands­gefähr­den­den Ri­si­ken und der In­sol­venz­wahr­schein­lich­keit ei­nes Un­ter­neh­mens ab­stel­len, etwa weil bei ih­rem Ein­tritt eine Kre­dit­ver­ein­ba­rung („Co­ven­ant“) ver­letzt oder eine Min­dest­an­for­de­rung an das Ra­ting un­ter­schrit­ten wird, mit der Folge ei­ner Kre­ditkündi­gung.

Konzernweite Risikoaggregation

Aus­gangs­punkt für die ge­for­derte Ri­si­ko­ag­gre­ga­tion ist wie bis­her die sys­te­ma­ti­sche Be­wer­tung der iden­ti­fi­zier­ten Ri­si­ken im Hin­blick auf ihre Ein­tritts­wahr­schein­lich­keit und ihre mögli­chen Aus­wir­kun­gen. Da­bei sind die be­kann­ten Ri­si­ken der Ver­gan­gen­heit zwin­gend um sol­che Ri­si­ken zu ergänzen, die sich aus den zu­neh­men­den An­for­de­run­gen an Un­ter­neh­men er­ge­ben, etwa an die Di­gi­ta­li­sie­rung des Ge­schäfts­mo­dells oder seine Nach­hal­tig­keit.

Al­ler­dings er­ge­ben sich be­stands­gefähr­dende Ent­wick­lun­gen häufig nicht aus iso­lier­ten Ein­zel­ri­si­ken und ih­rer Ad­di­tion, son­dern aus ih­rer Kom­bi­na­tion und un­ter Berück­sich­ti­gung wech­sel­sei­ti­ger Abhängig­kei­ten, wel­che die Ri­si­ko­wir­kun­gen so­wohl verstärken als auch kom­pen­sie­ren können. Diese Ag­gre­ga­tion hat me­tho­di­sch fun­diert auf der Ba­sis ei­nes quan­ti­ta­ti­ven oder qua­li­ta­ti­ven Ver­fah­rens zu er­fol­gen, wo­bei alle po­ten­ti­ell be­stands­gefähr­den­den Sze­na­rien zu un­ter­su­chen sind. Zur Be­stim­mung der Aus­wir­kun­gen auf die zu­vor de­fi­nier­ten Kenn­zah­len eig­nen sich z. B. Ex­per­ten­schätzun­gen oder Sze­na­rio­ana­ly­sen wie das in der Pra­xis häufig an­ge­wen­dete Monte-Carlo-Si­mu­la­ti­ons­ver­fah­ren.

Umsetzung, Prüfung und Berichterstattung

Für den Ab­schlussprüfer ei­ner börsen­no­tier­ten AG rücken durch den IDW PS 340 n.F. die ein­ge­setz­ten Ver­fah­ren stärker in den Fo­kus der Prüfung. Stellt er bei sei­ner Prüfung we­sent­li­che Mängel des Ri­si­kofrüher­ken­nungs­sys­tems fest, ist dies zu­dem nun stets im Prüfungs­be­richt dar­zu­stel­len und die Erklärung zum Ri­si­kofrüher­ken­nungs­sys­tem im Prüfungs­be­richt ein­zu­schränken. Bei um­fas­sen­den Mängeln, die nicht auf be­stimmte Teile der Maßnah­men nach § 9 Abs. 2 AktG ein­zu­gren­zen sind, ist die Aus­sage im Prüfungs­be­richt zu ver­sa­gen. Die Erst­an­wen­dung des IDW PS 340 n.F. durch den Ab­schlussprüfer ist für Ge­schäfts­jahre ver­pflich­tend, die nach dem 31.12.2020 be­gon­nen ha­ben.

Un­ter­neh­men sind also gut be­ra­ten, ihre Ri­si­kofrüher­ken­nungs­sys­teme auf den Prüfstand zu stel­len und so­fern noch nicht ge­sche­hen, an die An­for­de­run­gen des neuen Stan­dards an­zu­pas­sen.

Nikolaus Krenzel, Thorsten Klümper, 01.02.2021 nach oben

Das könnte Sie auch interessieren

Di­gi­tal Ope­ra­tio­nal Re­si­li­ence Act - Neue­run­gen für Fi­nanz­un­ter­neh­men und kri­ti­sche IT-Dienst­leis­ter

Die Di­gi­ta­li­sie­rung im Bank­ge­schäft schrei­tet im­mer wei­ter voran. Hier­durch wer­den The­men der IT-Si­cher­heit so­wie Cy­ber­ri­si­ken in Fi­nanz­un­ter­neh­men und bei den da­hin­ter­ste­hen­den IT-Dienst­leis­tern im­mer präsen­ter. Man­gels ein­heit­li­cher Re­gu­lie­rung für den Fi­nanz­sek­tor in der EU sind die IT-Si­cher­heits­min­dest­stan­dards, wel­che Fi­nanz­un­ter­neh­men um­set­zen müssen, in den ein­zel­nen EU-Mit­glied­staa­ten bis­lang stark un­ter­schied­lich aus­geprägt.  ...lesen Sie mehr

10. Bran­chen­dia­log Agrar & Ernährung: Top-Ent­schei­der aus der In­dus­trie im Ge­spräch mit Fi­nanz-Ex­per­ten

Zum Ju­biläum der führen­den Dia­log­platt­form der Bran­che hat­ten sich auf Ein­la­dung von Eb­ner Stolz auch in die­sem Jahr wie­der rund 150 hoch­karätige Teil­neh­mer aus In­dus­trie und Fi­nanz­wirt­schaft an­ge­sagt, um sich zu den ak­tu­el­len Pro­ble­men, neuen Ent­wick­lun­gen und künf­ti­gen Her­aus­for­de­run­gen der Agrar- und Ernährungs­in­dus­trie aus­zu­tau­schen.  ...lesen Sie mehr

In­for­ma­ti­ons­ri­si­ko­ma­nage­ment als IT-spe­zi­fi­sche An­for­de­rung der Fi­nanz­auf­sicht – Her­aus­for­de­run­gen bei der Um­set­zung in der Pra­xis

Spätes­tens seit der Veröff­ent­li­chung der bank­auf­sicht­li­chen An­for­de­run­gen an die IT im No­vem­ber 2017 ist der Um­gang mit Ri­si­ken aus der In­for­ma­ti­ons­tech­no­lo­gie ein we­sent­li­cher Be­stand­teil des Ri­si­ko­ma­nage­ments ei­nes je­den In­sti­tuts. Hier­bei er­gibt sich die stei­gende Re­le­vanz für das Ma­nage­ment IT-spe­zi­fi­scher Ri­si­ken nicht nur aus den re­gu­la­to­ri­schen An­for­de­run­gen, son­dern auch aus ei­ner ge­stie­ge­nen Be­dro­hungs­lage für die IT der Un­ter­neh­men so­wie ei­ner zu­neh­men­den Di­gi­ta­li­sie­rung von Ge­schäfts­mo­del­len und -pro­zes­sen. Wie die Pra­xis der letz­ten Jahre je­doch ge­zeigt hat, stellt die kon­krete Aus­ge­stal­tung ei­nes an­ge­mes­se­nen und gleich­zei­tig prak­ti­ka­blen In­for­ma­ti­ons­ri­si­ko­ma­nage­ments die meis­ten In­sti­tute vor er­heb­li­che Her­aus­for­de­run­gen. Oft­mals be­ginnt die Schwie­rig­keit im Rah­men der Um­set­zung be­reits bei einem ein­heit­li­chen Verständ­nis des Ri­si­ko­be­griffs und setzt sich über die Aus­wahl ei­nes ge­eig­ne­ten Ri­si­ko­ma­nage­ment­pro­zess­mo­dells, der auf­bau- und ab­lauf­or­ga­ni­sa­to­ri­schen Aus­ge­stal­tung so­wie der In­te­gra­tion in das Ge­samt­ri­si­ko­ma­nage­ment des In­sti­tuts fort. Wir möch­ten ein grundsätz­li­ches Verständ­nis für die Sys­te­ma­tik ei­nes ganz­heit­li­chen In­for­ma­ti­ons­ri­si­ko­ma­nage­ment-Sys­tems ver­mit­teln. Zu­dem zei­gen wir we­sent­li­che Her­aus­for­de­run­gen und Lösungs­ansätze aus der Pra­xis auf.  ...lesen Sie mehr

Ge­setz zur Stärkung der Fi­nanz­markt­in­te­grität ver­ab­schie­det

Der Bun­des­tag ver­ab­schie­dete am 21.05.2021 das sog. Fi­nanz­markt­in­te­gritätsstärkungs­ge­setz, kurz FISG, und be­reits am 28.05.2021 er­teilte der Bun­des­rat seine Zu­stim­mung. Das Ge­setz­ge­bungs­ver­fah­ren wurde so­mit im Eil­tempo mit verkürz­ten Be­ra­tungs­fris­ten durch­geführt, wo­bei am 09.06.2021 der Bun­des­tag be­reits er­ste Kor­rek­tu­ren be­schlos­sen hat. Da­bei blieb lei­der die In­ter­es­sen­ver­tre­tung der Ab­schlussprüfung weit­ge­hend „ohne Gehör“. Das Ge­setz tritt grundsätz­lich zum 01.07.2021 und 01.01.2022 in Kraft, le­dig­lich für die ex­terne Ro­ta­tion gel­ten un­ter be­stim­men Vor­aus­set­zun­gen Überg­angs­fris­ten von bis zu zwei Jah­ren.  ...lesen Sie mehr