Vor ein paar Tagen wurde die Neufassung des IDW Prüfungsstandards IDW EPS 340 zur Überprüfung von Corporate-Governance-Systemen verabschiedet.
Der Entwurf trägt den geänderten Rahmenbedingungen Rechnung, die aufgrund des KonTraG zu Weiterentwicklungen in der Einrichtung und Prüfung von Corporate Governance Systemen geführt haben.
(Stellungnahmen zum Entwurf EPS 340 sind bis zum 15. Januar 2020 möglich.)
Unter anderem werden folgende Aspekte im IDW EPS 340 berücksichtigt:
- Konkretisierung der Grundelemente eines Risikofrüherkennungssystems in Anlehnung an die zur Einrichtung und Prüfung von Risikomanagement- und Compliance-Management-Systemen entwickelten Grundelemente (vgl. IDW PS 980 und IDW PS 981)
- Betonung der Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit und Risikoaggregation
- Klarstellungen zur Ausgestaltung der Maßnahmen nach § 91 Abs. 2 AktG bei Konzernen
- Klarstellungen zur Betrachtung von „Netto-Risiken“ sowie zur Risikosteuerung als Bestandteil der zu prüfenden Grundelemente eines Risikofrüherkennungssystems
- Verdeutlichung der Dokumentationspflichten des Unternehmens unter Berücksichtigung der zwischenzeitlich ergangenen Rechtsprechung
Besonders hervorzuheben sind hier sicherlich die Punkte der Risikotragfähigkeit und Risikoaggregation sowie der Betrachtung von „Netto-Risiken“. Letztendlich zwingen diese Vorgaben die Unternehmen dazu, Risiken quantitativ zu betrachten. Doch hier liegt die Krux: oft genug tun sich die Mitarbeiter schwer, Risiken konkret mit Zahlen zu belegen und weichen lieber auf qualitative Beschreibungen aus. Hier gilt es, den Mitarbeitern konkrete Handlungsempfehlungen mitzugeben, damit Risiken im Unternehmen einheitlich und quantitativ bewertet werden. Das bedeutet für die Risikomanager immer wieder die Gespräche mit den Kollegen zu suchen, die die Risiken melden und mit ihnen die Auswirkungen für das Unternehmen zu erarbeiten.
Die Aggregation von Risiken und die Kopplung an die Risikotragfähigkeit ist nur mit quantitativen Ansätzen möglich. Ob Monte Carlo Simulation, Szenario-Technik o.ä., letztendlich ist es dem zentralen Risikoteam überlassen, mit welchen statistischen Verfahren das Risiko eines Unternehmens berechnet wird. Doch tappt man dann nicht in die Falle der Scheingenauigkeit? Und wie komplex dürfen die entsprechenden Reportings an die Unternehmensleitung sein, um noch verstanden zu werden? Fragen, die sich sicher nicht pauschal beantworten lassen und die abhängig sind von der Risikokultur des einzelnen Unternehmens.
Eine Gartner Studie unterstreicht den Ansatz des EPS 340 hinsichtlich der Quantifizierung von Risiken. Laut der Studie haben Informationen aus Risikoberichten häufig keinen Einfluss auf die Entscheidungsfindung der Unternehmensleitung, da keine gute Datenqualität vorliegt und die Daten nicht belastbar seien. Gartner kommt zu dem Schluss, dass quantitative Risikoinformationen und die verstärkte Nutzung von Schlüssel-Indikatoren die Berichterstattung deutlich verbessern und den Entscheidungsträgern einen einfacheren Zugang zu relevanten Risikoinformationen ermöglichen.
Die ERM-Verantwortlichen stehen daher vor der Herausforderung, komplexe Risikoinformationen mit belastbarem Datenmaterial in ein leicht verständliches Risikoreporting zu überführen. Gartner sieht hierzu drei Möglichkeiten:
- Risikoberichte müssen einfach zu lesen sein
Graphiken und klare, einfache Wortwahl helfen den Entscheidungsträgern, die Risikosituation schnell zu erfassen - Bezug zu den Prioritäten der Entscheidungsträger herstellen
Risikoberichte müssen die anstehenden Entscheidungen des Unternehmens berücksichtigen und entsprechend relevante Risikoinformationen bereitstellen - Integrierte Berichterstattung
konsolidierte Berichte, die unterschiedliche Informationen aus den einzelnen Unternehmensteilen abgleichen, erleichtern die Entscheidungsfindung
Dieser Ansatz sollte es nicht nur ermöglichen, den Vorgaben des IDW EPS 340 zu genügen, sondern auch bewirken, dass die Geschäftsführung sich besser und gründlicher informiert fühlt. Das damit gewonnene Vertrauen in das unternehmenseigene Risikomanagementsystem führt dann mitunter dazu, dass zukünftig weitere Risiko-Informationen angefordert und das Risikomanagement stärker in die Entscheidungsfindungen eingebunden wird.