RISIKOMANAGEMENT (IDW PS 340 N.F.)

Das Risikomanagement als zentraler Baustein der Governance, Risk und Compliance-Systeme eines Unternehmens hat sich seit Ende der 90er Jahre deutlich weiterentwickelt. Gerade die Bereiche Risiko-Aggregation und Risiko-Tragfähigkeit haben im Risikomanagement an Bedeutung gewonnen. Diese Entwicklung und auch die Reaktion des Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) mit dem neuen Prüfungsstandard wurden in einem kürzlich durchgeführten Webinar vom GRC Team um Nikolaus Färber praxisorientiert dargestellt und trafen dabei bei den Zuhörern auf große Resonanz.

Im Juni 2020 hat das IDW den IDW PS 340 n.F. zur Prüfung des Risikofrüherkennungssystems im Rahmen der Jahresabschlussprüfung verabschiedet.

Die Überarbeitung des Prüfungsstandards wurde erforderlich, um den Entwicklungen in der Unternehmens- und Prüfungspraxis im Bereich der Corporate Governance Systeme seit der Einführung des Gesetzes zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) im Jahre 1998 und der zwischenzeitlich ergangenen Rechtsprechung entsprechend nachzukommen. Die initiale Fassung des IDW Prüfungsstandards: Die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB (IDW PS 340) wurde im Jahr 1999 verabschiedet und seitdem nicht mehr überarbeitet.

Mit dem KonTraG wurde für Aktiengesellschaften die Pflicht zur Einrichtung eines sogenannten Risikofrüherkennungssystems eingeführt. Nach § 91 Abs. 2 AktG hat somit der Vorstand einer Aktiengesellschaft geeignete Maßnahmen zu treffen und insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikofrüherkennungssystem). Bei börsennotierten Aktiengesellschaften hat der Abschlussprüfer zudem gemäß § 317 Abs. 4 HGB im Rahmen der Abschlussprüfung zu beurteilen, ob der Vorstand die ihm nach § 91 Abs. 2 AktG obliegenden Maßnahmen in einer geeigneten Form getroffen hat und, ob das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann. Für die Durchführung dieser Prüfung ist der IDW PS 340 in seiner jeweils gültigen Fassung heranzuziehen.

Anwendungszeitpunkt

Der IDW PS 340 n.F. ist erstmals für Abschlussprüfungen von Berichtszeiträumen anzuwenden, die nach dem 31.12.2020 beginnen. Insbesondere börsennotierte Unternehmen, für die gemäß § 317 Abs. 4 HGB eine Prüfungspflicht des Risikofrüherkennungssystems besteht, sollten sich daher umgehend auf die zukünftigen Anforderungen vorbereiten.

Wesentliche Aspekte der Neufassung

1. Konkretisierung der Grundelemente eines Risikofrüherkennungssystems (RFS)

Konkretisierung in Anlehnung an die einschlägigen Prüfungsstandards IDW PS 980 (Prüfung von Compliance-Management-Systemen) und IDW PS 981 (freiwillige Prüfung von Risikomanagementsystemen).

2. Klarstellung der Pflichten eines Unternehmens in Bezug auf die Risikotragfähigkeit

Eine wesentliche Anforderung betrifft die explizite Berücksichtigung der unternehmensindividuellen Risikotragfähigkeit durch den Vorstand. Die Risikotragfähigkeit ist das maximale Risikoausmaß, welches das Unternehmen ohne Gefährdung des eigenen Fortbestands im Zeitablauf tragen kann. Durch die Unternehmensleitung ist diese fortlaufend unter Berücksichtigung von Ergebnis- und Liquiditätsentwicklungen zu analysieren und zu überwachen.

3. Netto-Risikobewertung und Berücksichtigung von Extremrisiken

Es erfolgt eine Klarstellung zur Betrachtung von Netto-Risiken. Folglich sind somit bei der (Einzel-) Risikobewertung die Auswirkungen der bereits eingeleiteten oder durchgeführten Maßnahmen des Vorstands zur Risikosteuerung zu berücksichtigen.

Die Risikobewertung hat ebenso die Bewertung sogenannter „Tail-Event-Risiken“, das heißt Extremrisiken mit sehr hohem Schadensausmaß und sehr niedriger Eintrittswahrscheinlichkeit (z. B. Covid-19) zu umfassen.

4. Risikoaggregation

Es erfolgt ebenfalls eine Klarstellung zur Pflicht der Durchführung einer Risikoaggregation (Aggregation = Ansammlung, Verdichtung). Zentrale Anforderung aus § 91 Abs. 2 AktG ist die frühzeitige Erkennung möglicher bestandsgefährdender Entwicklungen. Diese hat sich durch die Neufassung nicht verändert. Insofern sind insbesondere die Kombinationseffekte der Einzelrisiken auszuwerten und der Gesamtrisikoumfang zu bestimmen.

5. Einführung der Risikosteuerung

Die Risikosteuerung ist zukünftig ein expliziter und verpflichtender Bestandteil der Grundelemente eines Risikofrüherkennungssystems. Auf der Grundlage der identifizierten und bewerteten Risiken hat der Vorstand Entscheidungen über geeignete Mittel zur Sicherung des Fortbestands des Unternehmens zu treffen. Die Entscheidungen zur Risikosteuerung sind für die identifizierten und bewerteten Risiken festgelegt und nachvollziehbar zu dokumentieren.

6. Dokumentationspflichten

Die Dokumentationspflichten des Vorstands werden hervorgehoben, um der zwischenzeitlich ergangenen Rechtsprechung Rechnung zu tragen. Demnach stellt eine fehlende Dokumentation einen wesentlichen Gesetzesverstoß gegen § 91 Abs. 2 AktG dar (vergleiche Urteil LG München vom 05.04.?2007 – 5 HK O 15964/06) und einen wesentlichen Mangel, über den der Abschlussprüfer den Aufsichtsrat im Prüfungsbericht zu informieren hat.

IDW PS 340 n.F. – Herausforderungen für Unternehmen

Für die betroffenen Unternehmen können sich in Abhängigkeit vom bereits vorhandenen Ausgestaltungsgrad ihres Risikomanagementsystems somit umfangreiche und durchaus zeit- und ressourcenintensive Handlungsbedarfe ergeben, unter anderem:

• Risikotragfähigkeit: Analyse des bestehenden Tragfähigkeitskonzepts und gegebenenfalls Ableitung eines Konzepts zur Bestimmung der Risikotragfähigkeit (z. B. quantitativ anhand Steuerungsgrößen wie EK, EBIT)
• Risikobewertung: Analyse der Nachvollziehbarkeit der bestehenden Nettorisikobewertung beziehungsweise Einführung der Nettorisikobewertung
• Risikoaggregation: Klärung beziehungsweise Analyse der Angemessenheit der bestehenden Methodik beziehungsweise Einführung eines sachgerechten Aggregationsverfahrens
• Risikosteuerung: Einrichtung eines Managementsystems für die Maßnahmen zur Risikosteuerung inklusive Nachverfolgung der Maßnahmenumsetzung (z. B. Status sowie Angemessenheit und Wirksamkeit der Maßnahmen, dazu gehört auch die Schaffung einer angemessenen Risikokultur als Kriterium für die Beurteilung der Angemessenheit und Wirksamkeit der Maßnahmen)
• Systemdokumentation: Anpassung oder komplette Neufassung (Richtlinie/Handbuch)

Unsere Leistungen

• GAP-Analyse, unter anderem:
  • Aufnahme des Status quo des RMS und Abgleich mit den Anforderungen des IDW PS 340 n.F.
  • Generierung von Handlungsempfehlungen
• Konzeptionierung und Implementierung, unter anderem:
  • Überführung der Empfehlungen in eine Projektplanung
  • Konkretisierung und zeitliche Taktung der ToDos
  • Identifizierung relevanter Stakeholder für Meetings
  • Erstellung fachlicher Vorschläge und Abstimmung mit relevanten Steakholdern
  • Erstellung/Anpassung der Risikorichtlinie
  • Vorbereitung der Kommunikationsmaßnahmen (z. B. Board)
  • Vorbereitung und Durchführung von Schulungsmaßnahmen
• Good Pratices:
  • Sofern gewünscht stellen wir nicht nur die Compliance mit den neuen Anforderungen sicher, sondern unterstützen Sie bei der Weiterentwicklung Ihres RMS mittels unserer Good Practices

Ihr Nutzen

• Umfassende Erfahrung in der Umsetzung regulatorischer Anforderungen
• Operative Entlastung im Tagesgeschäft (Fokus auf Regelprozess)
• Zielorientierte, effiziente und pragmatische Umsetzung der Anforderungen
• Bedarfsorientierte Einbindung unserer Berater (z. B. für die Konzeption einzelner Sachverhalte)
• Unabhängigkeit (wir sind keine WP-Gesellschaft)         

Bei Fragen steht Ihnen unser Vorstandsmitglied/Partner Nikolaus Färber gerne zur Verfügung!