Corporate Governance Inside

Audit & Assurance


Risikomanage­ment 2020: aktuelle Trends und Handlungs­felder

Bei 27 Prozent der befragten Unternehmen findet nach eigener Einschätzung kein aktives Monitoring von Risikosteuerungsmaßnahmen statt.

Das Risikomanagementsystem (RMS) übernimmt sowohl aus betriebswirtschaftlicher als auch aus regulatorischer Sicht eine zentrale Rolle bei der Umsetzung einer guten „Corporate Governance“. Der ab dem 1. Januar 2021 bei börsennotierten Unternehmen im Rahmen der Jahresabschlussprüfung verpflichtend anzuwendende Prüfungsstandard IDW PS 340 n.F. sowie die weiterhin fortschreitende Digitalisierung bedeuten zugleich Herausforderungen und Chancen für die Ausgestaltung von RMS. Vor diesem Hintergrund hat Deloitte 64 Unternehmen der Realwirtschaft in Bezug auf den Status quo ihrer RMS befragt. Hieraus lassen sich Aussagen und Trends zum aktuellen Reifegrad der RMS sowie Handlungsfelder ableiten.

Reifegrad und Optimierungspotenziale von RMS Mehrwert für die Unternehmenssteuerung erkannt, Reifegrad ausbaufähig 67 Prozent der Studienteilnehmer verfolgen aussagegemäß mit dem RMS das Ziel, über die Erfüllung regulatorischer Normen hinaus die Unternehmenssteuerung und die Erreichung der Unternehmensziele zu unterstützen. Gleichzeitig nutzen lediglich 13 Prozent der Befragten die Rolle der Risikomanagementfunktion als Businesspartner und aktiven Unterstützer bei der Steuerung des Geschäfts. Ferner ist die Verzahnung des RMS mit den Planungs- und Forecastprozessen verbesserungsbedürftig, um weiteren Mehrwert für die Unternehmenssteuerung zu generieren. Insgesamt sehen die Studienteilnehmer deutliche Optimierungspotenziale zur Steigerung des Reifegrads ihres RMS.

Risikokultur als kritischer Erfolgsfaktor Die Risikokultur ist kritischer Erfolgsfaktor für die Angemessenheit und Wirksamkeit eines RMS. Bei vielen der befragten Unternehmen wird diese anhand standardisierter Maßnahmen wie RMS-Schulungen für Neueinsteiger gefördert. Kritisch ist, dass der notwendige „tone from the top“ zum RMS aussagegemäß bislang nur bei 30 Prozent der Teilnehmer durch die Unternehmensleitung vermittelt wird. Lediglich 48 Prozent bestätigen, dass die bestehende Risikokultur die Meldung realistischer Risiken sowie eine offene Fehlerkultur im Unternehmen fördert. Hier besteht die Gefahr, dass ein RMS zwar methodisch fundiert eingerichtet ist, jedoch faktisch nicht richtig gelebt wird. Risikotragfähigkeitskonzepte nicht hinreichend etabliert Die Risikotragfähigkeit entspricht dem maximalen Risikoausmaß, das ein Unternehmen ohne Gefährdung des Fortbestands tragen kann. Rund die Hälfte der Befragten haben bislang kein ganzheitliches Konzept zur Ermittlung der Risikotragfähigkeit etabliert. Mit dem IDW PS 340 n.F. sind künftig die entsprechenden Konzepte in geeigneter Weise im Rahmen des RMS verpflichtend umzusetzen. Jenseits regulatorischer Anforderungen sollte der Antrieb zur Einführung von Risikotragfähigkeitskonzepten in deren Chancen für die Unternehmenssteuerung und dem frühzeitigen Erkennen bestandsgefährdender Entwicklungen liegen.

Methoden zur Risikoaggregation weiterhin verbesserungsbedürftig Die Risikoaggregation ermöglicht eine Aussage zur Gesamtrisikosituation des Unternehmens unter Berücksichtigung des Zusammenwirkens von Einzelrisiken. 75 Prozent der befragten Unternehmen schätzen aussagegemäß inzwischen deren Gesamtrisikosituation ein. Dies erfolgt bisher teilweise anhand qualitativer Einschätzungen oder der Addition von Schadenserwartungswerten. Lediglich 24 Prozent nutzen bereits fundierte Szenarioanalysen bzw. Simulationsverfahren. Der Einsatz solcher Verfahren wird weiter zunehmen, da mit deren Methodik am ehesten eine realitätsnahe Gesamtrisikosituation dargestellt werden kann, welche letztlich für die Einschätzung der Risikotragfähigkeit notwendig ist. Von entscheidender Bedeutung für den Mehrwert jeglicher Aggregationsverfahren bleiben die zugrunde liegenden Risikoinformationen und -bewertungen. Der IDW Standard fordert hier künftig hinreichende und nachweisbare Methoden zur Risikoaggregation.

Monitoring von Risikosteuerungsmaßnahmen bedarf der Weiterentwicklung Die Risikosteuerung umfasst die Gegenmaßnahmen zum Umgang mit Risiken und ist zentraler Bestandteil eines wirkungsvollen RMS. Bei 27 Prozent der befragten Unternehmen findet nach eigener Einschätzung kein aktives Monitoring von Risikosteuerungsmaßnahmen statt. In diesen Fällen fehlt eine essenzielle Grundlage, um die Maßnahmen in geeigneter Weise nachverfolgen zu können. Lediglich bei 50 Prozent hinterfragt die zentrale RMS-Funktion regelmäßig Status, Angemessenheit und Wirksamkeit von Gegenmaßnahmen. Hierbei kann die RMS-Funktion auch auf Ergebnisse der Revisionsfunktion zurückgreifen. Allerdings erfolgen aussagegemäß nur bei 20 Prozent der Unternehmen explizite Prüfungen der Gegenmaßnahmen durch die Interne Revision.

Die Risikokultur ist kritischer Erfolgsfaktor für die Angemessenheit und Wirksamkeit eines RMS.

Ausblick: zukünftige Handlungsfelder RMS als elementarer Teil der Unternehmenssteuerung Die Risikomanagementfunktion kann durch Wahrnehmung einer Businesspartner-Rolle eine wichtige Quelle der Unternehmenssteuerung sein, wenn sie frühzeitig in Entscheidungsprozesse involviert wird und mit ihren spezifischen Fähigkeiten, Informationen, Analysen, Erfahrungen und Sichtweisen zu robusteren Entscheidungen beiträgt. Darüber hinaus besteht deutliches Potenzial zur besseren Verzahnung des RMS mit den Planungs- und Forecastprozessen. Richtig durchgeführt entsteht so ein Wertbeitrag in Form besserer Entscheidungen unter Unsicherheit.

Schaffung einer „IDW PS 340 n.F.“-Readiness Die Neuerungen der Norm sind bislang lediglich 20 Prozent der befragten Unternehmen gänzlich bekannt. Etwa 50 Prozent können zurzeit entweder nicht einschätzen, inwiefern die neuen Anforderungen erfüllt sind, oder bestätigen, diese nicht zu erfüllen. Diese Lücke gilt es zügig zu schließen und zudem die Gelegenheit zur gezielten Steigerung des Mehrwerts des RMS zu nutzen. Insbesondere in Bezug auf die Themen Risikotragfähigkeit, Risikoaggregation und Risikosteuerung besteht Handlungsbedarf. Dieser scheint erkannt: Mehr als die Hälfte der Studienteilnehmer planten zum Befragungszeitpunkt eine Überarbeitung des RMS. Weiterentwicklung im Zuge der Digitalisierung Auf die digitale Transformation des Gesamtunternehmens hat das RMS angemessen zu reagieren, indem es die Auswirkungen veränderter Geschäftsprozesse analysiert, eine veränderte Risikolandschaft (u.a. Cyber-Risiken) berücksichtigt und eigene Prozesse sowie Schnittstellen anpasst. Der vermehrte Einsatz von Predictive Analytics, eine bessere technische Verknüpfung mit weiteren Governance- und Managementsystemen, die Betrachtung von Risiken in Echtzeit sowie Prozessautomatisierungen sollten zudem als wesentliche neue Chancen für das Risikomanagement systematisch genutzt werden.

Harmonisierung mit weiteren Governance- und Managementsystemen Laut der Studienergebnisse weisen artverwandte Governance- und Managementsysteme wie das Compliance-Management, das interne Kontrollsystem, die Finance-/Treasury-Funktion und das Information-Security-Managementsystem inzwischen meist Informationsschnittstellen zum RMS auf. Die (Weiter-)Entwicklung eines mit dem RMS verknüpften wirksamen Business-Continuity-Managements gewinnt nicht zuletzt durch die gegenwärtigen Herausforderungen z.B. in Lieferketten an Bedeutung und sollte systematisch vorangetrieben werden. Der massiv gestiegenen Bedeutung des Themenkomplexes Nachhaltigkeit ist u.a. mittels der Integration von Nachhaltigkeits- oder ESG-Risiken in das RMS Rechnung zu tragen.

Markus Link Partner, Leiter Corporate Governance Assurance, Deloitte Deutschland

René Scheffler Director | Corporate Governance Assurance, Deloitte Deutschland

Teilen Sie diesen Artikel: