Risikomanagement: Steuerungsinstrument oder Pflichtübung?

Ergebnisse der Deloitte „Benchmarkstudie Risikomanagement 2020“ zur Ausgestaltung von Risikomanagementsystemen nach IDW PS 981 und IDW EPS 340 n.F.
(l.)Markus Link Partner, Corporate Governance Assurance, Deloitte GmbH WPG, Frankfurt, (r.) René Scheffler Director, Corporate Governance Assurance, Deloitte GmbH WPG, Düsseldorf
Deloitte Beitrag

1. Hintergründe der Studie

 

Das Risikomanagementsystem (RMS) übernimmt sowohl aus betriebswirtschaftlicher als auch aus regulatorischer Sicht eine zentrale Rolle bei der Umsetzung einer guten „Corporate Governance“. Der ab dem 1. Januar 2021 bei börsennotierten Unternehmen im Rahmen der Jahresabschlussprüfung verpflichtend anzuwendende Prüfungsstandard IDW EPS 340 n.F. sowie die weiterhin fortschreitende Digitalisierung bedeuten zugleich Herausforderungen und Chancen für die Ausgestaltung von RMS. Vor diesem Hintergrund hat Deloitte 64 Unternehmen der Realwirtschaft in Bezug auf den Status quo ihrer RMS befragt. Hieraus lassen sich Aussagen und Trends zum aktuellen Reifegrad der RMS sowie Handlungsfelder ableiten.

 

2. Reifegrad und Optimierungspotenziale von RMS

 

Mehrwert für die Unternehmenssteuerung erkannt, Reifegrad ausbaufähig 72 % der befragten Unternehmen nutzen aussagegemäß das RMS als aktives Steuerungsinstrument zur Unterstützung bei der Erreichung der Unternehmensziele. Gleichzeitig nutzen lediglich 13 % der befragten Unternehmen die Rolle der RMS-Funktion als internen Risikomanagement-Berater und Unterstützer bei der Steuerung des operativen Geschäfts. Ferner scheint die Verzahnung des RMS mit den Planungs- & Forecastprozessen verbesserungsbedürftig. Insgesamt sehen die befragten Unternehmen deutliche Optimierungspotenziale zur Steigerung des Reifegrads ihres RMS.

 

Risikokultur als kritischer Erfolgsfaktor Die Risikokultur ist kritischer Erfolgsfaktor für die Angemessenheit und Wirksamkeit eines RMS. Bei vielen der befragten Unternehmen wird diese anhand standardisierter Maßnahmen wie RMS-Schulungen für Neueinsteiger gefördert. Kritisch ist, dass der notwendige „tone from the top“ zum RMS aussagegemäß bislang nur bei 30 % der befragten Unternehmen durch die Unternehmensleitung vermittelt wird. Lediglich 48 % bestätigen, dass die bestehende Risikokultur die Meldung realistischer Risiken sowie eine offene Fehlerkultur im Unternehmen fördert. Hier besteht die Gefahr, dass ein RMS zwar methodisch fundiert eingerichtet ist, jedoch faktisch nicht richtig gelebt wird.

 

Risikotragfähigkeitskonzepte nicht hinreichend etabliert


Die Risikotragfähigkeit entspricht der Gesamtrisikoauswirkung, die ein Unternehmen ohne Gefährdung des Fortbestands tragen kann. Rund die Hälfte der befragten Unternehmen haben bislang kein ganzheitliches Konzept zur Ermittlung der Risikotragfähigkeit etabliert. Mit dem IDW EPS 340 n.F. sind künftig Risikotragfähigkeitskonzepte in geeigneter Weise im Rahmen des RMS verpflichtend umzusetzen. Dabei kann auf vorhandenen Ansätzen von Fachbereichen außerhalb des RMS aufgesetzt werden (z.B. Ermittlung von Liquiditätsdeckungsmassen im Treasury).

 

Risikoaggregation weiterhin verbesserungsbedürftig


Die Risikoaggregation ermöglicht eine Aussage zur Gesamtrisikosituation des Unternehmens unter Berücksichtigung des Zusammenwirkens oder der Kumulation von Einzelrisiken. 75 % der befragten Unternehmen schätzen aussagegemäß inzwischen deren Gesamtrisikosituation ein. Dies erfolgt häufig anhand qualitativer Einschätzungen oder der Addition von Schadenserwartungswerten. Lediglich 24 % nutzen bisher fundierte Szenarioanalysen bzw. Simulationsverfahren. Der Einsatz solcher Verfahren wird weiter zunehmen, da mit deren Methodik am ehesten eine realitätsnahe Gesamtrisikosituation dargestellt werden kann. Von entscheidender Bedeutung für den Mehrwert jeglicher Aggregationsverfahren bleiben die zugrundeliegenden Risikoinformationen und -bewertungen. Der IDW Standard fordert hier künftig hinreichende und nachweisbare Methoden zur Risikoaggregation.

 

Monitoring von Risikosteuerungsmaßnahmen bedarf Weiterentwicklung


Die Risikosteuerung umfasst die Gegenmaßnahmen zum Umgang mit Risiken und ist zentraler Bestandteil eines wirkungsvollen RMS. Bei 27 % der befragten Unternehmen findet nach eigener Einschätzung kein aktives Monitoring von Risikosteuerungsmaßnahmen statt. In diesen Fällen fehlt eine essentielle Grundlage, um die Maßnahmen in geeigneter Weise nachverfolgen zu können. Lediglich bei 50 % hinterfragt die zentrale RMS-Funktion regelmäßig Status, Angemessenheit und Wirksamkeit von Gegenmaßnahmen. Hierbei kann die RMS-Funktion auch auf Ergebnisse der Revisionsfunktion zurückgreifen. Allerdings erfolgen aussagegemäß nur bei 20 % der Unternehmen explizite Prüfungen der Gegenmaßnahmen durch die Interne Revision.

 

3. Ausblick: Zukünftige Handlungsfelder

 

RMS als elementarer Teil der Unternehmenssteuerung


Die RMS-Funktion kann durch Wahrnehmung einer Business Partner-Rolle eine wichtige Quelle der Unternehmenssteuerung sein, wenn sie frühzeitig in Entscheidungsprozesse involviert und mit spezifischen Fähigkeiten, Informationen, Analysen, Erfahrungen und Sichtweisen zu robusteren Entscheidungen beiträgt. Darüber hinaus besteht Potenzial zur Optimierung der Instrumente der Risikomanagementfunktion, u.a. für eine bessere Verzahnung mit den Planungs- und Forecastprozessen. Richtig durchgeführt entsteht so ein Wertbeitrag in Form besserer Entscheidungen unter Unsicherheit.


Schaffung IDW EPS 340 n.F. Readiness


Die Neuerungen der Norm zur Prüfung und Ausgestaltung von RMS sind bislang lediglich 20 % der befragten Unternehmen gänzlich bekannt. Etwa 50 % können zurzeit entweder nicht einschätzen, inwiefern die neuen Anforderungen erfüllt sind oder bestätigen diese nicht zu erfüllen. Diese Lücke gilt es zügig zu schließen und zudem die Gelegenheit zur gezielten Nutzensteigerung des RMS zu nutzen. Insbesondere in Bezug auf die Themen „Risikotragfähigkeit“, „Risikoaggregation“ und „Risikosteuerung“ besteht Handlungsbedarf. Dieser scheint erkannt: Mehr als die Hälfte der befragten Unternehmen planten zum Befragungszeitpunkt eine Überarbeitung des RMS.

 

Weiterentwicklung im Zuge der Digitalisierung


Auf die digitale Transformation des Gesamtunternehmens hat das RMS angemessen zu reagieren, indem es die Auswirkungen veränderter Geschäftsprozesse analysiert, eine veränderte Risikolandschaft (u.a. Cyberrisiken) berücksichtigt und eigene Prozesse sowie Schnittstellen anpasst. Der vermehrte Einsatz von Predictive Analytics, eine bessere technische Verknüpfung mit weiteren Governance- und Managementsystemen, die Betrachtung von Risiken in Echtzeit sowie Prozessautomatisierungen sollten zudem als wesentliche neue Chancen für das Risikomanagement systematisch genutzt werden.

 

Harmonisierung mit weiteren Governance- & Managementsystemen


Laut Studienergebnis weisen artverwandte Governance- und Managementsysteme wie das Compliance Management, das Interne Kontrollsystem, die Finance-/Treasury-Funktion und das Information Security Management System inzwischen meist Informationsschnittstellen zum RMS auf. Die (Weiter-)Entwicklung eines mit dem RMS verknüpften wirksamen Business Continuity Managements gewinnt nicht zuletzt auch durch die gegenwärtigen Herausforderungen in Lieferketten an Bedeutung und sollte systematisch vorangetrieben werden. Der massiv gestiegenen Bedeutung des Themenkomplexes Nachhaltigkeit ist mittels der Integration von Nachhaltigkeits- oder ESG-Risiken in das RMS Rechnung zu tragen.

 

www.deloitte.com/de

Nächster Artikel
Wirtschaft
Juni 2023
Illustration: Laura Neuhäuser
Redaktion

Digital – egal?

Die Digitalisierung wird anscheinend nur von jungen Unternehmen besonders ernst genommen. Bei den anderen haperte es in den Pandemiejahren an der Umsetzung.