Der vom Institut der Wirtschaftsprüfer (kurz: IDW) herausgegebene Prüfungsstandard 340 beinhaltet die Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB,[1] das im Risikomanagement sowohl zur Neuidentifikation als auch zur kontinuierlichen Überwachung von Risiken dient.

Allgemeines

Bearbeiten

Durch den Standard wird eine Mindestausgestaltung des Risikofrüherkennungssystems definiert und die Risikotragfähigkeit von Unternehmen untersucht. Seit 2017 wird der IDW PS 340 ergänzt durch den IDW PS 981 und seit 2018 durch den DIIR Revisionsstandard Nr. 2, der auch die Anforderungen aus § 93 AktG (Business Judgement Rule) und seit der Aktualisierung 2022 auch die weitergehenden aus § 1 Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) an das Risikomanagement berücksichtigt (Einbeziehung des Risikomanagements bei der Vorbereitung unternehmerischer Entscheidungen und Forderung zur Initiierung „geeigneter Gegenmaßnahmen“ zur Vermeidung „bestandsgefährdender Entwicklungen“).

Der Vorstand von Aktiengesellschaften hat nach § 91 Abs. 2 AktG ein Überwachungssystem im Unternehmen zu errichten, damit bestandsgefährdende Risiken frühzeitig erkannt werden können. Die dort ermittelten Risiken sind gemäß § 289 Abs. 1 HGB[2] (bzw. für Konzerne § 315 Abs. 1 HGB[3]) im Lagebericht anzugeben. Ziel ist es, einem verständigen Dritten ein umfassendes Bild über die Risikolage des Unternehmens zu vermitteln.

Risikobegriff

Bearbeiten

Der Begriff des Risikos umfasst sowohl eine weitere als auch eine engere Definition. Im Allgemeinen wird darunter sowohl der Begriff der Gewinnchance als auch der Begriff der Verlustgefahr verstanden. Beide Begriffe zielen auf eine Abweichung des Ist-Ergebnisses vom geplanten Zustand ab. Je nach Art der Abweichung (positiv oder negativ) handelt es sich um eine Chance oder eine Gefahr. Im Zusammenhang mit dem IDW PS 340 wird das Risiko häufig auf die enger gefasste Sichtweise beschränkt.[4]

Rechtsfragen

Bearbeiten

Seit Veröffentlichung des Gesetzes für Kontrolle und Transparenz im Unternehmensbereich (KontraG) wird sowohl für interne als auch für externe Zwecke eine Erhöhung der Transparenz der Risikolage des Unternehmens angestrebt. Das KontraG regelte die Implementierung des Überwachungssystems für Aktiengesellschaften. Für andere Rechtsformen, wie z. B. die GmbH, wurden keine speziellen Regelungen getroffen, weil davon ausgegangen wurde, dass die Neuregelung im Aktiengesetz eine Ausstrahlwirkung auch für andere Rechtsformen besitzen werde.

Auf Konsequenz aus diesem Gesetz wurde der IDW PS 340 zum ersten Mal am 25. Juni 1999 beschlossen.[5] Dieser Standard wurde notwendig, um die für Unternehmen verpflichtende Identifikation bestandsbedrohender Risiken zu überwachen. Der Standard ordnet eine durchgehende Quantifizierung der erkannten fundamentalen Risiken an, da dies eine notwendige Voraussetzung zur späteren Risikoaggregation (mittels Simulationsverfahren, z. B. Monte Carlo Simulation) darstellt.[6] Ein häufiger Fehler seitens der Unternehmen ist, dass Risiken nicht aggregiert werden. Eine Aggregation (d. h. Berechnung des gesamten Risikovolumens) ist in besonderem Maße notwendig, da spezifische Einzelrisiken meist im Zusammenwirken mit anderen Risikopositionen erst gefährdend für den Fortbestand der Unternehmung wirken.[7] IDW PS 340 schreibt in dem Zusammenhang vor: „Die Risikoanalyse beinhaltet eine Beurteilung der Tragweite der erkannten Risiken in Bezug auf Eintrittswahrscheinlichkeit und quantitative Auswirkungen. Hierzu gehört auch die Einschätzung, ob Einzelrisiken, die isoliert betrachtet von nachrangiger Bedeutung sind, sich in ihrem Zusammenwirken oder durch Kumulation im Zeitablauf zu einem bestandsgefährdenden Risiko aggregieren können.“[8]

Erst aufgrund der Risikoaggregation ist es möglich, eine genaue Prognose von der Zukunft abzugeben, indem Gewinne bzw. Verluste abgeschätzt werden und ein Rating vorgenommen werden kann.[9] Gefordert wird vom IDW PS 340, dass durch das Überwachungssystem die Vermögens-, Finanz- und Ertragslage bedrohende Risiken auf allen Unternehmensebenen erkannt werden. Ist dies erfolgreich geschehen, so sollten die identifizierten Risikopositionen so schnell wie möglich dem Vorstand kommuniziert werden.

Aufgaben des Risikofrüherkennungssystems

Bearbeiten

Die Begriffe Risikomanagementsystem und Risikofrüherkennungssystem sind semantisch zu trennen. Das vom Gesetzgeber geforderte Risikofrüherkennungssystem ist ein Teil des Risikomanagementsystems. Es umfasst folgende Perspektiven des Risikomanagementsystems:

Die Überwachung des Systems durch die interne Revision (IDW PS 340, Tz. 15 ff.) erfolgt durch das Überwachungssystem.

Nicht zum Risikofrüherkennungssystem gem. § 91 Abs. 2 AktG und damit nach § 317 Abs. 4 HGB nicht prüfungsrelevant für die Wirtschaftsprüfer sind gem. IDW PS 340.6 konkrete Umsetzungsmaßnahmen zur Überwindung und Bewältigung der Risiken. Die Abschlussprüfung ist demnach eine Überprüfung, ob das System die Risiken identifiziert, bewertet, analysiert, kommuniziert und regelmäßige Kontrollen durchführt. Man spricht in dem Zusammenhang von einer System- und keiner Geschäftsführungsprüfung (IDW PS 340.19).[10]

Anforderungen an ein Risikomanagementsystem gem. IDW PS 340

Bearbeiten

Laut § 317 Abs. 4 HGB sind folgende vom Vorstand veranlasste Maßnahmen Gegenstand der Prüfung durch den Abschlussprüfer. Der Prüfer hat gem. IDW PS 340.24-25 festzustellen, ob nachstehende Maßnahmen tatsächlich getroffen wurden und ob sie so eingesetzt wurden, dass sie der Identifikation von Risiken tatsächlich dienen (IDW PS 340.26-30).[11][12]

Festlegung der Risikofelder (IDW PS 340.7-8)

Bearbeiten

Der Vorstand muss im ersten Schritt Risikofelder festlegen, bei denen eine Bestandsbedrohung möglich ist. Bevor das Unternehmen über Risiken kommunizieren kann, muss weiterhin gem. § 91 Abs. 2 AktG ein Überwachungssystem implementieren, was sich unternehmensweit erstreckt. Dort inbegriffen sind sämtliche Abteilungen, Ebenen und Prozesse. Sinn dieser unternehmensweiten Erstreckung des Risikomanagementsystems ist, dass insbesondere Risiken erkannt werden, die in Kombination mit anderen Risiken eine besondere Bedrohung besitzen. Diese Risikofelder sollten kontinuierlich auf Aktualität geprüft werden.

Risikoerkennung und Risikoanalyse (IDW PS 340.9-10)

Bearbeiten

Damit Risiken analysiert werden können, müssen Risiken definiert werden, sowie Mitarbeiter dafür sensibilisiert werden, dass eine Risikokultur im Unternehmen geschaffen wird. Jedoch nicht nur bereits definierte, sondern auch noch unbekannte Risiken sollen erkannt werden. Im nächsten Schritt können Risiken dann analysiert werden, indem sie in Bezug auf Eintrittswahrscheinlichkeit und Schadenshöhe untersucht werden. Dabei ist insbesondere darauf zu achten, dass Risiken aggregiert werden sollten, da sie erst mit anderen Risiken zusammen sich zu bestandsgefährdenden Risiken kumulieren. Durch eine Risikoaggregation ist also zu untersuchen, ob sich aus Kombinationseffekten von Einzelrisiken „bestandsgefährdende Entwicklungen“ (im Sinne § 91 Abs.2 AktG) ergeben können.

Risikokommunikation (IDW PS 340.11-12)

Bearbeiten

Die Kommunikation von Risiken betrifft sowohl das aufsichtsrechtliche (d. h. an den Vorstand) als auch das handelsrechtliche (d. h. Empfänger der Risikoberichte) Risikoreporting. Dabei ist es notwendig, dass auf Basis der erkannten Risiken, eine schnelle Kommunikation vonstattengeht. Insbesondere bestandsgefährdende Risiken müssen unverzüglich zum Vorstand hin berichtet werden. Das IDW legt dabei besonderen Wert auf die Risiken, welche noch nicht bewältigt werden konnten. Um zu erkennen, ob Risiken bestandsbedrohend wirken können, ist es unverzichtbar, Grenzwerte zu definieren. Ein Überschreiten dieser Schwellen sollte dann unverzüglich zur Kommunikation an den Vorstand führen. Abseits des kontinuierlichen Reportings sollte bei kurzfristig eingetretenen Entwicklungen, die eine besondere Entwicklung nehmen könnten, eine Ad-hoc-Mitteilung an den Vorstand vorgenommen werden.

Zuordnung von Verantwortlichkeiten und Aufgaben (IDW PS 340.13-14)

Bearbeiten

Für ein funktionstüchtiges Risikomanagementsystem im Unternehmen ist es unverzichtbar, dass klare Verantwortlichkeiten für die Risiken definiert werden. Der Verantwortliche soll sicherstellen, dass Risiken erkannt, bewältigt und weitergegeben werden. Bei Interdependenzen zwischen verschiedenen Risiken ist ein erhöhter Kommunikationsbedarf zwischen den verantwortlichen Personen zu berücksichtigen.

Einrichtung eines Überwachungssystems (IDW PS 340.15-16)

Bearbeiten

Zuständig für die Überwachung der Risikolage des Unternehmens ist die interne Revision. Diese besitzt die Aufgabe im Unternehmen einer regelmäßigen Identifikation riskanter Entwicklungen sowie der Überprüfung der nach § 91 Abs. 2 AktG getroffenen Maßnahmen. Dabei ist nicht nur das Bestehen eines solchen Systems zu prüfen, sondern auch eine regelmäßige Überprüfung der Aktualität von Meldegrenzen sowie die Effizienz von Abläufen kontrollieren. Die interne Revision kann aus Aufgabensicht mit dem Abschlussprüfer verglichen werden, da sie die Umsetzung von Maßnahmen überprüft. Der IDW nennt Faktoren der Überprüfung der internen Revision, wie z. B. vollständige Erfassung aller Risikofelder, kontinuierliche Anwendung von Maßnahmen oder Einhaltung integrierter Kontrollen.

Dokumentation der getroffenen Maßnahmen (IDW PS 340.17-18)

Bearbeiten

Sowohl für interne als auch für externe Zwecke ist es notwendig, alle getroffenen Entscheidungen in einem Risikomanagementhandbuch zu dokumentieren. Der Vorstand kann durch die Dokumentation nachweisen, dass er gem. § 91 Abs. 2 AktG seiner Implementierung des Früherkennungssystems nachkommt. Für den Wirtschaftsprüfer stellt das Handbuch eine Grundlage für die Abschlussprüfung dar. Eine inkonsistente Dokumentation bedeutet meist eine nicht komplett befriedigende Funktionsfähigkeit des Risikomanagementsystems. Hingegen hat eine umfangreiche Dokumentation den Anschein, dass § 91 Abs. 2 AktG vollständig umgesetzt wurde. Insbesondere für interne Akteure (z. B. Mitarbeiter) ist eine umfangreiche Dokumentation notwendig, da Personalwechsel keine Auswirkung auf den Prozess des Risikomanagements haben sollten.

Kritische Würdigung

Bearbeiten

Für den IDW PS 340 existieren eine Vielzahl kritischer Gesichtspunkte, anhand derer die Nützlichkeit bezweifelt werden kann.

  • Die enge Sichtweise des IDW PS 340 bezüglich der Nicht-Überprüfung der Maßnahmen zur Risikobewältigung impliziert eine nicht sachgerechte Regelung. Da die volle Funktionsfähigkeit des Risikomanagementsystems nicht beurteilt wird, kann es dazu kommen, dass Risiken früh erkannt und schnell kommuniziert werden, entsprechende Gegenmaßnahmen jedoch nicht gefasst werden. Letzteres fordert sein 2021 §1 Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) ab einem kritischen Grad der Bestandsgefährdung.
  • Kritiker zweifeln, ob die von § 91 Abs. 2 HGB geforderte Maßnahme ausschließlich auf ein Frühwarnsystem abzielt oder vielmehr eine umfassendere Überwachungssystemüberprüfung erfordert.
  • Das Fehlen des Prüfens von nicht bestandsgefährdenden Risiken kann schwerwiegende Folgen nach sich ziehen, da es Risiken gibt, die im Zusammenwirken mit anderen Risiken zu einer Bestandsbedrohung führen, welche jedoch allein nur ein geringes Risiko darstellen.[13]
  • Vom Wirtschaftsprüfer wird keine Aussage über die Systemgestaltung im Hinblick auf Systemeffizienz verlangt.[14]
  • Es existiert kein einheitlich definiertes Soll-Ziel, was dazu führt, dass nicht alle im Ist-Zustand getroffenen Maßnahmen gemäß gesetzlichen Regelungen beurteilt werden können, wodurch seitens der Geschäftsführung ein gewisses Maß an Ermessensspielraum zugestanden wird. Durch die fehlende Standardisierung sinkt die Vergleichbarkeit.[15]
  • § 91 Abs. 2 AktG zielt auf die Erkennung bestandsgefährdender Entwicklungen und nicht auf die Identifikation bestandsgefährdender Risiken ab. Demnach beschreibt § 91 Abs. 2 AktG kein „Risiko“-früherkennungssystem, wie dies vom IDW PS 340 interpretiert wird. Da Risiken, meist in Kombination, zu bestandsgefährdenden Entwicklungen führen, ist eine Analyse und Aggregation der Risiken jedoch eine notwendige Voraussetzung zur Erfüllung der Anforderungen aus § 91 AktG.
  • Der Prüfungsstandard beinhaltet keine Angaben zur Liquiditätssteuerung, weshalb möglicherweise bestandsbedrohende Entwicklungen, welche durch Liquiditätsrisiken hervorgerufen werden, unerkannt bleiben. - Im IDW PS 340 wird die Dokumentation nicht ausreichend betrachtet. Eine umfangreiche und bedarfsgerechte Dokumentation bildet die Prüfungsgrundlage für den Abschlussprüfer und ist somit zwingend notwendig, um eine solche Prüfung vorzunehmen. Gleichzeitig besitzt die Dokumentation fundamentale interne Funktionen.[16]
  • Eine Anpassung der IDW PS 340 an die durch § 1 Unternehmensstabilisierungs- und -restrukturierungsgesetz und Finanzmarktstabilisierungsergänzungsgesetz erhöhten Anforderungen an Risiko- und Krisenfrüherkennung wurde bisher nicht vorgenommen (anders als bei DIIR Revisionsstandard Nr. 2, der 2022 aktualisiert wurde).[17]

Literatur

Bearbeiten
  • Werner Gleißner, Risikomanagement, KonTraG und IDW PS 340, in: WPg – Die Wirtschaftsprüfung, 3/2017, S. 158–164

Einzelnachweise

Bearbeiten
  1. Gesetzeswortlaut § 317 Abs. 4 HGB. Abgerufen am 15. Juni 2016.
  2. Gesetzeswortlaut § 289 Abs. 1 HGB. Abgerufen am 15. Juni 2016.
  3. Gesetzeswortlaut § 315 Abs. 1 HGB. Abgerufen am 15. Juni 2016.
  4. Bogna Filipiuk: Transparenz der Risikoberichterstattung: Anforderungen und Umsetzung in der Unternehmenspraxis. 2008, abgerufen am 15. Juni 2015.
  5. Werner Gleißner: Grundlagen des Risikomanagements im Unternehmen: Controlling, Unternehmensstrategie und wertorientiertes Management. 2011.
  6. Werner Gleißner, Reinhard Heyd. In: Rechnungslegung nach IFRS–Konsequenzen für Rating und Risikomanagement. Abgerufen am 15. Juni 2016.
  7. Risikomanagementsystem: Grundlagen und Aufbau. Abgerufen am 2. Juni 2016.
  8. IDW PS 340, S. 3
  9. Werner Gleißner. In: Beurteilung des Risikomanagements durch den Aufsichtsrat: nötig und möglich? Abgerufen am 15. Juni 2016.
  10. Klaus Von Wysocki: Prüfungsgrundsätze und Prüfungsverfahren nach den nationalen und internationalen Prüfungsstandards. Abgerufen am 2. Juni 2016.
  11. Werner Gleißner: Grundlagen des Risikomanagements im Unternehmen: Controlling, Unternehmensstrategie und wertorientiertes Management. 2011.
  12. Pampel, K.: Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards (No. 13/2005). 2005.
  13. Britta Kunze: Überwachung operationeller Risiken bei Banken: interne und externe Akteure im Rahmen qualitativer und quantitativer Überwachung. 2007, abgerufen am 14. Juni 2016.
  14. Holger Wich: Internes Kontrollsystem und Management-Informationssystem: Analyse der Systembedeutung für Unternehmensleitung und Abschlussprüfer. 2008, abgerufen am 14. Juni 2015.
  15. Marten, K. U., Quick, R., & Ruhnke, K.: Wirtschaftsprüfung. Grundlagen des betriebswirtschaftlichen Prüfungswesens nach nationalen und internationalen Normen. Schäffer-Poeschl, Stuttgart 2001.
  16. Bunting, N.: Das Früherkennungssystem des § 91 Abs. 2 AktG in der Prüfungspraxis: eine kritische Betrachtung des IDW PS 340. 2011.
  17. Berger, Th./Ernst, D./Gleißner, W./Hofmann, K. H./Meyer, M./Schneck, O./Ulrich, P./Vanini, U: Die Prüfung von Risikomanagementsystemen und die Defizite des IDW Prüfungsstandards 340. In: Der Betrieb. Band 74, Nr. 46, 2021, S. 2709–2714.