CONTROLLER Magazin 3/2020

CM Mai/ Juni 2020 RMA intern Neufassung des IDW Prüfungsstandards PS 340 zur Prüfung des Risikofrüherkennungssystems nach § 317 Abs. 4 HGB – Mitwirkung der RMA im Rahmen des Erstellungsprozesses Der Prüfungsstandard PS 340 des Instituts der Wirtschaftsprüfer (IDW) ist insofern maßgeblich für die Ausgestaltung von Risi- komanagementsystemen in Unternehmen, da sich viele Unternehmen aufgrund der Prüfpflichten an diesem Standard orientie- ren. Auch Unternehmen, die ggf. nicht die- sen Prüfpflichten unterliegen, lassen sich oft durch diesen Standard leiten. Insofern hat die Ausgestaltung von PS 340 eine große Wirkung auf die Risikomanagement- Praxis in vielen deutschen Unternehmen. Gemäß IDW selbst ist es erforderlich geworden, die bisherige Version des Standards zu überar­ beiten, „um der seit der Einführung des § 91 Abs. 2 AktG durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) im Jahr 1998 und der seit der Verabschiedung des IDW PS 340 im Jahr 2000 eingetretenen Fortentwicklung der Unternehmenspraxis im Bereich der Einrichtung und Prüfung von Corporate Governance Systemen Rechnung zu tragen“. Das IDW führt aus, dass insbesondere die Beurteilung der individuellen Risikotragfähig­ keit des jeweiligen Unternehmens von zentraler Bedeutung ist und im Standard daher betont werden muss. In diesem Zusammenhang will das IDW auch den Aspekt der Risikoaggrega­ tion in der Neufassung des PS 340 stärker her­ vorheben. Daneben sollen in der Neufassung weitere Aspekte wie die Betonung der Doku­ mentationspflichten der Unternehmen sowie auch eine stärkere Berücksichtigung von fest­ gestellten Mängeln im Prüfungsbericht veran­ kert werden. Bereits am 15. Juli des letzten Jahres hat das IDW eine entsprechende Neu­ fassung von PS 340 im Entwurf vorgelegt und zu Stellungnahmen hierzu aufgerufen. Als Verband von Risikomanagern versteht sich die RMA als deren Interessenvertretung. Zu den Aufgaben des Risikomanagers gehört insbe­ sondere auch die transparente Darstellung der Gesamtrisikolage eines Unternehmens für das jeweilige Top-Management. Aus diesem Grund beteiligt sich die RMA an allen relevanten Stan­ dardisierungsvorhaben im Umfeld Risikoma­ nagement, sei es durch Stellungnahmen oder auch direkt durch die Beteiligung an der Erstel­ lung von Standards. So hat die RMA in 2018 gemeinsam mit dem Deutschen Institut für Revision e.V. (DIIR) den DIIR Revisionsstandard Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision auf die neue Version 2.0 aktualisiert. Ebenso hat die RMA nun auch Stellung bezogen zum Entwurf der Neufassung des PS 340. Im Rahmen einer Sitzung des RMA-Arbeitskreises „Risikomanagement-Stan­ dards“ im Herbst 2019 wurde der Entwurf durchaus kontrovers diskutiert. Im Nachgang wurde unter Beteiligung des Arbeitskreises die Stellungnahme der RMA erarbeitet, die Mitte Januar dieses Jahres beim IDW eingereicht wurde und auf der Website des IDW veröffent­ licht wurde. In der Einleitung zum Entwurf für PS 340 wur­ den die wesentlichen Elemente der Neufassung sowie die dahinterliegende Intention erläutert. Hierzu gehören insbesondere folgende Aspekte:  Betonung, dass die „Pflicht des Vorstands zur Früherkennung bestandsgefährdender Entwick­ lungen die Beurteilung der individuellen Risiko­ tragfähigkeit (...) des Unternehmens erfasst“  Hervorhebung der Bedeutung der Risikoaggre­ gation, da in der Regel nur Kombinationseffekte von Risiken zur Bestandsgefährdung führen  Notwendigkeit der Betrachtung von Netto- Risiken und in Konsequenz Risikosteuerung als zu prüfende Maßnahme  Stärkere Berücksichtigung von identifizierten Mängeln im Prüfungsbericht zwecks frühzeitige­ rer Information des Aufsichtsrats über Schwach­ stellen in der Unternehmensorganisation Diese Schwerpunktsetzungen und damit ver­ bundenen Intentionen wurden in der RMA- Stellungnahme explizit begrüßt. Allerdings vermerkte die RMA-Stellungnahme, dass sich im eigentlichen Text des Standards nicht alle genannten Schwerpunktsetzungen in der erwähnten Konsequenz wiederfinden bzw. Präzisierungen oder klare Definitionen fehlen. Besonders kritisch gesehen wurde in der RMA- Stellungnahme, dass der Entwurf für PS 340 eine Öffnungsklausel für qualitative Risiko­ beurteilungen vorsieht. Ausgangspunkt für Prüfungen auf Basis von PS 340 ist schließlich die gesetzliche Anforderung der Erkennung bestandsgefährdender Entwicklungen. Um diese Anforderung zu erfüllen, reichen jedoch rein qualitative Aussagen zur Gesamtrisikositu­ ation des Unternehmens im Vergleich zum vor­ handenen Risikodeckungspotenzial des Unter­ nehmens nicht aus. Qualitative Einschätzungen zu Risiken können als Einstieg für eine detail­ lierte Quantifizierung oder zur Plausibilisierung von Quantifizierungen dienen. Sie können die Quantifizierung aber nicht ersetzen. Bereits bei einzelnen Risiken sind Aussagen zum Grad des Risikos in rein qualitativer Form nicht ausrei­ chend, da die Komplexität von Verteilungen zukünftiger Ereignisse (darum geht es bei Aussagen zum Risiko) sich nicht ohne ein entsprechendes quantitatives Instrumentarium abbilden lässt. Bei der Identifizierung von bestandsgefährdenden Entwicklungen geht es jedoch nicht nur um einzelne Risiken, sondern um die Abschätzung des Gesamtrisikoumfangs des jeweiligen Unternehmens. Die Zusammen­ hänge zwischen einzelnen Risiken und das Zusammenwirken von Risikoeffekten über den jeweiligen Betrachtungszeitraum verlangen eine adäquate quantitative Aggregation. Nur eine solche quantitative Risikoaggregation erlaubt es auch dem Prüfer zu validieren, ob die Ermitt­ lung des Gesamtrisikoumfangs adäquat erfolgt ist. Auch aus Sicht der Prüfung muss daher eine adäquate Modellierung der Risiken mit Offenlegung der jeweiligen Annahmen verlangt werden. Ansonsten fehlt bereits die wesentliche Grundlage für die Prüfungshandlung. >>