IDW PS 981
Am 3. März 2017 verabschiedete der Hauptfachausschuss des Instituts der Wirtschaftsprüfer in Deutschland (IDW) den neuen Prüfungsstandard (PS) 981, welcher Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen gemäß § 107 Absatz 3 Aktiengesetz (AktG) beschreibt. Allerdings ist dieser nicht zwangsläufig auf die Erfüllung der gesetzlichen Anforderungen (speziell KonTraG) ausgerichtet (wie bspw. IDW PS 340).[1] Anders als beim jüngeren DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision von 2018 werden Implikationen aus §93 AktG zur Einbeziehung des Risikomanagements bei der Vorbereitungen "unternehmerischer Entscheidungen" noch nicht berücksichtigt. Der IDW PS 981 bezieht sich auf die freiwillige Prüfung des Risikomanagementsystems.
Im Rahmen dieses Prüfungsstandards werden „strategische“ (aktuelle und zukünftige Potenziale) und „operative“ (Ebene des Leistungserstellungsprozesses) Risiken unterschieden.
Risikobegriff
Das Risiko stellt im Allgemeinen die Abweichung eines IST-Zustandes von einem geplanten Zustand dar. Dabei werden positive Abweichungen meistens als „Chancen“ und negative als „Verlust“ oder „Gefahr“ bezeichnet. Risiken werden somit immer bezüglich vorgegebener Ziele betrachtet.
In der Entscheidungslehre wird angenommen, dass Entscheidungen unter Risiko bekannte Eintrittswahrscheinlichkeiten für alle denkbaren Umweltzustände besitzen. Nach dem „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“ (KonTraG) – beschlossen am 1. Mai 1998 – werden nur negative Abweichungen als wirtschaftliche Gefahr für das Unternehmen angesehen. Es ist allerdings wirtschaftlich sinnvoll, sowohl Risiken als auch Chancen im Risikomanagement (RM) zu betrachten. Das RM in Unternehmen arbeitet mit dem Überbegriff „Unsicherheit“ – welcher sowohl den Begriff „Risiko“ als auch „Ungewissheit“ umfasst. Es müssen demnach klare Zieldefinitionen für das RM vorliegen, um eine entsprechende Wahrscheinlichkeitsverteilung auf alle möglichen Zustände zu ermitteln.
Risikomanagement und Risikomanagementsystem
Das Risikomanagement in Unternehmen stellt somit das systematische Denken und Handeln im Umgang mit Chancen und Gefahren – also Risiken – dar und muss in die Unternehmensführung und das Controlling einbezogen werden. Dessen Aufgaben sind Risikoanalyse, -aggregation, -überwachung und -bewältigung sowie Nutzung von Risikoinformationen.[2]
Hierbei muss das RM gemäß gesetzlicher Vorgaben arbeiten bzw. aufgebaut sein.
Mit § 91 Absatz 2 AktG wird der Vorstand dazu verpflichtet, „geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“. Es soll damit nicht nur ein unternehmensweites Risikofrüherkennungssystem vorhanden sein (weiterführend: IDW PS 340), sondern auch ein Risikomanagementsystem (RMS) implementiert werden.
Entsprechend § 107 Absatz 3 AktG soll dazu vom Aufsichtsrat ein Prüfungsausschuss bestellt werden, welcher sich mit der Prüfung des im Unternehmen vorhandenen RMS beschäftigt.
Der „IDW PS 981 erläutert die wesentlichen Grundelemente, die ein RMS typischerweise aufweist, und beschreibt die Prüfungsanforderungen bei der Auftragsannahme, der Prüfungsplanung und -durchführung sowie bei der Dokumentation und Berichterstattung des RMS-Prüfers. Ein gesonderter Abschnitt enthält zusätzliche Anwendungshinweise und Erläuterungen, ferner Musterformulierungen für die Berichterstattung des RMS-Prüfers zu den beiden Auftragsarten“.[3]
Aufbau eines RMS gemäß IDW PS 981
Prüfungsgegenstand des IDW PS 981 ist der sich auf die strategischen und operativen Risiken aus der Geschäftstätigkeit beziehende Teil des RMS (Zielkategorien).
Strategische Risiken müssen dabei unternehmensübergreifend geprüft werden, wohingegen operative auch nur beschränkt, d. h. nach Teilbereichen (Organisation, Prozesse), untersucht werden können.
Das RMS besteht dabei aus acht miteinander in Wechselwirkung stehenden Grundelementen.[4][5]
- Risikokultur (IDW PS 981 Tz. A18)
Sie umfasst die grundsätzliche Einstellung und Verhaltensweisen beim Umgang mit Risikosituationen im operativen (täglichen Geschäft) als auch bei bedeutsamen unternehmerischen Entscheidungen (strategisch). Maßgeblich wird dadurch das Risikobewusstsein des Unternehmens beeinflusst und die Grundlage für ein wirksames RMS geschaffen.
- Ziele des RMS (IDW PS 981 Tz. A19)
Mit diesen soll sichergestellt werden, dass die Unternehmensziele unter Berücksichtigung der Risikostrategie erreicht werden. Unternehmenspolitische Zielsetzungen und insbesondere die Unternehmensstrategie bilden die Grundlage zur Ableitung der Risikostrategie. Hier wird festgelegt, in welchem Ausmaß unter Berücksichtigung der Risikotragfähigkeit Risiken eingegangen werden sollen, ergänzt durch eine entsprechende Risikopolitik zum Umgang mit diesen.
- Organisation des RMS (IDW PS 981 Tz. A20)
Voraussetzung ist eine transparente und eindeutige Aufbau- und klar definierte Ablauforganisation. Sämtliche Regelungen sind klar dokumentiert, strukturiert, kommuniziert und verbindlich vorgegeben. Personal wird entsprechend der persönlichen und fachlichen Voraussetzungen eingesetzt.
- Risikoidentifikation (IDW PS 981 Tz. A21)
Sie umfasst die regelmäßige und systematische Analyse von internen und externen Entwicklungen und Ereignissen, die zu Abweichungen von den Zielen des RMS führen können. Hierbei müssen Vollständigkeit, Richtigkeit und Frühzeitigkeit eingehalten werden.
- Risikobewertung (IDW PS 981 Tz. A22)
Es erfolgt eine systematische Beurteilung der Risiken in Hinblick auf die Eintrittswahrscheinlichkeiten und mögliche Auswirkungen. Verfahren und Kriterien müssen dabei genau definiert werden. Die verwendete Systematik muss zur Einschätzung der Bedeutung und des Wirkungsgrades von Risikosteuerungsmaßnahmen geeignet sein. Dabei müssen Einzelbewertungen aggregiert werden und Interdependenzen analysiert und entsprechend berücksichtigt werden.
- Risikosteuerung (IDW PS 981 Tz. A23)
Die Unternehmensleitung hat basierend auf den Bewertungen, über geeignete Instrumente zur Risikosteuerung (Vermeidung, Reduktion, Akzeptanz, Teilung bzw. Transfer) zu entscheiden. Dadurch geschieht eine Anpassung der Risiken an die Risikotoleranz und -bereitschaft des Unternehmens. Bezugsrahmen sind hierbei die Ziele des RMS.
- Risikokommunikation (IDW PS 981 Tz. A24)
Sie gewährleistet einen angemessenen Informationsfluss unter Voraussetzung von standardisierten Prozessen mit konkreten Zuständigkeiten, Periodizitäten, Schwellenwerten und Berichtsformaten. Die Daten werden regelmäßig überprüft und aktualisiert, was durch prozessintegrierte und -unabhängige Kontrollen geschieht.
- Überprüfung und Verbesserung des RMS (IDW PS 981 Tz. A25)
Die Überwachung des RMS geschieht anhand einer angemessenen Dokumentation. Ergebnisse – insbesondere festgestellte Mängel – daraus werden berichtet und ausgewertet, um erforderliche Maßnahmen zur Verbesserung des Systems und Mängelbeseitigung einzuleiten.
Art und Umfang der Prüfung gemäß IDW PS 981
Die folgenden Aspekte werden im Rahmen des PS von einem internen oder auch extern bestellten RMS-Prüfer überprüft.[6]
- Ausgestaltung
In der Beschreibung wird auf sämtliche (zuvor beschriebenen) Grundelemente eingegangen und beurteilt, ob die Aufbau- und Funktionsweise vollständig, richtig und verständlich ist. Dabei ist eine umfassende Dokumentation zur Risikokultur und damit in Zusammenhang stehende Darstellung der Berichterstattung (intern und extern) sowie zur Weiterentwicklung notwendig.
- Aktualität
Es muss sichergestellt sein, dass das RMS der vorgelegten Beschreibung entspricht und dass die Beschreibung auf wesentliche Änderungen im Betrachtungszeitraum eingeht. Bei Änderungen muss diese aktualisiert werden.
- Angemessenheit
Hierbei hat der Prüfer „zu beurteilen, ob die in der RMS-Beschreibung des Unternehmens dargestellten Regelungen so ausgestaltet und implementiert sind, dass sie in Übereinstimmung mit den angewandten RMS-Grundsätzen geeignet sind, mit hinreichender Sicherheit die wesentlichen Risiken rechtzeitig zu identifizieren, zu bewerten und entsprechend den vom Unternehmen festgelegten Zielen des RMS zu steuern und zu überwachen. Werden wesentliche Fehler oder Mängel entdeckt, ist das zu prüfende Risikomanagementsystem nicht angemessen. Um angemessen zu sein, muss das Risikomanagementsystem mit hinreichender Sicherheit die wesentlichen Risiken rechtzeitig identifizieren, bewerten, steuern und überwachen können. Hier erfolgt auch die Abgrenzung zum Risikofrüherkennungssystem, das die Maßnahmen zur Risikobewältigung nicht beinhaltet.“
Wurden die in der Beschreibung dargestellten Regeln innerhalb des Prüfungszeitraums eingehalten, gilt das RMS als wirksam. Dabei ist zu beachten, dass das Prüfungsintervall nicht stichtagsbezogen und mindestens ein Jahr betragen sollte.
Kritische Würdigung
Es wurde mit diesem Prüfungsstandard die Grundlage geschaffen, RMS zu gestalten, zu überwachen und ggf. extern prüfen und bestätigen zu lassen. Somit kann die Risikotragfähigkeit des Unternehmens besser eingeschätzt und ermittelt sowie auf mögliche „Probleme“/Risiken besser und strukturierter reagiert werden. Er stellt somit eine sinnvolle Ergänzung zum IDW PS 340 (Prüfung des Risikofrüherkennungssystems nach § 317 Absatz 4 HGB) dar.[7]
Eine Verpflichtung der Unternehmen besteht nicht, sich an diesen PS zu halten, jedoch im Rahmen des § 317 Absatz 4 HGB in Verbindung mit § 91 Absatz 2 AktG ist die Prüfung des RMS mittels des PS sinnvoll. Bei Organisationen (z. B. Kredit- und Finanzdienstleistern) wird eine Prüfung des RMS gefordert, jedoch ist dies nicht zwangsläufig mit dem PS 981 umzusetzen. Unternehmen anderer Gesellschaftsformen mit vergleichbaren Sorgfaltspflichten auf Ebene ihrer Organe können ebenfalls durch Anwendung des PS einen Mehrwert für ihr Unternehmen erzielen.
Einzelnachweise
- Gleißner, W.: Risikomanagement, KonTraG und IDW PS 340. In: WPg – Die Wirtschaftsprüfung. Band 3/2017, 2017, S. 158–164.
- Gleißner, W.: Grundlagen des Risikomanagements. Franz Vahlen München, München 2017, S. 21 f.
- HFA verabschiedet IDW PS 981 zur Prüfung von Risikomanagementsystemen. 29. März 2017, abgerufen am 20. Juli 2017.
- Christoph Wunsch, Markus Brinkmann: Prüfung von Risikomanagementsystemen. bdo, 24. Mai 2016, abgerufen am 20. Juli 2017.
- Link, Steßl: IDW EPS 981 – Erste Überlegungen zur Prüfung von Risikomanagementsystemen und seiner Bedeutung im Kontext effektiver Corporate Governance. 5. Juli 2016, abgerufen am 20. Juli 2017.
- Gerhard Schroeder: Neuer Standard zur Prüfung von Risikomanagementsystemen (IDW PS 981). 31. Mai 2016, abgerufen am 20. Juli 2017.
- Gleißner, Berger, Angermüller: Gemeinsame Stellungnahme zu IDW EPS 981. 30. September 2016, abgerufen am 3. August 2017.