Sowohl aus betriebswirtschaftlicher als auch aus regulatorischer Sicht übernimmt das Risikomanagementsystem (RMS) eine zentrale Rolle bei der Umsetzung einer guten und verantwortungsvollen Unternehmensführung bzw. einer „Good Corporate Governance“. Der am 08. April 2017 veröffentlichte und freiwillig anzuwendende IDW Prüfungsstandard 981 „Grundsätze ordnungsmäßiger Prüfung von Risikomanagementsystemen“ (PS 981) stellt ein wichtiges neues Instrument dar, den Aufsichtsrat bei seiner gesetzlichen Überwachungspflicht gemäß § 107 Abs. 3 AktG auch bezogen auf das Risikomanagementsystem zu unterstützen. Vor dem Hintergrund der Veröffentlichung des PS 981 haben wir in unserer Studie 53 Industrieunternehmen zwecks Analyse ihrer RMS unter Berücksichtigung der Anforderungen des PS 981 befragt. Hieraus lassen sich Aussagen zum Reifegrad der RMS in deutschen Industrieunternehmen und mögliche Handlungsfelder ableiten.
Trends zur Ausgestaltung von RMS
Mehrwert von RMS wird erkannt
88,4% der Teilnehmer geben an, dass ihr Risikomanagement als aktives Steuerungsinstrument beim Erreichen der Unternehmensziele unterstützt und in 90% beschäftigt sich das Top-Management regelmäßig mit der Weiterentwicklung des RMS. Gleichzeitig nutzen lediglich 11,3% der befragten Unternehmen die RMS-Funktion als internen Risikomanagement-Berater, sondern häufig als Verwalter und Vermittler von Risikoinformationen. Bei allen befragten Unternehmen ist das Risikomanagement aussagegemäß institutionalisiert und hat einen soliden Reifegrad erreicht. Optimierungspotenziale werden in allen Grundelementen des RMS gesehen.
Strategische Risiken verstärkt im Fokus
98,1% der Teilnehmer befassen sich aussagegemäß in ihrem RMS mit strategischen Risiken und bei 70,6% ist der RMS-Verantwortliche nach eigenen Angaben auch für das strategische Risikomanagement zuständig. Gleichzeitig erfolgen bei lediglich 50,9% der Teilnehmer Abstimmungen zwischen Risikomanagement-Funktion und Strategieabteilung.
Stärkere Verzahung mit Planung möglich
37,7% der Teilnehmer identifizieren bzw. aktualisieren ihre Risiken zwar parallel zur Unternehmensplanung und unterjährigen Forecasts, allerdings erfolgt dies laut eigenen Angaben ohne Abstimmung mit den Planungsverantwortlichen. Bei 26,4% der Teilnehmer besteht laut eigener Einschätzung gar keine zeitliche Parallelität und inhaltliche Verzahnung zwischen Risikoidentifikation/ -aktualisierung und der Unternehmensplanung.
Nutzung quantitativer Methoden nimmt zu
Laut eigenen Angaben nutzen inzwischen ca. 30% der Teilnehmer Risikosimulationen & -aggregationen zur Bewertung der Gesamtrisikosituation oder einzelner Risikoszenarien. Überraschend ist das im Verhältnis zu vergleichbaren Studienergebnissen der Vergangenheit hohe Maß der Anwendung der ursprünglich aus dem Finanzsektor stammenden Methoden.
Risikomanagement-Komitees vermehrt eingerichtet
Die Einrichtung von funktionsübergreifenden Risikomanagement-Komitees und -Ausschüssen nimmt zu. 56,0% der Teilnehmer richten entsprechende Gremien zur kontinuierlichen Weiterentwicklung des RMS und zur Diskussion der Risikosituation ein. Häufig sind in diesen Gremien neben den Risikomanagern Vertreter der Funktionen Compliance Management, Internes Kontrollsystem und Interne Revision vertreten.
Hohe Erwartungen an den PS 981
38% der befragten Unternehmen planen nach eigenen Angaben eine Überarbeitung des RMS in Anlehnung an den neuen PS 981 und 13% eine Prüfung des RMS nach PS 981 bereits innerhalb der nächsten zwölf Monate.
Ausblick: Zukünftige Handlungsfelder
Stärkung der Risikomanagementkultur
Ein klares Bekenntnis der Unternehmensführung zum transparenten und proaktiven Umgang mit Risiken und eine Verdeutlichung des Mehrwerts von Risikomanagement ist wichtig für eine Verbesserung der Risikokultur. Schulungen können die Risikokultur ebenfalls positiv beeinflussen. Entscheidend ist letztlich die Akzeptanz der Mitarbeiter.
Aufwertung der Risikomanagement-Funktion
Aufgrund seiner Risikomanagement-Methodenkompetenz und seiner Kenntnisse der Unternehmensrisiken erscheint die Entwicklung des Risikomanagers vom Informationsverwalter zum internen Risikomanagement-Berater hilfreich. Ferner eignet sich der Risikomanager aufgrund seiner Kenntnisse der Unternehmensrisiken als wichtiger Inputgeber bei der Erstellung von Entscheidungsvorlagen.
Verbesserte Nutzung des RMS
Das Risikomanagement kann besser für die Unternehmenssteuerung genutzt werden. Beispielsweise kann eine optimierte Verwertung von Risikoinformationen im Controlling-Instrumentarium dazu beitragen (z.B. der Unternehmensplanung). Ferner erscheint die Nutzung der Schnittstelle zwischen Risikomanagement-Funktion und Strategieabteilung zwecks Identifikation und Steuerung strategischer Risiken ausbaufähig. Außerdem wird der Prozessbezug von Risikomanagement voraussichtlich zunehmen. Risiken werden vermehrt entlang der Steuerungs-, Geschäfts- und Support-Prozesse des Unternehmens identifiziert und analysiert sowie Gegenmaßnahmen/Kontrollen in die Prozesse eingebettet.
Punktuelle Weiterentwicklung
In Bezug auf den Risikomanagementprozess, bestehend aus Risikoidentifikation, -bewertung, -steuerung und -kommunikation, sehen die Studienteilnehmer zum Teil deutliche Optimierungspotenziale. Die etablierten Prozessschritte sollten entsprechend analysiert und punktuell verfeinert werden.
Effizientere Überwachung
Ein Monitoringsystem in Bezug auf den Status und die Wirksamkeit von Gegenmaßnahmen zu wesentlichen Risiken wird sich tendenziell flächendeckend etablieren. Gegenmaßnahmen zu wesentlichen Risiken sollten ferner regelmäßig durch die Interne Revision hinsichtlich ihrer Angemessenheit und Wirksamkeit geprüft werden. Prozessunabhängig liefert der PS 981 neue Möglichkeiten der Wirksamkeitsüberwachung. Unter anderem trägt die Anwendung des PS 981 zur Erfüllung der Überwachungspflichten des Aufsichtsrats in Bezug auf das RMS bei.
www.deloitte.com/de/cga