Neufassung des Prüfungsstandards IDW PS 340 – Prüfung von Risikofrüherkennungssystemen

Diese Neufassung des IDW PS 340 wird erstmals verpflichtend auf Geschäftsjahre und Abschlussprüfungen angewendet, die nach dem 31.12.2020 beginnen. Die Überarbeitung des Prüfungsstandards war notwendig, um mit der voranschreitenden Entwicklung der Corporate-Governance-Systeme in Unternehmen Schritt halten zu können. Zudem ist die Prüfung des Risikofrüherkennungssystems im Aktiengesetz fest verankert (§ 91 Abs. 2).

Was ändert sich? Kurzüberblick über die wichtigsten Neuerungen

1. Ermittlung und Analyse der Risikotragfähigkeit

Die neue Fassung des Prüfungsstandards betont vor allem die Pflicht eines Unternehmens, die eigene Risikotragfähigkeit zu bestimmen. Die Risikotragfähigkeit bezeichnet das maximale Schadensausmaß, welches das Unternehmen tragen kann, ohne den zukünftigen Fortbestand zu gefährden. Die Ermittlung der Risikotragfähigkeit ist die Voraussetzung für die nachgelagerte Beurteilung der Bestandsgefährdung einzelner Risiken oder der Gesamtrisikoposition.

2. Risikoaggregation

Ein weiterer Aspekt der Neufassung ist die Risikoaggregation zur Ermittlung der Gesamtrisikoposition, wobei besonders die erweiterte konzernweite Betrachtungsweise hervorgehoben wird. Auch wenn einzelne Risiken auf Basis der Risikotragfähigkeitsrechnung nicht als bestandsgefährdend einzustufen sind, kann das Zusammenwirken mehrerer Einzelrisiken dennoch den Fortbestand des Unternehmens gefährden. Um derartige Interdependenzen zu berücksichtigen, müssen Wechselwirkungen bzw. Abhängigkeiten von Risiken in einer entsprechenden Risikomanagementsoftware erfasst werden. Durch Simulationsverfahren kann anschließend eine aggregierte Risikoposition für das Unternehmen errechnet werden.

3. Bewertung von Nettorisiken unter Berücksichtigung von Maßnahmen zur Risikosteuerung

Das Betrachten und das Bewerten von Risiken in Brutto- und Nettowerten sind weitere Aspekte des neu verfassten Prüfungsstandards. Das Bruttorisiko bezeichnet das Schadensausmaß und die Eintrittswahrscheinlichkeit vor Berücksichtigung mitigierender Risikosteuerungsmaßnahmen. Das Nettorisiko bezeichnet entsprechend das Risiko nach Berücksichtigung derartiger Maßnahmen. Die getrennte Darstellung von Brutto- und Nettorisiken sorgt dabei für eine transparente Dokumentation. Ein weiterer Aspekt ist zudem die Berücksichtigung von Extremrisiken mit sehr hohem Schadensausmaß, aber geringer Eintrittswahrscheinlichkeit („Tail-Event-Risiken“).

4. Grundelemente des Risikofrüherkennungssystems

Die Neufassung berücksichtigt außerdem die Konkretisierung der Grundelemente eines Risikofrüherkennungssystems. Hierbei sind vor allem die Grundelemente der Prüfungsstandards IDW PS 980 (Prüfung von Compliance Management-Systemen) und IDW PS 981 (freiwillige Prüfung von Risikomanagementsystemen) relevant. Ein verpflichtendes Grundelement stellt die Risikosteuerung dar. Hierfür ist in einem entsprechenden Managementsystem nachvollziehbar zu dokumentieren, auf welcher Basis sich für einzelne Risikosteuerungsmaßnahmen entschieden wurde. Weiterhin sind systematisch Status, Bewertung und Angemessenheit der Maßnahmen nachzuverfolgen.

Eine wichtige Neuregelung für den Abschlussprüfer besteht in der Prüfung der unternehmensspezifischen Risikosteuerung. Aufgrund der Tatsache, dass Risikosteuerungsmaßnahmen nun ein verpflichtender Teil des Risikofrüherkennungssystems sind, muss der Abschlussprüfer auch explizit diesen Teilprozess beurteilen.

5. Prüfung der Risikosteuerung

Zukünftig ist die Steuerung von Risiken ein verpflichtendes Grundelement des Risikofrüherkennungssystems. Zur Risikosteuerung ist ein entsprechendes Managementsystem einzurichten, welches die Maßnahmen zur Risikosteuerung dokumentiert und deren Wirksamkeit, Status und Angemessenheit nachverfolgt. Gemäß § 91 Abs. 2 AktG stellt eine fehlende Dokumentation einen Mangel in Bezug auf die vom Vorstand zu treffenden Maßnahmen dar und muss im Prüfbericht entsprechend aufgeführt werden.

6. Dokumentation der Mängel im Prüfungsbericht

Eine weitere bedeutende Neuerung für Abschlussprüfer ist die Erweiterung der Anforderungen an die Dokumentationspflichten. Sollten hierbei die Dokumentationspflichten des Vorstands wesentliche Mängel aufzeigen, entspricht dies einem Gesetzesverstoß nach § 91 Abs. 2 AktG. Dabei ist der Abschlussprüfer dazu verpflichtet, den Aufsichtsrat im Prüfungsbericht über die Mängel des Risikofrüherkennungssystems zu informieren.

Leistungen für Unternehmen

Abhängig von den bereits implementierten Risikomanagementsystemen können sich verschiedene zeit- und ressourcenintensive Handlungsbedarfe für Unternehmen ergeben. Mazars kann Sie hierbei im Rahmen unterschiedlicher Fragestellungen unterstützen:

• Analyse des bestehenden Risikotragfähigkeitskonzepts
• Herleiten einer Risikotragfähigkeitsrechnung
• Implementierung oder Optimierung eines individuell angepassten Bewertungssystems für Risiken
• Ermittlung einer aggregierten Risikoposition
• Implementierung eines individuell angepassten Risikomanagementsystems