IDW PS 340 Software Anforderungen

IDW PS 340 ist ein Prüfungsstandard für Wirtschaftsprüfer deutscher börsennotierter Aktiengesellschaften. Der Fokus liegt darauf, dass Konzerne über ein Früherkennungssystem für „Risiken, die den Fortbestand des Unternehmens bedrohen“, verfügen ² – ein Satz, der 68 Mal auf seinen 28 Seiten verwendet wird. Ich nenne sie kurz "existenzielle Risiken". Dies gilt für Berichtsperioden, die ab Januar 2021 beginnen.

Zusammenfassung der Schlüsselelemente:

• Er definiert Risiken als Entwicklungen oder Ereignisse, die zu einer negativen Abweichung von den Unternehmenszielen führen können ³
• Er definiert die Risikotragfähigkeit als das maximale Ausmaß des Risikos, das das Unternehmen tragen kann, ohne seinen Fortbestand zu gefährden ⁴
• Es ist das Risikoüberwachungssystem, das im Mittelpunkt steht, nicht die Daten innerhalb des Systems
• Das Ergebnis des Audits besteht darin, anzugeben, ob das interne Risikoüberwachungssystem verbessert werden muss
• Identifizierte Risiken werden systematisch in einem Risikoinventar dokumentiert
• Risiken müssen unternehmensweit identifiziert werden
• Risiken müssen hinsichtlich ihrer Eintrittswahrscheinlichkeit, ihrer möglichen Auswirkungen und ihrer Wechselwirkungen bewertet werden
• Risiken werden systematisch aggregiert ⁵
• Das System verfügt über ein formelles Meldeverfahren mit regelmäßigem Rhythmus, umfasst jedoch eine schnelle Berichterstattung an den Verwaltungsrat für existenzielle Risiken
• Der Vorstand trifft Entscheidungen darüber, wie existenzielle Risiken zu kontrollieren sind, und diese Entscheidungen müssen dokumentiert werden

IDW PS 340 stellt dem Wirtschaftsprüfer eine Reihe von Beispielen zur Verfügung, die als existenzielle Risiken betrachtet werden könnten. Zum Beispiel:

1. Gefährdung des Geschäftsmodells, z. B. durch Umweltschutzvorschriften
2. Verlust von Lizenzen oder Konzessionen, die für den Betrieb erforderlich sind
3. Fehlinvestitionen
4. Markteintritt neuer Wettbewerber oder stetig sinkende Umsätze
5. Betriebsunterbrechungen, für die ein unzureichendes Betriebskontinuitätsmanagement besteht
6. Einsatz spekulativer Finanzinstrumente, die zur Insolvenz des Unternehmens führen
7. Verlust des Zugangs zu Schulden (z. B. aufgrund einer Herabsetzung des Ratings des Unternehmens) und Liquiditätsengpässen
8. Makroökonomische Faktoren, wie Tarife oder Kündigung von Handelsverträgen, welche zu tiefgreifenden Preisänderungen führen
9. Verstöße gegen Vorschriften, die zu schweren Strafen und/oder Reputationsschäden führen

Man könnte denken, dass IDW PS 340 ein vernünftiges Risikomanagement beinhaltet, das alle börsennotierten Unternehmen praktizieren sollten. Im Wesentlichen heißt es: Schauen Sie sich das Gesamtrisiko an, dem Sie ausgesetzt sind, bestimmen Sie Ihre Überlebenswahrscheinlichkeit, stellen Sie sicher, dass der Vorstand weiß, wie das Unternehmen scheitern könnte, tun Sie, was Sie können, um das Überleben zu sichern, und stellen Sie sicher, dass die Investoren sich der verbleibenden Wahrscheinlichkeit des Scheiterns des Unternehmens bewusst sind.

Die Realität ist jedoch, dass die verschiedenen Risikoquellen von ganz unterschiedlichen Unternehmensfunktionen mit unterschiedlichen und oft inkompatiblen Bewertungsmethoden evaluiert und verwaltet werden. Diese Risikomanagementfunktionen arbeiten in Silos und es gibt keinen Mechanismus zur Aggregation der Belastung für eine gemeinsame Maßnahme.

Nehmen wir zum Beispiel die Welt der GRC (Governance, Risikomanagement und Compliance). Risikomanager in diesem Bereich konzentrieren sich auf die Sicherstellung der Einhaltung von Vorschriften, indem sie sicherstellen, dass das Unternehmen mit den neuesten Gesetzen Schritt hält, dass Geschäftsprozesse geschaffen werden, um diese Vorschriften zu erfüllen, Verantwortlichkeiten angemessen zugewiesen werden und notwendige Maßnahmen zur Einhaltung dokumentiert werden. Es ist weitgehend ein administratives Problem und kann die Überwachung der Aktivitäten von Tausenden von Menschen beinhalten. Es gibt viele GRC-Softwareplattformen, die dies unterstützen, und fast ausnahmslos verwenden ⁶ sie qualitative Risikobewertungen und Heatmaps zur Bewertung und zum Vergleich von Risiken.

Risikobewertungen sind dafür bekannt, logisch inkonsistent und irreführend zu sein, aber sie haben den Anschein von Einfachheit und bleiben sehr beliebt ⁷. Sie werden im betrieblichen Risikomanagement nahezu allgegenwärtig zum Aufbau und zur Bewertung von Risikoregistern eingesetzt. Eine Google-Bilder-Suche nach "Risikoregister" wird das sehr gut veranschaulichen. IDW PS 340 kann den längst überfälligen Niedergang der qualitativen Risikobewertung einläuten. Es war sicherlich extrem schwierig für GRC-Softwareanbieter, ihre Produkte angesichts dieser Verordnung als zweckdienlich zu verteidigen.

IDW PS 340 ist letztendlich sehr wichtig, weil es um die Aggregation von Risiken und die Einbeziehung gemeinsamer Kausalfaktoren geht; es stellt ereignisbasierte Risiken wie eine Änderung der Regulierung, den Verlust der Lizenz oder Tarifänderungen in den gleichen Topf wie kontinuierliche Risiken wie Cashflow-Unsicherheit, kommerzielle Verluste und Betriebsunterbrechungen; und es besagt, dass man die Wahrscheinlichkeit bestimmen muss, dass das Gesamtrisiko die finanzielle Kapazität für die Organisation übersteigt. Die Anforderungen können nur durch quantitative Risikoanalyse, insbesondere Monte-Carlo-Simulation, erfüllt werden. IDW PS 340 zwingt Risikomanager implizit dazu, Risikobewertungen nicht mehr als Bewertungsmethode zu verwenden, und lehnt Heatmaps als angemessen für die Bewertung des Gesamtrisikos ab. Es ist die erste Unternehmensrisikomanagementverordnung, von der wir wissen, dass sie diesen Schritt unternommen hat, was aus unserer Sicht einen echten Fortschritt darstellt.

Rückwärts betrachtet muss ein Risikoidentifikations- und -bewertungssystem, das die Anforderungen des IDW PS 340 erfüllt, die zukünftige Cashflow-Position zu einem bestimmten Zeitpunkt (z. B. in einem Jahr) projizieren und alle wesentlichen Risiken und Unsicherheiten aggregieren. Diese Prognose wird eine Wahrscheinlichkeitsverteilung sein, und die einzige Möglichkeit, eine solche Verteilung zu erzeugen, ist die Monte-Carlo-Simulation. Der Höchstbetrag, den die Organisation durch den Verkauf von verfügbaren Vermögenswerten und Investitionen oder durch die Übernahme von Schulden zur Deckung einer negativen Cashflow-Position aufbringen kann, wird dann mit dieser Verteilung verglichen.

In der obigen Abbildung wurde beispielsweise die Cashflow-Position in einem Jahr geschätzt und mit den 100 Millionen Euro verglichen, von denen die Organisation glaubt, dass sie sie bei Bedarf aufbringen könnte, was ihrer Risikotragfähigkeit entspricht. Die Grafik zeigt, dass eine Wahrscheinlichkeit von etwa 5 % besteht, dass dies nicht ausreichen würde.

Eine Ausfallwahrscheinlichkeit von 5 % degradiert das Unternehmen zu einer spekulativen Investition. Das Management möchte normalerweise, dass dieses Risiko auf 1 % oder weniger sinkt, um ein Investment-Grade-Rating beizubehalten. Die Zerlegung des Modells, mit dem die prognostizierte Cashflow-Position erstellt wurde, um die wichtigsten Risikotreiber zu ermitteln, die Bewertung der verschiedenen Risikomanagementszenarien zur Kontrolle des Tail-Risikos und das Durchspielen verschiedener Veräußerungsstrategien, um ein besseres Risiko-Ertrags-Verhältnis zu erreichen, sind Standardtechniken der Risikoanalyse.

Eine typische Prognose der zukünftigen Cashflow-Position einer Organisation wird unter Verwendung eines Tabellenkalkulationsmodells (Excel) mit einem Add-In für die Monte-Carlo-Simulation wie ModelRisk durchgeführt. Das Modell gliedert Prognosen für Einnahmen, Kosten, Verbindlichkeiten usw. in einem Standard-Buchhaltungsformat auf. Das Add-In für die Monte-Carlo-Simulation ermöglicht jegliche Unsicherheit in diesen Buchhaltungslinien. Jedes Unternehmen braucht ein eigenes Modell, um seine einzigartigen Umstände zu beschreiben. Die Auswirkungen makroökonomischer Faktoren können addiert werden (wie Inflation, Zinssätze, Wechselkurse). Excel ermöglicht Importe von externen Datendiensten, die sicherstellen können, dass das Modell automatisch auf dem neuesten Stand gehalten wird.

Das Modell muss externe Faktoren einbeziehen, die spezifisch für das Unternehmen sind und eine oder mehrere Variablen steuern. Zum Beispiel kann eine reduzierte Verfügbarkeit von Schlüsselmaterialien (wie Mikrochips) sowohl das Produktionsvolumen verringern als auch die Stückkosten der Herstellung erhöhen. Umgekehrt wird eine erhöhte Verfügbarkeit den gegenteiligen Effekt haben. Solche externen Faktoren können eine große Korrelation zwischen den Cashflow-Linien schaffen. Die Korrelation hat in der Regel den Effekt, dass die Zahl der Cash-Positionsverteilung verlängert wird, so dass die Wahrscheinlichkeit, die finanzielle Leistungsfähigkeit des Unternehmens zu überschreiten, unterschätzt wird, wenn sie nicht einbezogen wird.

Risiken, die auf Marktereignissen beruhen, wie der Eintritt neuer Wettbewerber, sollten ebenfalls berücksichtigt werden. Wenn ein neuer Wettbewerber in einen Markt eintritt, reduziert dies das Umsatzvolumen des Unternehmens und in der Regel den Verkaufspreis. Andere Marktrisikoereignisse sind Dinge wie Verluste von Großaufträgen und die Auflösung einer Partnerschaft. Solche auf Marktereignissen basierenden Risiken haben ihre Kehrseite, die manchmal als Chancen bezeichnet werden – zum Beispiel das Ausscheiden eines Wettbewerbers aus dem Markt, der Gewinn eines neuen Großauftrags oder die Gewinnung eines neuen Partners. Marktrisikoereignisse können mehrere Auswirkungen an verschiedenen Stellen auf den Cashflow haben, wodurch eine Korrelation entsteht.

Eine weitere Risikokategorie ist das betriebliche Risiko. Dabei handelt es sich um ereignisbasierte Risiken, die durch Ausfälle von Geschäftsprozessen, kriminelle Aktivitäten oder menschliche Fehler entstehen – Dinge wie interner Betrug, Cyberangriffe oder ein Regelverstoß. Sie haben keine wechselseitigen Chancen. Betriebliche Risiken können mehrere Folgen haben – zum Beispiel verursacht der Rückruf eines Produkts, das einige regulatorische Standards nicht erfüllt, die direkten Kosten des Rückrufs, einige Erstattungen, möglicherweise eine Reduzierung zukünftiger Verkäufe oder sogar eine vollständige Rücknahme des Produkts.

Eine weitere Art von Risiko, die oft übersehen wird, ist die verzögerte Fertigstellung strategischer Projekte, wie die Einführung eines strategisch wichtigen neuen Produkts oder die Fertigstellung eines Investitionsgebäudes. Verzögerungen sind bei großen Projekten mit damit verbundenen Kostenüberschreitungen und Verzögerungen bei den von ihnen generierten Cashflows üblich. Gelegentlich scheitert ein großes Projekt vollständig und ist dafür bekannt, ein Unternehmen zu ruinieren.

1. Online-Simulationstabelle

Ein Tabellenkalkulationsmodell ist der einfachste Weg, um alle Risikodaten zu sammeln und eine Cash-Positionsprognose zu erstellen, da es die Flexibilität bietet, das gesamte Bild mit allen Interaktionen zu modellieren. Wenn die Tabelle online gehostet wird und ihre Simulationsergebnisse in einem Dashboard für alle angezeigt werden, die über die erforderliche Zugriffsberechtigung verfügen, kann die IDW PS 340-Anforderung zur schnellen Information des Vorstands erfüllt werden.

2. Risikoregister-Plattform

Betriebliche Risiken werden in der Regel in einer GRC-Plattform (Governance, Risikomanagement und Compliance) erfasst, bewertet und gemeldet. Dies sind in der Regel SaaS, was einer sehr großen Anzahl von Benutzern den Zugriff auf das System ermöglicht, um die Einhaltung von Vorschriften und internen Prozessen zu dokumentieren. Leider hat der Fokus von GRC-Plattformen in der Vergangenheit keine Art von Analyse umfasst, so dass die von ihnen gesammelten Daten qualitativ sind (z. B. die Beschreibung der Wahrscheinlichkeit und den Auswirkungen eines Risikos als niedrig, mittel, hoch). Sie sammeln keine aussagekräftigen Informationen über die Zusammenhänge zwischen Risiken (z. B. dass sie aus einer gemeinsamen Ursache stammen könnten und daher eher übereinstimmen), noch bieten sie Mittel, um zu beschreiben, wie ein Risiko mehr als einmal auftreten könnte oder dass es mehrere Folgen haben kann.
Zum Zeitpunkt des Schreibens haben mehrere GRC-Plattformen angegeben, dass sie beabsichtigen, eine quantitative Fähigkeit freizugeben, aber bisher ist nur eine erschienen.

3. Projektkosten- und Zeitplan-Risikoanalyse

Wenn die Organisation auf die erfolgreiche Durchführung eines oder mehrerer Projekte angewiesen ist, benötigt sie ein geeignetes Projektrisikoanalyse-Tool. Mehrere werden hier rezensiert.

Das integrierte Risikomanagementsystem von Vose Software umfasst alle oben beschriebenen Komponenten:

• Pelican Risk Register – ein vollständig quantitatives Risikoregister mit Bowtie-Analyse zur Risikomanagement-Optimierung, Heatmaps usw. Dieses kann mit einem GRC-System verbunden werden.
• Tamara Project Risk – für Projektkosten- und Zeitplan-Risikoanalyse. Es kann Risiken aus dem Pelican Risk Register importieren und Daten zurückveröffentlichen
• ModelRisk for Excel – Simulation in Excel mit Tools zum Import aus dem Pelican Risk Register, Tamara Project Risk und externen Datenquellen
• Pelican IRM – Tools, um die Tabellenkalkulationsmodelle online zu hosten, die erneute Simulation zu automatisieren, Dashboards zu erstellen und sich mit anderen BI-Tools zu verbinden, die vom Vorstand verwendet werden

Vose Software verfügt auch über mehr als 30 Jahre Beratungserfahrung beim Aufbau von Cashflow-Risikomodellen.