IDW PS 340 n.F. – noch mehr lästige Pflicht oder eine Chance für das Risikomanagement?

Die kürzlich veröffentlichte neue Fassung des Prüfungsstandards IDW PS 340 hat zu hitzigen Diskussionen über Themen wie Risikotragfähigkeit und Aggregation geführt und dabei zugrunde liegende Methoden des Risikomanagementsystems und die Bedeutung quantitativer Ansätze in den Mittelpunkt gerückt.

Geprägt von ihrem Alltag und der Arbeit im Spannungsfeld zwischen erster Verteidigungslinie und Vorstand stehen im Dialog mit Risikomanagern meistens Themen wie Risikokultur oder die Akzeptanz des Risikomanagementsystems im Vordergrund.

Häufige Fragestellungen sind etwa: 

  • “Wie erreiche ich inhaltlich plausible und treffende Risikobewertungen und nicht nur die eilige Freigabe zwei Tage nach Ablauf der Frist?” 
  • “Wie behalte ich den Überblick zum Umsetzungsstand der vereinbarten Maßnahmen?” 
  • “Wie kann ich meinem Vorstand zu den Risiken berichten, ohne als Überbringer der schlechten Botschaft zu wirken?”

Zuletzt allerdings entstand durch den Entwurf der Überarbeitung des Prüfungsstandards IDW PS 340 eine durchaus hitzige Diskussion rund um Aspekte wie die Risikotragfähigkeit und Risikoaggregation. Im Grund sind das Auseinandersetzungen zur Methodik des Risikomanagementsystems und auch bis zu welchem Grad, an welchen Prozessschritten quantitative Ansätze sinnvoll und/oder notwendig sind. 

 

Ende Juni wurde schließlich der IDW PS 340 n.F. verabschiedet. Daraus ergeben sich eine Reihe von Auswirkungen auf die bestehenden und bisher vom Prüfer attestierten Systeme im Sinne der Frühwarnfunktion. Den meisten Unternehmen werden Veränderungen ihrer Methodik bevorstehen: Das Stichwort “Bestandsgefährdung” ist hier entscheidend. Die Beurteilung, ob diese vorliegt und die vorgegebene regelmäßige Analyse der Situation führt zwingend zu einem Abgleich zwischen der Risikotragfähigkeit sowie der aktuellen Gesamtrisikoposition. Ein weiterer wichtiger Aspekt ist in diesem Zusammenhang die Aggregation der Risiken über die Zusammenfassung auf Risikoarten hinaus. Als weitere Konsequenz muss die Nachverfolgung der definierten Maßnahmen gestärkt werden, was sich aus der Verankerung einer verpflichtenden Risikosteuerung ergibt.

 

Eine kürzlich veröffentlichte Deloitte-Studie bestätigt den Handlungsbedarf in den Unternehmen. So gaben zum Beispiel mehr als einem Drittel der Studienteilnehmer an, dass ihnen die sich daraus ergebenden Änderungen nicht oder nicht vollumfänglich bekannt waren. Weiterhin sehen nur etwa die Hälfte der Befragten die neuen Anforderungen durch ihr Risikomanagementsystem als erfüllt an.


Auch Expertenmeinungen legen nahe, dass es eine gewisse Diskrepanz zwischen diesen Anforderungen, bzw. Den darunterliegenden wissenschaftlichen Ansätzen und dem Umsetzungsgrad dieser Konzepte in den Unternehmen gibt. Die Betrachtung des zeitlichen Rahmens verdeutlicht die Dringlichkeit dieses Themas: Sofern das neue Geschäftsjahr zum 1. Januar 2021 beginnen, wird das Risikofrüherkennungssystem dieses Jahres bereits nach dem überarbeiteten Prüfungsstandard geprüft.

 

Alyne bietet ein vielseitiges Paket, das Unternehmen die durch den IDW PS 340 n.F. erforderlichen Umstellungen im Risikomanagementsystem erleichtert:

  • Ganzheitliches Gesamtrisikoinventar: In Alyne stehen umfangreiche Vorlagen sowie eine Bibliothek mit Kontrollanforderungen und Risiken zur Verfügung. Anhand dieser Vorlagen können sehr einfach Gap-Analysen zu einschlägigen Themenfeldern durchgeführt werden. Anhand der Ergebnisse werden Risiken vorgeschlagen, die dann durch den regulären Risikomanagementprozess gesteuert werden. Diverse Auswertungsmöglichkeiten wie auch die beliebte Heatmap stehen zur Verfügung, um schnell einen Überblick zu den Risiken zu erhalten. 
  • Qualitative und quantitative Risikobewertungen: Die Bewertung der Risiken kann nach qualitativen Klassen (z.B. kritische Auswirkung/fast sicherer Eintritt) erfolgen und es gibt separat die Möglichkeit, eine finanzielle Bewertung zu hinterlegen. Hierfür steht unser “Financial Loss Estimator” zur Verfügung, der den Nutzer über ausgewählte qualifizierende Fragen zu einem Vorschlag hinsichtlich des zu erwartenden finanziellen Schaden führt. 
  • Betrachtung von Risikotragfähigkeit, bzw. Risikoappetit: Als zentrales Steuerungselement ist in Alyne ein Graph eingebettet, der sowohl den Risikoappetit (i.d.R. abgeleitet von der Risikotragfähigkeit) als auch die aktuelle Gesamtrisikoposition in Echtzeit darstellt. Dieser berücksichtigt den Minderungseffekt durch Maßnahmen, was entlang eines Zeitstrahls dargestellt wird. 
  • Dokumentation und Nachverfolgung von Maßnahmen: Die Erfassung von Maßnahmen kann auf zwei Arten erfolgen. Sie können entweder frei definiert werden oder auf Basis einer Kontrolle aus der Bibliothek angelegt werden. Im Weiteren werden Verantwortlichkeiten und Fristen hinterlegt und es ist möglich, granulare Aktivitäten aufzunehmen, die einzeln als erledigt markiert werden können. Beliebig viele automatisierte Erinnerungen können konfiguriert werden und es ist darüber hinaus jederzeit möglich, einzelne Nutzer gesondert anzumahnen. Je nach Umsetzungsgrad schlägt sich die Risikominderung der Maßnahme auf die Gesamtrisikosituation durch. 
  • Ermittlung der Gesamtrisikoposition durch Aggregation: Mithilfe einer Monte-Carlo-Simulation, die in Alyne integriert ist, werden die Werte der Einzelrisiken auf eine Gesamtposition aggregiert. Die Ergebnisse der Simulation stehen durch den Einsatz moderner Technologie nahezu in Echtzeit zur Verfügung und weisen neben einer graphischen Darstellung auch den Value-at-risk, die Anzahl der Iterationen sowie die gewählte Verteilungsfunktion aus.

Damit sehen wir unsere Kunden sehr gut gerüstet für die Erfüllung der neuen Anforderungen. Insgesamt bleibt es abzuwarten, inwiefern die durch den IDW PS 340 n.F. getriebenen Veränderungen der Risikomangementsysteme sich im Sinne der eingangs genannten Fragen bewähren. Jedoch kann eine nachvollziehbare und schlüssige Bewertung und Aggregation der Risiken sowie die Einbettung des Gedanken der Risikotragfähigkeit in die Unternehmenssteuerung nur dazu beitragen, dass die Bemühungen der Risikomanager eine größere Akzeptanz finden.

ZurückWeiter
Claudia Howe

Related Posts

Tightened Cyber Security Awareness Training To Combat Heightened Attempts

October is Cybersecurity Awareness Month. This 2021, Co-founder of Alyne, Stefan Sulistyo shares how Alyne goes beyond the notion of being in compliance with various security awareness requirements to strengthen our collective digital ecosystem – especially during remote working, and the recent acquisition of Alyne by Mitratech – two events which have heightened cyber and phishing attempts across the business.
Weiterlesen

A 360 Degree Risk View of Your Vendors with Alyne and SecurityScorecard

Recently, Alyne’s third party risk management capabilities became a whole lot more powerful with the introduction of the SecurityScorecard integration which offers users a comprehensive 360 degree risk view of their third party dependancies. Read more about how you can power-up your vendor governance process with the help of Alyne and SecurityScorecard.
Weiterlesen

Integrating Cyber Security, IT and Vendor Strategy for Improved Enterprise Risk Management

This year, United State's President Joe Biden signed a cyber security executive order to increase scrutiny and raise the bars for software security standards. In this article, Christina Casino from Alyne’s Customer Success Team unpacks and explains Alyne’s approach that can help your organisation streamline and integrate IT, cyber security and vendor strategy all within a single SaaS platform.
Weiterlesen