Das Risikomanagement ist eine sich weiterentwickelnde Disziplin, insbesondere in der heutigen vernetzten Welt, in der Risiken nicht mehr isoliert sind. Sie haben oft kaskadenartige Auswirkungen, bei denen ein Risiko andere auslösen oder verstärken kann, was zu potenziell erheblichen Konsequenzen führt. Diese Erkenntnis steht im Mittelpunkt des deutschen Prüfungsstandards IDW PS 340, der insbesondere die Korrelation von Risiken hervorhebt, d. h. wie Risiken miteinander verbunden sind und sich gegenseitig beeinflussen können. Der Standard ist zu einem wesentlichen Bestandteil der Audit- und Risikomanagementlandschaft geworden und hilft Organisationen, ihre Risikomanagementsysteme zu stärken, um der wachsenden Komplexität von Risikoszenarien standzuhalten.

Was ist IDW PS 340?

IDW PS 340 ist ein deutscher Prüfungsstandard, der Wirtschaftsprüfern bei der Beurteilung des Risikomanagementsystems eines Unternehmens helfen soll, insbesondere bei der Identifizierung von Risiken, die den Fortbestand des Unternehmens gefährden könnten. Der Standard befasst sich mit einem breiten Spektrum von Risiken, wobei der Schwerpunkt auf der Korrelation der Risiken liegt, d. h. auf der Wechselwirkung zwischen verschiedenen Risiken und wie diese Risiken in ihrer Kombination das Unternehmen bei der Erreichung seiner Ziele beeinträchtigen können.

Nach IDW PS 340 muss der Prüfer beurteilen, ob ein Unternehmen über ein wirksames und robustes System zur Früherkennung von Risiken verfügt. Dabei geht es nicht nur um die Identifizierung einzelner Risiken, sondern auch um das Verständnis der Zusammenhänge zwischen ihnen und ihrer Auswirkungen auf die Ziele (wenn dies richtig gemacht wird, gemäß ISO 31000). Die Norm hilft den Unternehmen, von einem isolierten Ansatz des Risikomanagements zu einer stärker integrierten und umfassenden Sichtweise überzugehen, die gewährleistet, dass Risiken in ihrem breiteren Kontext bewertet werden.

Die Wichtigkeit der Risikokorrelation

Die Risikokorrelation bezieht sich auf die Beziehung zwischen verschiedenen Risiken innerhalb einer Organisation, wobei der Schwerpunkt darauf liegt, wie ein Risiko die Unsicherheit bei der Zielerreichung erhöhen kann, wenn es mit anderen Risiken, insbesondere der Wahrscheinlichkeit und/oder den Auswirkungen anderer Risiken, in Verbindung steht. So könnte beispielsweise ein operationelles Risiko zu einem finanziellen Risiko führen oder ein Compliance-Risiko ein strategisches Risiko verschärfen. Dieses Konzept ist von entscheidender Bedeutung, da es Organisationen ermöglicht, potenzielle Kaskadeneffekte zu erkennen, die, wenn sie unkontrolliert bleiben, zu erheblichen betrieblichen, finanziellen oder Reputations-Schäden führen können.

Im Kontext von IDW PS 340 ist das Verstehen von Risikozusammenhängen für die Risikofrüherkennung von entscheidender Bedeutung. Indem Unternehmen erkennen, wie verschiedene Risiken zusammenwirken, können sie Probleme besser vorhersehen und vorbeugende Maßnahmen ergreifen. Dieser integrierte Ansatz stellt sicher, dass Risiken nicht nur isoliert, sondern auch im Hinblick auf ihr Potenzial, andere Risiken zu beeinflussen, bewertet werden.

Hauptaspekte der Risikokorrelation im IDW PS 340

Der Standard bietet einen strukturierten Ansatz für den Umgang mit Risikokorrelationen, der die folgenden Hauptkomponenten umfasst:

1. Umfassende Risikobewertung. Unter IDW PS 340 geht die Risikobewertung über die Identifizierung von Einzelrisiken hinaus. Unternehmen müssen auch verstehen, wie diese Risiken miteinander korrelieren und welche Auswirkungen diese Korrelationen haben könnten. Dieser umfassende Ansatz stellt sicher, dass die Unternehmen die gesamte Risikolandschaft bewerten und berücksichtigen, wie sich ein Ausfall in einem Bereich auf andere Teile des Unternehmens auswirken könnte.
2. Zusammenhängende Risiken. IDW PS 340 erkennt an, dass kein Risiko isoliert existiert. Zusammenhängende Risiken sind Teil des breiteren organisatorischen Ökosystems, und ein Versagen in einem Bereich kann zu Schwachstellen in anderen Bereichen führen. So kann beispielsweise ein Cybersicherheitsrisiko leicht zu Compliance-Problemen oder sogar zu einem Risiko für die Widerstandsfähigkeit und Kontinuität des Unternehmens führen. Das Verständnis dieser Zusammenhänge ist entscheidend für ein effektives Risikomanagement.
3. Frühwarnindikatoren. Der Standard ermutigt Organisationen, Frühwarnindikatoren einzurichten, die anzeigen können, wann ein Risiko eskalieren könnte. Diese Indikatoren erfassen oft mehrere, miteinander korrelierende Risiken gleichzeitig und geben den Organisationen einen frühen Hinweis auf mögliche Probleme. Dies ermöglicht ein proaktives Eingreifen und minimiert die Wahrscheinlichkeit, dass Risikoereignisse zu schwerwiegenden Folgen führen.
4. Szenarioanalyse und Stresstests. Szenarioanalysen und Stresstests sind wichtige Instrumente, um zu verstehen, wie sich korrelierte Risiken auf ein Unternehmen auswirken können. Durch die Simulation verschiedener Szenarien, in denen mehrere Risiken gleichzeitig oder kurz hintereinander auftreten, können Unternehmen ihre Anfälligkeit für zusammengesetzte Risikoereignisse besser einschätzen. Diese Vorausschau ermöglicht gezieltere und wirksamere Strategien zur Risikominderung.
5. Dokumentation und Berichterstellung. Die Dokumentation ist ein Eckpfeiler des IDW PS 340. Organisationen müssen ihre Risikomanagementprozesse dokumentieren, einschließlich der Art und Weise, wie sie mit Risikokorrelationen umgehen. Die Prüfer werden diese Dokumentation genau unter die Lupe nehmen, um sicherzustellen, dass die Organisation nicht nur Risikokorrelationen identifiziert, sondern auch Strategien zur Minderung der potenziellen kombinierten Auswirkungen dieser Risiken umgesetzt hat.

Warum Risikokorrelation wichtig ist

Die Bedeutung der Risikokorrelation liegt in ihrer Fähigkeit, die Auswirkungen von Risiken zu verstärken, was eine Unsicherheit bei der Erreichung der Ziele darstellt. Wenn Risiken miteinander verknüpft sind, kann ein einzelnes Ereignis eine Kettenreaktion auslösen, die zu noch größeren Problemen führt. Indem sie diese Zusammenhänge verstehen und verwalten, können Organisationen ihre Widerstandsfähigkeit erhöhen und die Wahrscheinlichkeit katastrophaler Ausfälle verringern.

Bei der Risikokorrelation geht es nicht nur darum, die Wahrscheinlichkeit eines einzelnen Risikos zu mindern, sondern die systemischen Folgen zu steuern, die sich aus mehreren, miteinander verbundenen Risiken ergeben können. Dies macht sie zu einem entscheidenden Element moderner Risikomanagementstrategien, insbesondere in stark regulierten Umgebungen wie Deutschland, wo Standards wie IDW PS 340 für die Aufrechterhaltung der Unternehmensführung und der betrieblichen Integrität von zentraler Bedeutung sind.

Marktnachfrage nach Risikokorrelations-Management

Ein integrierter Ansatz für Governance, Risikomanagement und Compliance (GRC) setzt sich immer mehr durch, vor allem, weil die Unternehmen bestrebt sind, in einem komplexen globalen Risikoumfeld widerstandsfähiger zu werden. Es zeichnen sich mehrere Trends ab, die mit den Grundsätzen des IDW PS 340 und seinem Fokus auf Risikozusammenhänge übereinstimmen:

• Fortgeschrittene Analytik. Viele Unternehmen nutzen heute fortschrittliche Datenanalyse und KI, um Risikokorrelationen zu erkennen und zu quantifizieren. Mit diesen Tools können Unternehmen große Datensätze aus verschiedenen Quellen analysieren und versteckte Verbindungen zwischen verschiedenen Risiken aufdecken.
• Szenario-Analyse. Die Nachfrage nach Szenarioanalysen wächst. Unternehmen suchen nach Werkzeugen, die ihnen helfen, die Auswirkungen korrelierter Risiken unter verschiedenen Bedingungen zu simulieren und zu bewerten, so dass sie in der Lage sind, die Auswirkungen auf das gesamte Unternehmen vorherzusehen.
• Integrierte GRC-Plattformen. Risikokorrelationsfunktionen werden zunehmend in GRC-Plattformen integriert. Diese Plattformen bieten eine einheitliche Ansicht der Risiken über alle Kategorien hinweg und ermöglichen es Unternehmen, korrelierte Risiken in ihren Entscheidungsprozessen zu berücksichtigen.
• Regulatorische Compliance. Die Compliance mit Prüfungsstandards wie IDW PS 340 bringt Unternehmen dazu, robustere Risikomanagementsysteme zu entwickeln. Organisationen suchen nach Lösungen, die ihnen helfen, diese Vorschriften einzuhalten und gleichzeitig ihre allgemeinen Risikomanagementfähigkeiten zu verbessern.

Der deutsche Standard IDW PS 340 stellt einen Schritt nach vorne dar, was das Verständnis und das Management der vernetzten Natur von Risiken angeht. Seine Betonung der Risikokorrelation spiegelt eine breitere Verlagerung hin zu einem ganzheitlichen und proaktiven Risikomanagement wider. Unternehmen erkennen zunehmend, wie wichtig es ist, die Wechselwirkungen zwischen Risiken zu verstehen, und wenden sich von traditionellen, isolierten Ansätzen des Risikomanagements ab. Stattdessen setzen sie integrierte Rahmenkonzepte ein, die die Interdependenzen zwischen verschiedenen Risikokategorien berücksichtigen.

Für Unternehmen, die den IDW PS 340 einhalten wollen, ist das Verständnis und die Verwaltung von Risikokorrelationen nicht nur eine gesetzliche Anforderung, sondern eine entscheidende Strategie zur Verbesserung der Widerstandsfähigkeit und zur Vermeidung von Kaskadenausfällen. Da sich Unternehmen in einer immer komplexeren Risikolandschaft bewegen, werden Tools wie fortschrittliche Analysen, GRC-Plattformen und Szenarioanalysen für die Verwaltung des komplizierten Netzes von Risiken, mit denen moderne Unternehmen konfrontiert sind, unverzichtbar sein.

Autor dieses Artikels:
Michael Rasmussen – Der GRC Experte und Analyst