Der DIIR Revisionsstandard Nr. 2 – Prüfung des Risikomanagementsystems durch die interne Revision ist einer von 5 deutschen Revisionsstandards, welche vom Deutschen Institut für interne Revision (DIIR) veröffentlicht werden. Mit diesen Standards werden aktuelle Themen der Internen Revision, welche ein Bestandteil des Überwachungssystems eines Unternehmens ist, aufgegriffen sowie die Angemessenheit und Wirksamkeit der Maßnahmen und Kontrollen zur Risikosteuerung beurteilt und bearbeitet. Sie dienen Fachkräften und internen Revisoren als Handlungsempfehlung und Unterstützung, sowie zur Erfüllung von Standards (z.B IDW Prüfungsstandard 340) und gesetzlichen Vorgaben, wie §91 Abs. 2 AktG (KonTraG: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“). Der DIIR Revisionsstandard Nr. 2 wurde erstmals im August 2014 veröffentlicht und im Jahr 2018 zuletzt auf Version 2.0 aktualisiert. Die neue Version unterscheidet erstmals die Prüfung von Organisation und Prozessen einerseits sowie die Methoden (z. B. für Risikoquantifizierung und Risikoaggregation). Zudem wird in Folge der Implikationen aus §93 AktG gefordert, dass das Risikomanagement mit Risikoanalysen in die Vorbereitung „unternehmerischer Entscheidungen“ (§93 AktG) einzubeziehen ist, um „angemessene Informationen“ in den Entscheidungsvorlagen belegen zu können (insb. über die Veränderung des Risikoumfangs durch die Entscheidung, siehe Business Judgement Rule).
Ziel
Das Ziel des DIIR Revisionsstandard Nr. 2 ist die Darstellung von Grundsätzen zur Prüfung des Risikomanagementsystems durch die interne Revision. Das Risikomanagement ist die Aufgabe der Führungsebene eines Unternehmens und Bestandteil der Geschäfts-, Planungs- und Überwachungsprozesse, daher ist dem Risikomanagementsystem eine besondere Bedeutung zuzuordnen. Der DIIR Revisionsstandard Nr. 2 bildet ein Rahmenwerk zur Planung und Durchführung von Prüfungen des Risikomanagementsystems und stellt dabei bewusst keinen konkreten Prüfplan dar. Dazu werden die Bestandteile Risikomanagement-Organisation und Risikokultur, Risikostrategie (Risikopolitik), Risikoidentifikation und -erfassung, Risikoanalyse und -bewertung, Risikosteuerung und -überwachung und Risikoberichterstattung und -kommunikation definiert und standardisiert.
Adressaten und Geltungsbereich
Die wesentliche Zielgruppe umfasst Leiter und Mitarbeiter interner Revisionseinheiten, welchen der Standard vom DIIR dringend empfohlen wird. Des Weiteren gilt er Abschlussprüfern, Vorständen und Aufsichtsräten zur Erfüllung der internen Revision, ihrer Sorgfalts- und Überwachungspflichten, sowie Aufgabenträgern in den Bereichen Risikomanagement, Compliance und Controlling.
Anforderungen des Risikomanagements
Neben den Ausführungen des DIIR bestehen die Anforderungen des Risikomanagements laut den Ausführungen des Institutes der Deutschen Wirtschaftsprüfer gem. IDW PS 340 im Wesentlichen aus 5 Bereichen:
- Risikoerkennung und Risikoanalyse: unternehmensinternes Risikobewusstsein, Risikoinventur, Risikobewertung
- Risikokommunikation: Berichtsstrukturen, Definition von Berichtssendern und -empfängern, Berichtszyklen, Schwellenwerte, Ad-hoc-Berichterstattung
- Risikosteuerung und Verantwortlichkeiten: Risikostrategie, risikosteuernde Instrumente und Maßnahmen, Risikoverantwortliche
- Risikomanagementorganisation und Überwachung: Aufbau einer Risikomanagementorganisation, Ernennung von Risikoverantwortlichen, Prüfung durch interne Revision und durch Jahresabschlussprüfer
- Dokumentation: Erstellung von Risikomanagement-Richtlinien, Archivierung von Risikoberichten und -dokumenten
Aufbau des DIIR Revisionsstandard Nr. 2
Der DIIR Revisionsstandard Nr. 2 definiert den Aufbau der Prüfung des Risikomanagements über das Phasenmodell des Risikomanagements, an welchem er sich orientiert.
Mit der Aktualisierung des Standards auf Version 2.0 erfolgte die klare Trennung der Prüfungsfelder Organisation und Prozesse im Risikomanagement und betriebswirtschaftliche Methoden. Somit ergibt sich die Unterteilung des Aufbaus in 6 Prüfungsfelder:
Risikomanagement-Organisation und Risikokultur
- Aufbauorganisation: Die Risikomanagement-Organisation ist von der Gesamt- und Risikoverantwortlichen Geschäftsführung einzurichten, da die Risikomanagementphasen auf allen Hierarchieebenen stattfinden. Daher ist die Interaktion zwischen allen Ebenen durch die Aufbauorganisation sicherzustellen. Die interne Revision prüft dabei die Angemessenheit und Wirksamkeit der Aufbauorganisation.
- Ablauforganisation: Klare Einteilung in Verantwortungsbereiche in den Organisatorischen Prozessen. Die interne Revision prüft dabei ebenfalls die Abläufe auf ihre Angemessenheit und Wirksamkeit.
- Risikokultur: Etablierung einer grundsätzlichen Einstellung und dem Verhalten im Umgang mit Chancen und Risiken.
- Dokumentation: Angemessene, systematische und nachvollziehbare Dokumentation des unternehmensinternen Risikomanagements.
Risikostrategie
Umfasst die Risikobereitschaft, das Risikodeckungspotenzial, die Ziele der Risikosteuerung der Geschäftsaktivitäten und die Maßnahmen zur Erreichung dieser Ziele. Die interne Revision prüft dabei unter anderem die Konsistenz der Risikostrategie, die Darstellung der wesentlichen Risiken, die Festlegung von Risikotoleranzen, das Risikotragfähigkeitskonzept und die Dokumentation der Risikostrategie.
Risikoidentifikation und Erfassung
Beinhaltet die methodische Ermittlung aller für die Aufgaben und Ziele der Organisation relevanten Risiken. Dabei ist eine regelmäßige Risikoinventur durchzuführen, welche alle identifizierten Risiken strukturiert und priorisiert darstellt (Risikoanalyse und -bewertung). Zu deren Erstellung können verschiedene Instrumente zur Risikoidentifikation (z. B. Unternehmens- und Umweltanalysen) verwendet werden. Die interne Revision prüft die Auswahl und Angemessenheit der verwendeten Methoden zur Risikoidentifikation und die Vollständigkeit und korrekte Erstellung des Risikoinventars.
Risikoanalyse und -bewertung
Erlaubt eine Aussage zum Gesamtrisikoumfang und zu möglichen Bestandsgefährdungen bzw. Auslastungen des Risikodeckungspotenzials einer Organisation. Dabei werden die Risiken, um eine Priorisierung und Quantifizierung durchzuführen, hinsichtlich ihrer Ursache-Wirkung-Beziehungen, ihrer Eintrittswahrscheinlichkeit und quantitativen Auswirkungen mit Hilfe quantitativer Verfahren (Wahrscheinlichkeitsverteilungen) beschrieben. Gefordert wird die Prüfung der Methoden der Risikoaggregation die erforderlich sind, um mögliche bestandsgefährdenden Entwicklungen auch aus Kombinationseffekte von Einzelrisiken zu erkennen (z. B. Verletzungen von Mindestanforderungen an das Rating).
Die Aufgabe der internen Revision ist dabei die Prüfung der Eignung des verwendeten Risikomaßes, die Feststellung der vollständigen Durchführung der Analyse und die Beurteilung der Angemessenheit der angewandten Methoden für Risikoquantifizierung und Risikoaggregation.
Risikosteuerung und -überwachung
Die Risikoüberwachung dient der Messung der zeitlichen Veränderung der Risiken zur Anpassung der Risikosteuerung, welche sich mit den Maßnahmen zur Risikoidentifikation und -analyse auseinandersetzt. Die Ziele dieser Maßnahmen können die Risikovermeidung, Risikoübertragung, Risikoreduktion oder Risikoakzeptanz sein. Die Aufgabe der internen Revision ist hier die Beurteilung der Angemessenheit und Wirksamkeit dieser Maßnahmen und die Durchführung von Kontrollen.
Risikoberichterstattung und Kommunikation
Das Ziel ist die zeitnahe Information der Entscheidungsträger über die Risikolage, den Gesamtrisikoumfang und die Wahrscheinlichkeit bestandsgefährdender Entwicklungen. Dies dient der Vorbereitung zur „unternehmerischer Entscheidungen“ im Sinne § 93 AktG, z. B. bei der risikogerechten Bewertung von strategischen Handlungsmöglichkeiten im Rahmen der Strategiebewertung („entscheidungsorientiertes Risikomanagement“).
Die interne Revision prüft dabei die Erfüllung der Vorgaben für die Berichterstattung und -kommunikation und deren Umsetzung in die Praxis, sowie die Kriterien der Vollständigkeit, Zeitnähe, Entscheidungsrelevanz und Adressatengerechtheit. Die Vorgaben umfassen dabei festgelegte Rahmenbedingungen, Verantwortliche und Berichtsempfänger für die Berichterstattung.
Neuerungen im Vergleich zum DIIR Revisionsstandard Nr. 2 (2014)
Mit der Aktualisierung auf Version 2.0 wurden zusätzlich zur bestehenden Aufteilung der Schwerpunkte in Anlehnung an das Phasenmodell des Risikomanagements, folgende wesentliche Ergänzungen und Vertiefungen vorgenommen:
Es kommt zur erstmaligen Forderung der Prüfung von Organisation und Prozessen und der betriebswirtschaftlichen Methoden zur Erfüllung gesetzlicher Kernanforderungen (§91 AktG und insbesondere der Implikationen aus §93 AktG). Damit ist die eigenständige bzw. getrennte Betrachtung dieser beiden Prüffelder gemeint. Dabei wird insbesondere auf die Methode der Risikoaggregation eingegangen und die Notwendigkeit der Quantifizierung von Risiken betont, was ebenfalls als signifikante Neuerung zu bezeichnen ist.
Im Fokus des neuen Revisionsstandards stehen zu dem die Themen Risikoquantifizierung, Risikoaggregation, Risikotragfähigkeit, Entscheidungsorientierung, Entscheidungsorientierung, Risikokultur, 3-Lines-of-Defence und Risikobewältigung.
Weitere DIIR Revisionsstandards
- DIIR Revisionsstandard Nr. 1: Zusammenarbeit von Interner Revision und Abschlussprüfer
- DIIR Revisionsstandard Nr. 2: Prüfung des Risikomanagementsystems durch die Interne Revision
- DIIR Revisionsstandard Nr. 3: Prüfung von Internen Revisionssystemen
- DIIR Revisionsstandard Nr. 4: Prüfung von Projekten
- DIIR Revisionsstandard Nr. 5: Prüfung des Anti-Fraud-Management-Systems
Siehe auch
Literatur
- Werner Gleißner: Grundlagen des Risikomanagements. 3. Auflage. Franz Vahlen, München 2017, ISBN 978-3-8006-4952-5.