Loading AI tools
Aus Wikipedia, der freien Enzyklopädie
Der DIIR Revisionsstandard Nr. 2 – Prüfung des Risikomanagementsystems durch die interne Revision ist einer von 5 deutschen Revisionsstandards, welche vom Deutschen Institut für interne Revision (DIIR) veröffentlicht werden. Mit diesen Standards werden aktuelle Themen der Internen Revision, welche ein Bestandteil des Überwachungssystems eines Unternehmens ist, aufgegriffen sowie die Angemessenheit und Wirksamkeit der Maßnahmen und Kontrollen zur Risikosteuerung beurteilt und bearbeitet. Sie dienen Fachkräften und internen Revisoren als Handlungsempfehlung und Unterstützung, sowie zur Erfüllung von Standards (z.B IDW Prüfungsstandard 340) und gesetzlichen Vorgaben, wie §91 Abs. 2 AktG (KonTraG: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden“). Der DIIR Revisionsstandard Nr. 2 wurde erstmals im August 2014 veröffentlicht und im Jahr 2018 auf Version 2.0 aktualisiert. Die neue Version unterscheidet erstmals die Prüfung von Organisation und Prozessen einerseits sowie die Methoden (z. B. für Risikoquantifizierung und Risikoaggregation). Zudem wird in Folge der Implikationen aus §93 AktG gefordert, dass das Risikomanagement mit Risikoanalysen in die Vorbereitung „unternehmerischer Entscheidungen“ (§93 AktG) einzubeziehen ist, um „angemessene Informationen“ in den Entscheidungsvorlagen belegen zu können (insb. über die Veränderung des Risikoumfangs durch die Entscheidung, siehe Business Judgement Rule). Im Jahr 2022 erfolgt die bisher letzte Aktualisierung auf Version 2.1, um den erweiterten Anforderungen an das Risikomanagement durch § 1 Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) gerecht zu werden.
Das Ziel des DIIR Revisionsstandard Nr. 2 ist die Darstellung von Grundsätzen zur Prüfung des Risikomanagementsystems durch die interne Revision. Das Risikomanagement ist die Aufgabe der Führungsebene eines Unternehmens und Bestandteil der Geschäfts-, Planungs- und Überwachungsprozesse, daher ist dem Risikomanagementsystem eine besondere Bedeutung zuzuordnen. Der DIIR Revisionsstandard Nr. 2 bildet ein Rahmenwerk zur Planung und Durchführung von Prüfungen des Risikomanagementsystems und stellt dabei bewusst keinen konkreten Prüfplan dar. Dazu werden die Bestandteile Risikomanagement-Organisation und Risikokultur, Risikostrategie (Risikopolitik), Risikoidentifikation und -erfassung, Risikoanalyse und -bewertung, Risikosteuerung und -überwachung und Risikoberichterstattung und -kommunikation definiert und standardisiert.
Die wesentliche Zielgruppe umfasst Leiter und Mitarbeiter interner Revisionseinheiten, welchen der Standard vom DIIR dringend empfohlen wird. Des Weiteren gilt er Abschlussprüfern, Vorständen und Aufsichtsräten zur Erfüllung der internen Revision, ihrer Sorgfalts- und Überwachungspflichten, sowie Aufgabenträgern in den Bereichen Risikomanagement, Compliance und Controlling.
Neben den Ausführungen des DIIR bestehen die Anforderungen des Risikomanagements laut den Ausführungen des Institutes der Deutschen Wirtschaftsprüfer gem. IDW PS 340 im Wesentlichen aus 5 Bereichen:
Der DIIR Revisionsstandard Nr. 2 definiert den Aufbau der Prüfung des Risikomanagements über das Phasenmodell des Risikomanagements, an welchem er sich orientiert.
Mit der Aktualisierung des Standards auf Version 2.0 erfolgte die klare Trennung der Prüfungsfelder Organisation und Prozesse im Risikomanagement und betriebswirtschaftliche Methoden. Somit ergibt sich die Unterteilung des Aufbaus in 6 Prüfungsfelder:
Umfasst die Risikobereitschaft, das Risikodeckungspotenzial, die Ziele der Risikosteuerung der Geschäftsaktivitäten und die Maßnahmen zur Erreichung dieser Ziele. Die interne Revision prüft dabei unter anderem die Konsistenz der Risikostrategie, die Darstellung der wesentlichen Risiken, die Festlegung von Risikotoleranzen, das Risikotragfähigkeitskonzept und die Dokumentation der Risikostrategie.
Beinhaltet die methodische Ermittlung aller für die Aufgaben und Ziele der Organisation relevanten Risiken. Dabei ist eine regelmäßige Risikoinventur durchzuführen, welche alle identifizierten Risiken strukturiert und priorisiert darstellt (Risikoanalyse und -bewertung). Zu deren Erstellung können verschiedene Instrumente zur Risikoidentifikation (z. B. Unternehmens- und Umweltanalysen) verwendet werden. Die interne Revision prüft die Auswahl und Angemessenheit der verwendeten Methoden zur Risikoidentifikation und die Vollständigkeit und korrekte Erstellung des Risikoinventars.
Erlaubt eine Aussage zum Gesamtrisikoumfang und zu möglichen Bestandsgefährdungen bzw. Auslastungen des Risikodeckungspotenzials einer Organisation. Dabei werden die Risiken, um eine Priorisierung und Quantifizierung durchzuführen, hinsichtlich ihrer Ursache-Wirkung-Beziehungen, ihrer Eintrittswahrscheinlichkeit und quantitativen Auswirkungen mit Hilfe quantitativer Verfahren (Wahrscheinlichkeitsverteilungen) beschrieben. Gefordert wird die Prüfung der Methoden der Risikoaggregation die erforderlich sind, um mögliche bestandsgefährdenden Entwicklungen auch aus Kombinationseffekte von Einzelrisiken zu erkennen (z. B. Verletzungen von Mindestanforderungen an das Rating).
Die Aufgabe der internen Revision ist dabei die Prüfung der Eignung des verwendeten Risikomaßes, die Feststellung der vollständigen Durchführung der Analyse und die Beurteilung der Angemessenheit der angewandten Methoden für Risikoquantifizierung und Risikoaggregation.
Die Risikoüberwachung dient der Messung der zeitlichen Veränderung der Risiken zur Anpassung der Risikosteuerung, welche sich mit den Maßnahmen zur Risikoidentifikation und -analyse auseinandersetzt. Die Ziele dieser Maßnahmen können die Risikovermeidung, Risikoübertragung, Risikoreduktion oder Risikoakzeptanz sein. Die Aufgabe der internen Revision ist hier die Beurteilung der Angemessenheit und Wirksamkeit dieser Maßnahmen und die Durchführung von Kontrollen.
Das Ziel ist die zeitnahe Information der Entscheidungsträger über die Risikolage, den Gesamtrisikoumfang und die Wahrscheinlichkeit bestandsgefährdender Entwicklungen. Dies dient der Vorbereitung zur „unternehmerischer Entscheidungen“ im Sinne § 93 AktG, z. B. bei der risikogerechten Bewertung von strategischen Handlungsmöglichkeiten im Rahmen der Strategiebewertung („entscheidungsorientiertes Risikomanagement“).
Die interne Revision prüft dabei die Erfüllung der Vorgaben für die Berichterstattung und -kommunikation und deren Umsetzung in die Praxis, sowie die Kriterien der Vollständigkeit, Zeitnähe, Entscheidungsrelevanz und Adressatengerechtheit. Die Vorgaben umfassen dabei festgelegte Rahmenbedingungen, Verantwortliche und Berichtsempfänger für die Berichterstattung.
Mit der Aktualisierung auf Version 2.0 wurden zusätzlich zur bestehenden Aufteilung der Schwerpunkte in Anlehnung an das Phasenmodell des Risikomanagements, folgende wesentliche Ergänzungen und Vertiefungen vorgenommen:
Es kommt zur erstmaligen Forderung der Prüfung von Organisation und Prozessen und der betriebswirtschaftlichen Methoden zur Erfüllung gesetzlicher Kernanforderungen (§91 AktG und insbesondere der Implikationen aus §93 AktG). Damit ist die eigenständige bzw. getrennte Betrachtung dieser beiden Prüffelder gemeint. Dabei wird insbesondere auf die Methode der Risikoaggregation eingegangen und die Notwendigkeit der Quantifizierung von Risiken betont, was ebenfalls als signifikante Neuerung zu bezeichnen ist.
Im Fokus des neuen Revisionsstandards stehen zu dem die Themen Risikoquantifizierung, Risikoaggregation, Risikotragfähigkeit, Entscheidungsorientierung, Entscheidungsorientierung, Risikokultur, 3-Lines-of-Defence und Risikobewältigung.
Mit der Aktualisierung auf Version 2.1 wurden insbesondere die erweiterten Anforderungen an das Risikomanagement durch §1 Unternehmensstabilisierungs- und -restrukturierungsgesetz (StaRUG) von 2021 berücksichtigt.
Seamless Wikipedia browsing. On steroids.
Every time you click a link to Wikipedia, Wiktionary or Wikiquote in your browser's search results, it will show the modern Wikiwand interface.
Wikiwand extension is a five stars, simple, with minimum permission required to keep your browsing private, safe and transparent.