Der Praktische Leitfaden „Assessing the Adequacy of Risk management Using ISO 31000“ (Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.
Nach dem Leitfaden stehen Organisationen unter einem hohen Druck, sich den gegebenen Risiken zu stellen – sowohl sozialer, ethischer und ökologischer als auch strategischer, finanzieller und operationaler Natur – und zu beschreiben, wie sie mit den Risiken umgehen wollen. Der Standard ISO 31000 bietet hierbei ein Rahmenwerk eines für jede Organisationsgröße passenden Risikomanagement. Der Interne Revisor sollte in diesem Zusammenhang beurteilen, ob die Verantwortung für das Risikomanagement sowie die Risikomanagement-Strategie vorhanden sind und ob das System die Bildung einer risikobewussten Belegschaft und die Gestaltung einer risikobewussten Umgebung ermöglicht, wobei das bewusste Eingehen von Risiken auch Innovationen ermöglicht.
Das Rahmenwerk zum Risikomanagement nach ISO 31000 kann in folgender Abbildung zusammengefasst werden:
Quelle: IPPF – Practice Guide „Assessing the Adequacy of Risk Management Using ISO 31000“
Nach dem Praktischen Leitfaden übernimmt die Geschäftsführung die Verantwortung für das Enterprise Risk Management (ERM), hat den Überblick, versteht die Kernelemente, befragt das Management zu Risiken und wirkt bei Management-Entscheidungen mit. Den Stakeholdern sollten ausreichende Information zukommen, um die Risikoeinstellung des Management und der Geschäftsführung nachvollziehen zu können.
Die Anwendung des ERM ändert sich mit der Zeit. Die Risikoeinstellung kann sich z.B. aufgrund interner und externer Faktoren wandeln und vormals effektive Risikoreaktionen können unwirksam werden. Kontrollaktivitäten können weniger effektiv werden oder auch nicht mehr funktionieren. Deshalb schließen ERM-Prozesse periodische Risikoevaluierung und Risikobeurteilungen mit ein. Eine kontinuierliche Überwachung ist in die regulären Prozesse eingebettet und kann aufgrund der Durchführung in Echtzeit effektiver sein als gesonderte Beurteilungen.
Nach dem „Standard 2100 – Art der Arbeiten“ muss die Interne Revision zur Beurteilung und Verbesserung der Führung und Überwachung sowie des Risikomanagement und IKS durch Anwendung eines systematischen und disziplinierten Ansatzes beitragen.
Zur Unterstützung des Risikomanagementprozesses beurteilt die Interne Revision sowie andere Prüfer, ob z.B.
Nach dem Praktischen Ratschlag 2120-1 Beurteilung der Angemessenheit von Risikomanagementprozessen sollen Interne Revisoren darüber hinaus angemessene und hinreichende Nachweise dafür beschaffen, dass die Kernziele des Risikomanagementprozesses eingehalten werden, um sich eine Meinung über die Angemessenheit zu bilden; hierzu können insb. folgende Prüfungstechniken hilfreich sein:
Das Überwachungsorgan sollte in der Lage sein zu beurteilen, inwiefern der Risikomanagementprozess auf die Bedürfnisse der Organisation zugeschnitten ist und die generellen Regeln guter Praxis erfüllt. Hierbei kann die Interne Revision durch Anwendung diverser Methoden unterstützen.
Eine weitere Aufgabe der Internen Revision besteht in der Beurteilung der Qualität der Risikomanagement-Dokumentation unter Berücksichtigung der Größe und Komplexität der Organisation. Größere Organisationen sollten z.B. über schriftliche Richtlinien, formelle Aufbaudiagramme, Stellenbeschreibungen, Arbeitsanweisungen und Flussdiagramme zu Informationssystemen verfügen. Kleinere und weniger komplexe Organisationen genügt unter Umständen ein geringerer Dokumentationsgrad.
Für den vollständigen Text des Praktischen Leitfadens zur "Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000“ vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: