INTERNE REVISIONdigital
  • Kontakt
  • |
  • Impressum
  • |
  • Datenschutz
  • |
  • AGB
  • |
  • Hilfe
Hilfe zur Suche
Ihr Warenkorb ist leer
Login | Registrieren
Sie sind Gast
  • Home
    • Nachrichten
    • Neu auf
    • Top Themen
  • Inhalt
    • eJournal
    • eBooks
    • Mediathek
    • Lexikon
    • Partner Know how
    • Standards/Methoden
  • Service
    • Infodienst
    • Kontakt
    • Stellen
    • Veranstaltungen
  • Bestellen
  • Über
    • Kurzporträt
    • Mediadaten
    • Benutzerhinweise
  • eJournal
  • eBooks
  • Mediathek
  • Lexikon
  • Partner Know how
  • Standards/Methoden
Lexikon

DIIR

Logo DIIR

INTERNE REVISIONdigital Partner

Logo RSM

INTERNE REVISIONdigital Partner

zum Puhnani Podcast

INTERNE REVISIONdigital

ist ein Angebot des

Erich Schmidt Verlag GmbH & Co. KG

Social Media

Twitter Facebook

Am häufigsten gesucht

IPPF Framework Standards marisk Risikotragfähigkeit IPPF Banken Management control öffentliche Verwaltung Revision Grundlagen der Internen Revision Interne Geschäftsordnung Interne Revision Checkliste Arbeitsanweisungen
  • Schreiben Sie uns!
  • Seite empfehlen
  • Druckansicht

Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000 (IPPF Nr.1321-1)

  • Dr. Oliver Bungartz

Der Praktische Leitfaden „Assessing the Adequacy of Risk management Using ISO 31000“ (Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Nach dem Leitfaden stehen Organisationen unter einem hohen Druck, sich den gegebenen Risiken zu stellen – sowohl sozialer, ethischer und ökologischer als auch strategischer, finanzieller und operationaler Natur – und zu beschreiben, wie sie mit den Risiken umgehen wollen. Der Standard ISO 31000 bietet hierbei ein Rahmenwerk eines für jede Organisationsgröße passenden Risikomanagement. Der Interne Revisor sollte in diesem Zusammenhang beurteilen, ob die Verantwortung für das Risikomanagement sowie die Risikomanagement-Strategie vorhanden sind und ob das System die Bildung einer risikobewussten Belegschaft und die Gestaltung einer risikobewussten Umgebung ermöglicht, wobei das bewusste Eingehen von Risiken auch Innovationen ermöglicht.


Das Rahmenwerk zum Risikomanagement nach ISO 31000 kann in folgender Abbildung zusammengefasst werden: Rahmenwerk zum Risikomanagement.PNG Quelle: IPPF – Practice Guide „Assessing the Adequacy of Risk Management Using ISO 31000“

Nach dem Praktischen Leitfaden übernimmt die Geschäftsführung die Verantwortung für das Enterprise Risk Management (ERM), hat den Überblick, versteht die Kernelemente, befragt das Management zu Risiken und wirkt bei Management-Entscheidungen mit. Den Stakeholdern sollten ausreichende Information zukommen, um die Risikoeinstellung des Management und der Geschäftsführung nachvollziehen zu können.

Die Anwendung des ERM ändert sich mit der Zeit. Die Risikoeinstellung kann sich z.B. aufgrund interner und externer Faktoren wandeln und vormals effektive Risikoreaktionen können unwirksam werden. Kontrollaktivitäten können weniger effektiv werden oder auch nicht mehr funktionieren. Deshalb schließen ERM-Prozesse periodische Risikoevaluierung und Risikobeurteilungen mit ein. Eine kontinuierliche Überwachung ist in die regulären Prozesse eingebettet und kann aufgrund der Durchführung in Echtzeit effektiver sein als gesonderte Beurteilungen.

Nach dem „Standard 2100 – Art der Arbeiten“ muss die Interne Revision zur Beurteilung und Verbesserung der Führung und Überwachung sowie des Risikomanagement und IKS durch Anwendung eines systematischen und disziplinierten Ansatzes beitragen.

Zur Unterstützung des Risikomanagementprozesses beurteilt die Interne Revision sowie andere Prüfer, ob z.B.

  • der Risikomanagementprozess angemessen angewendet wird und alle Elemente des Prozesses passend und hinreichend sind,
  • der Risikomanagementprozess in Übereinstimmung mit den strategischen Bedürfnissen und Zielen der Organisation steht,
  • alle signifikanten Risiken identifiziert sind und behandelt werden,
  • die Kontrollen korrekt ausgestaltet sind, um den Risikomanagementprozess zu unterstützen,
  • die kritischen Kontrollen angemessen ausgestaltet und effektiv sind,
  • die Beurteilung durch das Management und andere nicht-prüferische Bestätigungsaktivitäten ausreichend sind, um Kontrollen aufrecht zu erhalten und zu verbessern,
  • die Risikomanagement-Pläne ausgeführt werden, und
  • es einen angemessenen und der Berichterstattung entsprechenden Risikomanagement-Plan gibt.


Nach dem Praktischen Ratschlag 2120-1 Beurteilung der Angemessenheit von Risikomanagementprozessen sollen Interne Revisoren darüber hinaus angemessene und hinreichende Nachweise dafür beschaffen, dass die Kernziele des Risikomanagementprozesses eingehalten werden, um sich eine Meinung über die Angemessenheit zu bilden; hierzu können insb. folgende Prüfungstechniken hilfreich sein:

  • Beobachtungen
  • Interviews
  • Dokumentendurchsicht
  • Ergebnisse früherer Prüfungen
  • Verwertung der Arbeit Dritter
  • Analytische Prüfungstechniken
  • Prozessvisualisierung
  • Statistische Analyse
  • Risikomodell-Bewertung
  • Umfragen
  • Analyse der Kontroll-Selbstevaluierung


Das Überwachungsorgan sollte in der Lage sein zu beurteilen, inwiefern der Risikomanagementprozess auf die Bedürfnisse der Organisation zugeschnitten ist und die generellen Regeln guter Praxis erfüllt. Hierbei kann die Interne Revision durch Anwendung diverser Methoden unterstützen.

Eine weitere Aufgabe der Internen Revision besteht in der Beurteilung der Qualität der Risikomanagement-Dokumentation unter Berücksichtigung der Größe und Komplexität der Organisation. Größere Organisationen sollten z.B. über schriftliche Richtlinien, formelle Aufbaudiagramme, Stellenbeschreibungen, Arbeitsanweisungen und Flussdiagramme zu Informationssystemen verfügen. Kleinere und weniger komplexe Organisationen genügt unter Umständen ein geringerer Dokumentationsgrad.

Für den vollständigen Text des Praktischen Leitfadens zur "Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000“ vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

  • The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
  • IPPF-Practice Guide Assessing the Adequacy of Risk management Using ISO 31000, December 2010, Altamonte Springs, Florida, USA

  • Kontakt
  • |
  • Impressum
  • |
  • Datenschutz
  • |
  • Cookie-Einstellung
  • |
  • AGB
  • |
  • Hilfe
© 2022 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        CONSULTINGBAY        Zeitschrift Interne Revision

Wir verwenden Cookies.

Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies. Das sind zum einen notwendige für den technischen Betrieb. Zum anderen Cookies zur komfortableren Benutzerführung, zur verbesserten Ansprache unserer Besucherinnen und Besucher oder für anonymisierte statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.

Notwendige | Komfort | Statistik


Zur Aktivierung dieser Kategorie werden auch die Kategorien Statistik und Komfort aktiviert.
Cookie-Einstellungen individuell konfigurieren | Nur notwendige Cookies und eingeschränkte Funktionalität auswählen und annehmen

Cookie-Einstellungen individuell konfigurieren

Bitte wählen Sie aus folgenden Optionen:


unterstützen uns bei der Analyse und Optimierung unserer Verlagsangebote. Sie werden anonymisiert aktiviert und geschrieben, beispielsweise durch unseren Anzeigenserver oder AWStats. Externe Analysetools wie Google-Analytics speichern Ihre Daten in den USA. Der Europäische Gerichtshof hat entschieden, dass die USA kein ausreichendes Datenschutzniveau besitzen. Ein behördlicher Zugriff auf Ihre Daten kann somit nicht ausgeschlossen werden. Es besteht kein sogenannter Angemessenheitsbeschluss der EU-Kommission und auch geeignete Garantien, etwa eine gerichtliche Überprüfung der vorgenannten Maßnahmen, sind nicht gegeben.

umfassen bei uns z.B. die reibungslose Einbindung von Session IDs oder externen Service-Anwendungen für unsere Besucherinnen und Besucher (z.B. Maps, Social Media, Video-Player, Stellenmarkt),

stellen sicher, dass Ihre Sitzung technisch (z.B. über den ESV-Sitzungs-Cookie) und rechtlich einwandfrei (z.B. durch die Speicherung dieser Ihrer Cookie-Konfiguration) abläuft. Ihr Einverständnis wird schon vorausgesetzt.

zurück