Der Praktische Leitfaden „Assessing the Adequacy of Risk management Using ISO 31000“ (Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Nach dem Leitfaden stehen Organisationen unter einem hohen Druck, sich den gegebenen Risiken zu stellen – sowohl sozialer, ethischer und ökologischer als auch strategischer, finanzieller und operationaler Natur – und zu beschreiben, wie sie mit den Risiken umgehen wollen. Der Standard ISO 31000 bietet hierbei ein Rahmenwerk eines für jede Organisationsgröße passenden Risikomanagement. Der Interne Revisor sollte in diesem Zusammenhang beurteilen, ob die Verantwortung für das Risikomanagement sowie die Risikomanagement-Strategie vorhanden sind und ob das System die Bildung einer risikobewussten Belegschaft und die Gestaltung einer risikobewussten Umgebung ermöglicht, wobei das bewusste Eingehen von Risiken auch Innovationen ermöglicht.

Das Rahmenwerk zum Risikomanagement nach ISO 31000 kann in folgender Abbildung zusammengefasst werden: Quelle: IPPF – Practice Guide „Assessing the Adequacy of Risk Management Using ISO 31000“

Nach dem Praktischen Leitfaden übernimmt die Geschäftsführung die Verantwortung für das Enterprise Risk Management (ERM), hat den Überblick, versteht die Kernelemente, befragt das Management zu Risiken und wirkt bei Management-Entscheidungen mit. Den Stakeholdern sollten ausreichende Information zukommen, um die Risikoeinstellung des Management und der Geschäftsführung nachvollziehen zu können.

Die Anwendung des ERM ändert sich mit der Zeit. Die Risikoeinstellung kann sich z.B. aufgrund interner und externer Faktoren wandeln und vormals effektive Risikoreaktionen können unwirksam werden. Kontrollaktivitäten können weniger effektiv werden oder auch nicht mehr funktionieren. Deshalb schließen ERM-Prozesse periodische Risikoevaluierung und Risikobeurteilungen mit ein. Eine kontinuierliche Überwachung ist in die regulären Prozesse eingebettet und kann aufgrund der Durchführung in Echtzeit effektiver sein als gesonderte Beurteilungen.

Nach dem „Standard 2100 – Art der Arbeiten“ muss die Interne Revision zur Beurteilung und Verbesserung der Führung und Überwachung sowie des Risikomanagement und IKS durch Anwendung eines systematischen und disziplinierten Ansatzes beitragen.

Zur Unterstützung des Risikomanagementprozesses beurteilt die Interne Revision sowie andere Prüfer, ob z.B.

• der Risikomanagementprozess angemessen angewendet wird und alle Elemente des Prozesses passend und hinreichend sind,
• der Risikomanagementprozess in Übereinstimmung mit den strategischen Bedürfnissen und Zielen der Organisation steht,
• alle signifikanten Risiken identifiziert sind und behandelt werden,
• die Kontrollen korrekt ausgestaltet sind, um den Risikomanagementprozess zu unterstützen,
• die kritischen Kontrollen angemessen ausgestaltet und effektiv sind,
• die Beurteilung durch das Management und andere nicht-prüferische Bestätigungsaktivitäten ausreichend sind, um Kontrollen aufrecht zu erhalten und zu verbessern,
• die Risikomanagement-Pläne ausgeführt werden, und
• es einen angemessenen und der Berichterstattung entsprechenden Risikomanagement-Plan gibt.

Nach dem Praktischen Ratschlag 2120-1 Beurteilung der Angemessenheit von Risikomanagementprozessen sollen Interne Revisoren darüber hinaus angemessene und hinreichende Nachweise dafür beschaffen, dass die Kernziele des Risikomanagementprozesses eingehalten werden, um sich eine Meinung über die Angemessenheit zu bilden; hierzu können insb. folgende Prüfungstechniken hilfreich sein:

• Beobachtungen
• Interviews
• Dokumentendurchsicht
• Ergebnisse früherer Prüfungen
• Verwertung der Arbeit Dritter
• Analytische Prüfungstechniken
• Prozessvisualisierung
• Statistische Analyse
• Risikomodell-Bewertung
• Umfragen
• Analyse der Kontroll-Selbstevaluierung

Das Überwachungsorgan sollte in der Lage sein zu beurteilen, inwiefern der Risikomanagementprozess auf die Bedürfnisse der Organisation zugeschnitten ist und die generellen Regeln guter Praxis erfüllt. Hierbei kann die Interne Revision durch Anwendung diverser Methoden unterstützen.

Eine weitere Aufgabe der Internen Revision besteht in der Beurteilung der Qualität der Risikomanagement-Dokumentation unter Berücksichtigung der Größe und Komplexität der Organisation. Größere Organisationen sollten z.B. über schriftliche Richtlinien, formelle Aufbaudiagramme, Stellenbeschreibungen, Arbeitsanweisungen und Flussdiagramme zu Informationssystemen verfügen. Kleinere und weniger komplexe Organisationen genügt unter Umständen ein geringerer Dokumentationsgrad.

Für den vollständigen Text des Praktischen Leitfadens zur "Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000“ vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
• IPPF-Practice Guide Assessing the Adequacy of Risk management Using ISO 31000, December 2010, Altamonte Springs, Florida, USA