Der Praktische Ratschlag „2120-1 Beurteilung der Angemessenheit von Risikomanagement-prozessen“ (2120-1 Assessing the Adequacy of Risk Management Processes) unterstützt die Interne Revision bei der Anwendung des Standards „2120 Risikomanagement“ (2120 Risk Management), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.

Nach dem Praktischen Ratschlag 2120-1 ist Risikomanagement eine Hauptverantwortlichkeit von leitenden Führungskräften, Geschäftsleitung und Überwachungsorgan, um die Realisierung der Geschäftsziele zu sichern. Zugleich müssen Geschäftsleitung und Überwachungsorgan beurteilen, ob angemessene Risikomanagementprozesse bestehen und ob diese sachgerecht und wirksam sind, wobei die Interne Revision unterstützend tätig wird und Verbesserungsempfehlungen gibt.

Sind keine förmlichen Risikomanagementprozesse vorhanden, so erläutert der Leiter der Internen Revision Geschäftsleitung und Überwachungsorgan deren Verpflichtung sowie die Notwendigkeit auch formlose Prozesse auf ihre Wirksamkeit hin zu beurteilen.

Die Erwartungen an die Interne Revision im Rahmen des Risikomanagementprozesses müssen ermittelt und festgehalten werden, wobei die Verantwortlichkeiten der Internen Revision mit allen relevanten Gruppen abzustimmen sind. Das Rollenverständnis der Internen Revision im Risikomanagementprozess kann sich im Laufe der Zeit ändern und kann grundsätzliche folgende Ausprägungen haben:

• Keine Rolle
• Prüfung des Risikomanagementprozesses
• Aktive und kontinuierliche Unterstützung und Beteiligung am Risikomanagementprozess
• Steuerung und Koordinierung des Risikomanagementprozesses

Die Rolle der Internen Revision im Risikomanagementprozess wird letztendlich durch die Geschäftsleitung, die Führungskräfte und das Überwachungsorgan festgelegt.

Risikomanagementprozesse variieren nach Unternehmenskultur, Führungsstil und den verfolgten Geschäftszielen. Somit divergieren auch die angewandten Techniken und es wird zwischen formellen und informellen, quantitativen oder subjektiven und in die Organisationseinheit integrierte oder auf Leistungsebene gebündelte Prozesse unterschieden. Die Interne Revision muss sich ausreichende und angemessene Nachweise beschaffen, die Angemessenheit des Risikomanagementprozesses zu beurteilen und wendet dabei unterschiedliche Prüfungstechniken an.

Für den vollständigen Text des Praktischen Ratschlags „2120-1 Beurteilung der Angemessenheit von Risikomanagementprozessen“ (2120-1 Assessing the Adequacy of Risk Management Processes) sowie dem zugehörigen Standard „2120 Risikomanagement“ (2120 Risk Management) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2011, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards und Praktische Ratschläge für die berufliche Praxis der Internen Revision 2011