Der Praktische Ratschlag „2010-2 Nutzung des Risikomanagements durch die Interne Revision (2010-2 Using the Risk Management Process in Internal Audit Planning)“ unterstützt die Interne Revision bei der Anwendung des Standards „2010 Planung“ (2010 Planning), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.
Nach dem Praktischen Ratschlag 2010-2 implementieren viele Unternehmen konsistente und umfassende Risikomanagementansätze, wobei in der Regel auf Rahmenwerke wie das Enterprise Risk Management (ERM) Framework des Committee of Sponsoring Organizations of the Treadway Commission (COSO) zurückgegriffen wird. Ein effizient gestalteter Risikomanagementprozess unterstützt bei der Identifikation von Schlüsselkontrollen innerhalb des Internen Kontrollsystems (IKS), die von der Internen Revisoren geprüft und auf eine angemessene Steuerung wesentlicher Risiken hin beurteilt werden.
Der Praktische Ratschlag 2010-2 unterscheidet zwischen zwei grundlegenden Risikotypen, den innewohnenden Risiken (ohne kompensierende Kontrollen) und den Restrisiken (sog. tatsächliche Risiken, die unter Berücksichtigung kompensierender Kontrollen verbleiben). Schlüsselkontrollen können als Kontrollen oder Gruppen von Kontrollen definiert werden, die ein sonst nicht tragbares Risiko auf ein angemessenes Maß reduzieren.
Soweit ein organisationseigener Risikomanagementprozess existiert, muss die Interne Revision diesen berücksichtigen. Der Leiter der Internen Revision sorgt dafür, dass interne Revisoren mit den notwendigen Fachkenntnissen oder externe Dienstleister sachgerecht eingesetzt werden.
Innewohnende Risiken, Restrisiken, ausgleichende Kontrollen, Notfallpläne, Überwachungsmaßnahmen, Risikoinventare und die Dokumentation sind Faktoren, welche in die Prüfungsplanung der Internen Revision einfließen. Für die Koordination mit anderen Prüfungsfunktionen ist der Praktische Ratschlag „2050-2 Bestätigungs- und Prüfungsübersichten (2050-2 Assurance Maps)“ zu berücksichtigen.
Normalerweise wird die Interne Revision Bereiche mit hohem innewohnendem Risiko, hohe Restrisiken und Schlüsselkontrollen identifizieren. Bereiche mit nicht akzeptierbarem Restrisiko werden den Führungskräften gemeldet. Überflüssige, doppelte, aufwendige oder komplexe Kontrollen können zur Verminderung der Kontrollkosten optimiert werden.
Das Risikomanagementsystem sollte in seiner Gesamtheit angemessen dokumentiert sein und kann ggf. durch extern beschaffte Softwarelösungen unterstützt werden.
Bereiche mit hohem bzw. sehr hohem innewohnendem Risiko, die von der Internen Revision nicht vollständig untersucht werden können sowie die Unwirksamkeit von internen Kontrollen sollten separat an die Geschäftsleitung und das Überwachungsorgan berichtet werden. Auch Geschäftseinheiten oder Niederlassungen mit niedriger Risikoeinschätzung sollten periodisch in die Prüfungsplanung aufgenommen werden.
Nach dem Praktischen Ratschlag 2010-2 wird sich die Planung der Internen Revision im Regelfall auf Folgendes fokussieren:
Für den vollständigen Text des Praktischen Ratschlags „2010-2 Nutzung des Risikomanagements durch die Interne Revision (2010-2 Using the Risk Management Process in Internal Audit Planning)“ sowie dem zugehörigen Standard 2010 Planung (2010 Planning) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: