Der Praktische Ratschlag „2010-2 Nutzung des Risikomanagements durch die Interne Revision (2010-2 Using the Risk Management Process in Internal Audit Planning)“ unterstützt die Interne Revision bei der Anwendung des Standards „2010 Planung“ (2010 Planning), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.

Nach dem Praktischen Ratschlag 2010-2 implementieren viele Unternehmen konsistente und umfassende Risikomanagementansätze, wobei in der Regel auf Rahmenwerke wie das Enterprise Risk Management (ERM) Framework des Committee of Sponsoring Organizations of the Treadway Commission (COSO) zurückgegriffen wird. Ein effizient gestalteter Risikomanagementprozess unterstützt bei der Identifikation von Schlüsselkontrollen innerhalb des Internen Kontrollsystems (IKS), die von der Internen Revisoren geprüft und auf eine angemessene Steuerung wesentlicher Risiken hin beurteilt werden.

Der Praktische Ratschlag 2010-2 unterscheidet zwischen zwei grundlegenden Risikotypen, den innewohnenden Risiken (ohne kompensierende Kontrollen) und den Restrisiken (sog. tatsächliche Risiken, die unter Berücksichtigung kompensierender Kontrollen verbleiben). Schlüsselkontrollen können als Kontrollen oder Gruppen von Kontrollen definiert werden, die ein sonst nicht tragbares Risiko auf ein angemessenes Maß reduzieren.

Soweit ein organisationseigener Risikomanagementprozess existiert, muss die Interne Revision diesen berücksichtigen. Der Leiter der Internen Revision sorgt dafür, dass interne Revisoren mit den notwendigen Fachkenntnissen oder externe Dienstleister sachgerecht eingesetzt werden.

Innewohnende Risiken, Restrisiken, ausgleichende Kontrollen, Notfallpläne, Überwachungsmaßnahmen, Risikoinventare und die Dokumentation sind Faktoren, welche in die Prüfungsplanung der Internen Revision einfließen. Für die Koordination mit anderen Prüfungsfunktionen ist der Praktische Ratschlag „2050-2 Bestätigungs- und Prüfungsübersichten (2050-2 Assurance Maps)“ zu berücksichtigen.

Normalerweise wird die Interne Revision Bereiche mit hohem innewohnendem Risiko, hohe Restrisiken und Schlüsselkontrollen identifizieren. Bereiche mit nicht akzeptierbarem Restrisiko werden den Führungskräften gemeldet. Überflüssige, doppelte, aufwendige oder komplexe Kontrollen können zur Verminderung der Kontrollkosten optimiert werden.

Das Risikomanagementsystem sollte in seiner Gesamtheit angemessen dokumentiert sein und kann ggf. durch extern beschaffte Softwarelösungen unterstützt werden.

Bereiche mit hohem bzw. sehr hohem innewohnendem Risiko, die von der Internen Revision nicht vollständig untersucht werden können sowie die Unwirksamkeit von internen Kontrollen sollten separat an die Geschäftsleitung und das Überwachungsorgan berichtet werden. Auch Geschäftseinheiten oder Niederlassungen mit niedriger Risikoeinschätzung sollten periodisch in die Prüfungsplanung aufgenommen werden.

Nach dem Praktischen Ratschlag 2010-2 wird sich die Planung der Internen Revision im Regelfall auf Folgendes fokussieren:

• Nicht tragbare Risiken mit erforderlichem Handlungsbedarf von Führungskräften
• Kontrollsysteme, auf die sich die Organisation am stärksten verlässt
• Bereiche mit großer Diskrepanz zwischen innewohnendem und Restrisiko
• Bereiche mit sehr hohem innenwohnendem Risiko

Für den vollständigen Text des Praktischen Ratschlags „2010-2 Nutzung des Risikomanagements durch die Interne Revision (2010-2 Using the Risk Management Process in Internal Audit Planning)“ sowie dem zugehörigen Standard 2010 Planung (2010 Planning) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2011, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards und Praktische Ratschläge für die berufliche Praxis der Internen Revision 2011