Content

4.4 Interne Revision in:

Marc Diederichs

Risikomanagement und Risikocontrolling, page 172 - 183

3. Edition 2012, ISBN print: 978-3-8006-4222-9, ISBN online: 978-3-8006-4223-6, https://doi.org/10.15358/9783800642236_172

Series: Finance Competence

Bibliographic information
4. Risikomanagement-Organisation152 4.4 Interne Revision Da das Risikomanagement-System aus unterschiedlichen Gründen in der Funktionsfähigkeit und Wirksamkeit beeinträchtigt werden kann, ist eine unabhängige Prüfung unverzichtbar. Zwar ist mit dem Wirtschaftsprüfer bereits ein (externer) Prüfer vorhanden. Wie bereits skizziert, ist der Prüfungsumfang – wenn dieser vertraglich nicht erweitert wurde – allerdings begrenzt. Neben dem Wirtschaftsprüfer benötigt ein Unternehmen daher eine unabhängige interne Funktion, die das System überwacht. Hierzu gibt es seitens des Gesetzgebers allerdings keine explizite Regelung. Er überlässt es der allgemeinen Verantwortung der Geschäftsführungen, wie sie die Funktionsfähigkeit des Risikomanagement-Systems absichern wollen. Aufgrund der Charakteristika der internen Revision bietet es sich an, dieser Funktion die Aufgabe zu übertragen. Als prozessunabhängige Instanz kann sie im Auftrag der Unternehmensleitung das System prüfen und überwachen.344 Es sei schon hier angemerkt, dass eine Betreuung der Revision mit operativen Risikomanagement-Aufgaben damit nicht sinnvoll ist, da sie sich andernfalls selbst prüfen müsste und so ein Interessenskonflikt bestünde. Da das Prüfungsgebiet der internen Revision nicht überschneidungsfrei mit dem Prüfungsauftrag des Abschlussprüfers ist, sollten sie sich eng abstimmen, um Doppelarbeiten zu vermeiden. Speziell bei der Prüfung des Risikomanagement-Systems müssen Revision und Abschlussprüfer ihre Arbeit koordinieren. So kann der Abschlussprüfer zum Beispiel auf die Ergebnisse der Prüfung der internen Revision zurückgreifen. Allerdings darf dies die eigene Prüfung nicht ersetzen. Der Wirtschaftsprüfer trägt weiterhin die Verantwortung für sein Prüfungsgebiet. Trotzdem besteht für ihn die Möglichkeit, die Intensität seiner Arbeit nach pflichtgemäßem Ermessen und unter Berücksichtigung der Abdeckung des Prüfungsgebietes durch die Revision entweder zu reduzieren oder zu verstärken.345 4.4.1 Entwicklung und Begriff Die Aufgaben der Revision haben sich im Laufe der Zeit weiterentwickelt. Lag zunächst der Aufgabenschwerpunkt auf der Aufdeckung von dolosen Handlungen und Buchhaltungsfehlern, folgte später die vergangenheitsorientierte Prüfung des Rechnungswesens. Heute erstrecken sich die Aufgaben zudem auf die gegenwarts- und zukunftsorientierte Prüfung und Beratung.346 Das Aktionsgebiet umfasst alle Funktionsbereiche und Prozesse und somit auch die Prüfung des Risikomanagement-Systems. Das US-amerikanische Institute of Internal Auditors (IIA) als Dachverband für alle Revisoren hat den Begriff "interne Revision" aufgrund des veränderten Aufgabenspektrums neu definiert. Während frühere Versionen auf die prüfende und bewertende Funktion fokussierten, wird heute die vermögenssichernde und beratende Funktion in den Vordergrund ge- 344 Vgl. Hofmann (1985), S. 33; Lück (1993), S. 584 f.; Hofmann (1998), S. 154. 345 Vgl. Arbeitskreis „Externe und interne Überwachung der Unternehmung“ der Schmalenbach- Gesellschaft für Betriebswirtschaft e.V. (2000), Tz. 31. 346 Vgl. Hofmann (1985), S. 28 ff.; Schwager (2000b), S. 2337; Horváth (2002), S. 788 f. 4.4 Interne Revision 153 stellt. Die deutsche Fassung des Deutschen Instituts für Interne Revision e.V. (IIR) findet sich im IIR-Revisionsstandard Nr. 1 und lautet: Definition „interne Revision“ nach IIR-Revisionsstandard Nr. 1 Die interne Revision ist eine unabhängige und objektive Tätigkeit mit dem Ziel, durch Prüfung und Bewertung zur angemessenen Beurteilung der Risikosituation, zur Sicherheit, Wertsteigerung und Verbesserung der Geschäftsprozesse beizutragen. Sie unterstützt die Organisationen bei der Erreichung ihrer Ziele durch systematische, zielgerichtete und anerkannte Vorgehensweisen zur Verbesserung der Effektivität des Risikomanagements, der Steuerung und Überwachung sowie der Prozesse in Bezug auf Unternehmensverfassung und -führung. Exkurs zum Deutschen Institut für Interne Revision e.V. (IIR): Das IIR ist ein gemeinnütziger Verein zur wissenschaftlichen und praktischen Förderung der internen Revision. Als Mitglied des Institute of Internal Auditors (IIA) unterliegt das IIR den dort erlassenen Vorschriften (IIA-Standards). Diese berufsbezogenen Grundprinzipien und Rahmenbedingungen gelten verbindlich für alle Mitglieder. Sie umfassen Verlautbarungen zu Aufgaben und Grundsätzen der internen Revision sowie zum berufsspezifischen Einsatz der Standards, Grundsätze der Berufsethik sowie Grundsätze für die berufliche Praxis und Veröffentlichung. Basierend darauf liegen die satzungsmäßigen Aufgaben des IIR in der Entwicklung von Revisionsgrundsätzen und -methoden, Aus- und Fortbildung von Mitarbeitern der internen Revision, Pflege von Kontakten und Beziehungen zur Praxis und Wissenschaft und Weiterleitung von Informationen über die wissenschaftliche Forschung auf dem Gebiet der internen Revision.347 Mit den Revisionsstandards greift das IIR Grundsatzfragen und aktuelle Themenstellungen auf, bearbeitet diese in seinen Gremien und stellt sie den Mitgliedern und interessierten Fachkräften zur Unterstützung ihrer beruflichen Tätigkeit zur Verfügung. Diese gelten verbindlich für die diesem Verein angeschlossenen Mitglieder.348 (Ende des Exkurses) 4.4.2 Organisatorische Integration Die unabhängige Überwachungsaufgabe muss nicht zwingend durch eine unternehmenseigene Revisionsabteilung wahrgenommen werden. Sie kann auch durch andere fachkundige interne Kräfte wahrgenommen oder durch Outsourcing an Unternehmensexterne übertragen werden.349 Letztlich ist nicht die Existenz einer eigenen organisatorischen Einheit entscheidend, sondern dass die Aufgaben angemessen ausgeführt werden. Fortfolgend wird von einer unternehmenseigenen Revision ausgegangen. Bei der Integration einer Revisionsabteilung in die Organisation ist zu berücksichtigen, dass sie ihre Aufgaben unabhängig wahrnehmen kann. Unabhängigkeit bedeutet, dass sie bei der Durchführung ihrer Prüfungsaufträge frei von Einflüssen und Bindungen Dritter ist. Sie darf also nicht in Unternehmensprozesse eingebunden werden. Es ist sicherzustellen, dass sie 347 Vgl. zu Berufsstand und -grundsätzen des IIA und IIR Hofmann (2002), S. 144 ff. 348 Siehe www.diir.de. 349 Vgl. Schoeppner (1999), S. 39. 4. Risikomanagement-Organisation154 eine objektive und wertfreie Haltung gegenüber den zu prüfenden Bereichen einnehmen kann.350 Eine Prüfung durch die Revision kann also nur in Bereichen erfolgen, denen sie nicht direkt unterstellt ist. Außerdem kann die Objektivität der Revision − neben der Nichteinbindung in operative Tätigkeiten − durch Rotation der Mitarbeiter innerhalb der Abteilung gewährleistet werden. So ist es sinnvoll, dass sie in zeitlichen Abständen mit neuen, sich von den vorherigen unterscheidenden Aufgaben betraut werden. Die grundsätzliche Unabhängigkeit gegenüber den zu prüfenden Funktionen lässt sich am ehesten realisieren, wenn die Revision direkt an die Unternehmensleitung berichtet und ihr ausschließlich und unmittelbar gegenüber verantwortlich ist. Damit ist sie in Kapitalgesellschaften dem Vorstand bzw. der Geschäftsführung, bei Konzernen dem Vorstand der Obergesellschaft und – im Falle der Personalunion von Eigentümer und Leitung – dem Eigentümer zuzuordnen.351 Neben der Unabhängigkeit wird durch die Aufhängung der Revision unter das oberste Leitungsgremium die Akzeptanz im Unternehmen gestärkt. Zudem fördert sie die eigenverantwortliche Arbeit des Prüforgans.352 Eine objektive Prüfung des Vorgesetzten ist aufgrund des bestehenden Abhängigkeitsverhältnisses allerdings nicht möglich.353 Damit ergibt sich, dass die Geschäftsführung regelmäßig vom Überwachungsauftrag ausgenommen ist. So ist die Wahrung der Unabhängigkeit keine absolute, sondern eine relative Forderung. Die Unternehmensleitung legt den Aktionsradius, den Aufgabenumfang und die Kompetenzen fest. Wie bereits angesprochen, umfasst der Überwachungsauftrag in der Regel alle Unternehmensbereiche. Bei Konzernen schließt der Aktionsradius – neben den Tochtergesellschaften – auch die Beteiligungsgesellschaften ein, an denen die Obergesellschaft mehrheitlich beteiligt ist.354 Da die Revision als Stabsstelle keine Linienaufgaben ausführt und über kein direktes Weisungsrecht verfügt, ist deshalb sicherzustellen, dass sie über ein umfassendes Informations- und Einsichtsrecht verfügt. Andernfalls wird sie die Aufgaben nicht sachgerecht erfüllen können. Die Unternehmensleitung hat an dieser Stelle zu entscheiden, ob sie der Revision ein aktives oder ein passives Informationsrecht einräumen will. Das aktive Informationsrecht umfasst die uneingeschränkte Einsichtnahme in die Geschäftsunterlagen während der Prüfungsdurchführung sowie die Einholung von Auskünften. Dagegen besteht das passive Informationsrecht in der kontinuierlichen Unterrichtung der Revision über wesentliche Ereignisse im Unternehmen durch die Unternehmensfunktionen. Weitere organisatorische Merkmale einer unabhängigen Revision sind:355 • die unmittelbare und regelmäßige Kommunikation der Revisionsleitung mit der Geschäftsführung, 350 Vgl. Amling/Bischof (1999), S. 47 f.; Buderath/Amling (2000), S. 136; Hofmann (2002), S 92. 351 Vgl. Buderath/Amling (2000), S. 136; Ruud/Bodenmann (2001), S. 525. 352 Vgl. Hofmann (1998), S. 153; Jung (2002), Sp. 801. 353 Vgl. Hofmann (1985), S. 34 ff.; Hofmann (1992), S. 164; Hofmann (2002), S. 92. 354 Vgl. Schoeppner (1999), S. 18; Schneider (2000), S. 206. 355 Vgl. Amling/Bischof (1999), S. 47 f.; Hofmann (2002), S. 92. 4.4 Interne Revision 155 • die Festlegung einer Geschäftsordnung, die Zweck, Aufgaben und Kompetenzen der Revision festhält und • die Abstimmung zwischen Geschäftsführung und Revision hinsichtlich des Prüfplans, der Personalplanung und des Budgets der Revision. Die Abb. 4-6 fasst die Merkmale und Voraussetzungen zusammen: Merkmal Voraussetzung Zuordnung Oberstes Leitungsgremium (Vorstand, Geschäftsführung) Funktion • Prozessunabhängigkeit • keine Linienaufgaben Aktionsradius • gesamtes Unternehmen• ausgeschlossen: Unternehmensleitung als Auftraggeber Kompetenz • aktives oder passives Informationsrecht• kein direktesWeisungsrecht Ressourcen • adäquate Ressourcenausstattung • fachliche und persönliche Eignung der Revisoren Aufgaben • Revisionsplanung, Prüfungsdurchführung und Berichterstattung• Erfolgskontrolle Abb. 4-6: Merkmale und Voraussetzungen einer prozessunabhängigen Revision356 4.4.3 Prüfkriterien, Ziele und Aufgaben Die interne Revision prüft gemäß den folgenden Kriterien mit dem Ziel, eine effektive Überwachung zu vertretbaren Kosten zu gewährleisten:357 • Ordnungsmäßigkeit/Rechtmäßigkeit, • Sicherheit, • Wirtschaftlichkeit, • Risikohaftigkeit und • Zweckmäßigkeit. Unter dem Aspekt der Ordnungsmäßigkeit wird geprüft, ob gesetzliche und unternehmensinterne Vorgaben eingehalten werden (Compliance). Das Kriterium der Sicherheit beschäf- 356 Angelehnt an Hofmann (2002), S. 92. 357 Soll/Labes (1999), S. 197; Schwager (2001), S. 2105. 4. Risikomanagement-Organisation156 tigt sich mit der Prüfung interner Verfahren und Richtlinien auf Einhaltung und Sicherheit, insbesondere im IT-Bereich und der Sicherung von Vermögensgegenständen. Der Aspekt der Wirtschaftlichkeit konzentriert sich auf die Relation zwischen Kosten und Nutzen eingerichteter Maßnahmen. Mit dem Punkt der Risikohaftigkeit rückt die Untersuchung auf bestandsgefährdende Risiken in den Fokus. Im Rahmen der Zweckmäßigkeit wird schließlich überprüft, ob Prozesse, Abläufe oder Systeme mit den Unternehmenszielen vereinbar sind. Aus den Kriterien lassen sich folgende, nicht überschneidungsfreie Aufgaben ableiten:358 • Financial Auditing, • Operational Auditing, • Management Auditing und • Internal Consulting. Das Financial Auditing erstreckt sich auf die Prüfung der Ordnungsmäßigkeit, Funktionsfähigkeit, Sicherheit und Wirtschaftlichkeit des Finanz- und Rechnungswesens.359 Die formellen und materiellen Prüfungen des Financial Auditings beinhalten Prüfungen der Geschäftsund Betriebsbuchhaltung, Lohn- und Gehaltsabrechnung sowie Beteiligungsbuchhaltung. So dient es neben der Feststellung der Ordnungsmäßigkeit dem Schutz der Vermögensgegenstände sowie der Zweckmäßigkeit und der Zuverlässigkeit der etablierten Kontrollen. Das Operational Auditing umgreift alle Bereiche der Organisation. Es erfolgt eine Beurteilung der Zweckmäßigkeit und des Wirkungsgrades der Organisationsstrukturen, des Internen Kontrollsystems (IKS), der Verfahren im kaufmännischen sowie technischen Sektor und der implementierten Systeme einschließlich deren Subsysteme.360 Auf dem eher vergangenheitsorientierten Financial Auditing aufbauend, liegt der Schwerpunkt beim Operational Auditing in der Aufdeckung von Verbesserungs- und Vereinfachungspotentialen. Damit soll ein Beitrag zur Systemverbesserung bei einzelnen Prüfobjekten, in Unternehmensteilen oder für das Gesamtunternehmen geleistet werden. Das Management Auditing beinhaltet Prüfungen und Beurteilungen der Leistungen der Führungsebenen. Hierbei werden die Ordnungsmäßigkeit der Organisation sowie der Planungs-, Steuerungs- und Kontrollinstrumente und deren Eignung für die Geschäftsführungstätigkeit beurteilt.361 Das Ziel liegt in der Verbesserung der Organisationseffizienz und der Durchsetzung der Anweisungen der Geschäftsführung. Die Aufgabe liegt nicht darin, getroffene Entscheidungen in Frage zu stellen oder Alternativen zu bewerten. Das Internal Consulting umschließt die Begutachtung von Strukturen, die Beratung der Organisation und die Entwicklung von Verbesserungsvorschlägen.362 358 Vgl. Lück (2000c), S. 18 ff.; Schwager (2001), S. 2105. 359 Vgl. IIR Prüfungsstandard Nr. 1, Tz. 5 f.; Lück (2000c), S. 48; Jung (2002), Sp. 804. 360 Vgl. Hofmann (2002), S. 177. 361 Hier kann z.B. der IDW PS 720 zur Anwendung kommen, der sich über Unternehmen im Geltungsbereich von § 53 HGrG hinaus für alle Prüfungen von Geschäftsführungen eignet. 362 Vgl. Lück (2000c), S. 51. 4.4 Interne Revision 157 Es ist festzuhalten, dass die wesentliche Aufgabe der Revision im Rahmen ihrer regelmäßigen Prüfungen darin liegt, ungenügende Prozesse sowie vorhandene Lücken und Mängel zu erkennen und die potentiellen Gefährdungen für das Unternehmen zu verdeutlichen. Die Ergebnisse der Prüfung und Beratung fasst die interne Revision in Revisionsberichten zusammen. Sie übergibt sie an die Geschäftsleitung, die geprüfte Funktion sowie im Vorfeld festgelegte Berichtsempfänger. Der Bericht sollte eine abschließende Beurteilung des Prüfobjektes und – falls gegeben – die wesentlichen Mängel umfassen. Außerdem können Empfehlungen und Verbesserungsmaßnahmen mit Verweis auf Kontrollstandards oder Best Practice-Vorgehensweisen gegeben werden.363 Die Berichtsinhalte können je nach Berichtsempfänger abgestuft werden. Die durch die Revision erstellten Berichte bilden die Grundlage für die Festlegung und Umsetzung von Verbesserungsvorschlägen. Werden Schwachstellen festgestellt, ist es Aufgabe des Managements, diese zu beseitigen, wobei die Revision den Veränderungsprozess bis zu seinem erfolgreichen Abschluss mit verfolgt.364 4.4.4 Prüfung des Risikomanagements durch die interne Revision Wie einleitend erläutert, sollte die interne Revision das Risikomanagement-System prüfen. Das Deutsche Institut für interne Revision e.V. (IIR) hat hierzu den IIR Revisionsstandard RS Nr. 2 „Prüfung des Risikomanagements durch die interne Revision“ veröffentlicht (vgl. Abb. 4-7). Der Standard, der Grundsätze für die Prüfung enthält, bezieht sich auf Unternehmen jeglicher Größenordnung in den Bereichen Industrie, Handel und Dienstleistung mit Ausnahme des Bankensektors. Spezialvorschriften für Kreditinstitute finden sich in Veröffentlichungen des Bundesaufsichtsamts für das Kreditwesen.365 Prüfung der Konzeption und Organisation des Risikomanagement- Systems Prüfung desRisikomanagementsdurch die interne Revision nach IIR RevisionsstandardNr. 2 Prüfung der vollständigen Erfassung und Identifikation aller Risiken Prüfung der Risikoanalyse und Risikobewertung Prüfung der Realisierung und Zweckmäßigkeit der Maßnahmen zur Risikosteuerung und der Einhaltung der integrierten Kontrollen Prüfung der Kommunikation von Risiken Abb. 4-7: Bestandteile der Prüfung des Risikomanagements nach IIR RS Nr. 2 Nach IIR RS Nr. 2 hat die interne Revision durch Prüfungen die Existenz eines fundierten, von der Unternehmensleitung getragenen und dokumentierten Risikomanagement-Systems 363 Vgl. Wittmann (2000b), S. 469. 364 Vgl. Arbeitskreis „Externe und interne Überwachung der Unternehmung“ der Schmalenbach- Gesellschaft für Betriebswirtschaft (2000), Tz. 43. 365 Vgl. Bundesaufsichtsamt für das Kreditwesen (2000), RS 1/2000. 4. Risikomanagement-Organisation158 festzustellen.366 Sie hat zu überprüfen, ob die Abläufe dem definierten System entsprechen und ob die festgelegten Maßnahmen umgesetzt werden. Daneben sind nach IIR die Risikoidentifikation, Risikobewertung und Zweckmäßigkeit der Maßnahmen zu beurteilen. Die Häufigkeit und Intensität der Prüfungen sind von der Komplexität der Wertschöpfung, Unternehmensgröße und Dynamik der Unternehmensentwicklung abhängig zu machen. 4.4.4.1 Prüfung der Konzeption und Organisation des Risikomanagement-Systems Den Ausgangspunkt der Prüfung bildet die Risikomanagement-Strategie. Es ist zu prüfen, ob die Unternehmensleitung das Risikomanagement als wichtigen Bestandteil der Corporate Governance sieht und würdigt. Es ist nach IIR RS Nr. 2 festzustellen, ob ein Beschluss der Unternehmensleitung hinsichtlich der Einrichtung und laufenden Anwendung eines Risikomanagements-Systems vorliegt. Der Untersuchungsgegenstand bei der Prüfung der Konzeption und Organisation sind die Konzeptionsbeschreibung und die Regelungen bezüglich der Zuständigkeiten und Dokumentation für alle Unternehmensebenen. Es ist zum Beispiel zu prüfen, ob ein Risikomanagement-Beauftragter eingesetzt ist, der für die Koordination des Risikomanagements verantwortlich ist oder ob eine Richtlinie existiert, in denen Maßnahmen und Anweisungen hinsichtlich des Risikomanagements geregelt sind. Ebenso ist zu prüfen, ob bei einer Änderung der Risikosituation eine Aktualisierung der Risiken erfolgt. Folgende Fragen sind nach IIR RS Nr. 2 bei der Prüfung zu stellen:367 Ist ein Risikomanager (und/oder andere Stelle oder Funktion im Unternehmen) eingesetzt, der für die Koordination und Unterstützung hinsichtlich des Risikomanagements verantwortlich ist? Gibt es eine Organisations-Richtlinie, ein Handbuch oderArbeitsanweisungen, in denen die organisatorischen Regelungen und Maßnahmen des Risikomanagement-Systems einschließlich der Implementierung und der Durchführung geregelt sind? Ist im Unternehmen geregelt, dass die Verantwortung für ein funktionierendes Risikomanagement-System bei den Geschäfts-/Organisationseinheiten liegt? Wurden adäquateWesentlichkeitskriterien (zum Beispiel in Form von Schwellenwerten) hinsichtlich der Risikozuordnung zu verantwortlichen Bereichen definiert? Ist die Identifizierung der Risiken unter Verantwortung des Top-Managements des jeweiligen Geschäftsbereiches erfolgt und liegt eine entsprechende Dokumentation vor? Wird die Risikolage des Unternehmens im Rahmen einer vorgegebenen Systematik regelmäßig (mindestens jährlich) auf Aktualität geprüft? Ist die Risikobeschreibung ausreichend detailliert? Ist sichergestellt, dass bei plötzlichen und unvorhersehbaren Veränderungen in der Risikolandschaft des Unternehmens eine Aktualisierung der Risiken hinsichtlich Organisation, Verantwortlichkeit und Dokumentation in angemessenen Zeitabständen erfolgt? Werden Risiken mit gleicher Ursache kumuliert? 366 Vgl. IIR Revisionsstandard Nr. 2, Tz. 12 und 13. 367 IIR Revisionsstandard Nr. 2, Tz. 16. 4.4 Interne Revision 159 4.4.4.2 Prüfung der vollständigen Erfassung und Identifikation aller Risiken Bei der Prüfung ist zu untersuchen, ob das Risikomanagement-System alle wesentlichen Risiken erfasst. Hierzu gehören auch die Risiken, die durch in die Zukunft reichende, strategische Entscheidungen hervorgerufen werden können. Nach IIR RS Nr. 2 sind bei der Risikoerkennung alle Gesellschaften, Betriebsstätten, Geschäftsbereiche und -felder eines Unternehmens im Inland und Ausland zu berücksichtigen, von denen wesentliche Risiken ausgehen können. Dabei sind die Kerngeschäftsprozesse und die Unterstützungsprozesse einzubeziehen. Falls notwendig sind auch Kompetenzschnittstellen zwischen dezentralen Geschäftseinheiten und Zentralfunktionen zu analysieren. Zur Prüfung, ob die Risiken vollständig identifiziert sind, sollten Checklisten verwendet werden (vgl. Abb. 4-8).368 • Verhalten derWettbewerber • Marktrisiko (Mengen-/Preisrisiko) • Branchen- und Produktentwicklung • Besteuerung/Betriebsprüfungen • Politische und rechtliche Entwicklung • Umweltkatastrophen/Krieg Externe Risiken • Beteiligungen • Produkt • Investitionen • Standort • Informationsmanagement • Länderrisiken Strategische Risiken • Produkte • Fertigung • Produktivität • Kapazität • Kunden • Lieferanten • Lagerhaltung/Logistik • Umweltmanagement • Warenzeichen/Patente • Öffentlich-rechtliche Genehmigungen • Gewährleistung/Haftungsrisiken • Personengefährdung/Arbeitsschutz • Steuerungssysteme • Kontrollsysteme • Investitionen/Ersatzbeschaffungen Operative Risiken • Management-Nachfolgeregelung • Qualifikation • Integrität und dolose Handlungen • Fluktuation Personalrisiken • Systemlogik • Zugriff • Verfügbarkeit (Ausfall/Datenverlust) • Lizenzmissbrauch Software Datenverarbeitung • Liquidität • Wechselkursrisiken • Zinsänderungsrisiken • Wertpapierkursrisiken • Adressenausfallrisiken • Kreditlinien Finanzwirtschaftliche Risiken • Corporate Governance Sonstige Risiken Abb. 4-8: Übersicht möglicher Risikofelder nach IIR RS Nr. 2 368 IIR Revisionsstandard Nr. 2, Tz. 19. 4. Risikomanagement-Organisation160 Die Prüfung der vollständigen Erfassung kann durch Interviews mit den entsprechenden Verantwortungsträgern abgesichert werden. Als Basis für die Prüfung der Vollständigkeit nennt der IIR RS Nr. 2 diese drei Punkte:369 • Dokumentation aus der Risikoidentifikation, zum Beispiel Protokolle oder Checklisten für die Fragestellung, ob innerhalb der Kerngeschäfts- und Unterstützungsprozesse alle wesentlichen Risiken erfasst werden. • Organisationspläne für die Fragestellung, ob alle wesentlichen Betriebsstätten, Geschäftsbereiche und Geschäftsfelder berücksichtigt werden. • Anteilsbesitz gemäß §§ 285 Nr. 11 bzw. 313 Abs. 4 HGB bzw. Prüfungsberichte der Wirtschaftsprüfer für die Fragestellung, ob alle wesentliche Tochtergesellschaften in die Risikoidentifikation einbezogen werden. 4.4.4.3 Prüfung der Risikoanalyse und Risikobewertung Die Prüfung soll nach IIR RS Nr. 2 stichprobenartige Plausibilitätsprüfungen des Bewertungssystems und einzelner Risikobewertungen hinsichtlich Schadensausmaß und Eintrittswahrscheinlichkeit umfassen.370 Die Kumulation von Risiken, Risikointerdependenzen sowie die Aktualität des zu prüfenden Datenmaterials sind in diesem Zusammenhang von besonderer Bedeutung. 4.4.4.4 Prüfung der Maßnahmen und integrierten Kontrollen Durch die Prüfung soll die interne Revision feststellen, ob festgeschriebene Maßnahmen kontinuierlich umgesetzt werden. Außerdem ist deren Zweckmäßigkeit zu beurteilen. Bei der Prüfung gilt es, neben Kosten- und Nutzen-Aspekten auch Chancen und Risiken abzuwägen. Außerdem ist durch die Revision zu prüfen, ob die integrierten Kontrollen − wie zum Beispiel Funktionstrennungen, Limit- und Kompetenzregelungen oder ein Vier-Augen- Prinzip − eingehalten werden. Der IIR RS Nr. 2 skizziert folgende Fragen, die durch die Revision zu beantworten sind:371 • Gibt es Frühindikatoren, geeignete Meldewege und definierte Eingreifkriterien? • Ist geregelt, wer für die erforderlichen Maßnahmen verantwortlich ist? • Wird die Angemessenheit der Maßnahmen vor dem Hintergrund des sich wandelnden Umfelds regelmäßig hinterfragt? • Liegt eine Dokumentation vor, anhand der eine Überprüfung der Maßnahmen erfolgen kann? 369 IIR Revisionsstandard Nr. 2, Tz. 21. 370 IIR Revisionsstandard Nr. 2, Tz. 23-25. 371 IIR Revisionsstandard Nr. 2, Tz. 28. 4.4 Interne Revision 161 4.4.4.5 Prüfung der Kommunikation von Risiken Die Revision muss im Rahmen der Prüfung der Kommunikation von Risiken die Informationsflüsse sowie die Risikoberichterstattung auf Frequenz, Vollständigkeit, Zuordnung und Verständlichkeit prüfen.372 Von Bedeutung ist die Festlegung, welche Person zu welcher Zeit über welche Risiken informiert wird. 4.4.5 Abgrenzung von Risikomanagement und interner Revision Die Aufgaben der internen Revision und die Aufgaben, die im Rahmen des Risikomanagements wahrzunehmen sind, erstrecken sich auf das gesamte Unternehmen. Bei der Erfüllung der Aufgaben ergeben sich − insbesondere im Bereich der Risikoüberwachung − inhaltliche Berührungspunkte und Überschneidungen. Um daraus resultierende Doppelarbeiten zu vermeiden und das Zusammenspiel sicherstellen, ist eine Abgrenzung der Aufgaben beider Funktionen notwendig. Risikomanagement bedeutet die Übernahme von Verantwortung hinsichtlich des Eingehens unternehmerischer Risiken. Die Gestaltung und Verantwortung des Risikomanagements obliegen dabei dem Management. Die Aufgabe der internen Revision besteht dagegen nicht in der Übernahme der Verantwortung für das Risikomanagement. Ihre Aufgabe besteht in der Unterstützung des Managements bei der Überprüfung, Beurteilung und − unter Umständen − Begleitung bei der Entwicklung eines Risikomanagement-Systems.373 Eine Übernahme der Verantwortung und das Betreiben des Risikomanagements innerhalb der Organisation durch die Revision sind dagegen nicht mit ihrer Aufgabe zu vereinbaren, da sie sonst Teil des zu kontrollierenden Gegenstandes würde. Die Revision nimmt vielmehr eine unterstützende Funktion im Risikomanagement-Prozess ein. Sie unterstützt die eigenverantwortliche Selbststeuerung der geprüften Bereiche. Diese inhaltliche Abgrenzung steht auch im Einklang mit den Corporate Governance-Grundsätzen, wonach ein wirksames Risikomanagement gefordert wird, nicht aber das Aufgehen des Risikomanagements in der internen Revision.374 Inwieweit die Revision bei der Konzeption und Einführung eines Risikomanagement- Systems mitwirken und eine beratende Tätigkeit übernehmen sollte, wird kontrovers diskutiert. Während einerseits die umfassenden Kenntnisse der Revision über das Unternehmen, seiner Risiken und Strukturen ein Einbinden vorteilhaft erscheinen lassen, besteht andererseits die Gefahr des Verlusts von Unabhängigkeit und Objektivität.375 Unabhängig davon ist letztlich entscheidend, dass durch klare Strukturen den Anforderungen nach wirksamer Risikobewältigung und gleichzeitiger Transparenz Rechnung getragen wird.376 Ein überbordender Kontrollapparat ohne sichtbaren Mehrwert ist zu vermeiden. 372 Vgl. IIR Revisionsstandard Nr. 2, Tz. 28. 373 Vgl. Bumbacher/Hodel (2000), S. 1053 f. 374 Vgl. Kohlhoff/Langenhahn/Zorn (2000), S. 6; Weidemann (2001), S. 2615. 375 Vgl. zur Problematik der Beratung durch die interne Revision Ruud/Bodenmann/Kienast (2000), S. 1031 sowie Hofmann (2002), S. 182 f. 376 Vgl. Bumbacher/Hodel (2000), S. 1053. 4. Risikomanagement-Organisation162 Die Abgrenzung der Aufgaben der beiden Funktionen skizziert abschließend Abb. 4-9. • Schaffung eines unternehmensweiten Risikobewusstseins • Schaffung von Transparenz über die bestehenden Risiken • Systematischer und kontinuierlicher Umgangmit den unternehmerischen Risiken • Aufbau und Integration einer Risikomanagement-Organisation • Anpassung des Risikomanagement-Systems an sich verändernde Rahmenbedingungen Aufgaben der internen RevisionAufgaben desRisikomanagements • Prüfung derKonzeption und Organisation des Risikomanagement-Systems • Prüfung der vollständigen Erfassung und Identifikation aller Risiken • Prüfung der Risikoanalyse und Risikobewertung • Prüfung der Realisierung und Zweckmäßigkeit derMaßnahmen zur Risikosteuerung und der Einhaltung der integrierten Kontrollen • Prüfung derKommunikation von Risiken Abb. 4-9: Abgrenzung der Aufgaben von Risikomanagement und interner Revision 5.1 Ziele und Aufgaben der Risikoberichterstattung 163 5. Risikoberichterstattung und Risikokommunikation Manager benötigen aktuelle und zuverlässige Informationen. Sie bilden die Grundlage für rationale, objektiv nachvollziehbare Entscheidungen, reduzieren das Risiko einer Fehlentscheidung und sind damit für die Existenz- und Erfolgssicherung unverzichtbar.377 Um den notwendigen Informationsfluss zu unterstützen, ist der Aufbau einer alle Unternehmensteile und -ebenen umfassenden Berichterstattung erforderlich. Hierzu gehört auch die Bereitstellung von Risikoberichten sowie von Informationen, die sich auf die Verbesserung des Risikomanagement-Systems beziehen. Ohne eine adäquate Risikoberichterstattung und die damit einhergehende Transparenz über die bestehenden Risiken können die Ziele und Aufgaben des Risikomanagements nicht erfüllt werden. Die Risikoberichterstattung ist in das bestehende Standardberichtswesen einzubinden, da die Risiken in einem unmittelbaren Zusammenhang mit den darin enthaltenen Informationen stehen.378 Die Einbettung risikorelevanter Informationen gewährleistet, dass sie uneingeschränkt in die Entscheidungsfindung einfließen. Auch aus Effizienzgründen ist eine Parallelberichterstattung zu vermeiden. In der Unternehmenspraxis sind Regelungen und Kommunikationswege festzulegen, die diese Anforderungen erfüllen. 5.1 Ziele und Aufgaben der Risikoberichterstattung Allgemein gesprochen, umfasst die Risikoberichterstattung alle Einrichtungen, Mittel und Maßnahmen zur Erarbeitung, Erfassung, Weiterleitung, Verarbeitung und Speicherung risikorelevanter Informationen.379 Darin eingeschlossen ist die Erstellung, Ermittlung und Vermittlung von Informationen (in Form von Berichten) über Tatsachen, Ereignisse, Zusammenhänge und Vorgänge aus dem Unternehmen und seiner Umwelt. Das Ziel besteht darin, durch eine offene Kommunikation eine hierarchieübergreifende Transparenz über die Risikosituation im Unternehmen zu schaffen und das Risikobewusstsein zu schärfen. Die Aufgabe liegt damit in der umfassenden und kontinuierlichen Informationsversorgung sämtlicher Entscheidungsebenen hinsichtlich bestehender Risiken sowie risikorelevanter Entwicklungen.380 Hierdurch wird es Entscheidungsträgern ermöglicht, die Risikolage auf operativer Ebene und Gesamtunternehmensebene zu überwachen und frühzeitig zu agieren. Die Risikoberichterstattung bildet so die Grundlage für die Gestaltung der unternehmerischen Gesamtrisikoposition. 377 Vgl. hierzu und ff. Braun (1984), S. 187 ff.; Schuy (1989), S. 175 ff.; Ederer (1995a), S. 701; Freidank (2000), S. 365;Weidemann/Wieben, (2001), S. 1790; Burger/Buchhart (2002), S. 175. 378 Vgl. Wittmann (2001), S. 278, Tz. 348; Vogler/Gundert (1998), S. 2382. 379 Vgl. allgemein Blohm/Heinrich (1965), S. 12; Blohm (1974), S. 15; Küpper (1994), S. 896 ff. 380 Vgl. allgemein Koch (1994), S. 1; Schuy (1989), S. 176; Schierenbeck/Lister (2001), S. 370.

Chapter Preview

References

Zusammenfassung

Risikomanagement und Risikocontrolling

Dieses Standardwerk beschäftigt sich mit Herausforderungen und Lösungsmöglichkeiten bei der Einrichtung und Weiterentwicklung von Risikomanagement- und Risikocontrolling-Systemen. Es bietet sowohl für den lösungssuchenden Praktiker als auch für den Wissenschaftler einen großen Fundus an wertvollem Wissen und liefert zahlreiche Anregungen und Hilfestellungen sowie in der Unternehmenspraxis erprobte Lösungen und Instrumente.

Aus dem Inhalt:

- Grundlagen des Risikomanagements und Risikocontrollings

- Anforderungskatalog an das Risikomanagement und die risikoorientierte Lageberichterstattung seitens des Gesetzgebers und des Wirtschaftsprüfers

- Internes Kontrollsystem (IKS), COSO und Internes Kontroll- und Risikomanagementsystem bezogen auf den Rechnungslegungsprozess

- Prozessschritte des Risikomanagements und Vorstellung praxiserprobter Instrumente zu deren Unterstützung

- Gestaltung einer Risikomanagement-Organisation, Abgrenzung von Risikomanagement und Interner Revision sowie Anforderungen an den Risikomanager

- Empfehlungen zum Aufbau einer chancen- und risikoorientierten Berichterstattung (Balanced Chance und Risk Card)

- Risikomanagement im DAX30

Der Autor:

Dr. Marc Diederichs leitet das Konzernrisikomanagement der Aurubis AG, Hamburg. Davor war er verantwortlich für das Corporate Risk & Insurance Management der Beiersdorf AG, Hamburg. Neben seiner beruflichen Laufbahn veröffentlicht der Autor Beiträge in Fachzeitschriften und Fachbüchern, leitet Seminare und hält Vorträge zu den Themen Risikomanagement und Risikocontrolling.

"Dr. Diederichs gelingt es auf konstruktive und anschauliche Weise, die Herausforderungen und Lösungsmöglichkeiten des Risikomanagements sowie des Risikocontrollings herauszustellen. Er bietet damit Praktikern und Wissenschaftlern ein Standardwerk, welches durch seine anschauliche Struktur sowie seine unkomplizierte Ausdrucksweise besticht. Mit zahlreichen Abbildungen und präzisen Begriffserklärungen ist es eine verständliche Lektüre, die einen breiten Überblick über das Themenfeld liefert."

Antonia Köhler, ZfCM - Zeitschrift Controlling & Management, 6/2012, S.450

"Diederichs Ansatz des Risikomanagements und des Risikocontrollings, vor allem die hier vorgeschlagenen Aufgaben und Instrumente, können in verschiedenen Branchen angewandt werden. Selbstverständlich müssen Aufgaben und Instrumente hier entsprechend konkretisiert und angepasst werden, aber auch hierzu gibt das Buch Hinweise... Das Buch kann daher jedem empfohlen werden, der sich in Theorie und Praxis mit Risikomanagement und Risikocontrolling beschäftigt."

Peter Bömelburg, Zeitschrift Die Wirtschaftsprüfung, 15-2011, zur Vorauflage