deen
Nexia Ebner Stolz

Neuer Standard zur Prüfung von Risikomanagementsystemen (IDW PS 981)

Ob im Rahmen der Prüfung nach § 53 HGrG, als Sonderprüfung oder aber im Rahmen von Einführungs- und Beratungsprojekten: Die Prüfung von Risikomanagementsystemen ist uns seit vielen Jahren vertraut. Nun hat das IDW diese Prüfung jedoch erstmals in einem Standard geregelt. Am 3. März 2016 hat das IDW einen Entwurf veröffentlicht, in dem es die Grundsätze der Prüfung eines solchen Systems darlegt. Dieser Prüfungsstandard soll auf Prüfungen, die nach dem 31.12.2016 beauftragt werden, erstmals anzuwenden sein.

Beson­ders wich­tig ist, dass sich der Prü­fer von den gesetz­li­chen Ver­t­re­tern des Unter­neh­mens eine Besch­rei­bung des Risi­ko­ma­na­ge­ment­sys­tems geben las­sen muss. Diese wird danach auf Aus­ge­stal­tung und Aktua­li­tät geprüft. Fol­g­lich sollte die Besch­rei­bung nicht, wie in klei­ne­ren Unter­neh­men üblich, in einer Samm­lung ein­zel­ner Doku­mente und Richt­li­nien beste­hen, son­dern das Sys­tem sollte nach Mög­lich­keit zusam­men­fas­send dar­ge­s­tellt wer­den.

Neuer Standard zur Prüfung von Risikomanagementsystemen (IDW PS 981)© Thinkstock

Hin­sicht­lich der Bestim­mung von Art und Umfang der Prü­fungs­hand­lun­gen kann der RMS-Prü­fer nach einer vor­ge­schal­te­ten Prü­fung von regel­ge­rech­ter Aus­ge­stal­tung und Aktua­li­tät der RMS-Besch­rei­bung im Rah­men einer Ange­mes­sen­heits- oder Wirk­sam­keits­prü­fung das RMS beur­tei­len.

Die Prü­fung der Aus­ge­stal­tung bein­hal­tet eine Beur­tei­lung ob die beschrie­bene Auf­bau- und Funk­ti­ons­weise voll­stän­dig, rich­tig und ver­ständ­lich ist. Voll­stän­dig­keit bedeu­tet hier­bei, dass in der Besch­rei­bung auf sämt­li­che Grund­e­le­mente eines Risi­ko­ma­na­ge­ment­sys­tems (Risi­ko­kul­tur, Ziele des Risi­ko­ma­na­ge­ment­sys­tems, Orga­ni­sa­tion des Risi­ko­ma­na­ge­ment­sys­tems, Risi­ko­i­den­ti­fi­ka­tion, Risi­ko­be­wer­tung, Risi­ko­steue­rung, Risi­ko­kom­mu­ni­ka­tion und Über­wa­chung und Ver­bes­se­rung des Risi­ko­ma­na­ge­ment­sys­tems) ein­zu­ge­hen ist. Auch an die­ser Auf­zäh­lung wird deut­lich, dass das Sys­tem umfas­send doku­men­tiert wer­den sollte, also von der Besch­rei­bung der Risi­ko­kul­tur und damit auch mit der Bereit­schaft, unter­neh­me­ri­sche Risi­ken ein­ge­hen zu wol­len (und kön­nen), als soge­nann­ter „Risi­ko­ap­pe­tit“ über die Dar­stel­lung der Berich­t­er­stat­tung intern und extern bis hin zur Wei­ter­ent­wick­lung, einem oft­mals ver­nach­läs­sig­ten Aspekt in Risi­ko­hand­büchern.

Bei der Prü­fung der Aktua­li­tät han­delt geht es darum sicher­zu­s­tel­len, dass das gelebte Risi­ko­ma­na­ge­ment­sys­tem der vor­ge­leg­ten Besch­rei­bung ent­spricht. Wenn wesent­li­che Ände­run­gen vor­ge­nom­men wur­den muss die Besch­rei­bung des Risi­ko­ma­na­ge­ment­sys­tems aktua­li­siert wer­den.

Zusätz­lich wird geprüft ob die Besch­rei­bung des Risi­ko­ma­na­ge­ment­sys­tems auf wesent­li­che Ver­än­de­run­gen im Betrach­tungs­zei­traum ein­geht.

Im Rah­men der Prü­fung der Ange­mes­sen­heit des RMS hat der RMS-Prü­fer zu beur­tei­len, ob die in der RMS-Besch­rei­bung des Unter­neh­mens dar­ge­s­tell­ten Rege­lun­gen so aus­ge­stal­tet und imp­le­men­tiert sind, dass sie in Übe­r­ein­stim­mung mit den ange­wand­ten RMS-Grund­sät­zen geeig­net sind, mit hin­rei­chen­der Sicher­heit die wesent­li­chen Risi­ken recht­zei­tig zu iden­ti­fi­zie­ren, zu bewer­ten und ent­sp­re­chend den vom Unter­neh­men fest­ge­leg­ten Zie­len des RMS zu steu­ern und zu über­wa­chen. Wer­den wesent­li­che Feh­ler oder Män­gel ent­deckt, ist das zu prü­fende Risi­ko­ma­na­ge­ment­sys­tem nicht ange­mes­sen. Um ange­mes­sen zu sein muss das Risi­ko­ma­na­ge­ment­sys­tem mit hin­rei­chen­der Sicher­heit die Wesent­li­chen Risi­ken recht­zei­tig iden­ti­fi­zie­ren, bewer­ten, steu­ern und über­wa­chen kön­nen. Hier erfolgt auch die Abg­ren­zung zum Risi­ko­früh­er­ken­nungs­sys­tem, das die Maß­nah­men zur Risi­ko­be­wäl­ti­gung nicht bein­hal­tet.

Ein Risi­ko­ma­na­ge­ment­sys­tem gilt im Rah­men einer Wirk­sam­keits­prü­fung als wirk­sam, wenn die in sei­ner Besch­rei­bung dar­ge­s­tell­ten Regeln inn­er­halb des Prü­fungs­zei­trau­mes ein­ge­hal­ten wur­den. Der Prü­fungs­zei­traum sollte min­des­tens ein Jahr betra­gen, also nicht stich­tags­be­zo­gen, z.B. wie in der Pra­xis häu­fig vor­kom­mend, sich nur auf den Zeit­punkt einer Risi­ko­in­ven­tur bezie­hen.

IDS PS 981 unter­schei­det „stra­te­gi­sche Risi­ken“ (als Risi­ken im Zusam­men­hang mit aktu­el­len und zukünf­ti­gen Erfolgs­po­ten­zia­len), deren Prü­fung unter­neh­mens­über­g­rei­fend zu erfol­gen hat und „ope­ra­tive Risi­ken“ (als abge­lei­tete Risi­ken auf Ebene eines Leis­tung­s­er­stel­lung­s­pro­zes­ses), die auch nur beschränkt, d. h. unter Abg­ren­zung von Teil­be­rei­chen (Orga­ni­sa­tion, Pro­zesse) unter­sucht wer­den kön­nen.

Kon­k­ret hin­ge­wie­sen wird auf die Mög­lich­keit einer „pro­jekt­be­g­lei­ten­de“ RMS-Prü­fung in der Ein­füh­rungs­phase.

Im Ergeb­nis kann fest­ge­hal­ten wer­den, dass die Geschäfts­füh­rer, deren Risi­ko­ma­na­ge­ment­sys­teme einer Prü­fung unter­lie­gen, nun­mehr eine kon­k­rete Anlei­tung haben, woran sie diese aus­rich­ten kön­nen. Auf diese Weise kann die Tran­s­pa­renz nach innen und nach außen (im Rah­men einer Prü­fung) deut­lich ges­tei­gert wer­den. Grund­sätz­lich neu sind die Anfor­de­run­gen jedoch nicht, so dass ledig­lich Unter­neh­men, die bis­lang ein weni­ger struk­tu­rier­tes Sys­tem haben, hier Anpas­sungs­be­darf haben. Inwie­weit der neue Stan­dard auch Aus­wir­kun­gen auf die Fra­gen zum Risi­ko­früh­er­ken­nungs­sys­tem nach dem Fra­gen­ka­ta­log zu § 53 HGrG hat, wird sich in der Pra­xis noch zei­gen.


nach oben