Neuer Standard zur Prüfung von Risikomanagementsystemen (IDW PS 981)

Be­son­ders wich­tig ist, dass sich der Prüfer von den ge­setz­li­chen Ver­tre­tern des Un­ter­neh­mens eine Be­schrei­bung des Ri­si­ko­ma­nage­ment­sys­tems ge­ben las­sen muss. Diese wird da­nach auf Aus­ge­stal­tung und Ak­tua­lität geprüft. Folg­lich sollte die Be­schrei­bung nicht, wie in klei­ne­ren Un­ter­neh­men üblich, in ei­ner Samm­lung ein­zel­ner Do­ku­mente und Richt­li­nien be­ste­hen, son­dern das Sys­tem sollte nach Möglich­keit zu­sam­men­fas­send dar­ge­stellt wer­den.

© Thinkstock

Hin­sicht­lich der Be­stim­mung von Art und Um­fang der Prüfungs­hand­lun­gen kann der RMS-Prüfer nach ei­ner vor­ge­schal­te­ten Prüfung von re­gel­ge­rech­ter Aus­ge­stal­tung und Ak­tua­lität der RMS-Be­schrei­bung im Rah­men ei­ner An­ge­mes­sen­heits- oder Wirk­sam­keitsprüfung das RMS be­ur­tei­len.

Die Prüfung der Aus­ge­stal­tung be­inhal­tet eine Be­ur­tei­lung ob die be­schrie­bene Auf­bau- und Funk­ti­ons­weise vollständig, rich­tig und verständ­lich ist. Vollständig­keit be­deu­tet hier­bei, dass in der Be­schrei­bung auf sämt­li­che Grund­ele­mente ei­nes Ri­si­ko­ma­nage­ment­sys­tems (Ri­si­ko­kul­tur, Ziele des Ri­si­ko­ma­nage­ment­sys­tems, Or­ga­ni­sa­tion des Ri­si­ko­ma­nage­ment­sys­tems, Ri­si­ko­iden­ti­fi­ka­tion, Ri­si­ko­be­wer­tung, Ri­si­ko­steue­rung, Ri­si­ko­kom­mu­ni­ka­tion und Über­wa­chung und Ver­bes­se­rung des Ri­si­ko­ma­nage­ment­sys­tems) ein­zu­ge­hen ist. Auch an die­ser Aufzählung wird deut­lich, dass das Sys­tem um­fas­send do­ku­men­tiert wer­den sollte, also von der Be­schrei­bung der Ri­si­ko­kul­tur und da­mit auch mit der Be­reit­schaft, un­ter­neh­me­ri­sche Ri­si­ken ein­ge­hen zu wol­len (und können), als so­ge­nann­ter „Ri­si­ko­ap­pe­tit“ über die Dar­stel­lung der Be­richt­er­stat­tung in­tern und ex­tern bis hin zur Wei­ter­ent­wick­lung, einem oft­mals ver­nachlässig­ten As­pekt in Ri­si­ko­handbüchern.

Bei der Prüfung der Ak­tua­lität han­delt geht es darum si­cher­zu­stel­len, dass das ge­lebte Ri­si­ko­ma­nage­ment­sys­tem der vor­ge­leg­ten Be­schrei­bung ent­spricht. Wenn we­sent­li­che Ände­run­gen vor­ge­nom­men wur­den muss die Be­schrei­bung des Ri­si­ko­ma­nage­ment­sys­tems ak­tua­li­siert wer­den.

Zusätz­lich wird geprüft ob die Be­schrei­bung des Ri­si­ko­ma­nage­ment­sys­tems auf we­sent­li­che Verände­run­gen im Be­trach­tungs­zeit­raum ein­geht.

Im Rah­men der Prüfung der An­ge­mes­sen­heit des RMS hat der RMS-Prüfer zu be­ur­tei­len, ob die in der RMS-Be­schrei­bung des Un­ter­neh­mens dar­ge­stell­ten Re­ge­lun­gen so aus­ge­stal­tet und im­ple­men­tiert sind, dass sie in Übe­rein­stim­mung mit den an­ge­wand­ten RMS-Grundsätzen ge­eig­net sind, mit hin­rei­chen­der Si­cher­heit die we­sent­li­chen Ri­si­ken recht­zei­tig zu iden­ti­fi­zie­ren, zu be­wer­ten und ent­spre­chend den vom Un­ter­neh­men fest­ge­leg­ten Zie­len des RMS zu steu­ern und zu über­wa­chen. Wer­den we­sent­li­che Feh­ler oder Mängel ent­deckt, ist das zu prüfende Ri­si­ko­ma­nage­ment­sys­tem nicht an­ge­mes­sen. Um an­ge­mes­sen zu sein muss das Ri­si­ko­ma­nage­ment­sys­tem mit hin­rei­chen­der Si­cher­heit die We­sent­li­chen Ri­si­ken recht­zei­tig iden­ti­fi­zie­ren, be­wer­ten, steu­ern und über­wa­chen können. Hier er­folgt auch die Ab­gren­zung zum Ri­si­kofrüher­ken­nungs­sys­tem, das die Maßnah­men zur Ri­si­ko­bewälti­gung nicht be­inhal­tet.

Ein Ri­si­ko­ma­nage­ment­sys­tem gilt im Rah­men ei­ner Wirk­sam­keitsprüfung als wirk­sam, wenn die in sei­ner Be­schrei­bung dar­ge­stell­ten Re­geln in­ner­halb des Prüfungs­zeit­rau­mes ein­ge­hal­ten wur­den. Der Prüfungs­zeit­raum sollte min­des­tens ein Jahr be­tra­gen, also nicht stich­tags­be­zo­gen, z.B. wie in der Pra­xis häufig vor­kom­mend, sich nur auf den Zeit­punkt ei­ner Ri­si­ko­in­ven­tur be­zie­hen.

IDS PS 981 un­ter­schei­det „stra­te­gi­sche Ri­si­ken“ (als Ri­si­ken im Zu­sam­men­hang mit ak­tu­el­len und zukünf­ti­gen Er­folgs­po­ten­zia­len), de­ren Prüfung un­ter­neh­mensüberg­rei­fend zu er­fol­gen hat und „ope­ra­tive Ri­si­ken“ (als ab­ge­lei­tete Ri­si­ken auf Ebene ei­nes Leis­tungs­er­stel­lungs­pro­zes­ses), die auch nur be­schränkt, d. h. un­ter Ab­gren­zung von Teil­be­rei­chen (Or­ga­ni­sa­tion, Pro­zesse) un­ter­sucht wer­den können.

Kon­kret hin­ge­wie­sen wird auf die Möglich­keit ei­ner „pro­jekt­be­glei­tende“ RMS-Prüfung in der Einführungs­phase.

Im Er­geb­nis kann fest­ge­hal­ten wer­den, dass die Ge­schäftsführer, de­ren Ri­si­ko­ma­nage­ment­sys­teme ei­ner Prüfung un­ter­lie­gen, nun­mehr eine kon­krete An­lei­tung ha­ben, woran sie diese aus­rich­ten können. Auf diese Weise kann die Trans­pa­renz nach in­nen und nach außen (im Rah­men ei­ner Prüfung) deut­lich ge­stei­gert wer­den. Grundsätz­lich neu sind die An­for­de­run­gen je­doch nicht, so dass le­dig­lich Un­ter­neh­men, die bis­lang ein we­ni­ger struk­tu­rier­tes Sys­tem ha­ben, hier An­pas­sungs­be­darf ha­ben. In­wie­weit der neue Stan­dard auch Aus­wir­kun­gen auf die Fra­gen zum Ri­si­kofrüher­ken­nungs­sys­tem nach dem Fra­gen­ka­ta­log zu § 53 HGrG hat, wird sich in der Pra­xis noch zei­gen.