Notwendigkeit systemimmanenter Kontrollen
Wie auch andere interne (Kontroll-)Systeme bedürfen Risikomanagementsysteme einer laufenden Überwachung durch systemimmanente Kontrollen. Die Kontrolle des Risikomanagementsystems hat das Ziel, Schwachstellen zu erkennen
- in der Risikomanagementorganisation (z. B. fehlende oder unklare Zuständigkeiten, insbesondere für Risiken, die mehreren Unternehmensbereichen zugeordnet werden können; unklare Aufgabentrennung zwischen Manager und Controller) oder
- im Risikomanagementprozess (z. B. fehlende Effektivität und Effizienz von Maßnahmen, die zur Risikosteuerung festgelegt wurden; zu umfangreiche Risikoberichte; Schnittstellenprobleme; verspätete Kommunikation).
Vollständigkeit der Kontrollen
Es ist erforderlich, dass alle Phasen des Risikomanagementprozesses der Kontrolle unterliegen und nicht nur die korrekte Umsetzung der definierten Maßnahmen zur Risikosteuerung und deren Auswirkung auf das jeweilige Risiko. Die Kontrolle des Risikomanagementprozesses muss bereits bei der Risikoidentifizierung anfangen, da sich Schwächen bei der Risikoidentifizierung (z. B. Vergessen von Risikobereichen) auf alle späteren Prozessschritte auswirkt.
Regelmäßig die Risikostrategie prüfen
In der Praxis wird häufig festgestellt, dass zwar Risikomanagementorganisation und Risikomanagementprozess überwacht werden, jedoch die Risikostrategie nur als ein "irgendwann einmal" von der Unternehmensleitung erstelltes Dokument gesehen wird. Es sollte jedoch regelmäßig überprüft werden auf
- Aktualität,
- laufende Konformität mit der Unternehmensstrategie,
- Umsetzbarkeit und
- Akzeptanz.
Die erkannten Schwachstellen müssen zeitnah an die Verantwortlichen kommuniziert werden. Die erforderlichen konzeptionellen (z. B. Änderung von Formularen, Erfassungs-/Bewertungsmethoden) und organisatorischen (z. B. Klarlegen von Aufgaben, Verantwortung und Kompetenz) Maßnahmen sind zu ergreifen. Auch gilt, dass die ordnungsgemäße Umsetzung überwacht werden muss.
Kontrollorgane: a) interne Revision
Durchgeführt werden sollte die regelmäßige Kontrolle des Risikomanagements durch die interne Revision, sowohl in Bezug auf die Konzeption als auch auf deren Anwendung und organisatorische Implementierung. Aufgrund ihrer Stellung als Stabsstelle bei der Unternehmensleitung
- führt die interne Revision ihre Prüfungen im Auftrag der Unternehmensleitung durch,
- besitzt sie keine Weisungsbefugnis,
- ist sie losgelöst vom operativen Tagesgeschäft,
- "bewegt" sich die interne Revision zwischen Unternehmensleitung, Aufsichtsrat und Abschlussprüfer.
Abb. 1: Prüfungshandlungen
Interne Revision muss keine eigene Abteilung sein
Die Existenz der internen Revision ist nicht an die Existenz einer gleichnamigen Organisationseinheit geknüpft. Sofern bei Unternehmen keine eigene Stabsstelle "Interne Revision" vorhanden ist, muss die Überwachung durch andere geeignete Personen sichergestellt werden. Eine Alternative stellt das Outsourcing der Tätigkeit der internen Revision dar. Diese Tätigkeit wird u. a. von Unternehmensberatern und Wirtschaftsprüfern wahrgenommen, die das Unternehmen nicht als Abschlussprüfer prüfen.
b) Abschlussprüfer
Der Abschlussprüfer hat im Rahmen seiner Prüfungspflicht nach § 317 Abs. 4 HGB bei börsennotierten Aktiengesellschaften ein eigenständiges Urteil über das Risikomanagement abzugeben (s. Abb. 1). Bei der Prüfung des Risikofrüherkennungssystems muss sich der Prüfer ein Urteil darüber bilden, ob das System den Risikomanagementprozess unternehmensweit für alle relevanten Risiken sicherstellt.