DIIR Revisionsstandard Nr. 2

Mit dem DIIR Revisionsstandard Nr. 2 des Deutschen Instituts für Interne Revision e.V. (vom November 2018) liegt erstmalig ein Risikomanagement-Standard vor, der die Anforderungen aus § 91 und § 93 AktG gemeinsam betrachtet. Er ist klar fokussiert auf die Erfüllung der gesetzlichen Kernanforderungen (wie die frühe Identifikation möglicher „bestandsgefährdender Entwicklungen“ im Sinne § 91 AktG).
Die Anwendung des DIIR Revisionsstandard Nr. 2 durch die Interne Revision (oder auch Wirtschaftsprüfer, denen ein vergleichbarer Standard noch fehlt) kann dazu beitragen, bestehende Lücken im Risikomanagement aufzudecken und diese zu schließen. Dies ist in vielen Unternehmen auch notwendig (wie eine Vielzahl empirischer Studien zeigen, siehe z. B. Berger/Gleißner, 2007; Link/Scheffler/Oehmann, 2018; Ulrich/Barth/Lehmann, 2018).

Hervorzuheben ist, dass der neue DIIR Revisionsstandard Nr. 2 nun erstmals zwei große Prüfungsfelder deutlich getrennt aufzeigt:

1. Die Prüfung von Organisation und Prozessen im Risikomanagement
2. Die Prüfung der im Risikomanagement eingesetzten betriebswirtschaftlichen Methoden (z. B. zur Risikoquantifizierung und Risikoaggregation)

Ein in vielen Studien zum Risikomanagement aufgezeigtes Problem besteht bisher darin, dass die Prüfung des Risikomanagements bisher primär auf Organisation und Prozesse ausgerichtet war (z. B. die Prozesse für Risikoanalyse, Risikoüberwachung oder Risikoreporting). Ob die hier genutzten Methoden aber überhaupt geeignet sind, um den (gesetzlichen) Anforderungen und Zielen des Risikomanagements gerecht zu werden, wurde mit deutlich weniger Intensität betrachtet. Eine Konsequenz ist, dass in vielen Unternehmen trotz oft scheinbar ordentlichen Risikomanagementprozessen und einer sachgemäßen Organisation zugleich gravierende methodische Defizite bestehen, beispielsweise dergestalt, dass durch das Fehlen einer adäquaten Methode für die Risikoaggregation gar nicht beurteilt werden kann, ob „bestandsgefährdende Entwicklungen“ aus Kombinationseffekten von Einzelrisiken auftreten können.

Von besonderer Bedeutung sind zudem folgende Aspekte des DIIR RS Nr. 2 (in Anlehnung an Gleißner/Kimpel, 2019):

1. Risiko wird verstanden als Überbegriff zu möglichen positiven Abweichungen (Chancen) und negativen Abweichungen (Gefahren, Risiken im engeren Sinn) (siehe RZ 15).
2. Mit Bezug auf die gesetzliche Anforderung aus § 91 (2) AktG im Hinblick auf die Erkennung möglicher „bestandsgefährdender Entwicklungen“ wird die Methode zur Risikoaggregation zum zentralen Prüfungsfeld, weil nur so durch diese erreicht werden kann, dass auch mögliche bestandsgefährdende Entwicklungen aus Kombinationseffekten von Einzelrisiken erfasst werden (siehe RZ 19 und RZ 58).
3. Der DIIR Revisionsstandard Nr. 2 betont zudem die Notwendigkeit der Quantifizierung von Risiken (ganz auf Linie des IDW PS 340) und empfiehlt die darauf aufbauende Messung der Risikotragfähigkeit und Risikotoleranz (wie auch IDW PS 981, vgl. Wermelt et al, 2017).
4. Von grundlegender Bedeutung ist es, dass bei der Prüfung des Risikomanagements auch schon die Implikationen aus § 93 AktG im Hinblick auf ein „entscheidungsorientiertes Risikomanagement“ berücksichtigt werden. Entsprechend klar wird zu den Aufgaben des Risikomanagements ausgeführt (siehe RZ 16): „Es gehört auch zu den Aufgaben des Risikomanagements sicherzustellen, dass schon bei der Vorbereitung wesentlicher unternehmerischer Entscheidungen deren Implikationen für den zukünftigen Risikoumfang nachvollziehbar aufgezeigt werden, um zumindest eine mit solchen Entscheidungen möglicherweise einhergehende bestandsgefährdende Entwicklung früh zu erkennen.“
5. Der DIIR Revisionsstandard Nr. 2 betont auch die Bedeutung einer Risikokultur und macht sie zum Prüfungsgegenstand.
6. Der DIIR Revisionsstandard Nr. 2 hebt den strategischen Fokus des Risikomanagements hervor, ähnlich wie in der neuen Version von COSO Enterprise Risk Management (ERM) von 2017 (vgl. Hunziker, 2019). Damit sind bei der Risikoidentifikation z.B. insbesondere auch strategische Risiken zu beachten (sowie unsichere Planannahmen). In RZ 45 liest man: „Besondere Beachtung finden müssen dabei die strategischen Risiken, die die wesentlichen Erfolgspotenziale bedrohen und die im Allgemeinen nur unter Einbeziehung der Geschäftsleitung analysiert werden können.“
7. Gemäß DIIR Revisionsstandard Nr. 2 sind alle Managementsysteme, z.B. auch des Controllings oder des Qualitätsmanagements einzubeziehen, wenn sie sich mit Chancen und Gefahren befassen.
8. Der DIIR Revisionsstandard Nr. 2 betont die Aufgabenteilung zwischen Risikomanagement und operativem Management. Man liest in RZ 61: „Gemäß dem Three Lines of Defense-Modell liegen Aufgaben zur Risikoüberwachung sowohl beim operativen Management (risk owner) als auch bei zentralen Überwachungsfunktionen (z. B. Risikocontrolling oder zentrales Risikomanagement).“
9. Der DIIR Revisionsstandard Nr. 2 stellt klar, dass das wesentliche Ziel der Risikoberichterstattung und -kommunikation darin besteht, dass Entscheidungsträger und Aufsichtsorgane zeitnah über die Risikolage der Organisation informiert werden.