DIIR Revisionsstandard Nr. 2 Version 2.1

Im November 2018 veröffentlichte das DIIR - Deutsches Institut für Interne Revision e.V. den DIIR - Revisionsstandard Nr. 2: „Prüfung des Risikomanagementsystems durch die Interne Revision“, der in einem gemeinsamen Arbeitskreis von DIIR (Deutsches Institut für Interne Revision e.V.) und RMA (Risk Management & Rating Association e.V.) erarbeitet worden war.^[1] Dieser Revisionsstandard enthält eine ausführliche Beschreibung der Grundbegriffe des Risikomanagements, der Risikomanagement-Organisation und Risikokultur sowie die prozessualen Aspekte der Risikoidentifikation, Risikoanalyse und -bewertung und der Risikosteuerung und eingeleiteten Gegenmaßnahmen.

Die im Februar 2022 veröffentlichte neue Version des DIIR Revisionsstandard Nr. 2 zur Prüfung des Risikomanagementsystems durch die Interne Revision berücksichtigt und erläutert die erweiterten gesetzlichen Anforderungen, insbesondere durch StaRUG und FISG. Außerdem wurden bestehende Begriffsdefinitionen präzisiert und um neue Definitionen ergänzt. Hinsichtlich der Prüfung wurden die Abschnitte zur Risikostrategie, zur Risikoanalyse und -bewertung sowie zur Risikoberichterstattung und -kommunikation erweitert.

In der aktuellen Version des DIIR RS Nr. 2 wurde Wert daraufgelegt, die für das Risikomanagement zentralen Sachverhalte und Begriffe so klar zu definieren, dass sie dediziert, geprüft werden können. So liest man beispielsweise zu den infolge von §1 StaRUG zentralen Begriffen Risikotragfähigkeit und Gefährdungswahrscheinlichkeit:

„Die Risikotragfähigkeit ergibt sich aus dem Risikodeckungspotenzial und dem aggregierten Gesamtrisikoumfang. Kennzahlen für die Risikotragfähigkeit beurteilen den Grad der Bestandsgefährdung bzw. die Wahrscheinlichkeit für eine bestandsgefährdende Entwicklung.^[2]

Eine zentrale Rolle für die Prüfungsausrichtung spielen dabei die Angemessenheit und Wirksamkeit des Risikomanagementsystems sowie der Maßstab zur Beurteilung der Risikotragfähigkeit des Unternehmens. Ferner wird die Notwendigkeit einer Risikoaggregation zur Beurteilung der Bestandsgefährdung eines Unternehmens hervorgehoben. Ausdrücklich wird darauf verwiesen, dass eine solche Risikoanalyse und Risikoaggregation nur in quantifizierter Form und mit statistischen Rechenverfahren zu akzeptablen Aussagen führt. Der DIIR RS Nr. 2 hat daher auch die Erläuterungen zur Prüfung von Risikoaggregation und Risikotragfähigkeitskonzept weiter präzisiert. Dadurch wird klargestellt, dass die Interne Revision nicht nur die Existenz „irgendeiner“ Risikoaggregation zu prüfen hat. Notwendig ist die Prüfung der Methode für die Risikoaggregation, um sicherzustellen, dass diese tatsächlich geeignet und wirksam ist, um „bestandsgefährdenden Entwicklungen“ frühzeitig zu erkennen. So ist zu betrachten, ob eine Aggregation der Risiken mit Bezug auf die Unternehmensplanung erfolgt, aus der sich das zukünftige Risikodeckungspotenzial ableiten lässt, und dabei auch eine mögliche Bestandsgefährdung durch die Verletzung von Mindestanforderungen an das Rating oder von Covenants, die zu einer Bestandsgefährdung führen können, beachtet werden. Dabei enthält der Revisionsstandard Nr. 2 keine „Blaupause“, sondern betont die Notwendigkeit situationsbezogener Prüfungen. Praktische Hilfen hierzu bietet der vom DIIR-RMA-Arbeitskreis erstellte Fragebogen.