Unternehmen stehen unter Druck möglichst alle Unternehmensrisiken zu identifizieren, die den Unternehmenserfolg beeinträchtigen können. Diese bestehen beispielsweise in sozialen, ethischen, finanziellen oder auch operativen Bereichen, was die Identifikation erschwert. Grundsätzlich hat der Vorstand die Verantwortung dafür, dass die Risiken entsprechend gesteuert werden. Wegen der hohen Anzahl an meist sehr unterschiedlichen Risiken und ihrer Komplexität würde diese Aufgabe jedoch zu viel Zeit einnehmen, weswegen ein unternehmensweites Risikomanagement etabliert wird.
Das unternehmensweite Risikomanagement kann als strukturierter, konsistenter und kontinuierlicher Prozess im Unternehmen verstanden werden, der Chancen und Risiken identifiziert, bewertet, steuert und an den Vorstand berichtet. Der Vorteil eines solchen holistischen Ansatzes ist unter anderem, dass:
- die Ziele mit einer größeren Wahrscheinlichkeit erreicht werden, da Chancen zur Erreichung besser genutzt und Risiken gemildert werden,
- unterschiedliche Risiken auf konsolidierter Basis an den Vorstand kommuniziert werden, was ein besseres Verständnis für Schlüsselrisiken und deren Auswirkungen schafft und dem Management einen Fokus auf relevante Probleme ermöglicht und
- auch geschäftsübergreifende Unternehmensrisiken identifiziert und gesteuert werden können.
Im Unternehmen trägt jeder zum Erfolg (evtl. im Falle von Fraud auch Misserfolg) des unternehmensweiten Risikomanagements bei. Zu diesen Akteuren gehört auch die Interne Revision, welche prüft, ob die Prozesse effektiv funktionieren und die Schlüsselrisiken auf ein akzeptables Maß reduziert werden. Hierbei ist jedoch zu beachten, dass es Rollen gibt, welche die Interne Revision einnehmen sollte und Rollen, welche unbedingt zu vermeiden sind, da sie die Objektivität und Unabhängigkeit gefährden. Einen groben Überblick liefert die folgende Abbildung.
Revisoren sollten sich in Prüfungs- und insbesondere Beratungsleistungen hinsichtlich des Risikomanagements immer bewusst machen, dass das Management für das Risikomanagement verantwortlich ist. Deswegen sollte die Interne Revision keinerlei Risikosteuerungsmaßnahmen durchführen. Vielmehr sollten sie das Management unterstützen und beraten, um diesen bei der Erfüllung ihrer Verantwortungen zu helfen. Hilfreich kann in diesem Zusammenhang eine Dokumentation der Rolle der Internen Revision im unternehmensweiten Risikomanagement innerhalb der Geschäftsordung sein. Weitere Hilfestellungen geben die (Umsetzungs-)Standards im International Professional Practices Framework (IPPF) des Institute of Internal Auditor (IIA).
Zusätzliche Literatur zum Thema finden Sie hier: