Prüfung von Risikomanagementsystemen nach IDW PS 981 und dem DIIR RS Nr. 2


Mit dem vom Institut der deutschen Wirtschaftsprüfer (IDW) im März 2017 veröffentlichten Prüfungsstandard (PS) 981 dem von Deutschen Institut für Interne Revision (DIIR) im November 2018 veröffentlichen Revisionsstandard (RS) Nr. 2 liegen zweit deutsche Standards für die Prüfung von Risikomanagementsystemen (RMS) vor. 

Der IDW Prüfungsstandard umfasst die Prüfung des Teils des unternehmensweiten RMS, welches strategische und operative Risiken aus der Geschäftstätigkeit umfasst. Gem. des IDW PS 981 besteht das Risikomanagementsystem aus folgenden Elementen, die im Rahmen der  Prüfung vollumfänglich und nicht isoliert zu prüfen sind:

  1. Risikokultur
  2. Ziele des RMS
  3. Organisation des RMS
  4. Risikoidentifikation
  5. Risikobewertung
  6. Risikosteuerung
  7. Risikokommunikation
  8. Überwachung und Verbesserung des RMS.

Eine Prüfung des RMS nach dem IDW PS 981 kann auf das Management von strategischen Risiken begrenzt werden. Sofern neben den strategischen Risiken auch das Management von  operativen Risiken zu prüfen sind, schreibt der PS 981 eine Abgrenzung zu prüfender Teilbereiche durch den Auftraggeber vor. Die Abgrenzung der zu prüfenden Teilbereiche bestimmt sich im Sinne des PS 981 nach einzelnen operativen Risikoarten und/ oder Unternehmensprozessen bzw. Organisationseinheiten. Die Prüfung und folglich auch die im Prüfungsbericht enthaltenen Aussagen hinsichtlich der Angemessenheit, Implementierung und Wirksamkeit des RMS, beziehen sich auf die Beschreibung des RMS bzw. der abgegrenzten Teilbereiche. Zudem beinhaltet der IDW PS 981 Formulierungsbeispiele für RMS-Prüfungsberichte, deren Einhaltung grundsätzlich zu empfehlen ist.

Der DIIR Revisionsstandard Nr. 2 beinhaltet die Darstellung von Grundsätzen für die Prüfung des RMS durch die Interne Revision und ergänzt als lokale Leitlinie das International Professional Practice Framework (IPPF) vom Institute of Internal Auditors (IIA), welches mit dem Ausführungsstand 2120 die Aufgabe der Internen Revision bzgl. der Prüfung des RMS definiert: „Die Interne Revision muss die Funktionsfähigkeit der Risikomanagementprozesse beurteilen und zu deren Verbesserung beitragen.“

Die (Funktionsfähigkeits-) Prüfung des RMS bezieht sich gem. des DIIR RS Nr. 2 auf die Angemessenheit, Implementierung und Wirksamkeit des Systems und definiert hierzu folgende Prüffelder:

  1. Organisation und Risikokultur
  2. Strategie
  3. Identifikation und Erfassung
  4. Analyse und Bewertung
  5. Steuerung und Überwachung
  6. Risikoberichterstattung.

Das DIIR schreibt im Standard keine zu den IPPF ergänzende oder spezielle Berichtform vor und es wird bewusst kein konkreter Prüfungsplan dargestellt. Stattdessen veröffentlicht das DIIR Hinweise zur Prüfung, bspw. in Form von Checklisten mit einzelnen Fragestellungen, von denen einzelne als Grundsatzkriterien gekennzeichnet sind und als Mindeststandard für ein funktionierendes Risikomanagementsystem erfüllt sein müssen. Die jeweiligen Fragen enthalten zudem Prüfungshinweise und können auf Basis einer vierstufigen Skala bewertet werden – ähnlich der Methodik des DIIR RS Nr. 3 Prüfung von Internen Revisionssystemen (Quality Assessment).

Wir von BDO beraten Sie gerne bei Ihren individuellen Erwartungshaltungen an eine Prüfung des RMS unter Berücksichtigung der jeweiligen Gegebenheiten (z. B. Reifegrad, Größe, Branche) und bieten Ihnen zudem u. a. folgende Services im Rahmen der RMS-Prüfung:

  • Pre-Assessment (Ermittlung der Prüfbereitschaft und Identifizierung von Quick-Wins in Form von Empfehlungen und ggf. Implementierungsplan mit Elementen wie Verantwortlichkeiten, Prioritäten, Aufwandsschätzungen)
  • Planung, Koordination und Dokumentation von Self-Assessments
  • Prüfung des RMS gemäß IDW PS 981 / DIIR RS Nr. 2 – Berichterstattung beinhaltet auch Maßnahmenempfehlungen
  • Follow-Up, Qualitätssicherung bei der Umsetzung der Maßnahmen