86
Die Lageberichtsprüfung stellt nicht explizit auf
das RMS ab, sondern nimmt einzelne Aspekte
des RMS zur Hilfe, um daraus abgeleitete Aus-
sagen im Lagebericht zu prüfen.
Die Prüfung des Risikofrüherkennungssystems
enthält gleich zwei Einschränkungen. Das akti-
enrechtliche Risikofrüherkennungssystem ist,
anders als das RMS, nur auf bestandsgefähr-
dende Risiken ausgerichtet. Außerdem be-
schränkt sich das Risikofrüherkennungssystem
bereits dem Namen nach nur in geringem Um-
fang auf deren Steuerung.
Lückenschluss durch neuen Standard
Um die Lücke zu schließen zwischen der als
Nebenprodukt der Abschlussprüfung anfallen-
den teilweisen Betrachtung des RMS einerseits
und dem Bedürfnis andererseits, das RMS ge-
zielt durch einen Wirtschaftsprüfer prüfen zu
lassen, hat das Institut der Wirtschaftsprüfer
im April 2017 einen neuen Prüfungsstan-
dard veröffentlicht
, nach dem Wirtschafts-
prüfer mit der Prüfung aller Bestandteile eines
RMS beauftragt werden können.
Der IDW PS 981 als Instrument
zur Wirksamkeitsüberwachung
Der IDW PS 981 beschreibt das Prüfungsvor-
gehen von Wirtschaftsprüfern bei der Prüfung
eines RMS im Bereich strategischer und opera-
tiver Risiken.
Unter strategischen Risiken werden mögliche
künftige Entwicklungen oder Ereignisse ver-
standen, die zu einer für das Unternehmen ne-
gativen oder positiven Abweichung von den
strategischen Zielen führen. Operative (betrieb-
liche) Risiken sind mögliche künftige Entwick-
lungen oder Ereignisse, die im Hinblick auf die
Geschäftstätigkeit bzw. die Leistungserstel-
lungsprozesse zu einer für das Unternehmen
negativen oder positiven Abweichung von den
aus den strategischen Zielen abgeleiteten ope-
rativen Ziele führen können.
Für eine Prüfung des RMS operativer Risiken
sieht IDW PS 981 eine Abgrenzung sogenann-
ter Teilbereiche des operativen RMS vor, die
durch den Auftraggeber vor Auftragserteilung
vorzunehmen ist.
5
Diese Abgrenzung kann
sich an den in der Prüfung zu erfassenden
operativen Risikoarten, Unternehmensprozes-
sen oder Organisationseinheiten des Unter-
nehmens orientieren.
6
So kann zum Beispiel eine Prüfung des RMS für
den Einkaufsprozess, die Prüfung des RMS in
einer geografischen Region oder die Prüfung
des konzernweiten RMS mit ausgewählten Risi-
koschwerpunkten beauftragt werden.
Fokussierung auf Teilbereiche
des operativen RMS
Ein ganzheitliches RMS berücksichtigt im Ideal-
fall das gesamte Unternehmen mit allen rele-
vanten Prozessen und Unternehmenseinheiten
(zentral wie dezentral). Vor dem Hintergrund
der Komplexität eines ganzheitlichen RMS
erscheint eine vollumfassende Prüfung des
gesamten RMS eines Unternehmens inklusive
aller internationalen Geschäftstätigkeiten und
unter Berücksichtigung des gesamten Risiko-
portfolios zwar theoretisch möglich, aber prak-
tisch und unter Abwägung von Kosten-/Nut-
zenaspekten nicht zielführend. Daher schreibt
IDW PS 981 eine Fokussierung auf „Teilberei-
che“ des operativen RMS vor.
Eine Prüfung nach dem IDW PS 981 kann auch
auf das RMS der strategischen Risiken be-
grenzt werden. Da die strategischen Risiken
grundsätzlich das gesamte Unternehmen bzw.
seine Erfolgspotenziale betreffen, ist bei der
Prüfung im Bereich der strategischen Risiken
eine Teilbereichsabgrenzung wie bei den ope-
rativen Risiken nicht vorgesehen.
7
Orientierungsrahmen für den Prüfer
Der Prüfungsstandard definiert für Zwecke der
Prüfung die Grundelemente eines RMS (siehe
Abbildung 1) und lehnt sich dabei an das CO-
SO-Rahmenwerk zum unternehmensweiten Ri-
sikomanagement
8
sowie weitere allgemein an-
erkannte Standards zur Einrichtung von RMS
an.
9
Die Grundelemente eines RMS nach dem
IDW PS 981 geben dem Prüfer einen Orientie-
rungsrahmen, der es ihm ermöglicht, zu prü-
fende RMS jeweils im unternehmensindividuel-
len Kontext zu beurteilen. Dabei wird der Prüfer
die angemessene und wirksame Ausgestaltung
der Grundelemente jeweils in Bezug auf die für
Zwecke der Prüfung definierten Teilbereiche
Autoren
Andreas Wermelt
Partner, Leiter des Bereichs Internal Controls Assurance,
Deloitte GmbH WPG, Düsseldorf.
E-Mail:
Daniel Oehlmann
Senior Manager im Bereich Corporate Governance Assurance,
Deloitte GmbH WPG, Hannover.
E-Mail:
René Scheffler
Senior Manager im Bereich Corporate Governance Assurance,
Deloitte GmbH WPG, Düsseldorf.
E-Mail:
Risikomanagement und Unternehmenssteuerung
