Mit welchen Kriterien beurteilt man die Wirksamkeit eines Risikomanagementsystems?

3 Expertenantworten: Foto von Rudolf X. Ruter Foto von Thomas Wuttke
...

Antworten:

Foto von Rudolf X. Ruter
Antwort von Rudolf X. Ruter .
Wirtschaftsprüfer Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. Stuttgart

Evaluation eines RM Systems ist sehr umfänglich und kann hier nicht dargestellt werden.

 

 

Compliance ist nicht alles - Compliance ist mehr als Zuverlässigkeit - Sehen Sie hier mein Vortrag unter http://www.ruter.de/?p=4480

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

2 passende Publikationen von Rudolf X. Ruter

Cover zu Der unabhängige Finanzexperte im Aufsichtsrat
Cover zu Public Corporate Governance
Foto von Dr. Hans-Ulrich Westhausen
Antwort von Dr. Hans-Ulrich Westhausen .
Leiter Konzernrevision, Compliance-Beauftragter, CIA, CISA, CFE, CCSA, CFSA ANWR GROUP eG Düsseldorf

Als langjähriger Leiter einer Konzernrevision beantworte ich die Frage wiefolgt:

Unabhängig von gängigen RMS-Standards (DIIR Nr. 2, IDW PS 981 u.a.), die eine RMS-Wirksamkeit eher aus organisatorischen Aspekten "indirekt" ableiten (z.B. ob entsprechend geschult wurde, ob eine entsprechende Methodik für die unternehmenseigene Risikoanalyse vorliegt oder ob eine spezielle RMS-Software im Einsatz ist), kann mit folgenden revisorischen Fragestellungen nahezu "direkt" auf Wirksamkeit eines RMS geschlussfolgert werden:

- Ist die Veränderung von Risikomeldungen zwischen den Meldezeitpunkten plausibel? [starke und häufige Schwankungen sprechen eher für weniger Wirksamkeit ---- andererseits sprechen überhaupt keine Änderungen über längere Zeiträume für ein reines "Durchnicken" der rollierenden Risikomeldungen ohne sachlich-inhaltlichen Review und damit für eine Vermutung geringer Wirksamkeit];

- Können wesentliche GuV-Abweichungen zwischen PLAN-IST-Werten mit den aktuellen Risikomeldungen abgestimmt werden? [da Risiken per Definition als "Negativ-Abweichungen von PLAN-Werten" verstanden werden, sollten Risiken auch als Negativ-Abweichungen aus den PLAN-IST-GuV's - sowie PLAN-IST-Bilanzen - ableitbar sein]; 

- Werden die gegensteuernden Maßnahmen zu den berichteten Risiken auch entsprechend umgesetzt? [getreu dem Motto "kein Risiko ohne mindestens eine aktive Gegenmaßnahme" legt die planmäßige Umsetzung vereinbarter risikoreduzierender Gegenmaßnahmen eine höhere RMS-Wirksamkeit nahe, als eine Menge offener, fälliger risikoreduzierender Aktivitäten].

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.

3 passende Publikationen von Dr. Hans-Ulrich Westhausen

Cover zu About the Value of Internal Auditing
Cover zu Der Fraud Report 2018 aus dem Blickwinkel der Internen Revision
Cover zu Internal Auditing, Psychology and Fraud
Foto von Thomas Wuttke
Antwort von Thomas Wuttke .
Speaker Herrsching

Risiken sind ja Unsicherheiten auf Ziele, meist im Sinne von erheblichen signifikaten (negativen) Abweichungen. Treten diese Abweichungen tatsächlich ein, sind das per se keine Risiken mehr, sondern Probleme. Wichtig ist in diesem Zusammenhang, Risiko von Problem zu differenzieren. Ein Risiko ist also ein potentielles Problem (negativ betrachtet), ein Probelm ist nicht potentiell, ein Problem ist da...

Dies vorausgeschickt ist die einfachste Metrik, um ein Risikomanagementsystem zu beurteilen, der signifikante Rückgang bzw. Abschwächung von Problemen. Wer ein effektives Risikomanagement installiert hat, muss das am Ende am Ergebnis merken.

Natürlich gibt es noch eine Reihe anderer Metriken, sogar ganz viele. Aber hier lauert die Gefahr, in scheingenauen Prozessmetriken den Überblick zu verlieren, statt einfach die Wirksamkeit zu betrachten.

Loggen Sie sich ein um diese Antwort als hilfreich zu markieren.