Inhalte
Risiko Management System (RMS)
Risiko Management System (RMS) gemäß IDW PS 981
Risikokultur
Die Risikokultur als Teil der Unternehmenskultur umfasst die grundsätzliche Einstellung und die Verhaltensweisen beim Umgang mit Risikosituationen. Sie beeinflusst maßgeblich das Risikobewusstsein im Unternehmen und bildet die Grundlage für ein wirksames RMS.
Ziele des RMS
Die unternehmenspolitischen Zielsetzungen und insb. die Unternehmensstrategie bilden die Ausgangsbasis für die Ableitung einer Risikostrategie und für ein systematisches Risikomanagement des Unternehmens. In der Risikostrategie wird festgelegt, in welchem Ausmaß
unter Berücksichtigung der Risikotragfähigkeit des Unternehmens Risiken eingegangen werden sollen (Risikoappetit), ergänzt durch unternehmerische Vorgaben zum erwünschten Umgang mit Risiken in Form einer Risikopolitik. Die Ziele des RMS sind darauf ausgerichtet sicherzustellen, dass die Unternehmensziele entsprechend der Risikostrategie erreicht werden.
Organisation des RMS
Von entscheidender Bedeutung für das RMS sind eine transparente und eindeutige Aufbauorganisation sowie eine klar definierte Ablauforganisation. Verantwortungsbereiche und Rollen sind klar geregelt, abgegrenzt, kommuniziert und dokumentiert. Die Aufgabenträger erfüllen
die erforderlichen persönlichen und fachlichen Voraussetzungen.
Es stehen ausreichende Ressourcen für Risikomanagement-Maßnahmen zur Verfügung (insb. Personen, Technologie, Hilfsmittel). Die wesentlichen
Regelungen zur Aufbau- und Ablauforganisation des Risikomanagements sind dokumentiert und verbindlich vorgegeben.
Risikoidentifikation
Die Risikoidentifikation umfasst die regelmäßige, systematische Analyse von internen und externen Entwicklungen und Ereignissen, die zu negativen oder positiven Abweichungen von den festgelegten Zielen des RMS führen können.
Risikobewertung
Risiken werden systematisch beurteilt, typischerweise im Hinblick auf Eintrittswahrscheinlichkeit und mögliche Auswirkungen. Bewertungsverfahren und -kriterien sind (auch für nicht quantifizierbare Risiken) eindeutig definiert. Dies umfasst die Verwendung einer Bewertungssystematik, die es erlaubt, die Bedeutung und den Wirkungsgrad von Risikosteuerungsmaßnahmen einzuschätzen.
Die einzelnen Risikobewertungen werden systematisch aggregiert. Risikointerdependenzen werden analysiert und berücksichtigt.
Risikosteuerung
Auf der Grundlage der identifizierten und bewerteten Risiken trifft die Unternehmensleitung Entscheidungen über Maßnahmen zur Risikosteuerung (Risikovermeidung, Risikoreduktion, Risikoteilung bzw. -transfer sowie Risikoakzeptanz). Als Bezugsrahmen dienen die festgelegten
Ziele des RMS.
Risikokommunikation
Die Risikokommunikation gewährleistet einen angemessenen Informationsfluss im RMS. Dies umfasst einen standardisierten Prozess auf der Basis konkreter Zuständigkeiten, Periodizitäten, Schwellenwerte und Berichtsformate. Für eilbedürftige Risikomeldungen ist ein separater Berichtsprozess etabliert, der eine zeitnahe Übermittlung der relevanten Informationen sicherstellt. Für die Risikobeurteilung werden die entscheidungsrelevanten Informationen gesammelt, auf ihre Zuverlässigkeit überprüft und aktualisiert.
Überwachung und Verbesserung des RMS
Die Angemessenheit und Wirksamkeit des RMS werden durch prozessintegrierte und prozessunabhängige Kontrollen überwacht. Voraussetzung für die Überwachung ist eine angemessene Dokumentation des RMS. Die Ergebnisse der Überwachungsmaßnahmen (insb. festgestellte
Mängel im RMS) werden in geeigneter Form berichtet und ausgewertet, damit die erforderlichen Maßnahmen zur Verbesserung des Systems und zur Beseitigung von Mängeln ergriffen werden können.