Projektbericht (Prüfung des RMS)

Ausgangslage

Das mittelständische, weltweit operierende Unternehmen (Handel, Distribution, Produktion) stand vor der Aufgabe, ein angemessenes Risikomanagementsystem (RMS) einzuführen. Ein Risikomanagement-Beauftragter und die Risikoeigner waren bereits mündlich ernannt. Die Software eines externen Dienstleisters war eingeführt und teilweise bereits mit ersten Risiken gefüllt. 

Ein erster Workshop zur Identifizierung aller Risiken (Risikoinventar) hatte stattgefunden aber die Ergebnisse waren noch nicht veröffentlicht. 
 

Projektziel

Wir wurden von der Geschäftsleitung des Mandanten beauftragt, das im Aufbau befindliche Risikomanagementsystem auf Angemessenheit und Zweckmäßigkeit hin zu überprüfen. 

Weiterhin lautete die Aufgabenstellung, ob das Unternehmen mit der geplanten Einführung alle normativen, d.h. gesetzlichen Anforderungen berücksichtigt hatte. 
 

Projektvorgehen

In einem ersten Schritt haben wir den formalen Aufbau der Risiko-Organisation untersucht. Die Prüfung umfasste hierbei insbesondere die Festlegung des gesamten Prozesses in einem Risikomanagementhandbuch, sowie die Definition von Rollen und Verantwortlichkeiten der am Prozess Beteiligten. Ziel war die Beurteilung der Sicherstellung eines adäquaten Gesamtkonzepts zum Risikomanagement (z. B. Festlegung der Risikostrategie, Definition der Risikobewertungsmethoden und -verfahren, Wesentlichkeitsgrenzen, Definition und Abgrenzung der Risikoarten, Berichtswesen, Verantwortlichkeiten, Schnittstellen, genutzte Tools etc.).  

Ein weiterer wichtiger Baustein in diesem Zusammenhang war die Beurteilung, ob seitens der Geschäftsleitung eine angemessene Risikostrategie entwickelt und kommuniziert und eine entsprechende Risikokultur im Unternehmen etabliert wurde. Dieses, auch „Tone-at-the-Top“ genannte Verständnis ist ein elementarer Baustein und Voraussetzung für ein erfolgreich gelebtes RMS. 

In einem zweiten Schritt wurde die Systematik der Identifikation der Risiken und deren Bewertung als Basis eines funktionierenden RMS untersucht. Die Fragestellung lautete, ob alle (strategischen und operativen) Risiken vollständig identifiziert, bewertet und priorisiert und Gegenmaßnehmen angemessen definiert wurden. 

Im weiteren Verlauf wurde geprüft, wie die aktuell ermittelte Risikosituation durch eine permanente Risikosteuerung im Zeitverlauf bearbeitet wird. In diesem Zusammenhang ging es u.a. um die Durchführung eines regelmäßigen Monitorings und Controllings, die Aktualisierung bestehender Risiken und die Maßnahmenverfolgung. 

Ein weiterer Schwerpunkt der Prüfung betraf die Dokumentation der Risiken in der genutzten Software und die Kommunikation der Risikosituation in einem Standard-Berichtswesen sowie einer ad-hoc-Berichterstattung. 

In die Prüfung haben wir ebenfalls Aspekte des Datenschutzes, sowie die Zertifizierungen des eingesetzten Tools und des Dienstleisters selbst mit einbezogen.  

Dem Mandanten konnten im Rahmen der Prüfung wertvolle Hinweise und Anregungen für ein effektives und zur Unternehmensgröße und den Unternehmenszielen adäquates RMS gegeben werden. 
 

Zurück zur Übersicht über Risikomanagementsysteme