Der Begriff „Risiko“ wird in der einschlägigen betriebswirtschaftlichen Literatur nicht einheitlich definiert. In Bezug auf § 91 Abs. 2 AktG ist unter „Risiko“ allgemein die Möglichkeit ungünstiger künftiger Entwicklungen zu verstehen.
Im Folgenden werden als „Risiken“ allgemein mögliche negative Abweichungen der Handlungsergebnisse von den Handlungszielen betrachtet[101]. Messbar werden Risiken im Hinblick auf ihre Auswirkungen und Eintrittswahrscheinlichkeiten. Sie werden mit ihrem Erwartungswert (Produkt aus Schadenshöhe x Eintrittswahrscheinlichkeit) quantifiziert[102].
Voraussetzung für die Entwicklung einer risikoorientierten Prüfungsstrategie und eines daraus abzuleitenden Prüfungsprogramms ist es, dass der Prüfer die einzelnen Komponenten des Prüfungsrisikos kennt und somit analysieren kann[103].
Hinsichtlich des für den Umfang der Prüfungshandlung relevanten Prüfungsrisikos können das a-Risiko und das b-Risiko unterschieden werden. Das a-Risiko bezeichnet die Gefahr, dass ein fehlerhafter Prüfungsgegenstand als ordnungs-gemäß eingestuft wird und ist in der Literatur oft als sog. Fehler 1. Art auf-zufinden. Das b-Risiko hingegen bezeichnet den umgekehrten Fall, dass ein ordnungsgemäßer Prüfungsgegenstand als fehlerhaft eingestuft wird. Dieser Fehler 2. Art kann bei der Prüfung jedoch vernachlässigt werden, da das Eigeninteresse des zu prüfenden Bereichs dafür sorgen wird, dass solche Fehler nicht auftauchen.[104]
Nachfolgende Abbildung zeigt die Komponenten des Prüfungsrisikos (a-Risiko), welche für die Interne Revision und für die Abschlussprüfung gelten.
Abb. 5: Komponenten des Prüfungsrisikos
Quelle: in Anlehnung an Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap, Stuttgart 2006, S. 153.
Das Fehlerrisiko umfasst das dem Prüfungsobjekt innewohnende inhärente Risiko sowie das Kontrollrisiko. Das inhärente Risiko resultiert aus der Art des Prüfungsobjektes. Es umfasst sowohl makroökonomische als auch branchen- und unternehmensspezifische Faktoren wie z.B. die wirtschaftliche Lage des Unternehmens, die Organisationsstruktur oder die rechtlichen Verhältnisse in der Gesellschaft. Aber auch prüfungsgegenstandsspezifische Faktoren wie z.B. die Komplexität von Arbeitsvorgängen in den einzelnen Geschäftsprozessen und der Zeitdruck, unter welchem sie auszuführen sind. Um das inhärente Risiko einschätzen zu können, muss sich der Prüfer umfassende Kenntnisse des Unternehmens sowie des Unternehmensumfeldes durch Gespräche, Befragungen und Beobachtungen, aber auch durch Auswertungen von unternehmensinternen Dokumentationen und Informationen beschaffen.[105]
Das Kontrollrisiko stellt die Gefahr dar, dass wesentliche Fehler durch das Interne Kontrollsystem des Unternehmens nicht verhindert bzw. nicht rechtzeitig aufgedeckt und korrigiert werden. Die Kontrollrisiken sind daher bei einem wirksamen Internen Kontrollsystem niedrig, und bei einem nur bedingt wirksamen Internen Kontrollsystem entsprechend hoch.[106] Ursachen für eine hohe Fehlerquote können zeitliche Verzögerungen bei den eingebauten Kontrollen oder einzelne, unkontrollierte Sachverhalte sein[107].
Die dritte Komponente des Prüfungsrisikos, das Entdeckungsrisiko, beschreibt die Möglichkeit, dass trotz detaillierter Prüfungen des Prüfers wesentliche Fehler unentdeckt bleiben. Denkbar ist dieses Risiko aufgrund von unzureichender Stichproben oder unter der Anwendung falscher Prüfungsmethoden. Es ist folglich vom Prüfer direkt beeinflussbar und sollte durch entsprechende Sorgfalt des Prüfers bzw. des Prüfungsteams minimiert werden.[108]
„Je höher (geringer) die Fehlerrisiken sind, desto niedriger muss (höher kann) das Entdeckungsrisiko sein[109].“ Dies wird durch folgende Formel, die zur Ermittlung des Prüfungsrisikos herangezogen wird, verdeutlicht:
Prüfungsrisiko = inhärentes Risiko x Kontrollrisiko x Entdeckungsrisiko[110]
Der Prüfer legt das für ihn tolerierbare Entdeckungsrisiko fest, welches er anschließend durch entsprechende Prüfungshandlungen sicherstellt. Da eine mathematisch genaue Festlegung in der Praxis jedoch kaum praktikabel ist, wurden die gradualen Abstufungen – hoch, mittel und niedrig - zur Klassifizierung der Risiken definiert.
Grundsätzlich bezeichnet jeder Prüfungsansatz ein Verfahren zur Entwicklung einer bestimmten Vorgehensweise bei der Prüfung, also die Formulierung der Prüfungsstrategie[111]. Diese ist bei jeder Prüfung, egal ob risikoorientiert oder nicht, unerlässlich.
Der risikoorientierte Prüfungsansatz soll als Reaktion auf die modernen Unternehmensstrukturen eine Prüfung entsprechend den unternehmerischen Risikobereichen ermöglichen. Der Universalitätsanspruch der Internen Revision, in allen Unternehmensbereichen eine ständige Kontrolle zu repräsentieren, wird durch den neueren und zeitgemäßeren risikoorientierten Prüfungsansatz hinten angestellt.[112]
Da das Risikomanagement durch das KonTraG im Jahr 1998 zu einem Bestandteil der Corporate Governance großer Kapitalgesellschaften gehört, ist die Einführung, Umsetzung und Implementierung, aber auch die Kontrolle eine große Herausforderung für die Unternehmens- und Konzernführungen. Risiken müssen sowohl ex-post, laufend, als auch ex-ante Berücksichtigung finden. Das Interne und Externe Kontroll- und Überwachungssystem muss alle relevanten unternehmens- und konzernbezogenen Risiken aufnehmen und verstehen. Die Risiken sind das gemeinsame Erkenntnis- und Zielobjekt aller Führungs- und gleichzeitig aller Überwachungsaktivitäten und damit all derjenigen im Unternehmen, denen diese Aufgabe zur Erledigung übergeben ist. Im Zuge dessen wird von der Internen Revision ein grundsätzlicher Perspektivenwechsel abverlangt. Die Herausforderung liegt in der Einrichtung einer zielgerichteten, d.h. risikoorientierten Funktionsausführung und Organisation sowie in der Erfüllung der damit verbundenen Reporting-Pflichten im Rahmen des risikoorientierten Prüfungsansatzes. [113]
Der risikoorientierte Prüfungsansatz kann drei verschiedene Gestaltungsformen annehmen, wobei die Ablauf- und Aufbauorganisation im zu prüfenden Unternehmen dabei ausschlaggebend ist. Die Ausgestaltung nach der Systematik der Rechnungslegung bestimmt die Prüffelder in Anlehnung an die Posten und Angaben der Rechnungslegung sowie deren Zusammenhänge untereinander. Bei der funktionsorientierten Ausgestaltung werden die Prüffelder in Anlehnung an die betrieblichen Funktionen bestimmt (z.B. Einkauf, Materialwirtschaft, Verwaltung). Dieser Ansatz kann erweitert werden, indem eine Orientierung an den Geschäftsprozessen innerhalb des Unternehmens erfolgt. Hier werden die Prüffelder prozessorientiert festgelegt. Den Mittelpunkt bilden z.B. finanzwirtschaftliche-, personalwirtschaftliche oder Produktionsprozesse, welche sich auf die unterschiedlichen betrieblichen Funktionen auswirken.[114]
Da die Feststellung von Risiken ein Verständnis vom Unternehmensumfeld, von den Merkmalen im Unternehmen aber auch von den Zielen und Strategien des Unternehmens voraussetzt, ist es die Aufgabe des Prüfers, sich ein umfassendes Bild darüber anzueignen. Er betrachtet und kontrolliert verstärkt Prüfungs-gegenstände mit hohem Risikopotenzial. Um jedoch das unternehmerische Risiko genau definieren und anschließend die Risikopotenziale einschätzen und bewerten zu können, muss zunächst eine umfassende Risikoanalyse im Unternehmen stattfinden.[115] Mit dem sog. COSO-Modell (COSO = The Committee of Sponsoring Organizations of the Treadway Commission) kann sich der Prüfer anhand einer weltweit praktizierten und anerkannten Systematik einen umfassenden Überblick verschaffen.
Nachfolgend wird die risikoorientierte Prüfungsplanung sowie der Aufbau und die Vorgehensweise des COSO-Modells eingehend erläutert.
Prüfungsinstitutionen unterscheiden grundsätzlich zwischen zwei Planungen:
Die Jahresplanung, welche neben einer Gesamtübersicht aller Prüfungs-aufträge auch die Personalplanung sowie die Budgetplanung für das Folgejahr enthält. Sie wird meist durch den Prüfungs- oder Abteilungsleiter erstellt und anschließend bei der Geschäftsleitung vorgestellt und von dieser genehmigt.[116]
...