Interne Revision. Bericht gemäß 386 SGB III. Risikomanagement. Revision



Ähnliche Dokumente
Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Empfehlungs- und Maßnahmenkatalog. Interne Revision. Erledigt am. Zuständ. Org. - Bereich. Kategorie 1. Erledigung


Erläuternder Bericht des Vorstands der Demag Cranes AG. zu den Angaben nach 289 Abs. 5 und 315 Abs. 2 Nr. 5 des Handelsgesetzbuches (HGB)

Leseauszug DGQ-Band 14-26

Mitarbeiterbefragung als PE- und OE-Instrument

RSP International. Ihr Partner in Osteuropa und Zentralasien

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

InnoFaktor Innovationsstrategien mittelständischer Weltmarktführer im demografischen Wandel

Mobile Intranet in Unternehmen

6.4.5 Compliance-Management-System (CMS)

Leitfaden. zur Einführung neuer Studiengänge

Was sind Jahres- und Zielvereinbarungsgespräche?

Der kleine Risikomanager 1. Karin Gastinger

Gesundheitsförderliche Mitarbeitergespräche (smag) Quelle: GeFüGe-Projekt, bearbeitet durch Karsten Lessing, TBS NRW

Volksbank BraWo Führungsgrundsätze

Hinweise zur Umsetzung und den Obliegenheiten im Rahmen von Outsourcing in Kreditinstituten.

Skills-Management Investieren in Kompetenz

Informationssicherheit als Outsourcing Kandidat

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Mitteilung zur Kenntnisnahme

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Mehr Effizienz und Wertschöpfung durch Ihre IT. Mit unseren Dienstleistungen werden Ihre Geschäftsprozesse erfolgreicher.

Mitarbeiterbefragung. 5 zentrale Gründe für Trigon

IT-Controlling in der Sparkasse Hildesheim

IDV Assessment- und Migration Factory für Banken und Versicherungen

Elektrische Anlagen und Betriebsmittel

Modul 5: Service Transition Teil 1

Change Management. Hilda Tellioğlu, Hilda Tellioğlu

Bericht des Gleichbehandlungsbeauftragten für das Geschäftsjahr 2012 gemäß 80 Tiroler Elektrizitätsgesetz 2012

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Die Gesellschaftsformen

Ziel- und Qualitätsorientierung. Fortbildung für die Begutachtung in Verbindung mit dem Gesamtplanverfahren nach 58 SGB XII

27001 im Kundendialog. ISO Wertschätzungsmanagement. Wie Wertschätzung profitabel macht und den Kunden glücklich

Korruption im Unternehmen Gesetzliche Verpflichtung zur Einrichtung eines Präventivsystems

ÜBERGABE DER OPERATIVEN GESCHÄFTSFÜHRUNG VON MARC BRUNNER AN DOMINIK NYFFENEGGER

StuPro-Seminar Dokumentation in der Software-Wartung. StuPro-Seminar Probleme und Schwierigkeiten in der Software-Wartung.

Änderung der ISO/IEC Anpassung an ISO 9001: 2000

D i e n s t e D r i t t e r a u f We b s i t e s

Erfolgreiche ITIL Assessments mit CMMI bei führender internationaler Bank

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Herzlich Willkommen beim Webinar: Was verkaufen wir eigentlich?

Die vorliegende Arbeitshilfe befasst sich mit den Anforderungen an qualitätsrelevante

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

Wann ist eine Software in Medizinprodukte- Aufbereitungsabteilungen ein Medizinprodukt?

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Pensionskasse des Bundes Caisse fédérale de pensions Holzikofenweg 36 Cassa pensioni della Confederazione

IT-Governance und Social, Mobile und Cloud Computing: Ein Management Framework... Bachelorarbeit

Rolle von CSR für das Risikomanagement Vorstellung von Handlungsempfehlungen

DB Wesentlichkeitsanalyse 2014

Quality Assurance Review der IT-Revision (QAR-IT) -Ein Leitfaden -

Bundeskinderschutzgesetz

10 IDG (Gesetz über die Information und den Datenschutz, LS 170.4) 24 IDV (Verordnung über die Information und den Datenschutz, LS 170.

DNotI. Fax - Abfrage. GrEStG 1 Abs. 3 Anteilsvereinigung bei Treuhandverhältnissen. I. Sachverhalt:

Anforderungen an die HIS

ERP / IT Strategieleitfaden Vorgehensmodell zur Entwicklung einer ERP / IT-Strategie

Governance, Risk & Compliance für den Mittelstand

Unternehmenskultur und Führung von Veränderungsprozessen. Great Place to Work. September 2015

Jahresrechnung zum 31. Dezember 2014

Der Prozess Risikomanagement. Seine Integration in das Managementsystem

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Mitarbeitergespräch. Gesprächsleitfaden. Mitarbeiter/Mitarbeiterin. Führungskraft: Datum: Name: Vorname: Abteilung, Bereich, Organisationseinheit:

Die 7 wichtigsten Erfolgsfaktoren für die Einführung von Zielvereinbarungen und deren Ergebnissicherung

Ihre Fragen unsere Antworten rund um die Fusion der Sparkassen Wesel und Dinslaken-Voerde-Hünxe. Mehrwert der Fusion. Das Wichtigste vorab:

Datenschutz-Management

Öffentlicher Webcast - Implementierungsstrategie Strukturmodell - stationär

GeFüGe Instrument I07 Mitarbeiterbefragung Arbeitsfähigkeit Stand:

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Naturgewalten & Risikoempfinden

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

D.3.3. Betriebsleitfaden zur Zuweisung/Vergabe von ECVET Krediten. EUCoopC. PROJEKT Nr.: LLP IT-LEONARDO-LMP

RISIKOMANAGEMENT IM UNTERNEHMEN

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Benchmark zur Kompetenzbestimmung in der österreichischen SW Industrie. Mag. Robert Kromer NCP / AWS Konferenz Wien,

Die Geschäftsanweisung beinhaltet das Fachaufsichtskonzept des Jobcenters Berlin Spandau im gesamten operativen Bereich

Wahl- und Wechselmöglichkeiten im Lebensphasenmodell

Freiwillige Offenlegung nach 16 Abs. 1 InstitutsVergV sowie Art. 450 CRR (Vergütungsbericht der Kreissparkasse Köln)

Code of Conduct (CoC)

Informationssystemanalyse Problemstellung 2 1. Trotz aller Methoden, Techniken usw. zeigen Untersuchungen sehr negative Ergebnisse:

Ihr Weg in die Suchmaschinen

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Management von Beschwerden und Einsprüchen

Maintenance & Re-Zertifizierung

Fragebogen ISONORM 9241/110-S

Fragebogen zur Erhebung der Zufriedenheit und Kooperation der Ausbildungsbetriebe mit unserer Schule

FIRST SOLAR, INC. RICHTLINIEN ZUR UNTERNEHMENSFÜHRUNG

Tipps für ein Bankgespräch

Sicherheit entspannt Sichere Daten. Sicheres Geschäft. Tipps zur Informationssicherheit für Manager. TÜV SÜD Management Service GmbH

Wie funktioniert ein Mieterhöhungsverlangen?

Deutsches Forschungsnetz

Qualitätsmanagementsystem der IHK Köln. Überblick 2015

Eva Douma: Die Vorteile und Nachteile der Ökonomisierung in der Sozialen Arbeit

BESCHLUSSEMPFEHLUNG UND BERICHT

Managementbewertung Managementbewertung

Corporate Governance Bericht/ Erklärung zur Unternehmensführung gemäß 289a HGB

Leo Baumfeld. Risikoanalyse. Begleiter: ÖAR-Regionalberatung GmbH. Fichtegasse 2 A-1010 Wien. Tel. 01/ , Fax DW 10 Mobil: 0664/

Ablauf Vorstellungsgespräch

Risikobasierte Bewertung von Hilfsstoffen

Pensionskasse der Burkhalter Gruppe Zürich. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2013

Transkript:

Interne Revision Revision Bericht gemäß 386 SGB III Risikomanagement

Inhaltsverzeichnis 1 Zusammenfassung... 1 2 Festgestellte Handlungsbedarfe... 2 2.1 Verantwortlichkeiten und Abläufe im Risikomanagement... 2 2.2 Einbeziehung aller relevanten Bereiche... 3 2.3 Abstimmung innerhalb des Risikomanagements... 3 3 Zusammenwirken systemischer Vorkehrungen mit persönlicher Rollenwahrnehmung... 4 Anlage 1 Anlage 2 Sollbeschreibung in Anlehnung an COSO ERM Revisionsumfang und -methode

1 Zusammenfassung Das Risikomanagement der Bundesagentur für Arbeit ist darauf ausgerichtet, in standardisierter Form wesentliche Risiken so schnell wie möglich zu erkennen, zu bewerten und mit der Risikoakzeptanz der Organisation in Einklang stehende Maßnahmen zur Risikoreduzierung zu ergreifen. Die Interne Revision hat in zwei Schritten geprüft, ob das Risikomanagement der BA dieser Zielrichtung durch ein qualitativ ausreichendes Internes Kontrollsystem gerecht werden kann und ob Ansatzmöglichkeiten zur Verbesserung der Leistungsfähigkeit des Risikomanagements bestehen. Liegen Einschränkungen in der Funktionsfähigkeit des Risikomanagements vor, besteht die Gefahr, dass die BA möglichen Risiken für die Zielerreichung nicht rechtzeitig begegnen oder in anderen sensiblen Bereichen, beispielsweise personell, finanziell oder bezüglich ihrer Reputation in der Öffentlichkeit, Schaden nehmen kann. Diesbezügliche Risiken bzw. bereits eingetretene Schäden wirken sich fast immer auch auf die Qualität der Dienstleistung gegenüber den Kundinnen und Kunden der BA aus. Mit ihrem Zwischenbericht vom 13. Dezember 2012 hat die Interne Revision empfohlen, bei der Ausgestaltung der damals bereits begonnenen Neukonzeption des Risikomanagements in der BA die wesentlichen Punkte aus dem Referenzmodell COSO ERM 1 angemessen zu berücksichtigen. Um diesen Aspekt bei der nunmehr zwei Jahre später durchgeführten Revision möglichst zielführend aufgreifen zu können, hat die Interne Revision im Vorfeld der Prüfung mit dem Vorsitzenden des Vorstands der BA abgestimmt, welche Bestandteile aus COSO ERM nach seinen Anforderungen an ein leistungsfähiges Risikomanagement prinzipiell auf die BA übertragbar sind (vgl. Anlage 1). Im Ergebnis ihrer aktuellen Prüfung kommt die Interne Revision zu der Einschätzung, dass das Risikomanagement in seinem heutigen Entwicklungsstand eine rechtzeitige und zuverlässige Information des Vorstands über die wesentlichen Risiken in der BA weitgehend sicherstellt. Ebenso sind systemische Vorkehrungen getroffen, um aus den festgestellten Risiken entsprechende Gegenmaßnahmen einleiten zu können. Die maßgeblichen Elemente aus COSO ERM wurden im Rahmen der Neukonzeption des Risikomanagements in einer auf die Belange der BA angepassten Form aufgegriffen. Noch nicht umfassend realisiert wurden dabei die Aspekte einer klaren und transparenten Festlegung von Verantwortlichkeiten und Abläufen, der Einbeziehung wirklich aller relevanten Themenbereiche sowie einer abgestimmten Kommunikation zwischen verschiedenen Sparten des Risikomanagements. Die Interne Revision vertritt außerdem die Auffassung, dass die Funktionsfähigkeit eines Risikomanagements nicht allein über organisatorisch-technische Vorkehrungen sichergestellt werden kann. Mindestens ebenso wichtig sind die in der Organisation gelebte Kultur im Umgang mit Risiken und das persönliche Engagement der im Prozess des Risikomanagements tätigen Personen. Ziel der Revision Risiko Rahmenwerk COSO ERM Einschätzung der Internen Revision 1 COSO ERM Enterprise Risk Management Framework, ein auf dem COSO IC-Modell, welches als Referenzmodell für die Ausgestaltung eines funktionsfähigen Internen Kontrollsystems in der BA dient, aufbauendes international anerkanntes Rahmenwerk Risikomanagement Dezember 2014 1

2 Festgestellte Handlungsbedarfe Von den aus COSO ERM abgeleiteten Anforderungen an ein funktionierendes Risikomanagement besteht aus Sicht der Internen Revision bei folgenden Aspekten noch Weiterentwicklungsbedarf: 2.1 Verantwortlichkeiten und Abläufe im Risikomanagement Die grundlegenden Verantwortlichkeiten und Abläufe im Risikomanagement wurden den Regionaldirektionen und Geschäftsbereichen der Zentrale in Auftaktveranstaltungen vorgestellt und in einem Handbuch zum Risikomanagement der BA festgeschrieben. Dieses Handbuch wurde bisher allerdings nicht veröffentlicht. Lediglich im Intranet der BA sind teilweise diesbezügliche Beschreibungen verfügbar. Vergleichbare schriftliche Regelungen in Form des Leitfadens Risikomanagement für Projekte lagen bisher nur für den IT- Bereich vor. Jedoch ist diese Weisung zum 30. April 2014 abgelaufen. Somit kann davon ausgegangen werden, dass differenzierte Festlegungen zu Verantwortlichkeiten und Abläufen im Risikomanagement nur den unmittelbar befassten Personen bekannt sind. Mindestens in den Dienststellen vor Ort fehlen damit Informationen, die für die Schaffung eines einheitlichen breiten Verständnisses und damit die Funktionalität des Risikomanagements relevant sind. Abgesehen von einer Kurzbeschreibung im nicht veröffentlichten Handbuch gibt es ferner keine konkreten Aufgabenbeschreibungen für die Risikomanager/-innen und die Mitglieder im Risikobeirat. Ebenso existieren für das Risikoboard und den Risikobeirat keine organisatorischen Festlegungen im Sinne einer Geschäftsordnung, in der etwa die Funktion und Zusammensetzung der Gremien, eventuelle Vertretungsregelungen und Dokumentationsstandards geregelt sind. Nach Einschätzung der Internen Revision hängt der Erfolg des Risikomanagements maßgeblich vom persönlichen Einsatz einzelner Prozessbeteiligter ab. Infolge unzureichender organisatorischer Regelungen und nicht klar beschriebener Rollenzuständigkeiten besteht das Risiko, dass es bei Ausfall oder Wechsel von Schlüsselpersonen (und damit Wissensträgern) kurzfristig zu Störungen im Prozess (Identifizieren und Bewerten von Risiken, Berichterstattung an den Vorstand, Initiieren und Nachhalten von Maßnahmen) kommen kann. Prozesse und Verantwortlichkeiten im Risikomanagement sollten klar geregelt und für alle Mitarbeiter/-innen in der BA transparent gemacht werden. organisatorische Regelungen einheitliches Verständnis Rollenerwartungen Risiken Empfehlung 1 Aus Sicht der Internen Revision geht es dabei nicht um ein aufwändiges Erstellen eines umfassenden Regelungswerkes, sondern um das Kommunizieren möglichst knapper und präziser Festlegungen zur systemischen (und damit personenunabhängigen) Sicherstellung der Funktionalität und der informatorischen Einbindung auch der Dienststellen vor Ort in ein einheitliches Verständnis des Risikomanagements. Risikomanagement Dezember 2014 2

2.2 Einbeziehung aller relevanten Bereiche In den Geschäftsbereichen der Zentrale und den Regionaldirektionen sind jeweils Risikomanager/-innen benannt. Für die Dienststellen vor Ort gibt es dagegen keine Festlegungen, wie das Risikomanagement verortet werden soll. Ebenso haben sie abgesehen von Ausnahmen keinen Zugriff auf die für das Risikomonitoring in der BA eingesetzte IT-Unterstützung 2. Einbindung der Dienststellen vor Ort Mit der Einrichtung des Risikobeirats war die Intention verbunden, einen Praxisblick auf die Risikoeinschätzung der Geschäftsbereiche der Zentrale zu ermöglichen. In diesem Gremium sind auch Führungskräfte aus ausgewählten Dienststellen vor Ort und einigen besonderen Dienststellen vertreten. Für die Interne Revision war nicht erkennbar, nach welchen Kriterien Teilnehmer welcher Dienststellen in den Risikobeirat berufen wurden. Beispielsweise wurde die Familienkasse erst am Risikobeirat beteiligt, nachdem dieser in einer Sitzung erklärt hatte, ihm sei ohne Einbeziehung der Familienkasse keine Bewertung des zur Rede stehenden Risikos möglich. Aus Sicht der Internen Revision ist es nachvollziehbar, dass der am Prozess des Risikomanagements beteiligte Personenkreis überschaubar bleiben muss, weil sonst das Risiko einer thematischen und prozessualen Überfrachtung besteht. Auf der anderen Seite muss eine fachliche Abdeckung aller relevanten Themen bzw. Dienststellenbereiche sichergestellt sein. So wenig es zielführend wäre, am Risikomanagement aus zentraler Sicht Vertreter/-innen aus allen Dienststellen der BA zu beteiligen, so sehr scheint es jedoch erforderlich, bei der Festlegung des Kreises der Beteiligten einer klaren Bedarfsstruktur zu folgen. Beispielsweise bleibt es den einzelnen Regionaldirektionen überlassen, wie die Risikomanager/-innen zur Risikoeinschätzung für ihren Bezirk gelangen. Die Einbeziehung von besonderen Dienststellen in den Risikobeirat sollte ferner nicht davon abhängig gemacht werden, ob sich gerade ein dienststellenspezifisches Thema auf der Tagesordnung befindet. Bei einer Beteiligung auf Zuruf besteht das Risiko, dass wesentliche Risiken durch die Maschen fallen und somit nicht rechtzeitig erkannt und kommuniziert werden können. Die Festlegung der Beteiligten am Prozess des Risikomanagements sollte einer klaren Struktur folgen, die sich am Erkenntnisbedarf ausrichtet. Risikoabwägung Empfehlung 2 2.3 Abstimmung innerhalb des Risikomanagements In ihrem Zwischenbericht vom 13. Dezember 2012 hat die Interne Revision auf ein mögliches Redundanz- und Abstimmungsproblem im Hinblick auf mehrere nebeneinander existierende Untereinheiten des Risikomanagements hingewiesen. Dem Wunsch der Berichtsadressaten entsprechend, kommunizieren die einzelnen Stränge trotz zwischenzeitlich modifizierter organisatorischer Anbindung noch immer parallel an den Vorstand. Nachdem die Berichte jeweils unterschiedliche risikorelevante Aspekte beleuchten (beispielsweise Risikosituation im Gesamtblick, Entwicklungsfortschritt der Kernmaßnahmen aus BA 2020 3, Sachstand zu den Großprojekten), ist diese Vorgehensweise unter den Beteiligten bisher auf allgemeine Akzeptanz gestoßen. parallele Berichterstattung 2 Risikomanagementsoftware R2C_risk to chance 3 Das Entwicklungsprogramm BA 2020 Antworten der Bundesagentur für Arbeit auf Fragen der Zukunft beschreibt die geschäftspolitische Ausrichtung der BA für die kommenden Jahre und umfasst ein Programm mit konkreten Maßnahmen. Risikomanagement Dezember 2014 3

Aus Sicht der Internen Revision ist eine arbeitsteilige und auf unterschiedliche Erkenntnisschwerpunkte ausgerichtete Vorgehensweise im Rahmen der Berichterstattung für sich genommen als unkritisch anzusehen. Sie erfordert jedoch ein erhöhtes Maß an standardisierter Abstimmung, was derzeit offensichtlich durch ein gutes fachliches Einvernehmen unter den betreffenden Akteuren des Risikomanagements weitgehend sichergestellt wird. Auch hier gilt jedoch, dass sich die Sicherheit des Systems nicht allein auf das persönliche Engagement einzelner Mitarbeiter/-innen stützen darf. Es sollte geprüft werden, ob die systemischen Vorkehrungen zur Sicherstellung einer zwischen den Teilbereichen des Risikomanagements abgestimmten Berichterstattung auch personenunabhängig tragfähig sind. Risikobetrachtung Empfehlung 3 3 Zusammenwirken systemischer Vorkehrungen mit persönlicher Rollenwahrnehmung Auch für die Initiierung, Umsetzung und Nachhaltung von Maßnahmen zur Risikominimierung beinhalten das Risikomanagement im engeren Sinne sowie der Steuerungsprozess im weiteren Sinne etliche systemische Vorkehrungen (Risikoboard, Risikobeirat, Risikoberichte an den Vorstand, Performancedialog, IT-Unterstützung, Projektlenkungsausschuss, Strategisches CAB 4 etc.). Aus Sicht der Internen Revision sind in Bezug auf das Vorhandensein entsprechender Einrichtungen und Instrumente keine systemischen Lücken erkennbar. Welche Maßnahmen zur Risikosteuerung ergriffen werden und auf welches Niveau Risiken reduziert werden sollen, hängt jedoch weitgehend von der Risikoneigung der Geschäftsbereiche ab. Soweit nicht der Vorstand direkt entsprechende Impulse setzt, liegt die Verantwortung zur Steuerung von Maßnahmen zur Risikominderung grundsätzlich in den Händen der Geschäftsbereiche. Vor diesem Hintergrund sieht es die Interne Revision als schlüssig an, dass die Geschäftsbereiche sowohl bei der Identifizierung und Bewertung von Risiken als auch bei der Risikosteuerung im Prozess des Risikomanagements der BA eine Schlüsselrolle einnehmen. Dies impliziert aber auch, dass den Akteuren eine besondere Verantwortung für das Funktionieren des Risikomanagements obliegt. Organisatorisch-technische Vorkehrungen können dabei nur unterstützen. systemische Vorkehrungen zur Risikosteuerung besondere Verantwortung der Geschäftsbereiche Diese Prüfung wurde in Übereinstimmung mit den Internationalen Standards für die berufliche Praxis der Internen Revision durchgeführt. 4 CAB: Change Advisory Board Risikomanagement Dezember 2014 4

Sollbeschreibung in Anlehnung an COSO ERM Anlage 1 Nach Abstimmung mit dem Vorsitzenden des Vorstands sollten abgeleitet aus COSO ERM insbesondere die folgenden Kriterien auf das Risikomanagement in der BA zutreffen: Internes Unternehmensumfeld Verantwortlichkeiten und Prozesse im Risikomanagement müssen klar sein (klar geregelt, bekannt, akzeptiert und praktiziert). Gemeinsames Verständnis für die Bewertung als Risiko (Wesentlichkeit) und für den Umgang mit Risiken (Risikokultur sowie Ableitung von Maßnahmen) muss vorhanden sein. Zielsetzungsprozess Das Risikomanagement muss in strukturierter Form auf ein in der BA einvernehmlich getragenes Zielsystem aufgesetzt sein (dies impliziert auch die Vollständigkeit des für das Risikomanagement relevanten Themenspektrums). Ereignisinventur Der Prozess des Risikoidentifizierens muss standardisiert (klare Kriterien, klare Prozesse, regelmäßige Durchführung) auf die Umsetzung der Unternehmensstrategie und Erreichung der Ziele ausgerichtet sein. Risikobeurteilung Es muss sichergestellt sein, dass die Risiken nach einheitlichen und eindeutigen Kriterien unbeeinflusst und möglichst objektiv bewertet werden. Die relevanten Risiken müssen plausibel und verständlich dargelegt werden. Die Einschätzung der relevanten Risiken muss regelmäßig evaluiert/kalibriert werden. Risiko-Maßnahmen/Kontroll- und Steuerungsaktivitäten Aus den relevanten Risiken müssen zuverlässig angemessene Maßnahmen abgeleitet werden. Der Erfolg dieser Maßnahmen muss standardisiert nachgehalten und im Gesamtkontext aller Maßnahmen und der Risikoentwicklung laufend bewertet werden (laufende Reflexion aus dem Fokus des Risikomanagements). Information und Kommunikation Ein erfolgreiches Risikomanagement bedingt eine strukturierte, eindeutige und rechtzeitige Kommunikation aller relevanten Informationen. Monitoring/Überwachung Die Effektivität und Effizienz des Risikomanagements sind in geeigneter Form laufend zu überwachen. Risikomanagement Dezember 2014 1

Interne Revision Revisionsumfang und -methode Anlage 2 Die Revision Risikomanagement wurde in zwei Tranchen durchgeführt (2012 und 2014). Die aktuelle Prüfung baute auf den im Zwischenbericht vom 13. Dezember 2012 dargestellten Revisionsergebnissen auf. Im Rahmen der Revision wurden Unterlagen zum Risikomanagement geprüft, Interviews mit Akteuren und Verantwortlichen des Risikomanagements geführt sowie die Risikomanagementsoftware R2C_risk to chance stichprobenartig eingesehen. Die Beurteilung von IT-Kontrollen war nicht Revisionsbestandteil. Zeitraum der Revision: 16.05.2014-31.10.2014 Risikomanagement Dezember 2014 1

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback