Der Vorstand ist nach § 91 Abs. 2 AktG gesetzlich zur Einrichtung eines Überwachungssystems verpflichtet, um bestandsgefährdende Entwicklungen rechtzeitig zu erkennen (Risikofrüherkennung). Der Aufsichtsrat hat nach § 107 Abs. 3 AktG die Wirksamkeit des Risikomanagementsystems zu überwachen. Für Geschäftsführer und Aufsichtsorgane einer GmbH ergeben sich diese Pflichten analog aufgrund der Ausstrahlungswirkung dieser aktienrechtlichen Regelungen zum Risikomanagement.
Diese Anforderungen und die daraus erwachsenden Rechte und Pflichten schaffen allerdings in der Praxis vielfach Verunsicherung. Dies gilt insbesondere dort, wo sich Organisationsverschulden und persönliche Haftung auf die Organe der Unternehmen auswirken können. Die Frage nach der organisatorischen Ausgestaltung stellt sich darüber hinaus auch für alle Organisationen außerhalb von Kapitalgesellschaften immer, wenn die Zusammenarbeit bzw. die Abgrenzung von Revisionsfunktion und Risikomanagement zu klären ist.
Die Frage der genauen Ausgestaltung des Überwachungssystems und des Zusammenspiels der einzelnen Unternehmensfunktionen lässt der Gesetzgeber weitestgehend unbeantwortet. Interne Revision und Risikomanagement sind wichtige Funktionen der Unternehmensführung und insbesondere des Überwachungssystems. Die Frage des Zusammenwirkens dieser beiden wichtigen Unternehmensfunktionen steht im Mittelpunkt der vorliegenden Stellungnahme.
Aus der gesetzlichen Unbestimmtheit erwächst die Notwendigkeit, die Zusammenarbeit zwischen Interner Revision und Risikomanagement durch Empfehlungen der entsprechenden Fachverbände – Deutsches Institut für Interne Revision e.V. (DIIR) und RMA Risk Management & Rating Association e.V. (RMA) – unternehmensadäquat zu gestalten.
Darüber hinaus gibt es in einigen Branchen besondere gesetzliche Anforderungen, z. B. im Gesundheitsbereich oder in der Finanzwirtschaft (MaRisk – Mindestanforderungen an das Risikomanagement), die in dieser Stellungnahme nicht betrachtet werden.
Mit dem „Three Lines of Defense Model“ (i. F.: 3LoD-Modell) vertritt das Institute of Internal Auditors (IIA) ein Rahmenkonzept, bei dem u. a. die verschiedenen Funktionen des Überwachungssystems bisher konsequent voneinander getrennt dargestellt werden. Dies erfolgt nicht zuletzt wegen der unterschiedlichen Zielsetzungen und der angestrebten Unabhängigkeit der Internen Revision. In der Praxis finden sich aber auch Organisationsansätze, die Teile und Funktionen des Überwachungssystems integrieren oder synergetisch miteinander verknüpfen.