Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verpflichtet gemäß § 91 II AktG den Vorstand einer Aktiengesellschaft zur Einrichtung eines Überwachungssystems, um die Risiken, die den Fortbestand des Unternehmens gefährden, frühzeitig zu erkennen (→ Frühwarnsysteme).
Ein solches sog. Risiko-Management-System ist nach h. M. auch von den Geschäftsführern anderer Rechtsformen (z. B. der GmbH) einzurichten, wenn die Unternehmung eine entsprechende Größe und Komplexität aufweist. Bei amtlich notierten Kapitalgesellschaften muss der Wirtschaftsprüfer gemäß § 317 IV HGB das Risiko-Management-System prüfen und im → Prüfungsbericht beurteilen.
Ein Risiko-Management-System soll neben der Offenlegung aller wesentlichen Risiken vor allem den kontrollierten Umgang mit Risiken ermöglichen und dazu beitragen, die Eintrittswahrscheinlichkeiten von Risiken, zu verringern.
Kernstück eines Risiko-Management-Systems ist das sog. Risikoinventar, in dem alle wesentlichen leistungswirtschaftlichen sowie finanzwirtschaftlichen Risiken aber auch allgemeine externe Risiken (z. B. Änderung der rechtlichen Rahmenbedingungen) und die Risiken aus der Unternehmensorganisation und -kultur (→ Corporate Governance) systematisch aufgelistet werden.
Die einzelnen Risiken sind dann in der Risikoinventur weiter zu spezifizieren im Hinblick auf deren Eintrittswahrscheinlichkeit (z. B. in hoch, mittel, niedrig) und Schadenshöhe (z. B. in Höchstschaden, mittlerer Schaden, Kleinschaden).
Ferner sollte die Risikoinventur konkrete Maßnahmen zur Vermeidung oder Verminderung der einzelnen Risiken enthalten und die Risiken in ihrer Gesamtheit bewerten.
Die Risikoinventur ist in regelmäßigen Abständen zu aktualisieren und in zusammengefasster Form in das interne Berichts- und Kontrollsystem aufzunehmen. Eine Konkretisierung des Risiko-Management-Systems erfolgt auch im DRS 5 (DRSC).