LITMIR.BIZ

a) Hintergrund

      34

      Das im September 2004 vom COSO veröffentlichte Modell „Enterprise Risk Management – Integrated Framework“ (COSO II) war das erste international anerkannte Rahmenwerk für Risikomanagementsysteme, welches auch heute noch ein Benchmark für Risikomanagementsysteme ist. Das Rahmenwerk basiert auf dem vom COSO bereits 1992 veröffentlichten Rahmenwerk „Internal Control – Integrated Framework“ (COSO I), welches die Entwicklung und Implementierung von internen Kontrollsystemen zum Inhalt hat. Dabei wird jedoch in COSO II der Fokus erweitert und die Grundprinzipien und Elemente des Risikomanagements dargestellt. Ziel von COSO II ist es, dem Management von Unternehmen ein Konzept an die Hand zu geben, mit dessen Hilfe sie ein Risikomanagementsystem entwickeln und implementieren können, um die Risiken in ihrem Unternehmen zu identifizieren, zu bewerten und zu steuern. Zudem soll das Modell dabei helfen, ein bestehendes Risikomanagementsystem zu bewerten und zu verbessern.

b) Grundlagen und Prinzipien

      35

Im Hinblick auf die Unternehmensziele, zu deren Erreichen das Risikomanagement einen Beitrag leisten soll, werden in COSO II die vier Kategorien Strategie, Betrieb, Reporting und Compliance definiert. Dabei umfasst die Kategorie Strategie die Festlegung übergeordneter Ziele. Die Kategorie Betrieb beinhaltet den wirksamen und wirtschaftlichen Gebrauch der vorhandenen Ressourcen im Rahmen des operativen Geschäftsbetriebs. Die Kategorie Reporting setzt als Ziel die Verlässlichkeit der Unternehmensberichterstattung, während die vierte Kategorie Compliance als Ziel die Einhaltung der anwendbaren Gesetze und regulatorischen Vorschriften versteht. Während das Erreichen der Ziele der Kategorien Reporting und Compliance originär in der Kontrolle des jeweiligen Unternehmens liegt, wirken auf das Erreichen der Ziele der Kategorien Strategie und Betrieb auch externe Faktoren bzw. Ereignisse ein. Daher kann das Risikomanagementsystem in Bezug auf diese Ziele dem Management lediglich zeitnah Informationen über das Ausmaß der Zielerreichung liefern.[47]

      36

Das Erreichen der Ziele kann durch das Risikomanagementsystem auf vielfältige Weise unterstützt werden. Zunächst kann das RMS helfen, die Strategie und die Ziele des Unternehmens mit der Risikoneigung des Unternehmens in Einklang zu bringen. Daneben kann das Risikomanagement, insbesondere durch die Bereitstellung von Informationen über die Risiken, bei der Auswahl der richtigen Reaktion aus den Möglichkeiten Risikovermeidung, Risikoreduktion, Risikoteilung und Risikoakzeptanz, hilfreich sein. Des Weiteren kann das Risikomanagement, insbesondere im Hinblick auf die Vielzahl an zusammenhängenden Risiken denen ein Unternehmen ausgesetzt ist, durch die Identifizierung von möglichen Ereignissen und der Etablierung von Gegenmaßnahmen Überraschungen vermeiden und die damit verbundenen Kosten und Verluste reduzieren. Zudem kann die Betrachtung einer Vielzahl an möglichen Ereignissen auch die Identifizierung und Wahrnehmung von Chancen unterstützen. Darüber hinaus kann das Risikomanagement bei der Optimierung des Kapitaleinsatzes hilfreich sein, da das Management auf Basis der Informationen aus dem Risikomanagementprozess den gesamten Kapitalbedarf besser einschätzen und damit die Kapitalallokation effizienter gestalten kann.[48]

c) Komponenten eines Risikomanagementsystems

      37

Gem. COSO II sollte ein RMS aus acht wechselseitig miteinander verknüpften Komponenten bestehen.[49] Dabei sind die Komponenten (Internes) Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung gem. COSO I bereits als Bestandteile des internen Kontrollsystems eingeführt worden. Im Rahmen von COSO II werden diese fünf Komponenten um die Komponenten Zielsetzung, Ereignisidentifikation und Risikosteuerung zum Risikomanagementsystem erweitert. Allerdings werden auch der Aufgabenbereich bzw. die Beschreibung der bereits für das IKS erforderlichen Komponenten im Rahmen des Risikomanagementsystems ausgeweitet.

      38

Bei der Komponente internes Kontrollumfeld handelt es sich wie in Rn. 8 ff. beschrieben, um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens, welche von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“) sind. Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Ergänzend stellt das interne Kontrollumfeld auch die Basis für den Umgang mit Risiken dar, in dem es die Risikoeinstellung bzw. -neigung und die Risikomanagementphilosophie der Unternehmensleitung wiedergibt.[50]

      39

Die Komponente Zielsetzung soll gewährleisten, dass das Management einen Prozess zur Bestimmung von Unternehmenszielen, die mit der Unternehmensstrategie und der Risikoneigung abgestimmt sein sollen, implementiert hat. Die Bestimmung von Zielen ist die Basis für die Identifizierung von Risiken und Ereignissen, welche die Zielerreichung beeinträchtigen können.[51]

      40

Gegenstand der Komponente Ereignisidentifikation ist die Identifizierung von internen und externen Ereignissen, welche das Erreichen der gesetzten Ziele beeinträchtigen können. Dabei ist zwischen Chancen und Risiken zu unterscheiden und sind Informationen über mögliche Chancen in den Strategie- bzw. Zielsetzungsprozess zurückzuleiten.[52]

      41

Die Komponente Risikobeurteilung resultiert aus der Existenz externer und interner Risiken, denen Unternehmen im Rahmen ihrer Geschäftstätigkeit ausgesetzt sind und basiert auf den festgelegten Unternehmenszielen und der Kenntnis der Risikoneigung der Unternehmensleitung. Dabei umfasst die Risikobeurteilung die Identifizierung und Analyse von Risiken, die das Erreichen der definierten Ziele gefährden können, wobei die Analyse der Risiken die Betrachtung von Eintrittswahrscheinlichkeit und Auswirkungen beinhaltet. Auf Basis der Kenntnis der bewerteten Risiken kann das Management die Risiken entsprechend seiner Risikoneigung steuern.[53]

      42

Die Komponente Risikosteuerung umfasst die Auswahl der Art und Intensität der Maßnahmen für

Скачать книгу