COSO - IKS und ERM Ansatz
Rahmenbedingungen
Nicht nur wirtschaftliche Überlegungen sprechen für die Einrichtung eines Risikomanagementsystems, auch der rechtliche Kontext in vielen Ländern verlangt dies. In Österreich sind vor allem im AktG und im GmbHG relevante Bestimmungen zu finden. So heißt es im §82 AktG , dass „ Der Vorstand dafür zu sorgen hat, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen.“ Eine analoge Formulierung findet sich im §22 GmbH Gesetz.
Unternehmen sind heute zahlreichen Risiken ausgesetzt, die existenzbedrohende Ausmaße erreichen können. Dies können beispielsweise abrupte Marktveränderungen, Absatz-Preis Risiken, Probleme der IT-Sicherheit, Rohstoff- und Energiepreissteigerungen aber auch die aktuelle Finanzkrise sein.
Das rechtzeitige Erkennen von Fehlentwicklungen ist wichtig, um Vermögensverluste möglichst gering zu halten oder gegebenenfalls sie ganz zu vermeiden. Risikomanagement stellt somit ein wirksames Instrument zur Sicherung der Wettbewerbsfähigkeit dar und ein wesentlicher Bestandteil eines effizienten Risikomanagements ist ein funktionierendes internes Kontrollsystem.
Deloitte hat die Wichtigkeit eines funktionierenden IKS und Risikomanagements innerhalb von Unternehmen erkannt. Zur erfolgreichen Einführung und Umsetzung von IKS und Risikomanagement bedient sich Deloitte in diesem Zusammenhang des international anerkannten COSO Rahmenmodells, welches in Folge im Detail beschrieben wird.
COSO I (Internes Kontrollsystem)
Das COSO Rahmenmodell für interne Kontrollsysteme (IKS) (entwickelt von dem unabhängigen Committee of Sponsoring Organisations of the Treadway Commission) visualisiert mit Hilfe des COSO IKS-Würfels die Zusammenhänge zwischen Elementen des Risikomanagements, den Perspektiven und Unternehmenseinheiten.
Das COSO Rahmenwerk zum Enterprise Risk Management (ERM) (COSO II) stellt eine Ergänzung zu COSO I (IKS) dar, indem es die Schwerpunkte im stärkeren Ausmaß auf den Bereich des unternehmensweiten Risikomanagements setzt.
Das interne Kontrollsystem ist als Prozess zu sehen, beeinflusst durch Führungskräfte, das Management und andere Mitarbeiter eines Unternehmens mit dem Ziel, die Unternehmensziele in verschiedensten Bereichen zu erreichen.
Eine große Bedeutung hat das Monitoring . Es dient der Identifikation und Korrektur von Kontrollmängeln bevor diese die Zielerreichung gefährden können. Umfang und Häufigkeit der Überwachungsaktivitäten hängen von der Bedeutung des kontrollierten Risikos und von der Bedeutung der Kontrolle zur Risikominimierung ab.
Das Kontrollumfeld (Control Environment) bildet das Fundament für die anderen 4 Komponenten des Würfels und symbolisiert den „Ton“ des Unternehmens. Es umfasst sowohl materielle, wie auch immaterielle Elemente wie Integrität und ethnische Werte, Unternehmensorganisation und –struktur und Personalpolitik.
Risikobeurteilung ( Risk Assessment) definiert nicht nur dien Eintrittswahrscheinlichkeit und die möglichen Auswirkungen eines identifizierten Risikos, sie legt auch fest ob und wie auf ein Risiko zur reagieren ist.
Unter Kontrollaktivitäten ( Control Activities) versteht man Richtlinien und Vorgehensweisen, die gewährleisten, dass Weisungen des Managements ausgeführt werden und notwendige Maßnahmen ergriffen werden um die Kontrollziele zu erreichen. Es gibt in diesem Zusammenhang 4 Arten von Kontrollaktivitäten: präventive, entdeckende, automatische und manuelle Kontrolle.
Information und Kommunikation erfordern die rechtzeitige Identifikation, Aufbringung, Verarbeitung und Kommunikation relevanter externer und interner Information in der Organisation. Sie kann und soll sowohl formell wie auch informell, vertikal und horizontal innerhalb des Unternehmens als auch mit Kunden, Lieferanten und anderen externen Quellen erfolgen.
Der COSO Ansatz zum IKS ist die Grundlage für den systematischen Aufbau von Steuerung und Kontrolle. Als Benchmark unterstützt COSO die Verbesserung bereits eingesetzter Systeme und als Kontrolle erleichtert ein anerkanntes Rahmenmodell auch Dritten (Wirtschaftsprüfern, Analysten, etc.) die Überprüfung des Unternehmens.
Mehr zu COSO II und ERM folgt in meinem nächsten Beitrag.
Nicht nur wirtschaftliche Überlegungen sprechen für die Einrichtung eines Risikomanagementsystems, auch der rechtliche Kontext in vielen Ländern verlangt dies. In Österreich sind vor allem im AktG und im GmbHG relevante Bestimmungen zu finden. So heißt es im §82 AktG , dass „ Der Vorstand dafür zu sorgen hat, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen.“ Eine analoge Formulierung findet sich im §22 GmbH Gesetz.
Unternehmen sind heute zahlreichen Risiken ausgesetzt, die existenzbedrohende Ausmaße erreichen können. Dies können beispielsweise abrupte Marktveränderungen, Absatz-Preis Risiken, Probleme der IT-Sicherheit, Rohstoff- und Energiepreissteigerungen aber auch die aktuelle Finanzkrise sein.
Das rechtzeitige Erkennen von Fehlentwicklungen ist wichtig, um Vermögensverluste möglichst gering zu halten oder gegebenenfalls sie ganz zu vermeiden. Risikomanagement stellt somit ein wirksames Instrument zur Sicherung der Wettbewerbsfähigkeit dar und ein wesentlicher Bestandteil eines effizienten Risikomanagements ist ein funktionierendes internes Kontrollsystem.
Deloitte hat die Wichtigkeit eines funktionierenden IKS und Risikomanagements innerhalb von Unternehmen erkannt. Zur erfolgreichen Einführung und Umsetzung von IKS und Risikomanagement bedient sich Deloitte in diesem Zusammenhang des international anerkannten COSO Rahmenmodells, welches in Folge im Detail beschrieben wird.
COSO I (Internes Kontrollsystem)
Das COSO Rahmenmodell für interne Kontrollsysteme (IKS) (entwickelt von dem unabhängigen Committee of Sponsoring Organisations of the Treadway Commission) visualisiert mit Hilfe des COSO IKS-Würfels die Zusammenhänge zwischen Elementen des Risikomanagements, den Perspektiven und Unternehmenseinheiten.
Das COSO Rahmenwerk zum Enterprise Risk Management (ERM) (COSO II) stellt eine Ergänzung zu COSO I (IKS) dar, indem es die Schwerpunkte im stärkeren Ausmaß auf den Bereich des unternehmensweiten Risikomanagements setzt.
Das interne Kontrollsystem ist als Prozess zu sehen, beeinflusst durch Führungskräfte, das Management und andere Mitarbeiter eines Unternehmens mit dem Ziel, die Unternehmensziele in verschiedensten Bereichen zu erreichen.
Eine große Bedeutung hat das Monitoring . Es dient der Identifikation und Korrektur von Kontrollmängeln bevor diese die Zielerreichung gefährden können. Umfang und Häufigkeit der Überwachungsaktivitäten hängen von der Bedeutung des kontrollierten Risikos und von der Bedeutung der Kontrolle zur Risikominimierung ab.
Das Kontrollumfeld (Control Environment) bildet das Fundament für die anderen 4 Komponenten des Würfels und symbolisiert den „Ton“ des Unternehmens. Es umfasst sowohl materielle, wie auch immaterielle Elemente wie Integrität und ethnische Werte, Unternehmensorganisation und –struktur und Personalpolitik.
Risikobeurteilung ( Risk Assessment) definiert nicht nur dien Eintrittswahrscheinlichkeit und die möglichen Auswirkungen eines identifizierten Risikos, sie legt auch fest ob und wie auf ein Risiko zur reagieren ist.
Unter Kontrollaktivitäten ( Control Activities) versteht man Richtlinien und Vorgehensweisen, die gewährleisten, dass Weisungen des Managements ausgeführt werden und notwendige Maßnahmen ergriffen werden um die Kontrollziele zu erreichen. Es gibt in diesem Zusammenhang 4 Arten von Kontrollaktivitäten: präventive, entdeckende, automatische und manuelle Kontrolle.
Information und Kommunikation erfordern die rechtzeitige Identifikation, Aufbringung, Verarbeitung und Kommunikation relevanter externer und interner Information in der Organisation. Sie kann und soll sowohl formell wie auch informell, vertikal und horizontal innerhalb des Unternehmens als auch mit Kunden, Lieferanten und anderen externen Quellen erfolgen.
Der COSO Ansatz zum IKS ist die Grundlage für den systematischen Aufbau von Steuerung und Kontrolle. Als Benchmark unterstützt COSO die Verbesserung bereits eingesetzter Systeme und als Kontrolle erleichtert ein anerkanntes Rahmenmodell auch Dritten (Wirtschaftsprüfern, Analysten, etc.) die Überprüfung des Unternehmens.
Mehr zu COSO II und ERM folgt in meinem nächsten Beitrag.
|
Jasmin Schweinhammer
|
deloitte - 29. Jan, 15:14