Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II


Diplomarbeit, 2008
119 Seiten, Note: 2,0

Leseprobe

Inhaltsverzeichnis

1. Einleitung
1.1 Ausgangssituation, Problemstellung und Zielsetzung
1.2 Gang der Untersuchung

2. Regulatorisches Umfeld
2.1 Vertrauensverlust in die Kapitalmärkte durch Finanzskandale
2.2 Internationale Anforderungen
2.2.1 Sarbanes Oxley Act
2.2.2 COSO I als internationaler Standard
2.2.3 COSO II Enterprise Risk Management
2.3 Nationale Anforderungen

3. Grundlagen und Terminologie des Risikomanagements und Risikocontrollings
3.1. Risikobegriff
3.1.1 Allgemein
3.1.2 Am Beispiel Kreditrisiko auf dem SubprimeMarkt
3.2 Begriff und Ziele des Risikomanagements
3.3 Risikomanagement und Risikocontrolling

4. Das interne Kontrollsystem
4.1 Die Bedeutung des IKS
4.2 Definition des internen Kontrollsystems (IKS)
4.2.1 Grundlegende Definition
4.2.2 Abgrenzung der internen Kontrolle
4.2.3 Ziele interner Kontrollsysteme
4.2.4 Kontrollarten in einem IKS

5. COSO II als Rahmenwerk für das interne Kontrollsystem
5.1 COSO II
5.1.1 Zweck, Ziele und Auftrag von COSO II
5.1.2 Definition vom Enterprise Risk Management
5.2 Das ERMRahmenwerk (COSO II)
5.2.1 Vorstellung
5.2.2 Zielbereiche von ERM
5.2.3 Komponenten von ERM
5.2.3.1 Internal Environment
5.2.3.2 Objective Setting
5.2.3.3 Event Identification
5.2.3.4 Risk Assessment
5.2.3.5 Risk Response
5.2.3.6 Control Activities
5.2.3.7 Information & Communication
5.2.3.8 Monitoring
5.2.4 Entity von ERM
5.3 Gemeinsamkeiten und Unterschiede von COSOI und COSOI

6. Optimierung der Wirtschaftlichkeit und Wirksamkeit des IKS mit COSOII
6.1 Unterschied zwischen IKS und COSOII
6.2 Implementierung eines effektiven ERM Programms
6.2.1 Einleitung
6.2.2 Rollen und Verantwortungsverteilung
6.2.2.1 Board of Directors
6.2.2.2 Risk Officer
6.2.2.3 Management
6.2.2.4 Financial Executives
6.2.2.5 Internal Auditors
6.2.2.6 External Parties
6.2.3 Fazit
6.3 Analyse der Wirtschaftlichkeit und Wirksamkeit des IKS im ERM Rahmenwerk
6.3.1 Einleitung
6.3.2 Möglichkeiten und Grenzen der Steigerung der Wirtschaftlichkeit durch COSOII

7. Zusammenfassung und Ausblick

8. Quellenverzeichnis

B Abbildungsverzeichnis

Abbildung 1: Entwicklung beim Umgang mit Risiken

Abbildung 2: Einflussfaktoren des Ausfallsrisikos

Abbildung 3: Risikomanagementprozess

Abbildung 4: Zusammenhang zwischen Risikomanagement und Risikocontrolling

Abbildung 5: COSO II Würfel

Abbildung 6: Risikosteuerungsmöglichkeiten

Abbildung 7: Komponenten von ERM

Abbildung 8: COSO I Würfel

Abbildung 9: Verantwortungsverteilung im ERMProzess

Abbildung 10: Organisationsdiagramm

Abbildung 11: Bewertungsschema des internen Kontrollsystems

C Tabellenverzeichnis

Tabelle 1: Übersicht der 11 Abschnitte vom SOA

Tabelle 2: Abgrenzung zwischen Prüfung und Kontrolle

Tabelle 3: Abgrenzung zwischen IKS und ERM

Tabelle 4: Event Identification

D Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung

1.1 Ausgangssituation, Problemstellung und Zielsetzung

Die Wirtschaft befindet sich im fortlaufenden Wandel und ist immer neuen Herausforderungen ausgesetzt. Das Management von Unternehmen muss diesen immer schneller veränderten Bedingungen des Marktes mit geeigneten Instrumenten gegenüber stehen. Verstärkt wird dies durch die Forderung nach einer Shareholder getriebenen Ausrichtung und die zunehmende Globalisierung der Märkte.

Die immer schneller verändernde Situation für die Unternehmen eröffnet neue Chancen aber auch höhere Risiken. Positive Beispiele mit weltweit stark wachsenden Unternehmen werden täglich kommuniziert aber auch skandalöse Unternehmenspleiten gehören zum täglichen Alltag einer Volkswirtschaft. Die Anzahl und das Ausmaß der einzelnen Skandale sind in den Phasen des Konjunkturabschwungs höher als im Aufschwung. Getrieben durch hohe Zielvorgaben und komplexe Abhängigkeiten unter den Unternehmen wird das Risiko in Phasen des Aufschwungs falsch eingeschätzt und teilweise das Vertrauen der Shareholder durch Angaben falscher Zahlen missbraucht. Besonders prägend waren die betrügerischen Finanzskandale in Milliardenhöhe bei den amerikanischen Unternehmen Enron und Worldcom im Jahr 2001. Der Gesetzgeber reagierte in den USA 2002 mit der Einführung des Sarbanes-Oxley Acts (SOX), welcher weitreichende Auswirkung auf die Unternehmen in den USA und darüber hinaus erreichte. Andere Länder reagierten ebenfalls mit neuen Gesetzesinitiativen, mit jedoch geringerem Ausmaß auf die Unternehmen.

Die Schlüsselschwachstelle, die diese Skandale hervorgerufen hatten, waren die unwirksamen internen Kontrollsysteme und die damit im Zusammenhang stehenden fehlerhaften Berichterstattungen. Der Schwerpunkt von SOX liegt daher in den Sektionen 302 und 404, welche klare Vorschriften von dem Unternehmen fordern im Bezug auf die IKS Einrichtung und Dokumentation.[1] Die Unternehmensleitung ist demnach verpflichtet, die Überprüfung der Wirksamkeit des internen Kontrollsystems nach einem geeigneten Rahmenwerk durchzuführen. Als ein mögliches Rahmenwerk wird hierzu der so genannte COSO Report „Internal Control – Integrated Framework“ von 1992 empfohlen, welcher ein ganzeinheitliches IKS darstellt.[2]

Das „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) erweiterte 2004 das Rahmenwerk um ein unternehmensweites Risikomanagement, Enterprise Risk Management (ERM) oder auch COSO2 genannt.[3] Damit kam COSO der neuen Fokussierung der Risikobetrachtung nach, indem ein einheitliches allgemeingültiges unternehmensweites Risikorahmenwerk mit dem Zweck der besseren Unternehmenszielerreichung entwickelt wurde.[4]

Ziel dieser Arbeit ist es, die Wirtschaftlichkeit und Anwendbarkeit dieses neuen Rahmenwerks (ERM) theoretisch zu untersuchen. Die Aufgabenstellung lautet:

„Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II“

Die Bedeutung von internen Kontrollsystemen und Risikomanagement ist zunehmend hoch und geprägt durch die regulatorischen Bestimmungen als auch die Notwendigkeit für die Unternehmen zur Erreichung der Ziele. In der Literatur befinden sich im Vergleich zur der Bedeutung erstaunlich wenig Interpretationen zu diesem speziellen Thema. Die Bestimmungen und Auswirkungen durch SOX werden zwar ausführlich in der Wissenschaft diskutiert, jedoch im genannten Schwerpunkt der Sektion 303 und 404 wird häufig nur das COSO Rahmenwerk unkritisch empfohlen.

Die Sichtweise und Beurteilung des Rahmenwerks wird in dieser Arbeit von der betriebswirtschaftlichen Sicht beleuchtet und nicht wie vielfach üblich, im Schrifttum auf Basis der Wirtschaftsprüfung. Die Interpretation bezieht sich daher nicht auf die Frage „wie es möglich ist, die Wirksamkeit und Wirtschaftlichkeit des IKS im Rahmen von COSO2 zu überprüfen“ sondern vielmehr, „ob das Rahmenwerk geeignet ist, die Wirksamkeit und Wirtschaftlichkeit des IKS zu gewährleisten“.

1.2 Gang der Untersuchung

Die Aufgabenstellung dieser Arbeit ist komplex aufgrund der Betrachtung des ausführlichen ganzeinheitlichen Rahmenwerks ERM. Das interne Kontrollsystem isoliert betrachtet, benötigt alleine schon eine umfangreiche Darstellung. Das IKS, erweitert um ein Risikomanagementsystem, erhöht die Schwierigkeit, dieses ausreichend innerhalb des maximalen vorgegeben Umfanges zu untersuchen. Mit einem umfangreichen Grundverständnis muss der Leser daher an die Kernthematik herangeführt werden.

Hierfür wird im Kapitel 2 zunächst das regulatorische Umfeld und damit die große Bedeutung des Rahmenwerks vermittelt. Das 3. Kapitel soll dem Leser das nötige Risikoverständnis vermitteln, das sich im Enterprise Risk Management widerspiegelt. Im 4. Kapitel wird das interne Kontrollsystem mit dem grundlegenden Fachwissen dargestellt, ohne bereits den Bezug auf das COSO Rahmenwerk zu nehmen. Hier liegt die Betrachtungsweise auf das herkömmliche IKS mit der eher formalgeprägten Sicht im Vordergrund.

Im Kapitel 5 wird das Enterprise Risk Management – Integrated Framework vorgestellt. Besonderer Schwerpunkt sind die einzelnen Komponenten, die den Kern des Rahmenwerks darstellen. Nach dieser Vorstellung des Rahmenwerks von COSO wird im 6. Kapitel auf die Implementierung eingegangen, die verschiedenen Verantwortlichen des Prozesses betrachtet und der Unterschied zwischen IKS und ERM dargestellt. Das 6. Kapitel untersucht diese Implementierung als auch den Aufbau des Rahmenwerks (5.Kapitel) unter den Möglichkeiten und Grenzen der Wirksamkeit und Wirtschaftlichkeit des IKS durch ERM. Eine Zusammenfassung der Ergebnisse befindet sich im Kapitel 6.3.2.

2. Regulatorisches Umfeld

2.1 Vertrauensverluste in die Kapitalmärkte durch Finanzskandale

Das Vertrauen eines Investors in ein Unternehmen ist eine der Grundvoraussetzung für eine gemeinsame erfolgreiche Zusammenarbeit. Letztlich hat jeder Shareholder eine gewisse Renditeerwartung mit seinem Investment, und hierzu benötigt er bereits für die Investitionsentscheidung(z.B. Finanzbeteiligung) verlässliche Informationen, um das Risiko/Chancen Verhältnis zu ermitteln und eine geeignete Bewertung zu erstellen.

Die Vorstände der Unternehmen sind sich i.d.R. diesem Renditeziel der Investoren ausgesetzt aufgrund vorher kommunizierten Umsätzen und Gewinnerwartungen. Letztlich wird ein Unternehmenswert nur durch Wachstum bzw. positivem Cash-Flow geschaffen, und dieser ist in vielen Fällen durch Wirtschaftszyklen unterbrochen und kann nicht fortlaufend erreicht werden.

Durch die häufig hochgesteckten Ziele im Kapitalmarkt während eines Wirtschaftsaufschwungs sind die Unternehmen häufig risikobereiter. „Daher haben Informationen über die Existenz von und den Umgang mit existenzgefährdenden – oder zumindest wesentlich unternehmensbeeinflussenden – Risiken eine hohe Bedeutung.“[5]

Eine Investor Relations mit schlechter Berichtserstattung in diesem Bereich schwächt das Interesse derzeitiger oder potentieller Investoren, die in diesem Fall ggf. ihr finanzielles Engagement anderweitig ausüben.

Das stark gewachsene Interesse an wirksamen Kontrollsystemen mit risikoorientierter Ausrichtung des Managements seitens der Öffentlichkeit liegt begründet in den seit Jahren spektakulären Unternehmenskrisen und Skandalen. Die derzeitige Kreditkrise auf dem Immobilienmarkt in den USA, welche sich bereits seit Jahren abgezeichnete, hat in seiner Dimension viele Experten überrascht.

Beim Bekanntwerden der ersten Zahlungsausfälle der Kredite an besonders bonitätsschwache Kreditnehmer und den damit beginnenden Preisverfall der Immobilien rechneten viele Marktteilnehmer mit hohen Verlusten bzw. Kreditausfällen bei den betreffenden Hypothekenbanken.

Im Verlauf der Krise wurden jedoch immer mehr beteiligte Banken der Öffentlichkeit bekannt, welche ebenfalls auf dem renditestarken Subprime-Markt involviert waren.

Deutsche Banken, wie die Sachsen LB und IKB Deutsche Industriebank, meldeten plötzlich ebenfalls ein hohes Engagement in diesem hoch riskanten Markt und überraschten die Investoren negativ.

Bei der IKB Deutsche Industriebank, die bekannt ist für langfristige Finanzierungen mittelständiger Unternehmen, hat sich dieses dramatisch ausgewirkt.

Die IKB hat sich hohen Risiken mit neuen Geschäftsfeldern ausgesetzt, wie im folgendem PricewaterhouseCoopers(PwC) Bericht ersichtlich ist und muss im Geschäftsjahr 2007/08 mit mehr als 6 Mrd. € Verlust rechnen. “Ein zentraler Kritikpunkt des PwC-Berichts sind die Schwachstellen bei der Risikoanalyse, Risikosteuerung und dem Berichtswesen bei bestimmten Portfolio Investments.“[6]

Diese Investments hatten stark an Bedeutung zugenommen, da sie einen wesentlichen Beitrag zur Realisierung der ambitionierten Wachstumsziele der Bank leisteten. Das Management der Portfolio Investments wurde weitestgehend der IKB CAM einer Tochtergesellschaft übertragen. Die Rolle und Bedeutung, die dadurch der IKB CAM zukam, ging weit über eine reine Berater-Funktion für die IKB hinaus. Die für die IKB CAM geltenden Kontrollstrukturen waren im Vergleich zu dem großen Handlungsspielraum und damit dem Einfluss der IKB CAM auf die Risikoposition der Bank inadäquat. Entscheidungen über umfangreiche Investitionen im amerikanischen Subprime-Segment konnten so ohne angemessene Kontrolle getätigt werden.[7]

Die internen Kontrollsysteme und die Überwachungssysteme für externe Kontrollen der Unternehmen zeigen rückblickend erhebliche Fehlerquellen auf. Daher liegt die Vermutung nahe, dass noch ein erhebliches Verbesserungspotential in diesem Bereich möglich ist.

Die operativen Risiken, die offensichtlich von der IKB unterschätzt wurden, deuten zunächst auf eine interne Fehlfunktion im Unternehmensbereich hin. Aber auch die externe Kontrolle, die letztlich die internen Kontrollsysteme unter anderem zu prüfen hat, steht hier in der Kritik.

Nach einem Skandal ist die Fragestellung immer die gleiche: Wie konnte es dazu kommen, und wie kann ein solcher Skandal in Zukunft vermieden werden?

Letztlich zeigt die Vergangenheit, dass durch Unternehmensskandale ganze Branchen in Mitleidenschaft gezogen wurden und teilweise die Kapitalmärkte weltweit negativ beeinflusst wurden.

Nach einem internen Papier aus dem Ministerium wird die Rolle und Funktion der Aufsichtsstrukturen in Banken allgemein kritisch hinterfragt, gerade die Aufsichtsstrukturen der KfW (Staatliche Bank), Hauptsaktionär der IKB, wird als nicht mehr zeitgemäß beurteilt, und müsse deutlich gestrafft werden.[8]

„Wenngleich der Aufsichtsrat verpflichtet ist, den Vorstand zur Wahrung seiner Pflichten anzuhalten und ihn ggf. abzurufen, so gilt dieser jedoch nicht als ein dem Vorstand übergeordnetes Leitungsorgan.“[9]

„Die Kontrolle vom Aufsichtsrat nach §111 AktG hat mit anderen Worten sowohl eine operativ-vergangenheitsbezogene als auch eine strategische bzw. zukunftsgerichtete Komponente.“[10] Die Umsetzung, der Pflichten des Aufsichtsrats wurden in der Vergangenheit häufig nicht ausreichend realisiert. Dies liegt teilweise an der falsch ausgerichteten Zusammensetzung des Aufsichtsrats, und der häufig zeitlichen eingeschränkten Kontrollmöglichkeit.

Der Wirtschaftsprüfer, der den Jahresabschluss und den Lagebericht nach § 316 Abs. 1 durch sein Bestätigungsvermerk als glaubwürdig betitelt, hat in der Vergangenheit trotz seiner Berufsgrundsätze, wie die strenge Neutralität und Unbefangenheit, für Aufsehen gesorgt.

Besonders in großen Unternehmen, mit durchgehender Anwesenheit der Wirtschaftsprüfer, die eine ständige Analyse des Unternehmens und deren Umfeld durchführen, wirkt ein plötzlicher Gewinneinbruch für Außenstehende wie ein Hohn.

Bis zu den 90er Jahren wurden die bis dato bekannten Finanzskandale den Vorständen und Mitarbeitern ein Fehlverhalten in den betroffenen Unternehmen zugeordnet.

Die beiden größten Skandale in jüngster Vergangenheit, die folgend beschrieben werden, stehen jedoch mit den Wirtschaftprüfern im Zusammenhang.

Das US-Unternehmen Enron, welches 1996 mit 50 Mrd. US Dollar an der Börse bewertet wurde, konnte in 20 Quartalen nacheinander den Gewinn steigern.

Das Unternehmen hatte tausende Offshore-Partnerschaften. Zu diesen Partnerschaften bestanden Verbindlichkeiten von mehr als 1 Mrd. US Dollar, die in der eigenen Konzernbilanz nicht ausgewiesen wurden. Einige Bereiche des Mischkonzerns verliefen durchgehend zufriedenstellend, während andere mit der Profitablität kämpften. Die vergangenen Quartale konnten durch einen Bilanzierungsfehler weiterhin mit postivien Gewinnsteigerungen glänzen, bis plötzlich im 3. Quartal ein Verlust von 618 Mio US Dollar ausgewiesen werden musste. „Arthur Andersen LLP zählte zum damaligen Zeitpunkt zu den „Big Five“ der Wirtschaftsprüfungsgesellschaften in den USA und erbrachte über 16 Jahre lang unter anderem Prüfungsleistungen für Enron.“[11]

Nach der Aufdeckung des Skandals folgte das Zusammenbrechen des Aktienkurses von Enron, woraufhin sich die Banken weigerten, weitere Kredite zu vergeben. Dies führte letztlich zur Insolvenz von einem der größten US Unternehmen. „Arthur Andersen attestierte bis zur Aufdeckung des Skandals die Finanzberichtserstattung und ließ die Öffentlichkeit bezüglich der finanziellen Situation Enrons im Unklaren.“[12] Das Gerichtsverfahren wegen Bilanzfälschung wurde durch die Vernichtung von Beweismitteln durch den angeklagten Wirtschaftsprüfer zusätzlich überschattet.

In einem zweiten großen Wirtschaftsskandal des Unternehmens Worldcom stand die Prüfungsgesellschaft Arthur Andersen wieder in der Kritik. Der Börsenwert vom US- Telekommunikationsunternehmen Worldcom sank von 150Mrd. auf 150 Mio. US Dollar. Im Jahr 2001 betrugen die ausgewiesenen Umsätze 39,2 Mrd. US$.[13] Die getätigten Investitionen mit dem anschließenden geplanten Cash-Flow konnten nicht erfüllt werden. Die daraus folgenden Verluste wurden durch fehlerhafte Buchung über 1 Jahr gedeckt. Aufwendungen in Höhe von 3,8Mrd. US Dollar wurden als Anlagevermögen gebucht und Rückstellungen fehlerhaft als zusätzlicher Gewinn. Das Anlagevermögen musste im Jahr 2002 um 50,6 Mrd US Dollar abgeschrieben werden, was damit einer Halbierung des Buchwerts entspricht.[14]

Um in der Zukunft ähnlich geartete Vorfälle wie die beiden letzten beschriebenen Beispiele zu vermeiden, wurden viele neue Vorschriften und Gesetze erlassen. Die Unternehmenskontrolle und –überwachung soll an den bekannten Schwachstellen verbessert werden und beeinflusst damit die Grundsätze der Corporate Governance.

2.2 Internationale Anforderungen

2.2.1 Sarbanes Oxley Act

Aufgrund der, im vorherigen Kapitel beschriebenen Finanzskandale und deren weitereichen Folgen musste eine schnelle Gegenreaktion vom Gesetzgeber erfolgen. Am 30. Juli 2002 trat das nach seinen Verfassern, dem Senator Paul S. Sarbanes und dem Abgeordneten Michael G. Oxley, benannte US-Kapitalmarktgesetz, der Sarbanes-Oxley Act, mit Unterzeichnung des US-Präsidenten George W. Bush in Kraft.[15] „Der Sarbanes-Oxley Act stellt ein Artikelgesetz dar, welches die bedeutendsten Ergänzungen und Änderungen seit dem Erlass des Securities Act of 1993 und dem Securities and Exchange Act of 1934 umfasst.“[16] „Der Sarbanes-Oxley Act gilt zunächst für alle nationalen (amerikanischen) Gesellschaften, die ihren Firmensitz in den USA haben und ihre Aktien an einer US-amerikanischen Börse notieren oder ihre Wertpapiere öffentlich anbieten und somit der amerikanischen Börsenaufsicht, der Securities and Exchange Commission(SEC), unterliegen.“[17] „Die Regelungen des Sarbanes-Oxley Act sind vom Gesetzgeber für ausländische Unternehmen, so genannte Foreign Private Issuer, nicht eingeschränkt worden.“[18] Als Foreign Private Issuer gelten alle bei der SEC registierungspflichtige Unternehmen, die ihren Stammsitz außerhalb der USA haben.[19]

Des Weiteren sind auch im Ausland ansässige Tochterunternehmen von den Bestimmungen des SOX betroffen, wenn sie Teil eines SEC-registierten Unternehmens sind.

Die folgende Tabelle zeigt eine Übersicht der 11 Abschnitte (sog. Title) des SOA, teilweise werden die Bestimmungen durch konkrete Durchführungsverordnungen sog. Final Rule durch die SEC umgesetzt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1(Quelle: In Anlehnung an Abb. 1 aus Moritz/Geese, Die Auswirkungen des Sarbanes-Oxley Act auf deutsche Unternehmen, S. 32)

Die einzelnen Inhalte der Bestimmungen soll in dieser Arbeit unberücksichtigt bleiben. Lediglich die Abschnitte I und IV sollten für das Grundverständnis der folgenden Kapitel kurz erläutert werden.

Der erste Abschnitt befasst sich mit der Einrichtung eines Überwachungsgremiums über die Rechnungslegung, dem Public Company Accounting Oversight Board (PCAOB). Bei dem PCAOB muss sich jede Wirtschaftsprüfungsgesellschaft registrieren lassen, die in den USA notierte Unternehmen oder deren Tochterunternehmen im Rahmen des Jahresabschlusses prüft.[20] Die SEC verfügt über ein Aufsichtsrecht und über Durchsetzungsbefugnisse gegenüber dem PCAOB.[21] Diese extraterritoriale Auswirkung auf ausländische Abschlußprüfer, erzeugt zum Beispiel für die deutsche Wirtschaftsprüfungsgesellschaften die Pflicht, dass sie sich damit neben der Überwachung durch die deutsche Wirtschaftprüferkammer auch regelmäßigen Kontrollen der amerikanischen Berufsaufsicht, dem PCAOB, verpflichten.[22]

Der Fokus der Öffentlichkeit im Hinblick auf SOX liegt insbesondere auf dem IV. Abschnitt, der Section 404. Diese Section schreibt den Unternehmen vor, ihr internes Kontrollsystem der Finanzberichterstattung detailliert zu dokumentieren und dessen Funktionsfähigkeit intern zu prüfen. Auf Basis dieser Prüfung ist dem Jahresbericht ein Bericht des Managements über das interne Kontrollsystem der Finanzberichterstattung beizufügen.[23]

Die Funktionsfähigkeit des internen Kontrollsystems der Finanzberichterstattung ist durch den Abschlussprüfer zu testieren.

Im Fall der Feststellung einer significant deficiency oder material weakness ist dies sowohl dem Management als auch dem Audit Committe schriftlich zu melden.[24] Eine significant deficiency bzw. Material Weakness ist laut PCAOB dann gegeben, wenn eine gewisse Wahrscheinlichkeit besteht, dass die Kontrollschwäche zu einem falsch gemeldeten Betrag in der Finanzberichterstattung führen kann, der nicht als belanglos einzustufen bzw. in eine wesentliche Falschmeldung münden kann.[25]

Diese Section 404 beinhaltet den höchsten Implemtierungsaufwand für die meisten Unternehmen und ist damit der bedeutendste Abschnitt des Gesetzes.

Die SEC und PCAOB weisen darauf hin, dass sich die Unternehmensleitung bei der Überprüfung der Wirksamkeit des internen Kontrollsystems an einem geeigneten Rahmenkonzept orientieren muss, jedoch ohne Pflicht eines bestimmten Rahmenkonzeptes. Als ein mögliches Rahmenkonzept zur Überprüfung der Wirksamkeit der internen Überwachungsmaßnahmen für das Finanzberichtswesen wird das sogenannte COSO- Framework empfohlen, also die Verlautbarung „Internal Control – Integrated Framework“ des US-amerikanischen „Committee of Sponsoring Organizations of the Treadway Commission“ (COSO) aus dem Jahr 1992.[26]

2.2.2 COSO I als internationaler Standard

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freie privatwirtschaftliche Organisation in den USA, die helfen soll, Finanzberichterstattungen durch moralisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern.

COSO wurde 1985 als Plattform für die “National Commission on Fraudulent Financial Reporting“ (Treadway Commission) gegründet und wird durch die fünf bedeutendsten US- Organisationen für Kontrolle im Finanz- und Rechnungswesen unterstützt: IIA, AICPA, FEI, IMA und AAA.[27]

Das COSO hat eine Studie über betrügerische Finanzberichtserstattungen und deren Ursachen in den USA durchgeführt. Die sich damals über drei Jahre erstreckenden Untersuchungen, an denen Hunderte von Fachleuten mitarbeiteten, endeten 1992 mit dem COSO-Report, der als Ursachenfaktor unwirksame interne Kontrollsysteme identifizierte.[28]

Dieser „Report“, welcher aus vier Teilen besteht, hatte nicht nur das Ziel, Auskunft über die Ergebnisse (Teil eins) der Untersuchungen zu vermitteln, sondern Lösungen aufzuzeigen.

Im zweiten Teil des COSO-Reports wurde eine einheitliche Definition eines internen Kontrollsystems entwickelt.

„Der Dritte Teil gibt den Unternehmen Hinweise zur externen Berichtserstattungen (Reporting to External Parties) und im abschließenden vierten Teil werden Werkzeuge dargelegt, die eine Bewertung des internen Kontrollsystems ermöglichen sollen.“[29] Durch dieses entwickelte in seiner Form und Umfang einmalige Rahmenwerk für Kontrollsysteme und der Unterstützung durch die SEC hatte der COSO-Bericht bereits 1992 eine Vorbildfunktion erlangt.[30] COSO definiert Grundlagen eines effektiven Kontrollsystems für eine verbesserte Unternehmensführung („Corporate Governance“) und berücksichtigt als erste und umfassende Methode auch eine Risikofrüherkennung und –überwachung im Unternehmen.[31]

Das Rahmenwerk bzw. das COSO-Modell wurde nach der Veröffentlichung vom IFAC, dem globalen Berufsverband der Wirtschaftsprüfer, in die Prüfungsstandards (ISA) aufgenommen.[32]

Das deutsche Institut der Wirtschaftsprüfer (IdW), welches eng an die Internationalen Prüfungsstandards (ISA) angelehnt ist, hat das COSO-Modell ebenfalls als Grundlage in die Prüfungsstandards aufgenommen.[33]

Das Rahmenwerk, welches bereits 1992 veröffentlicht wurde, kam der Forderung nach einer stärkeren Risikoausrichtung und –orientierung, gerade nach den Finanzskandalen 2002, mit dem „Enterprise Risk Management“ 2004 nach.

2.2.3 COSO II Enterprise Risk Management

Die wesentliche Veränderung von COSO I zu COSO II beinhalte ein ganzheitliches Risikomanagement, welches in der Vergangenheit in vielen Fällen in den Finanzskandalen als einer der Hauptfehlerquellen erkannt wurde. Es bestand die Notwendigkeit detaillierter auf den Umgang mit Risiken einzugehen, obwohl COSO I bereits Teile von Risikofrüherkennung und –überwachung beinhaltet.

Die COSO Organisation begann das neue COSO II Rahmenwerk auf eine ähnliche Art und Weise zu entwickeln, wie ihr internal control framework.

Das neue Rahmenwerk mit dem Namen „Enterprise Risk Management – Integrated Framework“ wurde unter der Leitung von PWC und mit vielen Experten aus Wirtschaft und Forschung entwickelt. Ein Entwurf des Jahres 2003, der der Öffentlichkeit für Ergänzungsvorschläge vorlag, wurde im September 2004 endgültig verabschiedet.[34]

Das Ziel des neuen Rahmenwerks bestand nicht nur in der Erweiterung des COSO Modells um zusätzliche Risikokomponenten, sondern ebenso wichtig war die Schaffung eines Standards für ein Risikomanagementsystem.

Das ERM ist nicht als Ersatz für das COSO I vorgesehen und geeignet, sondern baut auf dieses Rahmenwerk auf. Unternehmen können das ERM nutzen, um ihre Internen Kontrollsysteme zu gestalten und sie hin zu einem umfassenden Risikomanagementsystem zu entwickeln.[35]

Im COSO II Report gehen die Autoren auf die Chancen und Risiken ein, die das Unternehmen in der Wertschöpfungskette beeinflussen und definiert das Rahmenwerk folgendermaßen:

“Enterprise risk management is a process, effected by an entity‘s board of directors, management and other personnel, applied in strategy setting and across the enterprise, designed to identify potential events that may affect the entity, and manage risk to be within its risk appetite, to provide reasonable assurance regarding the achievement of entity objectives.”[36] Das Kapitel 5 geht auf die genaue Bedeutung der einzelnen Komponeten des Modells und die Unterschiede zwischen COSO I und COSO II ein.

Es ist davon auszugehen, dass COSO II die gleiche hohe Akzeptanz international erreichen wird wie die von COSO I, aufgrund der zusätzlichen allgemeinen gefassten Orientierungsrahmen eines Risikomanagements.

2.3 Nationale Anforderungen

In Deutschland reagierte der Gesetzgeber auf die zahlreichen Unternehmensskandale und die damit zunehmende Kritik zahlreicher Institutionen an Vorständen, Aufsichtsräten und Abschlussprüfer mit der Verabschiedung des Gesetztes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) 1998, welches das System der Unternehmenskontrolle und –überwachung an ihren Schwachstellen verbessern soll und die Grundsätze der Corporate Governance maßgeblich beeinflusst.“[37] Dabei handelt es sich beim KonTraG nicht um ein einheitliches komplettes Gesetz, sondern um ein Artikelgesetz, bei dem vornehmlich bereits bestehende gesetzliche Verpflichtungen, insbesondere des AktG und des HGB, erweitert und aktualisiert wurden.[38]

Nach § 91 Abs. 2 AktG hat der Vorstand geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden (Risikofrüherkennungssystem)“[39]

Obwohl das Aktiengesetz eine Pflicht zur Einrichtung eines Risikomanagements nicht erwähnt, wird es überwiegend für erforderlich erachtet, den Vorstand für die Einrichtung eines angemessen Risikomanagements und Risikocontrollings verantwortlich zu machen.[40]

Welche konkreten Maßnahmen jedoch § 91 II AktG erfordert, ist strittig.

Einerseits wird Risikomanagement lediglich als „Controlling“ verstanden, ohne dieses zu präzisieren, so dass ungeklärt ist, was hierunter im Einzelnen zu verstehen ist und welche der bisherigen Vorkehrungen bereits genügen.[41]

Anderseits wird die Auffassung vertreten, der Vorstand habe für eine Unternehmensinfrastruktur zu sorgen, was sich auf die Einrichtung und Weiterentwicklung eines zweckmäßigen Planungs- und Kontrollsystem sowie eines Risikomanagement bezieht.[42] Die konkrete Ausgestaltung von Maßnahmen gemäß §91 II AktG ist nach herrschender Meinung im Schrifttum nicht geklärt und lässt daher den Rückschluss zu, dass dem Leitungsorgan keine neuen Verpflichtungen auferlegt wurden,[43] denn die Leitung eines Unternehmens ist als Risikomanagement zu begreifen.[44] Des Weiteren wurde der Pflichtrahmen der Abschlussprüfer auch auf die Prüfung der Risikoberichtserstattung und des Risikofrüherkennungssystems erweitert, um das Vertrauen der Anleger weiter zu stärken und die Zahl der Unternehmenskrisen zu verringern.[45]

Der Begriff des Prüfungsgegenstands „Risikomanagement“ könnte aus Sicht des Unternehmens zu der Gefahr führen, dass die gesamte Geschäftsführung und dem Aspekt der Risikostrategie als Prüfungsgegenstand wird. Die Kontrolle dieser Maßnahme obliegt aber grundsätzlich dem Aufsichtsrat, nicht dem Abschlussprüfer.[46]

Die Beurteilung des „Risikomanagements“ durch den Abschlussprüfer muss daher zwar unternehmensindividuell erfolgen, ist jedoch auf Prozess- und Plausibilitätsprüfung zu beschränken.[47] Das IDW hat die Erweiterung des § 92 Abs. 2 AktG in dem Prüfungsstandard 340 mit aufgenommen und rechnet mit einer Ausstrahlungswirkung der aktienrechtlichen Regelung auch für den Pflichtrahmen der Geschäftsführer von Gesellschaften anderer Rechtsform je nach Größe und Komplexität der Unternehmensstruktur.[48]

Durch das Transparenz- und Publizitätsgesetz (TransPuG) 2002 und dem Bilanzrechtsreformgesetz (BilReG) 2004 soll das Vertrauen der Anleger und der Öffentlichkeit in die Leitung und Überwachung deutscher börsennotierter Aktiengesellschaften weiter gefördert und damit die Zielsetzung des KonTraG verfolgt werden.

Vergleicht man Sarbanes-Oxley Act mit den Prüfungsanforderungen des IDW wird deutlich, dass SOX spezifischere und im Detail weiterreichende Forderungen haben.[49] „Die explizite Verpflichtung zur Überprüfung und Dokumentation des internen Kontrollsystems verbunden mit der strengen Aufsicht durch SEC und PCAOB bilden die wesentlichen Unterschiede zu den gegenwärtigen rechtlichen Anforderungen in Deutschland.“[50]

3. Grundlagen und Terminologie des Risikomanagement und Risikocontrolling

3.1. Risikobegriff

3.1.1 Allgemein

Der unternehmerische Erfolg hängt aufgrund der gesteigerten Dynamik der unternehmerischen Umwelt (externe Faktoren) sowie der internen Faktoren weitgehend davon ab, inwieweit es dem Unternehmen gelingt, sich auf diesen Wandel vorzubereiten.[51]

Häufig wurden Risiken nicht rechtzeitig erkannt oder die Frühwarnindikatoren ignoriert. Daraus erschließt sich ein unzureichendes Controlling sowie mangelhafte Frühwarnsysteme oder Revisionsprozesse in vielen Unternehmen.[52] Die mangelhafte Risikoberichtserstattung bei deutschen Unternehmen wird in einer Studie[53] von Herrn Bungartz und Herrn Lück deutlich und zeigt den Unterschied zwischen Wirklichkeit und Anspruch.

Von den 117 befragten Unternehmen sind zum Beispiel fast 90% davon überzeugt, dass sie in ihrem Geschäftsberichten eine Risikokategorisierung vornehmen (größtenteils nach dem management approach), während eine Risikokategorisierung in nur 45% der Fälle erkennbar ist.[54]

Ein einheitliches Risikoverständnis findet sich in der betriebswirtschaftlichen Risikotheorie nicht, vielmehr findet eine Zusammenfassung verschiedener Ansätze in der Literatur statt.[55] Die bis jetzt einseitige Darstellung der Risiken darf nicht zu der Ansicht führen, dass Risikomanagement darin besteht, sämtliche Risiken zu vermeiden. Die folgende Grafik zeigt die Entwicklung vom Umgang mit Risiken im Unternehmen.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Entwicklung beim Umgang mit Risiken (Quelle: In Anlehnung an Romeike Frank (2003) S. 67)

Obwohl der Begriff Risiko mit unterschiedlichen Begriffsinhalten belegt wird, kristallisiert sich in der jüngeren Literatur immer mehr die in Verhältnis stehende Begriffe „Chance – Risiko“ heraus.[56] Vermögensmehrende Ausprägungen zukünftiger Entwicklungen werden als Chancen (Gewinnmöglichkeit) bezeichnet, während für den negativen Bereich, d.h. die Gefahr ungünstiger Entwicklungen, der Begriff Risiko (Verlustmöglichkeiten) verwendet wird.[57]

Handelt es sich nicht nur um negative Abweichungen bei der Zielverfehlung, sondern auch um mögliche positive Abweichungen d.h. Chancen, so ist auch von spekulativen Risiken die Rede.[58]

Des Weiteren werden im Schrifttum häufig die „reinen“ Risiken benannt, die nicht unmittelbar aus dem unternehmerischen Handeln heraus resultieren. Sie stellen vielmehr eine Schadensgefahr dar, die nicht zu beeinflussen ist.

Der Unterschied zwischen reinen und spekulativen Risiken ist jedoch kritisch zu betrachten, weil eine genaue Unterscheidung oft nicht möglich ist. Gerade bei den spekulativen Risiken stellt sich die Frage, welcher Teil bei der Schwankung zur Verlustgefahr oder welcher zur Gewinnchance gehört, letztlich ist es vom Bezugspunkt abhängig.[59]

Aufbauend auf den bisherigen Ausführungen soll für die weitere Ausgestaltung folgende Definition zugrunde gelegt werden: Unter Risiko wird die Gefahr verstanden, dass Ereignisse (externe Faktoren) oder Entscheidungen und Handlungen (interner Faktoren) das Unternehmen daran hindern (ursachenbezogene Komponente), definierte Ziele zu erreichen bzw. Strategien erfolgreich zu realisieren (wirkungsbezogene Komponente)[60]

Jeder Chance ist auch ein Risiko gegenübergestellt, dies bedeutet, dass es dauerhaften Erfolg im Unternehmen ohne Risiko nicht geben kann.[61]

Wichtig ist, je höher das Risiko einer Strategie ist, desto höher sollten auch die Gewinnchancen sein.[62]

Die Vorgehensweise, Risiko zu kategorisieren und in Risikoarten einzuteilen, würde den Rahmen dieser Arbeit sprengen. Im Kapitel 5.2.3.4 wird in Verbindung des Enterprise Risk Managements auf die Herangehensweise hingewiesen. Das folgende Kapitel geht aufgrund der aktuellen hohen Bedeutung (Bankenkrise) auf das Kreditrisiko kurz ein.

3.1.2 Am Beispiel Kreditrisiko auf dem Subprime-Markt

Um den Risikobegriff etwas pragmatischer darzustellen soll das Kreditrisiko im Subprime- Markt an dieser Stelle erläutert werden.

Das Kreditrisiko wird in der Literatur als Risiko des Verlustes bezeichnet, falls ein Kreditnehmer seine Kreditvereinbarung nicht oder nur teilweise erfüllen kann. Diese Risikoart ist für Kreditinstitute am bedeutendsten, weil es das eigentliche Kerngeschäft darstellt, und im Falle eines Kreditausfalls hohe Abschreibungen erfordert und die Liquidität gefährdet.

Die neuen Eigenkapitalvorschriften bei Kreditinstituten nach “Basel II“ gelten seit 1. Januar 2007 in der gesamten EU und in den USA voraussichtlich ab 2009. „Die Fremdkapitalfinanzierung für Unternehmen mit einem guten Rating wird sich tendenziell verbilligen und umgekehrt, da Banken ihre Kredite zukünftig risikoorientiert mit Eigenkapital unterlegen müssen.“[63] Die Einflussfaktoren des Ausfallrisikos eines Kredites wird in der folgenden Grafik deutlich:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Einflussfaktoren des Ausfallsrisikos (Quelle: Schulte (1997), Bank-Controlling, S. 51)

Die beiden Haupteinflussfaktoren bestehen aus der Bonität und der Sicherheit des Kreditnehmers. Die Bonität wird weiter unterteilt in Geschäftsrisiken und finanzielle Risiken. Das ausfallgefährdene Volumen ergibt sich aus der Differenz zwischen Kreditvolumen und der vorhandenen Sicherheit des Kreditnehmers. Aus der ermittelten Bonität lässt sich eine Ausfallwahrscheinlichkeit errechnen. Multipliziert man das ausfallgefährdene Volumen mit der Ausfallwahrscheinlichkeit, ergibt sich das Ausfallrisikovolumen. Am folgenden Zahlenbeispiel wird dies deutlich:

Gegeben ist die Anfrage eines Kreditnehmers mit 60% Sicherheiten, also 40% ausfallgefährdenes Volumen, einer Ausfallwahrscheinlichkeit von 10% und einer gewünschten Kreditsumme von 10 Millionen Euro. Das Ausfallrisikovolumen wird folgendermaßen berechnet: 10.000.000€ * 0,4 * 0,1 = 400.000€

Die richtige Kreditrisikoanalyse zur Identifikation und Messung von der Bonität und den Sicherheiten stellt letztlich das eigentliche Risiko auf Management Ebene dar.

Der Subprime-Markt, der überwiegend aus Kreditnehmern mit geringer Bonität besteht, wurde von vielen Kreditinstituten völlig falsch eingestuft. Die Kombination vom stetigen Verfall der US-Immobilienpreise und die kontinuierliche Zinserhöhung der FED brachten im Frühjahr 2007 einen neuen Höchststand von Zahlungsausfällen. Viele Baufinanzierer, die sich gerade für den Markt der bonitätsschwachen Kreditnehmer spezialisiert hatten, mussten Gläubigerschutz beantragen. Viele Rückzahlungs- und Zinszahlungsansprüche gegen die Kreditnehmer wurden als Wertpapiere verbrieft und als ABS (Forderungsbesicherte Wertpapiere) verkauft. Das eigentliche Ausmaß der Krise wurde jedoch ausgelöst durch risikobereite Hedgefonds, die Subprime-Kredite auf dem Kapitalmarkt kauften.

Durch die hohen Ausfallquoten kam es zu erheblichen Verlusten bei den Hegdefonds und einige mussten geschlossen werden. Durch die Schließung einiger Fonds entstand ein hoher Vertrauensverlust, was die risikobereiten Investoren von einem neuen Investment abhielt, um die entstandene Liquiditätslücke zu schließen.

„Kreditrisiken sind im Vergleich zu Marktrisiken umfassender auch endogen beeinflusst.“[64] Nur mit viel Liquider Unterstützung der Zentralbanken konnte die Krise in einen bisher aber noch nicht absehbaren Rahmen gehalten werden.

Die auf Basel II basierenden Banken werden eine effektivere Risikoanalyse von Kreditnehmern erstellen müssen, die u. a. die Ertrags-, Finanz- und Managementsituation berücksichtigt.[65] Letztlich konnten jedoch Banken, wie zum Beispiel die IKB Deutsche Industriebank, welche schwer von diesem Skandal betroffen ist, durch Auslagerung des Kreditengagement über die ABS diese Bestimmung umgehen. „Da Risiken sowie Chancen die Grundlage der operativen sowie strategischen Unternehmensführung sind, wird die Bedeutung des Risikomanagements als Führungsaufgabe deutlich.“[66]

3.2 Begriff und Ziele des Risikomanagements

Das Risikomanagement beschäftigt sich mit der kontrollierten Erfassung, Bewertung und Steuerung von Risiken in Unternehmen. Hierbei sollte sich das Risikomanagement aus den jeweiligen unternehmerischen Oberzielen orientieren. Grundsätzlich ist es also nicht sinnvoll, Risikomanagementziele inhaltlich unabhängig von den zugrunde liegenden Unternehmenszielen und deren Visionen, zu definieren.

„Zuerst muss eine Unternehmensstrategie bekannt sein, denn nur dann lässt sie sich auf die darin enthaltenen Risiken überprüfen und korrigieren.“[67] Risikomanagement ist verknüpft mit der Unternehmensstrategie, wird aber als einzelne Abfolge als Unterstützungseinheit betrachtet.

Während die Unternehmensführung die Optimierung der einzelnen Unternehmensziele verfolgt (zum Beispiel Marktführerschaft), richtet das Risikomanagement seinen Fokus auf die damit in Verbindung stehenden existenzbedrohenden Risiken und möglichen Chancen.[68] Die folgende Definition fasst diese Ausrichtung nochmals zusammen: „Die Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken aus unternehmerischer Betätigung werden als Risikomanagement bezeichnet“[69] Es ist daher sicherzustellen, dass die Gesamtheit aller in Verbindungen stehenden Risiken nicht die Risikotragfähigkeit des Unternehmens übersteigt.[70] Das Risikotragfähigkeitspotenzial eines Unternehmen ist dann überschritten, wenn bei gleichzeitigen Eintritt aller Risiken (Worst Szenario) über die Hälfte des vorhandenen Eigenkapitals aufgebraucht wird.[71]

Das Risikomanagement sollte immer auch als Chancenmanagement verstanden werden und daher die Zusammenhänge zwischen Risiko und Chance darstellen. „Langfristig wird das Unternehmen am erfolgreichsten sein, das seine Chancen am besten kennt und nutzt und das zugleich seine Risiken am besten kontrolliert und bewältigt.“[72] Gerade zwischen den beiden wesentlichen Zielen „Gewinnerzielung durch Ausnutzen der Chancen“ und „Sicherung durch Risikosteuerung“ besteht offenbar ein Zielkonflikt, dessen Lösung zwangsläufig einen Kompromiss erforderlich macht.[73]

Das Festlegen der Position, die ein Unternehmen im Zusammenhang mit der Kompromissfindung für den oben genannten Zielkonflikt auswählt, kann jedoch nicht Aufgabe des Risikomanagements sein, sondern ergibt sich alleine aus der Entscheidung der Unternehmensleitung.[74]

Das Risikomanagement kann daher die eigentliche Entscheidung der Strategie und Unternehmensziele der Geschäftsführung nicht abnehmen.

Zusammengefasst können damit folgende Kernziele des Risikomanagements herausgestellt werden:

- Existenzsicherung des Unternehmens,
- Sicherung des zukünftigen Erfolgs,
- Marktwertsteigerung des Unternehmens,
- Vermeidung beziehungsweise Senkung der Risikokosten[75]

Zur den Erfolgsfaktoren des Risikomanagement zählen zum Beispiel die effektive Planbarkeit des Unternehmens und die damit treffsicheren Vorhersagen, die wiederum die Steuerung der Opportunitätskosten verbessern. Wichtig ist, dass die Kosten des Risikomanagements, im Bezug auf deren Mehrwert für das Unternehmen, nicht außer Acht gelassen wird und damit die Effizienz auch hierbei Beachtung findet.

Zur Erfüllung dieser Anforderungen muss das Risikomanagement ein hierarchieübergreifendes Risikobewusstsein entwickeln. Daraus lässt sich die zusätzliche Aufgabe des Risikomanagements ableiten, dass die Unternehmensführung für die bestehende Risikosituation zu sensibilisieren ist, indem Risiken kommuniziert und somit bewusst gemacht werden.

Das Risikomanagement kann sich ebenso wie die Unternehmensführung nicht vor Einzelrisiken loslösen, hat jedoch die zusätzliche Funktion, dass durch ein generelles Risikomanagement das Risikobewusstsein der Mitarbeiter erhalten bleibt.[76]

Die Strukturen und Systeme sind so zu implementieren, dass sie in der Lage sind, potentielle Risiken flexibel zu erfassen und diese zweckmäßig, d.h. je nach Situation, zu steuern. Der in Abb. 3 wiedergegebene zeitliche Ablauf des Risikomanagementprozesses wird im Schrifttum vermehrt in dieser Form dargestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Risikomanagementprozess Risikoprozess (Quelle: Oehler (2002), Unser Finanzwirtschaftliches Risikomanagement, S. 20)

3.3 Risikomanagement und Risikocontrolling

In der betriebswirtschaftlichen Literatur wird häufig die Implementierung des Risikomanagements in das Controlling als übliche und sinnvolle Praxis favorisiert. Die bereits zuvor dargestellten Risikomanagementaufgaben sollten durch vorhandene Institutionen übernommen werden. Da deutliche Parallelen in der Zielsetzung zwischen dem Controlling und dem Risikomanagement vorhanden sind, wird zunehmend das Controlling zu einem Risikocontrolling ausgebaut. Neben der Ergebniszielorientierung können auch Risikoaspekte in die Planung, Steuerung und Kontrolle beim Controlling mit einfließen.[77] Eine weitere wichtige Funktion des Risikocontrollings ist die Informationsversorgung an die Geschäftsleitung. Die richtige Auswahl risikorelevanter Informationen für die Auswertung und das interne und externe Reporting ist der Verantwortungsbereich dieser Abteilung.

[...]


[1] Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 2

[2] Vgl. Glaum Martin; Thomaschewski Dieter; Weber Silke, Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen Folgen für US-Börsennotierungen, S. 45

[3] Vgl. Moeller Robert, COSO Enterprise Risk Management, S. 3

[4] Vgl. Chapmann Robert, Simple Tools and Techniques for Enterprise Risk Management, S. 9

[5] Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S.1

[6] http://www.ikb.de/content/de/presse/pressemitteilungen/2007/071016_PwC_Gutachten.jsp

[7] Vgl. http://www.ikb.de/content/de/presse/pressemitteilungen/2007/071016_PwC_Gutachten.jsp

[8] Vgl. http://boerse.ard.de/content.jsp?key=dokument_264510&go=Hypotheken-Krise

[9] Boujong Karlheinz, Vorstandskontrolle, 1995, S. 204

[10] Schäfer Joachim Das Überwachungssystem nach § 91 Abs. 2 AktG unter Berücksichtigung der besonderen Pflichten des Vorstands, S.220

[11] Menzies Christof (2004), Sarbanes-Oxley Act, S. 8

[12] Menzies Christof (2004), Sarbanes-Oxley Act, S. 9

[13] Vgl. CRS Report, The Accounting Scandal, S. 2

[14] Vgl. CRS Report, The Accounting Scandal, S. 5

[15] Vgl. Dutzi Andreas, Reform der marktorientierten Corporate Governance in den USA durch Sarbanes-Oxley Act, S.49

[16] Volkwein Ellen, Die Umsetzung des Sarbanes Oxley Act 2002 in Deutschland, S. 11

[17] Carl, Peter Steffen, Sarbanes-Oxley Act – US-amerikanische Vorgaben und Umsetzungszwang für deutsche Gesellschaften, S. 371

[18] Menzies Christof (2004), Sarbanes-Oxley Act, S. 13

[19] Sünner, Eckart, Auswirkungen des Sarbanes-Oxley Act im Ausland, S. 270

[20]Vgl. Sarbanes-Oxley Act (2002), S. 102

[21] Vgl. Sarbanes-Oxley Act (2002), S. 107

[22] Vgl. Lanfermann, Georg/Maul, Silja (2003): SEC-Ausführungsregelungen zum Sarbanes-Oxley Act, S.1725

[23] Vgl. Sarbanes-Oxley Act (2002), S. 121

[24] Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 105-106

[25] Vgl. PCAOB (2004), S. 20-21

[26] Vgl. Lück, W. / Markowski, A. (1996), Internal Control COSO Report, S.159

[27] Vgl. http://www.project-consult.net/Files/S204_Update2007_20070116.pdf, S. 79

[28] Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 76

[29] Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards, S. 65

[30] Vgl. Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards, S. 63 Vgl. Menzies Christof (2004), Sarbanes-Oxley Act, S. 75

[31] Vgl. Romeike, F./ Finke, R.B (2003), Erfolgsfaktor Risiko-Management, S. 66

[32] Vgl. Mertin, D./Schmidt, S. (2001), internationale Harmonisierung der Anforderungen and die Abschlussprüfung auf der Grundlage der Verlautbarungen der IFAC, S. 326

[33] Vgl. IDW (2003), Prüfungsstandards, PS 260

[34] Vgl. Moeller R. Robert (2007), COSO Enterprise Risk Management, S. 49

[35] Vgl. COSO – The Committee of Sponsoring Organizations of the Treadway Commission (2004): Unternehmensweites Risikomanagement – Übergreifendes Rahmenwerk, Zusammenfassung, S. 4

[36] COSO (2004), Enterprise Risk Management – Integrated Framework, S. 4

[37] Vgl. Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S.2

[38] Vgl. Picot (2001), Überblick über die Kontrollmechanismen im Unternehmen nach KonTraG, S. 5 Vgl. Krystek Ulrich; Müller Michael (1999), Frühaufklärungssysteme: Spezielle Informationssysteme zur Erfüllung der Risikokontrollpflicht nach KonTraG, S. 145

[39] Vgl. § 91 Abs. 2 AktG (KonTraG)

[40] Vgl. http://www.corporate-governance-code.de/ger/download/D_Kodex%202007_final.pdf, Pkt. 4.1.4.

[41] Vgl. Deilmann Barbara (2000), Die Stellung des Aufsichtsrates der Aktiengesellschaft nach Inkrafttreten des KonTraG, S.169

[42] Vgl. Berliner Initiativkreis German Code of Corporate Governance (2000), S. 1576

[43] Vgl. Wall Friederike (2003), Kompatibilität des betriebswirtschaftlichen Risikomanagements mit den gesetzlichen Anforderungen?, S. 460 Vgl. Theisen Manuel Rene, Risikomanagement als Herausforderung für die Corporate Govermance, S. 1427

[44] Vgl. Horn (1997), Die Haftung des Vorstands der AG nach § 93 AktG und die Pflichten des Aufsichtsrates, S.1130

[45] Vgl. Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards, S. 36

[46] Vgl. Marc Toebe (2006), Risikofrüherkennungssystem als Bestandteil des Risikomanagements und Gegenstand der gesetzlichen Jahresabschlussprüfung, S. 83

[47] Vgl. Hommelhoff Peter (1999), Die neue Position des Abschlußprüfers im Kraftfeld der aktienrechtlichen Organisationsverfassung, S. 139-140

[48] Vgl. IDW (2003), Prüfungsstandards, PS 340

[49] Vgl. Glaum, M./Thomaschewski, D./Weber, S.: Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen, S. 49

[50] Glaum, M./Thomaschewski, D./Weber, S.: Auswirkungen des Sarbanes-Oxley Acts auf deutsche Unternehmen: Kosten, Nutzen, Folgen für US-Börsennotierungen, S. 49

[51] Vgl. Wartensleben Herbert (1978), Risikomanagement, S. 323

[52] Vgl. Romeike Frank (2003), Finke R.B, Erfolgsfaktor Risiko-Management, S. 66

[53] Studie von 2001: 117 Unternehmen wurden befragt; 16 Dax, 26 MDax und 9 NeMax Unternehmen haben geantwortet, erschien in: Bungartz Oliver (2004), Risk Reporting, S. 76

[54] Vgl. Bungartz Oliver (2004), Risk Reporting, S. 76

[55] Vgl. Toebe Marc (2006), Risikofrüherkennungssystem als Bestandteil des Risikomanagements und Gegenstand der gesetzlichen Jahresabschlussprüfung, S. 35

[56] Vgl. Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S. 9

[57] Vgl. Selch Barbara (2000), Die Entwicklung der gesetzlichen Regelungen zum Lagebericht seit dem Aktiengesetz von 1965 bis zum KapCoRiLiG von 2000, S. 362

[58] Vgl. Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards, S. 9

[59] Vgl. Liekweg A (2003), Risikomanagement und Rationalität, S. 8

[60] Vgl. Diederichs Marc (2001), Richter Hermann, Risikomanagement und Risikocontrolling - Transparenz durch risikoadjustiertes Berichtswesen, S. 136

[61] Vgl. Lück W. (2000), Managementrisiken im Risikomanagementsystem, S. 1473

[62] Vgl. Brühwiler B.(2001), Unternehmensweites Risk Management als Frühwarnsystem - Methoden und Prozesse für die Bewältigung von Geschäftsrisiken in integrierten Managementsystemen, S. 7

[63] Romeike Frank, Finke R.B (2003), Erfolgsfaktor Risiko-Management, S. 68

[64] Oehler Andreas (2002), Unser Finanzwirtschaftliches Risikomanagement, S.192

[65] Romeike Frank, Finke R.B (2003), Erfolgsfaktor Risiko-Management, S. 68

[66] Vgl. Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S. 11

[67] Brühwiler, B. (2001), Unternehmensweites Risk Management als Frühwarnsystem - Methoden und Prozesse für die Bewältigung von Geschäftsrisiken in integrierten Managementsystemen, S. 317

[68] Vgl. Marc Dietrich (2004), Risikomanagement und Risikocontrolling, S. 13

[69] Diederichs M., Form S., Reichmann T. (2004), Standard zum Risikomanagement, S. 189

[70] Kirchner M. (2002), Risikomanagement – Problemaufriss und praktische Erfahrungen unter Einbeziehung eines sich ändernden unternehmerischen Umfeldes, S. 18

[71] Vgl. Diederichs M., Form S., Reichmann T. (2004), Standard zum Risikomanagement, S. 193

[72] Pampel Katrin (2005), Anforderungen an ein betriebswirtschaftliches Risikomanagement unter Berücksichtigung nationaler und internationaler Prüfungsstandards, S. 14

[73] Vgl. Braun Herbert (1984), Risikomanagement - Eine spezifische Controllingaufgabe, S. 44

[74] Vgl. Braun Herbert (1984), Risikomanagement - Eine spezifische Controllingaufgabe, S. 45

[75] Vgl. Pollanz Manfred (1999), Ganzheitliches Risikomanagement im Kontext einer wertorientierten Unternehmensführung, S. 394 Vgl. Hornung, Karlheinz/Reichmann, Thomas/Diederichs, Marc (1999), Risikomanagement – Teil I: Konzeptionelle Ansätze zur pragmatischen Realisierung gesetzlicher Anforderungen, S. 319

[76] Vgl. Toebe Marc (2006), Risikofrüherkennungssystem als Bestandteil des Risikomanagements und Gegenstand der gesetzlichen Jahresabschlussprüfung, S. 44

[77] Vgl. Krystek U. (1999), Neue Controlling – Aufgaben durch neue Gesetze?, S. 146

Ende der Leseprobe aus 119 Seiten

Details

Titel
Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II
Hochschule
Hochschule Wismar
Veranstaltung
Controlling und Prüfungswesen
Note
2,0
Autor
Jahr
2008
Seiten
119
Katalognummer
V115975
ISBN (eBook)
9783640175581
Dateigröße
1543 KB
Sprache
Deutsch
Schlagworte
Wirtschaftlichkeit, Wirksamkeit, Internen, Kontrollsystemen, Basis, COSO, Controlling, Prüfungswesen
Arbeit zitieren
Fabian Müller (Autor), 2008, Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II, München, GRIN Verlag, https://www.grin.com/document/115975

Kommentare

  • Noch keine Kommentare.
Im eBook lesen
Titel: Wirtschaftlichkeit und Wirksamkeit von Internen Kontrollsystemen auf Basis von COSO II


Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden