Das COSO Enterprise Risk Management (COSO ERM) und sein Vorgänger, das COSO Internal Control-Integrated Framework

Inhaltsverzeichnis

Abkürzungsverzeichnis

COSO

1. COSO Internal Control – Integrated Framework
1.1 Control Environment (Kontrollumfeld)
1.2 Risk Assessment (Risikobeurteilungen)
1.3 Control Activities (Kontrollaktivitäten)
1.4 Information and Communication (Information und Kommunikation)
1.5 Monitoring (Überwachung)

2 COSO ERM - Enterprise Risk Management
2.1 Internal Environment (Internes Umfeld)
2.2 Objective Settings (Zielbestimmung)
2.3 Event Identification (Identifizierung von Ereignissen)
2.4 Risk Assessment (Risikobewertung)
2.5 Risk Response (Risikosteuerung)
2.6 Control Activities (Kontrollaktivitäten)
2.7 Information and Communication (Information und Kommunikation)
2.8 Monitoring (Überwachung)

3 Zusammenfassung

Literaturverzeichnis (inklusive weiterführender Literatur)

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

COSO

Das Committee of the Sponsoring Organizations of the Treadeway Comission (COSO) ist eine 1985 gegründete, gemeinsame Initiative privatwirtschaftlicher amerikanischer Wirtschaftsinstitute. Diese führten eine Studie bezüglich der Ursachen betrügerischer Finanzberichterstattung in den USA durch. Das Resultat brachte hervor, dass in den meisten Betrugsfällen das interne IKS entweder nicht umfassend genug war, oder durch das Management leicht umgangen werden konnte. Um dies in Zukunft zu verhindern, wurde mit dem 1992 erschienenen COSO Internal Control – Integrated Framework ein Rahmenwerk geschaffen, welches den Begriff des IKS einheitlich definiert und sowohl als Basis für ein adäquates IKS dient, sowie zur Verbesserung der Corporate Governance beitragen kann.^[1] Die Verwendung von COSO als Rahmenwerk für eine Verbesserung der Corporate Governance ist sinnvoll, da es zum einen die Anforderungen des SOA erfüllt, zum anderen aber auch bereits vor Erscheinen des SOA als ein geeignetes Rahmenwerk zur Verbesserung der Corporate Governance akzeptiert wurde.^[2]

1. COSO Internal Control – Integrated Framework

COSO definiert ein IKS als Prozess^[3] und bestimmt drei konkrete Zielvorgaben. Es ist an dieser Stelle anzumerken, dass sich die Anforderungen des SOA hauptsächlich auf die Ausführungen der zweiten Zielvorgabe Financial Reporting beziehen. Die zwei Weiteren stellen Ergänzungen in Bezug auf die Organisationseinheit dar. Sie werden nicht ausdrücklich durch den SOA gefordert, sind aber notwendig für ein ordnungsgemäßes IKS.

Konkret sind die Zielvorgaben wie folgt definiert:

- Operations (Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit) - Financial Reporting (Ordnungsmäßigkeit der Finanzberichterstattung) - Compliance (Einhaltung von Gesetzen und Vorschriften)^[4]

Zur Erläuterung und Differenzierung des IKS werden in COSO die Zielvorgaben in fünf Komponenten integriert. Diese werden in den nachfolgenden Kapiteln einzeln und detailliert erläutert. Dabei handelt es sich um

- Control Environment (Kontrollumfeld)
- Risk Assessment (Risikobeurteilungen)
- Control Activities (Kontrollaktivitäten)
- Information & Communication (Information und Kommunikation)
- Monitoring (Überwachung des IKS)

Abbildung in dieser Leseprobe nicht enthalten

Abb.1 : COSO Würfel

Quelle: COSO, Internal Control- Integrated Framework, 1992

Diese genannten Komponenten sichern gemeinsam das Erreichen der Ziele, welche durch die drei Zielkategorien bestimmt werden.^[5] Diese Ziele betreffen alle Unternehmenseinheiten und Unternehmensprozesse. Abb. 1 erläutert anschaulich die soeben dargestellten Zusammenhänge.

1.1 Control Environment (Kontrollumfeld)

Das Control Environment bildet die Grundlage für die anderen vier Komponenten innerhalb des COSO Frameworks.^[6] Hier werden vor allem ethische Werte, die Unternehmensphilosophie, die Unternehmensstrategie, der Führungsstil und die Risikoeinstellung des Unternehmens festgelegt und an alle Mitarbeiter kommuniziert.^[7]

Des Weiteren werden Verantwortlichkeiten für die Kontrollaktivitäten zur Erreichung der Unternehmensziele übertragen.^[8] Hierfür ist es notwendig die Mitarbeiter für die Relevanz eines IKS zu sensibilisieren und sie durch entsprechende Schulungsmaßnahmen auf ihre konkrete Aufgabe vorzubereiten.

Jedoch ist alleine eine Übertragung der Kontrollaktivitäten auf die Mitarbeiter nicht ausreichend. Die Überwachungsarbeit der Aufsichtsgremien ist ebenso bedeutend für ein funktionierendes IKS.

Ein mangelhaftes Kontrollumfeld könnte Mitarbeiter zu illegalen Handlungen (z.B. Manipulation der Rechnungslegung) animieren und einen enormen Schaden für das Unternehmen bedeuten.^[9] Daher ist eine organisationsübergreifende Kommunizierung der Problematik und das schaffen und leben der entsprechenden Kultur ein unumgänglicher Erfolgsfaktor.

1.2 Risk Assessment (Risikobeurteilungen)

Durch das Einfügen von Kontrollen in Geschäftsprozesse soll sichergestellt werden, dass alle Risiken in einem Unternehmen frühzeitig identifiziert und bewertet werden, welche das Unternehmen an der Erreichung der Ziele (Operations, Financial Reporting, Compliance) hindern könnten.^[10]

Dabei empfiehlt COSO sowohl externe, als auch interne Einflüsse zu berücksichtigen. Als externe Risiken werden beispielhaft technologische Entwicklungen, Veränderungen der Kundenwünsche, Erhöhung des Wettbewerbs oder zusätzlich zu berücksichtigende gesetzliche Änderungen aufgeführt. Als interne Risiken werden unter anderem ein schlechtes Informationssystem, unmotiviertes oder unqualifiziertes Personal, sowie häufige Wechsel des Managements genannt.^[11]

Besonders wichtig in diesem Zusammenhang ist es, sich nicht an bereits identifizierten Risiken zu orientieren, sondern alle zusätzlichen Möglichkeiten zu betrachten, aus welchen sich Risiken für das jeweilige Unternehmen ergeben könnten.^[12]

Sind Risiken identifiziert, so müssen diese bewertet und gemessen werden, wobei Eintrittswahrscheinlichkeit und Auswirkungen analysiert werden.^[13] Anhand der Auswertungen kann das Management entscheiden bis zu welchem Grad Risiken akzeptabel sind oder welche Maßnahmen zu ergreifen sind. Die angesprochenen Maßnahmen überlässt COSO vollständig dem Ermessen des Managements, wobei die jeweilige Reaktion keinen Bestandteil des IKS darstellt.

[...]

^[1] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 76.

^[2] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 75.

^[3] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 14.

^[4] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 77.

^[5] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 78.

^[6] Vgl. Menzies, Sarbanes-Oxley Act, 2004, S. 78.

^[7] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 23 ff.

^[8] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 28.

^[9] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 30.

^[10] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 33 ff.

^[11] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 40-41.

^[12] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 42.

^[13] Vgl. COSO, Internal Control-Integrated Framework, 1992, S. 42.