Risikomanagementsystem
Unternehmensweites Risikomanagement -
Eine Zusammenfassung des COSO Modells (COSO ERM)
Quelle: www.coso.org
Im Zuge der Wertschöpfungskette ist jedes Unternehmen Unsicherheiten ausgesetzt. Unsicherheit kann sowohl Chancen (positive Ereignisse) als auch Risiken (negative Ergeignisse) beinhalten. Es ist die Aufgabe der Unternehmensleitung zu bestimmen, wo das optimale Gleichgewicht zwischen den Ergebniszielen und den damit einhergehenden Risiken liegt.
Das Risikomanagementsystem ist dabei das Instrument zur Bestimmung dieses Gleichgewichts. Das COSO ERM Modell stellt hierzu die theoretische Basis zur Verfügung. Es wird von den wichtigsten Rechnungslegungsorganisationen wie z.B. AICPA, WPK, IDW, IIR unterstützt.
Konkret umfasst das Risikomanagement die Anpassung von Risikoneigung und Strategie, das Verbessern von risikobezogenen Entscheidungen, das Verringern von Überraschungen und Verlusten im Geschäftsbetrieb, das Bestimmen und Steuern mehrfacher und unternehmensübergreifender Risiken, das Nutzen von Chancen und eine verbesserte Kapitalallokation.
Die Ziele einer Organisation:
Risikomanagement soll dabei helfen, die Ziele des Unternehmens zu erreichen. Die Ziele werden in die folgenden vier Kategorien unterschieden:
- Strategische Ziele: Übergeordnete Ziele, die mit der Unternehmensmission/-vision abgestimmt sind
- Betriebliche Ziele: Wirksamer und wirtschaftlicher Ressourceneinsatz
- Berichterstattung: Zuverlässigkeit der Berichterstattung (Rechnungslegung)
- Regeleinhaltung: Einhalten anwendbarer Gesetze und Vorschriften (Compliance)
Die Komponenten des Risikomanagementsystems
Das Risikomanagementsystem besteht aus acht wechselseitig verknüpften Komponenten:
| Internes Umfeld |
|---|
| Zielfestlegung |
| Ereignisidentifikation |
| Risikobeurteilung |
| Risikosteuerung |
| Kontrollaktivitäten |
| Information & Kommunikation |
| Überwachung |
- Internes Umfeld: Das interne Umfeld beschreibt die Kultur einer Unternehmung und bildet die Grundlage dafür, wie Risiken durch die Mitarbeiter betrachtet und behandelt werden. Das Interne Umfeld umfasst auch die Risikophilosophie und Risikobereitschaft, Integrität und ethische Werte.
- Zielfestlegung: Die Ziele müssen festgelegt werden und es muss sichergestellt werden, dass die Ziele die Mission/Vision des Unternehmens unterstützen, und der Risikoneigung gerecht werden.
- Ereignisidentifikation: Interne und externe Ereignisse, die das Erreichen der Ziele einer Organisation beeinflussen, müssen bestimmt und in Risiken und Chancen unterschieden werden.
- Risikobeurteilung: Risiken werden unter Berücksichtigung von Auswirkung und Eintrittswahrscheinlichkeit untersucht. Sowohl innewohnende Risiken als auch Restrisiken sollen bewertet werden.
- Risikosteuerung: Anpassen der Risiken an die Risikotoleranz und -bereitschaft des Unternehmens. Es werden Instrumente zur Risikosteuerung ausgewählt. Mögliche Strategien können z.B. das Vermeiden, das Annehmen, das Verringern oder das Teilen von Risiko sein.
- Kontrollaktivitäten: Vorschriften und Verfahren, die sicherstellen, dass Risikoreaktionen wirksam ausgeführt werden.
- Information und Kommunikation: Wesentliche Informationen sind in Form und Zeitrahmen erkannt, erfaßt und verbreitet. Wirksame Kommunikation findet sowohl aufwärts, abwärts als auch lateral statt.
- Überwachung: Die Gesamtheit des Risikomanagements wird überwacht und erforderliche Anpassungen werden vorgenommen. Überwachung wird durch laufende Führungstätigkeiten und separate Beurteilungen erreicht.
Dabei ist zu beachten, dass hier kein linearer Ablauf (d.h. eine Komponente beeinflusst nur die nächste Komponente) sondern ein iterativer Prozess vorliegt (d.h. die Komponenten beeinflussen sich wechselseitig).
Die acht Komponenten sind nicht in jedem Unternehmen gleichartig aufgebaut. Die Umsetzung in kleinen und mittlelständischen Unternehmen ist in der Regel weniger formal und weniger strukturiert. Trotzdem können kleine Unternehmen ein funktionsfähiges unternehmensweites Risikomanagement besitzen, so lange jede der Komponenten vorhanden und wirksam angewandt wird.
Einheiten einer Organisation
Es besteht eine direkte Beziehung zwischen den Zielen und den Komponenten. Die Ziele geben vor, was das Unternehmen erreichen will. Die Komponenten geben vor, was erforderlich ist, um diese gesetzten Ziele zu erreichen. Dabei kann das Risikomanagementsystem zur besseren Handhabung weiter untergliedert werden. Mögliche Untergliederungen sind z.B. Geschäftsorganisationen, Geschäftsbereiche, Geschäftseinheiten oder Niederlassungen.