Das COSO Enterprise Risk Management-Framework - Veb
Das COSO Enterprise Risk Management-Framework - Veb
Das COSO Enterprise Risk Management-Framework - Veb
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Controllilng<br />
<strong>Das</strong> <strong>COSO</strong> <strong>Enterprise</strong> <strong>Risk</strong> <strong>Management</strong>-<strong>Framework</strong><br />
Haben Sie sich in Ihrem Unternehmen<br />
aufgrund der Revision des Obligationenrechts<br />
für das kommende Geschäftsjahr<br />
bereits mit Risiken oder der Dokumentation<br />
von Steuerungs- und Kontrollaktivitäten<br />
auseinandergesetzt?<br />
<strong>Das</strong> <strong>Enterprise</strong>-<strong>Risk</strong>-<strong>Management</strong>-<strong>Framework</strong><br />
von <strong>COSO</strong> (<strong>COSO</strong> ERM) kann<br />
als Führungsinstrument helfen, wichtige<br />
Chancen und Risiken zu erkennen<br />
und geeignete Massnahmen zu ergreifen,<br />
um die Erreichung von Unternehmenszielen<br />
besser zu gewährleisten.<br />
Der Verwaltungsrat und die Geschäftsleitung<br />
tragen die Verantwortung, ein Internes<br />
Kontrollsystem (IKS) im Unternehmen<br />
auszugestalten. Ab dem Geschäftsjahr<br />
2008 wird die Existenz eines IKS durch den<br />
externen Revisor geprüft (Art. 728a, 728b<br />
revOR). Auch sind im Anhang Angaben über<br />
die Durchführung einer Risikobeurteilung zu<br />
publizieren (Art. 663b revOR).<br />
Bei der Ausgestaltung eines IKS kann sich die<br />
Geschäftsleitung an dem weit verbreiteten<br />
<strong>COSO</strong> Internal Control-<strong>Framework</strong> (<strong>COSO</strong><br />
<strong>Framework</strong>) orientieren. Daran wird sich auch<br />
die Treuhand-Kammer mit ihrem Prüfungsstandard<br />
der Existenz eines IKS ausrichten.<br />
<strong>Das</strong> <strong>COSO</strong> ERM stellt eine Weiterentwicklung<br />
dieses Konzepts dar, indem zum Beispiel<br />
auf die Risiken noch intensiver eingegangen<br />
wird. Es bietet eine Möglichkeit, den regulatorischen<br />
Anforderungen zu entsprechen,<br />
geht darüber aber noch hinaus.<br />
Diese Anforderungen wurden von Bundesrat<br />
Blocher und in der Botschaft zur Änderung<br />
des Obligationenrechts noch präzisiert.<br />
Die Risikobeurteilung erfasst demnach<br />
nur die für die Beurteilung der Jahresrechnung<br />
wesentlichen Geschäftsrisiken. Auch<br />
bezieht sich das IKS nur auf die Verlässlichkeit<br />
der Finanzberichterstattung.<br />
Ziele des <strong>COSO</strong> ERM<br />
Die Zielkategorien des <strong>COSO</strong> ERM sind umfangreicher<br />
als diese Vorschriften, weil das<br />
Reporting jegliche Form der internen und<br />
externen Berichterstattung umfasst. Daneben<br />
bestehen die Ziele der Gesetzes- und<br />
Normenkonformität (Compliance) sowie<br />
der Effektivität und Effizienz der operativen<br />
Tätigkeiten (Operations). Zusätzlich beinhaltet<br />
<strong>COSO</strong> ERM auch strategische Zielsetzungen.<br />
Komponenten<br />
Zusammen bilden acht Komponenten den<br />
Kern des <strong>COSO</strong> ERM. Sie beeinflussen sich<br />
gegenseitig und sind daher miteinander interdependent.<br />
<strong>Das</strong> interne Umfeld reflektiert<br />
Risiko-Philosophie, Integrität sowie<br />
kulturelle und ethische Werte eines Unternehmens.<br />
Auf dieser Grundlage werden die<br />
Unternehmensziele definiert. Sie sind eine<br />
wesentliche Voraussetzung, um diejenigen<br />
Ereignisse zu identifizieren, die der Zielerreichung<br />
entgegenstehen (Risiken) oder ihre<br />
Realisation unterstützen können (Chancen).<br />
Die Risiken werden beurteilt und Mög-<br />
<strong>Das</strong> <strong>Enterprise</strong>-<strong>Risk</strong>-<strong>Management</strong>-<strong>Framework</strong><br />
von <strong>COSO</strong><br />
(<strong>COSO</strong> ERM)<br />
rechnungswesen<br />
8 4·07<br />
&controlling<br />
T. Flemming Ruud, PhD, WP (Norw.) ist<br />
Professor für Wirtschaftsprüfung und Internes<br />
Audit an den Universitäten Zürich und<br />
St. Gallen und der Norwegian School of<br />
<strong>Management</strong>, Oslo. Felix Reichert, lic. oec.<br />
publ., Certified Internal Auditor (CIA), ist<br />
Doktorand an der Universität Zürich und<br />
wissenschaftlicher Mitarbeiter am Lehrstuhl<br />
von Prof. Ruud.<br />
lichkeiten ihrer Handhabung gemäss der<br />
Risikotoleranz entwickelt. Steuerungs- und<br />
Kontrollaktivitäten dienen der Sicherstellung<br />
der Umsetzung der festgelegten Massnahmen.<br />
Wesentliche Informationen müssen<br />
identifiziert, aufbereitet und zeitgerecht<br />
im ganzen Unternehmen kommuniziert<br />
werden, so dass die Mitarbeiter ihre<br />
Verantwortlichkeiten erfüllen können. Ein<br />
Monitoring umfasst die laufende Überwachung<br />
der Funktionstüchtigkeit sowie eine<br />
regelmässige Überprüfung, um die Qualität<br />
des ERM sicherzustellen.<br />
Betroffene Unternehmensbereiche<br />
Wie das IKS umfasst das ERM grundsätzlich<br />
das gesamte Unternehmen und ist für alle<br />
organisatorischen Einheiten relevant. Jedoch<br />
entscheiden der Verwaltungsrat und<br />
die Geschäftsleitung, wie weit dieses Konzept<br />
umgesetzt werden soll.<br />
<strong>Das</strong> <strong>COSO</strong>-ERM-<strong>Framework</strong> kann helfen,<br />
ein einheitliches und klares Verständnis in<br />
Bezug auf Risiko-<strong>Management</strong> sowie Interne<br />
Steuerung und Kontrolle im Unternehmen<br />
zu etablieren. Insbesondere bei komplexeren<br />
Geschäftstätigkeiten dient es der<br />
zweckmässigen Vereinfachung in Form einer<br />
objektiven Darstellung interdependenter<br />
Zusammenhänge. Die Orientierung an<br />
diesem Ansatz bietet die Möglichkeit, über<br />
regulatorische Anforderungen hinausgehende<br />
Ziele zu realisieren. ���