Über das neue COSO ERM Rahmenwerk

Aufgrund der turbulenten Marktentwicklungen der letzten Jahre sowie der regulatorischen Anforderungen hat die Komplexität der Chancen und Risiken vieler Unternehmen zugenommen und zu einem gesteigerten Risikobewusstsein auf der Führungsebene geführt. Das im September 2017 aktualisierte, internationale Risikomanagement-Rahmenwerk des Committee of Sponsoring Organizations of the Treadway Commission (COSO) befasst sich mit der Entwicklung des Risikomanagements für Unternehmen und der Notwendigkeit, dass Organisationen ihren Ansatz für das Risikomanagement verbessern, um den Anforderungen eines sich verändernden Geschäftsumfelds gerecht zu werden. Das aktualisierte Rahmenwerk unterstreicht die Bedeutung der Risikobetrachtung sowohl im Strategiefindungsprozess als auch bei der Steigerung der Performance.

Die sich ändernde Risikolandschaft

Das neue COSO Risikomanagement-Rahmenwerk, Enterprise Risk Management – Integrating with Strategy and Performance, bildet die Erfordernisse an ein Risikomanagementsystem vor den  veränderten Umweltbedingungen ab. Das Rahmenwerk gibt Unternehmen nicht nur die Möglichkeit risikobewusstere Entscheidungen zu treffen, sondern unterstützt sie auch bei ihrer strategischen Weiterentwicklung und dabei, nachhaltig Wert zu schaffen und zu erhalten.

Das COSO-Modell aus dem Jahr 2004, welches als Würfel dargestellt wurde, wurde zu Gunsten eines dreistufigen Prozessmodels, abgelöst. Das neue Modell besteht aus den Bereichen „Vision, Mission & Core Value“, „Strategy & Business Objectives“ sowie „Enhanced Performance“.

Abbildung 1: Dreistufiges Risikomanagement-Prozessmodell (COSO 2017).

Die drei Prozessstufen umfassen fünf eng miteinander verbundene Kernkomponenten: Governance & Culture, Strategy & Objective-Setting, Performance, Review & Revision, Information, Communication & Reporting. Innerhalb dieser fünf Komponenten gibt es 20 Prinzipien, die die grundlegenden Aktivitäten repräsentieren, die in allen Prozessschritten zu berücksichtigen sind.

Abbildung 2: Fünf Kernkomponenten und 20 Prinzipien des COSO-Rahmenwerks.

Die Notwendigkeit eines effektiven Risikomanagements

Die Unternehmenspraxis zeigt, dass sich Risikomanagementsysteme unterschiedlichen Reifegrades und ein generell verstärktes Risikobewusstsein in den Unternehmen etabliert haben. Mit dem überarbeiteten COSO-Modell sollen Unternehmen nun rascher auf sich ändernde Umweltbedingungen reagieren können.

Explizite Berücksichtigung von Risiko in der Strategiefindung

Das aktualisierte Rahmenwerk unterscheidet drei verschiedene Dimensionen der Integration von Risiko und Strategie:

1. Risiko für die Umsetzung der Strategie: Berücksichtigt die potenziellen Risiken für die Strategie und zeigt auf, wann die Strategie möglicherweise überarbeitet werden muss.

Strategie und Risiko sind ganzheitlich miteinander verbunden. Dies bedeutet, dass Risiken in Bezug auf ihre potenziellen Auswirkungen auf die Fähigkeit zur Umsetzung der Strategie betrachtet werden müssen.

2. Auswirkungen der Strategie: Berücksichtigt die Risiken, die sich aus der gewählten Strategie ergeben, um die Organisation dabei zu unterstützen, sich auf diese Risiken besser vorbereiten zu können.

Jede potenzielle Strategie hat ein Risikoprofil, eine Reihe von Risiken, die von der Strategie ausgehen. Management und Aufsichtsgremien sollten überlegen, wie alternative Strategien, die auf unterschiedlichen Annahmen basieren, zu der Risikobereitschaft des Unternehmens passen. Erst nach der Analyse der Risikoprofile aller Alternativen sollte eine Strategie ausgewählt und genehmigt werden.

3. Risiko der Strategie: Berücksichtigt die Ausrichtung der Strategie am Unternehmensleitbild, der Vision und den Grundwerten einer Organisation.

Für die Auswahl einer Strategie ist entscheidend, dass die Strategie mit der Mission und Vision einer Organisation übereinstimmt. Eine falsch ausgerichtete Strategie erhöht die Wahrscheinlichkeit, dass die Organisation ihre Mission und Vision möglicherweise nicht realisiert. Das Risiko für die Strategie wurde traditionell den Strategiefunktionen zugewiesen. Und genau hier setzt das Update des Rahmenwerks an: ERM kann seinen Teil bei der Auswahl der Strategie leisten, anstatt nur das Risiko zu steuern, nachdem die Strategie ausgewählt wurde.

Zukünftig wird es daher an Bedeutung gewinnen, dass die Risikomanagementfunktion aktiv in den strategischen Entscheidungsfindungsprozess miteingebunden ist und in Kooperation mit der Strategieabteilung die Risiken aus alternativen Strategieoptionen evaluiert.

Definition des Risikoappetits

Im Rahmen des Strategieentwicklungsprozesses wird in vielen Unternehmen ein qualitativ oder quantitativ definierter Risikoappetit im Kontext einer Gesamtrisikostrategie festgelegt.

Der Risikoappetit sollte die Unternehmenskultur widerspiegeln und soll bei Bedarf angepasst werden. Nicht zuletzt sollten Unternehmen bei der Festlegung ihres Risikoappetits ihr allgemeines Risikoprofil nicht vergessen. Dementsprechend wird künftig das Schaffen einer Übereinstimmung von Risikoappetit und strategischen Unternehmenszielen eine relevante Aufgabe für Unternehmen darstellen. Zudem sollte auch sichergestellt werden, dass der definierte Risikoappetit über alle Unternehmensebenen hinweg kommuniziert und greifbar gemacht wird.

Vor allem Entscheidungsträger müssen den Risikoappetit verstehen, denn dieser gibt ihnen den Rahmen vor, in dem sie Ressourcen verteilen und operativ agieren können.

Betrachtung von „Emerging Risks & Chancen“

Eine weitere wichtige Aufgabe im Risikomanagement ist die konsistente Erfassung und Bewertung von Chancen und Risiken. Ein regelmäßiger Risikoidentifizierungsprozess hilft Unternehmen alle relevanten Risiken zeitgerecht zu erfassen und somit auch neue Chancen und Risiken in das Risikoportfolio zu inkludieren. Das neue COSO-Rahmenwerk legt hierbei auch ein besonderes Augenmerk auf die Betrachtung der „Emerging Risks“, die aus heutiger Sicht noch schwer einzuschätzen und zu bewerten sind. Das neue Rahmenwerk soll Unternehmen dabei helfen, Risiken besser zu antizipieren sowie das Verständnis fördern, dass Veränderungen Chancen schaffen und nicht nur als Krisenpotenzial gesehen werden sollen. Chancenmanagement wird folglich als Teil des Risikomanagementprozesses gesehen.

Risikobewertung und Überwachung der risikomitigierenden Maßnahmen

Nach der Risikoidentifizierung müssen diese auch bewertet und regelmäßig neu evaluiert werden, um strategische Unternehmensziele mit optimalem Ressourceneinsatz zu erreichen. Zudem sollten die potentiellen Auswirkungen der identifizierten Risiken möglichst an einer zentralen Kennzahl gemessen werden, um schließlich eine Aggregation zu einer Gesamtrisikoposition zu ermöglichen.

Im nächsten Schritt muss nun die Risikostrategie ausgewählt werden: Risiko vermeiden, übertragen, vermindern oder akzeptieren. In Folge dessen können dann die geeigneten risikomitigierenden Maßnahmen festgelegt werden. Hierfür ist es notwendig, dass die Maßnahmen umfassend beschrieben und mit entsprechenden zeitlichen Rahmen, Budgets und Verantwortlichkeiten hinterlegt werden.

Der Blick in die Zukunft

Neue Technologielösungen, die Fülle an verfügbaren Daten und deren effiziente Bearbeitung sowie Berücksichtigung im Entscheidungsprozess, virtuelle Arbeitswelten, volatile internationale politische Verhältnisse sowie die sich stetig verändernden Bedürfnisse der nächsten Generationen sind nur einige der Themen, die Unternehmen in den nächsten Jahren beschäftigen werden und die auch das Risikomanagement der Zukunft beeinflussen werden. Unternehmen können frühzeitig auf diese Herausforderungen reagieren, indem sie die neuen Ansätze des COSO-Modells berücksichtigen und so einen bewussten Einklang von Risikomanagement, Strategie und Performance schaffen.

Weiterbildungstipps

3. GRC-Forum | Jahresforum für Governance, Risk und Compliance
Wann? Am 24. September 2019 | Wo? Austria Trend Parkhotel Schönbrunn | Anmeldung

Certified Corporate Risk Manager | Identifikation, Bewertung und Steuerung von Risiken
Wann? Start am 7. November 2019 | Wo? Seminarhotel & Palais Strudlhof, 1090 Wien, Eingang: Strudlhofgasse 10 | Anmeldung