als die „Gesamtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“[39].[40] Gem. dem COSO II-Modell[41] wird im Risikomanagement ein unternehmensweiter Prozess verstanden, der durch Personen sämtlicher Ebenen einer Organisation (Unternehmensleitung, Management und Mitarbeiter) ausgeführt wird. Das Risikomanagement soll im Rahmen der Bestimmung der Unternehmensstrategie angewendet werden. Dabei ist das Risikomanagement so zu konzipieren, dass mögliche Ereignisse, welche die Organisation beeinflussen können, erkannt und innerhalb des Risikoprofils der Organisation gesteuert werden, um eine hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.[42] Der ISO-Standard 31000[43] liefert eine weitere Definition des Begriffs Risikomanagement, wonach unter Risikomanagement koordinierte Handlungen zur Führung und Kontrolle von Organisationen im Hinblick auf Risiken verstanden werden.[44]
33
Basierend auf den vorgenannten Definitionen für den Begriff Risikomanagement wird unter dem Risikomanagementsystem eine Reihe von Komponenten verstanden, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[45] Stellt Risikomanagement den Prozess im Umgang mit Risiken dar, so umfasst das Risikomanagementsystem die Organisationsstruktur und die Instrumente für die Durchführung des Risikomanagements.[46]
a) Hintergrund
34
Das im September 2004 vom COSO veröffentlichte Modell „Enterprise Risk Management – Integrated Framework“ (COSO II) war das erste international anerkannte Rahmenwerk für Risikomanagementsysteme, welches auch heute noch ein Benchmark für Risikomanagementsysteme ist. Das Rahmenwerk basiert auf dem vom COSO bereits 1992 veröffentlichten Rahmenwerk „Internal Control – Integrated Framework“ (COSO I), welches die Entwicklung und Implementierung von internen Kontrollsystemen zum Inhalt hat. Dabei wird jedoch in COSO II der Fokus erweitert und die Grundprinzipien und Elemente des Risikomanagements dargestellt. Ziel von COSO II ist es, dem Management von Unternehmen ein Konzept an die Hand zu geben, mit dessen Hilfe sie ein Risikomanagementsystem entwickeln und implementieren können, um die Risiken in ihrem Unternehmen zu identifizieren, zu bewerten und zu steuern. Zudem soll das Modell dabei helfen, ein bestehendes Risikomanagementsystem zu bewerten und zu verbessern.
b) Grundlagen und Prinzipien
35
Im Hinblick auf die Unternehmensziele, zu deren Erreichen das Risikomanagement einen Beitrag leisten soll, werden in COSO II die vier Kategorien Strategie, Betrieb, Reporting und Compliance definiert. Dabei umfasst die Kategorie Strategie die Festlegung übergeordneter Ziele. Die Kategorie Betrieb beinhaltet den wirksamen und wirtschaftlichen Gebrauch der vorhandenen Ressourcen im Rahmen des operativen Geschäftsbetriebs. Die Kategorie Reporting setzt als Ziel die Verlässlichkeit der Unternehmensberichterstattung, während die vierte Kategorie Compliance als Ziel die Einhaltung der anwendbaren Gesetze und regulatorischen Vorschriften versteht. Während das Erreichen der Ziele der Kategorien Reporting und Compliance originär in der Kontrolle des jeweiligen Unternehmens liegt, wirken auf das Erreichen der Ziele der Kategorien Strategie und Betrieb auch externe Faktoren bzw. Ereignisse ein. Daher kann das Risikomanagementsystem in Bezug auf diese Ziele dem Management lediglich zeitnah Informationen über das Ausmaß der Zielerreichung liefern.[47]
36
Das Erreichen der Ziele kann durch das Risikomanagementsystem auf vielfältige Weise unterstützt werden. Zunächst kann das RMS helfen, die Strategie und die Ziele des Unternehmens mit der Risikoneigung des Unternehmens in Einklang zu bringen. Daneben kann das Risikomanagement, insbesondere durch die Bereitstellung von Informationen über die Risiken, bei der Auswahl der richtigen Reaktion aus den Möglichkeiten Risikovermeidung, Risikoreduktion, Risikoteilung und Risikoakzeptanz, hilfreich sein. Des Weiteren kann das Risikomanagement, insbesondere im Hinblick auf die Vielzahl an zusammenhängenden Risiken denen ein Unternehmen ausgesetzt ist, durch die Identifizierung von möglichen Ereignissen und der Etablierung von Gegenmaßnahmen Überraschungen vermeiden und die damit verbundenen Kosten und Verluste reduzieren. Zudem kann die Betrachtung einer Vielzahl an möglichen Ereignissen auch die Identifizierung und Wahrnehmung von Chancen unterstützen. Darüber hinaus kann das Risikomanagement bei der Optimierung des Kapitaleinsatzes hilfreich sein, da das Management auf Basis der Informationen aus dem Risikomanagementprozess den gesamten Kapitalbedarf besser einschätzen und damit die Kapitalallokation effizienter gestalten kann.[48]
c) Komponenten eines Risikomanagementsystems
37
Gem. COSO II sollte ein RMS aus acht wechselseitig miteinander verknüpften Komponenten bestehen.[49] Dabei sind die Komponenten (Internes) Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung gem. COSO I bereits als Bestandteile des internen Kontrollsystems eingeführt worden. Im Rahmen von COSO II werden diese fünf Komponenten um die Komponenten Zielsetzung, Ereignisidentifikation und Risikosteuerung zum Risikomanagementsystem erweitert. Allerdings werden auch der Aufgabenbereich bzw. die Beschreibung der bereits für das IKS erforderlichen Komponenten im Rahmen des Risikomanagementsystems ausgeweitet.
38
Bei der Komponente internes Kontrollumfeld handelt es sich wie in Rn. 8 ff. beschrieben, um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens, welche von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“) sind. Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Ergänzend stellt das interne Kontrollumfeld auch die Basis für den Umgang mit Risiken dar, in dem es die Risikoeinstellung bzw. -neigung und die Risikomanagementphilosophie der Unternehmensleitung wiedergibt.[50]
39
Die Komponente Zielsetzung soll gewährleisten, dass das Management einen Prozess zur Bestimmung von Unternehmenszielen, die mit der Unternehmensstrategie und der Risikoneigung abgestimmt sein sollen, implementiert hat. Die Bestimmung von Zielen ist die Basis für die Identifizierung von Risiken und Ereignissen, welche die Zielerreichung beeinträchtigen können.[51]
40
Gegenstand der Komponente Ereignisidentifikation ist die Identifizierung von internen und externen Ereignissen, welche das Erreichen der gesetzten Ziele beeinträchtigen können. Dabei ist zwischen Chancen und Risiken zu unterscheiden und sind Informationen über mögliche Chancen in den Strategie- bzw. Zielsetzungsprozess zurückzuleiten.[52]
41
Die Komponente Risikobeurteilung resultiert aus der Existenz externer und interner Risiken, denen Unternehmen im Rahmen ihrer Geschäftstätigkeit ausgesetzt sind und basiert auf den festgelegten Unternehmenszielen und der Kenntnis der Risikoneigung der Unternehmensleitung. Dabei umfasst die Risikobeurteilung die Identifizierung und Analyse von Risiken, die das Erreichen der definierten Ziele gefährden können, wobei die Analyse der Risiken die Betrachtung von Eintrittswahrscheinlichkeit und Auswirkungen beinhaltet. Auf Basis der Kenntnis der bewerteten Risiken kann das Management die Risiken entsprechend seiner Risikoneigung steuern.[53]
42
Die Komponente Risikosteuerung umfasst die Auswahl der Art und Intensität der Maßnahmen für