close
Share with your friends

Der große Wurf?

COSO ERM 2017

COSO ERM 2017 – Auftrag zur Neuausrichtung im Risikomanagement oder nur scheinbare Innovation?

Portrait Harald Stangl

Director, Advisory

KPMG Austria

Kontakt

Verwandte Inhalte

Läuferin

Mit Juni 2017 publizierte das Committee of Sponsoring Organizations of the Treadway Commission (COSO) einen neuen Standard (COSO ERM 2017) zum unternehmensweiten Risikomanagement (Enterprise Risk Management – ERM). Worin liegen die Neuerungen und wie sieht es mit der Umsetzung in der österreichischen Unternehmenspraxis aus? Eine Bestandsaufnahme.

 

COSO versteht diesen neuen Standard als Update zum 2004 veröffentlichten ERM Standard. Als Motivation wird sowohl eine veränderte Risikosituation als auch eine gestiegene Wahrnehmung der Anforderungen an ein Risikomanagement durch Vorstände und Führungskräfte genannt.

Wesentliche Erweiterungen gegenüber 2004 sind:

  1. Die Unterstützung des Strategiefindungsprozesses, um alternative Strategien zu beurteilen und somit ggf die gewählte Strategie anzupassen
  2. Stärkere Verbindung von Ergebnissteuerung und Risikomanagement durch eine verbesserte Zieldefinition und mehr Transparenz im Hinblick auf den Einfluss von Risiken auf das Ergebnis
  3. Betonung der Werte und Vision des Unternehmens
  4. Als Ablöse des bekannten „COSO-Würfels“ die Identifikation von 5 Komponenten und 20 diesen zugeordneten Prinzipien, die in Summe das Rahmenwerk spezifizieren
  5. Der Rolle des Boards (Vorstand und Aufsichtsrat) wird eine eigene Komponente „Exercise Board Risk Oversight“ gewidmet und in weiterer Folge die Rolle des Prüfungsausschusses im Hinblick auf die Überwachung der Risikoposition betont.

Wie weit hat nun der überarbeitete Standard nach eineinhalb Jahren Einzug in die Praxis in Österreich gefunden? KPMG hat dazu im Rahmen einer Veranstaltung zum Thema Governance unter ca 30 Personen (vor allem Revisoren und Risikomanager) eine Umfrage durchgeführt. Daraus ergaben sich folgende Erkenntnisse: 46 Prozent der befragten Unternehmen organisieren das ERM in einer eigenen Stelle.

Was die Bekanntheit des Standards und dessen Anwendung angeht, so ist 86 Prozent der Befragten COSO ERM 2017 als Risikomanagementstandard bekannt. Aber nur 18 Prozent wenden diesen auch aktuell im Unternehmen an. Die Mehrzahl der Unternehmen orientiert sich nach wie vor am COSO ERM 2004er Standard oder verwendet kein Regelwerk (29 Prozent).

Referenzstandard

93 Prozent der befragten Unternehmen erachten die Orientierung an einem internationalen Standard im Risikomanagement als hilfreich für die Gestaltung der Risikomanagementfunktion.

Was die Akzeptanz betrifft, so ist nur eine geringe Mehrzahl (53 Prozent) der Meinung, dass es durch den neuen Standard zu einer Verbesserung im Hinblick auf die Steuerungsrelevanz gegenüber COSO ERM 2004 kommt. Dies ist wenig überraschend, als die von COSO genannten Erweiterungen gegenüber 2004 in Richtung Strategie- und Performanceunterstützung zwar mit 85 Prozent Zustimmung als positiv aber mit 71 Prozent als nicht neu gegenüber der aktuellen Risikomanagementpraxis bewertet werden.

Von jenen Unternehmen, die eine Prüfung der Funktionsfähigkeit des Risikomanagements nach Regel 83 ÖCGK vornehmen, verwenden 35 Prozent der Befragten den 2017er Standard als Referenzstandard. Etwas mehr, nämlich 43 Prozent jener Unternehmen, die eine Prüfung der Risikomanagementfunktion durch die Interne Revision vornehmen, verwenden den Standard für die Gestaltung der Prüfung (zB Erweiterung im Hinblick auf die Strategie, die Unternehmenskultur und den Risikoappetit). Eine gewisse Ambivalenz im Umgang mit positiven Abweichungen (Chancen) zeigt sich darin, dass in 43 Prozent der befragten Unternehmen ein Chancenmanagement durchgeführt wird, wobei die Hälfte der Befragten dieses Thema auch in COSO ERM 2017 angemessen unterstützt sehen.

Insgesamt sehen die befragten Unternehmen den Nutzen eines effektiven Enterprise Risk Management trotz der ständig steigenden Anforderungen wie sie COSO ERM 2017 festschreibt mit fast 70 Prozent als positiv an. Für 54 Prozent ist der Nutzen „eher gegeben“, für 15 Prozent ist er eindeutig „gegeben“.

Nutzen des RM

Die mit Abstand (61 Prozent) am häufigsten genannte Nutzenkategorie aus einem integrierten unternehmensweiten Risikomanagement, wie sie COSO fordert, ist die „Organisationsweite Identifikation und Steuerung von Risiken“. Damit wird klar ein abteilungsübergreifender gegenüber einem funktional fokussierten Ansatz favorisiert. Ebenfalls als wichtiges Motiv für den Einsatz eines ERM wird die verbesserte Fähigkeit, wesentliche Risiken zu identifizieren und rechtzeitig darauf reagieren zu können, genannt.

Nutzenkategorien

Als Hauptansatzpunkt für eine erfolgreiche Implementierung von COSO ERM 2017 im Unternehmen wird die Risikokultur (27 Prozent), gefolgt von der Einstellung des Vorstandes (Tone at the Top – 24 Prozent) genannt. Damit wird den verhaltensorientierten Faktoren gegenüber Themen wie Methodik, Prozess, Daten und Technologie klar der Vorrang eingeräumt.

Hauptansatzpunkt

Im Standard wird auch das Thema IKS angesprochen. Obgleich dafür mit „COSO Internal Control – Integrated ­Framework“ aus 2009 eine komplementäre Publikation vorliegt, betont COSO ERM 2017 den umfassenderen Charakter des ERM gegenüber dem IKS und die Integration aller Governance Funktionen. Während COSO das Interne Kontrollsystem als Bestandteil des ERM versteht, sehen mehr als die Hälfte der Befragten IKS und Risikomanagement als zwei getrennte Systeme.

Zusammengefasst ist eine Neuausrichtung auf COSO ERM 2017 deshalb zu empfehlen, weil:

  1. Die Wirksamkeit des Risikomanagements auch im Lichte der Planungsunterstützung zu beurteilen ist
  2. Die Unterstützung der Ergebnissteuerung durch ein funktionierendes Risikomanagement vor dem Hintergrund volatiler Ergebnisse an Bedeutung gewinnt
  3. Die Integration der Governance Funktionen und ­insbesondere von IKS und Risikomanagement einem ganzheitlichen Ansatz entspricht
  4. Dem regulativen Gebot nach einer Überwachung des ­Risikomanagementsystems seitens des Prüfungsausschusses durch die notwendige Breite und Tiefe des Standards entsprochen wird.

ÜOSO ERM 2017 ist damit wahrscheinlich nicht der große Wurf, sondern ein weiterer durchaus sinnvoller Schritt in der Entwicklung dieses Rahmenwerks für das Risikomanagement, vor allem auch zur Anpassung an die geänderten Umweltbedingungen und Anforderungen an das professionelle Risikomanagement eines Unternehmens.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP) einreichen

 

loading image Zum Angebotsformular