Unternehmen sind grundsätzlich einer Vielzahl von Risiken ausgesetzt, welche die Erreichung der Unternehmensziele in Übereinstimmung mit der von der Unternehmensleitung festgelegten Geschäftsstrategie gefährden können.
Risiko ist ein Ereignis oder ein Zustand, der die Möglichkeit des Unternehmens zur Erreichung seiner Ziele in den Kategorien (1) Betrieblich, (2) Berichterstattung und (3) Regeleinhaltung negativ beeinflussen kann. Risiko ist die Wahrscheinlichkeit eines Ereignisses multipliziert mit der Auswirkung des Ereignisses. Risiken werden auf Ebene des Unternehmens und auf Ebene der Prozesse beurteilt. Die Unternehmensrisiken lassen sich in finanzielle, rechtliche, leistungswirtschaftliche oder strategische Risiken unterteilen; solche Risiken sollen durch Risikobeurteilungen sorgfältig identifiziert und analysiert werden.
Risikobeurteilung ist die Identifikation und die Analyse relevanter Risiken, die die Zielerreichung behindern können. Risiken können identifiziert werden, indem vereinfacht die Frage gestellt wird: „Was kann falsch laufen?“ Die Risikobeurteilung stellt einen kontinuierlichen und sich wiederholenden Prozess dar: Ziele setzen – Identifikation von Risiken der Zielerreichung – Beurteilung von Wahrscheinlichkeit und Auswirkung der Risiken – Priorisierung der Risiken und Aufbau von Kontrollen zur Verminderung der Risiken – Abstimmen der Risiken auf Ebene der Prozesse mit den Risiken auf Ebene des Unternehmens.
Risiken auf der Ebene des Unternehmens bzw. Konzerns können die Zielerreichung behindern und lösen Bedenken auf höchster Ebene aus (z.B. dolose Handlungen, Wechsel des Informationssystems, neue Gesetzgebung und Regulierung sowie ineffektive Unternehmensüberwachung durch Aufsichtsrat bzw. Gesellschafterversammlung).
Risiken auf Ebene der Prozesse können Geschäftsaktivitäten u.a. eines Tochterunternehmens, einer Geschäftseinheit oder Abteilung betreffen (z.B. unvollständige Verbuchung von Zahlungen an einen Lieferanten). Risiken auf Ebene der Prozesse sollten kompatibel sein mit den zugehörigen Risiken auf Ebene des Unternehmens.
Maßnahmen sind notwendig, um spezielle Risiken die mit Veränderungen einhergehen zu identifizieren und zu steuern, da ökonomische, industrielle, regulatorische und betriebliche Gegebenheiten sich kontinuierlich verändern. Risikobeurteilungen stellen die Grundlage für die Entscheidungen der Unternehmensleitung über den Umgang mit den Risiken einer unternehmerischen Betätigung dar.
Eine notwendige Voraussetzung der Risikobeurteilung ist die Definition von Zielen in den einzelnen Zielkategorien des COSO-Report:
Mit der Gestaltung eines IKS ist die systematische Untersuchung der Prozessabläufe verbunden. Die Strukturierung und Dokumentation der Prozessabläufe können Möglichkeiten zur Optimierung von Prozessen bzw. Subprozessen aufzeigen. Interne Kontrollen müssen so ausgestaltet sein, dass sie – unter Berücksichtigung des zugrundeliegenden Risikos – keine bzw. eine möglichst geringe Beeinträchtigung der operativen Geschäftstätigkeit mit sich bringen.
Kontrollaktivitäten zielen auf die Effektivität und Effizienz der operativen Geschäftstätigkeit durch standardisierte Prozesse ab und sichern den Schutz von Vermögensgegenständen. Betriebliche Ziele sollten zur Umsetzung der strategischen Ziele des Unternehmens beitragen, die Risikobewältigung unterstützen sowie den optimalen Einsatz der Ressourcen steuern. Operative Ziele sind hier nicht als Gegensatz zu strategischen Zielen zu verstehen, sondern beziehen sich auf die fachlichen Unternehmensziele.
Beispiele für betriebliche Ziele eines Unternehmen bzw. eines Konzerns können sein (vgl. Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart 2004, S. 95-96):
Die Finanzinformationen stellen eine wichtige Grundlage für unternehmensinterne sowie für externe Entscheidungen u.a. der Anteilseigner und Gläubiger dar. Das Zahlenwerk und z.B. die in Anhang und Lagebericht dargestellten Sachverhalte müssen daher verlässlich sein. Die Integrität der verwendeten Daten auf der unternehmerische Entscheidungen beruhen, soll durch die Ziele der Berichterstattung gefördert werden. Die Prävention und Aufdeckung von Wirtschaftskriminalität (dolose Handlungen) wird durch die Ziele der Berichterstattung unterstützt, indem eine prüfbare Beweiskette für die folgenden Aussagen der Rechnungslegung generiert wird:
Die Einhaltung der unternehmensspezifischen, gesetzlichen bzw. vertraglich vereinbarten Regelungen und deren Umsetzung werden durch die Ziele der Regeleinhaltung unterstützt. Die Ziele der Regleinhaltung sind abhängig von der Branche sowie der für diese Branche gültigen Regulierung. Die Ziele der Regeleinhaltung sind in Abgrenzung zu den Zielen der Berichterstattung zu sehen und beinhalten alle Regeln, die nicht direkt die finanzielle Berichterstattung betreffen.
Die Nicht-Erreichung der Ziele der Regeleinhaltung kann u.a. mit den folgenden Risiken verbunden sein (vgl. Andras, Gabriel und Mirco Vedder: Das IKS für den Prozess Fertigung und Lagerwirtschaft. Lektion 4 des schriftlichen Management-Lehrgangs „Interne Kontrollsysteme“ in 10 Lektionen. Hrsg. Euroforum Verlag. 2. Aufl. Düsseldorf 2009, S. 26):
Einige Beispiele für Bereiche und Normen, bei denen das Ziel der Regeleinhaltung bestehen kann, sind nachfolgend aufgelistet (vgl. Menzies, Christof (Hrsg.): Sarbanes-Oxley Act. Professionelles Management interner Kontrollen. Stuttgart 2004, S. 97):
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: