Audit |COSO-Modell |Deloitte Deutschland

Article

Strategie vs. Risiko?

Aktualisiertes COSO-Modell zeigt neue Möglichkeiten zur verbesserten Verzahnung von Risikomanagement und Unternehmensstrategie im Sinne des IdW-Standards PS 981

Das COSO-Modell zur systematischen Betrachtung von Strategie und Risikomanagement

Wie kann ein effektives Risikomanagement die Zielerreichung von Unternehmen unterstützen? Theorie und Praxis schlagen dazu eine Vielzahl von Modellen vor, gleichwohl steht die integrierte Betrachtung von Strategie und Risiko in vielen Unternehmen noch am Anfang der Entwicklung.

Der Ansatz des international bewährten COSO-Modells liefert nun neue Anhaltspunkte zu dieser brennenden Frage. Mit der Veröffentlichung hat COSO (The Committee of Sponsoring Organizations of the Treadway Commission) sein aktualisiertes Modell Enterprise Risk Management – Integrating with Strategy and Performance veröffentlicht, welches die Bedeutsamkeit der Verzahnung zwischen Strategie, Risikomanagement und Unternehmenserfolg hervorhebt. Damit einher geht die Ablösung des bekannten COSO-„Würfels“ zu Gunsten eines dreistufigen Prozessmodels, welches die positiven Effekte eines integrierten Risikomanagements in die Strategiedefinition und -umsetzung in den Vordergrund stellt.

Neuheiten des aktualisierten COSO-Modells

Was hat sich gegenüber der „alten“ Sichtweise verändert? Neben der expliziten Abstimmung strategischer Aspekte mit dem Risikomanagement unter besonderer Berücksichtigung der Organisationskultur verfolgt das aktualisierte COSO-Modell einen ganzheitlichen Risikomanagement-Ansatz mit einem besonderen Augenmerk auf performance- und entscheidungsorientierte Gesichtspunkte. Risikomanagement wird dadurch stärker als iterativer Prozess verstanden, den es in die Strategieplanung, Organisationsstruktur und tägliche Management-Praxis zu integrieren gilt.

Enterprise Risk Management
Quelle: Enterprise Risk Management – Integrating with Strategy and Performance, © 2017 Committee of Sponsoring Organizations of the Treadway Commission (COSO). Für eine vergrößerte Ansicht klicken.

Das COSO-Modell formuliert fünf miteinander eng verbundene Komponenten, die wiederum jeweils eine Reihe von Prinzipien vereinen und mit dem Prozess der Strategieentwicklung, -formulierung und -umsetzung verwebt werden. Zu den fünf Komponenten gehören beispielsweise die folgenden Prinzipien:

Komponente 1: „Governance & Culture“ mit Prinzipien wie z.B. der Risikoberatung und -überwachung durch den Aufsichtsrat sowie die Einbindung des Risikomanagements in Unternehmenswerte, -strukturen und -kultur;

Komponente 2: „Strategy & Objective-Setting“ mit Prinzipien wie etwa der Bestimmung des Risikoappetits oder dem Zusammenhang von Risiken mit der Formulierung und Evaluierung strategischer Optionen;

Komponente 3: „Performance“ mit Prinzipien wie z.B. der Identifizierung und Priorisierung zentraler Risiken sowie der risikoorientierten Bewertung des Strategieportfolio;

Komponente 4: „Review & Revision“ mit Prinzipien wie etwa der Überwachung des Zusammenhangs von Risiko und Performance sowie der konsequenten Weiterentwicklung des Risikomanagement-Systems;

Komponente 5: „Information, Communication & Reporting“ mit Prinzipien wie z.B. der Verbindung von Strategie, Risikomanagement und Informationstechnologie sowie der Kommunikation und Berichterstattung von Wirkung und Ursachen.

Bei konsequenter Verfolgung und Beachtung der Prinzipien verspricht das COSO-Modell eine konsequente Einbindung des Risikomanagement-Systems in die verschiedenen Facetten der strategischen Unternehmensführung.

 

Ein Blick in die aktuelle Risikomanagement-Praxis

Das COSO-Modell bietet einen Rahmen zur stärkeren Verzahnung von Unternehmensstrategie und den Anforderungen an ein effektives Risikomanagement. Auch der Prüfungsstandard des Instituts der Wirtschaftsprüfer (IDW) zur Prüfung von Risikomanagementsystemen (IDW PS 981) stellt neben den operativen auch die strategischen Unternehmensrisiken in den Mittelpunkt. Ein aktueller Blick in die Praxis bestätigt diese Sichtweise: Die Deloitte-Benchmarkstudie zur Umsetzung von Risikomanagement-Anforderungen aus dem Jahr 2022 zeigt, dass bereits heute rund 95 Prozent aller befragten Unternehmen über ein institutionalisiertes Risikomanagement-System verfügen; bei rund 90 Prozent der Unternehmen wird das Risikomanagement-System unternehmensweit eingebunden. Die Studie verweist allerdings auch darauf, dass bei rund 70 Prozent keine oder in der Regel keine Einbindung des Risikomanagement-Systems in die Vorbereitung von strategischen Entscheidungen des Vorstands stattfindet. Insbesondere die Abstimmung zwischen Strategieplanungs- und Risikomanagement-Verantwortlichen erweist sich damit häufig als verbesserungswürdig. 

Was Unternehmen jetzt verbessern können

Eine Parallelität von Risikoidentifikation/ -aktualisierung und Strategieplanung, wie auch im Rahmen des COSO-Modells sowie dem PS 981 angedacht, stellt einen unverzichtbaren Bestandteil erfolgreicher Unternehmensführung dar. In vielen Unternehmen steckt die Integration von Risikomanagement und Strategieplanung aber noch zu häufig in den Kinderschuhen. Für die Unternehmensleitung bietet es sich somit an, das Risikomanagement stärker als Business Partner wahrzunehmen. Nachhaltige Wertschöpfung kann in diesem Sinn dann geschaffen werden, wenn das Risikomanagement nicht nur für das Tagesgeschäft, sondern auch als Sparringspartner des Managements genutzt wird.

Fanden Sie diese Information hilfreich?
Bilanzierung nach IFRS 17

Neues Poster in deutscher und englischer Sprache – Überblick zu den wichtigsten Vorschriften

The Future of Compliance 2023

Mit Key Performance Indicators zur Zielerreichung?