1. Risikomanagement-Systeme (RMS) in der Praxis... 2

Transkript

1 Wirtschaftsprüfungs- und Steuerberatungsgesellschaft FACHINFORMATION 1. Risikomanagement-Systeme (RMS) in der Praxis Bestandteile, Nutzen und Aufbau eines IKS Vom IKS zum RMS Der Risikomanagementprozess... 8 Verfasser: Mag. Dr. Anton Schmidl ist Steuerberater und Wirtschaftsprüfer, geschäftsführender Gesellschafter der SOT Süd-Ost Treuhand GmbH und Mitglied des Fachsenats für Unternehmensrecht und Revision der Kammer der Wirtschaftstreuhänder sowie Universitätslektor an der Alpe Adria Universität Klagenfurt und an der WU Wien. DI Dr. Peter Schmidl: CMC, Certified Management Consultant, Projektmanager bei SOT Unternehmensberatung GmbH für Sanierungs-, Restrukturierungs- und Change Management Projekte mit einem besonderen Fokus auf Risikomanagement-Systeme, Geschäftsführer eines Kleinunternehmens 1

2 Hinweis: Wir haben die vorliegende Fachinformation mit größtmöglicher Sorgfalt erstellt, bitten aber um Verständnis dafür, dass sie weder eine persönliche Beratung ersetzen kann noch dass wir irgendeine Haftung für deren Inhalt übernehmen können. 1. Risikomanagement-Systeme (RMS) in der Praxis Unternehmerisches Handeln bedeutet Risiko, und Risiko erfordert eine entsprechende Kontrolle und Steuerung. Nicht nur die Grundsätze einer ordnungsgemäßen Unternehmensführung, sondern auch konkrete gesetzliche Vorgaben verpflichten die Unternehmensleitung zur Einrichtung eines sogenannten Internen Kontrollsystems (IKS) und eines Risikomanagement-Systems (RMS). Diese sind daher aus dem Geschäftsalltag von Unternehmen längst nicht mehr wegzudenken. Im Zuge der großen Bilanzskandale in den USA zu Beginn der 2000er Jahre und der spektakulären Pleiten von Großunternehmen, gewann das Thema Internes Kontrollsystem immer mehr an Bedeutung. Seit dem 30. Juli 2002 ist in den USA der so genannte Sarbanes-Oxley Act (SOX) in Kraft. Ziel des SOX war in den USA die Wiederherstellung des Vertrauens der Investoren in die Kapitalmärkte nach den zahlreichen Bilanzskandalen in US amerikanischen Unternehmen. In den SOX wird die Unternehmensleitung konkret verpflichtet, ein wirksames IKS einzurichten und dessen Wirksamkeit umfassend zu dokumentieren. Zusätzlich übernimmt der Chief Executive Officer (CEO) und der Chief Financial Officer (CFO) auch eine persönliche Verantwortung für die erstellten Berichte. So wurde ein einheitliches Konzept zuerst in den USA entwickelt und dieses Konzept wurde dann in Deutschland und schließlich auch in Österreich in den einschlägigen Normen übernommen. Neben den oben zitierten SOX, welche für börsenotierte Unternehmen gelten, wurden zudem auch Richtlinien für kleine und mittelständische Unternehmen geschaffen, welche sich aus den Regelungen für kapitalmarktorientierte Unternehmen ableiten, aber Vereinfachungen und Erleichterungen beinhalten. Die Einrichtung eines IKS wird von verschiedenen Gesetzen gefordert. 82 AktG und 22 GmbHG verpflichten zur Führung eines IKS, 243a Abs. 2 UGB erfordert bei börsenotierten Aktiengesellschaften Angaben zum IKS und RMS im Lagebericht, und 273 Abs. 2 UGB schreibt eine unverzügliche Redepflicht des Abschlussprüfers bei wesentlichen Schwächen der internen Kontrolle vor Bestandteile, Nutzen und Aufbau eines IKS Interne Kontrollsysteme (IKS) bilden eine wichtige Grundlage für die Überwachung der Einhaltung (Compliance) von Richtlinien, Verordnungen und Gesetzen. Sie dienen damit der Sicherheit insbesondere in Bezug auf die Prozesse. Ein internes Kontrollsystem (IKS) beinhaltet alle vom Management eines Unternehmens eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen), die die organisatorische Umsetzung von Entscheidungen des Managements ermöglichen und begleiten sollen. Dabei geht es vor allem um drei Ziele: Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätigkeit sowie der Schutz des Vermögens und die Aufdeckung von Vermögensschädigungen Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung Einhaltung der für das Unternehmen maßgeblichen rechtlichen Vorschriften 2

3 Einhaltung rechtlicher Vorschriften Verlässlichkeit Rechnungswesen Sicherung der Wirtschaftlichkeit Ziele eines IKS Ein IKS ist also nicht nur auf die bloße Rechnungslegung beschränkt, sondern es geht vielmehr um alle wesentlichen Geschäftsprozesse im Unternehmen. Ein IKS hat folgende Bestandteile: Regelungen zur Steuerung der Unternehmensaktivität (internes Steuerungssystem) Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem) Steuerungs- system Überwachungs- system Bestandteile eines IKS Trotz aller Sorgfalt und auch bei einer sachgerechten Gestaltung des IKS hat ein solches auch seine Grenzen: Menschliche Fehlleistungen zb in Folge von Nachlässigkeit, Ablenkung, Beurteilungsfehlern und Missverständnissen Nicht routinemäßige Geschäftsvorfälle, die vom IKS nur bedingt, schwer oder überhaupt nicht erfasst werden können Umgehung oder Außerkraftsetzung des IKS durch das Management, andere Mitarbeiter oder durch das Zusammenwirken dieser Personen mit unternehmensexternen Personen (Fraud, Management Override) Missbrauch oder die Vernachlässigung der Verantwortung durch verantwortliche Personen Zeitweise Unwirksamkeit des IKS aufgrund veränderter Unternehmens- und Umweltbedingungen Verzicht des Managements auf bestimmte Maßnahmen, weil die Kosten dafür höher eingeschätzt werden als der erwartete Nutzen Für den konkreten Aufbau eines IKS im Unternehmen hat sich der sogenannte COSO-Würfel als sehr gutes Hilfsmittel durchgesetzt. COSO ist die Abkürzung für Committee of Sponsoring Organizations of the Treadway Commission. COSO ist eine Organisation, welche in den 1980er Jahren in den USA gegründet wurde und bereits erstmals im Jahr 1992 einen Vorschlag für die Ausgestaltung eines IKS gemacht hat. Der COSO Würfel besteht aus drei Dimensionen: 3

4 2.Dimension 1. Erste Dimension Ziele des IKS: 1.1. Betrieblich - Effektivität und Effizienz der Geschäftsprozesse 1.2. Berichterstattung Verlässlichkeit der finanziellen Berichterstattung 1.3. Regeleinhaltung Einhaltung der gültigen Gesetze und Vorschriften 2. Zweite Dimension Komponenten den IKS: 2.1. Kontrollumfeld 2.2. Risikobeurteilung (= Risikoanalyse und Risikobewertung) 2.3. Kontrollaktivitäten 2.4. Information und Kommunikation 2.5. Überwachung 3. Dritte Dimension Geschäftsbereiche Kontrollumfeld Risikobeurteilung Kontrollaktivität Information und Kommunikation Geschäftsbereich 3 Geschäftsbereich 2 Geschäftsbereich 3 Überwachung Aufbau eines IKS (Coso-Würfel) Jedes Unternehmen verfügt über ein IKS. Je nach Branche, Unternehmensgröße und wichtige Unternehmensprozesse ist die Ausgestaltung der IKS sehr unterschiedlich. Wesentlich bei der Einführung bzw. Verbesserung des IKS ist seine Wirksamkeit. Um die Wirksamkeit eines IKS im eigenen Unternehmen feststellen zu können, eignen sich Fragen, welche in Bezug auf das eigene IKS beantwortet werden. Auf Grundlage dieser Fragen kann jedes Unternehmen sich selbst ein Bild machen, wo das eigene IKS Schwachstellen hat und damit Nachholbedarf besteht. Untenstehende Aufstellung zeigt Fragestellungen in Bezug auf die Wirksamkeit des eigenen IKS, welche nach den fünf Komponenten der 2. Dimension des COSO-Würfel gegliedert sind. 1. Kontrollumfeld a. Integrität und ethische Werte Sind Integrität und ethische Werte ein wesentlicher Bestandteil der Unternehmenskultur? Gibt es einen Verhaltenskodex hinsichtlich ethischer und moralischer Grundsätze? Gibt es Diskussionen über ethisches und moralisches Verhalten und über potentielles Fehlverhalten in diversen Sitzungen? 4

5 Gibt es Strafen für Fehlverhalten? b. Bekenntnis zur fachlichen Kompetenz Verfügt das Unternehmen über Wissen und Fähigkeiten um kritische Aufgaben zu erfüllen? Gibt es Stellenbeschreibungen? Gibt es Fortbildungsmaßnahmen? Sind qualifizierte Mitarbeiter mit der Überwachung von Arbeiten externer Dritter betraut? c. Überwachungstätigkeit des Überwachungsorgans Ist das Überwachungsorgan (zb Gesellschafterversammlung) vom Management ausreichend unabhängig? Gewährleistet das Überwachungsorgan ein effektives Kontrollumfeld? d. Philosophie und Geschäftsgebaren des Managements Haben Mitarbeiter ein gutes Gefühl beim Herantragen von Problemen an das Management? Herrscht Kontinuität bei Schlüsselpositionen? Ist das Management bei der Entwicklung und Genehmigung von Entscheidungen gewissenhaft? e. Organisationsstruktur Hat das Unternehmen eine leistungsfähige und verständliche Organisationsstruktur? Hat das Unternehmen eine ausreichende Anzahl an qualifizierten Mitarbeitern? f. Zuordnung von Weisungsrechten und Verantwortung Verstehen Mitarbeiter ihre Rolle und Verantwortlichkeiten? Strebt das Unternehmen eine Funktionstrennung an um Interessenkonflikte zu vermeiden? g. Grundsätze der Personalpolitik 2. Risikobeurteilung a. Zielsetzung Gibt es eine klar definierte Personalpolitik zu Einstellung, Erhalt, Weiterentwicklung und Vergütung kompetenter Mitarbeiter? Gibt es unternehmensweite Zielsetzungen? Hat das Unternehmen einen strategischen Plan und Budgets? Hat das Unternehmen Ziele auf Prozessebene festgelegt? b. Identifikation von Risiken auf Unternehmens- und Prozessebene Hat das Management einen effektiven Prozess um Risiken der Zielerreichung zu identifizieren, die aus externen Quellen resultieren (zb Lieferanten, etc.)? Verfügt das Management über einen effektiven Prozess um Risiken der Zielerreichung aus internen Quellen zu identifizieren (zb Personal, etc)? c. Beurteilung von Risiken auf Unternehmens- und Prozessebene Hat das Management einen effektiven Prozess zu Risikoeinschätzung von Unternehmensund Prozessrisiken? d. Veränderungsmanagement 5

6 Hat das Unternehmen einen Mechanismus um Veränderungen zu erkennen und darauf zu reagieren? 3. Kontrollaktivitäten a. Einbindung in die Risikobeurteilung Hat das Unternehmen einen effektiven Prozess zur Entwicklung ausführbarer Maßnahmenpläne, welche die bereits beurteilten Risiken betreffen? b. Regelungen und Verfahren Gibt es im Unternehmen Planungsprozesse und eine Verantwortlichkeit für die Überwachung von Budgets? c. Informationstechnologie Sind im Unternehmen IT Kontrollen sachgerecht entwickelt? d. Vorhandene Kontrollprozesse Gibt es im Unternehmen Kontrollaktivitäten für Maßnahmen zur Verminderung von Risiken? Werden Mitarbeiter ermutigt Vorschläge zur Verbesserung von Kontrollaktivitäten zu machen? 4. Information und Kommunikation a. Zeitnahe, zuverlässige und relevante Informationen Steht das Management hinter der finanziellen Berichterstattung und wird diese zeitnah zur Verfügung gestellt? Werden dem Management Informationen über wichtige Bilanzposten (zb Forderungen) regelmäßig zur Verfügung gestellt? b. Kommunikation von Informationen an zuständige Personen Gibt das Management relevante und zeitnahe externe und interne Informationen an zuständige Personen weiter? 5. Überwachung a. Laufende Beurteilung Überwacht das Management laufend die Qualität des gesamten IKS durch zb Befragung, Beobachtung, Durchsicht etc.? Werden Beschwerden von Kunden und Lieferanten bearbeitet? Werden Empfehlungen von externen Prüfern zu Verbesserungen an zuständige Personen verteilt und diskutiert und umgesetzt? Werden Berichte von Aufsichtsbehörden an die zuständigen Personen verteilt und von diesen bearbeitet? b. Berichterstattung Werden die Mitglieder des Managements regelmäßig in Besprechungen über den Status von Kontrollaktivitäten informiert? Werden Mitglieder des Überwachungsorgans regelmäßig über den Status von Kontrollaktivitäten informiert? 6

7 2.Dimension 1.2. Vom IKS zum RMS Unternehmerisches Handeln ist ohne ein bestimmtes Risiko nicht möglich. Aus diesem Grunde ist es von Interesse, wie man die betrieblichen Risiken identifizieren, steuern bzw. überwachen kann. Bei all diesen Aktivitäten hilft das Risikomanagement-System RMS. Grundsätzlich ist ein Risiko ein Ereignis oder ein Zustand, der die Erreichung der vom Unternehmen gesteckten Ziele beeinflussen kann. Wenn also zb eine Fabrikhalle durch einen Brand zerstört wird, so können in aller Regel die gesteckten Produktions- und Absatzziele nicht erreicht werden. Bei der Beurteilung von Risiken geht es um die Wahrscheinlichkeit des Eintretens eines Risikos und um die Schadensauswirkung, sofern das Risiko eingetreten ist. Ähnlich wie bei IKS gibt es auch beim RMS gesetzliche Vorschriften, wonach ein Überwachungssystem einzurichten ist, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden können. Diese Regelungen gelten nicht nur für kapitalmarktorientierte Unternehmen, sondern sinngemäß auch für andere Gesellschaftsformen. Die gesetzlichen Vorschriften im Zusammenhang mit RMS gelten ähnlich wie beim Thema IKS. Als Hilfestellung für den Aufbau eines RMS im Unternehmen hat die Organisation COSO im Jahr 2004 ein sogenanntes Enterprise Risk Management (ERM) Framework (COSO II) zur Ausgestaltung eines unternehmensweiten Risikomanagements veröffentlicht. Die untenstehende Grafik zeigt den Aufbau eines IKS nach COSO II. Die hinterlegten Felder sind zusätzliche Komponenten im Vergleich zum IKS-Würfel nach COSO. Kontrollumfeld Zielfestlegung Risikoidentifikation Risikobeurteilung Risikosteuerung Geschäftsbereich 1 Geschäftsbereich 2 Geschäftsbereich 3 Kontrollaktivitäten Information und Kommunikation Überwachung Aufbau eines RMS (Coso II) Die hinterlegten, neu hinzugekommenen Felder haben folgende Bedeutungen: Erste Dimension: o Vorgabe von Zielen durch die strategische Unternehmensführung. 7

8 Zusätzlich zum IKS ist bei den Zielkategorien die Vorgabe von Zielen auf höchster Ebene (strategische Ziele) dazugekommen. Dies bedeutet, dass das RMS auch mit den Werkzeugen der strategischen Unternehmensführung abzustimmen ist. Dies erfolgt bspw. durch die Abstimmung mit strategischen Zielen (zb Umsatzrendite 5 %) bzw. mit den Erkenntnissen aus der SWOT Analyse. Die SWOT-Analyse ist ein Instrument der strategischen Unternehmensführung und zeigt Stärken (Strengths), Schwächen (Weaknesses), Chancen (Oportunities) und Risiken (Threads) eines Unternehmens. Zweite Dimension: o Zielfestlegung in allen vier Zielkategorien Unter Zielfestlegung wird die Festlegung von Zielen auf der strategischen Ebene für alle vier Zielkategorien (strategisch, Geschäftsprozesse, Berichterstattung, Regeleinhaltung) verstanden. o Risikoidentifikation Zur Identifikation von Ereignissen kann die SWOT Analyse herangezogen werden, in welcher Risiken und Chancen analysiert wurden. o Risikosteuerung Risikosteuerung ist mit Risikobewältigung gleichzusetzen Maßnahmen zur Risikosteuerung sind: Risikovermeidung Risikoreduktion Risikoteilung Risikoakzeptanz 1.3. Der Risikomanagementprozess Risikomanagement ist ein dynamischer und sich ständig weiterentwickelnder Vorgang, daher findet die Gesamtheit des unternehmensweiten Risikomanagements im Risikomanagementprozess seine unternehmensindividuelle Anwendung. Der Risikomanagementprozess umfasst sämtliche Tätigkeiten, die darauf ausgerichtet sind, eine Organisation bezüglich Risiken zu steuern und zu überwachen, um in weiterer Folge die risikorelevanten Informationen systematisiert und geordnet an Entscheidungsträger weiterzuleiten, damit rechtzeitig Maßnahmen ergriffen werden können. Im Mittelpunkt stehen dabei nachfolgende Prozessphasen: Risikoidentifikation Risikoanalyse Risikobewertung Risikobewältigung Risiko-Reporting/Risikokommunikation Die Vollständigkeit des Risikomanagements umfasst einen fortlaufenden Prozess, welcher regelmäßig durchgeführt werden muss. Die gewonnenen Daten und Erkenntnisse werden wieder in die Analyseund Bewertungsphase eingearbeitet, wodurch es zu einer Optimierung der Risikosituation in den Unternehmen kommt. 8

9 Act Politik der Organisation Auftrag und Verpflichtung Plan Risiko- management- System Check Do Risiken kommunizieren Informationen austauschen Start Rahmenbedingungen Risiken identifizieren Risiken analysieren Risiken bewerten ja Tragbar? nein Risiken bewältigen Risiken überwachen / überprüfen Ende Ein wirksames Risikomanagement wird von der obersten Unternehmungsleitung unterstützt und gefördert und ist in die Organisation und in ihre Führung integriert. Der organisatorische Handlungsrahmen, innerhalb dessen der Risikomanagementprozess in Unternehmungen integriert wird, ist das Risikomanagement-System, welches die Führungsaufgabe hinsichtlich eines wirkungsgerechten Risikomanagements nach den Schritten Plan-Do-Check-Act gestaltet. Die in der Risikoidentifikationsphase gewonnenen Erkenntnisse/Informationen werden in der Analyse- und Bewertungsphase aufgearbeitet und durch die Risikosteuerung weiterverarbeitet. Die quantifizierten Risiken werden im Prozessschritt der Risikoüberwachung einem Soll-Ist-Vergleich unterzogen und fließen dann wieder in die Identifikationsphase ein. Dabei werden die einzelnen Prozesse durch ein laufendes Risikoreporting begleitet, wodurch eine systematische Risikokommunikation, an alle Risk-Owner bzw. Risikoberichtsempfänger, erfolgen kann. Praktikable Kontrollinstrumente und Reportings tragen dazu bei, dass Abweichungen rechtzeitig erkannt und in laufende Prozesse, frühzeitig, Korrekturmaßnahmen eingeleitet werden können. Wesentlich für den Erfolg sowie die Effektivität und Effizienz des Risikomanagementprozesses ist die Abstimmung dessen mit der Kultur, den Prozessen und Strukturen der Unternehmung. Risikomanagement sollte nicht nur auf operativer Ebene betrieben werden. Strategische Aspekte spielen häufig eine sehr zentrale Rolle. So muss Risikomanagement bereits in der Angebotsbearbeitung beginnen und bildet die Ausgangsbasis für den anschließenden Risikomanagement-Prozess in der Bauausführung und das erforderliche Risiko-Controlling. Im Zuge der Projektabwicklung sind dann die Risiken mit den Instrumenten der Kommunikation, des Controllings, Reportings und der Evaluierung zu verfolgen und zu kontrollieren sowie zu steuern. Risikomanagement wird idealerweise als Regelkreis geplant und umgesetzt. Welche Rolle das Risikomanagement im Unternehmen einnimmt, hängt meist von der Unternehmensgröße, der Art der Projekte und von den Führungskräften ab. Global wird das Unternehmen und lokal werden einzelne Projekte betrachtet. Die Schnittstellen sind dabei klar zu definieren, damit in Abhängigkeit vom Betrachtungsumfang die richtigen Maßnahmen eingeleitet werden. Durch eine professionelle Risikoidentifikation und Risikoanalyse können negative Auswirkungen auf Vermögenswerte eingeschränkt bzw. vermieden werden, Einsparungspotenziale realisiert und nachhaltiges unternehmerisches Handeln betrieben werden. 9