Empfehlungen für die Gestaltung und Umsetzung in der Praxis

Erfolgreiches Risikomanagement mit COSO ERM


Rezension

Schlechtes oder gar kein Risikomanagement kostet häufig die Unternehmensexistenz, so der Autor in seinem Vorwort. Leider wird in vielen Unternehmen Risikomanagement lediglich als gesetzliche Pflichterfüllung betrachtet. Der Nutzen wird dabei nicht erkannt, sodass häufig das Ziel verfolgt wird, die regulatorischen Anforderungen an das Risikomanagement mit minimalem Aufwand zu erfüllen. Ein solcher Ansatz führt dazu, dass Risikomanagement zu einem reinen Kostenfaktor wird.

Das Buch "Erfolgreiches Risikomanagement mit COSO ERM" beschäftigt sich weniger mit einer rein regulatorischen Umsetzung, sondern konzentriert sich vor allem auf die ökonomischen Vorteile eines gelebten Risikomanagements. Dabei ist das Buch mehr als eine Übersetzung des englischsprachigen COSO-ERM-Rahmenmodells. Vielmehr erfolgt eine zusammenfassende, überblicksartige Darstellung dieses Rahmenmodells, die um praktische Methoden, Umsetzungshilfen und Praxisbeispiele ergänzt wird. Das Buch richtet sich an Praktiker, die ein unternehmensweites Risikomanagementsystem neu konzipieren und umsetzen möchten.

Das COSO (Committee of Sponsoring Organizations of the Treadway Commission) ist eine freiwillige privatwirtschaftliche Organisation, die helfen soll, Finanzberichterstattung durch ethisches Handeln, wirksame interne Kontrollen und gute Unternehmensführung qualitativ zu verbessern. COSO wurde im Jahr 1985 als Plattform für die "National Commission on Fraudulent Financial Reporting" (Treadway Commission) gegründet. COSO veröffentlichte im Jahr 1992 einen von der SEC anerkannten Standard für interne Kontrollen (COSO IC). Dieses COSO-Modell bzw. Kontrollmodell dient der Dokumentation, Analyse und Gestaltung des internen Kontrollsystems, beschränkt sich allerdings stark auf die Finanzberichterstattung.

Daher wurde im Jahr 2004 eine Ergänzung zum ursprünglichen Modell, das COSO ERM Framework (Enterprise Risk Management Framework) veröffentlicht. Das COSO ERM fügte zum COSO-IC-Modell (Überwachung, Information und Kommunikation, Kontrollaktivitäten, Risikobeurteilung, Kontrollumfeld) die Elemente Zielsetzung, Ereignisidentifikation, Risikobeurteilung und Risikoreaktion hinzu.

Insgesamt liefert der Autor mit seinem Buch eine kompakte und gut lesbare Einführung in die Welt von COSO ERM. Schade ist, dass der Autor einige Fehler der ONR 49002-2:2008 übernimmt. Bei der semi-quantitativen Beurteilung der Eintrittswahrscheinlichkeit  folgt die ONR einem weit verbreiteten Irrtum (siehe Tabelle A.2). Bei der Umrechnung der erwarteten Wartezeit w auf die Eintrittswahrscheinlichkeit p, folgt die ONR der Logik p = 1/w. Dies führt für w <= 1 zu unsinnigen Ergebnissen. Der Autor hätte diesen Fehler gemerkt, wenn er auch eine Wartezeit von einmal in 6 Monaten aufgeführt hätte. Für die Umrechnung benötigt man weitere Annahmen. Bei konstanter Hazard Rate ist die Umrechnung p = 1 - exp(-1/w). Also w = 1 -> p = 63 Prozent; w = 3 -> p = 28 Prozent, w = 30 -> p = 3,28 Prozent, w = 100 -> p = 0,995 Prozent
Erst für w gegen unendlich geht p gegen 1/w. Umgekehrt geht für p gegen 1 die Wartezeit gegen 0 (und nicht gegen ein Jahr). Was häufig und was "unwahrscheinlich" ist, ist damit auch gar nicht festgelegt. Eine Eintrittswahrscheinlichkeit von p = ein Prozent ist im Kreditrisiko schon weit im Speculative Grade. Investment Grade endet bei 0,22 Prozent bzw. 0,35 Prozent.

Trotz dieser kleinen Schwächen kann das Buch allen Praktikern empfohlen werden, die sich einführend mit Risikomanagement im Allgemeinen bzw. COSO ERM im Speziellen beschäftigen möchten.

Rezension von Frank Romeike

Kommentare zu diesem Beitrag

Christian /11.12.2009 21:34
Seit der Veröffentlichung von Internal Control - Integrated Framework (COSO I) in 1992 und nicht zuletzt durch den Sarbanes Oxley Act hat sich COSO zu einem weltweiten Best-Practice-Rahmenwerk entwickelt. Die Erweiterung zu einem Enterprise Risk Management Framework (COSO II) in 2004 soll branchenübergreifend Unternehmen darin unterstützen, ein unternehmensweites Risikomanagementsystem zu etablieren. Christian Brünger liefert in seinem Buch Ansätze zur Implementierung eines Risikomanagementsystems mit mit Hilfe von COSO II und das erstmals in deutscher Sprache.

Hierzu werden, nach einer kurzen Einführung, Umsetzungshinweise für alle acht COSO-Komponenten mit entsprechenden Praxisbeispielen gegeben. Gerade diese Praxisbeispiele geben einen sehr guten Einstieg in das Thema Risikomanagement und eine Übersicht wie andere Unternehmen jeweils hiermit umgehen. So werden zum Thema Internes Unternehmensumfeld Beispiele der Risikomanagement-Philosophie und Verhaltenskodizes verschiedener Unternehmen aufgezeigt sowie Beispiele, wie durch eine Mitarbeiterbefragung Ausprägungen der Unternehmenskultur untersucht werden können. Im Rahmen der Ereignisidentifikation werden Beispiele von Ereignisinventaren sowie Möglichkeiten der Identifikation aufgezeigt. Techniken der Risikobeurteilung werden ebenso erläutert, wie die Risikohandhabung, Kontrollaktivitäten, Informationsmöglichkeiten als auch Ansätze zur Überwachung. Das Buch schließt mit einer Darstellung der Grenzen eines unternehmensweiten Risikomanagements.

Es werden verschiedene Risikomanagementtechniken jeweils in der von COSO vorgegebenen Systematik vorgestellt, was einen guten Überblick gibt. Diese umfassenden Darstellungen haben allerdings auch zum Nachteil, dass es teilweise an Tiefe mangelt. Dieser Mangel hätte durch weiterreichende Literaturangaben gelindert werden können, mit Hilfe derer sich der geneigte Leser tiefer in die jeweilige Thematik einarbeiten kann. Leider werden Literaturangaben sehr spärlich eingesetzt. Wir empfehlen daher das Buch als Einstieg in die COSO Methodik und in ein systematisches Risikomanagement. Darüber hinausgehende neue Erkenntnisse sollten nicht erwartet werden.

Details zur Publikation

Autor: Christian Brünger
Seitenanzahl: 251
Verlag: Erich Schmidt Verlag
Erscheinungsort: Berlin
Erscheinungsdatum: 2009

RiskNET Rating:

Praxisbezug
Inhalt
Verständlichkeit

sehr gut Gesamtbewertung

Risk Academy

The seminars of the RiskAcademy® focus on methods and instruments for evolutionary and revolutionary ways in risk management.

More Information
Newsletter

The newsletter RiskNEWS informs about developments in risk management, current book publications as well as events.

Register now
Solution provider

Are you looking for a software solution or a service provider in the field of risk management, GRC, ICS or ISMS?

Find a solution provider
Ihre Daten werden selbstverständlich vertraulich behandelt und nicht an Dritte weitergegeben. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.