Читать книгу Tax Compliance - Markus Brinkmann - Страница 107

37

Gem. COSO II sollte ein RMS aus acht wechselseitig miteinander verknüpften Komponenten bestehen.[49] Dabei sind die Komponenten (Internes) Kontrollumfeld, Risikobeurteilung, Kontrollaktivitäten, Information und Kommunikation sowie Überwachung gem. COSO I bereits als Bestandteile des internen Kontrollsystems eingeführt worden. Im Rahmen von COSO II werden diese fünf Komponenten um die Komponenten Zielsetzung, Ereignisidentifikation und Risikosteuerung zum Risikomanagementsystem erweitert. Allerdings werden auch der Aufgabenbereich bzw. die Beschreibung der bereits für das IKS erforderlichen Komponenten im Rahmen des Risikomanagementsystems ausgeweitet.

38

Bei der Komponente internes Kontrollumfeld handelt es sich wie in Rn. 8 ff. beschrieben, um die Grundeinstellungen, Verhaltensweisen und den Umgangston innerhalb eines Unternehmens, welche von der Unternehmensleitung vorzugeben („tone from the top“) und vorzuleben (“tone at the top“) sind. Das Kontrollumfeld hat einen maßgeblichen Einfluss auf das Kontrollbewusstsein innerhalb der Unternehmung – insbesondere der Mitarbeiter – und stellt damit zugleich die Basis für die anderen Komponenten des IKS dar. Ergänzend stellt das interne Kontrollumfeld auch die Basis für den Umgang mit Risiken dar, in dem es die Risikoeinstellung bzw. -neigung und die Risikomanagementphilosophie der Unternehmensleitung wiedergibt.[50]

39

Die Komponente Zielsetzung soll gewährleisten, dass das Management einen Prozess zur Bestimmung von Unternehmenszielen, die mit der Unternehmensstrategie und der Risikoneigung abgestimmt sein sollen, implementiert hat. Die Bestimmung von Zielen ist die Basis für die Identifizierung von Risiken und Ereignissen, welche die Zielerreichung beeinträchtigen können.[51]

40

Gegenstand der Komponente Ereignisidentifikation ist die Identifizierung von internen und externen Ereignissen, welche das Erreichen der gesetzten Ziele beeinträchtigen können. Dabei ist zwischen Chancen und Risiken zu unterscheiden und sind Informationen über mögliche Chancen in den Strategie- bzw. Zielsetzungsprozess zurückzuleiten.[52]

41

Die Komponente Risikobeurteilung resultiert aus der Existenz externer und interner Risiken, denen Unternehmen im Rahmen ihrer Geschäftstätigkeit ausgesetzt sind und basiert auf den festgelegten Unternehmenszielen und der Kenntnis der Risikoneigung der Unternehmensleitung. Dabei umfasst die Risikobeurteilung die Identifizierung und Analyse von Risiken, die das Erreichen der definierten Ziele gefährden können, wobei die Analyse der Risiken die Betrachtung von Eintrittswahrscheinlichkeit und Auswirkungen beinhaltet. Auf Basis der Kenntnis der bewerteten Risiken kann das Management die Risiken entsprechend seiner Risikoneigung steuern.[53]

42

Die Komponente Risikosteuerung umfasst die Auswahl der Art und Intensität der Maßnahmen für die einzelnen Risiken auf Basis der Ergebnisse der Risikobeurteilung. Als Risikostrategien kommen die Risikovermeidung, die Risikoreduktion, die Risikoteilung oder die Risikoakzeptanz in Betracht. Im Hinblick auf die verschiedenen Risiken sollten die Strategie und die damit verbundenen Maßnahmen ausgewählt werden, die das jeweilige Risiko mit der Risikoneigung und Risikotragfähigkeit des Unternehmens am besten angleichen.[54]

43

Die Komponente Kontrollaktivitäten steht für die Implementierung von Richtlinien und Verfahrensabläufen im Unternehmen. Ziel der Kontrollaktivitäten im Rahmen des RMS ist es zu gewährleisten, dass die Maßnahmen zur Risikosteuerung wirksam umgesetzt werden. Zudem sollen sie dafür sorgen, dass die Vorgaben der Unternehmensleitung und des Managements umgesetzt werden. Der Implementierung von Kontrollaktivitäten auf allen Ebenen und in allen Funktionsbereichen des Unternehmens kommt dabei eine besondere Bedeutung zu. Kontrollaktivitäten können einen präventiven oder einen aufdeckenden Charakter aufweisen und sowohl aus manuellen als auch aus automatisierten bzw. systemgesteuerten Maßnahmen bestehen. Typische Beispiele für Kontrollaktivitäten sind Berechtigungskonzepte, Genehmigungsverfahren, Abstimmungsarbeiten oder die Analyse von Erfolgskennzahlen.[55]

44

Die Komponente Information und Kommunikation im Rahmen des RMS-Konzepts weist keine wesentlichen Unterschiede bzw. Ergänzungen im Vergleich zum IKS-Konzept auf. Das bedeutet, dass die Aufgabe der Komponente v.a. die Einholung, die Bereitstellung und das Teilen von Informationen ist. Da die zeitgerechte Kommunikation relevanter Information an die zuständigen Personen erforderlich ist, damit die jeweiligen Verantwortlichkeiten innerhalb des RMS sachgerecht ausgeübt werden können, ist es von hoher Bedeutung, dass die Informationsflüsse in sämtliche Richtungen innerhalb der Organisation funktionsfähig sind. Die für die Wirksamkeit des RMS benötigten Informationen können dabei sowohl aus internen als auch aus externen Quellen stammen.[56] Zudem ist die Erstellung von internen Berichten im Hinblick auf den operativen Betrieb, die Berichterstattung und Compliance sowie die Kommunikation mit externen Stakeholdern, wie beispielsweise Kunden, Lieferanten, Gesellschafter bzw. Aktionäre oder auch Gesetzgebern und Aufsichtsbehörden, über das RMS betreffende Sachverhalte wichtig.[57]

45

Die Komponente Überwachung umfasst die Überprüfung und Bewertung der Qualität (Wirksamkeit und Wirtschaftlichkeit) der Gesamtheit des RMS. Überwachungsaktivitäten können dabei als laufende, in die Arbeitsprozesse der verschiedenen Ebenen und Funktionen der Organisation integrierte Maßnahmen, als separate, prozessunabhängige Überprüfungen oder als eine Kombination aus beiden Varianten erfolgen. Sollten im Rahmen der Überwachungstätigkeiten Schwachstellen des RMS zum Vorschein treten, sind diese an das Management zu kommunizieren und Korrekturen vorzunehmen.[58]

46

Die Wirksamkeit und Wirtschaftlichkeit des RMS setzt gem. COSO II die Existenz und Funktionsfähigkeit sämtlicher acht Komponenten voraus. Dabei ist zwar jede Komponente grundsätzlich unabhängig; aufgrund der Vielzahl an Verflechtungen sollen sie jedoch als ganzheitliches, integriertes System zusammenwirken.[59] Je nach Größe und Komplexität der Organisation können die Komponenten unterschiedlich ausgeprägt sein. Für die Funktionsfähigkeit des unternehmensweiten Risikomanagements ist jedoch von Bedeutung, dass jede der Komponenten vorhanden und wirksam ist. Dabei ist das RMS sowohl auf die Gesamtorganisation als auch auf einzelne Geschäftsbereiche, Geschäftseinheiten oder Niederlassungen anwendbar.[60]