Читать книгу Tax Compliance - Markus Brinkmann - Страница 110

48

Wie unter Rn. 31 ff. dargestellt, wird unter einem Risikomanagementsystem eine Reihe von Komponenten bezeichnet, welche die Grundlagen und die organisatorischen Regelungen für die Entwicklung, die Implementierung, die Überwachung und die Verbesserung des Risikomanagements organisationsübergreifend abbilden.[63]

49

Die Grundvoraussetzung für die Etablierung und Aufrechterhaltung eines effektiven Risikomanagements ist ein starkes und nachhaltiges Bekenntnis des Managements. Zu diesem Zweck sollte das Management die Grundsätze des Risikomanagements definieren, vorgeben und durchsetzen. Dabei sind die Grundsätze des Risikomanagements insbesondere an der Unternehmenskultur zu orientieren. Zudem sollten die Ziele des Risikomanagements auf die operativen Unternehmensziele und die Unternehmensstrategie abgestimmt sein. Als Rahmenbedingungen für ein wirksames Risikomanagement sind zudem Zuständigkeiten und Verantwortlichkeiten durch das Management zuzuweisen und ausreichend Ressourcen für das Risikomanagement bereitzustellen.[64]

50

Für die Entwicklung und Implementierung eines Risikomanagementsystems in einer Organisation ist es erforderlich, zunächst die externen und internen Rahmenbedingungen zu erheben und zu verstehen. Die Analyse der externen Rahmenbedingungen sollte insbesondere das soziale und kulturelle, politische, rechtliche und regulatorische, finanzielle, technologische und das ökonomische Umfeld berücksichtigen. Zudem sollten die wesentlichen Treiber und Entwicklungen mit Einfluss auf die Unternehmensziele sowie die Beziehungen mit externen Stakeholdern und deren Sichtweisen und Werte bedacht werden. Die Analyse der internen Rahmenbedingungen sollte insbesondere die Leitungsstruktur, die organisatorische Struktur inkl. Funktionen und Verantwortlichkeiten, die Grundsätze und Ziele der Organisation sowie die implementierten Strategien zur Zielerreichung, die Unternehmenskultur, vorhandene Ressourcen und Know-how sowie das vorhandene Informationssystem und die implementierten Entscheidungswege bzw. -prozesse berücksichtigen.[65]

51

Basierend auf den aus der Umfeldanalyse gewonnenen Erkenntnissen hat das Management die Richtlinie für das Risikomanagement zu erstellen. Diese sollte die Ziele des Unternehmens innerhalb des Risikomanagements und das Bekenntnis zum Risikomanagement klar und deutlich darlegen. Gegenstand der Richtlinie sollten u.a. die Gründe für die Einrichtung eines Risikomanagements, die Zusammenhänge zwischen den Unternehmenszielen und -richtlinien sowie der Richtlinie für das Risikomanagement, die Zuständigkeiten und Verantwortlichkeiten innerhalb des Risikomanagements, das Bekenntnis zur Bereitstellung der erforderlichen Ressourcen und zur kontinuierlichen Überprüfung und Verbesserung der Risikogrundsätze und des Risikomanagementsystems sowie die Art und Weise, wie die Leistung des Risikomanagements bewertet und darüber berichtet wird, sein.[66]

52

Für die wirksame Implementierung und Aufrechterhaltung des Risikomanagementsystems ist zudem bedeutend, dass entsprechende Verantwortlichkeiten vergeben werden und die Risikoeigner bzw. Risikomanager über angemessene Autorität und Kompetenzen verfügen. Damit kommt der Bestimmung der geeigneten Personen als Risikoeigner bzw. Risikomanager eine entscheidende Bedeutung zu. Aber auch die Zuweisung von weiteren Verantwortlichkeiten für den Risikomanagementprozess an Personen anderer Funktionen und Ebenen der Organisation sind für die Wirksamkeit und Wirtschaftlichkeit der Kontrollen bedeutend.[67] Des Weiteren ist es für die Gewährleistung der Wirksamkeit des Risikomanagements bedeutsam, dass das Risikomanagement in die betrieblichen Prozesse eingebettet wird. Nur wenn die Risikomanagementprozesse in die operativen Prozesse der Organisation integriert sind, können sie effektiv und effizient sein. Zudem sollte das Risikomanagement bei der operativen und strategischen Planung und im Change Management-Prozess berücksichtigt werden.[68] Ein weiterer Baustein für eine erfolgreiche Implementierung und Aufrechterhaltung des Risikomanagementsystems stellt die Bereitstellung angemessener Ressourcen dar. Besondere Bedeutung kommt dabei der Auswahl der mit dem Risikomanagement befassten Personen, insbesondere hinsichtlich Fähigkeiten, Erfahrung und Kompetenz zu. Zudem sollte sichergestellt werden, dass für jede Stufe des Risikomanagementprozesses ausreichend Ressourcen vorhanden sind.[69]

53

Die Etablierung von internen und externen Kommunikationswegen und Berichtsverfahren stellt ebenfalls eine wesentliche Komponente des Risikomanagementsystems dar. Die internen Kommunikationswege und Berichtsverfahren sollen zum einen dafür sorgen, dass die wesentlichen Komponenten des Risikomanagementsystems, sein Wirksamkeitsgrad und die sich aus dem System ergebenden Erkenntnisse angemessen kommuniziert werden. Zum anderen soll sichergestellt werden, dass für das Risikomanagement relevante Informationen auf einem angemessenen Niveau und zeitgerecht bereitstehen.[70] Die externen Kommunikationswege und Berichtsverfahren sollen zum einen für einen effektiven Informationsaustauch mit externen Stakeholdern, beispielsweise auch in Krisensituationen, sorgen. Zum anderen sollen sie die Einhaltung der rechtlichen, regulatorischen und Governance-spezifischen Anforderungen gewährleisten.[71] Dabei sollen die relevanten Informationen durch entsprechende Prozesse aus einer Vielzahl von Quellen unter Beachtung der Sensibilität der Informationen verdichtet werden.[72]

54

Um nach der Implementierung des Risikomanagementsystems seine fortwährende Wirksamkeit sicherzustellen, ist eine regelmäßige Überprüfung (Review) und Kontrolle (Monitoring) des Systems durchzuführen. Dies kann beispielsweise durch die regelmäßige Überprüfung von Risikokennzahlen sowie des Fortschritts oder der Abweichung von der Planung erfolgen. Daneben sollte überprüft werden, inwieweit die Grundsätze des Risikomanagements und die Risikomanagement-Richtlinie eingehalten werden.[73] Auf Basis dieser Überprüfungs- und Kontrollaktivitäten sollen Verbesserungsmaßnahmen hinsichtlich des Risikomanagementsystems, der Richtlinie und der Planung umgesetzt werden, um das Niveau des Risikomanagements und der Risikomanagementkultur der Organisation kontinuierlich zu erhöhen.[74]