Читать книгу Tax Compliance - Markus Brinkmann - Страница 111

55

Die Hauptkomponente des Risikomanagementprozesses stellt die Risikobeurteilung dar, welche aus den Elementen Risikoidentifikation, Risikoanalyse und Risikobewertung besteht. Während der Risikostrategie im RMS eine übergeordnete Funktion zukommt, die im Wesentlichen die Aufgaben und Ziele des Risikomanagements festlegt, stellt der Risikomanagementprozess den operativen Teil des Risikomanagementsystems dar. Im Rahmen der Risikoidentifikation sollen Unternehmen Risikoquellen, deren Wirkungsbereich, potentielle Ereignisse und deren Ursachen und mögliche Auswirkungen ermitteln. Dabei sollte eine möglichst umfassende Liste von Risiken, die das Erreichen der festgelegten Ziele negativ beeinflussen können, erstellt werden. Die Vollständigkeit der Risikoliste ist von hoher Bedeutung, da nicht identifizierte Risiken im weiteren Risikomanagementprozess – insbesondere der Risikoanalyse – nicht weiter berücksichtigt werden können. Daher sind sämtliche potentiellen Risiken – ganz gleich ob der Ursprung im Einflussbereich des Unternehmens liegt – bei der Ermittlung zu berücksichtigen.[75]

56

Der Prozess der Risikoanalyse soll dazu dienen, ein Verständnis von den Risiken des Unternehmens zu erhalten. Die Risikoanalyse ist die Grundlage für die Risikobewertung und die daraus abzuleitende Risikosteuerung. Die Risikoanalyse umfasst die Betrachtung der Ursachen und Quellen von Risiken, ihre positiven und negativen Auswirkungen sowie der Wahrscheinlichkeit des Eintritts dieser Auswirkungen. Zudem sollten die Faktoren, welche die Auswirkungen und die Eintrittswahrscheinlichkeit beeinflussen, identifiziert werden. Bei der Bestimmung der Auswirkungen und der Eintrittswahrscheinlichkeit sind bestehende Kontrollen und deren Wirksamkeit zu berücksichtigen. Wirksame Kontrollen können sowohl die Auswirkungen als auch die Eintrittswahrscheinlichkeit von Risiken reduzieren. Aus der Kombination von Eintrittswahrscheinlichkeit und Auswirkung ergibt sich der Grad bzw. das Level eines jeweiligen Risikos. Dabei ist jedoch auch zu beachten, dass verschiedene Risiken miteinander zusammenhängen bzw. sich gegenseitig beeinflussen können. Zudem kann die Risikoanalyse durch getroffene Annahmen und die Unsicherheit, Verfügbarkeit, Qualität, den Umfang und die Bedeutung der zugrunde liegenden Informationen sowie von Beschränkungen bei der modellbasierten Ermittlung der Risiken beeinflusst werden. Die Risikoanalyse kann, je nach zugrunde liegendem Risiko, quantitativ, semi-quantitativ oder qualitativ erfolgen. Die Auswirkungen und die Eintrittswahrscheinlichkeit können beispielsweise durch die modellbasierte Erfassung verschiedener Szenarien eines Ereignisses bzw. einer Reihe von Ereignissen oder durch Extrapolation von experimentellen Untersuchungen oder verfügbaren Daten ermittelt werden. Dabei reicht jedoch eine wertmäßige Beschreibung des Risikos manchmal nicht aus, da Risiken auch qualitative Folgen haben können.[76] In der Praxis ist die Verwendung des Erwartungswerts und einer darauf basierten Risikomatrix häufig anzutreffen. Zudem werden auch Szenario-Analysen (z.B. worst case, mid case und best case) oftmals verwendet.

57

Basierend auf der Risikoanalyse wird im Rahmen der Risikobewertung festgelegt, für welche Risiken Maßnahmen zu ergreifen und wie die Prioritäten der verschiedenen Risikomaßnahmen sind. Für die Bestimmung der Priorität und der Art der Maßnahmen ist im Rahmen der Risikobewertung ein Vergleich zwischen den aus der Risikoanalyse resultierenden Ergebnissen und Risikoeinstufungen und den im Rahmen der Strategiesetzung festgelegten Risikokriterien bzw. der Risikoeinstellung des jeweiligen Unternehmens durchzuführen. Damit liefert die Risikobewertung die Entscheidungsgrundlage für die Risikosteuerung.[77]

58

Die wesentliche Aufgabe der Risikosteuerung ist es, eine oder mehrere Maßnahmen, die den Grad bzw. den Level der zu steuernden Risiken ändern können, festzulegen und zu implementieren. Die Risikosteuerung ist als periodischer Prozess zu verstehen, der zunächst die Festlegung und Beurteilung der Maßnahmen sowie des verbleibenden Risikolevels umfasst. Sofern der verbleibende Risikolevel angesichts der Risikoeinstellung nicht akzeptabel ist, ist eine neue Maßnahme zu entwickeln und zu implementieren. Die neue Maßnahme ist sodann ebenfalls einer Wirksamkeitsbeurteilung zu unterziehen. Als Maßnahmen kommt je nach Risiko und Risikoeinstellung eine Vielzahl von möglichen Handlungen in Betracht. Beispielsweise kann eine vollständige Risikovermeidung dadurch erreicht werden, dass die risikobehaftete Aktivität nicht weiter- bzw. durchgeführt wird. Eine Risikoreduzierung kann z.B. durch Maßnahmen zur Entfernung der Risikoquelle oder zur Veränderung der Eintrittswahrscheinlichkeit bzw. der Auswirkung, erzielt werden. Eine Risikoteilung kann durch Maßnahmen zur Einbeziehung weiterer Akteure, z.B. durch Verträge, umgesetzt werden. Daneben stellt zudem die Risikoakzeptanz eine Entscheidungsmöglichkeit für das Unternehmen dar, d.h. das Unternehmen verfolgt die risikobehaftete Aktivität weiter, ohne jegliche Risikosteuerungsmaßnahmen zu treffen.[78] Im Rahmen der Auswahl der Risikosteuerungsmaßnahmen sollte eine Abwägung der Kosten und des Arbeitsaufwands mit dem erzielbaren Nutzen der jeweiligen Maßnahme unter Berücksichtigung der gesetzlichen, regulatorischen und unternehmensinternen Anforderungen erfolgen. Die Auswahl sollte in einem Maßnahmenplan festgehalten werden, welcher klar die einzelnen Maßnahmen sowie deren Priorität festlegt. Zudem sollte der Maßnahmenplan weitere Informationen, wie z.B. die Gründe für die gewählten Maßnahmen (sowie der erwartete Nutzen), die Verantwortlichkeiten für die Umsetzung der Maßnahmen, die erforderlichen Ressourcen, messbare Leistungsindikatoren, Berichterstattungs- und Monitoringanforderungen sowie die Zeitplanung, beinhalten.[79]

59

Die Wirksamkeit und Wirtschaftlichkeit des Risikomanagementprozesses und der Risikosteuerung sollten einer Überwachung (Monitoring) und Überprüfung (Review) unterliegen, die in einem regelmäßigen Turnus oder einzelfallbezogen erfolgen können. Es ist erforderlich, dass die Verantwortlichkeiten für den Überwachungsprozess klar festgelegt sind. Die Ziele des Überwachungsprozesses sind insbesondere die Gewährleistung, dass sämtliche Kontrollen und Maßnahmen wirksam und leistungsfähig sind, Informationen zur Verbesserung des Risikomanagements erhalten werden (insbesondere aus Fehlern und negativen Ereignissen), Veränderungen der externen und internen Rahmenbedingungen sowie der Risikoeinstellung und des zugrunde liegenden Risikos erkannt sowie neu entstehende Risiken identifiziert werden. Um diese Ziele zu erreichen, sollte der Überwachungsprozess daher alle Aspekte des Risikomanagementprozesses bzw. des Risikomanagementsystems umfassen. Die Ergebnisse des Überwachungsprozesses sollten insbesondere in die interne Berichterstattung aufgenommen werden, damit diese dem Management als Informationen, insbesondere für den Verbesserungsprozess, vorliegen.[80] Daneben sollte eine angemessene Dokumentation des Risikomanagementprozesses vorgenommen werden, um die Durchführung von Risikomanagementaktivitäten nachweisen zu können.[81]

60

Wie vorstehend bereits dargestellt, sollten die Ergebnisse des Risikomanagementprozesses und der Risikoüberwachung in die Risikoberichterstattung eingehen, welche die Informationsbasis für die Anpassung oder Fortentwicklung der Unternehmens- und Risikostrategie darstellt. Zusammenfassend zeigt sich somit, dass das RMS ein geschlossener Kreislauf ist, welcher sich kontinuierlich fortentwickelt und auf die Bewältigung von Risiken auf Basis von Informationen und der Risikoneigung des jeweiligen Unternehmens abzielt.[82]