Die COSO-Rahmenwerke bieten Denkanstöße und Orientierung für Organisationen bezüglich interner Kontrollen, des unternehmensweiten Risikomanagements (ERM), der Betrugsabwehr und der Governance. Die Einhaltung dieser detaillierten Rahmenwerke kann herausfordernd und komplex sein und ist nicht immer einfach in Geschäftsprozesse zu integrieren. In diesem Blog erörtern wir, wie die Implementierung der richtigen GRC-Software Ihren Weg zur COSO-Konformität in den Bereichen interne Kontrolle und unternehmensweites Risikomanagement optimieren kann. Wir untersuchen die grundlegenden Prinzipien der von COSO bereitgestellten Leitlinien und erklären, wie die Best-Practice-Rahmenwerke, Workflows, Vorlagen und Formulare, die von GRC-Software bereitgestellt werden, Organisationen dabei unterstützen können, im Einklang mit den Leitlinien zu agieren und einen angemessenen Nachweis der Konformität zu erbringen.
Was ist das COSO-Rahmenwerk für interne Kontrollen?
Das Committee of Sponsoring Organizations of the Treadway Commission (COSO) veröffentlichte erstmals 1992 Leitlinien zu internen Kontrollen, und das Rahmenwerk wurde im Mai 2013 überarbeitet und neu herausgegeben, um Unternehmen dabei zu helfen, interne Kontrollen zur Betrugsreduzierung zu konzipieren und zu implementieren. Laut der Association of Certified Fraud Examiners (ACFE) sind schwache oder mangelhafte interne Kontrollen für fast die Hälfte aller Betrugsfälle verantwortlich. Um sicherzustellen, dass sie sich nicht zu einem leichten Ziel für Betrüger machen, entscheiden sich viele Organisationen dafür, das weltweit anerkannte COSO-Modell für interne Kontrollen zu übernehmen, um effektive interne Kontrollen zur Reduzierung von Risiko und Betrug zu gewährleisten.
Das COSO-Rahmenwerk für interne Kontrollen skizziert Anforderungen an ein effektives internes Kontrollsystem, es listet fünf Prinzipien auf und erklärt, wie diese in einen Prozess integriert werden sollten, der Teil der Geschäftsabläufe ist. Robuste interne Kontrollen umfassen die Prozesse, Standards und Strukturen, die helfen, internen Betrug zu erkennen und zu verhindern, einschließlich Richtlinien, ethischer Unternehmenswerte, Organisationsstruktur und des Engagements, kompetente und ethische Mitarbeiter einzustellen, und natürlich die robuste Überprüfung von Betriebs- und Transaktionsdaten.
Das COSO-Rahmenwerk besteht aus fünf miteinander verbundenen Komponenten:
Kontrollumfeld: Diese Komponente gibt den Ton an der Spitze der Organisation vor und legt die Grundlage für die interne Kontrolle fest. Es umfasst Faktoren wie das Engagement der Führung für Integrität und ethische Werte, die Organisationsstruktur, die Zuweisung von Autorität und Verantwortung sowie die Kultur der Organisation.
Risikobewertung: Organisationen müssen Risiken identifizieren und analysieren, die sie daran hindern könnten, ihre Ziele zu erreichen. Diese Komponente umfasst die Bewertung sowohl interner als auch externer Risiken, die Beurteilung ihrer potenziellen Auswirkungen und die Festlegung, wie sie zu managen oder zu mindern sind.
Kontrollaktivitäten: Kontrollaktivitäten sind die Richtlinien, Verfahren und Praktiken, die Organisationen implementieren, um Risiken zu mindern und ihre Ziele zu erreichen. Diese Aktivitäten können die Trennung von Aufgaben, Genehmigungs-, Freigabe- und Eskalationsprozesse, physische Kontrollen, Informationstechnologiekontrollen, Geschäftsleistungsüberprüfungen und Mitarbeiterschulungen umfassen.
Information und Kommunikation: Effektive interne Kontrollsysteme basieren auf zeitnahen und relevanten Informationen sowie klaren Kommunikationskanälen. Diese Komponente umfasst die Sicherstellung, dass relevante Informationen identifiziert, erfasst und an die richtigen Personen innerhalb der Organisation kommuniziert werden, um fundierte Entscheidungen und Rechenschaftspflicht zu unterstützen.
Überwachungsaktivitäten: Überwachungsaktivitäten sind unerlässlich, um die Wirksamkeit interner Kontrollen im Laufe der Zeit zu beurteilen. Diese Komponente umfasst die fortlaufende Überwachung von Kontrollaktivitäten, regelmäßige Bewertungen der Leistung des internen Kontrollsystems und die Meldung von Mängeln oder Schwachstellen zur Korrektur.
Das COSO-Rahmenwerk für interne Kontrollen ist ein umfassender Ansatz zur Verwaltung interner Kontrollen, der Organisationen hilft, Betrug zu reduzieren und ihre Ziele zu erreichen, während Risiken effektiv gemanagt werden. Das Rahmenwerk ist so konzipiert, dass es in allen Sektoren und Organisationen angewendet werden kann, unabhängig von Größe oder Komplexität.
Was müssen Organisationen tun, um das COSO-Rahmenwerk für interne Kontrollen einzuhalten?
Um das COSO-Rahmenwerk für interne Kontrollen zu implementieren, muss eine Organisation einen systematischen Prozess einleiten, der die folgenden wichtigen Schritte umfasst, die Engagement und Unterstützung vom Vorstand, der Geschäftsleitung und den Mitarbeitern auf allen Ebenen erfordern.
Bewerten Sie ihre bestehenden internen Kontrollsysteme anhand der Komponenten des COSO-Rahmenwerks.
Identifizieren Sie Lücken oder Bereiche für Verbesserungen in ihrem internen Kontrollumfeld, den Kontrollaktivitäten, Informations- und Kommunikationspraktiken sowie Überwachungsmechanismen.
Implementieren Sie Änderungen oder Verbesserungen, um ihre internen Kontrollsysteme an die Prinzipien und Ziele des COSO-Rahmenwerks anzupassen.
Überwachen und bewerten Sie die Wirksamkeit ihrer internen Kontrollsysteme und passen Sie diese bei Bedarf an, um sich entwickelnden Risiken und Veränderungen im Geschäftsumfeld zu begegnen.
Wie kann GRC-Software eine Organisation dabei unterstützen, die COSO-Anforderungen für interne Kontrollen zu erfüllen?
Die Entwicklung eines gut durchdachten internen Kontrollsystems kann ein entmutigender und zeitaufwändiger Prozess sein, und Tabellenkalkulationen sowie manuelle Prozesse mangelt es oft an der erforderlichen Automatisierung und Daten-Governance. GRC-Plattformen bieten sofort einsatzbereite Best-Practice-Rahmenwerke, Vorlagen, Workflows und Formulare, die es Unternehmen ermöglichen, ihre internen Kontrollprozesse im Einklang mit dem COSO-Rahmenwerk für interne Kontrollen zu strukturieren.
GRC-Teams können eine automatisierte Kontrollüberwachung innerhalb der GRC-Plattform einrichten. Die Kontrollüberwachung ermöglicht es Organisationen, Risiken proaktiv zu managen, indem sie Kontrollen auf der Grundlage vordefinierter Regeln verwenden, um Risiken in großen Datensätzen zu erkennen und den relevanten Stakeholder zu benachrichtigen. Von unregelmäßigen Transaktionen und fehlgeschlagenen Kontrollprüfungen bis hin zu Nichteinhaltung und Auditfehlern können potenzielle Risiken und Probleme auf der Grundlage vordefinierter Regeln erkannt werden, und Warnmeldungen werden an Stakeholder gesendet, die es ihnen ermöglichen, die notwendigen Maßnahmen zu ergreifen.
Kontrollen können so eingestellt werden, dass sie Problembereiche in Ihrem gesamten GRC-Programm kennzeichnen, einschließlich verpasster Fristen, Anomalien in Betriebs- und Transaktionsdaten, Budgetüberschreitungen, geschäftskritischer Vorfälle oder wenn KPIs oder Key Risk Indicators (KRIs) unerträgliche Niveaus erreichen. Dieses Maß an Automatisierung erkennt Risiken, die sonst unbemerkt geblieben wären, und bietet eine zusätzliche Sicherheitsebene für Risikoteams.
Darüber hinaus ist die Kontrollüberwachung eine kritische Komponente der SOX-Konformität, da sie es Unternehmen ermöglicht, effektive interne Kontrollen über die Finanzberichterstattung aufrechtzuerhalten, Schwachstellen oder Mängel in ihrem Kontrollrahmen zu identifizieren und zu beheben und die Gewissheit zu geben, dass ihre Finanzberichterstattung genau und zuverlässig ist. Interne Kontrollen bieten Echtzeitüberwachung wichtiger Finanzprozesse wie Umsatzrealisierung, Kreditorenbuchhaltung und Gehaltsabrechnung, wodurch Probleme frühzeitig erkannt und Risiken reduziert werden. GRC-Software automatisiert den gesamten internen Kontrollprozess, wodurch eine Ebene der automatisierten Verteidigung geschaffen und langwierige manuelle Prüfungen eliminiert werden. Der Eskalations- und Lösungsprozess wird ebenfalls mithilfe vordefinierter Workflows automatisiert, um schrittweise Prozesse einschließlich Eskalationen, Genehmigungen, Freigaben und Benachrichtigungen zu erleichtern. Die Software führt eine vollständige Prüfspur darüber, wie Kontrollen eingerichtet, verwaltet, eskaliert und gelöst werden, und liefert so den Nachweis der Einhaltung der COSO-Richtlinien für interne Kontrollen.
Die Compliance- und Audit-Funktionalität in GRC-Software kann auch verwendet werden, um die Einhaltung der COSO-Leitlinien aufrechtzuerhalten. Unternehmen können eine „Pflichtenbibliothek“ aufbauen, die alle im COSO-Rahmenwerk festgelegten Anforderungen enthält und die Einhaltung jedes Aspekts überwachen. Jede interne Prüfung gegen COSO-Anforderungen kann ebenfalls in der Plattform durchgeführt werden.
Was ist das COSO-Rahmenwerk für unternehmensweites Risikomanagement?
Zuletzt aktualisiert im Jahr 2017, bietet das COSO-Rahmenwerk für unternehmensweites Risikomanagement (ERM) detaillierte Leitlinien für Unternehmen bezüglich des unternehmensweiten Risikomanagements, das in Strategie und Leistung integriert ist. Es wurde entwickelt, um Organisationen dabei zu unterstützen, anpassungsfähiger auf Veränderungen zu reagieren und strategisch darüber nachzudenken, wie Risiken ihren langfristigen Erfolg, ihre Strategie und ihre Leistung beeinflussen könnten.
Das COSO-Rahmenwerk für unternehmensweites Risikomanagement verlangt von Organisationen die Implementierung eines Best-Practice-ERM-Programms, um Risiken mit einem aktiven Risikoregister, Kontrollen, Key Risk Indicators (KRIs), regelmäßigen Risikobewertungen und fortlaufender Risikoüberwachung und -berichterstattung zu managen. Doch zusätzlich zum traditionellen Risikomanagement legt das COSO-Rahmenwerk für unternehmensweites Risikomanagement einen starken Fokus auf die Verknüpfung von Risiken mit strategischen Zielen und der Unternehmensleistung, um die Entscheidungsfindung auf Vorstandsebene zu unterstützen.
Das COSO-Risikomanagement-Rahmenwerk skizziert klar die Beteiligung des Vorstands an der Strategiefestlegung, der Risikobereitschaft und der Abstimmung von Strategie und Zielen mit der Mission, Vision und den Werten des Unternehmens. Es behandelt, wie der Vorstand mit Schwankungen der Unternehmensleistung umgehen sollte, und seine Beteiligung an wichtigen Geschäftsentscheidungen wie Fusionen und Übernahmen, Mitarbeiteranreizen, Vergütung sowie Kapitalallokation und Projektfinanzierung.
Das Rahmenwerk besteht aus Prinzipien, die in fünf miteinander verbundenen Komponenten organisiert sind:
Governance und Kultur: Unternehmen müssen eine gute Governance implementieren, um den Ton der Organisation festzulegen und die Bedeutung der Festlegung von Aufsichtsverantwortlichkeiten für das unternehmensweite Risikomanagement zu betonen. Unternehmen müssen auch eine gute Kultur etablieren, die sich auf die ethischen Werte, gewünschten Verhaltensweisen und das Risikobewusstsein innerhalb der Einheit bezieht.
Strategie und Zielsetzung: Unternehmensweites Risikomanagement, Strategie und Zielsetzung müssen in den strategischen Planungsprozess integriert werden. Eine Risikobereitschaft sollte definiert und an die Strategie angepasst werden, während Geschäftsziele und Strategie als Grundlage für die Identifizierung, Bewertung und Reaktion auf Risiken dienen sollten.
Leistung: Risiken, die die Erreichung strategischer und geschäftlicher Ziele beeinträchtigen könnten, müssen identifiziert und bewertet werden. Risiken sollten nach ihrer Schwere im Verhältnis zur Risikobereitschaft priorisiert werden. Die Organisation sollte geeignete Risikoreaktionen auswählen und eine umfassende Sicht auf das insgesamt übernommene Risiko einnehmen. Die Ergebnisse dieses Prozesses werden den wichtigsten Stakeholdern gemeldet.
Überprüfung und Revision: Organisationen müssen die ERM-Leistung überprüfen. COSO schreibt vor, dass eine Organisation die Wirksamkeit der Komponenten des unternehmensweiten Risikomanagements im Laufe der Zeit bewerten und verstehen sollte, wie Risikostufen basierend auf Geschäftsentscheidungen und operativen Änderungen schwanken, um notwendige Revisionen zu bestimmen.
Information, Kommunikation und Berichterstattung: COSO besagt, dass effektives unternehmensweites Risikomanagement das kontinuierliche Sammeln und Teilen relevanter Informationen aus internen und externen Quellen erfordert, gute Kommunikation muss sicherstellen, dass sie innerhalb der gesamten Organisation nach oben, unten und quer fließt.
Das COSO-Rahmenwerk für unternehmensweites Risikomanagement stellt sicher, dass eine Organisation eine ganzheitliche und konsistente Sicht auf die Risiken hat, die ihre Ziele, Abläufe, Reputation und Stakeholder beeinflussen könnten. Es unterstützt auch die Abstimmung des Risikomanagements mit der Strategie, Vision und den Werten der Organisation. Das COSO-Rahmenwerk für unternehmensweites Risikomanagement wurde entwickelt, um die Berichterstattung, Leistungsmessung und Entscheidungsfindung zu verbessern und den Stakeholdern die Gewissheit zu geben, dass die Organisation ihre Risiken effektiv managt.
Was müssen Organisationen tun, um das COSO-Rahmenwerk für unternehmensweites Risikomanagement einzuhalten?
Um das COSO-Rahmenwerk für unternehmensweites Risikomanagement zu implementieren, muss eine Organisation ein Best-Practice-ERM-Programm implementieren, das mit ihren strategischen Zielen und der Unternehmensleistung verknüpft ist. Dies wird es ihnen ermöglichen, die Auswirkungen von Risiken auf die operative Leistung und die gesamte Geschäftsleistung leicht zu verstehen und notwendige Änderungen vorzunehmen. Hier sind 5 Schlüsselprozesse, die ein Unternehmen implementieren kann, um die COSO-Anforderungen für unternehmensweites Risikomanagement zu erfüllen.
Richten Sie einen Best-Practice-Risikomanagementprozess ein, der die Einrichtung eines Risikoregisters, die Durchführung regelmäßiger Risikobewertungen, die Festlegung von Key Risk Indicators, die Definition einer Risikobereitschaft und das Agieren innerhalb dieser, die Festlegung von Risikoreaktions- und Minderungsstrategien, die Überwachung von Risikostufen und die Behebung von Problemen sowie eine detaillierte Berichterstattung über Risiken umfasst.
Legen Sie ausreichende Kontrollen fest, um Risiken zu reduzieren, und überwachen und testen Sie Kontrollen regelmäßig, um deren Wirksamkeit sicherzustellen.
Definieren Sie eine Strategie, die mit der Mission und den Werten der Organisation übereinstimmt, und legen Sie klare Schritte zur Erreichung der Strategie fest, wobei strategische Risiken sorgfältig gemanagt werden.
Verknüpfen Sie die Geschäftsleistung mit Risiken, wodurch sie die Auswirkungen von Risiken auf die gesamte Unternehmensleistung verstehen können.
Schaffen Sie eine risikobewusste Kultur in der gesamten Organisation mit einer etablierten Governance-Struktur, angemessener Schulung und klaren Richtlinien für die Beteiligung des Vorstands.
Wie kann GRC-Software eine Organisation dabei unterstützen, die COSO-Anforderungen für unternehmensweites Risikomanagement zu erfüllen?
Der Einsatz von GRC-Software-Plattformen konsolidiert disparate Risikoprozesse, -systeme und -datenquellen zu einer ganzheitlichen Ansicht und bietet tiefe Einblicke in das Risikoprofil, den Status und die Leistung einer Organisation. Organisationen können die Plattform nutzen, um ein umfassendes Online-Risikoregister einzurichten, in dem mehrere Abteilungen Risiken direkt erfassen und die Verantwortung dafür übernehmen können. Teams können Online-Risikobewertungsvorlagen und -fragebögen verwenden, um die Wahrscheinlichkeit, Schwere und Auswirkungen von Risiken zu berechnen und Risikobewertungen zu generieren. Transaktions- und Betriebsdaten können über API-Verbindungen aus anderen Systemen und Datenquellen in die Lösung gezogen werden, wodurch Teams Key Risk Indicators (KRIs) festlegen und Risikotoleranzen basierend auf realen Daten definieren können. Dies befähigt Organisationen, ein Risikobereitschaftsrahmenwerk zu definieren und innerhalb dessen zu agieren.
Sobald das System eingerichtet und das Risikoregister abgeschlossen ist, können Teams Kontrollen einrichten, um Risiken fortlaufend zu überwachen, und automatisierte Benachrichtigungen und Warnmeldungen werden gesendet, wenn der Grad des Risikos ein unerträgliches Niveau erreicht. Teams können sofort Berichte erstellen und Live-Dashboards anzeigen, um einen vollständigen Überblick über ihr Risikoprofil zu erhalten und in die Details einzutauchen, um Problembereiche anzugehen.
Software bindet die gesamte Organisation in den Risikomanagementprozess ein und stellt sicher, dass alle Stakeholder im gesamten Unternehmen die Verantwortung für Risiken übernehmen können. Dies macht das Risikomanagement zugänglicher, rechenschaftspflichtiger, nachverfolgbarer und lösbarer, indem es Führungsteams Einblick in die Risikoexposition gemäß dem COSO-Risikomanagement-Rahmenwerk bietet. Die automatisierten Workflows sparen Zeit und wertvolle Ressourcen und beschleunigen den Risikobereinigungsprozess. GRC-Plattformen decken potenzielle Wachstumschancen auf. Anstatt das Tool nur zur Risikominderung zu nutzen, verwendet die Plattform Analysefunktionen, um potenzielle Ergebnisse abzuwägen und kalkuliertes Risikoverhalten zu ermöglichen.
Neben der Ermöglichung der Implementierung von Best-Practice-ERM-Prozessen durch Unternehmen ermöglichen viele moderne GRC-Plattformen Unternehmen, Risiken strategischen Zielen und der Unternehmensleistung zuzuordnen, um ihre Prozesse weiter an die Anforderungen des COSO-Rahmenwerks für unternehmensweites Risikomanagement anzupassen. Unternehmen können die strategischen Planungsfunktionen in GRC-Plattformen nutzen, um ihre strategischen Pläne zu skizzieren. GRC-Plattformen mit strategischen Planungsfunktionen ermöglichen es Organisationen, ihre übergeordneten strategischen Ziele und Vorgaben in kleinere Programme, Projekte, Aufgaben und Aktionen zu unterteilen, die im gesamten Unternehmen an verschiedene Stakeholder verteilt werden können. Jeder Aufgabe werden ein Verantwortlicher, ein Zeitplan, ein Budget, SLAs und KPIs zugewiesen, um die Fertigstellung sicherzustellen.
Wenn Informationen eingegeben und Aufgaben abgeschlossen werden, kann der Fortschritt auf jeder Ebene der Strategie leicht verfolgt werden. Einfache Baumansichten helfen Führungskräften, den Fortschritt zu visualisieren, und automatisierte Benachrichtigungen kennzeichnen verpasste Fristen und unvollständige Aktionen. Wenn Aufgaben abgeschlossen sind, benachrichtigen Workflows die relevanten Personen, damit sie zur nächsten Phase der Strategie übergehen und mit der nachfolgenden Aufgabe fortfahren können. Diese Tools stellen sicher, dass Mitarbeiter auf allen Ebenen ihre Rolle bei der Erreichung der Organisationsstrategie verstehen, ermöglichen es Führungskräften, den Fortschritt zu überwachen und Probleme anzugehen, und vereinfachen den Prozess der Kaskadierung strategischer Änderungen. Unternehmen, die Risiko und Strategie auf derselben integrierten Plattform verwalten, können Risiken leicht ihren strategischen Zielen zuordnen, wodurch sie strategische Risiken kontrollieren können, die ihre Strategie beeinflussen könnten, und kalkulierte Risiken eingehen können, um ihre strategischen Ziele zu verfolgen. Diese Funktionalität ermöglicht es Organisationen, ihre Prozesse leicht an die COSO-Anforderungen für unternehmensweites Risikomanagement anzupassen.
Moderne GRC-Plattformen bieten eine Vielzahl von API-Integrationen, die es ihnen ermöglichen, Transaktions- und Betriebsdaten aus anderen Tabellenkalkulationen und Systemen in die GRC-Plattform zu ziehen. Dies ermöglicht es Unternehmen, die Auswirkungen von Risiken auf die operative Leistung zu verstehen, zum Beispiel: Wenn ein Risikograd hoch war, sank dann die Leistung? Wenn die Übernahme eines Risikos die Leistung nicht beeinträchtigte, möchte die Organisation möglicherweise in Zukunft ähnliche Risiken eingehen. Oder wenn ein Risiko hoch war und die Leistung erheblich sank, werden sie wahrscheinlich mehr Kontrollen einführen wollen, um das Risiko zu senken. Die Verknüpfung von Risiko und Unternehmensleistung hilft Führungsteams, die richtigen Entscheidungen für das Wachstum der Organisation zu treffen, unterstützt bei Entscheidungen bezüglich Budget- und Ressourcenallokation und deckt Chancen auf, bei denen der Nutzen das Risiko überwiegt. Die Zuordnung dieser beiden Bereiche kann schwierig sein, wenn die Daten über verschiedene Abteilungen verteilt sind, aber durch die Integration von Risiko- und Leistungsdaten in einer ganzheitlichen Plattform können Unternehmen diese miteinander verbundenen Bereiche abbilden und problemlos Berichte darüber erstellen, wie sich Risikostufen positiv und negativ auf die Unternehmensleistung auswirken.
Entdecken Sie, wie die Einführung von COSO-Frameworks Ihre Organisation unterstützen könnte
Im heutigen sich schnell entwickelnden Geschäftsumfeld ist die Befolgung der Richtlinien in den COSO-Frameworks für interne Kontrollen und das Unternehmensrisikomanagement eine hervorragende Möglichkeit für jede Organisation, effektiv und verantwortungsbewusst zu agieren. Riskonnect bietet eine integrierte Plattform, um die Implementierung und Verwaltung der COSO-Prinzipien zu vereinfachen. Richten Sie Risiken nahtlos an den Geschäftszielen aus und gewährleisten Sie gleichzeitig ein robustes Risikomanagement und interne Kontrollen. Fordern Sie eine Demo an, um zu erfahren, wie Riskonnect Ihrer Organisation helfen kann, ihre Abläufe an den COSO-Anforderungen auszurichten und Compliance zu erreichen.
