Das COSO ist ein Repository für interne Kontrolle, das vom Ausschuss der Sponsoring-Organisationen der Treadway-Kommission definiert wird . Sie wird insbesondere im Rahmen der Umsetzung der Bestimmungen zu den Gesetzen Sarbanes-Oxley , SOX oder Financial Financial Act , LSF, für Unternehmen verwendet, die jeweils amerikanischem oder französischem Recht unterliegen. Das ursprüngliche Repository mit dem Namen COSO 1 hat sich seit 2002 zu einem zweiten Korpus mit dem Namen COSO 2 entwickelt .
COSO ist die Abkürzung für Committee Of Sponsoring Organizations der Treadway Commission, einer gemeinnützigen Kommission, die 1992 eine Standarddefinition der internen Kontrolle festlegte und einen Rahmen zur Bewertung ihrer Wirksamkeit schuf. In der Erweiterung wird dieser Standard auch als COSO bezeichnet.
Im Jahr 2002 verkündete der amerikanische Kongress als Reaktion auf die Finanz- und Buchhaltungsskandale ( Enron , Worldcom …) das Sarbanes-Oxley-Gesetz (Sarbanes-Oxley Act oder SOX Act). Nach diesem Gesetz müssen börsennotierte Unternehmen ihre interne Kontrolle bewerten und ihre Ergebnisse in Erklärungen veröffentlichen, die von der Securities and Exchange Commission (SEC) angefordert wurden . Darüber hinaus erforderte das SOX-Gesetz die Verwendung von COSO als Benchmark, da die Verwendung eines konzeptionellen Rahmens erforderlich war. In Frankreich trug das kurz darauf verkündete Finanzsicherheitsgesetz (bekannt als LSF-Gesetz) im Jahr 2003 ebenfalls zu seiner Verbreitung bei.
Der COSO-Standard basiert auf folgenden Grundprinzipien:
Das COSO-Framework basiert auf den Konzepten der Ziele und Komponenten.
Die drei ZieleDer COSO-Standard definiert die interne Kontrolle als einen Prozess, der von Managern auf allen Unternehmensebenen implementiert wird und eine angemessene Sicherheit für die Erreichung der folgenden drei Ziele bieten soll :
Es sei darauf hingewiesen, dass diese Ziele weitgehend den Anliegen der Anleger entsprechen.
Die fünf KomponentenDie interne Kontrolle im Sinne von COSO besteht aus fünf Komponenten. Diese Komponenten bieten einen Rahmen für die Beschreibung und Analyse der in einer Organisation implementierten internen Kontrolle. Es ist :
Nach den Zielen und Komponenten legt das COSO fest, die Strukturen des Unternehmens (Unternehmen, Einheiten, Funktionen usw.) zu unterscheiden.
Die Kombination der drei Ziele, der fünf Komponenten und der Strukturen des Unternehmens, die als drei unterschiedliche Analyseachsen betrachtet werden, bildet den sogenannten COSO-Würfel.
COSO 2, "Enterprise Risk Management Framework", ist heute das Referenz-Framework für das Risikomanagement. Dieses Kapitel soll eine Zusammenfassung liefern, insbesondere indem es sich auf die in COSO 1, "Interne Kontrolle - Integrierter Rahmen", entwickelten Konzepte stützt.
Zur Erinnerung schlägt COSO 1 einen Referenzrahmen für die Verwaltung der internen Kontrolle vor. Die interne Kontrolle ist ein Prozess, der vom Verwaltungsrat, den leitenden Angestellten und den Mitarbeitern einer Organisation durchgeführt wird, um hinreichende Sicherheit dafür zu bieten, dass die folgenden Ziele erreicht werden:
COSO 2 bietet ein Referenz-Framework für das Enterprise Risk Management (Enterprise Risk Management Framework). Das Geschäftsrisikomanagement ist ein Prozess, der vom Verwaltungsrat, den Managern und Mitarbeitern einer Organisation implementiert wird und für die Strategieentwicklung und die Übertragung auf das Unternehmen vorgesehen ist
Es scheint, dass COSO 2 die Elemente von COSO 1 bis zum dritten Punkt enthält und es zum Konzept des Risikomanagements ergänzt. COSO 2 basiert auf einer risikoorientierten Vision des Unternehmens.
Der Begriff „Risikoappetit“ ist in COSO 2 neu. „Risikoappetit“ ist das Maß an Risikobereitschaft, das von der Organisation akzeptiert wird, um ihren Wert zu steigern. Unterschiedliche Strategien setzen die Organisation unterschiedlichen Risiken aus. Folglich muss der „Risikoappetit“ bei der Definition der Strategie der Organisation berücksichtigt werden, um sicherzustellen, dass die Ergebnisse dieser Strategie mit dem für die Organisation definierten „Risikoappetit“ übereinstimmen.
Das Würfelmodell und seine Drei-Ebenen-Architektur bleiben erhalten:
Zum anderen werden die verschiedenen Pläne modifiziert oder bereichert.
1. Achse "Ebenen der Organisation"
2. Achse "Ziele"
3. Achse "Steuerelemente"
Erweiterung der Achse „Kontrollelemente“, die zu „Risikomanagementelementen“ wird und von fünf auf acht Elemente reicht:
COSO 2 gilt für das gesamte Unternehmen, sowohl auf höchster Ebene ("Unternehmen") als auch auf operativer Ebene ("Geschäftseinheit"). Um COSO 2 erfolgreich anzuwenden, müssen Sie jedoch den gesamten Umfang der Aktivitäten einer Organisation berücksichtigen. COSO 2 berücksichtigt Aktivitäten auf verschiedenen Ebenen der Organisation:
Im Vergleich zu COSO 1 bietet COSO 2:
Die Organisation wird gebeten, eine Vision ihrer Risiken in Form eines Portfolios zu haben. Dieses Portfolio muss die Risiken auf jeder Ebene der Organisation charakterisieren. Die Zusammenstellung des Portfolios ermöglicht daher eine globale Vision der Risiken der Organisation. Diese Vision kann dann mit dem für die Organisation definierten „Risikoappetit“ verglichen werden.
Darüber hinaus ermöglicht die Zusammenstellung des Risikoportfolios das Management:
Beitrag eines neuen Ziels: „strategisch“.
Ein strategisches Ziel ist ein "hochrangiges" Ziel, das die Mission / Vision der Organisation unterstützt und dazu beiträgt. Die strategischen Ziele spiegeln die Entscheidungen des Managements im Hinblick auf die Suche der Organisation nach Wertschöpfung für ihre Aktionäre wider.
Die anderen drei Arten von Zielen: Betrieb, Berichterstattung und Regulierung, hängen von den strategischen Zielen ab. Sie werden als "verwandte" Ziele bezeichnet. Für eine Organisation geht es beispielsweise darum, Folgendes zu definieren:
Im Gegensatz zu COSO 1 erfordert die Implementierung von COSO 2 daher zusätzlich zu den „verwandten“ Zielen eine Vision der strategischen Ziele des Unternehmens.
Erweiterung des Berichtskonzepts
Im Vergleich zu COSO 1 umfasst dieses Konzept nun:
Die Achse "Kontrollelemente", die zu "Risikomanagementelementen" wird, wurde leicht modifiziert und vor allem bereichert: Das Kontrollumgebungselement wird durch das Konzept des "Risikoappetits" ergänzt.
Nach diesen Änderungen wird beim Lesen dieses neuen Plans ein homogener Block hervorgehoben, der als „Block von Risikoelementen“ * qualifiziert werden kann und die fünf Elemente enthält: Definition von Zielen, Identifizierung von Ereignissen, Risikobewertung, Risikoreaktion und Kontrollaktivitäten .
* Dieser Begriff des Blocks von Risikoelementen ist in COSO 2 nicht vorhanden. Er wird dem Leser hier zu Bildungszwecken angeboten.
Hinweis :
Die Pyramide, die den Teil "Elemente der internen Kontrolle" schematisiert hat, verschwindet in COSO 2.
Interne UmgebungDas interne Umgebungselement greift die Konzepte des Kontrollumgebungselements von COSO 1 auf: Bedeutung des Einzelnen (Kompetenz, Ethik), Führungsstil, Übertragung von Verantwortlichkeiten usw.
Auf der anderen Seite wird dieses neue Element durch einen neuen Begriff bereichert: den Risikoappetit : das heißt, das Risiko, das das Unternehmen eingeht, um seinen Wert zu steigern. Dieser „Risikoappetit“ ermöglicht es dann, den Grad der Risikotoleranz auf den verschiedenen Ebenen der Organisation zu bestimmen. Dieser Begriff ist notwendig und geht der Definition der Unternehmensstrategie voraus.
Der Block "Risikoelemente"Im Vergleich zu COSO 1 sind die verschiedenen Komponenten dieses Blocks detaillierter und bilden einen genaueren Rahmen:
Dieser Block enthält die folgenden fünf Elemente:
Das Management muss zunächst Ziele (1) außerhalb von Ereignissen festlegen, die diese stören könnten. Es gibt vier Arten von Zielen: strategisch, operativ, verbunden mit der Berichterstattung und der Einhaltung von Vorschriften.
Das Management bestimmt dann für jedes seiner Ziele die Ereignisse (2), die sich wahrscheinlich positiv oder negativ auswirken. Ereignisse mit negativen Auswirkungen stellen Risiken dar, Ereignisse mit positiven Auswirkungen stellen Chancen dar. Die Identifizierung potenzieller Ereignisse erfordert die Verwendung einer Kombination von Methoden: Trends, Triggerereignisse, Korrelation mit vergangenen Ereignissen.
Wir fahren dann mit einer Risikobewertung (3) für negative Ereignisse fort. Diese Bewertung muss die Wahrscheinlichkeit des Eintretens dieses Ereignisses und die daraus resultierenden Auswirkungen bestimmen. Diese Risikobewertung muss zunächst das inhärente Risiko darstellen, dh das Risiko, das besteht, wenn das Management keine Korrekturmaßnahmen ergreift . Zweitens kann nach Berücksichtigung des Risikoreaktionselements ein Restrisiko ermittelt werden. (Iterativer Einzelschleifenprozess). Es wird empfohlen, ein kohärentes Maßeinheitssystem zwischen der Messung der „Zieldefinitionen“ und der Risikobewertung zu verwenden.
Sobald das Risiko bewertet wurde, wird es gebeten, die verschiedenen möglichen Lösungen zu definieren. Es ist die Reaktion auf das Risiko (4). Manchmal sind mehrere Optionen möglich. Es ist dann notwendig, sie zu erklären. Diese Antworten können in die folgenden vier Kategorien eingeteilt werden: Risikovermeidung, Reduzierung, Bündelung oder Akzeptanz. Wenn die Formalisierungsmethode (Option, Klassifizierung) im Geltungsbereich von COSO 2 enthalten ist, ist die Auswahl der Lösung jedoch nicht Teil davon. Sobald die Risikoreaktion definiert ist, kann die Organisation sicherstellen, dass das Restrisiko ihrer Risikotoleranz entspricht (3).
Es ist dann erforderlich, Kontrollaktivitäten (5) einzurichten, die die Form von Standards haben („was muss getan werden“) und in Verfahren unterteilt sind („wie es zu tun ist“).
Information und KommunikationIm Vergleich zu COSO 1 bietet COSO 2 folgende Konzepte:
Darüber hinaus besteht COSO 2 auf dem Konzept, Informationen zu präsentieren, um zu kommunizieren, dh die Informationen müssen in einer Form kommuniziert werden, die an den Gesprächspartner des Empfängers angepasst ist.
PilotierungKeine Ergänzung zum Element „ Lenkung “.
COSO 2 unterstreicht, wie wichtig es ist, Verantwortung in einem Unternehmen zu übernehmen, und beschreibt, was es für jeden Spieler abdeckt. Wir finden in diesem Teil starke Analogien zum Sarbanes-Oxley-Gesetz.
Im Vergleich zu COSO 1 nimmt COSO 2 einige Änderungen an den Rollen der Stakeholder vor:
Der Verwaltungsrat überwacht das Risikomanagement sorgfältig:
Der Risk Officer (RO) ist der Moderator für die Implementierung von COSO 2. Er arbeitet mit anderen Managern zusammen, um sie bei der Implementierung eines effektiven Risikomanagements für ihren Verantwortungsbereich zu unterstützen. Ohne erschöpfend zu sein, könnten seine Zuschreibungen sein:
Ihre Intervention deckt daher alle Elemente des Risikomanagements ab.
Interne AuditorenWie in COSO 1 haben sie nicht die Hauptverantwortung für die Implementierung von COSO 2. Andererseits spielen sie eine überwiegende Rolle bei der Bewertung des Risikomanagementsystems.
Externe PrüferDiese arbeiten auf der Ebene "Entität". Sie geben eine Stellungnahme zur Zusammensetzung des Jahresabschlusses ab. Der moderne Ansatz zur Entscheidung über die Aussagen besteht in der Bewertung des internen Kontrollsystems gemäß den Arbeitsstandards der Prüfung.