Was ist das COSO-Modell? Risikomanagement

13 November, 2025

🕑 6 minutes read

Table of contents

WAS IST DAS COSO-MODELL?

COSO (Committee of Sponsoring Organizations of the Tradeway Commission) ist eine Organisation, die sich aus privaten Einrichtungen zusammensetzt, die in den USA gegründet wurde und sich der Bereitstellung eines gemeinsamen Orientierungsmodells für Unternehmen zu grundlegenden Aspekten widmet:

Geschäftsleitung und Unternehmensführung,
Unternehmensethik,
interne Kontrolle,
Risikomanagement für Unternehmen,
Betrugskontrolle und
Finanzberichterstattung.

Entwicklung des COSO-Modells:

1992: Veröffentlichung des Internal Control – Integrated Framework (COSO-Bericht oder COSO I) als integrierter Rahmen, um Unternehmen bei der Bewertung und Verbesserung ihrer internen Kontrollsysteme zu unterstützen.

2004: Das COSO ERM-Modell (Enterprise Risk Management – Integrated Framework) oder COSO II wird veröffentlicht, das es Unternehmen ermöglicht, ihr internes Kontrollmanagement durch einen umfassenderen Risikomanagementprozess zu verbessern.

2013: Veröffentlichung des COSO III-Modells, aktualisiert im COSO ERM 2017-Modell, das den integrierten Rahmen verbessert, um eine größere Abdeckung der Risiken zu ermöglichen, denen Organisationen ausgesetzt sind.

Darstellung des COSO ERM-Modells 2017

Quelle: coso.org Präsentation „2017 ERM Slide Presentation“

Komponenten des COSO-Modells RISIKEN der internen Kontrolle:

Governance und Kultur:

Die Organisation muss die Bedeutung und das Verständnis ihres Risikomanagements stärken, die notwendigen Aufsichtsverantwortlichkeiten für dessen Durchführung festlegen und ihre ethischen Werte definieren, die es zu befolgen gilt.

Die wichtigsten zu entwickelnden Maßnahmen sind die folgenden:

Genehmigung einer Richtlinie, die vom Verwaltungsrat zur Überwachung des Risikos des Unternehmens zu befolgen ist.
Festlegung der Betriebsstruktur.
Definition der gewünschten Kultur und Werte.
Das Top-Management muss das Engagement für die Grundwerte demonstrieren, beispielsweise durch die Bildung von Ausschüssen und Kollegialorganen zur Kontrolle ihrer Einhaltung.
Gewinnung, Entwicklung und Bindung von qualifiziertem Personal.

Strategien und Festlegung von Zielen:

Strategischer Planungsprozess durch die Definition des Enterprise Risk Managements, der Strategien und Arbeitsziele sowie die Festlegung einer Risikobereitschaft, die auf diese abgestimmt ist.

Um diesen Block durchzuführen, muss die Organisation:

Analyse des Geschäftskontextes.
Definition der Risikobereitschaft.
Bewertung der zu verfolgenden Strategien.
Formulierung der Geschäftsziele.

Leistung:

Beinhaltet die Identifizierung und Bewertung der Risiken, die die Erreichung der Unternehmensziele beeinträchtigen können. Die Risiken werden nach Schweregrad gemäß der definierten Risikobereitschaft priorisiert. Anschließend wählt die Organisation die Antworten auf das Risiko aus und überprüft die Höhe des übernommenen Risikos.

Die Durchführung dieser Leistung umfasst:

Identifizierung der Risiken.
Bewertung des Schweregrads jedes identifizierten Risikos.
Identifizierung, Auswahl und Implementierung der Antworten auf das Risiko.

Überprüfung und Überwachung:

Bei der Überprüfung der Leistung überprüft die Organisation die Funktionsweise des Managements von Unternehmensrisiken im Laufe der Zeit und entscheidet angesichts der wesentlichen Änderungen, welche Überprüfungen oder Änderungen erforderlich sind.

Die in der Überprüfung enthaltenen Punkte sind die folgenden:

Bewertung der relevanten Änderungen, die stattgefunden haben.
Überprüfung der Risiken und der während ihres Managements erzielten Leistung.
Suche nach Verbesserungen im Risikomanagement.

Information, Kommunikation und Berichterstattung:

Das Management von Unternehmensrisiken erfordert einen kontinuierlichen Prozess des Erhaltens und Teilens der notwendigen Informationen, sowohl aus internen als auch aus externen Quellen. Die Kommunikation muss nach oben und unten fließen, in der gesamten Organisation.

Dieser Abschnitt erfordert:

Unterstützung des Risikomanagements mit Systemen und Technologie.
Verwendung geeigneter Kommunikationskanäle.
Informationen über Risiken, Kultur und Leistung an alle interessierten Parteien.

Was ist die ERM-Methodik des Enterprise Risk Managements?

Das Enterprise Risk Management (ERM – Enterprise Risk Management) ist eine auf Plänen basierende Unternehmensstrategie, die darauf abzielt, jedes Risiko oder Ereignis zu identifizieren, zu bewerten und sich darauf vorzubereiten, das sich positiv wie negativ auf die Abläufe und Ziele einer Organisation auswirken kann.

Ziel des ERM ist es, die für das Unternehmen relevanten Risiken (finanzieller, strategischer und operativer Art) zu bewerten, diese Risiken zu priorisieren und fundierte Entscheidungen darüber zu treffen, wie mit ihnen umzugehen ist. Die erstellten Risikomanagementpläne schätzen die Auswirkungen verschiedener Bedrohungen ab und beschreiben die möglichen Reaktionen, wenn eine dieser Bedrohungen eintritt.

Ein effektiver ERM-Prozess sollte ein wichtiges strategisches Instrument für die Führungskräfte des Unternehmens sein. Die Erkenntnisse über die Risiken, die sich aus dem ERM-Prozess ergeben, sollten ein wichtiger Input für den strategischen Plan der Organisation sein.

Da Risiken ständig entstehen und sich weiterentwickeln, ist es wichtig zu verstehen, dass ERM ein Prozess ist, der aktiv und lebendig sein muss, mit kontinuierlichen Aktualisierungen und Verbesserungen.

Die Struktur des Rahmens für das Management von Unternehmensrisiken wird unabhängig von der Größe der Institution oder der Art und Weise angewendet, wie eine Institution ihre Risiken kategorisieren möchte, und soll dem Management und den Verwaltungsräten helfen, die folgenden Hauptaspekte angemessen zu verwalten:

Identifizierung aller Risiken, die sich auf die Strategie und die Geschäftsabläufe auswirken können, sowie die Wechselbeziehung zwischen ihnen.
Akzeptables Risikoniveau.
Wie Risiken verwaltet werden (Kultur, Governance und Richtlinien).
Wie die notwendigen Informationen für das Risikomanagement erhalten werden.
Wie Risiken kontrolliert werden.
Wie die verschiedenen Risiken gemessen und bewertet werden.
Welche Antwort auf die Risiken gegeben werden soll.
Welche Reaktionstests auf schädliche Szenarien am besten geeignet sind.

Eines der wichtigsten Modelle, die für ein effektives Management von Unternehmensrisiken (ERM) entwickelt wurden, ist derzeit das COSO ERM-Modell 2017.

Vorteile für Organisationen:

– Hilft, besser zu verstehen, wie das Risikomanagement durchgeführt wird und welche Rolle es bei der Umsetzung der besten Strategien spielt, die zu befolgen sind.

– Ermöglicht die Festlegung von Zielen, die Leistung und integrales Management des Unternehmensrisikos in Beziehung setzen, um den Gewinn des Unternehmens zu steigern.

– Gibt universelle Richtlinien in Bezug auf Unternehmensführung und -überwachung.

– Hilft, den neuen Kontext zu erkennen, der durch die Globalisierung der Wirtschaft entstanden ist, und die Notwendigkeit, sich an die Veränderungen und die Komplexität der Geschäftswelt anzupassen, die sie mit sich gebracht hat.

– Ist eine Grundlage, um das Wissen über das Risikomanagement zu erweitern und die Erwartungen von Administratoren und den übrigen interessierten Parteien zu erfüllen.

– Ist kompatibel mit der Entwicklung und Nutzung der neuen Informations- und Kommunikationstechnologien (IKT) und ihrer Anwendung im Umgang mit Daten und bei der Entscheidungsfindung.

Bei GlobalSuite Solutions verfügen wir über die Software GlobalSuite®, die vollständig von unserem Team entwickelt wurde und die Implementierung, Verwaltung und Wartung eines Risikomanagementsystems auf der Grundlage der festgelegten Ziele ermöglicht. Ebenso ermöglicht sie die Bewertung und Verfolgung der Behandlung des definierten Risikos.

Risikominimierung

NIS 2