COSO-Rahmenwerke (COSO Frameworks)

Was sind die COSO-Rahmenwerke (COSO Frameworks)?

Die COSO-Rahmenwerke sind Dokumente, die Leitlinien für die Einrichtung interner Kontrollen und Programme zum Unternehmensrisikomanagement (Enterprise Risk Managment, ERM) in Organisationen enthalten. Insgesamt sollen die Rahmenwerke dazu beitragen, die organisatorische Leistung in Bereichen wie Geschäftsbetrieb, Unternehmensberichterstattung, Einhaltung gesetzlicher Vorschriften und Risikomanagement zu verbessern. Sie sind als Leitfäden für die Planung und Umsetzung gedacht und richten sich in erster Linie an Vorstände, Führungskräfte, Risikomanager und Auditteams.

Die Rahmenwerke wurden vom Committee of Sponsoring Organizations of the Treadway Commission, allgemein bekannt als COSO, entwickelt. COSO wurde 1985 gegründet und ist eine private Einrichtung, die von fünf US-Berufsverbänden gemeinsam getragen wird: der American Accounting Association, dem American Institute of Certified Public Accountants, Financial Executives International, dem Institute of Internal Auditors und dem Institute of Management Accountants.

COSO bietet derzeit zwei Rahmenwerke an: eines mit Schwerpunkt auf internen Kontrollen und das andere mit Schwerpunkt auf Unternehmensrisikomanagement. Das COSO-Rahmenwerk für interne Kontrollen ist ein Modell für die Erstellung und Implementierung von Kontrollen in Geschäftsprozessen, um eine Organisation dabei zu unterstützen, ihre operativen, Berichts- und Compliance-Ziele zu erreichen. In ähnlicher Weise bietet das COSO-Rahmenwerk für Unternehmensrisikomanagement einen hochrangigen Entwurf für die Entwicklung von ERM-Strategien und -Prozessen.

Trotz einiger risikobezogener Überschneidungen sind die beiden Rahmenwerke so konzipiert, dass sie sich unterscheiden und ergänzen. Das Rahmenwerk für interne Kontrollen beinhaltet die Risikobewertung als Kernkomponente, konzentriert sich jedoch nur in begrenztem Umfang auf operative Risiken und solche, die sich aus Berichts- oder Compliance-Problemen ergeben. Im Gegensatz dazu konzentriert sich das ERM-Rahmenwerk allgemeiner auf die Integration des Risikomanagements in die strategische Planung und die geschäftliche Entscheidungsfindung. Seine Ziele sind die Schaffung einer Kultur des Risikobewusstseins in einer Organisation und die Sicherstellung, dass das Risikomanagement zu einem Kernprinzip der internen Prozesse auf allen Ebenen wird.

Zusätzlich zu den Rahmenwerken für interne Kontrollen und ERM bietet COSO einen Leitfaden zur Erstellung von Programmen zum Betrugsrisikomanagement an, der 2016 veröffentlicht und 2023 aktualisiert wurde. In Zusammenarbeit mit der National Association of Corporate Directors arbeitet COSO derzeit an der Entwicklung eines dritten Rahmenwerks, das sich auf die Unternehmensführung konzentriert. Ein Entwurf des Rahmenwerks für die Unternehmensführung wurde im Mai 2025 zur öffentlichen Stellungnahme veröffentlicht und zwei Monate später wieder zurückgezogen, um alle Rückmeldungen auszuwerten. Ein überarbeiteter Entwurf soll folgen.

Überblick über das COSO-Rahmenwerk für interne Kontrollen

Das 1992 von COSO eingeführte und 2013 aktualisierte Rahmenwerk für interne Kontrollen wird in einem Dokument mit dem Titel Internal Control – Integrated Framework (Interne Kontrollen – Integriertes Rahmenwerk) detailliert beschrieben. Wie bereits erwähnt, dient das Rahmenwerk Organisationen als Leitfaden für die Konzeption, Implementierung und Bewertung von internen Kontrollsystemen. Es umfasst fünf Kernkomponenten und eine Reihe von 17 damit verbundenen Grundsätzen. In dem Dokument verwendet COSO ein Würfeldiagramm, um die Beziehung zwischen den fünf Komponenten, den drei Kategorien von Zielen, die das Rahmenwerk abdeckt, und der Organisationsstruktur eines Unternehmens zu veranschaulichen.

Auf einer höheren Ebene zielt das Rahmenwerk darauf ab, Unternehmen in die Lage zu versetzen, Kontrollen zu entwickeln, die sich an veränderte Geschäftsumfelder anpassen lassen, Risiken auf ein akzeptables Maß reduzieren und effektive Entscheidungs- und Governance-Prozesse unterstützen. Zusätzlich zum Rahmenwerk selbst hat COSO Begleitdokumente zur Anwendung in bestimmten Geschäftsbereichen veröffentlicht. So wurde beispielsweise 2024 eine Publikation mit Leitlinien zur Verwendung des Rahmens zur Steuerung des Einsatzes von robotergestützter Prozessautomatisierungstechnologie veröffentlicht, und 2023 erschien eine Publikation zur Implementierung interner Kontrollen für die Nachhaltigkeitsberichterstattung.

Die 5 Komponenten des COSO-Rahmenwerks für interne Kontrollen

Im Folgenden sind die fünf Komponenten des Rahmenwerks für interne Kontrollen aufgeführt, die integriert umgesetzt werden sollen:

1. Kontrollumfeld. Das Kontrollumfeld ist eine Reihe von organisatorischen Standards, Prozessen und Strukturen, die als Grundlage für ein internes Kontrollsystem dienen. Es beschreibt detailliert die erwarteten Geschäftspraktiken und Verhaltensstandards. Dies trägt dazu bei, dass das Unternehmen verantwortungsbewusst geführt wird und die Anforderungen an die Berichterstattung und die Einhaltung von Vorschriften erfüllt. Zu den einzelnen Elementen der Kontrollumgebung gehören das Bekenntnis der Organisation zu geschäftlicher Integrität und ethischen Werten, die Überwachung des internen Kontrollsystems durch den Verwaltungsrat, festgelegte interne Kontrollbefugnisse und -verantwortlichkeiten sowie Leistungskennzahlen, Anreize und Belohnungen, um die Verantwortlichkeit für wirksame Kontrollen in der Organisation zu fördern.
2. Risikobewertung. Risiken sind ein fester Bestandteil der Geschäftstätigkeit: Jede Organisation ist mit verschiedenen internen und externen Geschäftsrisiken konfrontiert, die zu nachteiligen Folgen führen können. Um geschäftliche Probleme zu vermeiden, führen Unternehmen in der Regel Risikomanagementpläne ein, die ihnen helfen, relevante Risiken zu identifizieren und darauf zu reagieren. Die Risikobewertung ist ein wichtiger Aspekt bei der Entscheidung, wie Risiken gemanagt und kontrolliert werden sollen. In diesem Teil des Rahmenwerks legt die Unternehmensleitung die Geschäftsziele fest und richtet Prozesse zur Identifizierung und Analyse potenzieller Risiken ein, die die Erreichung dieser Ziele beeinträchtigen können. Interne oder externe geschäftliche Veränderungen, die die Wirksamkeit der internen Kontrollen beeinträchtigen können, müssen ebenfalls bewertet werden.
3. Kontrollaktivitäten. Kontrollaktivitäten sind ebenfalls mit Risikomanagementmaßnahmen verbunden. Dabei handelt es sich um Maßnahmen zur Risikominderung, die ein Unternehmen in seinen internen Kontrollrichtlinien und -verfahren festlegt. Kontrollaktivitäten können auf allen Ebenen des Unternehmens, sowohl in Geschäftsprozessen als auch in IT-Umgebungen, eingesetzt werden. Sie können auch eine Kombination aus manuellen und automatisierten Maßnahmen für Dinge wie Autorisierungen, Genehmigungen, Überprüfungen und Bewertungen der Geschäftsleistung sein.
4. Information und Kommunikation. Relevante interne und externe Informationen werden an die Geschäftsleitung weitergeleitet, um die Überwachung des internen Kontrollsystems zu unterstützen und sicherzustellen, dass es effektiv funktioniert. Ebenso werden Prozesse für die interne und externe Kommunikation festgelegt. Innerhalb einer Organisation muss ein Kommunikationsplan erstellt werden, um klare Botschaften über die Verantwortlichkeiten und Erwartungen im Bereich der internen Kontrolle zu vermitteln. Externe Kommunikationsmaßnahmen sollten sicherstellen, dass Informationen über interne Kontrollen unter Einhaltung der gesetzlichen und regulatorischen Anforderungen an externe Parteien weitergegeben werden.
5. Überwachungsaktivitäten. Die Überwachung ist ebenfalls ein wichtiger Bestandteil des COSO-Rahmenwerks für interne Kontrollen. Überwachungsaktivitäten können eine Kombination aus laufenden, in Geschäftsprozesse integrierten Bewertungen und regelmäßigen, in festgelegten Abständen durchgeführten Bewertungen umfassen. Im Rahmen des Überwachungsprozesses wird ein internes Kontrollsystem anhand von regulatorischen Anforderungen, anerkannten Branchenstandards und internen Richtlinien gemessen. Interne Auditoren prüfen mindestens, ob die Mitarbeiter die festgelegten internen Kontrollen einhalten. In börsennotierten Unternehmen ist es jedoch üblich, dass ein externer Auditor die Einhaltung der Vorschriften durch das Unternehmen bewertet. In beiden Fällen werden die Prüfungsergebnisse in der Regel der Geschäftsleitung und dem Verwaltungsrat vorgelegt.

Wie wird dieses Rahmenwerk verwendet?

Das COSO-Rahmenwerk für interne Kontrollen wird häufig von börsennotierten Unternehmen verwendet, da es ihnen dabei helfen kann, ihre Finanzprognosen sowie ihre Berichts- und Compliance-Verpflichtungen leichter zu erfüllen. Das Rahmenwerk wurde jedoch auch von privaten Unternehmen, Regierungsbehörden und gemeinnützigen Organisationen übernommen, die es als Instrument zur Verbesserung der internen Rechenschaftspflicht und zur Verringerung des Risikos von unzulässigen oder betrügerischen Handlungen durch Mitarbeiter betrachten.

Insgesamt zielt das Rahmenwerk darauf ab, ein System interner Kontrollen zu schaffen, das der Geschäftsleitung und dem Vorstand eine angemessene Sicherheit hinsichtlich der Fähigkeit einer Organisation gibt, ihre Ziele in den drei abgedeckten Kategorien zu erreichen. Beispielsweise können wirksame interne Kontrollen in Geschäftsprozessen einer Organisation helfen, ihre operativen Ziele zu erreichen, ohne unnötige Geschäftsrisiken einzugehen.

Überblick über das COSO-ERM-Rahmenwerk

Das COSO-ERM-Rahmenwerk wurde erstmals 2004 veröffentlicht und 2017 grundlegend überarbeitet, wie in einem aktualisierten Dokument mit dem Titel Enterprise Risk Management – Integrating with Strategy and Performance dargelegt. Die erste Version des Rahmenwerks umfasste acht miteinander verbundene Komponenten, die in der überarbeiteten Fassung auf fünf reduziert wurden. Das aktualisierte Rahmenwerk fordert Unternehmen außerdem auf, das Risikomanagement bei der Festlegung von Geschäftsstrategien und der Steigerung der Unternehmensleistung zu berücksichtigen, anstatt es separat oder nachträglich zu behandeln. Durch die Einhaltung des ERM-Rahmenwerks sollten Unternehmen besser in der Lage sein, potenzielle Risiken, die sich auf den Geschäftsbetrieb auswirken könnten, zu identifizieren, zu bewerten und zu managen.

Die Komponenten des ERM-Rahmenwerks umfassen 20 Grundsätze, die risikobezogene Praktiken beschreiben, die Unternehmen auf unterschiedliche Weise anwenden können. Ein 2018 veröffentlichter Anhang mit dem Titel Compendium of Examples enthält fiktive Fallstudien zur Umsetzung des Rahmenwerks durch Unternehmen aus verschiedenen Branchen und Regionen, um zu veranschaulichen, wie die Grundsätze angewendet werden können. Wie beim internen Kontrollrahmen hat COSO auch Dokumente zur Anwendung des ERM-Rahmenwerks in bestimmten Geschäftsbereichen veröffentlicht. Das jüngste Dokument aus dem Jahr 2024 befasst sich mit dem Management von Risiken im Zusammenhang mit alternativen Daten aus nicht traditionellen Quellen. Andere Dokumente befassen sich mit KI, Cloud Computing, Cyberrisiken und Compliance-Risikomanagement.

Die 5 Komponenten des COSO-ERM-Rahmenwerks

Dies sind die Komponenten des Rahmenwerks für das Unternehmensrisikomanagement:

1. Governance und Kultur. Hier wird festgelegt, wie ein Unternehmen Risiken betrachtet und mit ihnen umgeht. Es werden die Verantwortlichkeiten des Managements und des Vorstands für das Risikomanagement sowie die operativen Strukturen für die Umsetzung des ERM-Programms festgelegt. Das Unternehmen sollte auch ethische Werte und das gewünschte Verhalten der Mitarbeiter in Bezug auf das Unternehmensrisikomanagement definieren und das Verständnis für relevante Geschäftsrisiken und die Bedeutung ihres effektiven Managements fördern. Die Einstellung oder Entwicklung fähiger Risikomanager ist ein weiterer Aspekt dieser Komponente.
2. Strategie und Zielsetzung. Bevor ein Unternehmen mit dem Risikomanagement auf Unternehmensebene beginnen kann, muss es seine Geschäftsstrategie und -ziele definieren und dann die ERM-Initiative daran ausrichten. Im Rahmen des strategischen Planungsprozesses wird eine Risikobereitschaft definiert, die die täglichen Risikobewertungen beeinflusst. Die Risikomanagementrichtlinien müssen jedoch sorgfältig gegen die Geschäftsziele abgewogen werden, um sicherzustellen, dass das Unternehmen nicht so risikoscheu wird, dass es seine Ziele nicht mehr erreichen kann.
3. Leistung. Diese Komponente umfasst die Art und Weise, wie ERM-Prozesse in einem Unternehmen durchgeführt werden, von der Risikoidentifizierung bis zur Berichterstattung über die Ergebnisse der Risikomanagementmaßnahmen an wichtige Stakeholder. Nachdem Risiken identifiziert wurden, müssen sie auf der Grundlage ihrer Schwere und der Risikobereitschaftserklärung des Unternehmens bewertet und priorisiert werden. Risiko- und Geschäftsverantwortliche entscheiden dann, wie auf verschiedene Risiken reagiert werden soll. In einigen Fällen möchten sie Risiken möglicherweise ganz vermeiden. In anderen Fällen können sie Maßnahmen zur Risikominderung ergreifen oder die Risiken einfach akzeptieren. Das Rahmenwerk empfiehlt die Einführung einer Portfoliosichtweise auf Risiken, um die Koordinierung des Managementprozesses und der Aufgaben der Risikoberichterstattung zu erleichtern.
4. Überprüfung und Überarbeitung. Risikomanagementverfahren funktionieren nicht immer wie erwartet und bleiben auch nicht für immer gültig. In dieser Komponente überprüft eine Organisation ihre Geschäftsleistung und die Wirksamkeit ihres ERM-Programms. Auf der Grundlage der Ergebnisse entscheidet sie dann, ob das Programm überarbeitet werden muss und welche Änderungen vorgenommen werden müssen, um die Risikomanagementfähigkeiten zu verbessern. Die potenziellen Auswirkungen wesentlicher Änderungen auf die Geschäftsstrategie und -ziele sollten im Voraus bewertet werden, um sicherzustellen, dass die ERM-Initiativen weiterhin mit den Zielen der Organisation in Einklang stehen.
5. Information, Kommunikation und Berichterstattung. Im Idealfall sollte ein Unternehmen Risikomanagemententscheidungen niemals isoliert treffen. Diese Komponente soll sicherstellen, dass die für Risikobeschlüsse zuständigen Entscheidungsträger die Informationen erhalten, die sie für fundierte Entscheidungen benötigen. Die erforderlichen Informationen können sowohl aus internen IT-Systemen als auch aus externen Quellen stammen. Außerdem müssen Kommunikationskanäle eingerichtet werden, um die Informationen zu verbreiten und ERM-Praktiken im gesamten Unternehmen zu unterstützen. Eine umfassendere Berichterstattung über Risiken und die Leistung des ERM-Programms sollte ebenfalls enthalten sein.

Wie wird dieses Rahmenwerk verwendet?

Wie das Rahmenwerk für die interne Kontrolle wurde auch das ERM-Rahmenwerk von verschiedenen Arten von Organisationen übernommen. Am häufigsten wird es jedoch von börsennotierten Unternehmen verwendet, die die Chancen auf ein günstiges Geschäftsergebnis bei der Übernahme von Risiken verbessern möchten. Die Komponenten des Rahmenwerks und die damit verbundenen Grundsätze sind so konzipiert, dass sie eine angemessene Erwartung vermitteln, dass eine Organisation die mit ihrer Geschäftsstrategie und ihren Zielen verbundenen Risiken versteht und daran arbeitet, diese effektiv zu managen.

Ein wichtiger Aspekt bei der Verwendung des ERM-Rahmenwerks ist dessen Anwendung zur Prüfung alternativer Geschäftsstrategien und deren Risiken, bevor entschieden wird, welche davon verfolgt werden sollen. Wie im COSO-Rahmenwerk erwähnt, hat jede Strategieoption ihr eigenes Risikoprofil mit potenziellen Auswirkungen auf das Geschäft. Die Erstellung eines ERM-Programms auf der Grundlage des Rahmenwerks kann der Geschäftsleitung und dem Vorstand dabei unterstützen, die Strategien auszuwählen, die am besten mit der Risikobereitschaft einer Organisation und ihrer Geschäftsmission, ihrer strategischen Vision und ihren Grundwerten übereinstimmen.

Was sind die Vorteile und Grenzen der COSO-Rahmenwerks?

Im Folgenden sind einige der geschäftlichen Vorteile der Verwendung der COSO-Rahmenwerke aufgeführt:

• Einheitliche Geschäftsprozesse. Die Implementierung eines oder beider Rahmenwerke trägt dazu bei, dass einzelne Geschäftsprozesse auf der Grundlage standardisierter Kontrollen einheitlich durchgeführt werden. Dabei kann es sich unter anderem um regulatorische Kontrollen als Teil des internen Kontrollrahmens oder um Kontrollen zur Risikominderung handeln, die im ERM-Framework festgelegt sind. Gut konzipierte Kontrollen können dazu beitragen, die operative Leistung zu verbessern und gleichzeitig Geschäftsrisiken zu reduzieren.
• Verbesserte Betrugserkennung. Ein weiterer Vorteil der Verwendung der Rahmenwerke besteht darin, dass ein Unternehmen oft besser in der Lage ist, betrügerische Aktivitäten zu erkennen, unabhängig davon, ob diese von Cyberkriminellen, Mitarbeitern, Kunden oder Geschäftspartnern begangen werden. Da sich die Rahmenwerke auf die Risikominderung und die Einhaltung bewährter Verfahren konzentrieren, kann die Anfälligkeit für Betrug oder andere böswillige Handlungen erheblich verringert werden.
• Gesteigerte Geschäftseffizienz. Sorgfältig ausgearbeitete interne Kontrollen und Risikomanagementverfahren tragen auch dazu bei, die Geschäftsabläufe effizienter zu gestalten, was die Kosten senken und die Rentabilität eines Unternehmens steigern kann.
• Bessere Geschäftsleistung. Letztendlich zielen beide Rahmenwerke darauf ab, sicherzustellen, dass Unternehmen ihre Geschäftsziele erreichen können und dass die Vorteile von internen Kontroll- und ERM-Programmen die Investitionen in diese Programme überwiegen.

Trotz ihrer Vorteile haben die COSO-Rahmenwerke einige Einschränkungen. Vor allem können sie aus zwei Hauptgründen schwierig zu implementieren sein:

• Erstens haben beide Rahmenwerke einen relativ breiten Anwendungsbereich. Dadurch sind sie für eine Vielzahl von Unternehmen relevant, aber es bedeutet auch, dass ihnen detaillierte verbindliche Leitlinien für die Anwender fehlen.
• Auch die Art und Weise, wie die Rahmenwerke aufgebaut sind, kann die Umsetzung erschweren. Bestimmte Prozesse könnten unter Umständen in zwei oder mehr ihrer Komponenten fallen. Manchmal ist das Gegenteil der Fall, und interne Prozesse lassen sich nicht gut mit einer der Komponenten in Einklang bringen. Infolgedessen müssen Unternehmen bei der Umsetzung der Rahmenwerke möglicherweise einige schwierige Entscheidungen treffen.