5 vor Internes Kontrollsystem

1.3.1.5 Morphologische Analyse

31

Variationen

Mit einem „Morphologischer Kasten“ („Zwicky-Box“) können auch komplexe Problembereiche vollständig erfasst und alle möglichen Lösungen vorurteilslos analysiert werden.

Diese Methode kommt zum Einsatz, wenn ein Risiko schon recht gut durchdacht ist und nur noch Details der Lösung festgelegt werden müssen. Dazu wird das Problem in abgegrenzte Teilaspekte geteilt und durch die systematische Variation möglicher Merkmalsausprägungen wird das Lösungsoptimum ermittelt. Die Schwachstellen anderer Lösungen können leicht erkannt und gegebenenfalls beseitigt werden.

1.3.1.6 Ishikawa-Diagramm

32

Erkennen verschiedener Ursachen

Das Ishikawa-Diagramm – auch „Ursache-Wirkungs-Diagramm“ oder „Fischgrät-Diagramm“ genannt – ermöglicht eine strukturierte Vorgehensweise zur systematischen Analyse der Ursachen eines Risikos. Dabei wird die Grobstruktur eines Flussdiagramms in Form eines Fischgrätmusters gezeichnet. Das Problem wird am „Kopfende“ benannt und die vier Hauptarme werden mit den Begriffen „Mensch“, „Maschine“, „Methode“ und „Material“ beschriftet. Anschließend werden diesen Kategorien mögliche Problemursachen zugeordnet. Durch diese Form der Vorstrukturierung wird deutlich, dass ein Risiko mehrere verschiedene Ursachen haben kann und die Lösung dann alle Einflussfaktoren berücksichtigen muss.

ABB. 3: Ishikawa-Diagramm

1.3.1.7 Fehlerbaumanalyse

33

kritische Pfade

Mit der Fehlerbaumanalyse kann festgestellt werden, welches Verhalten eines Produktes oder Prozesses ein Risiko darstellt. Man geht also von einem bestimmten möglichen Fehler aus (z. B. „WLAN funktioniert nicht“), sucht „rückwärts“ nach den kritischen Pfaden, die Ursache dafür sein können, und verfolgt, welche Konsequenzen daraus entstehen. Die Ereignisse werden unter Berücksichtigung der Eintrittswahrscheinlichkeiten logisch miteinander verknüpft. Bei konsequenter Durchführung werden alle Kombinationsmöglichkeiten erkennbar, die zu einem Risiko werden können.

ABB. 4: Fehlerbaumanalyse

1.3.1.8 Brainstorming

34

freie Assoziation

Ideen, Anregungen und Lösungsvorschläge zur Vermeidung oder Beseitigung von Risiken werden in freier Assoziation ohne Diskussion, Erläuterungen oder Kommentierungen in einer Gruppe gesammelt. Die Teilnehmer bringen ihr Wissen ein, das Ergebnis wird aber stets durch die Gruppe erarbeitet.

Der wesentliche Vorteil des Brainstormings liegt in der schnellen Ideenfindung, weil keine größeren Vorbereitungen erforderlich sind. Durch das Brainstorming werden aber noch keine fertigen Lösungen entwickelt. Erst nach dem eigentlichen Prozess der Ideenfindung werden die Beiträge ausgewertet und auf ihre Verwertbarkeit für die Risikominimierung hin geprüft.

1.3.1.9 Brainwriting

35Beim Brainwriting handelt es sich um eine Abwandlung des Brainstormings. Der wesentliche Unterschied besteht darin, dass die Ideen ohne Zeitdruck gesammelt und schriftlich festgehalten werden.

1.3.1.10 Delphi-Methode

36

Expertenbefragung

Bei dieser Schätzmethode wird aus vielen einzelnen Urteilen zur zukünftigen Entwicklung der Risiken eine Gesamtprognose entwickelt. Dazu werden Experten anonym in mehreren Befragungsrunden gebeten, Einschätzungen abzugeben. Ab der zweiten Runde kennen sie die Urteile der anderen Teilnehmer, dadurch soll eine einheitliche Einschätzung erreicht werden.

1.3.1.11 Szenarioanalyse

37

Vergangenheitsdaten

Mit einer Szenarioanalyse werden aus einer großen repräsentativen Zahl von Vergangenheitsdaten durch Prognosen mögliche zukünftige Entwicklungen bestimmt. Sie simuliert potenziell mögliche Zukunftssituationen. Daraus können Konsequenzen für die unternehmerischen Entscheidungen abgeleitet werden.

Ausgehend von einem Ist-Zustand können die möglichen Entwicklungen mit einem Szenario-Trichter dargestellt werden:

ABB. 5: Szenario-Trichter

Hinweis

Die Methoden zur Identifikation von Risiken müssen nicht im Detail beschrieben werden können. Es genügt, wenn ihre wesentlichen Eigenschaften skizziert werden können.

38Mithilfe dieser Methoden werden die Einzelrisiken möglichst vollständig erfasst und Risikokategorien zugeordnet, die aus dem internen Steuerungsmodell abgeleitet werden. Die nachfolgende Tabelle zeigt Beispiele:

1.3.2 Frühwarnsysteme

39

Identifikation verdeckter Risiken

Frühwarnsysteme optimieren die Steuerbarkeit eines Unternehmens, weil rechtzeitige und umfassende Reaktion helfen, Gefahren abzuwenden oder Folgeerscheinungen zu mildern und damit das Erfolgspotenzial eines Unternehmens zu erhalten.

Frühwarnindikatoren sollen auf bereits vorhandene, aber noch verdeckte Gefahren hinweisen. Je eher Risiken identifiziert werden, desto wirkungsvoller können notwendige Gegenmaßnahmen ergriffen werden, weil ausreichend Zeit bleibt, Strategien zur Abwendung des Risikos bzw. zur Reduzierung der Risikoauswirkung einzuleiten. Unterschieden werden dabei Umfeldindikatoren und Unternehmensindikatoren:

1.3.3 Bewertung von Risiken

40Die Bedeutung von Risiken in einem Unternehmen hängt davon ab, wie hoch die Eintrittswahrscheinlichkeit ist und welches Ausmaß der verursachte Schaden erreichen kann. Zur Kategorisierung können tabellarische Übersichten mit Relevanzklassen dienen, z. B.:

Erwartungswert

Der Erwartungswert für ein Risiko ergibt sich aus der Multiplikation der Eintrittswahrscheinlichkeit mit der Höhe des möglichen Schadens. Das rechnerische Ergebnis ist ein Mittelwert, gegen den die tatsächlichen Ergebnisse bei einer großen Zahl von Fällen konvergieren.

41Zur Bewertung stehen der „Top-down“- oder der „Bottom-up“-Ansatz zur Verfügung, wobei aber auch Kombinationen möglich sind.

Bei der Top-down-Methode stehen die Wirkungen der Risiken auf Erträge, Aufwand und letztlich das Ergebnis der Gewinn- und Verlustrechnung im Mittelpunkt der Betrachtungen. Sie ermöglicht eine schnelle Erfassung der strategischen Risiken.

Die Bottom-up-Methode setzt bei den Risikoursachen an, verfolgt die Wirkungsketten und analysiert auf diese Weise mögliche Folgen für das Gesamtunternehmen.

1.3.4 Aggregation der Risiken

42

Risikotragfähigkeit

Die Kumulation von Einzelrisiken kann für ein Unternehmen existenzgefährdend sein, weil sie in ihrer Gesamtheit die Risikotragfähigkeit eines Unternehmens belasten. Deshalb muss neben den Einzelrisiken zusätzlich immer auch das aggregierte Gesamtrisiko des Unternehmens ermittelt werden.

Merke

Die Summe der Einzelrisiken entspricht i. d. R. nicht dem gesamten Unternehmensrisiko.

Erst die Beurteilung des gesamten Risikoumfangs ermöglicht die Einschätzung, ob das Unternehmen die ermittelten Risiken tatsächlich dauerhaft tragen kann oder ob der Fortbestand des Unternehmens gefährdet ist.

43Dazu können die Risiken jedoch nicht einfach addiert werden:

Das Gesamtrisiko würde dadurch massiv überschätzt, weil bei einer einfachen Addition das gemeinsame und gleichzeitige Eintreten aller Risiken unterstellt wird. Tatsächlich treten aber nicht alle Risiken gleichzeitig auf.

Einzelne Risiken können eine direkte – positive oder negative – Auswirkung auf andere Risiken haben. Von besonderer Bedeutung sind Einzelrisiken, die maßgeblich das Gesamtrisiko beeinflussen.

Es können sich Wechselwirkungen zwischen den Risiken ergeben.

Die Ermittlung der relativen Bedeutung einzelner Risiken bildet die Grundlage für gezielte Gegenmaßnahmen.

Bei der Aggregation werden solche Effekte berücksichtigt.

44Die Risikoaggregation schafft die Verbindung zwischen Risikomanagement, Controlling und Unternehmensführung, weil die Bestimmung des Gesamtrisikos notwendig ist für die Ermittlung des notwendigen risikobedingten Eigenkapitals. Das Eigenkapital und die Liquiditätsreserven sind das Risikodeckungspotenzial eines Unternehmens, weil sie sämtliche risikobedingten Verluste zu tragen haben.

Die komprimierte Zusammenfassung aller im Verlauf der Risikoanalyse identifizierten Einzelrisiken wird auch als Risikoinventar bezeichnet. Es ist u. a. erforderlich, um im Jahresabschluss die Risiken korrekt abbilden zu können.

1.4 Gründe für eine Risikobegrenzung

45

externe Gründe

Externe Gründe für ein adäquates Risikomanagement:

Die gesetzlichen Bestimmungen zu einem betrieblichen Risikomanagement müssen eingehalten werden.

Globalisierung, Vernetzung und Deregulierungen der Märkte haben zu einer zunehmenden Intransparenz der Unternehmensumwelt beigetragen.

Der Anteil der Fixkosten hat in vielen Unternehmen zugenommen, die Kostenremanenz lässt das Risiko von Fehlinvestitionen steigen.

Die komplexen Leistungsprozesse erhöhen die technische Störanfälligkeit der Produktionsanlagen.

Die Entwicklung der Informations- und Kommunikationstechnologien birgt die Gefahren des Datenmissbrauchs und verringert tendenziell die Daten- und Systemsicherheit.

Ein wirksames Risikomanagement wirkt sich positiv auf das Unternehmensrating aus und senkt so die Finanzierungskosten.

46

interne Gründe

Interne Gründe für ein adäquates Risikomanagement:

Sicherung der Existenz des Unternehmens auch in Krisenzeiten,

Verbesserung des Unternehmensratings,

Verbesserung der Kreditkonditionen, Senkung der Fremdfinanzierungskosten,

Erhöhung der Planungssicherheit,

nachhaltige Steigerung des Unternehmenswertes,

Erhöhung der Qualität der unternehmerischen Entscheidungen,

Verbesserung der Funktionsfähigkeit der Geschäftsorganisation.

1.5 Internes Kontrollsystem und Risikomanagementsystem

47

enge Verzahnung

Das interne Kontrollsystem (IKS) spielt als ein zentraler Bestandteil eines Risikomanagementsystems (RMS) für den planvollen Umgang mit Risiken eine entscheidende Rolle: Nur mit Gesamtlösungen kann das Topmanagement seinem Auftrag gerecht werden. Zwischen dem Risikomanagement, dem IKS und dem Controlling muss eine enge Verzahnung angestrebt werden. Während der Schwerpunkt des RMS auf der Definition der Strategie und Risikobereitschaft des Unternehmens liegt, erfolgt die Überwachung und Steuerung von Risiken durch das IKS. Eine Trennung der beiden Instrumente ist weder sinnvoll noch möglich. Sie werden deshalb gemeinsam betrachtet.

48

permanenter Prozess

Risikomanagement muss als ein permanenter Prozess verstanden werden, der – wie für andere Managementbereiche auch – als Kreislauf dargestellt werden kann:

ABB. 6: Risikomanagement

2. Interne Risikoquellen für das Unternehmen

49Das interne Risikomanagement muss alle Unternehmensbereiche berücksichtigen, die Risiken können sich im gesamten Leistungsprozess einstellen, sie resultieren aus

den typischen Geschäftsrisiken in den Kernbereichen des Unternehmens wie Strategie, Organisation, Beschaffung, Absatz, Forschung, Entwicklung usw.;

Beispiel

Ein stationäres Handelsunternehmen hat sein Geschäftsmodell dem veränderten Verbraucherverhalten nicht angepasst. Der zunehmende Onlinehandel kann zu einer Existenzgefährdung führen.

den finanziellen Gestaltungsspielräumen;

der operativen Betriebsführung;

dem Personalwesen;

der Organisation (Aufbau- und Ablauforganisation);

der Leitung des Unternehmens.

typische Risiken

Die nachfolgende Tabelle zeigt typische interne Risikobereiche mit Beispielen:

Hinweis

Es ist zu erwarten, dass in der Prüfung auf typische Risikobereiche Bezug genommen wird. Sie sollten deshalb (mit Beispielen) beschrieben werden können.

2.1 Rechtliche Risiken

50Die Rechtsrisiken betreffen alle Unternehmen unabhängig von ihrer Größe und der Branche. Sie können allerdings je nach der Art der Geschäftstätigkeit recht unterschiedlich sein und verursachen oft sehr hohe Kosten.

2.1.1 Vertragsrisiken

51Jedes Unternehmen hat zahlreiche Verträge der unterschiedlichsten Art abgeschlossen. Die rechtlichen Risiken ergeben sich dabei, wenn ein Vertrag nicht die vorgesehenen Wirkungen erzielt, z. B.:

Ein Vertrag kann, selbst wenn beide Vertragspartner zugestimmt haben, ungültig sein.

Bei der Vertragsschließung durch einen Stellvertreter können rechtliche Schwierigkeiten auftreten. Grundsätzlich ist dazu eine Vollmacht erforderlich.

Schlecht gewählte Formulierungen können zu unterschiedlichen Interpretationen und daraus folgenden Rechtsstreitigkeiten führen.

Wenn kritische Regelungen übersehen werden, kann ein Irrtum bei der Willenserklärung durch einen Vertragspartner vorliegen. Bei einem Rechtsstreit muss dann festgestellt werden, worauf die strittige Willenserklärung gerichtet war.

Ein systematisches Vorgehen zur Kontrolle und Überwachung von möglichen Vertragsrisiken sollte fester Bestandteil eines IKS sein. Dazu ist eine eigene Rechtsabteilung oder professionelle externe Unterstützung notwendig.

2.1.2 Rechtsstreitigkeiten

Merke

52Ein Rechtsstreit ist eine Auseinandersetzung in einer rechtlichen Angelegenheit zwischen zwei Personen oder Organisationen mit entgegenstehenden Interessen.

In einem gerichtlichen Verfahren wird die Angelegenheit überprüft und durch ein unabhängiges Gericht entschieden. Die Partei, die den Rechtsstreit verliert, muss sämtliche Anwalts- und Gerichtskosten übernehmen – auch die der Prozessgegner.

2.1.3 Strafen

53Durch vertragliche Vereinbarungen oder gerichtliche Entscheidungen kann die Verpflichtung zur Zahlung von Bußgeldern oder Geldstrafen entstehen.

2.1.4 Schadensersatz

54Ansprüche auf Ersatz eines Schadens können aufgrund von privatrechtlichen Verträgen oder gesetzlichen Regelungen bestehen.

Literatur „Wer zum Schadensersatz verpflichtet ist, hat den Zustand herzustellen, der bestehen würde, wenn der zum Ersatz verpflichtende Umstand nicht eingetreten wäre.“ (§ 249 Abs. 1 BGB)

Kundenansprüche

Bei einer fehlerhaften Ware oder Leistung kann ein Kunde Ansprüche geltend machen aus

Gewährleistung: Gesetzliche Haftung des Verkäufers.

Garantieleistungen: Freiwillige Haftung des Herstellers oder Verkäufers.

Produkthaftung: Verschuldensunabhängige gesetzliche Haftung des Herstellers für Schäden, die durch seine fehlerhafte Ware entstanden sind.

2.1.5 Unfälle

55Arbeitsunfälle stellen ein erhebliches Rechtsrisiko dar. Berufsgenossenschaften und Staatsanwaltschaft prüfen, ob aufseiten des Unternehmens die notwendigen Sicherheitsvorkehrungen getroffen worden sind. Durch die lückenlose Dokumentation aller Aktivitäten zum Schutz der Arbeitnehmer lässt sich das Risiko eines Schadensersatzes verringern.

2.1.6 Steuerrisiken

56Steuerrisiken entstehen, weil jede steuerliche Gestaltungsmöglichkeit genutzt werden soll. Es ist aufgrund der Komplexität des Steuerrechts jedoch schwierig, die verschiedenen steuerlichen Aspekte vollständig richtig zu beurteilen. Unternehmen sind daher gezwungen, ihre Steuerpolitik kurzfristig auszurichten. Weil der Gesetzgeber periodische Steuern sogar rückwirkend verändern kann, besteht die Gefahr, dass eine zu Jahresbeginn getroffene Steuerentscheidung durch die Entwicklung der Rechtslage nicht den erhofften Vorteil bringt.

Hinweis

Neben diesen internen existieren weitere Rechtsrisiken, die durch die Unternehmen nicht zu beeinflussen sind, z. B.:

gewaltsame Auseinandersetzungen,

Behinderung des Warenverkehrs durch Zölle und nichttarifäre Einschränkungen,

Einschränkung des Zahlungsverkehrs durch Konvertierungs-, Transfer- und Zahlungsverbote,

Regelungen des Urheberrechtes,

Beschränkung des Technologietransfers,

Regelungen des Verwaltungs- und Verfahrensrechts,

arbeits- und sozialrechtliche Bestimmungen.

Weil in der Prüfung nur das IKS thematisiert werden kann, können externe Risiken keine wesentliche Rolle spielen. Es ist aber sorgfältig zwischen externen und internen Risiken zu unterscheiden.

2.2 Wirtschaftliche Risiken

57Wirtschaftliche Risiken ergeben sich insbesondere aus der finanziellen Situation des Unternehmens und aus dem Vertriebsbereich.

2.2.1 Finanzielle Risiken

58

Liquiditäts- und Finanzplanung

Finanzrisiken haben ihren Ursprung in einer nicht ausreichend vorausschauenden Liquiditäts- und Finanzplanung. Sie ist von entscheidender Bedeutung für die Entwicklung von Kredit- und Zinsrisiken aus dem laufenden Geschäftsbetrieb.

Literatur Zu finanziellen Risiken vgl. ausführlich den „5 vor“-Titel zum Handlungsbereich „Finanzmanagement des Unternehmens wahrnehmen, gestalten und überwachen“.