Aufbau eines Grundgerüstes für ein Risikomanagementsystem bei der Mustermann GmbH

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Einleitung
1.1. Problemstellung
1.2. Zielsetzung und Aufbau der Arbeit
1.3. Vorstellung der Mustermann GmbH

2. Grundlagen des Risikomanagements
2.1. Begriffsabgrenzungen
2.1.1. Risiko
2.1.2. Risikomanagement

2.2. Rechtliche Rahmenbedingungen
2.2.1. Gesetzliche Vorgaben
2.2.2. DIN EN ISO 9001:2015 und ISO

3. Kreislauf des Risikomanagements
3.1. Risikoanalyse
3.1.1. Risikoidentifikation
3.1.1.1. Ziele und Aufgaben der Risikoidentifikation
3.1.1.2. Methoden zur Identifikation
3.1.1.3. Risikoidentifikation bei Mustermann GmbH

3.1.2. Risikobewertung
3.1.2.1. Ziele und Aufgaben der Risikobewertung
3.1.2.2. Methoden zur Bewertung
3.1.2.3. Risikobewertung bei Mustermann GmbH

3.1.3. Risikoaggregation
3.1.3.1. Ziele und Aufgaben der Risikoaggregation
3.1.3.2. Methoden zur Aggregation
3.1.3.3. Risikoaggregation bei Mustermann GmbH

3.2. Risikosteuerung
3.2.1. Ziele und Aufgaben der Risikosteuerung
3.2.2. Methoden zur Risikosteuerung
3.2.3. Risikosteuerung bei Mustermann GmbH

3.3. Risikokommunikation
3.3.1. Risikoüberwachung (Monitoring)
3.3.2. Risikoberichterstattung (Reporting)
3.3.3. Risikodokumentation
3.3.4. Risikokommunikation bei Mustermann GmbH

4. Vorschlag zur Umsetzung eines RMS
4.1. Handlungsempfehlung zur Umsetzung
4.2. Prüfung der Konformität mit den Vorgaben
4.2.1. Gesetzliche Mindestanforderungen an ein RMS
4.2.2. Anforderungen der Mustermann GmbH

5. Schlussbetrachtung

Anlagenverzeichnis

Literaturverzeichnis

Verzeichnis der Internetquellen

Verzeichnis der firmeninternen Quellen

Gesprächsverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Aufbau der vorliegenden Abschlussarbeit

Abbildung 2: Organigramm der Mustermann GmbH

Abbildung 3: Unterteilung der Risiken

Abbildung 4: Rechtliche Vorschriften des KonTraG

Abbildung 5: Risikomanagementprozess der ISO 31000:2009

Abbildung 6: Anforderungen der Mustermann GmbH

Abbildung 7: Mögliche Risikofelder bei den vier Risikokategorien

Abbildung 8: Grundsätze der Risikoidentifikation

Abbildung 9: Frühaufklärungssysteme nach Generationen

Abbildung 10: Verwendete Eintrittswahrscheinlichkeit zur Risikoidentifikation

Abbildung 11: Verwendete Schadenshöhe zur Risikoidentifikation

Abbildung 12: Bewertungsmöglichkeiten

Abbildung 13: Risikoklassifizierung mit Relevanzklassen

Abbildung 14: Qualitatives Risikoportfolio mit Intervallschätzung

Abbildung 15: Szenario-Trichter

Abbildung 16: Risikosteuerungsstrategien

Abbildung 17: Maßnahmenkatalog zugeordnet zu Risikofeldern

Abbildung 18: Bewertungsbogen für eingesetzte Instrumente

Abbildung 19: Risikomatrix mit Strategien

Abbildung 20: Risikoüberwachungsansätze

Abbildung 21: Kreislauf des Risikomanagements bei der Mustermann GmbH

Abbildung 22: Instrumente der Risikoanalyse

Abbildung 23: Anforderungen an das RMS

1. Einleitung

1.1. Problemstellung

„Das Gefährliche am Risiko ist nicht das Risiko selbst, sondern wie man mit ihm umgeht.“ ¹

Stark geprägt von verschiedensten Krisenherden auf der ganzen Welt rechnen mehrere Institute lediglich mit einem realen Wachstum von ca. 1,7 % für die Wirtschaft in Deutsch­land im Jahr 2016.² Ausgehend vom turbulenten Jahresstart an Chinas Börsen³, verstärkt durch die gleichzeitig anhaltenden Rezessionen in Russland und Brasilien⁴, und schließlich vor dem Hintergrund endloser Konflikte rund um den Globus, leiden die wirtschaftlichen Beziehungen von Unternehmen weltweit. Im Kontext der Finanzkrise und den daraus resul­tierenden gesetzlichen Vorgaben zur Früherkennung von Risiken stieg der Druck auf Un­ternehmen auch außerhalb des Bankensektors.⁵ Kleinere und mittlere Unternehmen sind sich der Notwendigkeit eines systematischen Umgangs mit Risiken bewusst, schrecken aber vor den benötigten finanziellen und personellen Ressourcen, die dazu benötigt wer­den,zurück.⁶ Dennoch ist der Wunsch nach mehr Gewissheit bei unternehmerischen Ent­scheidungen allgegenwertig und der mangelnde Umgang mit Risiken wird nicht länger ak- zeptiert.⁷ Das Eingangszitat kann als Leitgedanke eines momentan herrschenden Um­bruchs verstanden werden. So findet die letzten Jahre über eine Trendwende statt, in dem sich immer mehr Unternehmen dazu entschließen, ein Risikomanagementsystem (RMS) einzuführen.⁸ Als Unternehmen, dessen Mitarbeiterzahl in den letzten Jahren stark gewach­sen ist, war die Mustermann GmbH in der Vergangenheit großen strukturellen Veränderun­gen ausgesetzt. Dem rasanten Wachstum konnte die Organisationsstruktur des Unterneh­mens nicht immer adäquat folgen. Gleichzeitig befindet sich die Firma Mustermann GmbH mit ca. 600 Mitarbeitern und einem Umsatzerlös von 60 Mio. EUR⁹ in der Übergangsphase vom Mittelständler¹⁰ zum Großunternehmen. Dies bedeutet, dass umfassende Manage­mentsysteme wie das Risikomanagement bisher keine Anwendung fanden, in der Organi­sation jedoch immer wichtiger werden. Die Firma Mustermann GmbH hat sich entschieden, eine Auseinandersetzung mit dem Risikomanagement zu ermöglichen. Die vorliegende Arbeit stellt das Ergebnis der aus dieser Entscheidung hervorgegangenen Überlegungen zu diesem Anliegen dar, das im Folgenden genauer geschildert wird.

1.2. Zielsetzung und Aufbau der Arbeit

In der vorliegenden Arbeit soll ein Konzept für die Implementierung eines Grundgerüstes für ein Risikomanagementsystem bei der Mustermann GmbH ausgearbeitet werden.

Dazu wird wie in Abbildung 1 dargestellt vorgegangen:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Aufbau der vorliegenden Abschlussarbeit11

Um das Rahmenwerk, in dem sich die Unternehmung bewegt, besser abzugrenzen, findet zu Beginn eine Auseinandersetzung mit der Notwendigkeit eines RMS allgemein sowie den einschlägigen Gesetzestexten statt. Dabei sollen die vordefinierten Mindestanforderungen an ein RMS aus Normen und Gesetzen abgeleitet und mit den Anforderungen des Unter­nehmens Mustermann abgeglichen werden. Die erarbeiteten Informationen sind somit als Basisanforderungen an ein Risikomanagement zu betrachten.

Sie dienen außerdem als Grundlage für eine weitere Beschäftigung mit dem Risikomanage­mentprozess im Unternehmen Mustermann selbst. Als erstes werden geeignete Instru­mentefür die Risikoanalyse gesucht. Zu diesem Zweck ist eine kritische Auseinanderset­zung mit Werkzeugen zur Identifikation, Bewertung und Aggregation auf der einen Seite, als auch eine Analyse derjenigen Methoden, die dafür am sinnvollsten erscheinen, auf der anderen Seite vonnöten. Nachdem die Risikoanalyse abgeschlossen ist, wird sich die Arbeit in der anschließenden Risikosteuerung mit geeigneten Steuerungsstrategien und -instru­mentenbeschäftigen, um der Unternehmensführung ausreichend Informationen

1.3. Vorstellung der Mustermann GmbH

XXX

Für das weitere und bessere Verständnis des zuvor formulierten Anliegens dieser Arbeit muss näher auf den Aufbau und die Verantwortlichkeiten innerhalb der Mustermann­Gruppe und insbesondere der Mustermann GmbH in XXX eingegangen werden. Das Un­ternehmen ist in die Kernbereiche Marketing, Sales, Innovation, Operations und Finance unterteilt. Jeder Bereich verfügt über verschiedene Abteilungen, die gesondert geführt wer­den. Die übergeordnete Verantwortlichkeit für die jeweiligen Abteilungen obliegt den Be­reichsleitern. Diese werden zusammengefasst zu einem fünfköpfigen Board. Parallel dazu bestehen die Stabstellen Human Ressource und Organisation, welche zusammen mit der Unternehmensführung strategische Entscheidungen treffen.

In Folgendem wird das Organigramm der Mustermann GmbH verkürzt dargestellt:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Organigramm der Mustermann GmbH12

2. Grundlagen des Risikomanagements

2.1. Begriffsabgrenzungen

Der Anspruch für das nachfolgende Kapitel besteht darin, die in der Literatur auffindbaren Definitionen der Begriffe Risiko und Risikomanagement voneinander abzugrenzen, um in einem nächsten Schritt ein einheitliches Verständnis zu schaffen. Anschließend wird auf die Ziele und Aufgaben des Risikomanagements sowie auf deren Notwendigkeit und Sinn- haftigkeit für ein Unternehmen eingegangen. Im Anschluss werden die rechtlichen Rah­menbedingungen des Risikomanagements behandelt. Dazu gehören die einschlägigen ge­setzlichen Vorgaben auf der einen sowie die Ausarbeitungen bezüglich des Risikomanage­ments der International Organization for Standardization, kurz ISO, auf der anderen Seite.

2.1.1. Risiko

In der Literatur ist keine allgemein- oder endgültige Auffassung des Begriffes Risiko auf­findbar. Etymologisch leitet sich dieser aus dem altgriechischen Wort rhiza ab¹¹, was ,Wur- zel' bedeutet und somit etwas meint, über das man leicht stolpern kann. Auch die Ableitung aus dem italienischen Wort risicare ist eine denkbare Erklärung. Dieses Wort ist sinngemäß mit dem ,Wagnis' gleichzusetzen.¹² In der wissenschaftlichen Literatur erfuhr der Risikobe­griff im Laufe der Zeit eine Aufteilung in reine und spekulative Risiken.^{13 14} Die letzte Gruppe kann wiederum geteilt und als Gefahr oder Chance verstanden werden. Für einen besseren Überblick der verschiedenen Verständnisse des Begriffes wird dieser in folgendem Schau­bild visualisiert:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 3: Unterteilung der Risiken16

Bei den reinen Risiken spricht man von Schäden, die nicht durch unternehmerische Ent­scheidungen beeinflusst werden können. Darunter zählen solche Schäden, die durch Na­turkatastrophen oder auch technischen Störungen, wie z. B. Feuer in einer Produktions­halle, verursacht werden. Diese Risiken sind in der Regel versicherbar und finden im wei­teren Verlauf dieser Arbeit keine nähere Betrachtung. Bei den spekulativen Risiken entsteht das Risiko aus dem unternehmerischen Handeln heraus und kann somit nicht versichert oder nur schwer kalkuliert werden. In der Literatur werden die spekulativen Risiken noch weiter unterteilt. Risiken im engeren Sinne bezeichnen die Gefahr .., dass Ereignisse, Entscheidungen, Handlungen oder Unterlassungen das Unternehmen daran hindern, an­gestrebte Ziele zu erreichen oder Strategien erfolgreich umzusetzen.“¹⁵ Darunter ist also die unmittelbare Verlustgefahr von Vermögen zu verstehen.

Dem gegenüber steht das Risiko im weiteren Sinne. In diesem ist „eine aus der Unvor­hersehbarkeit der Zukunft resultierende, durch ,zufällige' Störungen verursachte Möglich­keit, von geplanten Zielen abzuweichen“¹⁶ enthalten, worin aber auch eine Chance zur Ver­mögensmehrung für die Unternehmung besteht. So lässt sich eine eigene Definition für diese Arbeit ableiten: Ein Risiko stellt eine mögliche positive oder negative Abweichung vom geplanten Erwartungswert dar.

2.1.2. Risikomanagement

Das Risikomanagement fußt auf der Entdeckung der Wahrscheinlichkeitstheorie im Mittel­alter und der Spieltheorie im Jahr 1944.¹⁷ Bei allen auftretenden Risiken und Chancen spielt die Eintrittswahrscheinlichkeit die entscheidende Rolle. Somit stellt die Wahrscheinlichkeit ein Instrument dar, Risiken bewerten zu können. Allerdings handelt es sich dabei nur um eine Orientierung, wie wahrscheinlich es ist, dass ein Ereignis eintritt oder nicht. Die Realität zeigt, dass selbst die unwahrscheinlichsten Fälle eintreffen können. Die Chance auf einen 6er im Lotto mit Superzahl liegt bei 1 zu 139.838.160, was einer Gewinnchance von 0,00000072 % entspricht.¹⁸ Dies verdeutlicht einerseits die Grenzen eines RMS, anderer­seits aber auch deren Notwendigkeit.

Auch für das Risikomanagement gibt es keine einheitliche Definition in der Literatur. Das „Risk Management umfasst die gesamte Unternehmenspolitik unter besonderer Berück­sichtigung der ihr innewohnenden Chancen und Risiken“¹⁹ und wird als das „systematische Denken und Handeln im Umgang mit Risiken“²⁰ beschrieben. Gleichzeitig stellt das Institut deutscher Wirtschaftsprüfer (IDW) in der IDW PS 340 das „Risikomanagement als die Ge­samtheit aller organisatorischen Regelungen und Maßnahmen zur Risikoerkennung und zum Umgang mit den Risiken unternehmerischer Betätigung“²¹ dar. Daraus folgt nicht, dass jedes bekannte Risiko mit allen Mitteln vermindert oder eliminiert werden kann und soll. Würde ein Unternehmen jede Gefahr aus unternehmerischem Handeln eliminieren, wäre man zügig am Punkt der Unternehmensauflösung.²² Vielmehr soll ein funktionierendes RMS eine ständige Überwachung, Bewertung und Aggregation der vordefinierten Risiko­bereicheermöglichen und somit in erster Linie der Geschäftsführung als Entscheidungshilfe dienen. Mit Hilfe der gewonnenen Daten kann die Voraussetzung zur Sicherung des zu­künftigen Erfolges, der Existenzsicherung und der Steigerung des Marktwertes geschaffen werden. Gleichzeitig können Risikokosten²³ vermieden oder gesenkt werden.²⁴

2.2. Rechtliche Rahmenbedingungen

Das folgende Kapitel verschafft einen Überblick über die rechtlichen Rahmenbedingungen eines Risikomanagements. Zunächst wird auf die verschiedenen gesetzlichen Forderungen eingegangen, um ein Bewusstsein für die Mindestbedingung eines RMS zu schaffen. Im Anschluss werden die formulierten Anforderungen in der Qualitätsmanagement-Norm, der ISO 9001:2015, dargelegt sowie die Norm ISO 31000, die sich explizit auf das Risikoma­nagement bezieht, betrachtet.

2.2.1. Gesetzliche Vorgaben

Das am 1. Mai 1998 in Kraft getretene Gesetz zur Kontrolle und Transparenz im Unterneh­mensbereich (KonTraG) hat Einfluss auf verschiedene gesetzliche Regelungen des Han­delsgesetzbuches (HGB) und des Aktiengesetzes (AktG). Es erweitert somit die Haftung der Vorstände und Aufsichtsräte sowie der Wirtschaftsprüfer.²⁵ Bedingt durch Unterneh­menskrisen in den 1990er Jahren sollten Unternehmen durch das neue Gesetz ein Früh­warnsystem etablieren, um die „Qualität der Abschlussprüfung“²⁶ sowie die „Transparenz im Unternehmen“²⁷ zu verbessern. Auch die „Kontrolle durch die Hauptversammlung [soll] verstärkt“²⁸ werden. Eine der grundlegendsten Änderungen wurde mit der Einrichtung eines RMS beschlossen. Zur Verpflichtung des Vorstandes steht im § 91 Abs. 2 AktG richtigerweise folgendes: „Der Vorstand hat geeignete Maßnahmen zu treffen, insbeson­dere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft ge­fährdende Entwicklungen früh erkannt werden.“²⁹ Somit stellt die Einrichtung eines Risiko­früherkennungssystems die Mindestanforderung des Gesetzes dar. Dabei muss unter­schieden werden zwischen dem gesetzlich geforderten Risikofrüherkennungssystem, das aus den Teilen Risikoerkennung, Risikoanalyse, Risikokommunikation und Überwachungs­system, sowie einem integrierten und weiterführenden Risikomanagementprozess besteht, der in Unternehmen seine Anwendung findet.³⁰ Das Gesetz findet gleichzeitig Einzug in die „Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder“³¹, nach § 93 AktG. Dieses bezieht sich explizit auf die Vorstände einer Aktiengesellschaft. Es sind jedoch auch GmbH­Geschäftsführer nach § 43 Abs. 1 GmbHG verpflichtet, bei „Angelegenheiten der Gesell­schaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“³². Somit ist von einer Ausstrahlungswirkung³³ auf andere Gesellschaften auszugehen.³⁴ Ebenfalls anzunehmen ist, dass die Vorgaben des Aktiengesetzes früher oder später auch in anderen Gesetzes­texten Einzug halten werden. Deshalb sollten diese Forderungen bereits jetzt in das Kon­zept von Mustermann GmbH eingearbeitet werden. Weiterhin sollen durch die Aufforderung in § 289 Abs. 1 S. 4 HGB alle interessierten Parteien³⁵ Kenntnis über „die Risiken der künf­tigen Entwicklung“^{36 37} erhalten. Bei den bisher genannten Gesetzestexten handelt es sich um die im KonTraG neu entstandenen Vorschriften für ein Unternehmen, das durch den Vor­stand bzw. den Geschäftsführer vertreten wird.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 4: Rechtliche Vorschriften des KonTraG39

Zusätzlich wurde auch die Verantwortung der Wirtschaftsprüfer erweitert, um eine ernstzu­nehmende Kontrolle zu gewährleisten. Die Abschlussprüfer prüfen im Sinne von § 317 Abs. 2 & 4 HGB und dem IDW PS 340, ob der im Jahresabschluss angehängte La­gebericht „ein zutreffendes Bild der Lage vermittelt“³⁸ und „Chancen und Risiken der zu­künftigen Entwicklung zutreffend dargestellt sind“³⁹. Ebenfalls kontrolliert wird die Frage, ob „das danach einzurichtende Überwachungssystem seine Aufgaben erfüllen kann.“⁴⁰ Dabei untersucht der Wirtschaftsprüfer u. a. die Dokumentation auf Vollständigkeit und Aussage­kraft, und zwar durch Auflistung der getroffenen Maßnahmen, Benennung der Verantwort­lichen und Aufgaben⁴¹ sowie eine Definition der Risikofelder.⁴² In § 321 Abs. 1 HGB wird nochmals die Relevanz der Beurteilung durch den Abschlussprüfer verdeutlicht.⁴³ Die Kom­petenz des Prüfers nach Abs. 4 des zuletzt genannten Paragraphen umfasst auch mögliche Schwachstellen des Risikomanagements im Abschlussbericht darzulegen und gegebenen­fallsMaßnahmen zur Verbesserung zu fordern.⁴⁴ Der 2002 veröffentlichte Deutsche Cor­porate Governance Kodex (DCGK) weist gesetzliche Vorschriften zur Führung und Über­wachung deutscher börsennotierter Unternehmen aus.⁴⁵ Durch das im selben Jahr einge­tretene Transparenz- und Publizitätsgesetz (TransPuG) ist der DCGK in § 161 AktG für börsennotierte Aktiengesellschaften gesetzlich vorgeschrieben worden. Die Unternehmen sind gemäß dem Prinzip „comply or explain“⁴⁶ verpflichtet, den Empfehlungen des DCGK zu folgen und, falls Abweichungen bestehen, Gründe für diese zu nennen.⁴⁷ Das beabsich­tigte Ziel ist eine verbesserte Transparenz. Mit Inkrafttreten des Gesetzes zur Modernisie­rung des Bilanzrechtes (BilMoG) stellt der Gesetzgeber der Unternehmensführung weitere Bedingungen. Ein Ziel von § 107 Abs. 3 S. 2 AktG besteht darin, dass man sich mit „der Wirksamkeit des internen Kontrollsystems“ und „des Risikomanagementsystems“ befasst. Parallel dazu trat im Jahr 2002 ein US-Gesetz mit der Bezeichnung Sarbanes-Oxley Act in Kraft, das in-und ausländische Unternehmen, die an der amerikanischen Börse gelistet sind, zu einer umfassenderen Unternehmensberichterstattung verpflichtet.⁴⁸ Mit Beginn des Geschäftsjahres 2013 wurden ebenfalls die Rechnungslegungsstandards DRS 15, DRS 5, DRS 5-10 sowie DRS 5-20 von der neuen DRS 20 abgelöst. Diese spezifiziert u. a. die Lageberichterstattung und fordert umfangreichere Maßnahmen zur Darstellung der Risiko- lage.⁴⁹

Weitere Gesetze im Rahmen des Risikomanagements, die nicht im Bezug zu Unterneh­men, sondern zu Banken stehen, sind Basel I, II und III, MaRisk und Solvency II. Diese Vorschriften fordern Banken dazu auf, Rücklagen zu bilden sowie eine risikoorientierte Kre­ditvergabe zu betreiben, um vor Notlagen besser geschützt zu sein.⁵⁰ Eben diese gestiege­nen Anforderungen bei einer Kreditvergabe beeinflussen die Unternehmen indirekt. So sind Banken nach § 18 S. 1 des Kreditwesengesetzes (KWG) verpflichtet, bei einem Kredit über 750.000 EUR die Vorlage des Jahresabschlusses zu fordern.⁵¹ Folglich gewinnt die Beur­teilung des RMS durch den Wirtschaftsprüfer zusätzlich an Bedeutung.

2.2.2. DIN EN ISO 9001:2015 und ISO 31000

Die ISO verbindet Normenorganisationen weltweit, die gemeinsam einheitliche Standards für alle erdenklichen Bereiche definieren. Eine Norm stellt dabei eine Anforderung an einen Prozess, ein Produkt oder eine Dienstleistung bezüglich seiner bzw. ihrer Eigenschaften dar und schafft somit eine einheitliche Sichtweise.⁵² Bei den ausgearbeiteten Normen han­delt es sich nur um Empfehlungen, die im Rahmen eines gewissen Handlungsspielraumes angewendet werden können. Jedoch wird in vielen Branchen von den Kunden eine Zertifi­zierung nach der DIN EN ISO 9001 gefordert.⁵³

Nach Einführung des Systems wird dieses regelmäßig durch unabhängige Prüfungsinsti- tute⁵⁴ kontrolliert. Für eine Zertifizierung müssen die Mindestanforderungen an ein Quali­tätsmanagement erfüllt sein. Darüber hinaus werden Organisationsstruktur, die internen Prozesse sowie deren Abläufe kritisch betrachtet. Bei Besichtigungen werden durch Befra­gungenmögliche Schwachstellen erkannt und Maßnahmen zur Behebung derselben ge­fordert. Somit beweist ein Unternehmen mit ISO-Zertifikat eine standardisierte Bearbeitung von immer wiederkehrenden Prozessen. Die Vorteile liegen eindeutig in einer gesteigerten Prozessleistung und auch einer steigenden Produktqualität.

Mit der neuen Revision der ISO 9001:2015 findet erstmalig das Risikomanagement Einzug in die Norm. Der Anspruch an ein komplettes Risikomanagement besteht in keiner final definierten Situation. Vielmehr steht der Versuch im Vordergrund, eine risikobasierte Denk- weise⁵⁵ bei allen unternehmerischen Handlungen zu implementieren. Die Norm definiert ein Risiko als „Auswirkung der Unsicherheit auf Ergebnisse“^{56 57} und fordert die Benennung der Risiken und Möglichkeiten durch die Unternehmensführung. Im Managementreview müs­sen die identifizierten Risiken bewertet, eingeleitete Maßnahmen abgebildet und deren Wirksamkeit hinterfragt werden. Mit der im November des Jahres 2009 eingeführten Norm ISO 31000:2009 „ Risk Management - Principles and guidelines “ beschäftigt sich die ISO mit dem Thema Risikomanagement und versucht damit, einen branchen- und funktions­übergreifenden Rahmen zum Umgang mit Risiken zu ermöglichen. Eine Übersetzung und Interpretation vom Deutschen Institut für Normung (DIN) wurde 2011 als Entwurf veröffent­licht, kurz darauf aber wieder zurückgezogen. Damit findet in Deutschland bisher nur die österreichische Risikomanagementnorm ONR 49000 oder die englische Version eine An­wendung. Die ISO 31000 spricht dabei - anders als die ISO 9001, die Anforderungen stellt, die erfüllt werden müssen - nur Empfehlungen aus. Die Norm gliedert sich in drei wesentli­che Abschnitte, und zwar erstens in die Grundsätze zum Risikomanagement, zweitens in den Rahmen des Risikomanagements und drittens in den Risikomanagementprozess selbst. Der Managementprozess empfiehlt im Kontext der Risikobeurteilung schrittweise folgende Phasen abzuarbeiten: die Risikoidentifikation, die Risikoanalyse, die Risikobewer­tung und abschließend die Risikobehandlung. Diese Phasen müssen überwacht und kom­muniziert werden.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 5: Risikomanagementprozess der ISO 31000:2009 59

Die Norm umreißt dabei nur einzelne Aspekte des Risikomanagements, ohne jedoch spe­zifisch auf die einzelnen Instrumente zur Datenerhebung und -verarbeitung einzugehen. In der ISO 31010 werden verschiedene Techniken vorgestellt, mit denen Risiken identifiziert und bewertet werden können. Dabei handelt es sich primär um eine Ansammlung von 31 möglichen Methoden, denen es jedoch an einer Wertung fehlt, welches Instrument wann am sinnvollsten einzusetzen ist.⁵⁸ Dieser Umstand unterstreicht weiter den Charakter der ISO 31000, der darin besteht, lediglich eine allgemeine Basis vermitteln zu wollen. Die Aus­führungen der Norm sind für ein grundlegendes Verständnis der Thematik und des verwen­deten Vokabulars hilfreich. Die Empfehlungen aber sind zu allgemein gehalten, um daraus ein Konzept für die Einführung eines RMS für das hier in Rede stehende Unternehmen abzuleiten.⁵⁹ Die ISO 31000 gewährt zwar einen Einblick in einen möglichen Risikomanage­mentprozess, der in eben dieser Form bei der Firma Mustermann GmbH allerdings keine Anwendung finden kann, sondern umfangreicher gestaltet werden muss.

3. Kreislauf des Risikomanagements

Bisher wurde nur auf die Anforderungen eingegangen, die sich aus der Theorie ableiten ließen. Diese stellen die Grundlage für die Formulierung spezifischer Anforderungen der Firma Mustermann GmbH an ein RMS dar. In diesem Kapitel werden nach eingehender Prüfung die zweckmäßigsten Instrumente ausgewählt. Von Seiten der Geschäftsleitung be­steht nicht der Anspruch, sofort und direkt ein allumfassendes und vollfunktionsfähiges Sys­tem zu implementieren. Vielmehr besteht das Ziel darin, ein zuverlässiges Grundgerüst zum weiteren Ausbau zu entwickeln. Durch die erstmalige Einführung eines derartigen Manage­menttools soll der Aufwand der Datenerhebung und Einführung mit möglichst geringen Ter­minen und Mitteln durchgeführt werden. Die Durchführung wird voraussichtlich in den Auf­gabenbereich des Finanzchefs eingegliedert, da keine neuen personellen Kapazitäten für diesen Bereich zur Verfügung stehen. Vor diesem Hintergrund soll die Komplexität der Me­thoden und Arbeitsschritte so gering wie möglich gehalten werden. Gleichzeitig besteht der Anspruch an ein funktionsfähiges RMS. Im Gespräch ist weiterhin die Durchführung des Risikomanagements durch den Autor dieser Arbeit nach Beendigung seines Studiums. Das wiederum würde die Ausgangslage der verfügbaren Kapazität erhöhen. Zum momentanen Stand wird das System aber nicht auf Basis einer weiteren Stelle konzipiert. Schließlich wird ein Risikohandbuch erstellt, das zur regelmäßigen Dokumentation der Gesamtrisikositua­tion dient. Damit sollen gleichzeitig die gesetzlichen Mindestanforderungen an ein RMS erfüllt werden.⁶² Die eben genannten Anforderungen der Mustermann GmbH sind in der

folgenden Abbildung nochmals zusammengefasst:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 6: Anforderungen der Mustermann GmbH⁶³

Daraus ergibt sich folgende Vorgehensweise für die Anfertigung des Risikomanagements beim Unternehmen Mustermann: Zunächst findet eine kritische Auseinandersetzung mit der Risikoanalyse statt, in der Methoden aus der Theorie analysiert werden, um anschlie­ßend die geeignetsten Werkzeuge für die Mustermann GmbH auszuwählen. In einem zwei­ten Schritt sollen bei der Risikosteuerung mögliche Strategien entwickelt werden, um die ermittelte Risikosituation für die Mustermann GmbH in die gewünschte Richtung zu lenken. In einem dritten Schritt werden geeignete Formen der Berichterstattung bei der Risikokom­munikation und Überwachung derselben festgelegt, um das angestrebte Frühwarnsystem auch nutzbar zu machen. Weiterhin werden dafür Verantwortlichkeiten definiert: Wer be­richtet zu welchem Zeitpunkt, an wen, was und in welchem Umfang?

Darüber hinaus muss darauf hingewiesen werden, dass diese Arbeit eine Auseinanderset­zung mit den Methoden ermöglicht und eine Präsentation der Ergebnisse in jeder Phase aus datenschutzrechtlichen Gründen nicht gewünscht ist. Diesem wird Rechnung getragen, indem verwendete Vorlagen mit Muster-Risiken ausgefüllt werden.

3.1. Risikoanalyse

Nachdem im Zuge der Finanzkrise 2008 reihenweise implementierte Risikomanagement­systeme versagten, führte René M. Stulz⁶⁴ eine Fehleranalyse durch und identifizierte sechs typische Fehlentscheidungen und somit Fehlerursachen:

1. Historische Daten: Oftmals ist der Planungshorizont zu kurz gewählt, um eine aus­sagekräftige Zukunftsprognose abzugeben.

2. Ungenaue Kennzahlen: Risikokennzahlen wie der Value at Risk (VaR) ⁶³ suggerie­ren eine Kenntnis über Unternehmensrisiken, die so nicht vorhanden ist.

3. Erkennbare Risiken übersehen: Durch Absicherungen oder eingeleitete Gegen­maßnahmen werden Risiken nicht mehr als Risiko angesehen. So können selbst initiierte Steuerungsmöglichkeiten das Risiko verschlimmern.

4. Versteckte Risiken übersehen: Ein Risikomanagementsystem ist nur so gut wie die identifizierten Risiken. Wenn Mitarbeiter Risiken zurückhalten, etwa aus Angst vor Bestrafung, können so wichtige Gefahrenpotentiale nicht gemanagt werden.

5. Falsche Kommunikation: Es ist wichtig, die Informationen adressatengerecht auf­zubereiten, um der Führungsebene eine ausreichende Entscheidungsgrundlage zu bieten.

6. Nicht schnell genug reagieren: Oftmals werden Gegenmaßnahmen entwickelt, wenn das Risiko bereits gefährliche Ausmaße angenommen hat. Je früher agiert wird, desto geringer sind Aufwand und Kosten.⁶⁴

Die identifizierten Fehlerursachen sind stark vom Handeln innerhalb des Bankensektors geprägt und fokussieren damit stärker finanzwirtschaftliche Risiken. Im ersten Anlauf wird Fehler 1 nicht betrachtet, da die momentane Datenlage keine Auswertung der historischen Daten ermöglicht. Die Fehlerursache 2 ist für diese Arbeit ebenfalls nicht relevant, da der VaR in dieser Arbeit zwar analysiert wird aber keine Anwendung findet. Trotzdem können die Fehler 3 bis 6 als allgemeingültige Leitgedanken angesehen werden, da es sich dabei um grundlegende Verhaltensregeln handelt. Diese sollten bei der weiteren Bearbeitung ge­danklich mit einbezogen werden. Auf Grundlage dieser Basis werden nun geeignete Instru­mente und Methoden für die einzelnen Bestandteile der Risikoanalyse bei der Mustermann GmbH identifiziert.

3.1.1. Risikoidentifikation

Für eine erfolgreiche Risikoanalyse ist die Erfassung und Erkennung aller potenziellen Ri­sikoquellen unabdingbar. Deshalb werden ähnliche Risiken in der Theorie zu verschiede­nen Risikokategorien zugeordnet, um eine systematische Vorgehensweise zur Risikoerfas­sung von relevanten Bereichen zu ermöglichen.⁶⁵

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 7: Mögliche Risikofelder bei den vier Risikokategorien⁶⁶

Die Klassifizierungen in der Literatur sind inkonsistent. Die oberste Priorität liegt dabei auf der Erfassung aller Risiken. Als übergeordnete Risikokategorien lassen sich interne und externe Risiken unterscheiden.⁶⁷ Interne Risiken treten durch unternehmerische Handlun­gen auf und können damit direkt beeinflusst werden. Sie ergeben sich aus den drei Kern­bereichen eines Unternehmens: Finanzwirtschaftliche und leistungswirtschaftliche Risiken sowie solche, die sich aus der Unternehmensführung ergeben. Die externen Risiken auf der anderen Seite schließen alle Einflüsse aus dem auswärtigen Unternehmensumfeld ein.⁶⁸ Unterhalb der Risikokategorien können Risikofelder⁶⁹ definiert werden, die dabei hel­fen, Risiken spezifischer zuzuordnen. So können leistungswirtschaftliche Risiken in der Be­schaffung, Logistik aber auch in der Produktion auftreten. Indem Risiken weiterhin auf un­tere Hierarchiestufen heruntergebrochen werden, wird das einfache Auffinden der Verant­wortlichen für eingeleitete Maßnahmen zu einem späteren Zeitpunkt ermöglicht. In der be­reits eingefügten Abbildung auf Seite 14 sind beispielhaft mögliche Risikofelder aus den einzelnen Risikokategorien dargestellt.

In der Theorie können die oben genannten Risikokategorien noch weiter unterteilt werden. Bei einer großen Anzahl an Risiken aus verschiedenen Bereichen kann eine weitere Unter­teilung zur Übersicht und besseren Risikoaggregation sinnvoll sein. So können Unternehmensrisiken beispielsweise in Absatz-, Finanz-, strategische-, rechtliche-, opera­tionale und sonstige Risiken vorsortiert werden.⁷⁰

3.1.1.1. Ziele und Aufgaben der Risikoidentifikation

Um eine zielgerichtete Identifikation zu ermöglichen, wird in diesem Teilkapitel auf die Grundprinzipien eingegangen:

- Vollständigkeit - Durch die Einbindung geeigneter Mitarbeiter alle aktuellen und zukünftigen Risiken identifizieren.
- Aktualität - Mit einer frühzeitigen Risikoerkennung gewährleisten, dass rechtzeitig Steuerungsmaßnahmen eingeleitet werden können.
- Wesentlichkeit - Die Kosten-Nutzen-Relation steht im Vordergrund. Es werden alle Risiken dokumentiert, jedoch nur wesentliche Risiken, die zu Gefahren werden kön­nen, vertiefend behandelt.
- Systematik - Es wird ein Prozess zur standardisierten und regelmäßigen Identifi­kation etabliert.
- Widerstand - Die Meldung von Risiken darf nicht bestraft, sondern sollte belohnt werden, da sonst relevante Risiken unerkannt bleiben und die Akzeptanz und Be­teiligung der Mitarbeiter nicht präsent ist.^{71 72}

Die fünf Grundprinzipien lassen sich in folgendem Schaubild visualisieren:

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 8: Grundsätze der Risikoidentifikation74

Befolgt man die Grundsätze zur Risikoidentifikation, entsteht eine Datenbank aller Risiken, aus der ein Unternehmen einen Überblick über die Risikosituation erhält. Da es für die Iden­tifikation von Relevanz ist, nach welchen Bezugsgrößen die identifizierten Risiken im wei­teren Verlauf bewertet werden, wird hier ein kurzer Überblick darüber gegeben. Das primäre Ziel ist die Schaffung einer Basis, mit Hilfe derer alle Risiken miteinander verglichen werden können. Dies kann über die Einordnung des Risikos in verschiedenen Klassifizierungen wie z.B. Eintrittswahrscheinlichkeit (EW), Schadenshöhe (SH) und Schadenshäufigkeit ge- schehen.⁷³ Wichtig ist die Definition eines Zielzustandes oder einer Bezugsgröße, um dar­aus resultierend eine unternehmensbezogene Staffelung der SH abzuleiten. Bezugsgrößen können beispielsweise der Umsatz, Jahresüberschuss oder auch der EBIT⁷⁴ sein.⁷⁵ Weiter­hin ist die Schadenshäufigkeit in der Literatur nur relevant für die Sensitivitätsanalyse, die in dieser Arbeit keine weitere Betrachtung findet. Somit müssen bei Erhebung der Risiken auch eine mögliche SH sowie EW ermittelt werden. Die Schwierigkeit bei der Identifikation eines Risikos besteht in der unterschiedlichen Ausprägung desselben. So müsste das Ri­siko eines Feuers in der Unternehmenszentrale in verschiedene Schweregrade wie den Brand eines Mülleimers oder Großbrand im Gebäude differenziert werden.⁷⁶ Jedoch würde die Aufnahme aller möglichen Risiken mit einem zu erwarteten Schadenswert die Kosten­Nutzen-Relation bei weitem übersteigen. In der Praxis werden solche Risiken oft mit dem größtmöglichen Schaden klassifiziert.

3.1.1.2. Methoden zur Identifikation

In diesem Kapitel sollen mögliche Instrumente zur Risikoidentifikation analysiert werden. Um eine Vorauswahl aus der Vielzahl der vorhandenen Methoden zu ermöglichen, wurden die in Studien ermittelten praxisrelevanten Werkzeuge vorselektiert. Eine Studie zur Bedeutung des Risikomanagements im Mittelstand von Frau Lehmeyer zeigt beispielsweise auf, dass zu den meist benutzten Werkzeugen der Fragebogen bzw. die Checkliste an erster Stelle (61 %), das Brainstorming an zweiter (49 %), die Früherkennung an dritter (34 %) sowie die Expertenbefragung an vierter Stelle (32 %) zählen. Die Tendenz geht dabei eindeutig zur Anwendung einfacherer Instrumente. Aufwendigere Methoden wie die Fehlerbaumanalyse, Fehlermöglichkeits und -einflussanalyse sowie die Szenario­Technik werden nur von einem Viertel der Unternehmen genutzt.⁷⁷ Weiterhin ergab eine Benchmarkstudie von PricewaterhouseCoopers International, in der der Fokus auf größere Unternehmen lag, dass 57 bis 63 % der Unternehmen die Datenerhebung mit Hilfe von Risikokatalogen bzw. mittels Erhebungsbögen durchführt. Die Nachfrage nach branchenspezifischen Unterlagen beim ZVEI⁷⁸ war erfolglos. Da die Firma Mustermann GmbH ebenfalls den Fokus auf einfachere Instrumente zur Identifizierung gelegt hat, werden diese im nächsten Schritt vorgestellt. Die zweitgenannten aufwendigeren Instrumente werden in dieser Arbeit damit keine weitere Rolle spielen.

Fragebogen/ Checkliste

Bei Fragebögen werden standardisierte Fragen zu einzelnen Bereichen erstellt. Es können offene und geschlossene Fragen gestellt werden, und zwar abhängig davon, welches Er­gebnis erwartet wird. Bei offenen Fragen ist es das Ziel, Meinungen und Überzeugungen einzuholen und nicht durch vordefinierte Antworten eine indirekte Lenkung zu initiieren. Der Nachteil besteht im deutlich höheren Aufwand, der bei der Auswertung ansteht.⁷⁹ Bei ge­schlossenen Fragen wird nur ein geringer Entscheidungsspielraum zugelassen, indem Ant­worten vorgegeben sind. Dabei werden oftmals qualitative Aspekte aufgenommen, die, falls möglich, auch quantifiziert werden können.⁸⁰ Dabei handelt es sich überwiegend um sub­jektiveEinschätzungen der Befragten, woraus kein Anspruch auf Objektivität abgeleitet werden kann. Aufgrund der geringen Komplexität ist diese Methode als Ausgangspunkt für eine Erstanalyse sehr gut geeignet.⁸¹ Eine etwas umfangreichere Variante stellt die Erstel­lung von Risikokatalogen und Erhebungsbögen dar, bei denen mögliche Risiken bereits benannt und, wie weiter oben bereits erwähnt, nach verschiedenen Klassifizierungen von den Teilnehmern bewertet werden. Damit ist die Abfrage von bereits bekannten Risiken sehr einfach durchführbar. Bei regelmäßiger Abfrage kann zusätzlich auch ein Trend ent­wickelt werden. Für eine erste Erhebung sind solch außerordentlich datenintensive Listen eher ungeeignet, sollten für die zukünftige Konzepterarbeitung aber sehr wohl in Betracht gezogen werden.

Brainstorming

In kleinen Gruppen von bis zu sechs Teilnehmern, die möglichst gleichberechtigt sind, wer­den in 30 bis 60-minütige Sitzungen abgehalten.⁸² Jeder Teilnehmer spricht dabei spontan Einfälle zum Themenkomplex Risiko aus, womit möglichst viele Ideen generiert oder fremde Ideen weiterentwickelt werden. Während der Sitzung werden alle genannten Ideen proto­kolliert, und zwar ohne jede Bewertung oder gegenseitige Kritik. Erst im Nachgang werden die Ideenäußerungen dann geordnet und bewertet. Aufgrund der einfachen Handhabung, der geringen Kosten und der möglichen Synergieeffekte durch die Gruppe ist dieses Instru­ment in der Praxis ausgesprochen beliebt. Ein Nachteil besteht in der offenen Durchführung und der fehlenden Steuerungsmöglichkeit. Weiterhin kann die Ideenselektion im Nachgang einige Zeit in Anspruch nehmen.⁸³

Kernrisikotreiber

Als Hilfestellung gibt es in der Literatur einige Auflistungen der wichtigsten und am häufigs­ten auftretenden Risiken für Unternehmen. Ob diese ebenfalls bei Mustermann GmbH auf­treten, kann von den Beteiligten des Risikomanagementprozesses am besten beurteilt wer­den. Gleichzeitig können von den Kernrisikotreibern weitere Risiken abgeleitet werden. Für diese Arbeit wurden die Kernrisikotreiber für Industrieunternehmen von Herrn Schröder⁸⁴ als Grundlage genutzt.

Frühaufklärungssysteme

Das KonTraG fordert die Einrichtung eines Frühaufklärungssystems. Weiterhin können bei einer frühzeitigen Erfassung von unternehmensgefährdenden Problemen rechtzeitig Ge­genmaßnahmen eingeleitet werden. Damit einhergehend sinkt der Aufwand, je früher eine Entwicklung erkannt wird. Die Anwendung des Instrumentes wird zeitlich in drei Generatio­nen eingeteilt:

1. Generation: Frühwarnung - Frühzeitige Erkennung von Risiken durch Kennzah­len und Hochrechnungsanalysen. Dabei werden geeignete Kennzahlen gesucht und Toleranzen definiert. Bei einer Über- oder Unterschreitung muss die Entwick­lung überprüft werden. Der Nachteil dieser Variante ist die schwierige Kennzahlen- findung⁸⁵ und fehlende zukünftige Entwicklung, da nur Daten aus der Vergangenheit ausgewertet werden.

2. Generation: Früherkennung - Frühzeitige Erkennung von Chancen und Risiken durch Indikatoren-Analyse. Dabei sollen mögliche interne sowie externe Risiken auf­gedeckt werden, die sich noch nicht in Kennzahlen niederschlagen. Aus selbst de­finierten Bereichen werden identifizierte Indikatoren über einen längeren Zeitraum regelmäßig beobachtet, um einen Trend abzuleiten. Bis zu dieser Generation han­delt es sich um operative Aufklärungssysteme.

3. Generation: Frühaufklärung - Frühzeitige Erkennung von potentiellen Chancen und Risiken durch Überprüfung aller auftretenden Entwicklungen im Unternehmen­sumfeld. Dabei wird jedes noch so schwache Signal aufgenommen und ausgewertet.^{86 87} Dieses System findet in der Praxis kaum Anwendung, da die Unter­suchung mit hohen finanziellen und personellen Ressourcen verbunden ist. Gleich-zeitig wird eine enorme Datenmenge erhoben, die bei einer angestrebten Kosten-Nutzen-Relation nicht mehr zu rechtfertigen ist.89

Frühzeitige Erkennung von potentiellen Chancen und Risiken durch Überprüfung aller auftretenden Entwicklungen

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 9: Frühaufklärungssysteme nach Generationen⁸⁸

Interview

Die Studie der PricewaterhouseCoopers AG ergab, dass 29 % der befragten Unternehmen Interviews durchführen.⁸⁹ Dabei werden verschiedene Teilnehmer schriftlich oder mündlich zu einem Thema befragt, wozu verschiedene Fragetypen, wie bereits beim Fragebogen beschrieben, verwendet werden können. Bei einer mündlichen Befragung können weniger Teilnehmer als bei einer schriftlichen befragt werden. Trotzdem besteht der signifikante Vorteil darin, dass bei einem mündlichen Interview bei Unklarheiten nachgefragt werden kann. Dies ist insbesondere bei offenen Fragen wichtig.

Sonstige Methoden

In der Theorie werden auch Workshops als ein probates Mittel dargestellt. Diese finden in der Praxis mit einem Anteil von nur 20 %⁹⁰ jedoch kaum Anwendung. Grund dafür sind die benötigen personellen und zeitlichen Ressourcen. Auch Besichtigungen in Form von Rund­gängen in der Firma erhalten mit 39 %⁹¹ großen Zuspruch. Dabei handelt es sich um eine kostengünstige Möglichkeit, eine visuelle Risikoidentifikation durchzuführen.⁹² Hierbei werden jedoch nur oberflächliche Schäden, wie z. B. solche an Maschinen, aufgedeckt, wodurch viele Probleme unberücksichtigt bleiben.

[...]

---

¹ Gerg, F. M. (o. J.), https://www.aphorismen.de (Stand: 14.03.2016)

² Vgl. o.V. (2016), http://www.bmwi.de (Stand: 14.03.2016); Vgl. hierzu auch o.V. (2016), http://www.arbeitgeber.de (Stand: 14.03.2016)

³ Vgl. o.V. (2016), http://www.zeit.de (Stand: 14.03.2016)

⁴ Vgl. o.V. (2015), http://www.wiwo.de (Stand: 14.03.2016)

⁵ Vgl. Hoffmann, J. (2012), S. 1; Vgl. hierzu auch Stiefl, J. (2010), S. 1

⁶ Vgl. Rossmanith, J.; Funk, W.; Reudanik, C. (2015), S. 152

⁷ Vgl. Gaissmaier, W.; Neth, H. (2016), S. 19

⁸ Vgl. o.V. (o.J.), https://www.pwc.de (Stand: 14.03.2016); Vgl. hierzu ebenso Pricewaterhouse­Coopers AG (2015)

⁹ Vgl. XXX, R. (2016), persönliches Gespräch, 27.03.2016

¹⁰ Der IFM definiert auch Unternehmen mit über 500 Mitarbeitern und 50 Mio. EUR Umsatz als Mit­telstand, wenn mindestens 50 % der Unternehmensanteile im Besitz von „bis zu zwei natürlichen Personen“ ist, Vgl. o.V. (o. J.), http://www.ifm-bonn.org (Stand: 14.03.2016)

¹¹ Vgl. Hannemann, R.; Schneider, A.; Weigl, T. (2013), S. 106

¹² Vgl. Martin, T.; Bär, T. (2002), S. 70; Vgl. hierzu auch Jakobus, P. (2014), S. 26 f.

¹³ Vgl. Klein, A. (2011), S. 26 f.

¹⁴ Vgl. Münzel, C.; Jenny, H. (2005), S. 29

¹⁵ Diederichs, M. (2013), S. 9

¹⁶ Gleißner, W. (2008), S. 8 f.

¹⁷ Vgl. Stiefl, J. (2010), S. 15

¹⁸ Vgl. o.V. (2016), https://www.lotto.de (Stand: 15.03.2016)

¹⁹ Brühwiler, B. (1994), S. 6

²⁰ Gleißner, W. (2008), S. 10

²¹ IDW PS 340 Punkt 2

²² Vgl. Gleißner, W. (2008), S. 10

²³ Als Risikokosten werden z.B. Kosten für Versicherungen bezeichnet; Vgl. Gleißner, W. (2011), S. 53; Vgl. hierzu ebenso Diederichs, M. (2013), S. 12

²⁴ Vgl. Wolke, T. (2008), S. 7 ff.

²⁵ Vgl. Cottin, C.; Döhler, S. (2013), S. 16

²⁶ Reimer, M.; Fiege, S. (2010), S. 302

²⁷ Reimer, M.; Fiege, S. (2010), S. 302

²⁸ Reimer, M.; Fiege, S. (2010), S. 302

²⁹ Vgl. § 91 Abs. 2 AktG

³⁰ Vgl. o.V. (2012), http://www.pwc.de (Stand: 16.03.2015), S. 9

³¹ Vgl. § 93 AktG

³² Vgl. § 43 Abs. 1 GmbHG

³³ Vgl. Huth, M.; Romeike, F. (2016), S. 16

³⁴ Durch die Sorgfaltspflicht werden auch Leitungen von anderen Rechtsformen angesprochen, bspw. der GmbH-Geschäftsführer; Vgl. Voigt, K.-I. (2010), S. 7

³⁵ Als „interessierte Parteien“ werden z.B. Kunden, Mitarbeiter und die Gesellschaft bezeichnet; Vgl. Weigert, J. (2008), S. 79

³⁶ Vgl. § 289 Abs. 1 S. 4 HGB

³⁷ Eigene Darstellung

³⁸ Vgl. § 317 Abs. 2 HGB

³⁹ Vgl. § 317 Abs. 2 HGB

⁴⁰ Vgl. § 317 Abs. 4 HGB

⁴¹ IDW PS 340

⁴² Wird in Kapitel 3.1.1. behandelt

⁴³ Vgl. § 321 Abs. 1 HGB

⁴⁴ Vgl. § 321 Abs. 4 HGB

⁴⁵ Vgl. Hohl, P. (2010), S. 36 f.

⁴⁶ Cottin, C.; Döhler, S. (2013), S. 15

⁴⁷ Vgl. § 161 AktG, die Unternehmen sind verpflichtet eine „Entsprechens-Erklärung“ abzugeben; Vgl. Reimer, M.; Fiege, S. (2010), S. 301 f.; Vgl. hierzu auch Lauterbach, A. (2008), S. 4 f.

⁴⁸ Vgl. Cottin, C.; Döhler, S. (2013), S. 17; Vgl. hierzu ebenso Insolvenzen in den USA von Enron und Worldcom

⁴⁹ Vgl. Biel, A. (2016), S. 64 ff.; Vgl. hierzu auch Bischof, S.; Staß, A. (2016), S. 61 ff.

⁵⁰ Vgl. Kirchner, C.; Pache, T.; Buttlar, H. von (2016), S. 31 ff.

⁵¹ Vgl. Degkwitz, J. (2006), S. 52 f.

⁵² Vgl. Brühwiler, B.; Romeike, F. (2010), S. 81

⁵³ Zeitgleich zur Anfertigung der vorliegenden Abschlussarbeit wird ein Konzept zur Implementie­rung eines Qualitätsmanagementsystems nach ISO 9001 bei der Mustermann GmbH entwickelt.

⁵⁴ Unter Prüfinstituten versteht man Zertifizierungsgesellschaften wie die Dekra, die zugelassen sind, die Prüfung nach ISO 9001 durchzuführen; Vgl. Brüggemann, H.; Bremer, P. (2015), S. 142

⁵⁵ Vgl. ISO 31000:2009

⁵⁶ Vgl. ISO 31000:2009

⁵⁷ Vgl. ISO 31000:2009, S. 7

⁵⁸ Vgl. Erben, R.; Offerhaus, J.; Sitt, A. (2010), S. 34 ff.; Vgl. hierzu auch Klipper, S. (2015), S. 32 f.

⁵⁹ Vgl. Brühwiler, B.; Romeike, F. (2010), S. 83 ff.

⁶² Vgl. XXX, R. (2016), persönliches Gespräch, 28.03.2016

⁶³ Eigene Darstellung

⁶⁴ René M. Stulz ist Professor für Finanzen am Fisher College of Business in Ohio und veröffent­lichte über 100 Artikel in Fachzeitschriften, unter anderem über Risikomanagement

⁶³ Wird in Kapitel 3.1.2.2. behandelt

⁶⁴ Vgl. Stulz, R. (2009), S. 66-75; Vgl. hierzu auch Gleißner, W. (2008), S. 119

⁶⁵ Vgl. Voigt, K.-I. (2010), S. 37

⁶⁶ Eigene Darstellung

⁶⁷ Vgl. Diederichs, M. (2013), S. 55

⁶⁸ Vgl. Schneck, O. (2010), S. 57 f.; Vgl. hierzu auch Vanini, U. (2012), S. 12

⁶⁹ Vgl. Töpfer, A.; Maertins, A.; Pirl, P. (2016), S. 15

⁷⁰ Vgl. Eller, R. (2010), S. 28

⁷¹ Vgl. Diederichs, M. (2013), S. 50 f.; Vgl. hierzu auch Vanini, U. (2012), S. 126

⁷² Eigene Darstellung, 04.04.2016

⁷³ Vgl. Hoffmann, J. (2012), S. 78 f.

⁷⁴ Unter EBIT (= Earnings before interest and taxes) versteht man das Ergebnis vor Steuern und Zinsen; Vgl. Wöltje, J. (2011), S. 204

⁷⁵ Vgl. PricewaterhouseCoopers AG (2015), S. 31

⁷⁶ Vgl. Hoffmann, J. (2012), S. 95

⁷⁷ Vgl. Lehmeyer, P. (2014), S. 82

⁷⁸ Der ZVEI (= Zentralverband Elektrotechnik- und Elektroindustrie) vertritt die Interessen der über­wiegend mittelständischen Elektroindustrie in Deutschland; Vgl. o.V. (o.J.), http://www.zvei.org (Stand: 12.05.2016)

⁷⁹ Vgl. Mayer, H. (2013), S. 101 f.

⁸⁰ Vgl. Mayer, H. (2013), S. 92

⁸¹ Vgl. Romeike, F.; Hager, P. (2009), S. 125

⁸² Vgl. Drews, G. u. a. (2016), S. 332; Vgl. hierzu ebenso Yoe, C. (2012), S. 187

⁸³ Vgl. Ehrmann, H. (2012), S. 115

⁸⁴ Vgl. Schröder, E. (2003), S. 653 f.

⁸⁵ Vgl. Hofmann, K. (2015), S. 40

⁸⁶ Vgl. Schneck, O. (2010), S. 119 f.; Vgl. hierzu auch Vanini, U. (2012), S. 136 f.

⁸⁷ Vgl. Loy, T. (2015), S. 2885 ff.

⁸⁸ Eigene Darstellung

⁸⁹ Vgl. PricewaterhouseCoopers AG (2015), S. 31

⁹⁰ Vgl. PricewaterhouseCoopers AG (2015), S. 26

⁹¹ Vgl. Lehmeyer, P. (2014), S. 82

⁹² Vgl. Vanini, U. (2014), S. 65 f.