Herausforderungen des Risikomanagements im Krankenhaus: Ein Handbuch zu Grundlagen und Praxisfällen

2. Theoretische Grundlagen des Risikomanagements

2.1 Begriffsabgrenzung

2.1.1 Risiko

Eingangs ist es wichtig, den Begriff „Risiko“ klar von dem des Risikomanagements abzugrenzen. Der Begriff „Risiko“ stellt einen weitläufigen Begriff dar und führt in der Literatur zu unterschiedlichen Begriffsdefinitionen: Risiko kann zum einen als Begriff im weiten und zum anderen als Unternehmensbegriff im engen Sinn definiert werden. Das eigentliche Wort „Risiko“ leitet sich vom italienischen „risicare“ ab, das „wagen“ bedeutet. Dabei geht es um das Wagnis des Handelns vor dem Hintergrund einer freien Wahlmöglichkeit.^[1] Romeike beschreibt Risiko als die Möglichkeit eines Schadens, Verlustes oder Geschehens, durch die nachteilige Folgen eintreten oder eintreten können. Somit ist Risiko als Gefahr einer negativen Abweichung des tatsächlichen Ergebniswertes vom erwarteten Ergebniswert zu betrachten.^[2] Auch der IDW definiert das Risiko als die allgemeine Möglichkeit ungünstiger Entwicklungen.^[3] Damit geht Risiko mit einer Entscheidung einher, stellt eine bestimmte Gefahr dar, Fehlentscheidungen/ Abweichungen beziehen sich auf einen Referenzwert und Risiko entsteht aus der Unsicherheit bezüglich der Entscheidungsprämissen.

Dagegen zielt Risiko als Unternehmensbegriff auf das unternehmerische Handeln ab, das durch Informationsdefizite von Entscheidern zu einer negativen Verfehlung eines unternehmerischen Ziels und den daraus resultierenden Verlusten führen kann.^[4] Hinsichtlich der Unternehmenseigenschaft ist in der Regel jede unternehmerische Tätigkeit aufgrund der Unsicherheit hinsichtlich der zukünftigen Entwicklung mit Risiken, aber auch Chancen verbunden. Ausgangspunkt für ein Risiko ist somit die Unsicherheit der zukünftigen Entwicklung und Entscheidungen von Unternehmensbeteiligten, die auf deren prognostizierten Entwicklungen basieren. Die daraus resultierende Abweichung stellt das Ergebnis des Risikos dar. Mit der Formulierung des § 91 Abs. 2 AktG, „... [die] Gesellschaft gefährdende Entwicklungen …“, gibt der Gesetzgeber eine beschreibende Definition für den Risikobegriff des Unternehmens.

Unterschieden werden kann nach leistungswirtschaftlichen Risiken, zu denen Betriebsrisiken und Absatzrisiken gehören, und finanzwirtschaftlichen Risiken. Zu den finanzwirtschaftlichen Risiken im Unternehmen zählen Markpreis-, Ausfall- und Liquiditätsrisiken.^[5]

2.1.2 Risikomanagement

Der Ursprung des Risikomanagements im Unternehmen liegt in der Versicherungsbranche der Vereinigten Staaten. Diese versuchte mit gezieltem Risikomanagement Versicherungsprämien zu reduzieren.^[6]

Das IDW beschreibt das Risikomanagement als die Gesamtheit der organisatorischen Maßnahmen und Regelungen zur Risikoerkennung und dem Umgang mit Risiken aus der unternehmerischen Tätigkeit. Die Regelungen zielen auf eine Risikoakzeptanz oder Risikobewältigung ab. Das Risikomanagement des Unternehmens hat zudem sicherzustellen, dass die Risiken stets an die zuständigen Entscheidungsträger weitergeleitet werden. Die Reaktion der Entscheidungsträger gehört ebenso zum Risikomanagementsystem wie eine Implementierung eines Überwachungssystems.^[7]

Unabhängig von der Auffassung des IDW beschäftigt sich das Risikomanagement mit dem Entgegentreten der in Kapitel 2.1.1 definierten Risiken. Risikomanagement wird häufig als Prozess betrachtet, in dem Risiken identifiziert, gemessen, gesteuert und überwacht werden. Bei diesem Prozess handelt es sich um einen dynamischen Ablauf und einen sich wiederholenden Prozess. Die aufgeführten Phasen des Prozesses bilden einen Kreislauf und führen i. d. R. zu Maßnahmen der Vorsorge, Kompensation oder zu einer erneuten Risikoidentifikation bisher nicht berücksichtigter Risikoarten.^[8] Neben den vier aufgezählten Prozessen Identifikation, Messung/Bewertung, Steuerung und Überwachung der Risiken, sind Kommunikation und Dokumentation als Zwischenschritte von Steuerung und Überwachung zu nennen.

Das Risikomanagementsystem darf nicht isoliert von den einzelnen Unternehmensaktivitäten betrachtet werden. Vielmehr ist es in den Unternehmensprozess zu integrieren und zu implementieren, sodass es die Aufgabe wahrnehmen kann, am Ort des Entstehens Risiken zu erfassen, zu beeinflussen und ihnen vorzubeugen.^[9]

Das übergeordnete Ziel des Risikomanagements besteht in aller Regel in der Sicherung des Fortbestands des Unternehmens, seiner Wettbewerbsfähigkeit und nicht zuletzt in der Steigerung des Unternehmenswertes (shareholder-value). Für die Analyse der sechs aufgezählten Prozessschritte des Risikomanagementsystems wird auf Abschnitt 2.4 „Prozessschritte des Risikomanagementsystems“ verwiesen.

2.2 Gesetzliche Grundlagen

2.2.1 KonTraG

Bei dem Gesetz zur Kontrolle und Transparenz (KonTraG) handelt es sich um ein Artikelgesetz, welches zum 1. Mai 1998 in Kraft getreten ist. Durch die Einführung des KonTraG sollten Schwächen und Fehlverhalten im System der Unternehmenskontrolle gemindert (in Bezug auf Überwachung und Leitungsverhalten) sowie eine erhöhte Transparenz erreicht werden. Damit einhergehend wurden mehrere Vorschriften des Aktien- und Handelsgesetzes geändert. Die Hauptänderung betraf den Verantwortungsbereich des Vorstandes. Dieser wird durch § 91 Abs. 2 AktG zur Errichtung eines Überwachungssystems für die Erkennung bestandsgefährdender Risiken verpflichtet. Bislang wurde die allgemeine Leitungspflicht des Vorstandes durch den § 76 AktG hergeleitet.^[10] Mit der Einführung des KonTraG und der damit einhergehenden Änderung des § 91 Abs. 2 AktG wird dem Vorstand in der Leitung nicht vorgegriffen und es bringt inhaltlich keine Neuerungen; es ergänzt lediglich.^[11] Zudem soll die Sorgfaltspflicht des Vorstandes nach § 93 Abs. 1 Satz 1 AktG konkretisiert werden.^[12]

Die explizite Änderung des § 91 Abs. 2 AktG gilt dem Wortlaut nach nur für Aktiengesellschaften. Weitere Änderungen des KonTraG betrafen neben dem Aktiengesetz die Änderung und Erweiterung der Abschlussprüfung nach dem dritten Buch des HGB.^[13] Mit dem KonTraG wurde lediglich mit dem § 91 Abs. 2 im Aktiengesetz eine entsprechende Vorschrift über eine Implementierung eines Risikomanagementsystems verabschiedet. Im GmbH-Gesetz oder im Genossenschaftsgesetz ist keine entsprechende Gesetzesvorschrift zu finden. Der Gesetzgeber betont jedoch in seiner Gesetzesbegründung zum KonTraG, dass für GmbHs – in Abhängigkeit von ihrer Größe, Komplexität und Struktur – nichts anderes als für Aktiengesellschaften gelte.^[14] Mittlerweile gibt es die verbreitete Auffassung, dass die Pflicht zur Einführung eines Risikomanagementsystems durch das KonTraG neben der Aktiengesellschaft und der GmbH auch für weitere Unternehmensformen wie der Körperschaft des öffentlichen Rechts oder öffentliche Wirtschaftsbetriebe gilt.^[15] Zu den öffentlichen Wirtschaftsbetrieben gehören unter anderem Krankenhäuser in öffentlicher Trägerschaft, soweit sie nicht in der Rechtsform einer GmbH geführt werden und dadurch bereits durch die Regierungsbegründung zum KonTraG angesprochen werden, ein Risikomanagementsystem einzuführen.

2.2.2 Andere gesetzliche Grundlagen

Neben dem Gesetz zur Kontrolle und Transparenz (KonTraG) existieren weitere gesetzliche Bestimmungen, die sich direkt oder indirekt auf das Risikomanagement im Unternehmen beziehen.

Neben dem § 91 Abs. 2 AktG ist für das Risikomanagement börsengelisteter Unternehmen der Deutsche Corporate Governance Kodex (DCGK) relevant, der eine freiwillige Selbstverpflichtung der Unternehmen darstellt.^[16] Jedoch dürfte ein kapitalmarktorientiertes Unternehmen in Erklärungsnot gegenüber Aktionären, Banken und anderen Gläubigern bei Nichtanwendung des DCGK geraten. In Punkt 4.1.4 des Kodexes heißt es, dass der Vorstand für ein angemessenes Risikomanagement und Risikocontrolling zu sorgen hat. Somit wird neben dem KonTraG im DCGK der Vorstand einer börsennotierten Aktiengesellschaft direkt in die Pflicht genommen, ein Risikomanagement und damit verbunden ein Risikocontrolling zu errichten. Zudem sprechen weitere Punkte des DCGK explizit den Begriff Risikomanagement an, was ein vorhandenes und funktionierendes Risikomanagement voraussetzt. So wird im Abschnitt 5.2 des Kodexes gefordert, dass Vorstand und Aufsichtsrat regelmäßig Kontakt beim Austausch hinsichtlich der Strategie des Risikomanagements haben. Nach 5.3.2 ist ein Prüfungsausschuss einzurichten, der sich mit dem Risikomanagement befasst. Nicht zuletzt hat der Vorstand dem Aufsichtsrat regelmäßig über das Risikomanagement zu berichten (Kodex Punkt 3.4).^[17] Mit den Vorschriften des DCGK und dem Gesetz zur Transparenz und Publika­tion (TransPuG) vom 26.07.2002 wird das Risikomanagementsystem damit zu einem Führungs- und Überwachungsthema.^[18]

Neben dem DCGK ist als weitere Normierung der IDW-Prüfungsstandard 340 zu nennen. Dieser befasst sich mit der Prüfung des Risikofrüherkennungssystems im Unternehmen.^[19] Er bezieht sich zwar auf die Prüfung nach § 91 Abs. 2 AktG, kann aber auch bei einer freiwilligen Prüfung herangezogen werden. Der Prüfungsstandard weist jedoch keine rechtsverbindliche Wirkung für Gesellschaften auf, da er Gegenstand der Wirtschaftsprüfung ist.

Eine weitere gesetzliche Normierung zum Risikomanagement findet sich im Haushaltsgrundsätzegesetz (kurz HGrG). Das HGrG bestimmt Regeln zur Aufstellung und Ausführung von öffentlichen Haushaltsplänen. Dieses Gesetz ist demnach für Krankenhäuser in öffentlicher Trägerschaft relevant. Für das Risikomanagement spielt § 53 HGrG eine wesentliche Rolle. Er verpflichtet Krankenhäuser in öffentlicher Trägerschaft zur Prüfung des Risikomanagementsystems. Zur Prüfung und Beurteilung des Risikomanagements wird ein festgelegter Fragenkatalog herangezogen.^[20]

Das HGB deutet indirekt auf das Risikomanagement im Unternehmen hin. So werden Unternehmen bzw. Krankenhäuser in Form von mittelgroßer und großer Kapitalgesellschaft nach § 289 HGB im Lagebericht dazu verpflichtet, auf die Risiken der künftigen Entwicklung einzugehen. Ein Risikomanagement kann dazu wertvolle Hilfestellungen geben.^[21]

Eine weitere indirekte Pflicht zum Risikomanagement im Krankenhaus lässt sich aus den Sozialgesetzbüchern V (Sozialgesetzbuch für die Krankenversicherung) und IX (Sozialgesetzbuch für die Pflegeversicherung) ableiten. In § 137 Abs. 1 Nr. 1 SGB V heißt es, dass alle zugelassenen Krankenhäuser verpflichtende Maßnahmen zur Qualitätssicherung und ein einrichtungsinternes Qualitätsmanagement einführen müssen. Ebenso spricht der § 21 Abs. 3 SGB IX von einer Errichtung eines Qualitätsmanagements als Notwendigkeit. Diese Paragraphen sprechen zwar von Qualitätsmanagement und sind von der Implementierung eines umfassenden Risikomanagementsystems im Sinne eines systematischen Risikomanagementprozesses auf allen Ebenen und in allen Klinikbereichen weit entfernt. Jedoch werden in vielen Kliniken Maßnahmen des Risikomanagements im Rahmen des Qualitätsmanagement durchgeführt, zum Beispiel im Bereich der Aortenklappenchirurgie, der Herztransplantation, der Knietotalendoprothese oder anderen medizinischen Behandlungen.^[22] Damit können die Vorschriften des Sozialgesetzbuches als ein weiterer Anstoß gesehen werden, ein Risikomanagement im Krankenhaus einzusetzen.

2.3 Ziele und Grundsätze des Risikomanagements

Mit der Einführung des § 91 Abs. 2 AktG, im Zuge des KonTraG, verpflichtet der Gesetzgeber den Vorstand einer Aktiengesellschaft, ein Risikomanagementsystem einzuführen, um potentielle Gefahren zu erkennen und sie abzuwehren.^[23] Das Risikomanagementsystem soll dabei frühzeitig bestandsgefährdende Entwicklungen und Risiken erkennen. Frühzeitig in diesem Sinne bedeutet, dass Entwicklungen in einem Stadium erkannt werden, in dem es für den Vorstand noch möglich ist, Gegenmaßnahmen zu treffen, um den Fortbestand des Unternehmens zu sichern.^[24] Der Begriff „Risiken“ bezieht sich nicht auf jedes bestehende Risiko, welches ein Unternehmen bedroht. Es sind vielmehr bestandsgefährdende Risiken gemeint. Das bedeutet, nur Entwicklungen in Form von risikobehafteten Geschäften, Unrichtigkeiten der Rechnungslegung und Verstößen gegen gesetzliche Vorschriften müssen erkannt werden, die Einfluss auf die Vermögens-, Ertrags- und Finanzlage des Unternehmens haben können.^[25]

Die Hauptziele des Risikomanagement sind im Wesentlichen die Sicherstellung der Unternehmensexistenz, die Sicherung künftiger Unternehmenserfolge und die Minimierung der Risikokosten.^[26] Neben den Hauptzielen, die sich auch aus den Gesetzen bzw. aus den Gesetzesbegründungen ableiten lassen, beinhaltet das Risikomanagement zwei weitere untergeordnete Ziele: Dabei handelt es sich zum einen um die Verbesserung der Erreichung betriebswirtschaftlicher Ziele und zum anderen um die Senkung von Eigenkapital- und Fremdkapitalkosten.^[27] Durch Analysen des Risikomanagements können Risiken bestimmter Entscheidungen aufgezeigt und transparent gemacht werden. Dies bildet eine Voraussetzung für die Verbesserung betriebswirtschaftlicher Ziele im Unternehmen.^[28] Die Investoren können sich durch eine umfassendere Berichterstattung über die Chancen und Risiken einen besseren Überblick über einen Unternehmen verschaffen. Durch die erreichte Transparenz sind die Investoren bereit, dem Unternehmen Liquidität zu besseren Konditionen zur Verfügung zu stellen.^[29]

Die Grundsätze ordnungsgemäßer Risikoüberwachung (nachfolgend GoR genannt) lassen sich in die allgemeinen GoR und besonderen GoR einteilen. Zu den allgemeinen GoR zählen 1. der Grundsatz der Gesetzmäßigkeit, 2. der Grundsatz der Ordnungsmäßigkeit und Systematik und 3. der Grundsatz der Wirtschaftlichkeit.^[30]

Nach dem Grundsatz der Gesetzmäßigkeit ist der Vorstand verpflichtet, alle gesetzlichen und rechtlichen Regelungen zu kennen und zu beachten, die in Verbindung mit der Überwachung von Unternehmensrisiken stehen. In Zweifelsfällen hat sich der Vorstand oder Geschäftsführer sachlich beraten zu lassen.^[31] In einem Krankenhaus wären das neben den betriebswirtschaftlich-rechtlichen Rahmenbedingungen, die sich in der Gesundheitspolitik stetig ändern, auch die medizinisch rechtliche Seite, von der Ärzte hauptsächlich betroffen sind. Der zweite Grundsatz bezieht sich darauf, dass das Risikomanagementsystem klar und übersichtlich zu implementieren ist, sodass sich ein externer dritter Sachverständiger ein Bild vom Risikopotential des jeweiligen Unternehmens machen kann.^[32] In einem Krankenhaus ist dieser Grundsatz von besonderer Relevanz, da trotz der Vielzahl von Hierarchieebenen und Abteilungen im wirtschaftlichen und medizinischen Bereich das Risikomanagementsystem übersichtlich und verständlich für einen Dritten gehalten werden muss. Der Grundsatz der Wirtschaftlichkeit besagt, dass der Informationsertrag der Früherkennung größer sein muss als der Aufwand, der aus der Einrichtung der Früherkennung resultiert.^[33]

Zu den besonderen GoR dagegen zählen die Grundsätze^[34] der Risikostrategiebestimmung, der Etablierung einer Organisationsstruktur, der vollständigen Risikoermittlung, der vorsichtigen Risikobewertung, der Wesentlichkeit, der Kommunikation, der Dokumentation und der Stetigkeit. Diese Grundsätze werden im Rahmen der Beschreibung des Risikomanagementprozesses in Kapitel 2.4 dieser Arbeit näher erläutert.

2.4 Prozessschritte des Risikomanagements

2.4.1 Risikoidentifikation

Risikoidentifikation und darauf aufbauende Folgeprozesse können nur auf Grundlage einer Risikostrategie durchgeführt werden. Es muss daher in einem ersten Schritt von der Unternehmensleitung bzw. Krankenhausleitung festgelegt werden, wie mit Risiken umzu­gehen ist und auf welche Risiken eingegangen werden soll. Die Risikostrategie ist in die gesamte Unternehmensstrategie einzubinden und bildet einen Teilbereich von ihr.^[35] Die tatsächliche Risikosituation ist daraufhin laufend mit der Risikostrategie abzugleichen.

Darauf aufbauend findet die Risikoidentifikation als erster Prozessschritt statt. Eine Risikoidentifikation beinhaltet eine detaillierte Kenntnis der Unternehmensrisiken einschließlich ihrer Wirkungszusammenhänge, um rechtzeitig und angemessen auf unerwünschte Entwicklungen zu reagieren.

Ziel der Risikoidentifikation ist die strukturierte Erfassung wesentlicher Risikobereiche und der Risiken in diesem Bereich. Ausgangspunkt einer Risikoidentifikation ist eine umfassende und systematische Festlegung der risikorelevanten Beobachtungsbereiche innerhalb und außerhalb des Unternehmens. Eine Unterscheidung der Risiken liegt in der Abgrenzung nach operativen und strategischen Risiken. Risiken sind abhängig von der Branchenzugehörigkeit des Unternehmens. Bestimmte Risiken, wie etwa explizite Finanzrisiken (bspw. dem Zinsrisiko), sollten jedoch regelmäßig und nahezu in allen Unternehmensbranchen vorkommen. Zudem sollte beachtet werden, dass sich Kausalketten in Bezug auf die Risikoidentifikationen im Rahmen der Unternehmensumwelt ständig ändern können.^[36]

Für die Erschließung von Informationen bieten sich interne und externe Informationsquellen an. Interne Quellen können u. a. Controllingdaten, Statistiken, Liquiditätsübersichten oder auch Kapazitätsangaben sein. Zu den externen Quellen zählen z. B. Zeitungsberichte, Veröffentlichungen, Geschäftsberichte oder Literaturquellen.^[37]

Als Methode zur Erfassung operativer Risiken kommen Prüf- bzw. Checklisten, Fragebögen, Workshops, Dokumentenanalysen, Besichtigungen, Befragungen, Beobachtungen und Schadensstatistiken in Betracht. Das Hauptproblem besteht darin, dass keine Methode eine vollständige Erfassung aller Risiken gewährleistet.^[38] Für die Erfassung strategischer Risiken bietet sich in erster Instanz die Szenariotechnik an.^[39]

Risiken müssen permanent erfasst werden. Bei allen Möglichkeiten, die eine Risikoidentifikation gewährleistet, sollte der Rahmen der Wesentlichkeit und Wirtschaftlichkeit beachtet werden. Neu erkannte Risiken sollten schnell und unmittelbar erfasst werden. Zudem muss der psychologische „Willens“-Aspekt der Mitarbeiter dabei berücksichtigt werden, eine potentiell mögliche Fehlerquelle zu finden.

An dem Prozess der Risikoidentifikation sollten zur vollständigen Erfassung neben der Krankenhausleitung alle leitenden Mitarbeiter teilhaben.^[40]

2.4.2 Risikoanalyse und Risikobewertung

Die Risikoanalyse und -bewertung schließt sich der Risikoidentifikation direkt an. Hierbei sollen die Ursachen und Ausmaße der identifizierten Risiken ermittelt werden.

Bei der Risikoanalyse kann nach Ursachen unterschieden werden, die vom Unternehmen beeinflussbar oder nicht beeinflussbar sind. Daraus ergibt sich ein erster Anhaltspunkt für Maßnahmen der späteren Risikosteuerung. Da sich Ursachen ändern oder hinzukommen können, stellt die Risikoanalyse einen sich regelmäßig wiederholenden Prozess dar.^[41] Zu unterscheiden ist auch nach bestandsgefährdenden und nicht bestandsgefährdenden Risiken. Die Unterscheidung ist sinnvoll, da auf bestandsgefährdende Risiken eine geringere Wahrscheinlichkeit zutrifft, diesen aber anders entgegengetreten werden muss als nicht bestandsgefährdenden Risiken.

Die Risikobewertung bildet den Kern des Risikomanagements. Denn nur Risiken, die erkannt, erfasst und bewertet werden, können auch gezielt überwacht und gesteuert werden. Nach Auffassung des IDW und der Literatur sollte die Risikobewertung als Schadenserwartungswert aus dem Produkt von Schadenshöhe und Eintrittswahrscheinlichkeit ermittelt werden.^[42] Es sollte jedoch beachtet werden, dass die Eintrittswahrscheinlichkeit eine subjektive Betrachtungsweise darstellt und daher von Mitarbeitern durchgeführt werden sollte, die eine spezielle Fachkenntnis auf dem jeweiligen Gebiet aufweisen.

Des Weiteren bieten sich zusätzlich zu der Eintrittswahrscheinlichkeit als einfaches Verlustmaß in der Literatur weitere quantitative Methoden zur Risikobewertung an.^[43] Neben der kennzahlenorientierten Betrachtungsweise, dem Value at Risk und dem Scoring Modell als qualitative Risikobewertung, sollte auf den Grundsatz der Wirtschaftlichkeit geachtet werden. Die Bewertung der Risiken sollte grundsätzlich brutto (vor etablierten Risikobewältigungsmaßnahmen) erfolgen. Denn nur so ergibt sich eine vollständige Transparenz über das aus dem Risiko resultierende Gefährdungspotential.^[44]

2.4.3 Risikosteuerung und -maßnahmen

Risikosteuerung und -maßnahmen entsprechen der aktiven Beeinflussung im Rahmen der zuvor bewerteten Risikopositionen. Es soll das Gesamtunternehmensrisiko in einem tragbaren und akzeptablen Rahmen gehalten bzw. ein ausgewogenes Verhältnis von Ertrag und Risiko erreicht werden. Steuerungsmaßnahmen zielen auf die Verringerung der Eintrittswahrscheinlichkeit oder Begrenzung der Auswirkung von Risiken ab.

Bei der Risikosteuerung werden Schwellenwerte auf Basis der Risikoneigung der Unternehmensleitung und Risikostrategie für die zuvor identifizierten, analysierten und bewerteten Risiken festgelegt. Eine Überschreitung der Schwellenwerte führt zu einer Ad-hoc-Mitteilung an die Unternehmensleitung und hat automatisch Risikomaßnahmen zur Folge. Dabei bietet es sich an, mit Ist- und Soll-Werten zu arbeiten.^[45]

Risikomaßnahmen zielen auf Vorsorge, Vermeidung, Verteilung und Überwälzung/ Kompensation ab. Risikovorsorge ist eng mit der Risikobegrenzung verknüpft. Bei der Risikovorsorge geht es um präventive Maßnahmen, Risiken komplett zu vermeiden. Als Beispiel sei der Brandmelder genannt. Die Risikovermeidung sollte nicht aus absoluter Sicht betrachtet werden. Vielmehr geht es um das Risiko der einzelnen Geschäftstätigkeit. Zur Feststellung einer Risikovermeidung können Limits verwendet werden, die bei Überschreitung eine Vermeidung der jeweiligen Geschäftstätigkeit zur Folge haben. Bei der Risikoverteilung geht es um die Ausnutzung von Diversifikationseffekten. Diese werden erzielt, wenn sich zwei Vermögensgegenstände gegenseitig beeinflussen und dadurch das Einzelrisiko der beiden Vermögensgegenstände verringert wird. Die theoretische Grundlage basiert auf der Portfoliotheorie. Bei der Risikoüberwälzung/-kompensation dagegen bleibt das Einzelrisiko im Unternehmen bestehen. Es wird lediglich durch Abschluss eines Vertrages auf einen Dritten verlagert. Die zu entrichtende Prämie hängt dementsprechend von dem abgesicherten Risiko ab. Die häufigste Form der Risikoüberwälzung/-kompensation bilden Derivate.^[46]

Eine weitere denkbare Risikomaßnahme stellt das Selbsttragen des Risikos dar. Dabei ist sich das Risikomanagement des Risikos bewusst und es wird bei allen Folgeentscheidungen berücksichtigt.^[47] Diese Form der Risikomaßnahme dürfte nur bei kleinen und nicht erheblichen Risiken in Betracht kommen, welche trotz des Grundsatzes der Wesentlichkeit in das Risikoportfolio aufgenommen wurden.

2.4.4 Kommunikation

Die Risikokommunikation dient der zeitnahen Weitergabe aller wesentlichen Risikoinformationen. In der Regel handelt es sich um die nächsthöhere Hierarchieebene.

Es bietet sich an, die bereits in der Risikosteuerung implementierten Schwellenwerte für die Kommunikation von Risiken zu nutzen. In welchen Zeitabständen die Weitergabe aller wesentlichen Risikoinformationen abläuft, hängt von der Art des Risikos und seiner Bedeutung für das Unternehmen ab. Bei wesentlichen oder bestandsgefährdenden Risiken sollte jedoch die Kommunikation unabhängig von Berichtsstrukturen oder Kommunikationswegen sehr kurzfristig erfolgen. Zusätzlich empfiehlt sich die Einbindung der Risikokommunikation in das Reporting und Berichtswesen des Unternehmens.^[48] Dies kann viertel-, halb- oder jährlich geschehen. So werden Empfänger ständig über das Thema Risiko im Unternehmen informiert und für dieses sensibilisiert.

Schließlich ist es notwendig zu dokumentieren, wer welche Informationen wann weitergegeben hat. Nur so kann nachvollziehbar gemacht werden, ob die Maßnahmen zur Risikoerkennung im Unternehmen tatsächlich funktionieren.^[49] Des Weiteren ist die Kommunikationsbereitschaft der verantwortlichen Stellen und eine Sensibilität für das Thema Risikokommunikation zu gewährleisten. Dies kann durch Schulungsmaßnahmen oder Workshops gefördert werden. Es muss der Eindruck erzeugt werden, dass es nicht um Schuldzuweisungen geht, sondern um den Lerneffekt aus Fehlern.

2.4.5 Dokumentation

Zur Sicherstellung einer dauerhaften Funktionsfähigkeit des Risikomanagements innerhalb des Unternehmens ist es notwendig, dass alle zuvor erläuterten Prozessschritte angemessen dokumentiert werden. Die Dokumentation dient internen und externen Adressaten. Interne Adressaten können Geschäftsführung oder Aufsichtsrat sein, wohingegen externe Interessengruppen Kapitalgeber, Analysten oder Wirtschaftsprüfer umfassen.

Eine angemessene Risikodokumentation gilt als Nachweis der Pflichten nach § 91 Abs. 2 AktG und muss zu jedem Risikomanagementsystem gehören. Dies leitet sich aus dem IDW-Standard PS 340 ab.^[50] Im § 317 Abs. 4 HGB ist von einer Prüfungspflicht des in § 91 Abs. 2 AktG verankerten Risikomanagements die Rede. Der Prüfungsstandard PS 340 befasst sich mit der Prüfung des Risikomanagementsystems. Hier wird die angemessene Dokumentation der getroffenen Maßnahmen verlangt. Eine fehlende oder unvollständige Dokumentation führt dagegen zu Zweifeln an der dauerhaften Funktionsfähigkeit der getroffenen Maßnahmen.

Explizit spricht das IDW weiter von einem Risikohandbuch. Dieses bietet sich an, um die organisatorischen Regelungen und Maßnahmen zur Einrichtung des Risikomanagementsystems aufzunehmen. Das Risikohandbuch stellt demzufolge eine risikoorientierte Unternehmensrichtlinie dar sowie ein vom Wirtschaftsprüfer zu prüfendes Dokument.^[51]

Für die interne Dokumentation bietet es sich weiter an, ein Risikoinventar, z. B. in Form einer tabellarischen RiskMap, zu erstellen. Diese Dokumentation knüpft an die Risikoidentifikation und Risikobewertung an. Es besteht die Möglichkeit, für die einzelnen Risiken eine Farbskalierung in Form einer Ampelfunktion zu erstellen. Dieses zusätzliche Dokument dient der besseren Veranschaulichung, Vereinfachung und dem Gespür der Mitarbeiter für das Risiko.

2.4.6 Risikoüberwachung

Ein wesentlicher Bestandteil des Risikomanagements ist die stetige Überwachung der identifizierten Risiken. Dazu dient die interne Risikoüberwachung im Unternehmen. Zudem ist damit die Einhaltung der nach § 91 Abs. 2 AktG eingerichteten Maßnahmen durch ein geeignetes Überwachungssystem sichergestellt.

An die Risikoüberwachung sind weitere wichtige Anforderungen zu stellen: Schwerpunktsetzung der Risiken, Verbindung mit bestehenden Organisationen (insb. dem Controlling), Aufgabenzuordnung im Risikomanagement, Verteilung der Verantwortlichkeiten, Einbindung der Mitarbeiter und die Festlegung von Risikopolitik und Limitsystemen.^[52]

Auf der Ebene der Risikoüberwachung werden die Elemente der Risikodiagnose (Identifikation, Analyse, Bewertung, Steuerung, Maßnahmen, Dokumentation und Kommunikation) in zeitlicher und sachlicher Hinsicht koordiniert. Die zeitliche Koordination betrifft dabei die Ausgestaltung der Risikodiagnose zu einem permanenten Über­wachungsprozess. Die sachliche Koordination dagegen dient der systematischen Zusammenfassung und Koordination der erkannten und erfassten Einzelrisiken.^[53] Zur weiteren Ausprägung des Überwachungssystems wird auf Kapitel 3.2 verwiesen.

Alle Prozessschritte innerhalb des Risikomanagements sollten gemeinsam und wiederholend durchgeführt werden. Bei sich ändernden internen und externen Einflüssen bzw. Bedingungen sollten sich die Prozesse im Rahmen eines kontinuierlichen Ver­besserungsprozesses (KVP) stetig anpassen. Abbildung 1 zeigt das Zusammenwirken der Prozessschritte noch einmal deutlich.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: ganzheitlicher Risikomanagementprozess Quelle: in Anlehnung an Astfäller, E./ Müller-Gauss,U. (Krankenhaus, 2008), S. 394.

2.5 Kontrollen des Risikomanagements

2.5.1 Kontrollen durch den Aufsichtsrat

Die Einrichtung eines Risikomanagementsystems nach § 91 Abs. 2 AktG gehört zur Aufgabe des Vorstands. Im Gegenzug hat der Aufsichtsrat als Überwachungsorgan den Vorstand gemäß § 111 Abs. 1 AktG zu kontrollieren. Damit ist der Aufsichtsrat verpflichtet, das Risikomanagementsystem zu überwachen, sofern die Geschäftsführung verpflichtet ist, ein Risikomanagementsystem zu führen.^[54] Im Gesetz ist jedoch nicht explizit aufgeführt, welche genauen Maßnahmen der Aufsichtsrat zu treffen hat, um den Vorstand zu überwachen. Eine grobe Orientierung über die Aufsichtsratspflichten ergibt sich aus § 90 Abs. 1 AktG. Demnach hat der Vorstand dem Aufsichtsrat über die beabsichtigte Geschäftspolitik und anderen grundsätzlichen Fragen der Unternehmensplanung zu berichten. Daraus ergibt sich, dass der Aufsichtsrat ist verpflichtet ist, den Jahresbericht, den Quartalsbericht, einen Sonderbericht und den Lagebericht zu prüfen.^[55]

Die Überwachungspflicht des Aufsichtsrats bezieht sich auf die Kriterien der Rechtmäßigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit.^[56] Dies bedeutet, dass der Aufsichtsrat verpflichtet ist zu prüfen, ob ein funktionierendes Risikomanagementsystem besteht. Weiterhin ist zu kontrollieren, ob das Risikomanagementsystem den gesetzlichen Minimalanforderungen entspricht.^[57] Die Überwachungspflicht bezieht sich jedoch nicht auf alle Einzelmaßnahmen, da der Aufsichtsrat nicht als Zweitvorstand anzusehen und die Zweckmäßigkeit der Wirtschaftlichkeit zu befolgen ist. Die Überwachungspflicht des Aufsichtsrats ist vielmehr als grundlegende strategische Entscheidung anzusehen.^[58]

Stellt der Aufsichtsrat fest, dass der Vorstand seinen Aufgaben bezüglich eines angemessenen Risikomanagementsystems nicht nachgekommen ist, eröffnet ihm das Gesetz verschiedene Möglichkeiten zur Gegensteuerung. Zu diesen Maßnahmen gehören z. B. der Erlass einer Geschäftsordnung im Sinne des § 77 Abs. 2 Satz 1 AktG, die Abberufung von Vorstandsmitgliedern nach § 84 AktG oder das Recht zur Einsichtnahme und Prüfung gemäß § 111 Abs. 2 AktG. Die Auswahl des jeweiligen Instruments hängt dabei von der Schwere der Pflichtverletzung ab.^[59]

2.5.2 Kontrolle durch die interne Revision

In seiner Gesetzesbegründung weist der Gesetzgeber darauf hin, dass der Vorstand in Zusammenhang mit § 91 Abs. 2 AktG eine interne Revision einzurichten hat.^[60] Der Gesetzgeber nimmt jedoch keine konkreten Angaben vor, welche Prüfungspflichten seitens der internen Revision durchzuführen sind. Es bleibt somit in der Verantwortung des Vorstands, dafür zu sorgen, welche Sicherungsmaßnahmen getroffen werden, damit das Risikomanagementsystem seine Funktion erfüllt.^[61]

Die interne Revision ist als prozessunabhängige Institution anzusehen, die innerhalb des Unternehmens Strukturen und Aktivitäten kontrolliert und analysiert.^[62] Man kann davon ausgehen, dass in Großunternehmen die notwendige Überwachung des Risikomanagements ohne eine interne Revision nicht gewährleistet werden kann. Deshalb ist die Unternehmensüberwachung durch die interne Revision aufgrund ihrer allgemeinen Aufgabenstellung und ihrer neutralen Position durchzuführen.^[63]

Die interne Revision hat dabei die Aufgabe, Mängel festzustellen und geeignete Verbesserungsvorschläge zu empfehlen bzw. deren Umsetzung zu überwachen. Konkret bedeutet dies für das Risikomanagement, dass die interne Revision zu prüfen hat, ob ein fundiertes und dokumentiertes Risikomanagementsystem besteht. Weiterhin ist zu kontrollieren, dass das Risikomanagementsystem kontinuierlich betrieben wird, die Ergebnisse in geeigneter Weise dokumentiert und kommuniziert werden und die erkannten Maßnahmen umgesetzt worden sind.^[64]

2.5.3 Kontrolle durch den Wirtschaftsprüfer

Im Zuge des KonTraG wurde neben dem § 91 Abs. 2 AktG auch eine Vorschrift zur Prüfung des Risikomanagementsystems in § 317 Abs. 4 HGB eingeführt. Danach ist für börsennotierte Kapitalgesellschaften zu prüfen, ob der Vorstand geeignete Maßnahmen zur Einrichtung eines angemessenen Risikomanagementsystems getroffen hat und das Überwachungssystem seine Aufgaben erfüllen kann.^[65] Eine Prüfung für nicht börsennotierte Unternehmen kann auf freiwilliger Basis erfolgen. In der Praxis werden freiwillige Prüfungen durchgeführt, um Interessen von Aufsichtsräten, Konzernmuttergesellschaften und Banken zu befriedigen.^[66]

Der IDW hat zur Ausgestaltung des Prüfungsansatzes mit dem IDW PS 340 einen eigenen Prüfungsstandard entwickelt, um die Prüfungsschritte für den Wirtschaftsprüfer zu konkretisieren. Danach ist festzustellen, ob das Risikomanagementsystem dazu geeignet ist, alle potentiell bestandsgefährdenden Risiken zu erkennen, damit der Vorstand in der Lage ist, entsprechende Maßnahmen einzuleiten.^[67]

Die Prüfung im Sinne des § 317 Abs. 4 HGB ist nach § 321 Abs. 4 HGB in einem besonderen Teil des Prüfungsberichts darzustellen. Dabei haben Mängel bezüglich der getroffenen Maßnahmen des Risikomanagementsystems im Sinne des § 91 Abs. 2 AktG keine Auswirkungen auf den Bestätigungsvermerk. Darauf ist lediglich im Prüfungsbericht hinzuweisen.^[68]

Weiterhin ist der Wirtschaftsprüfer nach § 317 Abs. 2 HGB verpflichtet, den Lagebericht im Sinne des § 289 Abs. 1 HGB bzw. den Konzernlagebericht gemäß § 315 Abs. 1 HGB zu testieren. Der Lagebericht soll die Adressaten bezüglich einer zukunfts-orientierten Berichterstattung befriedigen. Die Berichterstattung enthält dabei sowohl interne als auch externe Risiken. Dabei ist zu prüfen, ob die zukünftigen Risiken zutreffend dargestellt sind.^[69]

Nicht zuletzt obliegt es dem Wirtschaftsprüfer ein Krankenhaus in öffentlicher Trägerschaft das Risikomanagement nach dem § 53 Haushaltsgrundsätzegesetz (HGrG) zu prüfen. Wie in Kapitel 2.2.2 angesprochen dient dafür ein vorgegebener Fragenkatalog. Mit diesem Fragenkatalog wird unter anderem die Eignung der Frühwarnsignale, die ausreichende Dokumentation der zur Risikofrüherkennung ergriffenen Maßnahmen oder auch die kontinuierliche und systematische Abstimmung der Frühwarnsignale mit den aktuellen Geschäftsprozessen und Funktionen bestätigt.^[70]

3. Das Risikomanagementsystem als Konstrukt

3.1 Hauptbestandteile des Risikomanagementsystems

3.1.1 Risikostrategie

Die Festsetzung der Risikostrategie ist mit der Gesamtausrichtung des Unternehmens, der Unternehmensstrategie, in Einklang zu bringen. Diese hängt entscheidend von der Unternehmensphilosophie, der Vision und von den strategischen Erfolgspotentialen ab.^[71]

Nach der Gesamtausrichtung der Unternehmensstrategie kann das Unternehmen die Strategie entwickeln, wie es mit dem Risiko als unternehmerischem Phänomen umgehen will. Anders gesagt:, Es muss ein Risikobewusstsein gebildet werden.^[72] Grundsätzlich kann das Unternehmen zwischen den Risikoeinstellungen risikoscheu, risikoneutral und risikofreudig wählen.^[73] Eine Änderung der Risikoeinstellung ist jederzeit denkbar und kann besonders von äußeren Umwelteinflüssen und Rahmenbedingungen geprägt sein. Ein Beispiel für eine risikofreudige Einstellung kann das Aufgreifen neuer Trends und Märkte sein. Als Gegenpart für die risikoscheue Einstellung sind das Meiden neuer Chancen und der Abschluss hoher Deckungssummen bei Haftpflichtversicherungen zu nennen. Auf der Risikostrategie aufbauend kann mit der Risikoidentifizierung als Prozessschritt innerhalb des Risikomanagementprozesses begonnen werden.

Für Gesundheitseinrichtungen und speziell für Krankenhäuser legt die Risikostrategie die Rahmenbedingungen für das Risikomanagement fest. Die Risikostrategie umfasst die risikopolitischen Grundsätze des Krankenhauses. Die Geschäftsführung kann hierbei unterschiedliche Ziele verfolgen: Die Verminderung der Haftpflichtschäden, die Sicherung der qualitativ hochwertigen medizinischen Versorgungsqualität, die Erhöhung der Wettbewerbsfähigkeit im Vergleich zu anderen Krankenhäusern, eine bessere Transparenz und Vertrauenswürdigkeit für den Patienten oder die sichere und patientenorientierte medizinische Versorgung können als solche Ziele ausgelegt werden.^[74]

[...]

^[1] Vgl. Bitz, H. (Risikomanagement, 2000), S. 13.

^[2] Vgl. Romeike, F. (Risiko-Management, 2004), S. 102.

^[3] Vgl. IDW PS 340, Rz. 3.

^[4] Vgl. Gerpott, T./ Hoffmann, A. (Risikomanagement, 2008), S. 8.

^[5] Vgl. Wolke, T. (Risikomanagement, 2008), S. 7.

^[6] Vgl. Bitz, H. (Risikomanagement, 2000), S. 16.

^[7] Vgl. IDW PS 340, Rz. 4.

^[8] Vgl. Wolke, T. (Risikomanagement, 2008), S. 4.

^[9] Vgl. Penter, V./ Siefert, B. (Kompendium, 2008), S. 420.

^[10] Vgl. Kuhl, K./ Nickel, J.-P. (Risikomanagement, 1999), S. 133.

^[11] Vgl. BegRegE. KonTraG BT-Drucks. 13/9712, S. 15.

^[12] Vgl. Bitz, H. (Risikomanagement, 2000). S. 1.

^[13] Vgl. BegRegE. KonTraG BT-Drucks. 13/9712, S. 1.

^[14] Vgl. Ebd., S. 15.

^[15] Vgl. Land, B. (Risikomanagement im Krankenhaus, 2011), S. 228.

^[16] Vgl. Gerpott, T./ Hoffmann, A. (Risikomanagement, 2008), S. 10.

^[17] Vgl. DCGK 2012, 3.4 – 5.3.2.

^[18] Vgl. Theisen, R. (Risikomanagement), S. 1426.

^[19] Vgl. IDW PS 340, Rz. 24-33.

^[20] Vgl. Haubrock, M./ Schär, W./ Georg, J. (Betriebswirtschaft, 2009), S. 502-503.

^[21] Vgl. Jürgens, A./ Allkemper, T. (Krankenhäuser Risikomanagement, 2000), S. 633.

^[22] Vgl. Eiff, W. v./ Middendorf, C. (Klinisches Risikomanagement, 2004), S. 540.

^[23] Vgl. BegRegE. KonTraG BT-Drucks. 13/9712, S. 15.

^[24] Vgl. Ebd., S. 15.

^[25] Vgl. Ebd., S. 15.

^[26] Vgl. Haubrock, M./ Schär, W./ Georg, J. (Betriebswirtschaft, 2009), S. 498.

^[27] Vgl. Gerpott, T./ Hoffmann, A. (Risikomanagement, 2008), S. 8.

^[28] Vgl. Hornung, K. (Risk Management, 1998), S. 280.

^[29] Vgl. Gleißner, W./ Heyd, R. (Rechnungslegung, 2006), S. 105.

^[30] Vgl. Huth, M.-A. (Grundsätze, 2007), S. 2168.

^[31] Vgl. Huth, M.-A. (Grundsätze, 2007), S. 2168.

^[32] Vgl. Rechnungslegung nach HGB, § 243 Abs. 2 HGB.

^[33] Vgl. Huth, M.-A. (Grundsätze, 2007), S. 2169.

^[34] Vgl. Huth, M.-A. (Grundsätze, 2007), S. 2169.

^[35] Vgl. Lück, W. (Umgang Risiken, 1998), S. 1925.

^[36] Vgl. Eggemann G./ Konradt T. (Risikomanagement, 2000), S. 505.

^[37] Vgl. Olfert, K./ Ehrmann, H. (Kompakt-Training, 2005), S. 46.

^[38] Vgl. Kromschröder, B./ Lück, W. (Grundsätze, 1998), S. 1574.

^[39] Vgl. Wolf, K./ Runzheimer, B. (Risikomanagement, 2009), S. 47.

^[40] Vgl. Jürgens, A./ Allkemper, T. (Krankenhäuser Risikomanagement, 2000), S. 633.

^[41] Vgl. Lück, W. (Umgang Risiken, 1998), S. 1927.

^[42] Vgl. IDW PS 340, Rz. 10; Wolke, T. (Risikomanagement, 2008), S. 13.

^[43] Vgl. Wolke, T. (Risikomanagement, 2008), S. 13.

^[44] Vgl. Eggemann, G./ Konradt, T. (Risikomanagement, 2000), S. 505.

^[45] Vgl. Penter, V./ Siefert, B. (Kompendium, 2008), S. 426.

^[46] Vgl. Wolke, T. (Risikomanagement, 2008), S. 79 – 85.

^[47] Vgl. Eggemann, G./ Konradt, T. (Risikomanagement, 2000), S. 506.

^[48] Vgl. Gleißner, W. (Grundlagen, 2011), S. 223.

^[49] Vgl. Preußner, J./ Becker, F. (Ausgestaltung, 2002), S. 849.

^[50] Vgl. IDW PS 340, Rz. 17.

^[51] Vgl. Bitz, H. (Risikomanagement, 2000), S. 47 – 48.

^[52] Vgl. Gleißner, W. (Grundlagen, 2011), S. 254.

^[53] Vgl. Kromschröder, B./ Lück, W. (Grundsätze, 1998), S. 1574.

^[54] Vgl. Kindler, P./ Pahlke, A.-K. (Risikomanagement, 2001), § 1, Rz. 193.

^[55] Vgl. Gernoth, J.P. (Überwachungspflichten, 2001), S. 301.

^[56] Vgl. Kindler, P/ Pahlke, A.-K. (Risikomanagement, 2001), § 1, Rz. 226.

^[57] Vgl. Gernoth, J.P. (Überwachungspflichten, 2001), S. 301.

^[58] Vgl. Ebd., S. 301.

^[59] Vgl. Pahlke, A.-K. (Risikomanagement, 2002), S. 1685.

^[60] Vgl. BegRegE. KonTraG BT-Drucks. 13/9712, S. 15.

^[61] Vgl. IIR Revisionsstandard 2 (2001), Rz. 4.

^[62] Vgl. IDW PS 260 (Kontrollsystem, 2001), Rz. 6.

^[63] Vgl. IIR Revisionsstandard 2 (2001), Rz. 5.

^[64] Vgl. Ebd., Rz. 6 und 12.

^[65] Vgl. BegRegE. KonTraG BT-Drucks. 13/9712, S. 15.

^[66] Vgl. Eggemann, G./ Konradt, T. (Risikomanagement, 2000), S. 506.

^[67] Vgl. IDW PS 340 (Prüfung, 1999), Rz. 26.

^[68] Vgl. IDW PS 340 (Prüfung, 1999), Rz. 32.

^[69] Vgl. Eggemann G./ Konradt T. (Risikomanagement, 2000), S. 509.

^[70] Vgl. Graumann, M/ Schmidt-Graumann, A. (Rechnungslegung, 2002), S. 361.

^[71] Vgl. Schmitz, T./ Wehrheim, M. (Risikomanagement, 2006), S. 30.

^[72] Vgl. BDU e.V. (Controlling, 2006), S. 73.

^[73] Vgl. Schmitz, T./ Wehrheim, M. (Risikomanagement, 2006), S. 33.

^[74] Vgl. Haubrock, M./ Schär, W./ Georg, J. (Betriebswirtschaft, 2009), S. 505.