8 Risikomanagement

• Definition
  • Fraud umfasst vorsätzl. Handlungen einer oder mehrerer Personen, um ungerechtfertigte oder rechtswidrige Vorteile zu erlangen (zB betrügerisches Verhalten/ Unterschlagung)
• Arten
  • Managagement-Fraud
    Falsche Präsentation des U. um bspw. Arbeitsplätze zu sicher oder mittelbar Vorteile zu erlangen
  • Mitarbeiter-Fraud
    Erlangung eines direkten persönl. Vorteils durch MA durch zweckentfremdete Nutzung von betriebl. Leistungen oder Eigentum
  • Begünstigung Dritter
    Gewährung ungerechtfertigter Leistung oder Eigentum an Dritte, ohne dass dabei einem MA ein Vorteil gewährt werden muss

• Diebstahl (§ 242 StGB)
• Unterschlagung (§ 246 StGB)
• Betrug (§ 263 StGB)
• Untreue (§ 266 StGB)
• + Deckungshandlungen
  • Urkundenfälschung, Fälschung von technischen Aufzeichnungen (§ 267/ 268 StGB)

• Schadenssumme kann extrem hoch sein und U-Existenz gefährden
• Taten sind nur schwer aufzuklären (> gute innere Revision)

1. mangelhafte Kontrolle
2. Schwachstellen in Prozessen
3. mangelhafte Vorbildfunktion von Vorgesetzten bei der Einhaltung ethischer Prinzipien

• Korruption ist der Missbrauch anvertrauter Macht zum privaten Nutzen oder Vorteil für sich oder einen Dritten in Erwartung eines Schadenseintritts oder Nachteil für die Allgemeinheit oder ein U.
  • bei einer Korruption gibt es nur Täter, aber keine klassischen Opfer (Problem: kein Interesse an der Aufdeckung > systematische Verschleierung)

• Strukturelle Korruption
• Situatiive Korruption
• Netzwerk Korruption

• spontan aus der Situation heraus (nicht geplant oder vorbereitet)
• auf zwei oder wenige Personen beschränkt
• nicht auf Wiederholung angelegt

• Basis = langfristig angelegte Beziehung (gewachsen) (in 90% der Fälle kennen sich Beteiligte schon mehrere Jahre)
• bewusst geplant und vorbereitet
  Wer ist Zielperson? Wie kann vorgegangen werden? Wie kann ich mich absichern? > anderer erpressbar machen
• "Anfüttern" > kleinere Gefälligkeiten
  kleinere Zuwendungen (Testphase) > Höhe und Häufigkeit steigern (Nehmer erpressbar) > konkrete Forderung

• organisierte Kiminalität
  zB Bauamtsleiter nimmt Zuwendungen von Baufirma an, Firma macht Angebote mit überhöhten Preisen, bekommt den Zuschlag und der 'Gewinn' wird unter beiden aufgeteilt

• Entscheidung nicht auf Basis betriebswirtschaftl. Rationalität, sondern auf Basis persönl. Interessen
• wirtschaftl. Folgeschäden zB für U. (Ausschluss öffentl. Vergabeverfahren, schlechtes Image, Schadensersatzklage)
• durch korrupte Handlungen geprägte U-Kultur führt zu Illoyalität und mangelnder Motivation der MA
• Korruption im öffentl. Bereich bewirkt eine allgemeine Rechtsunsicherheit und untergräbt die Legitimation des Staates

• Duplikationsanalyse (ungewöhnliche Häufungen in Buchungsdaten)
• Zeitabfragen (Buchungen zu ungewöhnl. Zeitpunkten)
• Rundungstests (häufig runde Beträge obwohl das eigentl. nicht erwartet wird)
• Stammdatenanalyse (Prüfung nach Auffälligkeiten bei Zahlungsempfängern (zB noch lebend?))
• Lückenanalyse (Fehlen zahlungsbegründete Informationen? Fortlaufende Buchungsnummern? Eigenbelege?)

Belfordsches Gesetz!

Hinweisgeber ist, wer Informationen über wahrgenommenes Fehlverhalten in einer Organisation oder das Risiko eines solchen Verhaltens ggü. Personen oder Stellen offenlegt, von denen angenommen werden kann, dass diese in der Lage sind, Abhilfe zu schaffen oder sonst angemessen darauf zu reagieren.

> MA meldet Verhaltensverstöße gegen Verhaltenskodex dem U.

• Internes Whistleblowing
  • MA weist auf Missstände hin an Vorgesetzten oder Betriebsrat
• Externes Whistleblowing
  • MA anonymer Hinweis an U-fremde Stellen (Polizei, Medien..)

Problem: Differenzierung zwischen legitim und illegitim > Geschäftsgeheimnisse veröffentlicht, die nicht zum SV gehören/ Versuch Personen gezielt zu schädigen/ Behauptung falscher Dinge

Problem: Whistleblower geht erhebliches Risiko ein!

Umfasst sämtliche Prozesse der Leitung und Überwachung eines U. mit dem Ziel regelkonformen U-Handelns

> deutscher Corporate Governance Kodex

• alle relevnten rechtl. Regelungen kennen und ausreichend kennen (> MA-Info)
• Rechtsbereiche bewerten und besonders kritische Rechtsverstöße identifizieren
• Maßnahmen zu SIcherung der Compliance einleiten (Kommunikation/ Transparenz)
• Bewertung von Rechtsbereichen und Compliance > Maßnahmen regelmäßig evaluieren und aktualisieren

Praxis: Problem der Umsetzung durch:
Fluktuation MA/ MA werden nachlässig/ MA aktualisieren Kenntnisse nicht/ Veränderung der Rahmenbedingungen

• Erinnerungsdefizit (unbewusst)
• Verständnisdefizit (unbewusst)
• Zuwiderhandlung einer Regel (bewusst)
• Irrtum (unbewusst)

• Aktive Fehler
• Latente Fehler

Werden direkt vor Ort durch MA begangen, können personalisiert werden (zB Medikamentengabe)

• haben Fehler im Management einer Organisation (zB unzureichende Personalausstattung)
• führt nicht unmittelbar zum Fehler, aber in Kombination mit individuellem Verhalten (zB falsche Medigabe, da der MA unter enormen Zeitdruck stand aufgrund von zu wenig Personal > Systemfehler)

• Jeder materielle oder immaterielle Nachteil, den eine Person oder Sache durch ein Ereignis erleidet
  • Personenschaden
  • Sachschaden
  • Umweltschaden  
    Sind alle unvermeidbar oder vermeidbar

Ereignisse und mögliche Entwicklungen innerhalb und außerhalb einer Organisation, die sich negativ auf die Erreichung der Organisationsziele auswirken.

• Sicherheit
  • eintretende Situation ist bekannt (Deterministisches Entscheidungsmodell)
• Unsicherheit
  • Risiko > objektive oder subjektive Eintrittswahrscheinlichkeit (stochastische Entscheidungsmodell)
  • Ungewissheit > keine Eintrittswahrscheinlichkeiten bekannt (Indifferenzprinzip (jedes Ereignis hat gleiche Wahrscheinlichkeit))

1. Strukturbedingtes Risiko (unzureichende technische Ausstattung)
2. Prozessbedingtes R. (schnittstellenproblematik)
3. Ergebnisorientiertes R. (Mitwirkung des Patienten)

Umfasst die normierten, systematischen Maßnahmen zur Risikoanalyse und Risikosteuerung.

• RM als zentrale Führungsaufgabe
• TOP-down Ansatz
• allgemein gehaltene Basics

Ziel: breite Anwendbarkeit

1. Controlling
2. QM
3. Risikofrüherkennung
4. Internes Kontrollsystem

1. normatives Risiko (aus U-Zielen, wenn die sich widersprechen)
2. strategisches Risiko (Personalausgestaltung)
3. operatives Risiko (auf Leistungserbringungsebene)

• Produktbezogene Kennzahlen beschreiben, inwiewei die Leistungsziele tatsächlich erreicht werden
• Prozessbezogene Kennzahlen beschreiben die Qualität und Verlässlichkeit von Leistungsprozessen (zB Finanzamt > Dauer und Fehlerfreiheit des Bescheids)
• Kennzahlen, deren Aussagen von Projekt- bzw. Prozess oder Produktverantwortlichen manipulativ beeinflusst werden können, müssen ausgeschlossen werden

= Critival Incident Reporting System (Berichtssystem über kritische Vorkommnisse)

• versucht als Frühwarnsystem systematisch aus Fehlern und unerwünschten Ereignissen zu lernen (Etablierung eines Lernsystems)
• Bei der Analyse der Ereignisse wird der Schwerpunkt auf die systematische Ursachenfindung gelegt.