Riskmanagement & IKS News
Die grössten Risiken für Gemeinden und Städte
Ein Guide für den schnellen Einstieg in die Erarbeitung eines Risk Managements für Gemeinden und Städte
Jede Gemeinde und Stadt, die Chancen erfolgreich wahrnehmen möchte, trifft unweigerlich auf Herausforderungen und Krisen, die es zu meistern gilt.
Alle Entscheidungen und Aktivitäten sind deshalb mit Risiken verbunden, und das Risikomanagement (RM) dient dazu, die Chancen z.B. aus den Legislaturzielen selbstbewusst ergreifen zu können.
Die Einführung eines formellen Risikomanagementprozesses gelingt, wenn
- die oberste Führungsebene ein wirksames Risikomanagement will, damit die «richtigen» Risiken eingegangen werden.
- der Wille zur klaren Formulierung von Verantwortlichkeiten für das Risikomanagement auf allen Ebenen vorhanden ist.
- geeignete personelle Ressourcen zur Übernahme der Rollen und Verantwortlichkeiten zur Verfügung stehen.
Der Prozess selbst umfasst fünf Schritte:
- Festlegen von Umfang und Kontext der Risikobeurteilung
- Festlegen Risikokategorien und -kriterien
- Risikoidentifikation
- Risikoanalyse und -bewertung
- Risikobehandlung
Schritt 1: Festlegen von Umfang und Kontext der Risikobeurteilung
Der erste Schritt des Risikomanagementprozesses besteht darin, den Umfang, die Grenzen und den Kontext festzulegen. Dies gewährleistet eine bessere
Nutzung von Zeit, Aufwand und Ressourcen der Organisation.
Der Erarbeitungsprozess – in Anlehnung an die ISO-Norm 31000:2018 für das Risikomanagement – gliedert sich wie folgt:
Schritt 2: Festlegung der Risikokategorien und -kriterien
Risikokriterien sind eine Reihe von Regeln oder Aussagen, die eine einheitliche Entscheidungsfindung ermöglichen. Die Verwendung von Risikokriterien unterstützt eine bessere Entscheidungsfindung.
Ein zielführender Ansatz ist es, die Risikokriterien in Risikokategorien zu bündeln.
Praxiserprobt ist die Einteilung in drei Kategorien von Risiken, die jeweils einen anderen Risikomanagementansatz erfordern.
– Vermeidbare Risiken entstehen aus dem Gemeindewesen heraus und bringen keinen strategischen Nutzen. Sie sollten vermieden oder kosteneffizient beseitigt werden.
– Strategische Risiken sind Risiken, die eingegangen werden, um einen höheren strategischen Nutzen zu erzielen. Es sollten Schritte unternommen werden, um ihre Wahrscheinlichkeit und Auswirkungen kosteneffizient zu verringern.
– Externe Risiken sind unkontrollierbare Risiken. Sie erfordern besondere Prozesse, die Manager dazu ermutigen, diese Risiken offen zu diskutieren und kosteneffiziente Wege zu finden, um ihre Wahrscheinlichkeit zu verringern oder ihre Folgen abzumildern.
Aus Schritt 1 und 2 ergibt sich der Rahmen für die Identifizierung und Zuteilung der Risiken. Das Resultat kann übersichtlich in einer Matrix dargestellt werden, wobei vertikal in Risikokategorien eingeteilt und horizontal die Risiken von ihrer Herkunft her zugeteilt werden.
Schritt 3: Risikoidentifikation
Für eine schnelle Erarbeitung eines Risk Managements lohnt es sich mit Vorgabedokumenten zu arbeiten. Die Vorgabedokumente illustrieren mögliche Risiken pro Risikoherkunftsbereich. Dies erleichtert den Sachexperten den Einstieg ins Thema und löst Assozationsketteneffekte aus, welche eine Risikoidentifikation effizient und effektiv vorantreiben.
Eine Liste mit möglichen Risiken für Legislaturziele, Verwaltungsbereiche und Projekte können Sie mit diesem Link herunterladen.
Schritt 4: Risikoanalyse und -bewertung
Ein Risiko zu analysieren bedeutet, das Risiko zu verstehen und ist die Grundlage für die Bewertung.
Eine eigentliche Bewertung ist nur für die strategischen und externen Risiken notwendig, denn die vermeidbaren Risiken können/sollen vermieden oder kosteneffizient beseitigt werden.
Die Vermeidung der Risiken kann mittels internem Kontrollsystem (IKS) erfolgen.
Vorgehen: In einem Bottom-up-Ansatz die Prozesse nach vermeidbaren Risiken durchkämmen und die «Schlüssel-Checks» zur Vermeidung/Beseitigung der Prozessrisiken als Kontrollen in ein dynamisches IKS einpflegen.
Für jedes zu bewertende Risiko muss entschieden werden,
- wer bewertet (interne, externe Experten und wie viele) und
- wie oft soll bewertet werden.
Die Bewertung selbst erfolgt nach einem einheitliche Raster für Eintretenswahrscheinlichkeit, Schadenhöhe und Einfluss auf die Reputation.
Das Resultat der Bewertung(en) erhält der sog. Risk Owner und sein Stellvertreter.
Schritt 5: Risikobehandlung
Die Behandlung strategischer und externer Risiken erfordert einen umfassenden Ansatz, der sowohl präventive als auch reaktive Massnahmen umfasst.
Es ist in der Verantwortung der Risk Owner, dass zeitgerechte angemessene Massnahmen ergriffen werden.
Organisatorisch ist festzulegen, wer über die Durchführung der Massnahmen entscheidet. Meistens ist es sinnvoll, die Entscheide gemeinsam als Leitungsorgan zu fällen, da Kosten und Nutzen oft in mehreren Bereichen anfallen.
Es versteht sich von selbst, dass die Umsetzung der Massnahmen, resp. deren Ergebnis ebenfalls überwacht werden muss – am sinnvollsten als Teil desselben dynamischen RM-Prozesses wie für die Risikobewertung.
Fazit: Es besteht ein signifikanter Zusammenhang zwischen langfristigem Erfolg und dem bewussten Umgang mit Risiken.
Die Integration von Risiko und Strategie ermöglicht es den Behörden, die besten Chancen auszuwählen und relevante Risiken zu managen.
Quellen: Reading Guide on HBR’s 10 Must Reads on Managing Risk 2024 HBR
A practical guide to ISO 31000:2018