News

Fokus: Öffentliche Verwaltung

Viel Baustelle, wenig Risikomanagement

Redaktion RiskNET09.08.2016, 10:00

"Das Leben ist eine Baustelle" lautet ein gleichnamiger Film aus den 1990er Jahren. Inhaltlich geht es um viel Unglück, der Suche sowie dem Neuanfang. Auch im öffentlichen Bereich geht es um viel Baustelle, Unglück sowie suchende Protagonisten. Und auch dort wäre ein Neuanfang vielfach hilfreich – zumindest was das Thema Risikomanagement in den Bereichen der öffentlichen Verwaltung betrifft.
Jüngst scheiterte der Verkauf des Flughafens Hahn an einen Großinvestor aus Asien. Mehrheitseigner des Hahn-Flughafens ist das Bundesland Rheinland-Pfalz mit 82,5 Prozent. Der Investor versprach viel und hielt wenig. Spätestens als es an das Bezahlen ging, duckten sich die Verantwortlichen aus Shanghai. Der Deal war geplatzt. Nun ist das Geschrei groß in der Rheinland-Pfälzischen Landesregierung. Es ist eine Binsenweisheit, dass die Beteiligten hinterher immer schlauer sind. Sei es am Flughafen Hahn, bei Stuttgart 21 oder dem BER-Hauptstadtflughafen. Der Rheinland-Pfälzische SPD-Innenminister Roger Lewentz formulierte es nach Medienberichten im Zuge des geplatzten "Hahn-Deals" wie folgt: "Heute würde ich einiges im Verhandlungsprozess anders machen."

Vielfältige Aufgaben und die Überwachung- und Sorgfaltspflicht

Land auf, Land ab, quält sich der öffentliche Sektor mit den großen und kleinen Risiken in Projekten, dem Controlling, der Informationssicherheit, beim Thema Compliance oder schlicht der Reputation. Doch woran liegt es, dass die vielfältigen Aufgaben in Verwaltungen nicht mit einem vorausschauenden Risikomanagement hinterlegt werden? Für Uwe Rühl, Risikomanagementexperte und seines Zeichens Geschäftsführer der gleichnamigen Rühlconsulting Gruppe, hängt vieles aufgrund mangelnder Zuständigkeiten, sprich wer für die Bewertung von Anforderungen und deren Umsetzung zuständig ist. "Hier klemmt es häufig durch Überlastung, wodurch Projekte stecken bleiben", erklärt Rühl, der weiß wovon er spricht. Denn er war selbst Leiter des kommunalen Teils (Rettungsdienst, Feuerwehr und Katastrophenschutz) der kooperativen Regionalleitstelle Nord. Rühl: "Risikomanagement ist eine Methode, die vermutlich kulturell nicht sonderlich einfach einzuführen ist. Wo man seitenlange Stellungnahmen zu Themen schreibt und Beschlussvorlagen formuliert, ist das Zusammenfassen von Themen in Risiken und deren Bewertung ein ungewöhnliches Verfahren mit dem man fremdelt."
Im Grunde liegt darin auch der permanente Widerspruch und das Spannungsfeld zwischen Sach- und Formalziel öffentlicher Organisationen begründet. Josef Scherer, Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement an der Technischen Hochschule Deggendorf (THD), weist darauf hin, dass öffentlich-rechtliche Institutionen primär andere Aufgaben und Ziele haben als die  Gewinnmaximierung. "Nach dem ökonomischen Prinzip kann beispielsweise versucht werden, auf der Basis eines festen Budgets die Ziele bestmöglich zu erreichen", so Scherer. Im Umkehrschluss heißt das für Verwaltungen, vielfältige politische und wirtschaftliche Ziele unter einen oftmals zu kleinen Hut zu bekommen – bei gleichzeitig diversen Interessengruppen und Zielsetzungen.

Das ist eine Mammutaufgabe. Aber diese entbindet das Topmanagement öffentlicher Organisationen nicht von der Überwachungs- und Sorgfaltspflicht in puncto funktionierender Risikomanagement- und Informationssicherheitsprozesse. Die Realität ist indes ernüchternd. Laut einer Umfrage im Rahmen einer Masterarbeit zum Thema "Risikomanagement in der öffentlichen Verwaltung" aus dem Jahr 2012 zeigt sich, dass 80 Prozent der teilnehmenden Verwaltungen (befragt wurden Bundesverwaltungen sowie Kommunalverwaltungen in Baden-Württemberg und Bayern, Anmerkung der Redaktion) die Einführung eines Risikomanagements für ihre Verwaltung als sinnvoll erachten. Aber nach eigener Aussage hatten zu diesem Zeitpunkt nur 22 Prozent eine Risikomanagementfunktion eingerichtet. Bei näherer Betrachtung zeigte sich zudem, dass diese meist einen geringen Reifegrad besitzt. Im Vergleich zur Wirtschaft fehle es insbesondere an grundlegenden Richtlinien, beispielsweise der Definition von Risiken und Regeln wann diese kommuniziert werden sollen.

Entscheidungsträger in einer komplexen Risikomanagementwelt

Um einen Einblick in die Risikomanagementarbeit bei Verwaltungen zu erlangen, lohnt ein Blick in die Praxis. Die Landeshauptstadt Stuttgart setzt auf ein IT-Risikomanagement, anlehnend an den BSI-Standard 100-3. "Die Risiken werden anhand von Gefährdungen identifiziert und auf Basis des möglichen Schadensausmaßes und der Eintrittswahrscheinlichkeit mithilfe einer Bewertungsmatrix in drei Stufen klassifiziert", erklärt Torsten A. Becker, zuständig für die Bereiche Datenschutz und IT-Sicherheit bei der Landeshauptstadt Stuttgart. Die Verantwortlichen der Stadt Stuttgart unterscheiden zwischen Risiken mit einer geringen Eintrittswahrscheinlichkeit, bei dem es keinen Handlungsbedarf gibt sowie mittleren und hohen Risiken. "Mittlere Risiken werden, soweit technisch möglich und ökonomisch sinnvoll, reduziert. Risiken mit einem hohen Schadensausmaß müssen zwingend untersucht und behandelt werden", so Becker. Immerhin ein pragmatischer und praxisorientierter Ansatz.

Und er ergänzt: "In einem eigens eingerichteten IT-Sicherheitsmanagementteam besprechen wir Lösungsalternativen zur Risikoreduzierung und priorisieren die daraus resultierenden Sicherheitsmaßnahmen hinsichtlich ihres Kosten-Nutzen-Verhältnisses." Uwe Rühl fügt an: "Man sollte die Frage stellen, welche klaren Zuständigkeiten nach Geschäftsordnungen vorhanden sind. Vor allem geht es um die Frage, wer wann und unter welchen Umständen Entscheidungen zu Risiken fällt. Insbesondere Risikoakzeptanz ist ein schwieriges Thema." Dies vor Augen, setzt die Stadt Stuttgart beispielsweise beim Thema IT-Compliance auf die Koordination durch einen behördlichen Beauftragten für Datenschutz und IT-Sicherheit. Die Stadt Köln wiederrum hat einen "Public Corporate Governance Kodex der Stadt Köln", mit dem "Standards zur Steigerung der Effizienz, Transparenz und Kontrolle bei den Gesellschaften mit städtischer Beteiligung" definiert sind. Weitere Städte folgen diesem Beispiel.

Vom Nischendasein zu neuen Wegen in der Risikobetrachtung

Ob diese Maßnahmen fruchten ist eine andere Geschichte. Gerade unter dem Aspekt, dass Risikomanagement in vielen Kommunen noch immer ein Nischendasein fristet. Josef Scherer von der THD: "Selten findet man im Rahmen von Risiko-Checks eine Governance-Struktur vor, die sich an den Grundsätzen ordnungsgemäßer Unternehmensführung und -überwachung sowie den Grundsätzen ordnungsgemäßer Interaktion orientiert. Gerade in diesem Sektor herrscht Optimierungsbedarf."
Andere Länder zeigen, wie es geht. So spielt ein proaktives und kommunales Risikomanagement in den Niederlanden und in der Schweiz bereits seit langer Zeit eine entscheidende Rolle in der öffentlichen Verwaltung. Zum einen gibt es in den Niederlanden eine gesetzliche Verpflichtung zum Risikomanagement, zum anderen ist Risikomanagement kein Tabuthema. Kritiker vermissen darüber hinaus in den aktuellen Risikomanagementstrukturen von Organisationen, dass diese mit der zunehmenden Digitalisierung nicht Schritt halten können. Denn die neue digitale und eng vernetzte Welt fördert immer komplexere Zusammenhänge, die es in immer kürzeren Zeitabständen zu bewerkstelligen gilt. Auf diesen Faktor weist Tom Köhler, international anerkannter Strategie-Experte für Cybersecurity und Partner bei EY hin: "Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam. Aus meiner Sicht liegt der größte Nachholbedarf bei der Entwicklung eines systemischen Ansatzes, bei dem  Risiken vernetzt betrachtet werden."

So ist es bei einer komplexen Risikolandkarte schier unmöglich, Risiken mit Hilfe einer Eintrittswahrscheinlichkeit und einem Schadensausmaß zu bewerten. Abhängigkeiten zwischen Risiken können in komplexen Systemen nicht mit Hilfe einfacher Ursache-Wirkungsketten beschrieben werden (etwa mit Korrelationen). Hierauf hatte bereits vor Jahrzehnten der Systemforscher Frederic Vester hingewiesen, der ein kybernetisches Denken, also das Denken in Systemzusammenhängen, propagiert hatte. Mit anderen Worten: Einzelrisiken und deren Betrachtung waren gestern. Heute geht es vielmehr um systemische Risiken. Und dazu gehört neben den Cybergefahren die gesamte Bandbreite potenzieller Risiken im öffentlichen Sektor – von Finanzrisiken über Infrastrukturmaßnahmen, dem Öffentlichen Personennahverkehr oder der Energie- und Wasserversorgung. Gelingt es öffentlichen Einrichtungen ein stabiles und zukunftsweisendes Risikomanagement aufzubauen, haben diese gute Chancen, die jeweiligen Aufgaben tragfähig umzusetzen – im Sinne der Politik und des Bürgers. Verpassen Verwaltungen die notwenigen Schritte im Risikomanagement, heißt es auch weiterhin: Es herrscht viel Baustelle im öffentlichen Bereich. 

[ Bildquelle: © kebox - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Kolumne

Von Darknet bis Trojaner

Die Typologie der Cyberkriminalität

Jenna Eatough18.08.2017, 08:42

Das heutige digitale Informationszeitalter wird von den schier unendlichen Möglichkeiten des World Wide Webs geprägt – vom Online-Shopping über Social Networking, bis hin zur Finanzverwaltung. Der...

Interview

Datenschutzmanagement

GDPR: Von Standards als validen Weg

Redaktion RiskNET13.08.2017, 14:00

Viel wurde in den letzten Monaten über das Thema des Datenschutzmanagements geschrieben. Denn seit geraumer Zeit ticken die Uhren bis zum großen Stichtag, dem 25. Mai 2018. Spätestens dann muss die...

Kolumne

Struktur des Unternehmens-Risikomanagements

Synergien im Risikomanagement schaffen

Bruno Brühwiler01.08.2017, 07:30

Wenn mehrere Personen über den Inhalt von Risikomanagement in komplexeren Organisationen diskutieren, entsteht schnell ein Konsens über die Anwendung des Risikomanagement-Prozesses...

Interview

Wie wir Krisen erleben und bewältigen

Krisen sind das beste "Resilienztraining"

Redaktion RiskNET23.07.2017, 06:30

Ingenieure sprechen von einem resilienten System, wenn bei einem Teilausfall nicht alle technischen Systeme vollständig versagen. Ein Ökosystem gilt dann als resilient, wenn es nach einer Störung zum...

Interview

Länderrisiken und geopolitische Risiken

Nicht Vollkasko, sondern steuerndes Risikomanagement

Redaktion RiskNET13.07.2017, 08:45

Länderrisiken und geopolitische Risiken sind in der Finanz- und Versicherungsbranche mittlerweile ein wichtiger Bestandteil von Analysen. Wie generiert, verarbeitet und analysiert Coface diese Daten?...