News

Fokus: Öffentliche Verwaltung

Viel Baustelle, wenig Risikomanagement

Redaktion RiskNET09.08.2016, 10:00

"Das Leben ist eine Baustelle" lautet ein gleichnamiger Film aus den 1990er Jahren. Inhaltlich geht es um viel Unglück, der Suche sowie dem Neuanfang. Auch im öffentlichen Bereich geht es um viel Baustelle, Unglück sowie suchende Protagonisten. Und auch dort wäre ein Neuanfang vielfach hilfreich – zumindest was das Thema Risikomanagement in den Bereichen der öffentlichen Verwaltung betrifft.
Jüngst scheiterte der Verkauf des Flughafens Hahn an einen Großinvestor aus Asien. Mehrheitseigner des Hahn-Flughafens ist das Bundesland Rheinland-Pfalz mit 82,5 Prozent. Der Investor versprach viel und hielt wenig. Spätestens als es an das Bezahlen ging, duckten sich die Verantwortlichen aus Shanghai. Der Deal war geplatzt. Nun ist das Geschrei groß in der Rheinland-Pfälzischen Landesregierung. Es ist eine Binsenweisheit, dass die Beteiligten hinterher immer schlauer sind. Sei es am Flughafen Hahn, bei Stuttgart 21 oder dem BER-Hauptstadtflughafen. Der Rheinland-Pfälzische SPD-Innenminister Roger Lewentz formulierte es nach Medienberichten im Zuge des geplatzten "Hahn-Deals" wie folgt: "Heute würde ich einiges im Verhandlungsprozess anders machen."

Vielfältige Aufgaben und die Überwachung- und Sorgfaltspflicht

Land auf, Land ab, quält sich der öffentliche Sektor mit den großen und kleinen Risiken in Projekten, dem Controlling, der Informationssicherheit, beim Thema Compliance oder schlicht der Reputation. Doch woran liegt es, dass die vielfältigen Aufgaben in Verwaltungen nicht mit einem vorausschauenden Risikomanagement hinterlegt werden? Für Uwe Rühl, Risikomanagementexperte und seines Zeichens Geschäftsführer der gleichnamigen Rühlconsulting Gruppe, hängt vieles aufgrund mangelnder Zuständigkeiten, sprich wer für die Bewertung von Anforderungen und deren Umsetzung zuständig ist. "Hier klemmt es häufig durch Überlastung, wodurch Projekte stecken bleiben", erklärt Rühl, der weiß wovon er spricht. Denn er war selbst Leiter des kommunalen Teils (Rettungsdienst, Feuerwehr und Katastrophenschutz) der kooperativen Regionalleitstelle Nord. Rühl: "Risikomanagement ist eine Methode, die vermutlich kulturell nicht sonderlich einfach einzuführen ist. Wo man seitenlange Stellungnahmen zu Themen schreibt und Beschlussvorlagen formuliert, ist das Zusammenfassen von Themen in Risiken und deren Bewertung ein ungewöhnliches Verfahren mit dem man fremdelt."
Im Grunde liegt darin auch der permanente Widerspruch und das Spannungsfeld zwischen Sach- und Formalziel öffentlicher Organisationen begründet. Josef Scherer, Professor für Unternehmensrecht (Compliance), Risiko- und Krisenmanagement an der Technischen Hochschule Deggendorf (THD), weist darauf hin, dass öffentlich-rechtliche Institutionen primär andere Aufgaben und Ziele haben als die  Gewinnmaximierung. "Nach dem ökonomischen Prinzip kann beispielsweise versucht werden, auf der Basis eines festen Budgets die Ziele bestmöglich zu erreichen", so Scherer. Im Umkehrschluss heißt das für Verwaltungen, vielfältige politische und wirtschaftliche Ziele unter einen oftmals zu kleinen Hut zu bekommen – bei gleichzeitig diversen Interessengruppen und Zielsetzungen.

Das ist eine Mammutaufgabe. Aber diese entbindet das Topmanagement öffentlicher Organisationen nicht von der Überwachungs- und Sorgfaltspflicht in puncto funktionierender Risikomanagement- und Informationssicherheitsprozesse. Die Realität ist indes ernüchternd. Laut einer Umfrage im Rahmen einer Masterarbeit zum Thema "Risikomanagement in der öffentlichen Verwaltung" aus dem Jahr 2012 zeigt sich, dass 80 Prozent der teilnehmenden Verwaltungen (befragt wurden Bundesverwaltungen sowie Kommunalverwaltungen in Baden-Württemberg und Bayern, Anmerkung der Redaktion) die Einführung eines Risikomanagements für ihre Verwaltung als sinnvoll erachten. Aber nach eigener Aussage hatten zu diesem Zeitpunkt nur 22 Prozent eine Risikomanagementfunktion eingerichtet. Bei näherer Betrachtung zeigte sich zudem, dass diese meist einen geringen Reifegrad besitzt. Im Vergleich zur Wirtschaft fehle es insbesondere an grundlegenden Richtlinien, beispielsweise der Definition von Risiken und Regeln wann diese kommuniziert werden sollen.

Entscheidungsträger in einer komplexen Risikomanagementwelt

Um einen Einblick in die Risikomanagementarbeit bei Verwaltungen zu erlangen, lohnt ein Blick in die Praxis. Die Landeshauptstadt Stuttgart setzt auf ein IT-Risikomanagement, anlehnend an den BSI-Standard 100-3. "Die Risiken werden anhand von Gefährdungen identifiziert und auf Basis des möglichen Schadensausmaßes und der Eintrittswahrscheinlichkeit mithilfe einer Bewertungsmatrix in drei Stufen klassifiziert", erklärt Torsten A. Becker, zuständig für die Bereiche Datenschutz und IT-Sicherheit bei der Landeshauptstadt Stuttgart. Die Verantwortlichen der Stadt Stuttgart unterscheiden zwischen Risiken mit einer geringen Eintrittswahrscheinlichkeit, bei dem es keinen Handlungsbedarf gibt sowie mittleren und hohen Risiken. "Mittlere Risiken werden, soweit technisch möglich und ökonomisch sinnvoll, reduziert. Risiken mit einem hohen Schadensausmaß müssen zwingend untersucht und behandelt werden", so Becker. Immerhin ein pragmatischer und praxisorientierter Ansatz.

Und er ergänzt: "In einem eigens eingerichteten IT-Sicherheitsmanagementteam besprechen wir Lösungsalternativen zur Risikoreduzierung und priorisieren die daraus resultierenden Sicherheitsmaßnahmen hinsichtlich ihres Kosten-Nutzen-Verhältnisses." Uwe Rühl fügt an: "Man sollte die Frage stellen, welche klaren Zuständigkeiten nach Geschäftsordnungen vorhanden sind. Vor allem geht es um die Frage, wer wann und unter welchen Umständen Entscheidungen zu Risiken fällt. Insbesondere Risikoakzeptanz ist ein schwieriges Thema." Dies vor Augen, setzt die Stadt Stuttgart beispielsweise beim Thema IT-Compliance auf die Koordination durch einen behördlichen Beauftragten für Datenschutz und IT-Sicherheit. Die Stadt Köln wiederrum hat einen "Public Corporate Governance Kodex der Stadt Köln", mit dem "Standards zur Steigerung der Effizienz, Transparenz und Kontrolle bei den Gesellschaften mit städtischer Beteiligung" definiert sind. Weitere Städte folgen diesem Beispiel.

Vom Nischendasein zu neuen Wegen in der Risikobetrachtung

Ob diese Maßnahmen fruchten ist eine andere Geschichte. Gerade unter dem Aspekt, dass Risikomanagement in vielen Kommunen noch immer ein Nischendasein fristet. Josef Scherer von der THD: "Selten findet man im Rahmen von Risiko-Checks eine Governance-Struktur vor, die sich an den Grundsätzen ordnungsgemäßer Unternehmensführung und -überwachung sowie den Grundsätzen ordnungsgemäßer Interaktion orientiert. Gerade in diesem Sektor herrscht Optimierungsbedarf."
Andere Länder zeigen, wie es geht. So spielt ein proaktives und kommunales Risikomanagement in den Niederlanden und in der Schweiz bereits seit langer Zeit eine entscheidende Rolle in der öffentlichen Verwaltung. Zum einen gibt es in den Niederlanden eine gesetzliche Verpflichtung zum Risikomanagement, zum anderen ist Risikomanagement kein Tabuthema. Kritiker vermissen darüber hinaus in den aktuellen Risikomanagementstrukturen von Organisationen, dass diese mit der zunehmenden Digitalisierung nicht Schritt halten können. Denn die neue digitale und eng vernetzte Welt fördert immer komplexere Zusammenhänge, die es in immer kürzeren Zeitabständen zu bewerkstelligen gilt. Auf diesen Faktor weist Tom Köhler, international anerkannter Strategie-Experte für Cybersecurity und Partner bei EY hin: "Der Mensch ist nur begrenzt in der Lage, komplexe Zusammenhänge, insbesondere unter Zeitdruck zu erfassen. Mit der fortschreitenden Digitalisierung und der damit verbundenen Zunahme an Komplexität sind damit auch traditionelle Sicherheitsansätze nur noch bedingt wirksam. Aus meiner Sicht liegt der größte Nachholbedarf bei der Entwicklung eines systemischen Ansatzes, bei dem  Risiken vernetzt betrachtet werden."

So ist es bei einer komplexen Risikolandkarte schier unmöglich, Risiken mit Hilfe einer Eintrittswahrscheinlichkeit und einem Schadensausmaß zu bewerten. Abhängigkeiten zwischen Risiken können in komplexen Systemen nicht mit Hilfe einfacher Ursache-Wirkungsketten beschrieben werden (etwa mit Korrelationen). Hierauf hatte bereits vor Jahrzehnten der Systemforscher Frederic Vester hingewiesen, der ein kybernetisches Denken, also das Denken in Systemzusammenhängen, propagiert hatte. Mit anderen Worten: Einzelrisiken und deren Betrachtung waren gestern. Heute geht es vielmehr um systemische Risiken. Und dazu gehört neben den Cybergefahren die gesamte Bandbreite potenzieller Risiken im öffentlichen Sektor – von Finanzrisiken über Infrastrukturmaßnahmen, dem Öffentlichen Personennahverkehr oder der Energie- und Wasserversorgung. Gelingt es öffentlichen Einrichtungen ein stabiles und zukunftsweisendes Risikomanagement aufzubauen, haben diese gute Chancen, die jeweiligen Aufgaben tragfähig umzusetzen – im Sinne der Politik und des Bürgers. Verpassen Verwaltungen die notwenigen Schritte im Risikomanagement, heißt es auch weiterhin: Es herrscht viel Baustelle im öffentlichen Bereich. 

[ Bildquelle: © kebox - Fotolia.com ]


Kommentare zu diesem Beitrag

Keine Kommentare

Themenverwandte Artikel

Studie

Risikolandkarte 2018

Störungen in der Lieferkette sowie Cyberrisiken

Redaktion RiskNET16.01.2018, 14:09

Sie richten sich gegen das Rückgrat der vernetzten Wirtschaft und können den Erfolg oder gar die Existenz von Unternehmen jeder Größe und Branche gefährden: Die Risiken einer Betriebsunterbrechung...

News

Dreamteam im Kampf gegen die Wirtschaftskrise

Der Vorstand und sein Risikomanager

Redaktion RiskNET09.01.2018, 12:51

Obwohl Risikomanagement in deutschen Unternehmen gesetzlich vorgeschrieben ist, praktizieren es viele noch immer mangelhaft. Sei es, weil sie es nicht richtig verstehen, ihm keine Bedeutung beimessen...

Kolumne

Moritz'sche Risikomühle

Relevante Risikoinformationen erfassen

Frank Moritz22.12.2017, 08:01

Viele Unternehmen beschäftigen sich derzeit damit ein Risk Management-Systems einzuführen oder ihr bestehendes System in Richtung operationeller Risiken, Risiken aus Prozessen, Personen, Technik...

Kolumne

Risiken und Chancen

Überraschungen des Jahres 2018

Martin W. Hüfner, Chief Economist, Assenagon Asset Management S.A.20.12.2017, 10:11

Bei den makroökonomischen Vorhersagen für das Jahr 2017 ist vieles so eingetroffen wie erwartet. Trotzdem haben Anleger den Eindruck, dass das Jahr in mancherlei Hinsicht ganz anders gelaufen ist,...

Kolumne

Das unterschätzte Katastrophenszenario

Europaweiter "Blackout"

Herbert Saurugg06.12.2017, 17:56

In den letzten Monaten häufen sich die Berichte über einen mögliches Strom- und Infrastrukturausfall beziehungsweise über die Vorbereitungsmaßnahmen verschiedener Organisationen und Kreise. Der...