Von Elbphilarmonie über BER bis Cyberrisiken

Es vergeht kaum ein Tag, an dem nicht in einem Zeitungsbericht über die schmerzhaften Folgen eines Risikoeintritts im öffentlichen Sektor berichtet wird. Prominente Beispiele sind der Berliner Flughafen BER, das Prestigeobjekt Elbphilarmonie in der Hamburger Hafencity, das Bahnprojekt Stuttgart 21, das Bundeswehr-Gewehr G36 und nicht zuletzt die schwerwiegenden Folgen der Fehlentscheidungen von Landesbanken. Hinzu kommen in jüngster Zeit vermehrt Risiken durch "Cyberattacken", wie die derzeit kritische Situation im Deutschen Bundestag aufzeigt.

Der Überblick mit ausgewählten Beispielen von Risikoereignissen im öffentlichen Sektor in der nachfolgenden Abbildung verdeutlicht: Alle Ebenen des öffentlichen Sektors sind Risiken unterschiedlichster Natur ausgesetzt. Die eine Kommune kämpft beispielsweise mit Liquiditätsrisiken. Die andere betreibt ein Schwimmbad, das sich zur Dauerlast für den Haushalt entwickelt hat. Oder es werden Verfahrensfehler gemacht, die weitreichende Konsequenzen haben können.

Abbildung 1: Risikoereignisse in dem öffentlichen Sektor

Risikoidentifikation als Schlüsselbegriff

"Schwarze Schwäne kann man nicht vorhersehen" ist ein vielzitierter Satz wenn es darum geht, Strategien zur Vermeidung von Risiken zu entwickeln. Dies ist zwar grundsätzlich richtig, da auch Risikomanager nicht über hellseherische Fähigkeiten oder eine allwissende Kristallkugel verfügen. Sollte jedoch aus diesem Grund auf ein effizientes Risikomanagement gleich ganz und gar verzichtet werden? Um diese Frage zu beantworten, ist die genaue Identifikation möglicher Risiken hilfreich. Bei der Risikoidentifikation unterscheidet man zwischen vier unterschiedlichen Szenarien (siehe nachfolgende Abbildung 2).

Abbildung 2: Risikoidentifikation

Unkritisch ist die Identifikation der Risiken, die wir kennen ("things we know we know") – was selbstverständlich noch nicht heißt, dass sie auch richtig bewertet sind. In jenen Fällen, in denen Risiken aufgrund mangelnder Kenntnisse nicht identifiziert werden können ("We know there are some things, we do not know"), kann durch Hinzuziehen weiterer Sachverständiger Abhilfe geschaffen werden, die bei der Identifikation und Bewertung von Risiken helfen können. Im Fall des öffentlichen Sektors ließen sich beispielsweise in einer gemeinsamen Datenbank Risikoereignisse sammeln, um die fehlende Expertise einzelner öffentlicher Akteure auszugleichen. In Workshops und mit Hilfe von externen Daten lassen sich ebenfalls – zumindest teilweise – Risiken in jenen Situationen identifizieren, in denen Zusammenhänge fehlen oder vorhandene Informationen falsch interpretiert werden ("you don’t know you know").

Spannend bleiben jene Szenarien, die als "schwarze Schwäne" umschrieben werden und die in Abbildung 2 im rechten oberen Quadranten zusammengefasst sind ("the ones we don't know, we don't know"). Selbstverständlich kann auch hier der Austausch mit anderen Experten dazu führen, dass gewisse Risiken eingegrenzt werden können. Es bleiben jedoch bestimme Bereiche ungeklärt, in die man auch gemeinsam nicht vordringt. Hätte man beispielsweise vor zwanzig Jahren Experten dazu befragt, ob ein terroristischer Anschlag wie 2011 in New York als mögliches Risikoereignis betrachtet werden sollte, wäre die Antwort der Experten wahrscheinlich negativ ausgefallen. Es ist folglich eine wichtige Aufgabe des Risikomanagements, diese Situationen so gering wie möglich zu halten.
Gleicht man die eingangs besprochenen Risiken im öffentlichen Sektor mit den unterschiedlichen Szenarien der Risikoidentifikation ab, fällt auf, dass die meisten Risikoereignisse nicht dem oberen rechten Quadranten zuzuordnen sind und mit Unterstützung von geeigneten Methoden beispielsweise Expertenwissen unter Umständen sogar vermeidbar gewesen wären. Die Schlussfolgerung liegt auf der Hand: Kommunen und anderen Körperschaften des öffentlichen Rechts haben einen erheblichen Nachholbedarf und können von einem soliden Risikomanagements immens profitieren.

Warum Risikoquantifizierung sinnvoll ist

Neben der Identifikation von Risiken setzt ein effizientes Risikomanagement auch die Quantifizierung von Risiken voraus. Können jedoch Risiken im öffentlichen Sektor quantifiziert werden? Diese Frage wird manchmal verneint und als Begründung werden nicht selten politische Aspekte angeführt. Im Wahljahr möchte kein Politiker sich nachsagen lassen, nicht ausreichend für die Sicherheit der Bürgerinnen und Bürger gesorgt zu haben. Tritt ein Risikofall (wie zum Beispiel eine Giftemission) ein, wird oftmals betont, alles dafür getan zu haben, um dieses Risiko zu vermeiden. Die Realität ist aber eine andere. Man kann schon allein aus rein haushalttechnischen Gründen nicht immer alles tun. Sogar im Falle einer "Worst Case"-Betrachtung muss letztlich abgewogen werden. Man kann beispielsweise keine Feuerwehrbesatzung vorhalten, die im Katastrophenfall in der Lage ist, alle betroffene Bürgerinnen und Bürger zu retten, wie das Beispiel der Feuerwehr in Bremen zeigt, wo aus Budgetgründen im Ernstfall eine Anfahrtszeit von zwölf Minuten in Kauf genommen wird. Wirtschaftliche Möglichkeiten setzen also sogar bei hoheitlichen Aufgaben Grenzen.

Wenn der Quantifizierung von Risiken bestimmte Grenzen gesetzt sind, ist es umso wichtiger, Risiken gemäß einer strukturierten Vorgehensweise priorisieren zu können. Dazu müssen verschiedene Informationen auf einen Nenner gebracht werden, um zumindest im Ansatz eine Vergleichbarkeit der Ergebnisse zu erreichen und die Entscheidungsträger in die Lage zu versetzen, eine informierte Entscheidung treffen zu können. Eine Vergleichbarkeit kann nur dann sinnvoll hergestellt werden, wenn eine gemeinsame Messskala verwendet wird. Als Instrument dafür bietet sich nicht allein aus diesem Grund die Risikoquantifizierung an. Die Risikoquantifizierung wird als Methode im Rahmen der Bewertung operationeller Risiken in der Industrie und im Handel sowie in Banken und Versicherungen eingesetzt. Dabei wird auf Grundlage von Verlustdaten und Expertenschätzungen eine Bewertung der potenziellen Schadenhöhe und -häufigkeit vorgenommen und mit Hilfe statistischer Verfahren zu einer potenziellen Verlustverteilung verdichtet. Auf Basis dieser Ergebnisse lassen sich Risiken untereinander vergleichen.

Die Quantifizierung von Risiken ist beispielsweise auch in jenen Fällen unerlässlich, in denen sich Aufsichtsbehörden ein umfassendes Bild über die Risiken einer untergeordneten Behörde machen wollen. Es muss bestimmt werden können, ob die Risikotragfähigkeit der zu beaufsichtigten Behörde nicht überschritten ist.

Insbesondere der Finanzsektor hat mit der Risikoquantifizierung seit langem umfassende Erfahrungen sammeln können. Wie sinnvoll es sein kann, diese Erfahrungen mit anderen zu teilen, zeigt der Erfolg eines solchen Wissenstransfers in anderen Ländern: In Anlehnung an die Vorgehensweise im Finanzsektor berechnen beispielsweise in den Niederlanden Organisationen im öffentlichen Sektor ein so genanntes "Widerstandvermögen". Unterschreitet das Vermögen einer Kommune das unter bestimmten Annahmen berechnete Widerstandsvermögen im Zeitraum eines Jahres, gilt die Kommune als nicht hinreichend finanziert und wird durch die Aufsichtsbehörden genauer beobachtet. Die angewandte Methode ähnelt sehr stark der Berechnungsmethode für den Risikokapitalbedarf in der Finanzindustrie.

Reversed Stress Testing: Welches Risikoereignis wirft eine Organisation aus der Bahn?

Als Konsequenz der Krise mussten sich Finanzinstitute unterschiedlichen Stress Tests unterziehen, um deren Risikotragfähigkeit im Extremfall zu simulieren. Die so genannten Reversed-Stress-Testing-Methode dreht dieses Vorgehen um. Es wird geprüft was passieren muss, dass ein Finanzinstitut unterkapitalisiert wird. Ist dieser Grenzwert ermittelt, wird danach geschaut, welche Ereignisse ein solches Potenzial entwickeln können. So werden weitere Bereiche in der Risikoidentifikation aufgedeckt, die eine Organisation bis dato unter Umständen nicht "auf dem Radar" hatte.
Diese Methode ist auch für den öffentlichen Sektor hilfreich. Insbesondere wenn es um die Beurteilung von Risiken im Zusammenhang mit Großprojekten geht, sollte die Risikotragfähigkeit im Vordergrund stehen.

Ebenfalls ist die Verlagerung von Aufgaben auf untergeordnete Behörden genauer unter Maßgabe der Risikotragfähigkeit zu untersuchen. Wenn lokale Behörden neue Aufgaben zu bewältigen haben, ihnen dafür aber nicht ausreichend Budget zugewiesen wird, entsteht zwangsläufig ein anderes Risikoprofil. Das hinzugenommene Risiko kann durch Kommunen nur begrenzt durch beispielsweise Anhebung von Steuern und Gebühren und durch Aufgabe von Dienstleistungen für die Bürgerschaft abgemildert werden. In solchen Fällen ist es sinnvoll, eine Reversed-Stress-Testing-Methode einzusetzen – insbesondere auch, um beispielsweise mögliche Konsequenzen für das ansässige Gewerbe festzustellen. Es gibt hinreichend viele Beispiele, in denen von Kommunen die Gewerbesteuer erheblich angehoben und damit in Kauf genommen wurde, dass infolgedessen DAX-Konzerne eine Umsiedlung in Betracht zogen und letztlich auch umgesetzt haben. Somit können beträchtliche Ertragsquellen für eine Kommune einfach wegbrechen.

Was vor uns liegt

Nicht zuletzt aufgrund der Erfahrungen der vergangenen Jahre hat die von Krisen geschüttelte Finanzindustrie Methoden und Strategien entwickelt, die für ein effizientes Risikomanagement unerlässlich sind. Wie die oben aufgeführten Beispiele zeigen, kann dieses Instrumentarium dazu beitragen, dass auch im öffentlichen Sektor Risiken angemessen identifiziert und quantifiziert beziehungsweise dadurch Entscheidungen deutlich substantiierter getroffen werden können. Es ist daher an der Zeit, in den Dialog zu treten und den Transfer der Erfahrungen der Finanzindustrie in den öffentlichen Sektor in die Wege zu leiten. Formate wie eine von der Goethe Business School an der Goethe-Universität Frankfurt initiierte Konferenz, die Akademiker aus dem Finanzbereich und Entscheidungsträger aus dem öffentlichen Sektor zusammenbringt, stellen einen ersten Schritt in diese Richtung dar. Ziel muss sein, auf die Bedürfnisse des öffentlichen Sektors angepasste Weiterbildungsangebote zu entwickeln, um das Knowhow des öffentlichen Sektors im Themenbereich Risikomanagement gezielt zu verbessern.