Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen

Transkript

1 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen Masterarbeit zur Erlangung des Studienabschlusses Master of Public Administration (MPA) im gleichnamigen berufsbegleitenden Studiengang an der Universität Kassel vorgelegt von: Andrea Daniel MPA 30 Matrikelnummer: Olpe 33, Dortmund Tel.: Erstgutachter: Dr. Ansgar Strätling Zweitgutachterin: Dr. Joanna Ozga Dortmund,

2 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen Inhaltsverzeichnis 1 Einleitung Problemstellung und Zielsetzung der Arbeit Aufbau der Arbeit Risikoverständnis und Begriffsbestimmungen Risiko als Chance und Gefahr Risikomanagement Risikomanagement im öffentlichen Sektor Status Quo des Risikomanagements im öffentlichen Sektor Umfrage der Firma NAR Studie von Roman Schmidt im Rahmen seiner Masterarbeit Gründe für den aktuellen Status Quo Zielsetzung des Risikomanagements im öffentlichen Sektor Besonderheiten des öffentlichen Sektors Rahmenbedingungen eines Risikomanagementsystems Notwendigkeit eines Risikomanagementsystems Gesetzliche Anforderungen Vergangene sowie zukünftige Entwicklungen und Ereignisse Nutzen des Risikomanagementsystems Grenzen des Risikomanagementsystems Voraussetzungen eines ganzheitlichen Risikomanagementsystems Zielsystem Risikokultur Kommunikation Gesamtsicht Softwareunterstützung von Risikomanagementsystemen... 30

3 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen 6 Aufbau und Ablauf eines Risikomanagementsystems Bestandteile eines Risikomanagementsystems Risikofrüherkennungssystem Risikocontrolling Internes Kontrollsystem Organisatorische Aspekte des Risikomanagements Kategorisierung von Risiken Risikomanagementprozess Risikostrategie Risikoidentifikation Risikobewertung Risikosteuerung Risikodokumentation Risikoberichterstattung Implementierung von Risikomanagementsystemen in der Praxis Stadt Arnheim, NL Stadt Hamm, D Risikomanagement der Städte Arnheim, Hamm, Zürich und der Wirtschaftsbetriebe Duisburg AöR im direkten Vergleich Zusammenfassung und Ausblick Literaturverzeichnis Anhang... 88

4 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen Abbildungsverzeichnis Abb. 1: Abgrenzung Sicherheit und Risiko und Ungewissheit... 5 Abb. 2: Chinesisches Schriftzeichen für Risiko... 6 Abb. 3: Ergebnisse der Umfrage der Firma NAR Abb. 4: Ergebnisse der Umfrage R. Schmidt Abb. 5: Zeitungsartikelüberschrift Die Zeit vom Abb. 6: Zeitungsartikelüberschrift Focus Money vom Abb. 7: Zeitungsartikelüberschrift Der Neue Kämmerer vom Abb. 8: Produktmatrix im Bereich der RM-Softwarelösungen Abb. 9: Drei Teilsysteme eines Risikomanagementsystems Abb. 10: Bestandteile des Internen Kontrollsystems Abb. 11: Kommunale Risikomanagement-Organisation Abb. 12: Mögliche Risikokategorisierung Abb. 13: Risikomanagementprozess Abb. 14: Beispiele risikopolitischer Grundsätze Abb. 15: Auszug Risikoerfassung in RM-Software NARIS Abb. 16: Auszug Brutto-Risikoquantifizierung in RM-Software NARIS Abb. 17: Möglichkeiten der Risikosteuerung Abb. 18: Auszug Risikobewältigungsmaßnahmen in RM-Software NARIS Abb. 19: Auszug Netto-Risikoquantifizierung in RM-Software NARIS Abb. 20: Auszug Brutto-/Nettorisikowert in RM-Software NARIS Abb. 21: Gegenüberstellung quantitative Risikomatrix Brutto und Netto in RM-Software NARIS Abb. 22 Möglichkeiten des Berichtswesens in RM-Software NARIS Abb. 23: Bestimmung des Widerstandsvermögens Abb. 24: Auf dem Weg, eine risikointelligente Organisation zu werden Abb. 25: Wichtige Risiken der Gemeinde Arnheim Abb. 26: Elemente des Chancen- und Risikomanagements der Stadt Hamm Abb. 27: Strategische Ziele des Konzerns Stadt Hamm Abb. 28: Top 11 Berichtswesen wesentliche Risikobereiche der Stadt Hamm Abb. 29: Organisationsstruktur des Chancen- und Risikomanagements der Stadt Hamm... 69

5 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen Tabellenverzeichnis Tab. 1: Rechtliche Grundlagen des Risikomanagements für den privaten Sektor Tab. 2: Regelungen zur Risikoberichterstattung im Lagebericht Tab. 3: Grundsätze ordnungsmäßiger Risikoüberwachung Tab. 4: Anspruchsgruppen des öffentlichen Sektors und deren Sicherheitsansprüche Tab. 5: Aufgaben des Risikocontrollings nach Bereichen Tab. 6: Methoden der Risikoidentifikation Tab. 7: Gegenüberstellung RM in den Städten Arnheim, Hamm, Zürich und den Wirtschaftsbetrieben Duisburg AöR Anmerkung zur geschlechtsneutralen Gleichbehandlung Sämtliche in der vorliegenden Arbeit verwendeten Bezeichnungen mit personenbezogenem Charakter sind im Sinne der Gleichberechtigung geschlechtsneutral zu verstehen. Um eine einfache Lesbarkeit gewährleisten zu können, wurde von der Autorin bewusst das generische Maskulinum eingesetzt und auf eine geschlechtsspezifische Unterscheidung (z. B. Binnen-I, Doppelnennung der weiblichen und männlichen Form) verzichtet.

6 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen Abkürzungsverzeichnis Abb. Abbildung AGA Allgemeine Geschäftsanweisung AG-HSK Arbeitsgruppe zum Haushaltssicherungskonzept AIB Anlage im Bau AöR Anstalt öffentlichen Rechts ASH Abfallwirtschafts- und Stadtreinigungsbetrieb Hamm BB Brandenburg BSC Balanced Scorecard bspw. beispielsweise BW Baden-Württemberg BY Bayern bzgl. bezüglich bzw. beziehungsweise ca. circa CAF Common Assessment Framework ders. derselbe DRS Deutsche Rechnungslegungsstandards dt. deutsche EFV Eidgenössische Finanzverwaltung der Schweiz EigVO Eigenbetriebsverordnung (NRW) EPSAS European Public Sector Accounting Standards et al. et alius etc. et cetera FBL Fachbereichsleiter FMEA Fehlermöglichkeits- und -einflussanalyse gd gehobener Dienst GemHVO Gemeindehaushaltsverordnung (NRW) ggfls. gegebenenfalls GO Gemeindeordnung (NRW) GoR Grundsätze ordnungsmäßiger Risikoüberwachung GPA Gemeindeprüfungsanstalt GPO Geschäftsprozessoptimierung HE Hessen Hg. Herausgeber HH Haushalt HSHL Hochschule Hamm-Lippstadt HSP Haushaltssicherungsplan i. e. S. im engeren Sinne i. w. S. im weiteren Sinne IKS Internes Kontrollsystem IKVS Interkommunale Vergleichs-Systeme

7 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen IPSAS International Public Sector Accounting Standards ISchV Informationsschutzverordnung ISK Interne Steuerungs- und Kontrollsystem IT Informationstechnik JA Jahresabschluss KGSt Kommunale Gemeinschaftsstelle für Verwaltungsmanagement KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KUV Kommunalunternehmensverordnung (NRW) KWG Kreditwesengesetz LOB Leistungsorientierte Bezahlung ltd. leitender MaRisk Mindestanforderungen an das Risikomanagement MV Mecklenburg-Vorpommern NAR Nederlands adviesbureau risicomanagement NI Niedersachsen NKF Neues Kommunales Finanzmanagement NPM New Public Management NRW Nordrhein-Westfalen QM Qualitätsmanagement RM Risikomanagement RP Rheinland-Pfalz RPA Rechnungsprüfungsamt S. Seite SH Schleswig-Holstein SL Saarland SN Sachsen sog. sogenannt SolvV Solvabilitätsverordnung SoPo Sonderposten SRH SRH Hochschule Hamm ST Sachsen-Anhalt stv. stellvertretender SWOT Strengths, Weaknesses, Opportunities und Threats Tab. Tabelle TH Thüringen TVÖD Tarifvertrag für den Öffentlichen Dienst u. a. und andere u. U. unter Umständen usw. und so weiter v. Chr. vor Christus VAG Versicherungsaufsichtsgesetz vgl. vergleiche VZÄ Vollzeitäquivalent z. B. zum Beispiel

8 Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems in Kommunen "Es kommt nicht darauf an, die Zukunft vorauszusagen, sondern auf sie vorbereitet zu sein." Perikles (490 v. Chr. 429 v. Chr.), General und Politiker Athens

9 Einleitung Seite 1 1 Einleitung 1.1 Problemstellung und Zielsetzung der Arbeit Die strukturellen Rahmenbedingungen der Kommunen werden sich perspektivisch verschärfen. 1 Die demografische Entwicklung und die Schuldenbremse sind nur zwei Beispiele mit voraussichtlich tiefgreifenden Auswirkungen auf den öffentlichen Sektor. 2 Um diesen und weiteren Herausforderungen zu begegnen, bieten sich den Entscheidungsträgern verschiedene Möglichkeiten. Eine dieser Möglichkeiten ist das Risikomanagement. Immer schwieriger wird es heutzutage mit Hilfe von unternehmerischer Intuition und Bauchgefühl die Komplexität der heutigen Geschäftssituation zu erfassen und zu analysieren. 3 Genau hier setzt das Risikomanagement an: Entscheidungen sollen mit Hilfe eines Risikomanagements strukturiert und mit methodischer Unterstützung erfolgen. 4 Während es in der Privatwirtschaft nicht zuletzt gesetzlichen Verpflichtungen geschuldet schon seit Jahren gewinnbringend angewandt wird, kommt eine Entwicklung in zumindest deutschen Kommunen nur langsam in Gang. Gleichwohl Risikomanagement in der öffentlichen Verwaltung zwar noch nicht Standard ist, kann es nicht mehr als exotische Erscheinung bezeichnet werden. 5 Dies zeigt unter anderem eine Zunahme von wissenschaftlicher Literatur 6 sowie Beratungsangeboten 7 speziell für den öffentlichen Sektor. Den geringen Stellenwert des kommunalen Risikomanagements als Anlass genommen, verfolgt die vorliegende Arbeit das Ziel, die Konzeption und Implementierung eines softwareunterstützten Risikomanagementsystems unter Berücksichtigung öffentlicher Besonderheiten aufzuzeigen und anhand von vier Organisationen praktisch zu veranschaulichen. Diese Zielsetzung sei entsprechend der nachfolgenden wissenschaftlichen Fragestellung konkretisiert: Wie kann sich die Implementierung eines ganzheitlichen, softwareunterstützten Risikomanagementsystems in der Praxis des öffentlichen Sektors ausgestalten? 1 Bindler/Rottmann et al. (2012), S Vgl. Bindler/Rottmann et al. (2012), S Gleißner/Romeike (2005a), S Gleißner/Romeike (2005a), S Zuber-Hagen/Wanner (2011), S Noch im Jahr 2009 wurde ein Buch zum RM im öffentlichen Sektor als Pioniertat bezeichnet, vgl. Scholz/Schuler et al. (Hg.) in: ders. (2009), S. 1; seitdem findet sich die Thematik vermehrt in Artikeln, Studien, Vorträgen und wissenschaftlichen Arbeiten. 7 Vgl. exemplarisch Scheer (2013); B & P Gesellschaft für kommunale Beratung mbh (o. J.); Unternehmungsberatung Schütz,

10 Einleitung Seite 2 Zur Beantwortung dieser Kernfrage werden Detailfragen abgeleitet: - Welche spezifischen Anforderungen an ein Risikomanagement ergeben sich aus Sicht des öffentlichen Sektors? - Wie sind Aufbau und Ablauf eines kommunalen Risikomanagementsystems zu organisieren? - Worin könnten die Hürden bei einer Implementierung liegen, welche gleichfalls zu dem geringen Reifegrad des Risikomanagements im öffentlichen Sektor beitragen? - Was kann eine Risikomanagementsoftware zu einem integrierten Risikomanagementsystem beitragen? Zentral für die Arbeit war es, wichtige Aspekte von den in den Organisationen mit Risikomanagement befassten Personen in Erfahrung zu bringen. So führte die Autorin unter anderem Experteninterviews durch, um die praktischen Schritte zur Ausgestaltung eines Risikomanagementsystems darlegen zu können. Dabei bestand der Anspruch der Autorin nicht darin, ein universelles System oder eine Einführungsstrategie zu entwickeln, 8 sondern das Risikomanagement in seiner tatsächlichen Einführung und Umsetzung in der Praxis zu beschreiben. Hierzu war es für die Autorin zielführend, neben der Implementierung einer deutschen Kommunalverwaltung, auch die der Nachbarländer und die einer städtischen Beteiligung zu thematisieren. 1.2 Aufbau der Arbeit Die Arbeit gliedert sich in acht Kapitel. Zur Sicherstellung eines einheitlichen Grundverständnisses erfolgt zu Beginn eine Erläuterung der Grundbegriffe Risiko und Risikomanagement. Darauf aufbauend wird in Kapitel 3 der Fokus auf das Risikomanagement im öffentlichen Sektor gelegt. Der Status Quo des kommunalen Risikomanagements wird untersucht, bevor auf Ziele und Besonderheiten des öffentlichen Sektors eingegangen wird. Antwort auf die Fragen, warum ein Risikomanagement auch für Kommunen notwendig ist, welche Vorteile es erzielen kann und welche Voraussetzungen für ein ganzheitliches Risikomanagementsystem zu erfüllen sind, gibt das vierte Kapitel. Darüber hinaus werden auch mögliche Grenzen bzw. Nachteile eines solchen Systems aufgezeigt, bevor in Kapitel 5 näher auf eine Unterstützung des Risikomanagements durch Softwarelösungen eingegangen wird. Der gängige Aufbau und Ablauf eines Risikomanagementsystems bilden wieder unter Einbeziehung der kommunalen Besonderheiten den Schwerpunkt in Kapitel 6. Unter anderem wird dabei, um einen direkten Praxisbezug herzustellen, der Risikomanagementprozess anhand einer in kommunalem Einsatz befindlichen Risikomanagementsoftware veranschaulicht. 8 Wie es bspw. die KGSt in ihrem Bericht 2011 getan hat, vgl. KGSt (2011), S. 57 ff.

11 Einleitung Seite 3 Das siebte Kapitel umfasst schließlich Ausführungen zur Implementierung eines Risikomanagementsystems in der Praxis. Hierzu wird die Implementierung der Stadt Arnheim, Stadt Hamm, Stadt Zürich und den Wirtschaftsbetrieben Duisburg AöR thematisiert. Die Arbeit schließt in Kapitel 8 mit einer Zusammenfassung der wesentlichen Erkenntnisse aus Theorie und Praxis und einem Ausblick, einhergehend mit Ansatzpunkten für weiterführende Untersuchungen.

12 Risikoverständnis und Begriffsbestimmungen Seite 4 2 Risikoverständnis und Begriffsbestimmungen 2.1 Risiko als Chance und Gefahr Die Einschätzung, was Risiko ist, hängt von unserer ureigenen individuellen und damit höchst subjektiven (Risiko-)Wahrnehmung ab. 9 Diese wiederum variiert je nach gesellschaftlicher Entwicklung, dem situativen Wertsystem und der psychischen/physischen und ökonomischen Verfassung einer Gesellschaft. 10 Risiko wird folglich von jedem differenziert wahrgenommen und bewertet. 11 Dies mag eine Erklärung dafür sein, dass es in der Literatur und den Normenwerken zum Risikomanagement keine einheitliche Definition von Risiko gibt. Um sich einer Definition zu nähern, wird der Risikobegriff aus der ökonomischen Theorie herangezogen. Hier wird Risiko als Unsicherheit bzw. Möglichkeit des Abweichens von einem erwarteten Wert beschrieben. 12 Die Abweichung kann sowohl positiv (Chance) als auch negativ (Gefahr) sein. 13 Im Sinne des Risikomanagementprozesses soll eine weitere Unterscheidung und Abgrenzung vorgenommen werden: Risiko und Ungewissheit. Hierzu hat bereits Knight 1921 in seinem Buch Risk, uncertainty and profit eine recht klare Aussage gemacht: The distinction between risk and uncertainty: If you don t know for sure what will happen, but know the odds, that s risk. If you don t even know the odds, that s uncertainty. 14 Die folgende Abbildung verdeutlicht noch einmal die Zusammenhänge zwischen Sicherheit, Risiko und Ungewissheit. 9 Keitsch (2004), S Budäus/Hilgers in: Scholz/Schuler et al. (Hg.) (2009), S Keitsch (2004), S KGSt (2011), S KGSt (2011), S Keitsch (2004), S. 4.

13 Risikoverständnis und Begriffsbestimmungen Seite 5 Abb. 1: Abgrenzung Sicherheit und Risiko und Ungewissheit 15 Eine solche ursachenbezogene Risikodefinition stellt die Ursache des Risikos resultierend aus unsicheren Zukunftssituationen in den Mittelpunkt, während im Übergang zu einer wirkungsorientierten Beschreibung das Risiko generell als Möglichkeit zur Zielverfehlung interpretiert wird. Die Entscheidungssituation rückt dabei zugunsten der Berücksichtigung der Wirkungen, die durch Eintritt eines Risikos folgen können, in den Hintergrund. 16 Die verbreitete Wahrnehmung in der Bevölkerung fokussiert den Begriff Risiko auf die Unsicherheit über mögliche negative Folgen oder, wenn das Ereignis bereits eingetreten ist, auf die Nichtbeherrschung der Situation und den daraus entstandenen Schaden. 17 Diese Negativassoziation mag auch in den Ursprüngen 18 der kaufmännischen Risikohandhabung, der Versicherungswirtschaft, begründet liegen: Man versichert sich gegen die negativen Folgen eines möglichen künftigen Ereignisses und zahlt dafür der Versicherungsgesellschaft im Voraus eine angemessene Entschädigung. 19 Das heutige Risikoverständnis aber geht von einer zweiseitigen Betrachtung aus und umfasst auch die Chance im Sinne einer positiven Zielverfehlung. Dies entspricht auch der chinesischen Auffassung, in der das Schriftzeichen für Risiko die Chance und die Gefahr kombiniert Quelle: Schmitz/Wehrheim (2006), S Vgl. Budäus/Hilgers in: Scholz/Schuler et al. (Hg.) (2009), S. 20 ff.; Gronwald (2013), S Schütz in: Scholz/Schuler et al. (Hg.) (2009), S Zur Geschichte und Entwicklung des Risikomanagements vgl. Wolke (2008), S. 7 ff.; Zuber-Hagen/Wanner (2011), S Schütz in: Scholz/Schuler et al. (Hg.) (2009), S Vgl. Schütz in: Scholz/Schuler et al. (Hg.) (2009), S. 127.

14 Risikoverständnis und Begriffsbestimmungen Seite 6 Abb. 2: Chinesisches Schriftzeichen für Risiko 21 Als wesentliche Elemente des Begriffs Risiko lassen sich somit festlegen: 22 - Unsicherheit/Ungewissheit über den Eintritt eines Ereignisses (oder einer Entwicklung) oder dessen Auswirkungen, - Abweichung von Zielen als Folge des Ereignisses (oder einer Entwicklung), - die Auswirkung kann positiv oder negativ sein. Diese weit gefasste Definition des Risikobegriffs macht deutlich, dass auch die klassische Verwaltungstätigkeit mit Risiken behaftet ist. Es sind viele Ereignisse oder Entwicklungen denkbar, welche die Verwaltung am Erreichen ihrer Ziele hindern können. 23 Zahlreiche Besonderheiten des öffentlichen Sektors im Vergleich zur Privatwirtschaft 24 lassen schließlich eine kommunale Definition des Begriffs Risiko sinnvoll erscheinen: Risiken sind alle Ereignisse innerhalb und außerhalb kommunaler Verwaltungen, die sich ungünstig auf die kommunale Zielerreichung auswirken können. In diesen Risikobegriff sind sowohl Ressourcenrisiken als auch Risiken zu Wirkungen, Produkten und Prozessen eingeschlossen. 25 Analog soll diese Definition auch für die Chance 26 gelten. 2.2 Risikomanagement Einfach umschrieben bezeichnet Risikomanagement alle Aktivitäten des Unternehmens im Umgang mit Risiken 27. Es kann verstanden werden als Sammlung von Werkzeugen, Instrumenten und organisatorischen Einrichtungen, die dazu dienen, die Risiken, denen eine Organisation ausgesetzt ist, zu erfassen, zu bewerten, zu vermindern und zu überwachen 28. Ziel des Risikomanagements ist es damit, bestmöglich Chancen zu nutzen und Gefahren zu 21 Quelle: Schütz in: Scholz/Schuler et al. (Hg.) (2009), S Hier und im Folgenden: Zuber-Hagen/Wanner (2011), S Zuber-Hagen/Wanner (2011), S Siehe ausführlich Kapitel KGSt (2011), S Anzumerken ist, dass im weiteren Verlauf Chancenaspekte nur am Rande angesprochen werden und nicht explizit aufgegriffen werden, obwohl ein betriebswirtschaftliches RM diese mit einbezieht. Es kann aber davon ausgegangen werden, dass die Ausführungen zu den Risiken häufig auch in Bezug auf Chancen gelten. 27 Gleißner/Romeike (2005a), S Zuber-Hagen/Wanner (2011), S. 904.

15 Risikoverständnis und Begriffsbestimmungen Seite 7 begrenzen, um somit einen Beitrag zur Absicherung der operativen und strategischen Ziele zu leisten. 29 Die hohe Kunst des Risikomanagements besteht dabei nach Kirschniak darin, die Informationen ausfindig zu machen, die Auskunft über die Entwicklung einzelner Risikosituationen geben 30. Neben der systematischen Untersuchung der Chancen und Gefahren ist es außerdem die Aufgabe des Risikomanagements, die Wahrnehmungsdefizite und Schönfärbereien der handelnden Akteure zu identifizieren 31. Unabhängig vom Sektor stellt das Risikomanagement einen kontinuierlichen Prozess dar, welchen es in die wesentlichen Geschäftsprozesse zu integrieren gilt. 32 Ausgangspunkt für das Risikomanagement ist dabei ein zielorientiertes System, das von einem Management mit einer optimalen Strategie gesteuert wird. 33 Nach gängiger Auffassung in der Literatur zum Risikomanagement 34 umfasst es drei Teilsysteme: Das Risikofrüherkennungssystem, das Risikocontrolling sowie das Interne Kontrollsystem (IKS). Diese werden im Kapitel 6.1 näher erläutert. Insgesamt ist durch die fehlende gesetzliche Konkretisierung der Ermessensspielraum hinsichtlich der Auslegung, was im Einzelnen unter einem adäquaten Risikomanagementsystem zu verstehen ist, jedoch sehr groß. 35 Während die Bestimmungen für die Privatwirtschaft im Laufe der Jahre zwar zugenommen haben, bleibt der Risikoaspekt für die Kernverwaltung recht vage. Was eine Kommune [ ] unter Risikomanagement versteht und umsetzen will, bleibt ihr weitgehend selbst überlassen. 36 Die Ausgestaltung ist letztlich abhängig von den örtlichen Gegebenheiten der Gemeinde, z. B. von der Gemeindegröße, der Organisation der Verwaltung, der haushaltswirtschaftlichen Lage. 37 Eine Definition des kommunalen Risikomanagements findet sich in Anlehnung an den privatwirtschaftlichen Begriff bei der KGSt: Das kommunale Risikomanagement [entspricht der] Gesamtheit aller organisatorischen Regelungen zur Risikoerkennung und zum Umgang mit den Risiken des Verwaltungshandelns und Entscheidungen. Diese Definition soll leitführend für die vorliegende Arbeit gelten. 29 B & P Gesellschaft für kommunale Beratung mbh (o. J.). 30 Stiel/Viola (2008). 31 Diederichs, Marc (2013), S. IX. 32 Vgl. Keitsch (2004); S. 2 f. 33 Schütz in: Scholz/Schuler et al. (Hg.) (2009), S Vgl. exemplarisch Schmitz/Wehrheim (2006), S. 20; Keitsch (2004), S. 15; KGSt (2011) S Keitsch (2004), S Schwarting (2014). 37 Biskoping-Kriening (2012), S

16 Risikomanagement im öffentlichen Sektor Seite 8 3 Risikomanagement im öffentlichen Sektor 3.1 Status Quo des Risikomanagements im öffentlichen Sektor In den deutschen öffentlichen Verwaltungen spielt ein ausgearbeitetes und umfassendes Risikomanagement bislang eine nur untergeordnete Rolle. 38 Diese Aussage von 2006 hat bis heute ihre Aktualität erhalten. Auch wenn seit Jahren unter dem Begriff des Neuen Steuerungsmodells der Einsatz privatwirtschaftlicher Instrumente in der Verwaltung diskutiert wird, hat das Risikomanagement, das mittlerweile für Unternehmen verbindlich vorgegeben ist, den Sprung in die Amtsstuben noch nicht geschafft. 39 Vielfach ist das Verwaltungshandeln noch auf Schadensbegrenzung in der Notlage und nicht auf systemisches Risikomanagement davor ausgerichtet. 40 Statt einem integrierten Risikomanagement sind vielmehr dezentrale Ansätze einzelner Abteilungen verbreitet. 41 Den geringen Stellenwert und dadurch erheblichen Nachholbedarf des Risikomanagements im öffentlichen Sektor bestätigen auch aktuelle Studien. So werden im Folgenden beispielhaft die Ergebnisse von zwei aktuellen Umfragen ausgeführt, bevor versucht wird, möglichen Gründen für den unzureichenden Entwicklungsstand nachzugehen Umfrage der Firma NAR 2014 Die Firma Nederlands adviesbureau risicomanagement (NAR), das niederländische Beratungsbüro für Risikomanagement, hat diese Untersuchung durchgeführt, um sowohl ein besseres Bild vom Risikomanagement in deutschen Gemeinden zu erhalten als auch die Top 10 kommunaler Risiken zu ermitteln Untersuchungsmethodik 43 Die primärstatistische Erhebung erfolgte mit Hilfe eines von der Firma NAR erstellten Fragebogens 44. Die Standards wie verständliche Instruktionen, Freiwilligkeit oder Anonymisierung wurden bei der Entwicklung des Fragebogens beachtet. Befragt wurden 300 deutsche Kreise und 650 Städte, indem der Fragebogen per an die Rechnungsprüfungsämter und zentralen Steuerungseinheiten versandt wurde. Der Befragungszeitraum war vom 04. bis 19. September 2014, wobei nach dem Ablauf von zwei Wochen eine Erinnerungs verschickt wurde, mit der Absicht, die Rücklaufquote noch einmal zu erhöhen. Diese betrug nach Beendigung der Umfrage 4,5 Prozent bei einem Durchschnitt von 54 Antworten je Frage und fiel damit verhältnismäßig niedrig aus. Dennoch war die Rücklaufquote erfreulich, da bei vorherigen Untersuchungen zu ähnlicher Thematik die Teilnahmequote deutlich geringer ausgefallen war. 38 Schwarting (2006a), S Weiße/Goertz et al. (2014), S Weiße/Goertz et al. (2014), S Schwarting (2011), S NAR (2014), S Vgl. für diesen Kapitel Anhang A. 44 Vgl. Anhang B.

17 Risikomanagement im öffentlichen Sektor Seite 9 Diese Tatsache lässt darauf schließen, dass das Bewusstsein für kommunale Risiken zwar noch auf einem niedrigen aber durchaus steigenden Niveau ist Untersuchungsergebnisse 45 Nur ein Drittel der Gemeinden beschäftigen sich mit Risikomanagement. Das Bild ist eindeutig: Risikomanagement steckt noch in den Kinderschuhen. 46 Abbildung 3 stellt die wichtigsten Ergebnisse der Umfrage in Diagrammform dar. 100% 75% 50% 76% 55% 85% 85% 89% 25% 0% 24% 45% 15% 15% 11% Nein Ja Abb. 3: Ergebnisse der Umfrage der Firma NAR Die Umfrage ergab, dass lediglich knapp ein Viertel der befragten Gemeinden ein strukturiertes Risikomanagement betreiben. Die Nutzung einer definierten Berichtsform als Anlage zum Rechenschafts- oder Lagebericht bestätigte nur knapp die Hälfte. Dass eine einheitliche Vorgehensweise zur Berichterstattung fehlt, zeigt auch die große Spanne an Antworten auf die Frage, an welche Stellen über die Risiken berichtet wird. Soweit überhaupt eine Risikoberichterstattung erfolgt, wird in erster Linie im Jahresabschluss und Haushaltsplan berichtet. Weitere Stellen sind der Rat, der Verwaltungsvorstand und verschiedene Ausschüsse. Die Studie zeigte weiterhin, dass nur 15 Prozent das notwendige Risikokapital aus dem Risikoprofil der Organisation berechnen. Ebenfalls lediglich 15 Prozent der Befragten nehmen Berechnungen zu der Risikotragfähigkeit vor, wissen also, ob das 45 Vgl. für dieses Kapitel Anhang C; NAR (2014), S. 1 f.; Redaktion RiskNet (2014). 46 NAR (2014), S. 1 f.; Redaktion RiskNet (2014). 47 Quelle: Eigene Darstellung in Anlehnung an die Untersuchungsergebnisse, vgl. Anhang C.

18 Risikomanagement im öffentlichen Sektor Seite 10 berechnete Budget für die potenziellen Risikoeintritte ausreicht. Dies kann durch die Tatsache begründet werden, dass keinerlei systematische Analysen durchgeführt werden. 48 Ebenfalls für die Firma NAR interessant war das Ergebnis, dass nur etwa jede zehnte Gemeinde ein IT-gestütztes Informationssystem zur strukturierten Dokumentation und Risikoanalyse nutzt. Als Fazit der Studie lässt sich festhalten, dass zum jetzigen Zeitpunkt Risikomanagement bei der Mehrzahl der Kommunen noch unstrukturiert und ineffizient ausgerichtet ist Studie von Roman Schmidt im Rahmen seiner Masterarbeit 2011 Wie ist es um das Risikomanagement in der öffentlichen Verwaltung in Deutschland bestellt? 50 Dieser Frage ist Herr Roman Schmidt im Jahre 2011 im Rahmen seiner Masterarbeit nachgegangen. Ziel war es dabei, den aktuellen Entwicklungsstand zum Umgang mit Risiken in deutschen Amtsstuben herauszufinden und einen Vergleich mit den Risikomanagementsystemen der freien Wirtschaft aufzustellen Untersuchungsmethodik 52 Zur Teilnahme an der Umfrage wurden 572 Bundes- und Kommunalverwaltungen der Bundesländer Baden-Württemberg und Bayern per angeschrieben. Das Verhältnis lag etwa bei 25 Prozent Bundesverwaltungen und 75 Prozent Kommunalverwaltungen. Konkrete Auswahlkriterien für die Befragten lagen nicht vor. Es wurden innerhalb der beiden Bundesländer Verwaltungen unterschiedlichster Größe und Region befragt. Vorzugsweise und soweit die Kontaktdaten vorhanden waren, erhielten die direkt Mitarbeiter der Finanz- oder Controllingbereiche. Andernfalls wurde die allgemeine der Verwaltung oder die der Pressestelle verwendet. Die zugesandte enthielt einen Link zu der selbst erstellten Online-Umfrage. Bei der Formulierung der Fragen orientierte sich Herr Schmidt an privaten Studien zum Thema Risikomanagement, was in der späteren Auswertung einen Vergleich mit der freien Wirtschaft vereinfachte. Dabei wurden die Standards zur Qualitätssicherung für Online-Befragungen 53 beachtet. So sind zur Wahrung der Anonymität beispielsweise lediglich Fragen zur Funktion des beantwortenden Mitarbeiters sowie zur Größe der Bundes- bzw. Kommunalverwaltung gestellt worden, nicht aber zum Namen. Die Online-Umfrage stand den Verwaltungen 21 Tage vom 16. Mai bis 15. Juni 2011 zur Verfügung. Innerhalb dieses Zeitraums wurde an diejenigen, welche bis dahin noch nicht teilgenommen hatten, eine Erinnerungs versendet. Nach Ablauf der Befragung zeigte sich eine erstaunlich hohe Rücklaufquote, mit der Herr Schmidt selber nicht gerechnet hatte. Es gingen 176 Antworten ein, von denen 54 so ausgefüllt waren, dass sie statistisch 48 Vgl. NAR (2014), S. 1 f. 49 NAR (2014), S. 1 f.; Redaktion RiskNet (2014). 50 Vgl. Schmidt (2012). 51 Vgl. Schmidt (2012); Anhang D. 52 Vgl. für dieses Kapitel Anhang D. 53 Vgl. ADM/ASI et al. (2001).

19 Risikomanagement im öffentlichen Sektor Seite 11 verwertbar waren. 54 Dies entspricht einer Rücklaufquote von 30,88 Prozent. Es konnte jedoch keine Systematik bei den Rückläufen erkannt werden, so war das Verhältnis zwischen kleinen und großen Kommunen durchweg gemischt 55. Die Rückläufe der Bundes- und Kommunalverwaltung spiegelten jeweils das Verhältnis der angefragten Verwaltungen wieder Untersuchungsergebnisse 56 [Es] bestätigte sich der Verdacht, dass das Risikomanagement in der öffentlichen Verwaltung einen erheblichen Nachholbedarf hat. 57 Im Folgenden sind die Ergebnisse der Umfrage zusammenfassend abgebildet, bevor die ausführlich beschrieben werden. 100% 75% 50% 25% 0% 20% 80% 78% 22% 85% 15% 50% 50% 83% 17% 40% 60% Nein Ja Abb. 4: Ergebnisse der Umfrage R. Schmidt Obwohl 80 Prozent der teilnehmenden Verwaltungen die Einführung eines Risikomanagements für ihre Verwaltung als sinnvoll erachten, haben nach eigener Aussage nur 22 Prozent eine Risikomanagementfunktion eingerichtet. Bei näherer Betrachtung zeigte sich zudem, dass diese meist einen geringen Reifegrad besitzt. Im Vergleich zur Wirtschaft fehlt[ ] es 54 Anhang D, Frage Anhang D, Frage Vgl. für dieses Kapitel Schmidt (2012). 57 Schmidt (2012). 58 Quelle: Eigene Darstellung in Anlehnung an die Umfrageergebnisse von Schmidt (2012); die Ergebnisse stellen dabei die durchschnittliche Antworthäufigkeit von Bundes- und Kommunalverwaltungen in Prozent dar.

20 Risikomanagement im öffentlichen Sektor Seite 12 insbesondere an grundlegenden Richtlinien, beispielsweise der Definition von Risiken und Regeln, wann diese kommuniziert werden sollen. [ ] Von allen Beteiligten hatte nur eine Verwaltung eine Risikomanagementfunktion eingesetzt, die auf Grund Ihres Aufgabenspektrums mit der Risikomanagementfunktion in der Wirtschaft vergleichbar ist. [ ] Die Methode der Risikoidentifikation ist im Vergleich zur Wirtschaft weniger standardisiert. So werden beispielsweise Risikokataloge nur von knapp 25 Prozent der Bundesbehörden und weniger als 5 Prozent der Kommunalbehörden genutzt. [ ] [Insgesamt] 50 Prozent der befragten Kommunalverwaltungen [gaben] an, Risiken ohne nachvollziehbare Methoden zu erheben. Risiken werden somit intransparent und eine Bewertung erschwert. Besonders kritisch ist die geringe Frequenz der Risikoidentifikation in öffentlichen Verwaltungen zu sehen. Hier deuten die Ergebnisse der Umfrage auf einen grundsätzlich reaktiv angelegten Prozess hin. So werden Risiken nur zu einem geringen Teil regelmäßig und dann nur auf jährlicher Basis erfasst und (neu) bewertet. Jede zehnte Kommunalverwaltung, die Risiken identifiziert, verzichtet vollständig auf die Bewertung dieser Risiken. Die Schaffung geeigneter Gegenmaßnahmen wird so unmöglich gemacht. Analog zur Risikoidentifikation und Bewertung verhält es sich mit [dem] Risikoreporting. Risiken werden nur in 17 Prozent der an der Umfrage beteiligten Verwaltungen regelmäßig an die Leitung der Verwaltung gemeldet. Prinzipiell erfolgt die Information über die aktuelle Risikosituation nur unsystematisch oder auf jährlicher Basis. In letzter Konsequenz führt dieser Informationsrückstand zur verspäteten Initialisierung von Gegenmaßnahmen und reduziert damit die Chance, den Eintritt von Risiken zu vermeiden bzw. die Höhe eines Schadens zu reduzieren. In Bezug auf eine Überwachung des [Risikomanagementsystems] schneiden Bundesbehörden besser ab als Kommunalverwaltungen. Zwar haben Kommunalverwaltungen in Einzelfällen Überwachungsmechanismen installiert, die durchaus für die Aufgabe geeignet sind (beispielsweise die Prüfung durch die Interne Revision), allerdings gaben über 40 Prozent der beteiligten Kommunalverwaltungen an keinerlei Überwachungstätigkeit durchzuführen Gründe für den aktuellen Status Quo Die Tatsache, dass es in deutschen Kommunen noch zu selten ein systematisches und flächendeckendes Risikomanagement 60 gibt, resultiert aus unterschiedlichen Ursachen. Diese stehen zum Teil in enger Verbindung mit den Besonderheiten des öffentlichen Sektors, auf welche ausführlich in Kapitel 3.3 eingegangen wird. Kurzfristiges Denken, ein traditionell reaktives Verhalten von Politik und Verwaltung, häufig unklare Ziele und Verantwortlichkeiten sowie kaum zu befürchtende Konsequenzen bei unerwünschten Abweichungen, förderten in der Vergangenheit ein eher lasches Risikover- 59 Schmidt (2012). 60 Beck/Benecke et al. (2013), S. 13.