Interne Revision Revision Bericht gemäß 386 SGB III Risikomanagement
Inhaltsverzeichnis 1 Zusammenfassung... 1 2 Festgestellte Handlungsbedarfe... 2 2.1 Verantwortlichkeiten und Abläufe im Risikomanagement... 2 2.2 Einbeziehung aller relevanten Bereiche... 3 2.3 Abstimmung innerhalb des Risikomanagements... 3 3 Zusammenwirken systemischer Vorkehrungen mit persönlicher Rollenwahrnehmung... 4 Anlage 1 Anlage 2 Sollbeschreibung in Anlehnung an COSO ERM Revisionsumfang und -methode
1 Zusammenfassung Das Risikomanagement der Bundesagentur für Arbeit ist darauf ausgerichtet, in standardisierter Form wesentliche Risiken so schnell wie möglich zu erkennen, zu bewerten und mit der Risikoakzeptanz der Organisation in Einklang stehende Maßnahmen zur Risikoreduzierung zu ergreifen. Die Interne Revision hat in zwei Schritten geprüft, ob das Risikomanagement der BA dieser Zielrichtung durch ein qualitativ ausreichendes Internes Kontrollsystem gerecht werden kann und ob Ansatzmöglichkeiten zur Verbesserung der Leistungsfähigkeit des Risikomanagements bestehen. Liegen Einschränkungen in der Funktionsfähigkeit des Risikomanagements vor, besteht die Gefahr, dass die BA möglichen Risiken für die Zielerreichung nicht rechtzeitig begegnen oder in anderen sensiblen Bereichen, beispielsweise personell, finanziell oder bezüglich ihrer Reputation in der Öffentlichkeit, Schaden nehmen kann. Diesbezügliche Risiken bzw. bereits eingetretene Schäden wirken sich fast immer auch auf die Qualität der Dienstleistung gegenüber den Kundinnen und Kunden der BA aus. Mit ihrem Zwischenbericht vom 13. Dezember 2012 hat die Interne Revision empfohlen, bei der Ausgestaltung der damals bereits begonnenen Neukonzeption des Risikomanagements in der BA die wesentlichen Punkte aus dem Referenzmodell COSO ERM 1 angemessen zu berücksichtigen. Um diesen Aspekt bei der nunmehr zwei Jahre später durchgeführten Revision möglichst zielführend aufgreifen zu können, hat die Interne Revision im Vorfeld der Prüfung mit dem Vorsitzenden des Vorstands der BA abgestimmt, welche Bestandteile aus COSO ERM nach seinen Anforderungen an ein leistungsfähiges Risikomanagement prinzipiell auf die BA übertragbar sind (vgl. Anlage 1). Im Ergebnis ihrer aktuellen Prüfung kommt die Interne Revision zu der Einschätzung, dass das Risikomanagement in seinem heutigen Entwicklungsstand eine rechtzeitige und zuverlässige Information des Vorstands über die wesentlichen Risiken in der BA weitgehend sicherstellt. Ebenso sind systemische Vorkehrungen getroffen, um aus den festgestellten Risiken entsprechende Gegenmaßnahmen einleiten zu können. Die maßgeblichen Elemente aus COSO ERM wurden im Rahmen der Neukonzeption des Risikomanagements in einer auf die Belange der BA angepassten Form aufgegriffen. Noch nicht umfassend realisiert wurden dabei die Aspekte einer klaren und transparenten Festlegung von Verantwortlichkeiten und Abläufen, der Einbeziehung wirklich aller relevanten Themenbereiche sowie einer abgestimmten Kommunikation zwischen verschiedenen Sparten des Risikomanagements. Die Interne Revision vertritt außerdem die Auffassung, dass die Funktionsfähigkeit eines Risikomanagements nicht allein über organisatorisch-technische Vorkehrungen sichergestellt werden kann. Mindestens ebenso wichtig sind die in der Organisation gelebte Kultur im Umgang mit Risiken und das persönliche Engagement der im Prozess des Risikomanagements tätigen Personen. Ziel der Revision Risiko Rahmenwerk COSO ERM Einschätzung der Internen Revision 1 COSO ERM Enterprise Risk Management Framework, ein auf dem COSO IC-Modell, welches als Referenzmodell für die Ausgestaltung eines funktionsfähigen Internen Kontrollsystems in der BA dient, aufbauendes international anerkanntes Rahmenwerk Risikomanagement Dezember 2014 1
2 Festgestellte Handlungsbedarfe Von den aus COSO ERM abgeleiteten Anforderungen an ein funktionierendes Risikomanagement besteht aus Sicht der Internen Revision bei folgenden Aspekten noch Weiterentwicklungsbedarf: 2.1 Verantwortlichkeiten und Abläufe im Risikomanagement Die grundlegenden Verantwortlichkeiten und Abläufe im Risikomanagement wurden den Regionaldirektionen und Geschäftsbereichen der Zentrale in Auftaktveranstaltungen vorgestellt und in einem Handbuch zum Risikomanagement der BA festgeschrieben. Dieses Handbuch wurde bisher allerdings nicht veröffentlicht. Lediglich im Intranet der BA sind teilweise diesbezügliche Beschreibungen verfügbar. Vergleichbare schriftliche Regelungen in Form des Leitfadens Risikomanagement für Projekte lagen bisher nur für den IT- Bereich vor. Jedoch ist diese Weisung zum 30. April 2014 abgelaufen. Somit kann davon ausgegangen werden, dass differenzierte Festlegungen zu Verantwortlichkeiten und Abläufen im Risikomanagement nur den unmittelbar befassten Personen bekannt sind. Mindestens in den Dienststellen vor Ort fehlen damit Informationen, die für die Schaffung eines einheitlichen breiten Verständnisses und damit die Funktionalität des Risikomanagements relevant sind. Abgesehen von einer Kurzbeschreibung im nicht veröffentlichten Handbuch gibt es ferner keine konkreten Aufgabenbeschreibungen für die Risikomanager/-innen und die Mitglieder im Risikobeirat. Ebenso existieren für das Risikoboard und den Risikobeirat keine organisatorischen Festlegungen im Sinne einer Geschäftsordnung, in der etwa die Funktion und Zusammensetzung der Gremien, eventuelle Vertretungsregelungen und Dokumentationsstandards geregelt sind. Nach Einschätzung der Internen Revision hängt der Erfolg des Risikomanagements maßgeblich vom persönlichen Einsatz einzelner Prozessbeteiligter ab. Infolge unzureichender organisatorischer Regelungen und nicht klar beschriebener Rollenzuständigkeiten besteht das Risiko, dass es bei Ausfall oder Wechsel von Schlüsselpersonen (und damit Wissensträgern) kurzfristig zu Störungen im Prozess (Identifizieren und Bewerten von Risiken, Berichterstattung an den Vorstand, Initiieren und Nachhalten von Maßnahmen) kommen kann. Prozesse und Verantwortlichkeiten im Risikomanagement sollten klar geregelt und für alle Mitarbeiter/-innen in der BA transparent gemacht werden. organisatorische Regelungen einheitliches Verständnis Rollenerwartungen Risiken Empfehlung 1 Aus Sicht der Internen Revision geht es dabei nicht um ein aufwändiges Erstellen eines umfassenden Regelungswerkes, sondern um das Kommunizieren möglichst knapper und präziser Festlegungen zur systemischen (und damit personenunabhängigen) Sicherstellung der Funktionalität und der informatorischen Einbindung auch der Dienststellen vor Ort in ein einheitliches Verständnis des Risikomanagements. Risikomanagement Dezember 2014 2
2.2 Einbeziehung aller relevanten Bereiche In den Geschäftsbereichen der Zentrale und den Regionaldirektionen sind jeweils Risikomanager/-innen benannt. Für die Dienststellen vor Ort gibt es dagegen keine Festlegungen, wie das Risikomanagement verortet werden soll. Ebenso haben sie abgesehen von Ausnahmen keinen Zugriff auf die für das Risikomonitoring in der BA eingesetzte IT-Unterstützung 2. Einbindung der Dienststellen vor Ort Mit der Einrichtung des Risikobeirats war die Intention verbunden, einen Praxisblick auf die Risikoeinschätzung der Geschäftsbereiche der Zentrale zu ermöglichen. In diesem Gremium sind auch Führungskräfte aus ausgewählten Dienststellen vor Ort und einigen besonderen Dienststellen vertreten. Für die Interne Revision war nicht erkennbar, nach welchen Kriterien Teilnehmer welcher Dienststellen in den Risikobeirat berufen wurden. Beispielsweise wurde die Familienkasse erst am Risikobeirat beteiligt, nachdem dieser in einer Sitzung erklärt hatte, ihm sei ohne Einbeziehung der Familienkasse keine Bewertung des zur Rede stehenden Risikos möglich. Aus Sicht der Internen Revision ist es nachvollziehbar, dass der am Prozess des Risikomanagements beteiligte Personenkreis überschaubar bleiben muss, weil sonst das Risiko einer thematischen und prozessualen Überfrachtung besteht. Auf der anderen Seite muss eine fachliche Abdeckung aller relevanten Themen bzw. Dienststellenbereiche sichergestellt sein. So wenig es zielführend wäre, am Risikomanagement aus zentraler Sicht Vertreter/-innen aus allen Dienststellen der BA zu beteiligen, so sehr scheint es jedoch erforderlich, bei der Festlegung des Kreises der Beteiligten einer klaren Bedarfsstruktur zu folgen. Beispielsweise bleibt es den einzelnen Regionaldirektionen überlassen, wie die Risikomanager/-innen zur Risikoeinschätzung für ihren Bezirk gelangen. Die Einbeziehung von besonderen Dienststellen in den Risikobeirat sollte ferner nicht davon abhängig gemacht werden, ob sich gerade ein dienststellenspezifisches Thema auf der Tagesordnung befindet. Bei einer Beteiligung auf Zuruf besteht das Risiko, dass wesentliche Risiken durch die Maschen fallen und somit nicht rechtzeitig erkannt und kommuniziert werden können. Die Festlegung der Beteiligten am Prozess des Risikomanagements sollte einer klaren Struktur folgen, die sich am Erkenntnisbedarf ausrichtet. Risikoabwägung Empfehlung 2 2.3 Abstimmung innerhalb des Risikomanagements In ihrem Zwischenbericht vom 13. Dezember 2012 hat die Interne Revision auf ein mögliches Redundanz- und Abstimmungsproblem im Hinblick auf mehrere nebeneinander existierende Untereinheiten des Risikomanagements hingewiesen. Dem Wunsch der Berichtsadressaten entsprechend, kommunizieren die einzelnen Stränge trotz zwischenzeitlich modifizierter organisatorischer Anbindung noch immer parallel an den Vorstand. Nachdem die Berichte jeweils unterschiedliche risikorelevante Aspekte beleuchten (beispielsweise Risikosituation im Gesamtblick, Entwicklungsfortschritt der Kernmaßnahmen aus BA 2020 3, Sachstand zu den Großprojekten), ist diese Vorgehensweise unter den Beteiligten bisher auf allgemeine Akzeptanz gestoßen. parallele Berichterstattung 2 Risikomanagementsoftware R2C_risk to chance 3 Das Entwicklungsprogramm BA 2020 Antworten der Bundesagentur für Arbeit auf Fragen der Zukunft beschreibt die geschäftspolitische Ausrichtung der BA für die kommenden Jahre und umfasst ein Programm mit konkreten Maßnahmen. Risikomanagement Dezember 2014 3
Aus Sicht der Internen Revision ist eine arbeitsteilige und auf unterschiedliche Erkenntnisschwerpunkte ausgerichtete Vorgehensweise im Rahmen der Berichterstattung für sich genommen als unkritisch anzusehen. Sie erfordert jedoch ein erhöhtes Maß an standardisierter Abstimmung, was derzeit offensichtlich durch ein gutes fachliches Einvernehmen unter den betreffenden Akteuren des Risikomanagements weitgehend sichergestellt wird. Auch hier gilt jedoch, dass sich die Sicherheit des Systems nicht allein auf das persönliche Engagement einzelner Mitarbeiter/-innen stützen darf. Es sollte geprüft werden, ob die systemischen Vorkehrungen zur Sicherstellung einer zwischen den Teilbereichen des Risikomanagements abgestimmten Berichterstattung auch personenunabhängig tragfähig sind. Risikobetrachtung Empfehlung 3 3 Zusammenwirken systemischer Vorkehrungen mit persönlicher Rollenwahrnehmung Auch für die Initiierung, Umsetzung und Nachhaltung von Maßnahmen zur Risikominimierung beinhalten das Risikomanagement im engeren Sinne sowie der Steuerungsprozess im weiteren Sinne etliche systemische Vorkehrungen (Risikoboard, Risikobeirat, Risikoberichte an den Vorstand, Performancedialog, IT-Unterstützung, Projektlenkungsausschuss, Strategisches CAB 4 etc.). Aus Sicht der Internen Revision sind in Bezug auf das Vorhandensein entsprechender Einrichtungen und Instrumente keine systemischen Lücken erkennbar. Welche Maßnahmen zur Risikosteuerung ergriffen werden und auf welches Niveau Risiken reduziert werden sollen, hängt jedoch weitgehend von der Risikoneigung der Geschäftsbereiche ab. Soweit nicht der Vorstand direkt entsprechende Impulse setzt, liegt die Verantwortung zur Steuerung von Maßnahmen zur Risikominderung grundsätzlich in den Händen der Geschäftsbereiche. Vor diesem Hintergrund sieht es die Interne Revision als schlüssig an, dass die Geschäftsbereiche sowohl bei der Identifizierung und Bewertung von Risiken als auch bei der Risikosteuerung im Prozess des Risikomanagements der BA eine Schlüsselrolle einnehmen. Dies impliziert aber auch, dass den Akteuren eine besondere Verantwortung für das Funktionieren des Risikomanagements obliegt. Organisatorisch-technische Vorkehrungen können dabei nur unterstützen. systemische Vorkehrungen zur Risikosteuerung besondere Verantwortung der Geschäftsbereiche Diese Prüfung wurde in Übereinstimmung mit den Internationalen Standards für die berufliche Praxis der Internen Revision durchgeführt. 4 CAB: Change Advisory Board Risikomanagement Dezember 2014 4
Sollbeschreibung in Anlehnung an COSO ERM Anlage 1 Nach Abstimmung mit dem Vorsitzenden des Vorstands sollten abgeleitet aus COSO ERM insbesondere die folgenden Kriterien auf das Risikomanagement in der BA zutreffen: Internes Unternehmensumfeld Verantwortlichkeiten und Prozesse im Risikomanagement müssen klar sein (klar geregelt, bekannt, akzeptiert und praktiziert). Gemeinsames Verständnis für die Bewertung als Risiko (Wesentlichkeit) und für den Umgang mit Risiken (Risikokultur sowie Ableitung von Maßnahmen) muss vorhanden sein. Zielsetzungsprozess Das Risikomanagement muss in strukturierter Form auf ein in der BA einvernehmlich getragenes Zielsystem aufgesetzt sein (dies impliziert auch die Vollständigkeit des für das Risikomanagement relevanten Themenspektrums). Ereignisinventur Der Prozess des Risikoidentifizierens muss standardisiert (klare Kriterien, klare Prozesse, regelmäßige Durchführung) auf die Umsetzung der Unternehmensstrategie und Erreichung der Ziele ausgerichtet sein. Risikobeurteilung Es muss sichergestellt sein, dass die Risiken nach einheitlichen und eindeutigen Kriterien unbeeinflusst und möglichst objektiv bewertet werden. Die relevanten Risiken müssen plausibel und verständlich dargelegt werden. Die Einschätzung der relevanten Risiken muss regelmäßig evaluiert/kalibriert werden. Risiko-Maßnahmen/Kontroll- und Steuerungsaktivitäten Aus den relevanten Risiken müssen zuverlässig angemessene Maßnahmen abgeleitet werden. Der Erfolg dieser Maßnahmen muss standardisiert nachgehalten und im Gesamtkontext aller Maßnahmen und der Risikoentwicklung laufend bewertet werden (laufende Reflexion aus dem Fokus des Risikomanagements). Information und Kommunikation Ein erfolgreiches Risikomanagement bedingt eine strukturierte, eindeutige und rechtzeitige Kommunikation aller relevanten Informationen. Monitoring/Überwachung Die Effektivität und Effizienz des Risikomanagements sind in geeigneter Form laufend zu überwachen. Risikomanagement Dezember 2014 1
Interne Revision Revisionsumfang und -methode Anlage 2 Die Revision Risikomanagement wurde in zwei Tranchen durchgeführt (2012 und 2014). Die aktuelle Prüfung baute auf den im Zwischenbericht vom 13. Dezember 2012 dargestellten Revisionsergebnissen auf. Im Rahmen der Revision wurden Unterlagen zum Risikomanagement geprüft, Interviews mit Akteuren und Verantwortlichen des Risikomanagements geführt sowie die Risikomanagementsoftware R2C_risk to chance stichprobenartig eingesehen. Die Beurteilung von IT-Kontrollen war nicht Revisionsbestandteil. Zeitraum der Revision: 16.05.2014-31.10.2014 Risikomanagement Dezember 2014 1