3.10.1 Praxisbeispiele
Artikel Einführung
| Kapitel im Orghandbuch | 3.10 Risikomanagement |
|---|---|
| Titel des Praxisbeispiels | Das Risikomanagementsystem in der Bundesanstalt für Materialforschung und -prüfung |
| Behörde / Organisation | Bundesanstalt für Materialforschung und -prüfung (BAM) |
| Kontakt | |
| Arbeitshilfen, Dokumente |
3.10.1.1 Das Risikomanagementsystem in der Bundesanstalt für Materialforschung und -prüfung (BAM)
1 Die BAM als ein Element der Risikovorsorge in Deutschland
Die Bundesanstalt für Materialforschung und -prüfung (BAM) leistet in den Spitzen- und Schlüsseltechnologien Materialwissenschaft, Werkstofftechnik und Chemie einen entscheidenden Beitrag zur technischen Sicherheit von Produkten, Prozessen und der Lebens- und Arbeitswelt der Menschen. Als Bundesoberbehörde ist die BAM wirtschaftlich unabhängig und fungiert als neutraler Moderator externer Entscheidungsprozesse. Sie ermöglicht als Ressortforschungseinrichtung im Geschäftsbereich des Bundesministeriums für Wirtschaft und Energie (BMWi) den Transfer wissenschaftlicher Erkenntnisse in die Politik und für die Erfüllung öffentlicher Aufgaben. Auf den verschiedenen Ebenen werden so die Anforderungen an Sicherheit in Technik und Chemie identifiziert, kommuniziert und implementiert. Mit ihrem Anspruch „Sicherheit macht Märkte“ ist die BAM damit selbst ein Element der Risikovorsorge des Staates in Deutschland.
Neben dieser übergreifenden Rolle im System der staatlichen Risikovorsorge wurde in der BAM in den letzten Jahren ein internes Risikomanagementsystem aufgebaut. Die derzeitige Ausgestaltung des Systems und die Erfahrungen im Umgang damit werden nachfolgend dargestellt.
2 Impulse zum Aufbau eine Risikomanagementsystems
Ausgangspunkt für die Etablierung eines organisationsweiten Risikomanagements war ein Impuls des zuständigen Ministeriums (BMWi) im Jahr 2014, woraufhin mit einer ersten Beschreibung des Risikomanagements in einer Risikorichtlinie begonnen wurde. In den folgenden Jahren hat das Risikomanagement zunehmend an Bedeutung gewonnen. Der Bundesrechnungshof hat mit seinem „Modell eines Risikomanagements“ seine Vorstellungen formuliert[1] . In der für die BAM in den meisten Bereichen maßgeblichen Qualitätsnorm ISO/IEC 17025:2017 ist mit der aktuellen Fassung des Jahres 2017 ebenfalls die Bedeutung des Risikomanagements deutlich betont worden[2] . Letztlich hat die zuständige Staatssekretärin im BMWi im August 2018 in einem Schreiben an die Leitungen der Geschäftsbereichsbehörden des BMWi unterstrichen, dass es „besonders wichtig [sei], sich auch der Instrumente zu bedienen, die uns vorausschauend Risiken erkennen und adäquat reagieren lassen.“
3 Aufbau des Risikomanagements
Eine Ist-Aufnahme im Jahr 2017 ergab, dass zwar in einzelnen Projekten, Forschungsvorhaben oder Prüfungen von sicherheitsrelevanten Einrichtungen und Materialien Risikobetrachtungen existierten. Allerdings fehlte ein Überblick für die gesamte BAM sowie eine systematische Steuerung der zur Risikominimierung notwendigen Maßnahmen und die verbindliche Nutzung eines Risikomanagements für die gesamte Organisation.
Umsetzung und Überwachung des Risikomanagements wurden dem Controlling übertragen. Mit den elf Abteilungen wurden hier zunächst mögliche Risiken identifiziert, systematisiert, dokumentiert und bewertet sowie erste Vorschläge zu risikominimierenden Maßnahmen formuliert. Ein ergänzender Blick auf die „strategischen“ Risiken erfolgte gemeinsam mit der Hausleitung. Auch diese Risiken wurden dokumentiert und bewertet. In der Erhebungsphase war es wichtig zu verdeutlichen, dass die Verantwortung für die Bewältigung der Risiken nicht allein durch die Dokumentation auf das zentrale Risikomanagement übergeht. Damit verbunden ist der Anspruch, dass Risiken in den meisten Fällen auch dort professionell bewältigt werden können, wo sie entstehen oder wo bewusst „Beauftragte“ eingerichtet sind. Nicht in die Erhebung einbezogen wurden Projektrisiken, weil hier das Risikomanagement im Rahmen des Projektmanagements durch die einzelnen Projektleitungen gesondert erfolgt und über das zentrale Projektmanagement gebündelt wird.[3]
3.1 Risikoerhebung - Risikomeldung
Für die Erhebung wurde ein Template „Risikomeldung“ genutzt, worin alle für die weitere Bearbeitung notwendigen Angaben erfasst werden (Abbildung 1). Zentraler Punkt ist die Risikobeschreibung, mit der Ursache und Auswirkung eines Risikos dargestellt werden. Ebenso wird eine Einstufung hinsichtlich der Eintrittswahrscheinlichkeit und der Auswirkungen des Risikos aus Sicht des Risikogebers vorgenommen, woraus sich die Risikokategorie (A-C) ergibt. Grundlage für die Ermittlung der Kategorie ist eine klassische Risikomatrix.
Abbildung 1: Template für die Risikomeldung
Die Risikomeldungen der Abteilungen werden halbjährlich fortgeschrieben. Ergänzend erfolgt eine strategische Risikobewertung auf der Ebene der Hausleitung. Kurzfristige relevante Risiken werden zudem über die Möglichkeit der Sofortmeldung als Ad-hoc-Risiken eingesteuert und führen zu entsprechenden unmittelbaren Aktivitäten.
3.2 Risikosteuerung und -management
Die erhobenen und fortgeschriebenen Risiken werden vom Controlling systematisiert und mit entsprechenden Maßnahmen untersetzt. Dabei wird eine operative Verantwortlichkeit für die Risikobewertung und die Umsetzung der Maßnahmen festgelegt. Dort, wo „spezifische Beauftragte“ vorhanden sind, die dieses Thema ganz oder teilweise bearbeiten bzw. ihre Expertise einbringen, sind diese mit aufgeführt.
Um die Ursachen der Risiken zu systematisieren und ggf. zu größeren Bündeln zusammenzufassen, wird jedes Risiko einer von sechs Ursachenarten zugeordnet. Diese sind: Qualität, Recht, Sicherheit, Datenschutz, Steuerung, operativ.
Außerdem werden die Risiken einer von drei Gruppen möglicher Auswirkungen zugeordnet, und zwar: Finanzen, Reputation und Ergebnis. Besonders deutlich wurden dabei die möglichen Auswirkungen von Risikoeintritten auf die Reputation der Gesamtorganisation, die im Zweifel die organisatorische Rechtfertigung einer Ressortforschungseinrichtung in Frage stellen würden. Mit der Verkürzung auf lediglich drei Gruppen von Auswirkungen ist es gelungen, die Vielzahl z.T. diffuser Auswirkungsbeschreibungen zu konzentrieren und fassbar zu machen.
Abbildung 2: Risikoauswirkungen
Die mit den Umsetzungsverantwortlichen vereinbarten Aktivitäten werden regelmäßig überprüft. In einer Risikohistorie werden alle in der Vergangenheit (seit Beginn der Risikomeldung) umgesetzten Aktivitäten dokumentiert. So wird eine regelmäßige Überprüfung der Risikoeinschätzung und der Wirksamkeit der jeweiligen Maßnahmen gesteuert.
3.3 Risikoreporting
Für die Hausleitung werden die Risiken in einem Risikostatusbericht halbjährlich zusammengefasst. Dieser besteht aus einer verbalen Bewertung der Risiken aus der Sicht des Controllings (zwei Textseiten), einem Controlling-Sheet mit den jeweiligen zusammengefassten Daten, einer Übersicht aller Einzelrisiken, Bewertungen und Zuordnung (zwei Seiten).
Im Controlling-Sheet (vgl. Abbildung 3) ist die Anzahl der Risiken in den jeweiligen Klassen und ein zusammenfassender Risikoindex ausgewiesen, der sich aus der Gewichtung der Anzahl ergibt (1= alles A-Risken, 3= alles C-Risiken). Daneben ist die Anzahl der Risikoquellen, der Auswirkungen und der möglichen Betroffenheit besonderer Beauftragter dargestellt. Auch wenn -gerade im Risikomanagement- ein hoher qualitativer Anteil, beispielsweise bei der Definition und Umsetzung von Maßnahmen vorhanden ist, dient die quantitative Darstellung einer notwendigen zusammenfassenden Abbildung der aktuellen Risikolage.
Abbildung 3: Controllingbericht (quantitativ) zum Risikomanagement
4 Erfahrungen
Nach rund zwei Jahren Risikomanagement ist das System grundsätzlich funktionsfähig, auch wenn es weitere Entwicklungsbedarfe gibt. Die wesentlichen Erkenntnisse aus der bisherigen Arbeit sind:
- Risikomanagement ersetzt nicht operatives Handeln
Eine Beobachtung im Rahmen der Risikoerhebung war, dass Themen als Risiken genannt wurden, die bereits in der Vergangenheit bekannt waren und deren Bearbeitung noch nicht erfolgte. Mit einer Aufnahme in das Risikomanagement sollte so die Bedeutung des Themas aufgewertet und die Bearbeitung realisiert werden. Im Zuge späterer operativer Diskussionen wurde an einzelnen Stellen bei auftretenden operativen Problemen geäußert „das ist ein Risiko, dass muss ins Risikomanagement“.
Risikomanagement ist jedoch einer von vielen verschiedenen Managementansätzen, der beispielsweise durch Zielvereinbarungen ergänzt wird. Um die Sinnhaftigkeit und Wirksamkeit des Ansatzes nicht zu untergraben, steht die operative Abarbeitung im Vordergrund. Nicht alles, was schwierig ist, ist ein Risiko. Dies würde auch die Organisation des Risikomanagements erheblich überfordern. Dem Umstand wurde dadurch Rechnung getragen, dass es jeweils operative Verantwortliche für Risiken und die Umsetzung definierter Maßnahmen gibt und bereits bei der Risikomeldung erste operative Maßnahmen vom Risikogeber vorzuschlagen sind.
- Viele Köche verderben den Brei … oder kochen durch Arbeitsteilung besser
Derzeit wird an den verschiedensten Stellen (Qualitätsmanagement, IT-Sicherheitsmanagement, Interne Revision, Projektmanagement usw.) mit dem Begriff des Risikomanagements gearbeitet, teilweise existieren unterschiedliche Verständnisse. Deshalb ist es umso wichtiger, Verantwortung und Kooperationen klar zu regeln. Vielfach sind einzelne Arbeitsschritte gemeinsam zu realisieren oder die Expertise der anderen Rollen ist ausdrücklich erwünscht. Insgesamt sind grundsätzliche Regelungen z.B. zur Erhebung, zur Klassifizierung und zur Bearbeitung von Risiken gemeinsam zu treffen, wie dies in der BAM mit einer einheitlichen und für alle verbindlichen Risikorichtlinie geschehen ist.
- Die richtige Flughöhe finden
Die Meldung der Risiken erfolgte in unterschiedlichen „Granularitäten“. Dabei waren die Risiken teilweise sehr grob benannt (z.B. „Qualifizierung ist nicht gut“), was dann nur zu sehr groben Maßnahmen führen kann (z.B. „Qualifizierung besser machen“). Andererseits gab es auch sehr kleinteilige Meldungen (z.B. „die Tür zum Labor x ist defekt“), was wiederum „nur“ zu kleinteiligen operativen Aktivitäten führt („Hausmeister repariert die Tür unverzüglich“). Aufgabe des Risikomanagements ist es eine möglichst gleichmäßige „Flughöhe“ zu realisieren, um nicht zu allgemein, aber auch nicht zu spezifisch zu werden. Eine zu grobe Abstraktion der Risiken (i.S. von Zusammenfassung in Gruppen) verstellt den Blick auf notwendige operative Aktivitäten. Im Rahmen der Risikosteuerung hat es sich angeboten einen Blick auf alle gemeldeten Risiken zu werfen und diese (nicht zu grob) zu clustern. Dabei hilft auch die auf verschiedenen Ebenen vorzunehmende Zuordnung nach Risikoquellen, Risikoauswirkungen und Themenbereich- Beauftragte sowie die im Rahmen der Risikomeldung vorzunehmende Beschreibung des Risikos nach Ursache und Auswirkung.
- Strategische Risiken sind unterrepräsentiert
Die Benennung strategischer Risiken ist in den Erhebungen eher unterrepräsentiert. Häufig werden die naheliegenden operativen Themen aufgegriffen. Möglicherweise ist dies auch mit der Annahme verbunden, dass Strategie ohnehin auf den oberen Hierarchieebenen entwickelt wird. Auch dürften die Identifikation und Beschreibung möglicher Auswirkungen hier diffuser sein als bei operativen Fragestellungen.
Echten strategischen Risiken muss mit anderen Aktivitäten (Einsteuern in den regelmäßigen Strategiezyklus) begegnet werden als operativen Risiken, die eher konkretere und unmittelbare Handlungen ermöglichen. Wir haben die operative und strategische Risikoerfassung getrennt. Die strategische Risikobetrachtung erfolgt in einem gesonderten strategischen Foresight-Prozess, dessen Ergebnis die Entwicklung und Fortschreibung der Organisationsstrategie ist.
- Risikomanagement ist keine Glaskugel oder „im Nachhinein sind alle schlauer“
Mit dem Risikomanagement ist die Erwartung verbunden, dass wesentliche Risiken erkannt werden und kritische Auswirkungen des Risikoeintritts vermieden werden. In zwei konkreten Fällen sind in der BAM relevante Ereignisse eingetreten, die im Rahmen des Risikomanagements vorab nicht identifiziert wurden. Risikomanagement muss dynamisch und iterativ bleiben und auf Veränderungen reagieren. Dabei dürfte auch deutlich sein, dass nicht jede Eventualität eines zukünftigen Ereignisses vorhersehbar ist. Insofern ist Risikomanagement auch ein lernendes System, welches aus negativen Ereignissen lernt und (zumindest) für zukünftige Fälle Risikoeintritte zu vermeiden hilft.
5 Fazit
Die Einführung eines Risikomanagements ist kein Sprint, sondern eher ein Marathon. Verfolgt man die Etablierung jedoch dauerhaft und nachhaltig, führt dies zu einer besseren Steuerung der Organisation. Insofern trägt Risikomanagement -ganz im Sinne der hier beschriebenen Systematisierung von Risikoauswirkungen- zum Erhalt der Reputation, zur Sicherung der Ergebnisse und der Finanzen öffentlicher Institutionen bei.
Fußnoten
[1] Vgl. Bundesrechnungshof: Modell eines Risikomanagements für die Bundesverwaltung, 2017, Bonn:
https://www.bundesrechnungshof.de/..., Abruf: 22.07.2020
[2] Vgl. DIN EN ISO/IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien. Vom Risiko wird dort an 17 Stellen gesprochen.
[3] Da das Zentrale Projektmanagement ebenfalls im Bereich Organisation & Controlling liegt, der das Risikomanagement verantwortet, bleibt ein Blick auf die Gesamtrisiken erhalten.
Literaturverzeichnis
| DIN EN ISO/IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien (ISO/IEC 17025:2017); Deutsche und Englische Fassung EN ISO/IEC 17025:2017, Beuth, Berlin 2015. |
| Bundesrechnungshof: Modell eines Risikomanagements für die Bundesverwaltung, 2017, Bonn: https://www.bundesrechnungshof.de/..., Abruf: 22.07.2020 |
