Bei unrühmlichen Vorfällen in Gemeinden, wie letztens passiert beim Betrug in Vechigen, wird die Forderung nach einem funktionierenden IKS und Risikomanagement laut. Wie verhalten sich diese zwei Themenbereiche zueinander und wie sieht ein sinnvoller Umgang mit Risiken im Gemeindeumfeld aus? Mit diesen Themen beschäftigt sich dieser Blog.

Risikomanagement und IKS

Der derzeitige Stand der Forschung und der Praxis umfasst mehrere Konzepte bezüglich der Definition und Wechselwirkung von Risikomanagement und IKS. Meiner Ansicht nach ist nachfolgendes Konzept in der Praxis am zielführendsten:

• Die Definition von Risikomanagement sehe ich so, dass darunter alle Aktivitäten im Umgang mit Risiken fallen. Das bedeutet eine systematische Erfassung und Bewertung von allen Risiken, welche bei Gemeinden auftreten können.
• Das IKS hingegen ist die Summe der Instrumente zur Steuerung der Risiken. Der Fokus dieser Instrumente liegt in der Minimierung der Eintretenswahrscheinlichkeit oder der Reduktion des Schadenausmasses. Somit ist das IKS als Teil des Risikomanagements der Gemeinden zu verstehen.

Die Gemeinden als risikoaverse Organisationen

Der Umgang mit Risiken ist von der Risikostrategie der jeweiligen Organisation abhängig. Dies bedeutet, dass auch Gemeinden den Risikoappetit für sich beurteilen müssen. In meinem Verständnis operieren Gemeinden mit öffentlichen Geldern und dementsprechend sind Gemeinden als risikoaverse Organisationen einzustufen. Bezüglich der Organisation liegt bei den Schweizer Gemeinden die Verantwortung des Risikomanagements und auch dem Einsatz eines funktionierenden IKS beim Gemeinderat. Die operative Umsetzung ist jedoch geteilt und wird je nach Themengebiet dem Gemeinderat (Exekutive) oder der Verwaltung zugeordnet

Operationalisierung des Risikomanagements

Der Start eines funktionierenden Risikomanagements liegt gemäss gängiger Lehre in einer sorgfältigen Analyse der Ausgangslage der Gemeinde. In einem ersten Schritt wird ein Risikokatalog mit potenziellen Risiken im Gemeindeumfeld erstellt (Risikoerfassung). Für die Eruierung dieses Risikokatalogs gibt es mehrere mögliche Methoden, auf welche ich in diesem Blog nicht weiter eingehen werde. In einem zweiten Schritt werden die mannigfaltigen Risiken systematisch auf ihre Eintrittswahrscheinlichkeit und das Schadensausmass (Risikobewertung) geprüft. Daraus ergeben sich dann verschiedene Cluster von Risiken, welche der nachfolgenden Abbildung zu entnehmen sind.

Eigene Darstellung in Anlehnung an KMU-Portal SECO

Die verschiedenen Risikocluster (von grau zu dunkelgrün) geben die Priorisierung vor. In der Praxis heisst das, dass die knappen Ressourcen auf der Verwaltung resp. in der Exekutive für die Reduzierung des Schadenpotenzials resp. der Eintrittswahrscheinlichkeit derjenigen Risiken im dunkelgrünen, hellgrünen und türkisen Bereich eingesetzte werden. Diese aktive Reduktion des Risikos verstehen wir als Risikosteuerung, welche mit den verschiedenen IKS-Instrumenten operativ umgesetzt werden.

Im Jahr 2019 und 2021 hat die Universität Bern in Zusammenarbeit mit der publicXdata AG eine Umfrage bei 392 Gemeinden durchgeführt. Dabei wurden durch die Gemeinden folgende Risikokategorien beurteilt (Skala 1 – 7, wobei Skala: 1 = kleines Risiko / 7 = grosses Risiko)

Mögliche IKS-Instrumente pro Risikokategorie

Anhand der vier wesentlichen Risikokategorien (Soziale Risiken, Risiken in Bezug auf Steuern, IT-Risiken und Bauwesen) aus der Umfrage findet Ihr exemplarisch mögliche Instrumente zur Steuerung der Risiken (IKS-Instrumente). Die Liste der genannte Risiken und IKS-Instrumente ist nicht abschliessend.

Beispiel für Wirkungszusammenhänge

Ich möchte kurz anhand des Beispiels eines Hackerangriffs die Wirkungszusammenhänge aufzeigen. Infolge der fortschreitenden Digitalisierung ist die IT-Infrastruktur einer Gemeinde von grosser Wichtigkeit. Sowohl das Schadensausmass als auch die Eintrittswahrscheinlichkeit haben über die letzten Jahre zugenommen und sind meiner Ansicht nach in allen Gemeinden als ein Risiko zu betrachten, welches gesteuert werden muss. Mittels IT-Konzept sollte der zuständige IT-Verantwortliche definieren, wie die verschiedenen Infrastrukturen angemessen geschützt werden. Zudem sollte für alle Applikationen ein klares Berechtigungskonzept bestehen. Der Mitarbeitende ist im Bereich von IT-Angriffen weiterhin das grösste Sicherheitsrisiko. Dementsprechend sollten die Mitarbeitenden regelmässig auf diese Thematik sensibilisiert werden.

Risiko – und IKS Berichterstattung

Der letzte Schritt zu einem integrierten und wirksamen Risikomanagement ist das Reporting der Aktivitäten. Auch hier gibt es noch einige Stolpersteine, welche zu beachten sind. Die hohe Kunst eines funktionierenden Risikomanagements und IKS ist, den Aufwand für das Reporting möglichst klein zu halten, gleichzeitig aber aufzuzeigen, welche Risiken schlecht oder nicht zielführend gemanagt werden. Im Optimalfall können die Daten aus den Systemen gelesen werden. Häufig ist es so, dass die IKS-Instrumente in verschiedenen Bereichen der Gemeindeführung (neben dem Risikomanagement) ihre Hauptfunktion haben. Als Grundaussage möchte ich hier anfügen, dass eine proaktiv geführte Gemeinde – von der Strategie, über die Berichterstattung bis hin zur einer guten Mitarbeiterführung – bereits viele Elemente eines guten Risikomanagements in sich trägt. Dementsprechend soll das Risikomanagement nicht zu einer administrativen Übung, mittels abhäkeln einer Liste, ausufern. Mit diesem Gedanken möchte ich gleich zum abschliessenden Kapitel überleiten.

Was hat Risikomanagement und IKS mit der Gemeinde-Kultur zu tun?

Sehr viel! Das Risikomanagement wird wohl nur gelebt, wenn die Kultur als wichtige Dimension miteinbezogen wird. Ein erster und sehr wichtiger Punkt ist, dass den Stakeholdern (Verwaltung, Exekutive, Bürgern) die Notwendigkeit eines angepassten Risikomanagements aufgezeigt werden kann. Dafür ist erforderlich, dass verständlich gemacht werden kann, dass die Risiken wirklich real sind. Die Schwierigkeit dabei ist, dass Menschen bei seltenen Ereignissen sehr schnell vergessen. Durch reale Bespiele lassen sich solche Risiken „wiederbeleben“ und greifbar machen. Ein zweiter Punkt ist, dass das Risikomanagement den Umständen entsprechend ausgestaltet wird. Es macht ein Unterschied an die Ansprüche eines Risikomanagements, ob eine Gemeinde 500 Einwohner oder 20’000 hat. Das Framework des Risikomanagements und des IKS muss angemessen und sinnvoll sein, damit es durch die Mitarbeitenden in einem sinnvollen Aufwand / Nutzen Verhältnis getragen wird. Drittens bedeutet eine gesunde Gemeindekultur, dass respektvoll miteinander umgegangen wird, dass Fehlern offen angesprochen werden  und dass auch mit schwierigen Themen offen miteinander gesprochen werden kann – dies alles ohne „Gartendenken“ und der Gesamtgemeinde im Fokus. Häufig werden Risiken nur „aufgedeckt“, wenn Fehler geschehen. Aus diesem Regelkreis ergibt sich, dass eine gute Gesamtgemeindekultur für ein funktionierendes und gelebtes Risikomanagement mit den IKS-Instrumenten essentiell ist.

Weiterführende Informationen zu unserem IKS und Riskmanagement Audit finden sie hier.

Manuel Stauffer ist seit Oktober 2021 mit viel Engagement für die publicXdata AG unterwegs. Ein grosser Teil seiner beruflichen Laufbahn hat er sich mit wirkungsvoller Steuerung in Organisationen beschäftigt – zuletzt als Leiter Controlling in der Baustoffbranche. Bei der publicXdata AG ist er für Kundenprojekte und die Weiterentwicklung im Bereich Reporting zuständig.