BBL 2010 Band 36 S. 5683

Risikoreporting zuhanden des Bundesrats Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010

2010-1363

5683

Bericht 1

Ausgangslage

Der Umfang und die Verschiedenartigkeit der Aufgaben der Bundesverwaltung führen zu einer entsprechenden Vielfalt der Risiken, denen die Eidgenossenschaft ausgesetzt ist. Hinzu kommt, dass das Eintreten gewisser Risiken sehr weitreichende Folgen haben kann. Deshalb messen die Geschäftsprüfungskommissionen (GPK) der Umsetzung eines effizienten Risikomanagement-Konzepts auf Bundesebene sowie einer regelmässigen Berichterstattung zuhanden des Bundesrates eine grosse Bedeutung zu. Die GPK verfolgen die Einführung eines solchen Systems denn auch seit 2002. Der Bundesrat sah vor, die GPK ab 2005 jährlich über das Thema Risikomanagement zu informieren. Allerdings kam bis 2008 nie eine umfassende Berichterstattung zustande, weshalb die GPK den Bundesrat aufgefordert haben, ihnen ein Konzept vorzulegen, wie er die Kommissionen in Zukunft über das Risikomanagement zu informieren gedenkt.

In der Folge schlug der Bundesrat vor, den GPK namentlich das zuhanden des Bundesrates erstellte Risikoreporting zukommen zu lassen. Um die Vertraulichkeit dieser Informationen zu gewährleisten, bildeten die GPK eine kleine Arbeitsgruppe bestehend aus Mitgliedern beider GPK und einem Vertreter der FinDel, die für die Behandlung dieses Reportings verantwortlich zeichnet.

An ihrer ersten Sitzung beschloss die Arbeitsgruppe «Risikoreporting Bundesrat», sich zum einen damit zu beschäftigen, wie die Risiken der Departemente und der Bundeskanzlei aggregiert und an den Bundesrat übermittelt werden, und zum andern das Risikomanagement-Konzept des Bundes zu untersuchen.

Zu diesem Zweck sprach die Arbeitsgruppe vorerst mit den Risikoverantwortlichen der einzelnen Departemente sowie der Bundeskanzlei. Zudem ersuchte sie die Eidgenössische Finanzkontrolle (EFK), ihr die Ergebnisse und Schlussfolgerungen der Querschnittsprüfung vorzulegen, die diese zum Thema Risikomanagement auf Stufe Amt und Bund bei der Eidgenössischen Finanzverwaltung (EFV) durchgeführt hat.1 Die Arbeitsgruppe traf sich sodann mit den Risikoverantwortlichen eines grossen Kantons und eines multinationalen Schweizer Unternehmens, um sich externe, von der Bundesverwaltung unabhängige Sichtweisen zunutze zu machen und sich über das Risikomanagement im Privatsektor zu informieren. Schliesslich konnte anlässlich der Anhörung des Bundespräsidenten (2009) und des Direktors der EFV, geklärt werden, welche Bedeutung der Bundesrat dem Risikoreporting zumisst und wie dieses Reporting vom Bundesrat selber behandelt wird.

1

Eidgenössische Finanzkontrolle (EFK), «Eidgenössische Finanzverwaltung: Querschnittsprüfung Risikoanalyse auf Stufe Amt und Bund», 7.7.2008.

5684

2

Festgestellte Probleme und vorgenommene Verbesserungen

Der Bundesrat hat im Laufe der mehrjährigen Umsetzungsphase des Risikomanagement-Konzepts bereits selber gewisse Mängel festgestellt. Dabei handelt es sich namentlich um Probleme bezüglich der Risikokonsolidierung auf Stufe Bund und einer homogenen Anwendung dieses Konzepts in den Departementen und Verwaltungseinheiten. Etliche Feststellungen des Bundesrates stützen sich auch auf die Prüfung der EFK, die im Wesentlichen die kritischen Erkenntnisse, welche die GPK bereits zuvor gewonnen hatten, bestätigte.

Auf der Grundlage ihrer Arbeiten kommen die GPK zum Schluss, dass im Rahmen der Umsetzung des 20042 vorgestellten Risikomanagement-Konzepts bereits beachtliche Verbesserungen erzielt wurden und andere zum Teil noch in Umsetzung begriffen sind.

So ist positiv hervorzuheben, dass die Generalsekretärenkonferenz (GSK) dazu bestimmt wurde, vor der Überweisung des Risikoreportings an den Bundesrat als Zwischenstufe zu fungieren und die von den Departementen und der Bundeskanzlei gemeldeten Kernrisiken zu diskutieren und zu konsolidieren.

Ausserdem organisiert das Eidgenössische Finanzdepartement (EFD) regelmässig Workshops für die Risikoverantwortlichen der Departemente und der Bundeskanzlei zu problematischen Aspekten im Zusammenhang mit der Erkennung und Beurteilung von Risiken. 2009 wurde dabei die Beurteilung der Eintretenswahrscheinlichkeit von Risiken und ihrer Auswirkungen behandelt. Die Ausbildung im Bereich Risikomanagement wurde von der EFK in ihrer Querschnittsprüfung noch als verbesserungsfähig beurteilt. Schliesslich ist auch zu erwähnen, dass das EFD eine Ausrichtung des Risikomanagements auf die ISO-Norm 31000 erwägt.

Diese Entwicklungen werden von den GPK als positiv beurteilt. Sie gehen in Richtung einer Harmonisierung des Risikomanagements in den Verwaltungseinheiten und Departementen, was unter anderem auch einen aussagekräftigeren Vergleich der verschiedenen Risiken untereinander ermöglicht.

Im Übrigen erklärte der Direktor der EFV an der Sitzung der Arbeitsgruppe vom 30. November 2009, dass die EFV gegenwärtig Richtlinien zum globalen Risikomanagement erarbeitet. Diese entsprächen weitgehend der Stossrichtung des 2004 veröffentlichten Berichtes zur Risikopolitik, wobei jedoch mittels präziserer Regeln und Zielsetzungen versucht werde, eine «unité de doctrine» zu etablieren. Mit
der Erarbeitung dieser Richtlinien, die dem Bundesrat Mitte des Jahres 2010 vorgelegt werden sollen, wird eine der Hauptforderungen aus der Querschnittsprüfung der EFK erfüllt. Solche Richtlinien werden auch von den GPK als notwendig betrachtet und begrüsst.

Angesichts der Tatsache, dass sich das System noch immer in einer Phase der Anpassung befindet, begrüssen die GPK die erzielten Verbesserungen, stellen gleichzeitig aber auch fest, dass die Umsetzung dieses wichtigen Projekts schon sehr lange andauert (seit 2002).

2

EFD, Risikopolitik: Grundlagen für das Risikomanagement beim Bund, Dezember 2004.

5685

3

Verbleibende Mängel und Empfehlungen

Es sind jedoch nach wie vor Mängel vorhanden. Aufgrund der Arbeiten der GPK kristallisierte sich als Hauptproblem eindeutig die fehlende Steuerung auf Bundesebene heraus.

Das dezentrale Konzept, das der Bundesrat gegenwärtig verfolgt, verschafft ihm keine ausreichende Informationsgrundlage, um das Risikomanagement wirksam steuern zu können. In seiner Risikopolitik hat sich der Bund namentlich das Ziel gesetzt, eine «Übersicht über die Risikosituation auf Stufe Bund [...], Departemente und Verwaltungseinheiten»3 zu erhalten. Die GPK unterstützen dieses Ziel mit Nachdruck, stellen jedoch fest, dass das gegenwärtig bestehende System auf Stufe Bund keine Gesamtsicht der Kernrisiken, denen der Bund ausgesetzt ist, gewährleistet.

Die GPK erachten es aber als unabdingbar, dass das Risikomanagementsystem nicht nur eine Übersicht über sämtliche Kernrisiken des Bundes gewährleisten, sondern für den Bundesrat zugleich auch ein Steuerungsinstrument darstellen soll. Das ist jedoch immer noch nicht der Fall, wie das auch weitere von den GPK festgestellte Mängel aufzeigen. Diese betreffen insbesondere: 1.

die allzu unterschiedlichen Kriterien der Risikobeurteilung;

2.

die ungenügende Berücksichtigung von nicht-finanziellen Auswirkungen;

3.

die je nach Departement unterschiedliche Nutzung des Informatiksystems R2C;

4.

das fehlende Feedback gegenüber den Departementen und Verwaltungseinheiten;

5.

sowie die ungenügende Berücksichtigung von Querschnittsrisiken.

Diese Aspekte werden nachfolgend noch näher ausgeführt.

Auf der Grundlage dieser zentralen Feststellung der mangelnden Steuerung auf Stufe Bund empfehlen die GPK die Einführung eines Top-down-Ansatzes zur Unterstützung und Ergänzung des dezentralen Konzepts. Die GPK sind überzeugt, dass ein solcher Ansatz notwendig ist, damit sich der Bundesrat eine Gesamtübersicht verschaffen und das Risikomanagement als wirksames Steuerungsinstrument auf Bundesebene nutzen kann.

Die GPK unterstreichen zudem, dass ein solcher Ansatz schlank sein muss und das bestehende System ergänzen und nicht ersetzen soll. Der dezentrale Ansatz ist nicht ein grundsätzlich schlechter Ansatz und soll deshalb auch beibehalten werden. Es geht auch nicht darum, die Risikoverantwortung einer höheren Stufe zu übertragen: Die Verwaltungseinheiten sollen die Verantwortung für ihre Risiken weiterhin tragen, weil sie diese am wirksamsten erkennen und bewirtschaften können. Aufgrund der Arbeiten der GPK scheint jedoch ein durch einen zentraleren Ansatz ergänztes Konzept unverzichtbar zu sein.

Die GPK ersuchen den Bundesrat, die Schaffung eines Kompetenzzentrums in Sachen Risikomanagement nochmals in Erwägung zu ziehen. Die Schaffung eines solchen Zentrums, das mit der Umsetzung des ergänzenden Top-down-Ansatzes 3

EFD, Risikopolitik: Grundlagen für das Risikomanagement beim Bund, Dezember 2004, S. 2.

5686

beauftragt wäre, hätte auch positive Auswirkungen sowohl auf die Ausbildung und Begleitung der Risikoverantwortlichen als auch auf die Entwicklung eines homogeneren Verständnisses von Risikomanagement und Risikokultur im Allgemeinen.

Die Idee eines Kompetenzzentrums ist nicht neu. Zum einen wurde sie im Bundesrat bereits diskutiert, als über das Risikomanagement-Konzept entschieden wurde. Zum andern entspricht sie einem Anliegen, das die EFK in ihrer Querschnittsprüfung formuliert hatte, wobei sie sich auf ähnliche Erkenntnisse stützte wie die GPK.

Dieser Vorschlag hat bis heute nichts von seiner Aktualität eingebüsst.

Empfehlung 1: Der bestehende Bottom-up-Ansatz wird durch einen Top-down-Ansatz ergänzt.

Der Bundesrat wird insbesondere dazu aufgefordert, den Top-down-Ansatz zu stärken, indem er die Möglichkeit prüft, ein Koordinations- und Kompetenzzentrum zu schaffen.

Neben dieser wichtigsten Erkenntnis, die sich auf die Steuerung des Bundesrates bezieht, stellten die GPK weitere spezifische Mängel fest. Sie orten insbesondere bei den folgenden Aspekten ein Optimierungspotenzial: 1.

Kriterien der Risikobeurteilung Gegenwärtig sind diese Kriterien je nach Departement unterschiedlich. Die Richtlinien des Bundes sind sehr allgemein formuliert und gewisse Departemente oder Verwaltungseinheiten haben sie daher durch eigene Kriterien ergänzt. Für einen wirksamen Vergleich von Risiken im Rahmen einer Gesamtübersicht ist dieser Sachverhalt unbefriedigend. Allerdings scheint der Bundesrat das Problem erkannt zu haben, und die vom Direktor EFV angekündigten neuen Richtlinien dürften in diese Richtung gehen. Die GPK erwarten vom Bundesrat, dass er auch hinsichtlich der Kriterien der Risikobeurteilung eine «unité de doctrine» schafft, damit die Risiken auf der Stufe Bund tatsächlich vergleichbar werden.

Empfehlung 2: Der Bundesrat legt Richtlinien für einheitliche Kriterien der Risikobeurteilung fest und sorgt dafür, dass sie angewendet werden.

2.

Nicht-finanzielle Auswirkungen in der Risikobewertung Die GPK stellen fest, dass die Risiken im Bewertungssystem der Bundesrisiken hauptsächlich unter dem finanziellen Aspekt behandelt werden. Die zwei wesentlichen Beurteilungsdimensionen sind die finanziellen Auswirkungen (potenzielle Schadenhöhe) und die Eintretenswahrscheinlichkeit. Die Berücksichtigung nicht-finanzieller Auswirkungen ist in den Bundesleitlinien von 2004 nicht geregelt. Ausserdem haben die Anhörungen aufgezeigt, dass die Praxis in den Departementen bezüglich der nicht-finanziellen Auswirkungen heterogen ist. Die GPK empfiehlt somit dem Bundesrat, sicher zu stellen, dass 5687

die a priori nicht-finanziellen Hauptrisiken systematisch und so weit möglich in den Departementen homogen berücksichtigt werden.

Empfehlung 3: Der Bundesrat sorgt dafür, dass in der Bewertung der Bundesrisiken die a priori nicht-finanziellen Hauptrisiken systematisch und homogen berücksichtigt werden.

3.

Nutzung des Informatiksystems R2C Das Informatiksystem R2C hat in den einzelnen Departementen einen ganz unterschiedlichen Stellenwert und wird von ihnen mehr oder weniger streng eingesetzt. Gewisse Kernrisiken werden mit diesem Instrument bewusst nicht als solche erfasst. Ein Beispiel dafür ist die Behandlung der Grippepandemie im Eidgenössischen Departement des Innern (EDI). Obschon auf Stufe des BAG gewisse Aspekte dieses Risikos in Unterkategorien wie beispielsweise «Schadenersatz-/Haftungsansprüche aufgrund von verhaltenslenkenden Informationen» enthalten sind, wird die Grippenpandemie nicht als eingenständiges Risiko ausgewiesen. Daher kann sie nicht als Kernrisiko Eingang finden in das Reporting zuhanden des Bundesrats. Die GPK erachten dies als unbefriedigend.

Weiter werden im VBS die für die Armee relevanten Risiken aus Sicherheitsgründen nicht im System R2C aufgenommen. Durch eine Ausklammerung eines Teils der Risiken im System R2C wird jedoch letztlich die Qualität des Risikoreportings zuhanden des Bundesrates erheblich gemindert. Im Hinblick auf die Notwendigkeit eines Reportings, das eine gesamtheitliche Übersicht ermöglichen soll, ist dieser Zustand problematisch und wird von der GPK deshalb als unbefriedigend erachtet.

Überdies gelangte die EFK in ihrer Querschnittsprüfung vom 7. Juli 2008 zum Schluss, dass die Bedenken des VBS bezüglich des Informationsschutzes nicht ganz unbegründet seien. Aus diesem Grund empfahl die EFK eine Überarbeitung des Sicherheitskonzepts der Informatikanwendung. Die GPK unterstützen diese Empfehlung, sofern sie der vollständigen Erfassung der erkannten Risiken dient.

Empfehlung 4: Der Bundesrat sorgt dafür, dass alle Verwaltungseinheiten das gleiche Instrument nutzen, um erkannte Risiken zu verwalten. Zu diesem Zweck trifft er die nötigen Massnahmen, um einen genügenden Informationsschutz zu gewährleisten.

4.

5688

Rückmeldungen Mehrere Risikomanager bedauerten die fehlenden Rückmeldungen auf Risikomeldungen für das Reporting zuhanden des Bundesrates. Auch die EFK erwähnt, dass sich Verwaltungseinheiten über fehlende Rückmeldungen zu den von ihnen erkannten und gemeldeten Risken beklagt hätten. Ohne Rückmeldungen seitens der Departemente und des Bundesrates

lässt sich die Art und Weise der Erfassung und Behandlung von Risiken auf der Stufe der Verwaltungseinheiten und Departemente jedoch nur schwerlich verbessern; zudem wird dadurch die Unsicherheit bezüglich der Qualität des Reportings erhöht.

Empfehlung 5: Der Bundesrat sorgt dafür, dass Rückmeldungen gegenüber den Departementen und bis hin zu den Verwaltungseinheiten im Rahmen der Neudefinition des Risikomanagement-Konzepts als Steuerungsinstrument in dieses Konzept integriert wird.

5.

Querschittsrisiken Die Berücksichtigung dieser Risiken mit einmaliger Ursache oder Kollektivgefährdung (z.B. Naturkatastrophen wie Erdbeben oder Vulkanausbrüche, Panne im Telekommunikationsnetz oder Korruptionsrisiko), die nicht departementsspezifischer Natur sind, wird sowohl von der EFK als auch von den GPK als unbefriedigend eingeschätzt. Es ist festzuhalten, dass die meisten angehörten Personen eine Stärkung des Informationsaustauschs zwischen den Departementen für notwendig erachten. Die interdepartementale Koordination verläuft hauptsächlich über die Generalsekretärenkonferenz (GSK), aber es fehlt an einem Konzept, mit dem Querschnittsrisiken systematisch erkannt und Synergien in diesem Bereich genutzt werden können. Bei den Anhörungen zeigte sich zudem, dass bestimmte Risikomanager persönliche Initiativen ergriffen haben, um sich rudimentär und informell zu koordinieren. Nach Ansicht der GPK widerspiegeln diese Initiativen das Fehlen eines wirksamen Konzepts zum Management von Querschnittsrisiken.

Die GPK sind folglich der Ansicht, dass das bestehende System dem Bundesrat nicht erlaubt, sich eine Gesamtübersicht der Risikosituation, einschliesslich der departementsübergreifenden Tragweite gewisser Risiken zu verschaffen. Sie erwarten, dass der Bundesrat diese Mängel bis 2011 behebt und dies im Reporting 2010 bereits einen Niederschlag findet.

Empfehlung 6: Der Bundesrat ergreift geeignete Massnahmen, damit die Querschnittsrisiken angemessen erkannt und im Reporting 2010 schon ausgewiesen werden, beispielsweise in einem Anhang, welcher Aufschluss gibt über die konsolidierten Querschnittsrisiken.

5689

Wir bitten Sie, bis am 26. August 2010 Stellung zu diesem Schreiben zu beziehen und darzulegen, welche Massnahmen und Fristen der Bundesrat zur Umsetzung der Empfehlungen der GPK vorsieht.

Wir versichern Sie, sehr geehrte Frau Bundespräsidentin, sehr geehrte Damen und Herren Bundesräte, unserer vorzüglichen Hochachtung.

28. Mai 2010

Im Namen der Geschäftsprüfungskommissionen Die Präsidentin der Geschäftsprüfungskommission des Nationalrats: Maria Roth-Bernasconi, Nationalrätin Der Präsident der Geschäftsprüfungskommision des Ständerats: Claude Janiak, Ständerat Die Präsidentin der Arbeitsgruppe «Risikoreporting Bundesrat»: Helen Leumann-Würsch, Ständerätin Die Sekretärin: Beatrice Meli Andres

5690