
Es besteht derzeit keine gesetzliche Verpflichtung in Österreich Risikomanagement in öffentlichen Verwaltungen einzuführen. Und dennoch hat sich die Stadt Graz 2012 entschlossen, die Risiken in ihren 27 Fachabteilungen und 2 Eigenbetrieben strukturiert zu erfassen und gezielt zu managen.
Die INTOSAI-Richtlinien für die Internen Kontrollnormen im öffentlichen Sektor stellen die Grundlage für den risikoorientierten Aufbau des internen Kontrollsystems (IKS) des Magistrats Graz dar. Basierend auf dem COSO-Modell fokussieren die INTOSAIRichtlinien u.a. auf die ethischen Aspekte der Geschäftsabläufe in der öffentlichen Verwaltung. Ein IKS besteht laut Norm aus folgenden Komponenten:
Die Einführung von RM/IKS in den Fachbereichen erfolgt innerhalb einzelner Projekte mit einer durchschnittlichen Dauer von zirka 6 Monaten. Den Fachbereichen werden zur Durchführung der Risikoanalysen Vorlagen auf der Basis von Microsoft-Excel und entsprechende
Anleitungen zur Verfügung gestellt. Ein Einführungsprojekt beginnt mit einer umfangreichen Kick-Off-Veranstaltung, in welcher die theoretischen Grundlagen und auch die praktische Durchführung anhand von Beispielen erläutert werden. Die Fachbereiche analysieren daraufhin selbstständig die
Prozessrisiken. Die Innenrevision nimmt während des Projektes eine beratende Rolle ein und diskutiert mit den Fachbereichen periodisch deren
Einschätzungen. Die Verantwortung für die Einführung und Weiterführung des Risikomanagements/IKS liegt aber eindeutig bei der Fachabteilungsleitung.
Die Schritte der Risikoanalyse sind im Einzelnen:
Risikomanagement kann nur wirksam sein, wenn Risiken ernst genommen und laufend beobachtet werden. Dazu wurde im Magistrat
Graz ein jährlicher Überarbeitungszyklus eingeführt. Sogenannte Risk Owner haben die Aufgabe, die Risikoanalysen mind. jährlich zu überarbeiten, d.h. beispielsweise bei Prozessveränderungen Risiken neu zu bewerten und entsprechende Maßnahmen zu planen. Die Fertigstellung der Überarbeitung in den Fachbereichen
ist an die Innenrevision zu melden.
Zurzeit haben etwa 2/3 der Fachbereiche des Magistrats Graz die Einführung des Risikomanagements/IKS abgeschlossen. Bereits jetzt kann man sagen, dass der Zugang zum Thema von Abteilung zu Abteilung sehr unterschiedlich ist. Einerseits wird das System sehr gut angenommen und selbständig weiterentwickelt, auf der anderen Seite gibt es aber auch kritische Stimmen aufgrund des nicht unerheblichen Zeitaufwandes während der Einführung. Erfolgskritisch für eine sinnvolle und wirksame Umsetzung im Fachbereich ist, während der
Einführungsphase allen Führungskräften den Nutzen zu verdeutlichen und v.a. das Bewusstsein zu schaffen, dass sie selbst es sind, die für die Risiken verantwortlich sind.
Das IKS der Fachbereiche bildet im Magistrat Graz künftig die Grundlage für Prüfungen der Innenrevision. Dabei verfolgen wir einen risikoorientierten Prüfungsansatz, über welchen die risikoreichsten
Prozesse prioritär durch die Innenrevision auditiert werden. Tiefergehende
Prüfungen finden in weiterer Folge erst dann statt, wenn das geprüfte IKS nicht funktionsfähig oder wirksam sein sollte.
Durch das Design der Risikomanagementprozesse und das Zusammenspiel zwischen Fachabteilungen und Innenrevision stellen wir im Magistrat Graz sicher, dass allen Komponenten des COSO-Modells entsprechend Rechnung getragen wird.