Risikomanagement im Magistrat der Stadt Graz: Wie die Implementierung im Rahmen des Internen Kontrollsystems gelungen ist – ein Erfahrungsbericht.

Es besteht derzeit keine gesetzliche Verpflichtung in Österreich Risikomanagement in öffentlichen Verwaltungen einzuführen. Und dennoch hat sich die Stadt Graz 2012 entschlossen, die Risiken in ihren 27 Fachabteilungen und 2 Eigenbetrieben strukturiert zu erfassen und gezielt zu managen.

Normative Grundlagen

Die INTOSAI-Richtlinien für die Internen Kontrollnormen im öffentlichen Sektor stellen die Grundlage für den risikoorientierten Aufbau des internen Kontrollsystems (IKS) des Magistrats Graz dar. Basierend auf dem COSO-Modell fokussieren die INTOSAIRichtlinien u.a. auf die ethischen Aspekte der Geschäftsabläufe in der öffentlichen Verwaltung. Ein IKS besteht laut Norm aus folgenden Komponenten:

• Kontrollumfeld
• Risikobeurteilung
• Kontrolltätigkeiten
• Information und Kommunikation
• Überwachung

Praktische Umsetzung

Die Einführung von RM/IKS in den Fachbereichen erfolgt innerhalb einzelner Projekte mit einer durchschnittlichen Dauer von zirka 6 Monaten. Den Fachbereichen werden zur Durchführung der Risikoanalysen Vorlagen auf der Basis von Microsoft-Excel und entsprechende
Anleitungen zur Verfügung gestellt. Ein Einführungsprojekt beginnt mit einer umfangreichen Kick-Off-Veranstaltung, in welcher die theoretischen Grundlagen und auch die praktische Durchführung anhand von Beispielen erläutert werden. Die Fachbereiche analysieren daraufhin selbstständig die
Prozessrisiken. Die Innenrevision nimmt während des Projektes eine beratende Rolle ein und diskutiert mit den Fachbereichen periodisch deren
Einschätzungen. Die Verantwortung für die Einführung und Weiterführung des Risikomanagements/IKS liegt aber eindeutig bei der Fachabteilungsleitung.

Die Schritte der Risikoanalyse sind im Einzelnen:

• Scoping: Schnelleinstufung der Fachbereichsprozesse in 6 Gefahrenklassen (Abb. 1) zur Extraktion der „riskanten“ Prozesse.
• Risikoanalyse: Durchführung einer detaillierten Analyse der Risiken anhand der groben Prozessschritte; es erfolgt eine qualitative Bewertung jedes Risikos hinsichtlich der Eintrittswahrscheinlichkeit und der maximalen Schadenshöhe auf einer Skala von 1 bis 5.
• Maßnahmendokumentation und Restrisiko: Dokumentation der derzeit im Fachbereich implementierten Maßnahmen zur Minimierung des konkreten Risikos; jegliche Maßnahmen zur Risikominimierung werden angeführt (Abb. 2). Dabei kann es sich um manuelle oder automatische (IT-System-immanente) Kontrollen oder andere Absicherungsmaßnahmen handeln. Auf Grundlage dieser laufenden Maßnahmen/ Kontrollen erfolgt anschließend die Einstufung des derzeitigen Restrisikos (Abb. 3).
• Maßnahmenplanung: Ergeben sich aus der bisherigen Analyse mittlere oder hohe Restrisiken, so planen die Fachbereiche zusätzliche Maßnahmen zur weiteren Verminderung des Restrisikos.

Laufende „Pflege“ der Risiken

Risikomanagement kann nur wirksam sein, wenn Risiken ernst genommen und laufend beobachtet werden. Dazu wurde im Magistrat
Graz ein jährlicher Überarbeitungszyklus eingeführt. Sogenannte Risk Owner haben die Aufgabe, die Risikoanalysen mind. jährlich zu überarbeiten, d.h. beispielsweise bei Prozessveränderungen Risiken neu zu bewerten und entsprechende Maßnahmen zu planen. Die Fertigstellung der Überarbeitung in den Fachbereichen
ist an die Innenrevision zu melden.

Lessons learned und Ausblick

Zurzeit haben etwa 2/3 der Fachbereiche des Magistrats Graz die Einführung des Risikomanagements/IKS abgeschlossen. Bereits jetzt kann man sagen, dass der Zugang zum Thema von Abteilung zu Abteilung sehr unterschiedlich ist. Einerseits wird das System sehr gut angenommen und selbständig weiterentwickelt, auf der anderen Seite gibt es aber auch kritische Stimmen aufgrund des nicht unerheblichen Zeitaufwandes während der Einführung. Erfolgskritisch für eine sinnvolle und wirksame Umsetzung im Fachbereich ist, während der
Einführungsphase allen Führungskräften den Nutzen zu verdeutlichen und v.a. das Bewusstsein zu schaffen, dass sie selbst es sind, die für die Risiken verantwortlich sind.

Das IKS der Fachbereiche bildet im Magistrat Graz künftig die Grundlage für Prüfungen der Innenrevision. Dabei verfolgen wir einen risikoorientierten Prüfungsansatz, über welchen die risikoreichsten
Prozesse prioritär durch die Innenrevision auditiert werden. Tiefergehende
Prüfungen finden in weiterer Folge erst dann statt, wenn das geprüfte IKS nicht funktionsfähig oder wirksam sein sollte.

Durch das Design der Risikomanagementprozesse und das Zusammenspiel zwischen Fachabteilungen und Innenrevision stellen wir im Magistrat Graz sicher, dass allen Komponenten des COSO-Modells entsprechend Rechnung getragen wird.