Beruflich Dokumente
Kultur Dokumente
10 Risikomanagement
Sie sind hier: Startseite Organisationshandbuch Neu 3 Managementansätze und -instrumente 3.10
Risikomanagement
3.10 Risikomanagement
3.10.1 Definition und Zielsetzung
3.10.2 Risikoarten einer Behörde
3.10.3 Relevante Normen, Vorgaben und Rahmenkonzepte
3.10.4 Der Risikomanagement-Kreislauf
3.10.5 Kulturelle Voraussetzungen
Literaturverzeichnis
Zu unterscheiden sind zwei Risikokategorien. Das Risiko im engeren Sinne bezeichnet eine ungünstige Entwicklung (z. B.
Verlustgefahr, Gefahr der Nichterreichung von Zielen). Das Risiko im weiteren Sinne gibt die mögliche Abweichung eines Ereignisses
vom Erwartungswert an und schließt damit auch Chancen mit ein (vgl. Abbildung 1)[1]. Eine Chance stellt eine für eine Organisation
günstige (positive) Entwicklung dar und sollte somit von der Organisation genutzt werden, um ihren Erfolg zu sichern.
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 1/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Der Begriff des Risikos ist vom Begriff der „Krise“ zu unterscheiden. Eine Krise wird definiert als „ernsthafte Bedrohung der
Grundstrukturen oder der Grundwerte und -normen eines Sozialsystems, die – unter Zeitdruck und unsicheren Umständen –
kritische Entscheidungen erfordert“ [3].
Bei jedem Risiko besteht die Möglichkeit, dass es tatsächlich eintritt. Viele Risiken können sich zu einer Krise entwickeln.
Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der
Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.[4]
Das Ziel des Risikomanagements ist es nicht, Risiken zu vermeiden, sondern ein Risikobewusstsein sowie Möglichkeiten zur
Risikominimierung zu schaffen!
Das aktive Management der bestehenden Risiken und Chancen gilt sowohl für Behörden als auch für privatwirtschaftliche
Unternehmen als Grundlage und Voraussetzung für die Zukunftsfähigkeit der Organisation. Strategisch betrachtet dient das
Risikomanagement dazu, Risiko-Potentiale, die das Erreichen der Organisationsziele gefährden können, der Führung transparent zu
machen, zu bewerten und damit die Steuerbarkeit der Organisation zu erhöhen.
Institutionelle Risiken: Das sind Risiken, die eine Behörde durch eigene Entscheidungen aktiv beeinflussen kann und die dadurch in der
Regel gut kontrollierbar sind. Ein Beispiel für diese Risikokategorie sind Vermögensrisiken einer Behörde.
Systemrisiken: Darunter werden Risiken für das politisch-administrative System als Ganzes verstanden, die dessen Funktions- und
Leistungsfähigkeit beeinflussen. Sie sind von einer einzelnen Behörde nur bedingt steuerbar. Als Beispiel kann hier ein Akzeptanzverlust von
Politik und Verwaltung genannt werden.
Gesellschaftliche Risiken: Darunter versteht man Risiken für Individuen, Gruppen, die Gesellschaft oder die Welt als Folgewirkung von
Entscheidungen oder Handlungen Dritter, die von einer Behörde in der Regel nicht beeinflusst werden können, mit denen sie aber umgehen
muss. Beispiele sind die Klimaveränderung oder die demografische Entwicklung.
Institutionelle Risiken, also diejenigen Risiken, die von einer Behörde aktiv beeinflusst werden können, lassen sich in folgende Teilkategorien
einteilen:[6]
Strategische Risiken: Sie bergen die Gefahr, dass die Behörde ihren (gesetzlichen) Auftrag und die damit verbundenen langfristigen Ziele
dauerhaft kaum oder nicht ausreichend erfüllen kann.[7] Unter strategische Risiken fallen z. B. die langfristige Anerkennung der Relevanz
einer Behörde durch Politik und Öffentlichkeit oder die Bereitstellung qualitativ hochwertigerer Dienstleistungen durch andere Behörden oder
private Anbieter, die die Existenz einer Behörde mittel- oder langfristig gefährden können. Darunter fällt auch das Reputationsrisiko[8] , also
die Gefahr, dass Ruf und Akzeptanz einer Organisation geschädigt werden.
Finanzielle Risiken betreffen die haushälterische Situation einer Behörde. Die Gefahr einer Insolvenz ist für öffentliche Organisationen zwar
nicht von Bedeutung, da diese durch öffentliche Mittel finanziert werden. Dennoch können Kürzungen bei den Budgetzuweisungen oder
Eingriffe in die Gebühren- und Preispolitik der Behörde, die Bereitstellung aller von der Behörde angestrebten Leistungen erschweren oder
unmöglich machen.
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 2/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Operationelle Risiken beinhalten die Gefahr von unmittelbaren oder mittelbaren negativen Auswirkungen, z. B. auf finanzielle Mittel, die
Funktionsfähigkeit, Zielerreichung oder das Ansehen der Behörde. Diese treten infolge der Unangemessenheit oder des Versagens von
internen Verfahren, Menschen und Systemen oder von externen Ereignissen ein. Dazu zählen auch Rechtsrisiken.[9]
Korruption ist ein Risiko, mit dem sich jede Organisation der öffentlichen Verwaltung auseinandersetzen muss, denn Korruption beeinträchtigt das
Vertrauen der Bürgerinnen und Bürger in die Integrität der Verwaltung (Unabhängigkeit, Unbestechlichkeit und Handlungsfähigkeit des Staates). Ziel
der Verwaltung ist es, nicht nur aufgetretene Korruptionsverdachtsfälle konsequent zu verfolgen (Korruptionsbekämpfung), sondern mit Hilfe
vorbeugender Maßnahmen Korruption effektiv entgegenzuwirken (Korruptionsprävention).
Für die Bundesverwaltung hat die Bundesregierung dazu eine Richtlinie erlassen[10]. Diese enthält als Anlagen einen Verhaltenskodex gegen
Korruption sowie einen Leitfaden für Vorgesetzte und Behördenleitungen. Der Verhaltenskodex richtet sich an die Beschäftigten und erläutert diesen
die Grundsätze für transparentes und integres Verhalten. Der Leitfaden zeigt den Vorgesetzten und den Behördenleitungen auf, welche Maßnahmen
einzuhalten sind, um das Korruptionsrisiko in ihren Einflussbereichen zu minimieren.
Zur Umsetzung der Richtlinie hat das Bundesministerium des Innern und Heimat (BMI) Empfehlungen in Form einer nicht verbindlichen
Umsetzungshilfe veröffentlicht[11] . Außerdem wird die Broschüre „Regelungen zur Integrität“ als Download zur Verfügung gestellt. Sie enthält die
genannte Richtlinie, die Umsetzungshilfe, ein Rundschreiben zum Verbot der Annahme von Belohnungen oder Geschenken in der Bundesverwaltung
und die „Allgemeine Verwaltungsvorschrift zur Förderung von Tätigkeiten des Bundes durch Leistungen Privater “(VV-Sponsoring)“ [12].
Ein Kernelement der Korruptionsprävention ist zunächst die Feststellung der besonders korruptionsgefährdeten Arbeitsgebiete. Da hierbei von einem
abstrakten Risiko ausgegangen wird, ist eine Risikoanalyse in den identifizierten Bereichen unabdingbar. In den Empfehlungen zur
Korruptionsprävention in der Bundesverwaltung wird dazu ausgeführt, dass bei der Risikoanalyse für das jeweilige Arbeitsgebiet die einzelnen
Arbeitsabläufe und Prozesse sowie die bestehenden Sicherungen im Hinblick auf das Korruptionsrisiko untersucht werden. Anschließend wird
bewertet, ob für die Risiken in dem notwendigen Maße wirksame Sicherungen bestehen. Sofern die festgestellten Sicherungsmaßnahmen ein
konkretes Korruptionsrisiko in bestimmten Aufgabengebieten nahezu ausschließen, erscheint es sachgerecht, sich im Weiteren auf die Bereiche mit
einem weiterhin konkreten Korruptionsrisiko zu konzentrieren.
Als ein Instrument sieht die Richtlinie die Bestellung einer Ansprechperson für Korruptionsprävention als ersten Ansprechpartner für die Beschäftigten
vor. Diese Person kann bei konkreten Bezügen zu der jeweiligen Behörde auch von Bürgerinnen und Bürgern kontaktiert werden. Da Hinweisgeber
häufig mögliche Nachteile für ihre Person bei Weitergabe ihres Wissens fürchten, kann ergänzend die Berufung externer Ombudspersonen gegen
Korruption, meist in Anwaltskanzleien, hilfreich sein.
Wichtig ist, dass Korruptionsprävention Aufgabe jedes und jeder Beschäftigten und jeder Führungskraft ist. Die Prävention und
Sensibilisierung ist dann am wirksamsten, wenn sie in der örtlichen, sachlichen und zeitlichen Nähe zu der jeweiligen
Aufgabenwahrnehmung erfolgt.
Mit zunehmender Digitalisierung und Vernetzung in allen Bereichen der Bundesverwaltung kommt der Informationssicherheit eine immer größere
Bedeutung zu. Die dabei zum Einsatz kommenden Informations- und Kommunikationssysteme sowie die jeweiligen dienstlichen Informationen sind
ihrem Schutzbedarf entsprechend zu härten und gegen unbefugte Zugriffe zu schützen. Bei einem Mangel an Informationssicherheit kann es schnell
z. B. zu einer Beeinträchtigung der Aufgabenerfüllung, zu einem ungewollten Datenabfluss oder zu einem Imageschaden für die Behörde kommen.
Zur Vermeidung dieser oder weiterer Schäden ist es eine wesentliche Aufgabe des Informationssicherheitsmanagements, Sicherheitsrisiken zu
erkennen und einzuschätzen. Diese Sicherheitsrisiken sind durch die Umsetzung entsprechender Sicherheitsmaßnahmen auf ein tragbares Maß zu
reduzieren.
Zur Durchführung einer Risikoanalyse liefert der BSI-Standard 200-3 wertvolle Hinweise und stellt ein leicht anzuwendendes Vorgehen bereit, mit
dem Informationssicherheitsrisiken angemessen gesteuert werden können und ergänzt somit ein bestehendes IT-Grundschutz-
Sicherheitskonzept[13] .
In den weiteren BSI-Standards werden Methoden und Vorgehensweisen zu Themen der Informationssicherheit behandelt. Der BSI-Standard 200-1
beschreibt allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)[14] , welches mit den Hinweisen aus dem BSI-
Standard 200-2 zur IT-Grundschutz-Methodik aufgebaut werden kann.[15] Konkretisiert werden die Anforderungen zur Informationssicherheit im IT-
Grundschutz-Kompendium[16] .
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.D.) bietet folgende Online-Lerneinheit zum Thema an: IT
Grundschutz. Lerneinheit 7.7: Risiken bewerten, (Stand: 25.03.2019): https://www.bsi.bund.de/...
[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-
Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html]
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 3/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Der Bundesrechnungshof (BRH) hat 2017 ein „Modell eines Risikomanagements für die Bundesverwaltung“ veröffentlicht. Dieses
Modell ist als Vorschlag zu sehen und hat keinen verbindlichen Charakter. Es beschreibt einen systematischen Ansatz, wie Behörden
ihre Risiken identifizieren sowie diese in ihren Kontroll- und Steuerungsinstrumenten abbilden können. Auf der Basis einer Ist-
Darstellung von Risiken sollen ein Soll-Zustand definiert und Handlungsbedarfe abgeleitet werden. Der Vorschlag des
Bundesrechnungshofes beinhaltet eine Risiko-Instrumente-Matrix, in der Risikoarten mit Instrumenten und Funktionen der Kontrolle
und Steuerung verknüpft werden.[17]
In der Matrix werden potenzielle behördliche Risiken in insgesamt 12 Themenblöcke gebündelt, z. B. Finanzen, Strategie, inhaltlich-operative
Aufgabenerledigung und Personal. Zu jedem Themenblock werden konkrete potenzielle Risiken benannt. Im Themenblock „Strategie“ sind dies:
Defizite bei den strategischen Entscheidungsprozessen, mangelhafte Umsetzung der gewählten Strategie und unvorhergesehene Diskontinuität
externer Faktoren. Bei der inhaltlich-operativen Aufgabenerledigung werden Risiken in den Verwaltungsprozessen und Projektrisiken genannt.
Auf der zweiten Achse der Matrix werden eine Fülle von Instrumenten und Funktionen zusammengestellt, die Behörden zur Steuerung und Kontrolle
ihres Handelns einsetzen können. Der BRH weist ausdrücklich darauf hin, dass weder die aufgeführten potenziellen behördlichen Risiken noch die
genannten Instrumente und Funktionen für ihre Steuerung als abschließende Aufzählung zu verstehen sind. Sie wurden aus der behördlichen Praxis
zusammengetragen und können hilfreich bei der Einführung und Implementierung eines behördenspezifischen Risikomanagements sein.
Die Norm[18] beinhaltet Richtlinien sowie Grundsätze, Rahmenbedingungen und einen Prozess für das Risikomanagement von
Organisationen. Der Standard ist sehr allgemein gehalten. Da er nicht industrie- oder sektorspezifisch angelegt ist, kann er für jede
Art von Risiken angewendet werden. Die drei Hauptprinzipien sind:
Zur Umsetzung der DIN ISO 31000 gibt es einen Leitfaden mit der Bezeichnung ISO/TR 31004:2013. Dieser eignet sich auch für die
Anwendung in öffentlichen Institutionen.[20]
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 4/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
3.10.3.3 Risikomanagement als Thema der Qualitäts- und Umweltmanagement-Normen
Seit 2015 fordert die DIN EN ISO 9001: „Qualitätsmanagementsysteme“ die Verwirklichung eines risikobasierten Denkens. Zu
dessen Umsetzung müssen bei der Planung des QM-Systems auch Maßnahmen zur Behandlung von Risiken geplant werden. Diese
sollen sicher stellen, dass das QM-System seine beabsichtigten Ziele erreichen kann, dass erwünschte Auswirkungen verstärkt und
unerwünschte Auswirkungen verringert sowie Verbesserungen erreicht werden.[21] Formelle Methoden für das Risikomanagement
oder ein dokumentierter Risikomanagementprozess werden nicht gefordert. Ein Risikomanagement nach ISO 31000 kann die
Grundlage sein, muss aber nicht eingeführt werden. Die Organisation soll selbst entscheiden, ob sie ihr Risikomanagement ggf. nach
anderen Leitlinien implementieren möchte.[22]
Sehr ähnlich sind die Aussagen zum Risikomanagement in DIN EN ISO 14001 „Umweltmanagementsysteme“. [23] Künftig soll die Behandlung von
Risiken ein Grundprinzip in allen internationalen Managementsystem-Normen werden.
Unabhängig davon, nach welchen Konzepten oder Normen eine Behörde ihre Managementansätze entwickelt und implementiert, müssen diese
sorgfältig aufeinander abgestimmt werden, um unnötige Aufwände und Doppelarbeiten zu vermeiden. Wird in einer Behörde beispielsweise bereits
ein Risikomanagement betrieben, sollte bei der Implementierung weiterer Managementansätze (z. B. Qualitätsmanagement nach DIN EN ISO 9001
oder DIN EN ISO/IEC 17 025[24] ) hieran angeknüpft werden. Auch die Risikoanalyse als phasenübergreifendes Arbeitspaket von Projekten und die
prozessbezogene Risikoanalyse im Zusammenhang mit der Prozessoptimierung und –steuerung sollte die möglicherweise im Risikomanagement
etablierten Prozesse und Methoden nutzen.
Die Risikoidentifikation und –analyse beinhaltet die regelmäßige und systematische Betrachtung interner und externer Entwicklungen und Ereignisse,
die zu einer Verbesserung oder Verschlechterung der (Risiko-)Situation einer Behörde oder auch nur einzelner Organisationseinheiten führen
können. Ziel dabei ist, unvermeidbare Probleme zu erkennen bevor sie eintreten und dadurch günstigere und wirksamere Maßnahmen zu ergreifen.
Die Frequenz der Risikoidentifikation richtet sich nach der Dynamik der Risiken. Bei der Überprüfung des Risikomanagements ist zu prüfen, ob
geeignete Regelungen zur rechtzeitigen Risikoerkennung existieren und ob die identifizierten Risiken durch die Organisation erfasst, verfolgt und
kommuniziert werden.[26] Die prozessbezogene Risikobetrachtung leistet dazu einen wichtigen Beitrag.
Die Identifikation von Risiken stellt häufig zunächst eine große Herausforderung dar, weshalb es sehr wichtig ist, dass alle beteiligten Akteure intensiv
als Team zusammenarbeiten. Von besonderer Bedeutung ist dabei die Schaffung eines einheitlichen Verständnisses und Vokabulars. Dies kann mit
übergreifenden Workshops realisiert werden. Dabei kann neben der Sensibilisierung für das Thema auch ein methodisches Vorgehen zum Aufbau
und zur Etablierung eines Risikomanagements erarbeitet werden.
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 5/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Für die Identifikation können z. B. Risikokataloge, Erhebungsbögen, Workshops, Beobachtungen von Frühwarnindikatoren oder Kennzahlen genutzt
werden. [27] Hier sollte für alle Beteiligten eine Vorlage mit einheitlichen und fest definierten Kategorien zur Verfügung gestellt werden. Sobald
Risiken identifiziert sind, müssen sie bewertet werden (Risikobewertung). Ausführliche Informationen zur Durchführung einer Risikoanalyse finden
sich in Abschnitt „Methoden und Techniken – Risikoanalyse“.
Die für die wesentlichen Einzelrisiken getroffenen Entscheidungen sind nachvollziehbar zu erläutern und zu dokumentieren. Folgende
Risikosteuerungsmöglichkeiten kommen in Frage[28] :
Bei der Risikovermeidung wird auf risikoreiche Aktivitäten verzichtet. Dies kann Verbote bestimmter Aktivitäten oder Geschäfte in einer
Organisation zur Folge haben.
Die Risikoverminderung bedeutet eine Reduzierung der Eintrittswahrscheinlichkeit oder des Ausmaßes von Risiken. Ein solches Vorgehen
kann durch Mitarbeiterschulungen, Limitierungen im Finanzbereich, zusätzlichen Ressourceneinsatz usw. unterstützt werden.
Bei der Risikoüberwälzung (auch als Risikoübertragung oder Risikotransfer bezeichnet) wird das Risiko auf eine andere Organisation
übertragen, z. B. auf eine Versicherung bei Elementarschäden oder auf eine andere Behörde (z. B. IT-Dienstleistungen).
Die Risikoübernahme (auch als Risikoakzeptanz oder –kompensation bezeichnet) bedeutet die bewusste Inkaufnahme oder das aktive
Eingehen von Risiken. Dieses Vorgehen eignet sich für Bagatellrisiken oder für solche, für die keine anderen Möglichkeiten der
Risikosteuerung in Frage kommen. Dieses Vorgehen kommt auch in Frage, wenn strategische Risiken in Folge einer Abwägung zwischen
Chancen und Risiken bewusst eingegangen werden. Hier gilt es als Teil der strategischen Steuerung die Entwicklung der Risiken konsequent
zu überwachen. Eine Risikoübernahme kommt auch für schwer (nicht) vorhersehbare Risiken in Betracht. Hier gilt es die Existenz solcher
Risiken anzuerkennen, Frühwarnindikatoren zur Beurteilung der Risikoentwicklung zu erarbeiten und die Organisation insgesamt so
anpassungsfähig aufzustellen, dass eine zeitgerechte Reaktion auf sich entwickelnde Risiken erfolgen kann.
Insbesondere Risiken mit hoher Eintrittswahrscheinlichkeit und großer zu erwartender Schadenshöhe sind regelmäßig zu verfolgen. Für diese
Risiken sind geeignete vorbeugende und korrektive Maßnahmen einzuplanen und vorzubereiten. Dazu gehören auch fest definierte
Verantwortlichkeiten sowie die Vorhaltung von finanziellen Mitteln. Entsprechende Steuerungsmaßnahmen sind frühzeitig abzustimmen und
festzulegen.
Die Risikokommunikation umfasst die Erstellung und die Übergabe der Risikoinformationen in Berichtsform an entsprechende Adressaten (z. B.
Behörden- oder Abteilungsleitung, prozessverantwortliche Personen, Projektleitungen). Für die Risikokommunikation sollte ein standardisierter
Prozess mit eindeutigen Zuständigkeiten, Kommunikationswegen, Terminvorgaben, Schwellenwerten und Berichtsformaten etabliert werden.
Hilfreich ist es, das (übergreifende) Risikomanagement in ein bestehendes Berichtswesen, wie beispielsweise das eines zentralen Controllings oder
des zentralen Qualitätsmanagements, zu integrieren. Darüber hinaus sollte für eilbedürftige Risikomeldungen eine Ad-hoc-Risikoberichterstattung
etabliert werden. Ein projektbezogenes Risikomanagement sollte im Projektmanagement integriert sein und mit dem Projektcontrolling
zusammenwirken. Ein prozessbezogenes Risikomanagement steht im Zusammenhang mit dem Prozesscontrolling.
Fußnoten
[1] Einige aktuelle Definitionen des Begriffs Risiko beinhalten alle möglichen Abweichungen von geplanten Zielen, also sowohl negative (Gefahren)
wie auch positive Abweichungen (Chancen), vgl. z. B.: DIIR-Revisionsstandard Nr. 2 Prüfung des Risikomanagementsystems durch die Interne
Revision (https://www.diir.deffileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_V ersion2.0.pdf
[https://www.diir.deffileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_V ersion2.0.pdf]): „Der Begriff Risiko beschreibt die
Möglichkeit des Eintretens von Ereignissen oder von
Entwicklungen, die sich auf das Erreichen von Zielen auswirken, was die Möglichkeit von positiven Abweichungen (Chancen) und negativen
Abweichungen (Gefahren, Risiken im engeren Sinn) einschließt“. Abruf: 15.01.2021.
[2] Eigene Darstellung auf Basis von Niggemann 2013, S. 10.
[3] Rosenthal, ’t Hart und Charles 1989, S. 10; zitiert nach Rosenthal & Kouzmin 1997, S. 280 (eigene Übersetzung).
[4] Vgl. Diederichs 2018, S. 13.
[5] Vgl. Budäus und Hilgers 2009, S. 25 ff.
[6] Vgl. Niedostadek 2011, S. 37f.
[7] Ebenda, S. 38.
[8] Ebenda, S. 38.
[9] Vgl. Niedostadek 2011, S. 38.
[10] Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, 30.Juli 2004:
http://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_30072004_O4634140151.htm [http://www.verwaltungsvorschriften-im-
internet.de/bsvwvbund_30072004_O4634140151.htm], Abruf: 28.09.2020
[11] Empfehlungen zur Korruptionsprävention in der Bundesverwaltung, 21.03.2012:
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 6/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/korruptionspraevention/korruptionspraevention-
empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287
[https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/korruptionspraevention/korruptionspraevention-
empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287], Abruf: 28.09.2020.
[12] Regelungen zur Integrität, 18.09.2018: https://www.bmi.bund.de/DE/themen/moderne-verwaltung/integritaet-der-
verwaltung/korruptionspraevention/korruptionspraevention-node.html, [https://www.bmi.bund.de/DE/themen/moderne-verwaltung/integritaet-der-
verwaltung/korruptionspraevention/korruptionspraevention-node.html,] Abruf: 28.09.2020
[13] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-1:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578], Abruf: 15.01.2021.
[14] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-2:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640], Abruf: 15.01.2021.
[15] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 200-3:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620], Abruf: 15.01.2021.
[16] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium: https://www.bsi.bund.de/
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf?
__blob=publicationFile&v=6], Abruf: 15.01.2021.
[17] Vgl. Bundesrechnungshof 2017, https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/gutachten-berichte-
bwv/berichte/langfassungen/2017-bwv-bericht-modell-eines-risikomanagements-fuer-die-bundesverwaltung
[https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/gutachten-berichte-bwv/berichte/langfassungen/2017-bwv-bericht-modell-
eines-risikomanagements-fuer-die-bundesverwaltung], Abruf: 20.07.2020.
[18] DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, Beuth, Berlin.
[19] Eigene Darstellung auf Basis der DIN ISO 31000:2018-10 Risikomanagement
[20] ISO/TR 31004:2013-10: Risikomanagement - Leitfaden zur Implementierung der ISO 31000, Beuth, Berlin.
[21] Vgl. DIN EN ISO 9001:2015-11: Qualitätsmanagementsysteme – Anforderungen, S. 23
[22] Ebenda, S. 53 f.
[23] Vgl. DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, S. 25
[24] DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
[25] Eigene Darstellung auf Basis von Budäus, Hilgers 2009, S. 42 und Diederichs 2018, S. 91.
[26] Diederichs 2018, S. 92 ff.
[27] Vgl. Seidel, S. 62ff., Diederichs 2018, S. 225f.
[28] Vgl. Seidel 2003, S. 68 f.
Literaturverzeichnis
Budäus, Dietrich; Hilgers, Dennis: Reform des öffentlichen Haushalts-und Rechnungswesens in Deutschland, in: Zeitschrift für Planung &
Unternehmenssteuerung, 19. Jahrgang, 2009, Heft 4, S. 377–396.
DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien, Beuth, Berlin 2018
DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, Beuth, Berlin 2015.
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 7/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Niggemann, Markus: Steuerung von Gaspreisrisiken. Konzeption eines Preisrisikomanagements für Gasversorger, 2013, Springer Gabler,
Wiesbaden.
Richter, Martin; Motel, Jens: Risikomanagement in einer Bundesbehörde, in: Verwaltung und Management, 22. Jg., Heft 2, S. 73-82.
Ridder, Hans-Gerd; Bruns, Hans-Jürgen; Spier, Fabian: Managing implementation processes, in: Public Management Review, 8. Jahrgang, 2006,
Heft 1, S. 87–118.
Rosenthal, Uriel; Charles, Michael T.; Hart, Paul't (1989): Coping with crises. The management of disasters, riots, and terrorism: Charles C Thomas
Pub Ltd.
Rosenthal, Uriel; Kouzmin, Alexander: Crises and Crisis Management: Toward Comprehensive Government Decision Making, in: Journal of Public
Administration Research and Theory, 7. Jahrgang, 1997, Heft 2, S. 277–304.
https://academic.oup.com/jpart/article/7/2/277/957517 [https://academic.oup.com/jpart/article/7/2/277/957517], Abruf: 02.10.2020
Seidel, Uwe M. (Hrsg.): Risikomanagement: Erkennen, Bewerten und Steuern von Risiken, 2002, WEKA MEDIA, Kissing.
Diederichs, Marc: Risikomanagement und Risikocontrolling (Reihe: Finance competence), 2018, Vahlen, München.
Impressum
Kontakt
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 8/8