18.01.23, 16:32 Organisationshandbuch - 3.

10 Risikomanagement

Sie sind hier: Startseite Organisationshandbuch Neu 3 Managementansätze und -instrumente 3.10
Risikomanagement

3.10 Risikomanagement
3.10.1 Definition und Zielsetzung
3.10.2 Risikoarten einer Behörde
3.10.3 Relevante Normen, Vorgaben und Rahmenkonzepte
3.10.4 Der Risikomanagement-Kreislauf
3.10.5 Kulturelle Voraussetzungen
Literaturverzeichnis

3.10.1 Definition und Zielsetzung

Unter einem Risiko (im engeren Sinne) ist ein eventuelles, hinsichtlich seiner Eintrittswahrscheinlichkeit und Auswirkung bewertetes,
zukünftiges Ereignis zu verstehen, das einen negativen Einfluss auf eine Organisation und ihre Handlungen hat. Nach Eintritt eines
Risikos erfolgt somit eine negative Abweichung vom Soll-Zustand.

Zu unterscheiden sind zwei Risikokategorien. Das Risiko im engeren Sinne bezeichnet eine ungünstige Entwicklung (z. B.
Verlustgefahr, Gefahr der Nichterreichung von Zielen). Das Risiko im weiteren Sinne gibt die mögliche Abweichung eines Ereignisses
vom Erwartungswert an und schließt damit auch Chancen mit ein (vgl. Abbildung 1)[1]. Eine Chance stellt eine für eine Organisation
günstige (positive) Entwicklung dar und sollte somit von der Organisation genutzt werden, um ihren Erfolg zu sichern.
https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 1/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement

Abbildung 1: Der Risikobegriff im engeren und weiteren Sinne[2]

Der Begriff des Risikos ist vom Begriff der „Krise“ zu unterscheiden. Eine Krise wird definiert als „ernsthafte Bedrohung der
Grundstrukturen oder der Grundwerte und -normen eines Sozialsystems, die – unter Zeitdruck und unsicheren Umständen –
kritische Entscheidungen erfordert“ [3].

Bei jedem Risiko besteht die Möglichkeit, dass es tatsächlich eintritt. Viele Risiken können sich zu einer Krise entwickeln.

Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der
Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.[4]

Das Ziel des Risikomanagements ist es nicht, Risiken zu vermeiden, sondern ein Risikobewusstsein sowie Möglichkeiten zur
Risikominimierung zu schaffen!

Das aktive Management der bestehenden Risiken und Chancen gilt sowohl für Behörden als auch für privatwirtschaftliche
Unternehmen als Grundlage und Voraussetzung für die Zukunftsfähigkeit der Organisation. Strategisch betrachtet dient das
Risikomanagement dazu, Risiko-Potentiale, die das Erreichen der Organisationsziele gefährden können, der Führung transparent zu
machen, zu bewerten und damit die Steuerbarkeit der Organisation zu erhöhen.

3.10.2 Risikoarten einer Behörde

Die Risiken einer Behörde sind vielfältig. Je nach Auftrag der Behörde können unterschiedliche Risikokategorien stärker oder schwächer ausgeprägt
sein. Risiken können in Bezug auf die Möglichkeit ihres aktiven Managements in folgende drei Grundkategorien eingeteilt werden:[5]

Institutionelle Risiken: Das sind Risiken, die eine Behörde durch eigene Entscheidungen aktiv beeinflussen kann und die dadurch in der
Regel gut kontrollierbar sind. Ein Beispiel für diese Risikokategorie sind Vermögensrisiken einer Behörde.

Systemrisiken: Darunter werden Risiken für das politisch-administrative System als Ganzes verstanden, die dessen Funktions- und
Leistungsfähigkeit beeinflussen. Sie sind von einer einzelnen Behörde nur bedingt steuerbar. Als Beispiel kann hier ein Akzeptanzverlust von
Politik und Verwaltung genannt werden.

Gesellschaftliche Risiken: Darunter versteht man Risiken für Individuen, Gruppen, die Gesellschaft oder die Welt als Folgewirkung von
Entscheidungen oder Handlungen Dritter, die von einer Behörde in der Regel nicht beeinflusst werden können, mit denen sie aber umgehen
muss. Beispiele sind die Klimaveränderung oder die demografische Entwicklung.

Institutionelle Risiken, also diejenigen Risiken, die von einer Behörde aktiv beeinflusst werden können, lassen sich in folgende Teilkategorien
einteilen:[6]

Strategische Risiken: Sie bergen die Gefahr, dass die Behörde ihren (gesetzlichen) Auftrag und die damit verbundenen langfristigen Ziele
dauerhaft kaum oder nicht ausreichend erfüllen kann.[7] Unter strategische Risiken fallen z. B. die langfristige Anerkennung der Relevanz
einer Behörde durch Politik und Öffentlichkeit oder die Bereitstellung qualitativ hochwertigerer Dienstleistungen durch andere Behörden oder
private Anbieter, die die Existenz einer Behörde mittel- oder langfristig gefährden können. Darunter fällt auch das Reputationsrisiko[8] , also
die Gefahr, dass Ruf und Akzeptanz einer Organisation geschädigt werden.

Finanzielle Risiken betreffen die haushälterische Situation einer Behörde. Die Gefahr einer Insolvenz ist für öffentliche Organisationen zwar
nicht von Bedeutung, da diese durch öffentliche Mittel finanziert werden. Dennoch können Kürzungen bei den Budgetzuweisungen oder
Eingriffe in die Gebühren- und Preispolitik der Behörde, die Bereitstellung aller von der Behörde angestrebten Leistungen erschweren oder
unmöglich machen.

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 2/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Operationelle Risiken beinhalten die Gefahr von unmittelbaren oder mittelbaren negativen Auswirkungen, z. B. auf finanzielle Mittel, die
Funktionsfähigkeit, Zielerreichung oder das Ansehen der Behörde. Diese treten infolge der Unangemessenheit oder des Versagens von
internen Verfahren, Menschen und Systemen oder von externen Ereignissen ein. Dazu zählen auch Rechtsrisiken.[9]

3.10.2.1 Das Risiko der Korruption

Korruption ist ein Risiko, mit dem sich jede Organisation der öffentlichen Verwaltung auseinandersetzen muss, denn Korruption beeinträchtigt das
Vertrauen der Bürgerinnen und Bürger in die Integrität der Verwaltung (Unabhängigkeit, Unbestechlichkeit und Handlungsfähigkeit des Staates). Ziel
der Verwaltung ist es, nicht nur aufgetretene Korruptionsverdachtsfälle konsequent zu verfolgen (Korruptionsbekämpfung), sondern mit Hilfe
vorbeugender Maßnahmen Korruption effektiv entgegenzuwirken (Korruptionsprävention).

Für die Bundesverwaltung hat die Bundesregierung dazu eine Richtlinie erlassen[10]. Diese enthält als Anlagen einen Verhaltenskodex gegen
Korruption sowie einen Leitfaden für Vorgesetzte und Behördenleitungen. Der Verhaltenskodex richtet sich an die Beschäftigten und erläutert diesen
die Grundsätze für transparentes und integres Verhalten. Der Leitfaden zeigt den Vorgesetzten und den Behördenleitungen auf, welche Maßnahmen
einzuhalten sind, um das Korruptionsrisiko in ihren Einflussbereichen zu minimieren.

Zur Umsetzung der Richtlinie hat das Bundesministerium des Innern und Heimat (BMI) Empfehlungen in Form einer nicht verbindlichen
Umsetzungshilfe veröffentlicht[11] . Außerdem wird die Broschüre „Regelungen zur Integrität“ als Download zur Verfügung gestellt. Sie enthält die
genannte Richtlinie, die Umsetzungshilfe, ein Rundschreiben zum Verbot der Annahme von Belohnungen oder Geschenken in der Bundesverwaltung
und die „Allgemeine Verwaltungsvorschrift zur Förderung von Tätigkeiten des Bundes durch Leistungen Privater “(VV-Sponsoring)“ [12].

Ein Kernelement der Korruptionsprävention ist zunächst die Feststellung der besonders korruptionsgefährdeten Arbeitsgebiete. Da hierbei von einem
abstrakten Risiko ausgegangen wird, ist eine Risikoanalyse in den identifizierten Bereichen unabdingbar. In den Empfehlungen zur
Korruptionsprävention in der Bundesverwaltung wird dazu ausgeführt, dass bei der Risikoanalyse für das jeweilige Arbeitsgebiet die einzelnen
Arbeitsabläufe und Prozesse sowie die bestehenden Sicherungen im Hinblick auf das Korruptionsrisiko untersucht werden. Anschließend wird
bewertet, ob für die Risiken in dem notwendigen Maße wirksame Sicherungen bestehen. Sofern die festgestellten Sicherungsmaßnahmen ein
konkretes Korruptionsrisiko in bestimmten Aufgabengebieten nahezu ausschließen, erscheint es sachgerecht, sich im Weiteren auf die Bereiche mit
einem weiterhin konkreten Korruptionsrisiko zu konzentrieren.

Als ein Instrument sieht die Richtlinie die Bestellung einer Ansprechperson für Korruptionsprävention als ersten Ansprechpartner für die Beschäftigten
vor. Diese Person kann bei konkreten Bezügen zu der jeweiligen Behörde auch von Bürgerinnen und Bürgern kontaktiert werden. Da Hinweisgeber
häufig mögliche Nachteile für ihre Person bei Weitergabe ihres Wissens fürchten, kann ergänzend die Berufung externer Ombudspersonen gegen
Korruption, meist in Anwaltskanzleien, hilfreich sein.

Wichtig ist, dass Korruptionsprävention Aufgabe jedes und jeder Beschäftigten und jeder Führungskraft ist. Die Prävention und
Sensibilisierung ist dann am wirksamsten, wenn sie in der örtlichen, sachlichen und zeitlichen Nähe zu der jeweiligen
Aufgabenwahrnehmung erfolgt.

3.10.2.2 Das Risiko mangelnder IT-Sicherheit

Mit zunehmender Digitalisierung und Vernetzung in allen Bereichen der Bundesverwaltung kommt der Informationssicherheit eine immer größere
Bedeutung zu. Die dabei zum Einsatz kommenden Informations- und Kommunikationssysteme sowie die jeweiligen dienstlichen Informationen sind
ihrem Schutzbedarf entsprechend zu härten und gegen unbefugte Zugriffe zu schützen. Bei einem Mangel an Informationssicherheit kann es schnell
z. B. zu einer Beeinträchtigung der Aufgabenerfüllung, zu einem ungewollten Datenabfluss oder zu einem Imageschaden für die Behörde kommen.
Zur Vermeidung dieser oder weiterer Schäden ist es eine wesentliche Aufgabe des Informationssicherheitsmanagements, Sicherheitsrisiken zu
erkennen und einzuschätzen. Diese Sicherheitsrisiken sind durch die Umsetzung entsprechender Sicherheitsmaßnahmen auf ein tragbares Maß zu
reduzieren.

Zur Durchführung einer Risikoanalyse liefert der BSI-Standard 200-3 wertvolle Hinweise und stellt ein leicht anzuwendendes Vorgehen bereit, mit
dem Informationssicherheitsrisiken angemessen gesteuert werden können und ergänzt somit ein bestehendes IT-Grundschutz-
Sicherheitskonzept[13] .

In den weiteren BSI-Standards werden Methoden und Vorgehensweisen zu Themen der Informationssicherheit behandelt. Der BSI-Standard 200-1
beschreibt allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)[14] , welches mit den Hinweisen aus dem BSI-
Standard 200-2 zur IT-Grundschutz-Methodik aufgebaut werden kann.[15] Konkretisiert werden die Anforderungen zur Informationssicherheit im IT-
Grundschutz-Kompendium[16] .

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.D.) bietet folgende Online-Lerneinheit zum Thema an: IT
Grundschutz. Lerneinheit 7.7: Risiken bewerten, (Stand: 25.03.2019): https://www.bsi.bund.de/...
[https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Standards-und-Zertifizierung/IT-Grundschutz/Zertifizierte-
Informationssicherheit/IT-Grundschutzschulung/Online-Kurs-IT-Grundschutz/Lektion_7_Risikoanalyse/Lektion_7_node.html]

3.10.3 Relevante Normen, Vorgaben und Rahmenkonzepte

Zur Einführung und Nutzung eines Risikomanagements gibt es für die Bundesverwaltung insgesamt keine allgemein gültigen Vorgaben. Die im
Folgenden skizzierten Ansätze werden in der Praxis als Grundlagen eines behördenspezifischen Risikomanagements genutzt.

3.10.3.1 Modell des Bundesrechnungshofes

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 3/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Der Bundesrechnungshof (BRH) hat 2017 ein „Modell eines Risikomanagements für die Bundesverwaltung“ veröffentlicht. Dieses
Modell ist als Vorschlag zu sehen und hat keinen verbindlichen Charakter. Es beschreibt einen systematischen Ansatz, wie Behörden
ihre Risiken identifizieren sowie diese in ihren Kontroll- und Steuerungsinstrumenten abbilden können. Auf der Basis einer Ist-
Darstellung von Risiken sollen ein Soll-Zustand definiert und Handlungsbedarfe abgeleitet werden. Der Vorschlag des
Bundesrechnungshofes beinhaltet eine Risiko-Instrumente-Matrix, in der Risikoarten mit Instrumenten und Funktionen der Kontrolle
und Steuerung verknüpft werden.[17]

In der Matrix werden potenzielle behördliche Risiken in insgesamt 12 Themenblöcke gebündelt, z. B. Finanzen, Strategie, inhaltlich-operative
Aufgabenerledigung und Personal. Zu jedem Themenblock werden konkrete potenzielle Risiken benannt. Im Themenblock „Strategie“ sind dies:
Defizite bei den strategischen Entscheidungsprozessen, mangelhafte Umsetzung der gewählten Strategie und unvorhergesehene Diskontinuität
externer Faktoren. Bei der inhaltlich-operativen Aufgabenerledigung werden Risiken in den Verwaltungsprozessen und Projektrisiken genannt.

Auf der zweiten Achse der Matrix werden eine Fülle von Instrumenten und Funktionen zusammengestellt, die Behörden zur Steuerung und Kontrolle
ihres Handelns einsetzen können. Der BRH weist ausdrücklich darauf hin, dass weder die aufgeführten potenziellen behördlichen Risiken noch die
genannten Instrumente und Funktionen für ihre Steuerung als abschließende Aufzählung zu verstehen sind. Sie wurden aus der behördlichen Praxis
zusammengetragen und können hilfreich bei der Einführung und Implementierung eines behördenspezifischen Risikomanagements sein.

3.10.3.2 DIN ISO 31000: Risikomanagement-Leitlinien

Die Norm[18] beinhaltet Richtlinien sowie Grundsätze, Rahmenbedingungen und einen Prozess für das Risikomanagement von
Organisationen. Der Standard ist sehr allgemein gehalten. Da er nicht industrie- oder sektorspezifisch angelegt ist, kann er für jede
Art von Risiken angewendet werden. Die drei Hauptprinzipien sind:

Risikomanagement als Führungsaufgabe

Das Managen von Risiken ist Aufgabe der Führung. Damit wird Risikomanagement als Führungsaufgabe und nicht nur als Prozess
interpretiert. Der obersten Leitung einer Organisation wird die Aufgabe zugeschrieben, ein Risikomanagementsystem zu implementieren.

Risikomanagement als Top-Down-Ansatz

Das Risikomanagement folgt dem Top-Down-Ansatz. Das bedeutet, dass die wesentlichen Risiken einer Organisation aus der Perspektive der
obersten Leitung identifiziert, analysiert, gesteuert und kommuniziert werden; dabei sollen keine Details im Mittelpunkt stehen. Stattdessen soll sich
die Leitung auf die für die Organisation wesentlichen Risiken fokussieren.

Risikomanagement als ein allgemeiner, sektorübergreifender Ansatz

Die Norm wurde bewusst allgemein gehalten, damit sie möglichst weitreichend und sektor- und länderübergreifend angewendet werden kann. So soll
ein international anerkannter Standard entstehen.

Abbildung 2: Die wesentlichen Inhalte der DIN ISO 31000 im Überblick[19]

Zur Umsetzung der DIN ISO 31000 gibt es einen Leitfaden mit der Bezeichnung ISO/TR 31004:2013. Dieser eignet sich auch für die
Anwendung in öffentlichen Institutionen.[20]

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 4/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
3.10.3.3 Risikomanagement als Thema der Qualitäts- und Umweltmanagement-Normen

Seit 2015 fordert die DIN EN ISO 9001: „Qualitätsmanagementsysteme“ die Verwirklichung eines risikobasierten Denkens. Zu
dessen Umsetzung müssen bei der Planung des QM-Systems auch Maßnahmen zur Behandlung von Risiken geplant werden. Diese
sollen sicher stellen, dass das QM-System seine beabsichtigten Ziele erreichen kann, dass erwünschte Auswirkungen verstärkt und
unerwünschte Auswirkungen verringert sowie Verbesserungen erreicht werden.[21] Formelle Methoden für das Risikomanagement
oder ein dokumentierter Risikomanagementprozess werden nicht gefordert. Ein Risikomanagement nach ISO 31000 kann die
Grundlage sein, muss aber nicht eingeführt werden. Die Organisation soll selbst entscheiden, ob sie ihr Risikomanagement ggf. nach
anderen Leitlinien implementieren möchte.[22]

Sehr ähnlich sind die Aussagen zum Risikomanagement in DIN EN ISO 14001 „Umweltmanagementsysteme“. [23] Künftig soll die Behandlung von
Risiken ein Grundprinzip in allen internationalen Managementsystem-Normen werden.
Unabhängig davon, nach welchen Konzepten oder Normen eine Behörde ihre Managementansätze entwickelt und implementiert, müssen diese
sorgfältig aufeinander abgestimmt werden, um unnötige Aufwände und Doppelarbeiten zu vermeiden. Wird in einer Behörde beispielsweise bereits
ein Risikomanagement betrieben, sollte bei der Implementierung weiterer Managementansätze (z. B. Qualitätsmanagement nach DIN EN ISO 9001
oder DIN EN ISO/IEC 17 025[24] ) hieran angeknüpft werden. Auch die Risikoanalyse als phasenübergreifendes Arbeitspaket von Projekten und die
prozessbezogene Risikoanalyse im Zusammenhang mit der Prozessoptimierung und –steuerung sollte die möglicherweise im Risikomanagement
etablierten Prozesse und Methoden nutzen.

3.10.4 Der Risikomanagement-Kreislauf

Der Kreislauf besteht aus den Phasen der Risikoidentifikation und -analyse, der Risikobewertung, der Risikosteuerung und der
Risikokommunikation.

Abbildung 3: Der Risikomanagement-Kreislauf[25]

Die Risikoidentifikation und –analyse beinhaltet die regelmäßige und systematische Betrachtung interner und externer Entwicklungen und Ereignisse,
die zu einer Verbesserung oder Verschlechterung der (Risiko-)Situation einer Behörde oder auch nur einzelner Organisationseinheiten führen
können. Ziel dabei ist, unvermeidbare Probleme zu erkennen bevor sie eintreten und dadurch günstigere und wirksamere Maßnahmen zu ergreifen.
Die Frequenz der Risikoidentifikation richtet sich nach der Dynamik der Risiken. Bei der Überprüfung des Risikomanagements ist zu prüfen, ob
geeignete Regelungen zur rechtzeitigen Risikoerkennung existieren und ob die identifizierten Risiken durch die Organisation erfasst, verfolgt und
kommuniziert werden.[26] Die prozessbezogene Risikobetrachtung leistet dazu einen wichtigen Beitrag.

Die Identifikation von Risiken stellt häufig zunächst eine große Herausforderung dar, weshalb es sehr wichtig ist, dass alle beteiligten Akteure intensiv
als Team zusammenarbeiten. Von besonderer Bedeutung ist dabei die Schaffung eines einheitlichen Verständnisses und Vokabulars. Dies kann mit
übergreifenden Workshops realisiert werden. Dabei kann neben der Sensibilisierung für das Thema auch ein methodisches Vorgehen zum Aufbau
und zur Etablierung eines Risikomanagements erarbeitet werden.

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 5/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
Für die Identifikation können z. B. Risikokataloge, Erhebungsbögen, Workshops, Beobachtungen von Frühwarnindikatoren oder Kennzahlen genutzt
werden. [27] Hier sollte für alle Beteiligten eine Vorlage mit einheitlichen und fest definierten Kategorien zur Verfügung gestellt werden. Sobald
Risiken identifiziert sind, müssen sie bewertet werden (Risikobewertung). Ausführliche Informationen zur Durchführung einer Risikoanalyse finden
sich in Abschnitt „Methoden und Techniken – Risikoanalyse“.

Die für die wesentlichen Einzelrisiken getroffenen Entscheidungen sind nachvollziehbar zu erläutern und zu dokumentieren. Folgende
Risikosteuerungsmöglichkeiten kommen in Frage[28] :

Bei der Risikovermeidung wird auf risikoreiche Aktivitäten verzichtet. Dies kann Verbote bestimmter Aktivitäten oder Geschäfte in einer
Organisation zur Folge haben.

Die Risikoverminderung bedeutet eine Reduzierung der Eintrittswahrscheinlichkeit oder des Ausmaßes von Risiken. Ein solches Vorgehen
kann durch Mitarbeiterschulungen, Limitierungen im Finanzbereich, zusätzlichen Ressourceneinsatz usw. unterstützt werden.

Bei der Risikoüberwälzung (auch als Risikoübertragung oder Risikotransfer bezeichnet) wird das Risiko auf eine andere Organisation
übertragen, z. B. auf eine Versicherung bei Elementarschäden oder auf eine andere Behörde (z. B. IT-Dienstleistungen).

Die Risikoübernahme (auch als Risikoakzeptanz oder –kompensation bezeichnet) bedeutet die bewusste Inkaufnahme oder das aktive
Eingehen von Risiken. Dieses Vorgehen eignet sich für Bagatellrisiken oder für solche, für die keine anderen Möglichkeiten der
Risikosteuerung in Frage kommen. Dieses Vorgehen kommt auch in Frage, wenn strategische Risiken in Folge einer Abwägung zwischen
Chancen und Risiken bewusst eingegangen werden. Hier gilt es als Teil der strategischen Steuerung die Entwicklung der Risiken konsequent
zu überwachen. Eine Risikoübernahme kommt auch für schwer (nicht) vorhersehbare Risiken in Betracht. Hier gilt es die Existenz solcher
Risiken anzuerkennen, Frühwarnindikatoren zur Beurteilung der Risikoentwicklung zu erarbeiten und die Organisation insgesamt so
anpassungsfähig aufzustellen, dass eine zeitgerechte Reaktion auf sich entwickelnde Risiken erfolgen kann.

Insbesondere Risiken mit hoher Eintrittswahrscheinlichkeit und großer zu erwartender Schadenshöhe sind regelmäßig zu verfolgen. Für diese
Risiken sind geeignete vorbeugende und korrektive Maßnahmen einzuplanen und vorzubereiten. Dazu gehören auch fest definierte
Verantwortlichkeiten sowie die Vorhaltung von finanziellen Mitteln. Entsprechende Steuerungsmaßnahmen sind frühzeitig abzustimmen und
festzulegen.

Die Risikokommunikation umfasst die Erstellung und die Übergabe der Risikoinformationen in Berichtsform an entsprechende Adressaten (z. B.
Behörden- oder Abteilungsleitung, prozessverantwortliche Personen, Projektleitungen). Für die Risikokommunikation sollte ein standardisierter
Prozess mit eindeutigen Zuständigkeiten, Kommunikationswegen, Terminvorgaben, Schwellenwerten und Berichtsformaten etabliert werden.

Hilfreich ist es, das (übergreifende) Risikomanagement in ein bestehendes Berichtswesen, wie beispielsweise das eines zentralen Controllings oder
des zentralen Qualitätsmanagements, zu integrieren. Darüber hinaus sollte für eilbedürftige Risikomeldungen eine Ad-hoc-Risikoberichterstattung
etabliert werden. Ein projektbezogenes Risikomanagement sollte im Projektmanagement integriert sein und mit dem Projektcontrolling
zusammenwirken. Ein prozessbezogenes Risikomanagement steht im Zusammenhang mit dem Prozesscontrolling.

3.10.5 Kulturelle Voraussetzungen

Für die Umsetzung eines behördenspezifischen Risikomanagements sind Akzeptanz und Verständnis sowohl bei den Führungskräften als auch bei
den Mitarbeiterinnen und Mitarbeitern unerlässlich. Um ein für die Organisation passendes Risikobewusstsein zu schaffen, bietet es sich an,
Leitlinien zu entwickeln und zu kommunizieren, die den Umgang mit Risiken festlegen. Dabei kann auch der Umgang mit Fehlern, insbesondere im
Zusammenhang mit agilen Vorgehensweisen, thematisiert werden. Durch die Formulierung solcher Leitlinien unterstreicht die Führung einer Behörde
die Bedeutung, die es dem Risikomanagement beimisst. Zusätzlich sollten die Führungskräfte die gewünschte Verhaltensweise vorleben. Insgesamt
können Maßnahmen zur Stärkung des Risikobewusstseins und eines entsprechenden Verhaltens durch entsprechende Fortbildungen gestärkt oder
auch im Rahmen von Initiativen zur Kulturveränderung (Link auf Führungs- und Organisationskultur) in der Organisation initiiert und umgesetzt
werden.

Fußnoten

[1] Einige aktuelle Definitionen des Begriffs Risiko beinhalten alle möglichen Abweichungen von geplanten Zielen, also sowohl negative (Gefahren)
wie auch positive Abweichungen (Chancen), vgl. z. B.: DIIR-Revisionsstandard Nr. 2 Prüfung des Risikomanagementsystems durch die Interne
Revision (https://www.diir.deffileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_V ersion2.0.pdf
[https://www.diir.deffileadmin/fachwissen/standards/downloads/DIIR_Revisionsstandard_Nr._2_V ersion2.0.pdf]): „Der Begriff Risiko beschreibt die
Möglichkeit des Eintretens von Ereignissen oder von
Entwicklungen, die sich auf das Erreichen von Zielen auswirken, was die Möglichkeit von positiven Abweichungen (Chancen) und negativen
Abweichungen (Gefahren, Risiken im engeren Sinn) einschließt“. Abruf: 15.01.2021.
[2] Eigene Darstellung auf Basis von Niggemann 2013, S. 10.
[3] Rosenthal, ’t Hart und Charles 1989, S. 10; zitiert nach Rosenthal & Kouzmin 1997, S. 280 (eigene Übersetzung).
[4] Vgl. Diederichs 2018, S. 13.
[5] Vgl. Budäus und Hilgers 2009, S. 25 ff.
[6] Vgl. Niedostadek 2011, S. 37f.
[7] Ebenda, S. 38.
[8] Ebenda, S. 38.
[9] Vgl. Niedostadek 2011, S. 38.
[10] Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, 30.Juli 2004:
http://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_30072004_O4634140151.htm [http://www.verwaltungsvorschriften-im-
internet.de/bsvwvbund_30072004_O4634140151.htm], Abruf: 28.09.2020
[11] Empfehlungen zur Korruptionsprävention in der Bundesverwaltung, 21.03.2012:

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 6/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement
https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/korruptionspraevention/korruptionspraevention-
empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287
[https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/korruptionspraevention/korruptionspraevention-
empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287], Abruf: 28.09.2020.
[12] Regelungen zur Integrität, 18.09.2018: https://www.bmi.bund.de/DE/themen/moderne-verwaltung/integritaet-der-
verwaltung/korruptionspraevention/korruptionspraevention-node.html, [https://www.bmi.bund.de/DE/themen/moderne-verwaltung/integritaet-der-
verwaltung/korruptionspraevention/korruptionspraevention-node.html,] Abruf: 28.09.2020
[13] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-1:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578], Abruf: 15.01.2021.
[14] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-2:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640], Abruf: 15.01.2021.
[15] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 200-3:
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620], Abruf: 15.01.2021.
[16] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium: https://www.bsi.bund.de/
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf?
__blob=publicationFile&v=6], Abruf: 15.01.2021.
[17] Vgl. Bundesrechnungshof 2017, https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/gutachten-berichte-
bwv/berichte/langfassungen/2017-bwv-bericht-modell-eines-risikomanagements-fuer-die-bundesverwaltung
[https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/gutachten-berichte-bwv/berichte/langfassungen/2017-bwv-bericht-modell-
eines-risikomanagements-fuer-die-bundesverwaltung], Abruf: 20.07.2020.
[18] DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, Beuth, Berlin.
[19] Eigene Darstellung auf Basis der DIN ISO 31000:2018-10 Risikomanagement
[20] ISO/TR 31004:2013-10: Risikomanagement - Leitfaden zur Implementierung der ISO 31000, Beuth, Berlin.
[21] Vgl. DIN EN ISO 9001:2015-11: Qualitätsmanagementsysteme – Anforderungen, S. 23
[22] Ebenda, S. 53 f.
[23] Vgl. DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, S. 25
[24] DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
[25] Eigene Darstellung auf Basis von Budäus, Hilgers 2009, S. 42 und Diederichs 2018, S. 91.
[26] Diederichs 2018, S. 92 ff.
[27] Vgl. Seidel, S. 62ff., Diederichs 2018, S. 225f.
[28] Vgl. Seidel 2003, S. 68 f.

Literaturverzeichnis

Budäus, Dietrich; Hilgers, Dennis: Reform des öffentlichen Haushalts-und Rechnungswesens in Deutschland, in: Zeitschrift für Planung &
Unternehmenssteuerung, 19. Jahrgang, 2009, Heft 4, S. 377–396.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-1:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_1.html?nn=128578], Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-2:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_2.html?nn=128640], Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 200-3:

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620
[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/BSI_Standards/standard_200_3.html?nn=128620], Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium: https://www.bsi.bund.de/

[https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/Kompendium/IT_Grundschutz_Kompendium_Edition2020.pdf?
__blob=publicationFile&v=6], Abruf: 15.01.2021.

Bundesrechnungshof: Modell eines Risikomanagements für die Bundesverwaltung, 2017, Bonn:

https://www.bundesrechnungshof.de/ [https://www.bundesrechnungshof.de/de/veroeffentlichungen/produkte/gutachten-berichte-
bwv/berichte/langfassungen/2017-bwv-bericht-modell-eines-risikomanagements-fuer-die-bundesverwaltung], Abruf: 22.07.2020

DIN EN ISO 9001:2015-11: Qualitätsmanagementsysteme – Anforderungen, Beuth, Berlin 2015.

DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien, Beuth, Berlin 2018

DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, Beuth, Berlin 2015.

DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, Beuth, Berlin 2018.

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 7/8
18.01.23, 16:32 Organisationshandbuch - 3.10 Risikomanagement

Empfehlungen zur Korruptionsprävention in der Bundesverwaltung, 21.03.2012:

https://www.bmi.bund.de/ [https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-
verwaltung/korruptionspraevention/korruptionspraevention-empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287],
Abruf: 28.09.2020.

Niedostadek, André: Risiken im öffentlichen Bereich, 2011, LIT-Verlag, Berlin.

Niggemann, Markus: Steuerung von Gaspreisrisiken. Konzeption eines Preisrisikomanagements für Gasversorger, 2013, Springer Gabler,
Wiesbaden.

Regelungen zur Integrität, 18.09.2018: https://www.bmi.bund.de/

[https://www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/moderne-verwaltung/korruptionspraevention/korruptionspraevention-
empfehlungen.html;jsessionid=377C874C938C29190F8263566FCDF674.1_cid287], Abruf: 28.09.2020

Richter, Martin; Motel, Jens: Risikomanagement in einer Bundesbehörde, in: Verwaltung und Management, 22. Jg., Heft 2, S. 73-82.

Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, 30.Juli 2004:

http://www.verwaltungsvorschriften-im-internet.de/bsvwvbund_30072004_O4634140151.htm [http://www.verwaltungsvorschriften-im-
internet.de/bsvwvbund_30072004_O4634140151.htm], Abruf: 28.09.2020

Ridder, Hans-Gerd; Bruns, Hans-Jürgen; Spier, Fabian: Managing implementation processes, in: Public Management Review, 8. Jahrgang, 2006,
Heft 1, S. 87–118.

Rosenthal, Uriel; Charles, Michael T.; Hart, Paul't (1989): Coping with crises. The management of disasters, riots, and terrorism: Charles C Thomas
Pub Ltd.

Rosenthal, Uriel; Kouzmin, Alexander: Crises and Crisis Management: Toward Comprehensive Government Decision Making, in: Journal of Public
Administration Research and Theory, 7. Jahrgang, 1997, Heft 2, S. 277–304.
https://academic.oup.com/jpart/article/7/2/277/957517 [https://academic.oup.com/jpart/article/7/2/277/957517], Abruf: 02.10.2020

Seidel, Uwe M. (Hrsg.): Risikomanagement: Erkennen, Bewerten und Steuern von Risiken, 2002, WEKA MEDIA, Kissing.

Diederichs, Marc: Risikomanagement und Risikocontrolling (Reihe: Finance competence), 2018, Vahlen, München.

© BMI 2023 – Gesamtredaktion und fachliche Beratung: Bundesverwaltungsamt

Impressum
Kontakt

https://www.orghandbuch.de/OHB/DE/OrganisationshandbuchNEU/3_managementansaetze_u_instrumente/3_10_Risikomanagement/risikoman… 8/8