Zusammenfassung:
Gelebte Risiko-Kultur ist ein Kernbaustein guten, organisationsweiten Risikomanagements («ORM»). Die Rahmenbedingungen, unter welchen ORM umgesetzt werden soll, bilden einen wichtigen Aspekt der Risiko-Kultur.
Der Schritt, die entsprechenden Rahmenbedingen auf Verordnungsstatus zu erheben und publik zu machen, ist ein sehr greifbarer Beitrag zu gelebter Risiko-Kultur.
Gemäss unserer Recherchen haben zwei Schweizer Kantone diesen Schritt bereits gemacht und eine Handvoll anderer Kantone sind auf bestem Wege dahin.
Im Umkehrschluss haben einige Kantone diesbezüglich noch Luft nach oben.
Einleitung:
Vor etwa 30 Jahren ist ein neuer Stern am Risikomanagement-Himmel aufgetaucht: Organisationsweites Risikomanagement (Dickinson, 2001).
ORM ist ein integriertes, methodisch einheitliches Vorgehen – mit Blick auf Gefahren und Chancen – welches Risikomanagement mit der Strategie und den Zielen einer Organisation verbindet. Die Akzeptanz des organisationsweiten, integrierten Ansatzes steigt stetig. Drei Jahrzehnte nach der Einführung sind zahllose Erfolgsgeschichten dokumentiert und publiziert.
Trotzdem zeigen Meinungsumfragen (Beasley, Branson, & Hancock, 2021), dass bei der Umsetzung vielerorts noch Verbesserungspotential besteht. Ein Grund für mangelnde Akzeptanz und die bisweilen durchzogene Erfolgsbilanz ist die scheinbare Vielfalt von Standards, publizierten Methoden, Terminologie und Lösungsansätzen.
Ein probates Mittel, diese Hürden zu überwinden, sind klare, konzise Vorgaben bezüglich der ORM-Architektur. Diese Komponenten der Architektur, egal welchem Regelwerk sie entstammen, legen Kern- und Eckpunkte fest, ohne praktizierende Risikomanager in unnötige methodische Korsette zu zwängen.
Verschiedene Autoren z.B. (Brosi & Tan, 2023) haben pragmatische Anleitungen «wie gut geht», veröffentlicht.
Gemäss ISO 31000:2018 [2] und anderen, ähnlichen Publikation, fusst effizientes und effektives ORM auf drei Säulen, namentlich den Grundsätzen, einem Rahmenwerk und dem Risikomanagementprozess.
Hintergrund:
Die Schweiz betreibt, sowohl auf Bundes-, Kantonaler-, als auch Kommunaler Ebene sehr erfolgreich konventionelles Gefahren-Management [1]. Einer der vielen Erfolgsfaktoren war und ist das gute Zusammenspiel zwischen den Interessengruppen, namentlich den Behörden, Lehre & Forschung, Industrie und Bevölkerung.
Im Zusammenhang mit einem Auftrag fragten wir uns, ob und wie kantonale Behörden in der Schweiz die bekannten ORM-Kernbausteine aufgenommen, ggfs. adaptiert, legalisiert und publiziert haben und so einen wichtigen Beitrag zur Risiko-Kultur leisten.
Wir wollten herausfinden, in welchem Umfang, mindestens zwei der drei Grundpfeiler guten ORMs öffentlich zugänglich und in irgendeiner Weise verpflichtend oder empfehlend publiziert sind. Unsere Suche konzentrierte sich auf Dokumenten (Empfehlungen, Verordnungen u.a.), welche mindestens zwei Grundpfeiler, die Grundsätze und das Rahmenwerk modernen ORMs beschreiben.
Unsere Recherche förderte, nicht ganz unerwartet, eine Vielfallt bezüglich des Umfangs, Alters, Status’ und der Form der Dokumentation der ORM-Kernbausteine zu Tage.
Wir betonen ausdrücklich, dass wir keinerlei Aussage über Effektivität und Effizienz des bestehenden Risikomanagements der einzelnen Kantone machen wollen und können. Das war nicht Ziel dieser Untersuchung.
Es ging uns nicht darum, traditionelles Risikomanagement, das sich auf bekannte Gefahren, z.B. Erdbeben oder Überschwemmungen konzentriert, in seiner Wirkung und Effizienz zu beurteilen.
Resultate:
Wie erwartet, reflektiert unsere Analyse die Diversität der Schweiz. Unsere Suchresultate lassen sich grob in drei Kategorien einteilen:
Kategorie I
Zeitgemässe Verordnungen bzgl. Grundsätze und Rahmenwerk, entweder via «Suche 1» oder «Suche 2» (siehe Methoden Teil) sehr zeitnah gefunden. Qualität und Umfang des entsprechenden Textes entsprechen annäherungsweise ISO 31000:2018 oder einem ähnlichen Standard. Zwei Kantone fallen in diese Kategorie.
Kategorie II
Verordnungen oder ähnliches Dokument nach längerer Suche (5 – 10 Minuten) gefunden (siehe Methoden Teil). Entweder ist das Dokument in Vernehmlassung oder erst wenige Monate in Kraft und/oder die «Anweisung» bzgl. ORM ist einem anderen Dokument untergebracht und evtl. nur auf Departments-stufe dokumentiert. Etwa ein halbes Dutzend Kantone fallen in diese Rubrik.
Kategorie III
Innerhalb der vorgegebenen Suchparameter und Zeit (siehe Methoden) kein Dokument gefunden, das den Suchkriterien entspricht. Wir betonen ausdrücklich, dass ein negatives Suchergebnis nicht als Hinweis auf die Qualität des existierenden Riskmanagements auf kantonaler Ebene interpretiert werden kann. Viele Kantone, für die diese spezifische Suche «null» resultierte, betreiben beispielsweise sehr intensives Naturgefahren-Management und Bevölkerungsschutz.
Empfehlung:
Aus unserer Sicht würden Kantone, sollte sich unsere Analyse als korrekt erweisen, die in Kategorie III fallen, messbar davon profitieren, auf zentraler Ebene die Kernpunkte guten ORMs festzuhalten und zu publizieren.
Der Aufwand steht in einem sehr guten Verhältnis zum Ertrag, da Basistexte aus der Literatur gegen eine geringe Gebühr übernommen werden können und mit relativ geringem Aufwand sich an spezifische kantonale Gegebenheiten anpassen lassen.
Damit wird – mit bescheidenem Aufwand – ein messbarer Beitrag zur weiteren Verbesserung des Risikomanagements auf kantonaler Ebene geleistet.
Methode:
Wir haben unsere Recherche auf jene Schweizer Kantone, in den Deutsch die einzige Amtssprache ist, beschränkt.
Nach anfänglichen «Null» Ergebnissen bei der Suche nach «integriertes Risikomanagement», haben wir uns entschieden, den Begriff «integriertes» bei der Suche ersatzlos wegzulassen.
Suchkriterien
Suche 1: Direkte Google-Suche in deutscher Sprache, Suchbegriff «Risikomanagement Kanton X».
Suche 2: Suche in deutscher Sprache in der öffentlich zugänglichen Gesetzes-Sammlung [1] des jeweiligen Kantons, Suchbegriff «Risikomanagement».
Technische Details
Browser: Chrome Version November 2022; Desktop Computer Windows 11; Glasfaser-Anschluss, gemessene Datentransfer Raten >10 Mbps; nach jeder Suche wurden Cache und Cookies gelöscht; Lokation auf «Schweiz» eingestellt; Suche auf 10 Minuten pro Kanton limitiert (Suche 1 und Suche 2 zusammen)
Das Ausbleiben von positiven Suchresultaten bedeutet bloss, dass wir mit den definierten Kriterien in der vorgegebenen Zeit keine positiven Ergebnisse erhielten. Wir raten dringendst davon ab, ein negatives Suchergebnis als Zeugnis fehlenden oder schlechten Risikomanagements auf kantonaler Ebene zu interpretieren.
Es ist uns auch aufgefallen, dass bei wiederholter Suche nach demselben Stichwort z.B. «Risikomanagement Kanton BE», die Platzierung des Suchergebnis leicht variierte, was aber der Aussagekraft unserer Analyse nicht verändert.
Literaturverzeichnis:
Beasley, M. S., Branson, B. C., & Hancock, B. V. (2021, April). The State of Risk Oversight. Retrieved from https://erm.ncsu.edu/az/erm/i/chan/library/2021-risk-oversight-report-erm-ncstate.pdf
Brosi, R., & Tan, C. G. (2023). Risikomanagement einbetten und Resilienz verstärken. Band 1: die Grundbausteine. Amazon, Kindle Publishing; ASIN: B0BRL8Q1BP.
Dickinson, G. (26(3) 2001). Enterprise Risk Management: Its Origins and Conceptual Foundation. The Geneva Papers on Risk and Insurance – Issues and Practice, S. 360–366.