Risikomanagement des Bundes hat noch Potential

Die Finanzkontrolle prüfte das Risikomanagement mehrerer Bundesorgane. Darunter dasjenige des Informatiksteuerungsorgans des Bundes (ISB). Die Erkenntnisse.

Prüfungsresultate beim ISB

Der Reifegrad des Risikomanagements beim ISB (Grafik: zvg EFK, Legende vergrössert, VE = Verwaltungseinheit).

"Konkrete Massnahmen ergreifen"

Das Risikomanagement in der Bundesverwaltung ist noch nicht dort, wo es sein sollte. Zu diesem Schluss kommt die Eidgenössische Finanzkontrolle (EFK). In einem neuen Bericht kommt sie zum Schluss, das Risikomanagement habe zwar einen guten Entwicklungsstand, werde aber noch zu wenig als Führungsinstrument genutzt.Zu diesem Schluss kommt die EFK bei der Untersuchung verschiedener Organe, darunter dem Generalsekretariat des Aussendepartements und dem Informatiksteuerungsorgan des Bundes (ISB).Mit wenigen Ausnahmen herrsche eine isolierte Betrachtung der Risiken innerhalb einer Verwaltungseinheit vor, schreibt die EFK. Die Berücksichtigung von Beziehungen zu anderen Risiken habe nur in wenigen Fällen beobachtet werden können. Weiter überzeuge die Bewältigung und das Überwachen von Risiken in vielen Teilen nicht. Oft gebees keine Überlegungen dazu, wie nach einem Risikoeintritt vorzugehen sei.Zudem kritisiert die EFK, dass die Identifikation und Erfassung der Risiken primär Bottom-Up erfolge, "ein ausreichender Top-Down-Ansatz ist nicht vorhanden".Der Bericht erwähnt auch den Bereich IT-Risiken. Hier bestehen Doppelspurigkeiten beim Erfassen von Risiken. Dies sei aber systembedingt und "tragbar", schreibt die EFK, sie könne kein wesentliches Potential für Effizienzsteigerungen und Vereinfachungen erkennen.Untersucht wurde auch das Risikomanagement des ISB, welches in alle bedeutenden IT-Projekte des Bundes involviert ist, die ICT-Standarddienste führt und den Informatiksicherheitsbeauftragten des Bundes stellt. Das ISB ist auch im Lead, wenn es um "Querschnittsrisiken" im IT-Bereich geht.Dieser Term umschreibt Risiken, welche bei mehreren Behörden ähnlich oder gleich vorhanden sind. Bei der Steuerung von Querschnittsrisiken identifizierte die EFK insgesamt "erhebliche systemische Schwachstellen bei der Durchsetzung der risikomindernden Massnahmen und bei der Kommunikation."Eine systemische Schwachstelle sei, dass beispielsweise das ISB zwar für ein Querschnittsrisiko im Cyberrisikobereich verantwortlich sei, aber keine Weisungskompetenz gegenüber den einzelnen Verwaltungseinheiten habe.Aber auch bei der bundesinternen Kommunikation kann es zu Problemen kommen. So wurdeMeteoSchweiz, wichtig für das Wetter beispielsweise im Flugverkehr, offenbar vom ISB nicht über ein Cyberrisiko informiert (identifizierte dieses aber selbständig und unabhängig davon). Genau hier sei eigentlich ein weiteres Risiko zu managen.Das ISB und der obige Fall sind im EFK-Bericht als ein aussagekräftiges Beispiel innerhalb der gesamten Bundesverwaltung genannt."Die Bewältigung und das Überwachen von Risiken überzeugt in vielen Bereichen nicht", schreibt die EFK zusammenfassend. "Die geprüften Verwaltungseinheiten haben keine auf ihre Bedürfnisse abgestimmte Risikostrategie formuliert".Für die Koordination des Risikomanagements ist die Eidgenössische Finanzverwaltung (EFV) zuständig. Sie teilt die EFK-Meinung bei Querschnittsrisiken nur "bedingt", wird aber das entsprechende Handbuch ergänzen. Auch will man bei der EFV am aktuellen Prozess zum Aggregieren von Querschnittsrisiken festhalten.Die EFK empfiehlt der EFV im allgemeinen, konkrete Massnahmen zu einer stärkeren Integration des Risikomanagements in die Führungsprozesse zu definieren und die Umsetzung einzuleiten. Weiter soll die EFV Vorgaben zu den spezifischen Risikostrategien etablieren.Die EFV soll auch prüfen, ob die interne Risikokommunikation durch eine andere Klassifizierung von Berichten verbessert werden könnte. Im Aussendepartement (EDA) stellte die EFK fest, dass die Klassifizierung von Berichten als "vertraulich" den Informationsaustausch erschwerte. Die EFV ist mit der Stossrichtung der Empfehlungen einverstanden, wie sie in ihrer Stellungnahme schreibt.Für das Erfassen und Managen von Risiken steht eine zentrale IT-Lösung zur Verfügung, welche "R2C" heisst (Risk to Chance). Das Risikomanagement des Bundes basiert auf der Norm ISO 31000. Die Vorgaben und Hilfsmittel sind laut EFK gut. (mag/sda)