Risikoreporting zuhanden des Bundesrates eine Bestandsaufnahme Bericht der Geschäftsprüfungskommissionen der eidgenössischen Räte vom 30. Januar 2018
2018-0418
1457
BBl 2018
Bericht 1
Einleitung
Das Risikoreporting zuhanden des Bundesrates (folgend: Risikoreporting) hat sich in den letzten Jahren stark entwickelt. Das heutige Konzept des Risikoreportings wurde zwischen 2002 und 2009 ausgearbeitet und seither weiter angepasst und optimiert.
Im Jahre 2009 teilte der Bundesrat den Geschäftsprüfungskommissionen mit, dass diese im Rahmen der Geschäftsberichtssitzungen mündlich über das Risikoreporting informiert werden sollen. Zudem schlug der Bundesrat vor, das Risikoreporting jeweils der Geschäftsprüfungsdelegation zur Behandlung zu übergeben, da es sich um vertrauliche Informationen handelte. Diese Vorschläge wurden von den GPK zurückgewiesen, einerseits, weil die GPDel nicht dafür zuständig sei und andererseits, weil eine bloss mündliche Besprechung der Komplexität und der Wichtigkeit des Risikoreportings nur ungenügend Rechnung tragen würde und dabei keine fundierte Auseinandersetzung möglich sei. Aus diesen Gründen formulierten die GPK einen eigenen Vorschlag: Es sollte eine Arbeitsgruppe Risikoreporting eingesetzt werden. Diese bestand aus den beiden Präsidenten/Präsidentinnen der GPK, die Vize-Präsidenten/Präsidentinnen der GPK und die Präsidenten/Präsidentinnen der beiden Subkommissionen EFD/WBF (damals noch EVD). Durch die Einsetzung einer relativ kleinen Arbeitsgruppe wird die Vertraulichkeit der Informationen gewahrt. Kurze Zeit später wurde zusätzlich ein Mitglied der Finanzdelegation in die Arbeitsgruppe integriert.
Das Risikoreporting zuhanden des Bundesrates ist Teil der Risikopolitik des Bundes. Gemäss dem «Handbuch zum Risikomanagement Bund»1 findet jährlich ein umfassendes Risikoreporting statt.2 Um dieses jährliche Reporting zu stärken, wurde zudem ein sogenanntes Risiko-Update eingeführt, welches einerseits die Kernrisiken der Departemente und der Bundeskanzlei überprüft und andererseits analysiert, ob neue Risiken entstanden sind.3 Der Bundesrat wird hierüber im Rahmen einer Informationsnotiz in Kenntnis gesetzt.
Im Jahre 2010 nahm die Arbeitsgruppe eine erste Evaluation des Risikoreportings vor und richtete in einem Bericht4 sechs Empfehlungen an den Bundesrat. Sowohl die Empfehlungen als auch die Stellungnahme5 des Bundesrates hierzu werden im Folgenden thematisiert und die konkrete Umsetzung analysiert. In einem zweiten Teil werden verschiedene Aspekte der aktuellen Entwicklung des Risikoreportings herausgegriffen und untersucht.
1 2 3 4 5
Handbuch zum Risikomanagement Bund, Version vom 28. Sept. 2017 (folgend: Handbuch zum Risikomanagement).
Handbuch zum Risikomanagement, 15.
Siehe dazu das Handbuch zum Risikomanagement, 15.
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683.
Risikoreporting zuhanden des Bundesrats, Stellungnahme des Bundesrates vom 18. Aug.
2010, BBl 2010 5691.
1458
BBl 2018
Die Behandlung des Risikoreportings durch die Arbeitsgruppe der GPK sieht wie folgt aus: Rund zwei Wochen vor der jährlichen Sitzung im April erhalten die Mitglieder der Arbeitsgruppe die notwendige Dokumentation (Riskmaps und Risikoblätter), welche die verschiedenen Kernrisiken auf Stufe Departement, Stufe Bundesrat und die Querschnittsrisiken darstellen. Zudem wird jedes Risiko detailliert erläutert (Risikoblatt). Die Sitzung ist zweiteilig aufgebaut: Im ersten Teil nehmen die Generalsekretärinnen und -sekretäre der Departemente inklusive einer Vertretung der Bundeskanzlei teil. Auf die Aussprache im Jahre 2017 hin wurde die Anhörung dahingehend modifiziert, dass die Vertreter der Departemente und der BK gebeten wurden, jeweils kurz die drei Top-Risiken ihres jeweiligen Departements bzw. der Bundeskanzlei zu erläutern. Für den zweiten Teil der Sitzung ist die Bundespräsidentin bzw. der Bundespräsident anwesend. Er bzw. sie wird begleitet und unterstützt durch Vertreter der Eidgenössischen Finanzverwaltung (EFV).
2
Empfehlungen aus dem Bericht 2010
Die GPK wiesen im Bericht vom 28. Mai 20106 darauf hin, dass der Bundesrat bereits einige Verbesserungen vorgenommen hatte. Trotzdem verblieben aus Sicht der GPK mehrere Aspekte, welche bis dahin noch nicht bzw. nicht genügend umgesetzt wurden. In diesem Sinne wurden sechs Empfehlungen an den Bundesrat ausgearbeitet.
2.1
Top-down-Ansatz
Der Bericht forderte damals in der ersten Empfehlung, dass der Bottom-up-Ansatz durch einen Top-down-Ansatz ergänzt werden sollte. Dieser Ansatz verlangt, dass der Bundesrat das Risikoreporting und -management aktiv als wirksames Steuerungsinstrument verwendet.7 Zur Umsetzung dieser Empfehlung wurde der Bundesrat aufgefordert ein Koordinations- und Kompetenzzentrum zu schaffen. Während der Bundesrat sich für eine Umsetzung des Top-down-Ansatzes aussprach, wehrte er sich gegen die Schaffung eines eigentlichen Koordinations- und Kompetenzzentrums.8 Nach der damaligen Ansicht des Bundesrates genügte die geplante Aufstockung der Koordinationsstelle bei der EFV.9 Die GPK bitten den Bundesrat aufzuzeigen, inwiefern die Koordinationsstelle bei der EFV seither tatsächlich aufgestockt bzw. angepasst worden ist.
6 7 8 9
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683.
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683, 5686.
Risikoreporting zuhanden des Bundesrates, Stellungnahme des Bundesrates vom 18. August 2010, BBl 2010 5691, 5695.
Risikoreporting zuhanden des Bundesrates, Stellungnahme des Bundesrates vom 18. August 2010, BBl 2010 5691, 5695.
1459
BBl 2018
Inwiefern der Top-down-Ansatz als Steuerungsinstrument in das Risikoreporting eingebunden worden ist, lässt sich bis zum jetzigen Zeitpunkt aus Sicht der GPK nur schwierig beurteilen. Obwohl der Bundesrat wiederholt bekräftigt hat,10 dass er sich im Sinne eines Top-Down-Ansatzes mit den Risiken immer wieder beschäftigt, bestehen seitens der GPK gewisse Zweifel daran. Ein gutes Beispiel hierfür stellt die Auslösung der Bürgschaftsverpflichtungen der Eidgenossenschaft für die Hochseeschifffahrt dar. Die Hochseeschifffahrt befindet sich seit knapp zehn Jahren in einer Jahrhundert-Krise. Das Risiko wurde erstmals 2015 auf der Risk-Map des WBF und damit im Risikoreporting zuhanden des Bundesrates aufgelistet; es handelt sich um Bürgschaften für mehrere hundert Millionen Franken. Der Bundesrat beantragte mit der Botschaft vom 27. Juni 2007 gar eine Aufstockung der Bürgschaften, wobei er das Risiko damals als «verschwindend gering» einschätzte.11 Die EFK analysiert in einer Untersuchung, inwiefern das Risikoreporting bzw.
-management des Bundes als Steuerungsinstrument genutzt wird. Die Arbeitsgruppe der GPK wird sich damit zu einem späteren Zeitpunkt beschäftigen. Beim TopDown-Ansatz gilt es zwei Aspekte zu unterscheiden: Einerseits muss das Risikoreporting zuhanden des Bundesrates jene Informationen liefern, damit dieser gestützt darauf Entscheidungen treffen kann und diese gerade auch auf die Risiken und ihre Beurteilung abstützt. Andererseits kann der Top-Down-Ansatz nur dann effizient eingesetzt werden, wenn bis zu einem gewissen Grad ein eigenes «Monitoring» spezifischer Risiken betrieben wird. Dies bedingt, dass nicht nur von «unten» gemeldete Risiken durch den Bundesrat beurteilt werden, sondern dass er auch allfällige Lücken kritisch hinterfragt. Das bedeutet auch, dass der Top-down-Ansatz nicht erst beim Risikomanagement, sondern bereits bei der Erfassung der Risiken durch das Risikoreporting zum Tragen kommen muss.12
2.2
Einheitliche Kriterien der Risikobeurteilung und -erfassung
Es wurden Weisungen,13 Richtlinien14 und ein Handbuch15 erarbeitet, welche eine Harmonisierung bei der Beurteilung und bei der Erfassung der Risiken bezwecken.
Mit den Richtlinien über das Risikomanagement wird explizit «eine einheitliche Umsetzung des Risikomanagements beim Bund» angestrebt. 16 So wird in den Richtlinien auch der Begriff des Risikos definiert.17 Das Handbuch dient gemäss dessen
10 11
12 13 14 15 16
17
Siehe dazu etwa auch Ziffer 4 Absatz 1 Weisungen über die Risikopolitik des Bundes vom 24. Sept. 2010, BBl 2010 6549, 6550.
Botschaft vom 27. Juni 2007 zur Änderung des Bundesbeschlusses über die Erneuerung des bürgschafts-Rahmenkredits für die Sicherung eines ausreichenden Bestandes an Hochseeschiffen unter Schweizer Flagge, BBl 2007 5215, 5225 ff.
Siehe dazu die Abbildungen 1 und 2 im Handbuch zum Risikomanagement, 11 f.
Weisungen über die Risikopolitik des Bundes vom 24. Sept. 2010, BBl 2010 6549.
Richtlinien über das Risikomanagement Bund vom 31. März 2016.
Handbuch zum Risikomanagement Bund vom 28. Sept. 2017.
Richtlinien über das Risikomanagement Bund vom 31. März 2016, 3; siehe auch Ziffer 4 Absatz 2 Weisungen über die Risikopolitik des Bundes vom 24. Sept. 2010, BBl 2010 6549, 6550.
Richtlinien über das Risikomanagement Bund vom 31. März 2016, 4.
1460
BBl 2018
Zweckbeschreibung der Ergänzung bzw. der Erläuterung der Richtlinien.18 In diesem Sinne dient das Handbuch der einheitlichen Erfassung von Risiken. Die Forderung der GPK nach einheitlichen Kriterien in der Risikobeurteilung wurde umgesetzt.
2.3
Nicht-finanzielle Risiken
Es war den Geschäftsprüfungskommissionen ein Anliegen, neben finanziellen auch nicht-finanzielle Risiken ins Reporting aufzunehmen. Damals galten nämlich zwei Beurteilungsdimensionen: die Eintretenswahrscheinlichkeit einerseits und die finanziellen Auswirkungen andererseits.19 Nicht-finanzielle Risiken wurden nicht berücksichtigt.
Diese Empfehlung wurde unterdessen weitgehend umgesetzt. Gemäss dem Handbuch wird ein Risiko heute durch verschiedene Parameter bestimmt: Finanzielle Auswirkungen, Personenschäden, Beeinträchtigung der Reputation, Beeinträchtigung von Geschäftsprozessen und die Auswirkungen auf die Umwelt. 20 Ein potentielles Risiko wird an jeder dieser Dimensionen gemessen und auf einer sechsstufigen Skala bewertet. Diese verschiedenen Parameter sollten auf dem Risikoblatt eines jeweiligen Risikos explizit und systematisch ausgewiesen werden. Bei gewissen Risiken beschränkt man sich jedoch auf die Erwähnung einer einzigen Dimension, so dass die Auseinandersetzung mit den restlichen Auswirkungen gar nicht oder nur unvollständig stattfindet.
Empfehlung 1
Auflistung aller Auswirkungen
Der Bundesrat sorgt dafür, dass die verschiedenen Kategorien der Auswirkungen (finanzielle Auswirkungen, Personenschäden, Beeinträchtigung der Reputation, Beeinträchtigung der Geschäftsprozesse und die Auswirkungen auf die Umwelt) bei der an ihn gerichteten Risikoanalyse aufgelistet werden. Das Ziel besteht darin, dass die Departemente, Bundesämter und weitere Einheiten diese Analyse der Auswirkungen einheitlich, transparent und ganzheitlich auf dem Risikoblatt festhalten.
Auch wenn eine Dimension der Auswirkung in einem konkreten Fall gar nicht betroffen ist, ist dies kurz festzuhalten.
Dieses Vorgehen stellt auch sicher, dass sich der jeweilige Risikoeigner, -coach und auch die Generalsekretäre und -sekretärinnen effektiv mit sämtlichen Dimensionen befassen, was zu einer ganzheitlichen Analyse führt.
18 19 20
Handbuch zum Risikomanagement, 8.
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683, 5687.
Handbuch zum Risikomanagement, 25.
1461
BBl 2018
2.4
Gleiches Instrument für alle
Empfehlung 4 des Berichtes aus dem Jahre 2010 verlangte von den Departementen, dass diese bei der Erfassung und Verwaltung der Risiken dieselbe Informatikanwendung («Risk-to-Chance») verwenden sollen.21 Die GPK zeigten sich unzufrieden, dass dieses Instrument bei verschiedenen Risiken nicht verwendet wurde (bspw. das Risiko einer Grippepandemie im EDI oder verschiedene Risiken im VBS).
Der Bundesrat wies dagegen in seiner Stellungnahme darauf hin, dass bereits zu jenem Zeitpunkt sämtliche relevanten Risiken über eine einzige, gemeinsame Informatikanwendung «beschrieben, bewirtschaftet, gesteuert, überwacht und dokumentiert» wurden.22 Die GPK begrüssen die Anwendung eines einheitlichen Informatiktools. Gleichzeitig bitten sie den Bundesrat aber darzulegen, ob das Instrument bei der Erfassung der Risiken durch die verschiedenen Verwaltungseinheiten tatsächlich flächendeckend eingesetzt wird.
2.5
Fehlende Rückmeldungen
Die GPK kritisierten, dass teils keine Rückmeldungen an die jeweiligen Verwaltungseinheiten vorgenommen wurden. Deshalb forderten die GPK, dass Rückmeldungen gegenüber den Departementen und den einzelnen Verwaltungseinheiten in das Konzept des Risikomanagements integriert werden.23 Der Bundesrat stimmte der Empfehlung damals zu 24 und stellte in Aussicht, dass der Informationsfluss verbessert würde. Das Thema wurde ins Handbuch aufgenommen.
Demnach wird dem Informationsfluss und der Kommunikation zwischen den verschiedenen Akteuren im Risikomanagement mehr Gewicht beigemessen. 25 Inwiefern diese Empfehlung auch praktisch umgesetzt wurde, lässt sich für die GPK nur schwierig beurteilen, weshalb der Bundesrat auch hier gebeten wird, kurz dazu Stellung zu nehmen.
21
22
23 24 25
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683, 5688; siehe dazu auch Handbuch zum Risikomanagement, 23.
Risikoreporting zuhanden des Bundesrats, Stellungnahme des Bundesrates vom 18. Aug.
2010, BBl 2010 5691, 5696; siehe etwa auch Handbuch zum Risikomanagement, 13 und Ziffer 4 Absatz 3 Weisungen über die Risikopolitik des Bundes vom 24. Sept. 2010, BBl 2010 6549, 6550.
Risikoreporting zuhanden des Bundesrates, Bericht der Geschäftsprüfungskommission des National- und Ständerats vom 28. Mai 2010, BBl 2010 5683, 5689.
Risikoreporting zuhanden des Bundesrats, Stellungnahme des Bundesrates vom 18. Aug.
2010, BBl 2010 5691, 5696.
Handbuch zum Risikomanagement, 37 f.
1462
BBl 2018
2.6
Querschnittsrisiken
Querschnittsrisiken26 sollen angemessen erkannt und in den Reportings explizit ausgewiesen werden. Dieser Forderung ist der Bundesrat nachgekommen. Er betonte jedoch, dass es nicht angehe, Departementsrisiken einfach zusammenzuzählen und in diesem Sinne als Querschnittsrisiken auszuweisen. Mittlerweile wurden die Querschnittsrisiken derart weiterentwickelt, als dass diese einzeln auf eigenen Riskmaps ausgewiesen und jedes Risiko wie die übrigen Departementsrisiken auch auf separaten Blättern im Detail dargestellt werden. Zurzeit handelt es sich um vier Querschnittsrisiken. Risiken sollen nur dann zu einem Querschnittsrisiko aggregiert werden, wenn dies zu einem Mehrwert führt.
Die GPK zeigen sich erfreut über die Entwicklungen im Bereich der Querschnittsrisiken.
2.7
Fazit
Der Bericht der GPK wurde vom Bundesrat bereits damals sehr positiv aufgenommen. Der Bundesrat attestierte in seiner Stellungnahme vom 18. August 2010, dass er mit den Empfehlungen bis auf einige wenige Punkte einverstanden war und signalisierte Bereitschaft, diese umzusetzen.27 Die GPK stuft die Entwicklungen des Risikoreportings und die Umsetzung der verschiedenen Empfehlungen seither als positiv ein.
Ein grosses Fragezeichen bleibt jedoch in Bezug auf die erste Empfehlung und die Frage, inwiefern der Bundesrat das Risikoreporting und -management als Führungsund damit als Steuerungsinstrument nutzt. Diese Frage kann wohl nur anhand verschiedener Einzelfälle beurteilt werden, wobei der Bundesrat immer wieder bekräftigt, dass dieser sogenannte Top-down-Ansatz verfolgt werde.
In Bezug auf die Empfehlungen zum flächendeckend verwendeten Informatikinstrument und zu den fehlenden Rückmeldungen wurden die notwendigen formellen Anpassungen teils vorgenommen und die Richtlinien, Weisungen und das Handbuch dahingehend angepasst. Die GPK bittet den Bundesrat jedoch, zur praktischen Umsetzung dieser Empfehlungen Stellung zu nehmen und insbesondere darzulegen, ob und wieweit dabei noch ein Optimierungspotential und -bedarf besteht.
Zudem wird der Bundesrat auch gebeten, sich zur angesprochenen Aufstockung der Koordinationsstelle bei der EFV zu äussern.
26
27
Ein Querschnittsrisiko wird gemäss Richtlinien über das Risikomanagement Bund vom 31. März 2016, 5, folgendermassen definiert: Ein «Risiko, das sowohl dezentral in den betroffenen Verwaltungseinheiten als auch zentral (wegen Interdependenzen) als aggregiertes Risiko von einer koordinierenden Stelle bewirtschaftet wird».
Risikoreporting zuhanden des Bundesrats, Stellungnahme des Bundesrates vom 18. Aug.
2010, BBl 2010 5691, 5694 f.
1463
BBl 2018
3
Aktuelle Herausforderungen und Bewertung
Die Geschäftsprüfungskommissionen betonen, dass das Risikoreporting zuhanden des Bundesrates mittlerweile auf einem sehr hohen Niveau ist und die Qualität der gelieferten Unterlagen überzeugt.
Bei der jährlichen Aussprache mit den Generalsekretärinnen und -sekretären, der Bundespräsidentin bzw. dem Bundespräsidenten und aufgrund der Analyse der verschiedenen Riskmaps und Risikoblätter kristallisierten sich aber trotzdem verschiedene Aspekte heraus, die im vorliegenden Bericht aufgegriffen werden sollen.
Dazu werden verschiedene Empfehlungen an den Bundesrat gerichtet. Diese sollen helfen, das Risikoreporting zuhanden des Bundesrates weiter zu optimieren.
3.1
Aktualisieren der Risikoblätter
Der Arbeitsgruppe Risikoreporting ist bei der Vorbereitung und Durchführung der Aussprache mit den Generalsekretärinnen und -sekretäre und der Bundespräsidentin vermehrt aufgefallen, dass gewisse Risiken nicht aktualisiert wurden bzw. nicht auf dem aktuellsten Stand sind.28 Dies zeigt sich vor allem dadurch, dass gewisse Risikoblätter alte Zahlen und Daten enthalten bzw. neuere Angaben noch nicht integriert und berücksichtigt worden sind.
Das Problem hierbei liegt darin, dass ein Risiko nur dann richtig eingeschätzt werden kann, wenn die verschiedenen Komponenten laufend aktualisiert und die Informationen auf dem neusten Stand sind. Mit anderen Worten hängt die Einstufung eines Risikos direkt von den dem Risiko zugrundeliegenden Informationen ab. Die Risiko-Überwachung ist im Handbuch explizit vorgesehen, um Risiken auf dem aktuellsten Stand zu halten und eventuelle Veränderungen zu erkennen.29 Empfehlung 2
Die Risiken werden jährlich aktualisiert
Der Bundesrat ergreift die notwendigen Massnahmen, damit sichergestellt ist, dass die Generalsekretariate, die Departemente bzw. die Bundesämter die Risiken jährlich aktualisieren und die neusten Daten und Informationen auf die Risikoblätter übernommen werden. Das Risiko ist jeweils aufgrund der neusten Entwicklungen einzustufen. Dazu gehört auch die Pflicht falls notwendig jährlich die entsprechenden Daten zu beschaffen und aufzubereiten.
Die Vorgaben des Handbuchs sollen umgesetzt und eingehalten werden. Diese Voraussetzungen müssen erfüllt sein, damit ein effizientes und aussagekräftiges Risikoreporting überhaupt möglich ist.30
28
29 30
Als Beispiel sei an dieser Stelle das Risiko der Bundeskanzlei «Ungenügende Akzeptanz für die elektronische Stimmabgabe» genannt; es finden sich aber auch solche aus anderen Departementen.
Handbuch zum Risikomanagement, 31.
Diese Forderung findet sich auch im Handbuch zum Risikomanagement, 31.
1464
BBl 2018
Während der Aussprache mit den Generalsekretären und den Generalsekretärinnen wurde auch die Frage aufgeworfen, wie bei der jährlichen Neubeurteilung der Risiken gewisse Verschiebungen analysiert werden und zu begründen sind. Dabei wurde unter anderem auf das Bauchgefühl der zur Erfassung des Risikos zuständigen Personen hingewiesen. Für die Bewertung der verschiedenen Auswirkungen, stellt das Handbuch Kriterien zur Verfügung, welche auch bei einer Neubeurteilung heranzuziehen sind. Was die Eintrittswahrscheinlichkeit betrifft, differenziert das Handbuch zwischen einer Fallwahrscheinlichkeit31 und einer Jahreswahrscheinlichkeit,32 ohne jedoch griffige Kriterien zur Einschätzung der Eintrittswahrscheinlichkeit eines Risikos zu nennen.33 Empfehlung 3
Indikatoren der Eintrittswahrscheinlichkeit
Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, für die verschiedenen Risiken griffigere Indikatoren zu formulieren, anhand derer die Eintrittswahrscheinlichkeit eines Risikos zu bestimmen ist.
Zudem ist die Einschätzung der Eintrittswahrscheinlichkeit auf dem jeweiligen Risikoblatt auszuweisen und kurz zu begründen.
3.2
Fehlende Möglichkeit der Einflussnahme als risikoausschliessendes Element
Im Rahmen der Aussprache mit den Generalsekretärinnen und -sekretären und der Vertretung der Bundeskanzlei einerseits und jener mit der Bundespräsidentin und den Vertretern der EFV andererseits musste die Arbeitsgruppe Risikoreporting feststellen, dass verschiedene Risiken aufgrund der vermeintlich fehlenden Möglichkeit der Einflussnahme durch ein Departement bzw. die Verwaltung nicht mehr im Risikoreporting erfasst wurden. Dabei wurden insbesondere zwei verschiedene Gründe geltend gemacht: Einerseits wurden fehlende finanzielle Ressourcen aufgeführt. Andererseits wurde ein Risiko entfernt, weil aufgrund der Ergreifung des Referendums die politische Einflussnahme der Verwaltung nicht mehr gegeben gewesen sei.
31
32
33
Handbuch zum Risikomanagement, 27: Das Risiko wird sich entweder realisieren, oder aber bleibt aus, tritt aber nicht mehr als einmal auf. Da spricht man von der Fallwahrscheinlichkeit.
Handbuch zum Risikomanagement Bund, 27: Die Jahreswahrscheinlichkeit ist eine Periodenwahrscheinlichkeit. Dies bedeutet, dass sich ein Risiko mit einer 10 %igen Eintrittswahrscheinlichkeit mit einer Wahrscheinlichkeit von 10 % innerhalb eines Jahres realisiert. Mit anderen Worten bedeutet dies, dass es sich im Durchschnitt einmal alle zehn Jahre realisiert.
Siehe dazu auch Handbuch zum Risikomanagement, 20 f. («Wahl der richtigen Flughöhe»).
1465
BBl 2018
3.2.1
Fehlende finanzielle Ressourcen
Das VBS führte seit dem Jahr 2009 ein Risiko im Risikoreporting, welches mehrmals umbenannt wurde («zu wenig finanzielle Mittel», «Nichterfüllung der verfassungsmässigen Aufträge», «Einsätze der Armee können nicht erfüllt werden»). So wurde dieses Risiko im Risikoreporting zuhanden des Bundesrates in den Jahren 2013 und 2015 unter dem Titel: «Ungenügende Bereitschaft und Leistungsfähigkeit bei Einsätzen» aufgelistet. Gemäss den Informationen der GPK sollte dieses Risiko 2016 neu unter der Bezeichnung «Sicherheitseinschränkungen beim Schutz des Landes und seiner Bevölkerung» aufgenommen werden. Die Generalsekretärenkonferenz (GSK) wies dieses Risiko jedoch zur Überarbeitung ans VBS zurück, weil als Begründung des Risikos fehlende finanzielle Ressourcen geltend gemacht worden seien und die Budgethoheit beim Parlament liege. Budgetentscheide seien politische Entscheidungen, welche im Risikomanagement des Bundes nicht als Risiko einzustufen seien.
Das Handbuch zum Risikomanagement Bund sieht explizit vor, dass knappe Ressourcen nur in sehr seltenen Fällen ein Risiko begründen können.34 Diese Sichtweise ist für die GPK nachvollziehbar. Das Risikoreporting soll insbesondere nicht dazu missbraucht werden, um mehr finanzielle Mittel für die eigene Verwaltungseinheit zu generieren. Der Entscheid über die zur Verfügung stehenden Mittel hat im Rahmen des Budgetprozesses zu erfolgen. Die Dienststellen und Departemente wirken in diesem Prozess mit und können darin ihre Mittelbedürfnisse anbringen.35 Im oben dargestellten Fall besteht das effektive Risiko jedoch nicht in fehlenden finanziellen Ressourcen, sondern in der ungenügenden Bereitschaft und Leistungsfähigkeit bei Einsätzen,36 bzw. darin, dass die Sicherheit und der Schutz des Landes und seiner Bevölkerung nicht gewährleistet werden kann.37 Fehlende finanzielle Ressourcen betreffen nach Ansicht der GPK in erster Linie die Frage nach den möglichen Massnahmen, welche zur Verminderung des Risikos eingesetzt werden können. Dies darf jedoch auf die Erfassung eines Risikos im Reporting keine Rolle spielen.
Ein Blick auf den Risikobeschrieb verdeutlicht diese Schlussfolgerung: Zwar wurde als Ursache für das Risiko jeweils auch auf mangelnde finanzielle Ressourcen hingewiesen, jedoch stellt dies nur eine von vielen Ursachen dar.
Das Risiko wurde durch das
VBS in der Folge wie von der GSK verlangt dahingehend überarbeitet, dass die fehlenden Ressourcen nun nicht mehr aufgeführt werden, woraufhin das überarbeitete Risiko im Rahmen des Risikoupdates 2017 wieder ins Risikoreporting zuhanden des Bundesrates aufgenommen wurde. Die GPK begrüssen die Reintegration des Risikos, welche die vorliegende Argumentation zusätzlich stützt. So wurden bei der Ursachenbeschreibung die zentralen Aspekte aus dem
34 35 36 37
Handbuch zum Risikomanagement, 18 ff.
Auch so Handbuch zum Risikomanagement, 19.
So wurde das Risiko im Risikoreporting zuhanden des Bundesrates im Jahr 2015 bezeichnet.
Im Szenario kurze Beschreibung des Risikos auf dem Risikoblatt fand sich folglich auch kein Hinweis auf fehlende finanzielle Ressourcen; Risikoblatt zum Risiko: Ungenügende Bereitschaft und Leistungsfähigkeit bei Einsätzen, Risikoszenario.
1466
BBl 2018
früheren Reporting grösstenteils übernommen (ungenügendes bzw. fehlendes Mobilisierungssystem, personelle Probleme, etc.).
Die GPK sind der Ansicht, dass solchen Fällen in Zukunft präventiv entgegengewirkt werden muss. Aus diesem Grund beschlossen sie, untenstehende Empfehlung an den Bundesrat zu richten. Es ist in diesem Bereich im Sinne des Top-downAnsatzes wichtig, dass die Ressourcen innerhalb der Verwaltungseinheit so eingesetzt werden, dass effizient den bedeutendsten Risiken begegnet werden kann. Dies stellt eine Führungsaufgabe dar. Entscheide des Parlaments und deren Konsequenzen auch im Finanzbereich sind vom Bundesrat und der Verwaltung zu tragen und umzusetzen.
Empfehlung 4
Finanzielle Ressourcen
Der Bundesrat stellt sicher, dass die Erfassung eines Risikos nicht von den finanziellen Ressourcen abhängig gemacht wird, die einer Verwaltungseinheit zur Verfügung stehen.
Es handelt sich um eine Führungsaufgabe, die Ressourcen so einzusetzen, dass den bedeutenden Risiken im Rahmen der erhaltenen Mittel gebührend Rechnung getragen werden kann.
Die Richtlinien über das Risikomanagement Bund halten fest, dass zur Erfüllung der gesetzlichen Aufgaben der Gesetzgeber (mehr oder weniger) Ressourcen zur Verfügung stellt. Es wird dabei explizit klargestellt, dass diese Rahmenbedingungen vorgegeben sind.38 Wenn die GSK zum Schluss kommt, dass ein Risiko, welches seit Jahren Bestandteil des Risikoreportings war, zwar nach wie vor existiert, aber überarbeitet werden muss, sollte dieses Risiko aus Sicht der GPK im Reporting erst dann ersetzt bzw.
gestrichen werden, wenn die überarbeitete Version vorliegt. Nur so kann ein lückenloses Reporting sichergestellt werden.
3.2.2
Fehlende Möglichkeit zur politischen Einflussnahme
Als Beispiel sei an dieser Stelle das Risiko der Unternehmenssteuerreform III (USR III)39 erwähnt. Die USR III figurierte seit dem Risikoreporting zuhanden des Bundesrates aus dem Jahre 2012 als Risiko auf der Risk-Map des Eidgenössischen Finanzdepartementes. 2016 wurde entschieden, das Risiko aus dem Risikoreporting zu streichen. Die Generalsekretärin des EFD machte während der Aussprache vom 28. April 2017 folgenden Grund dafür geltend: Da gegen die USR III das Referendum ergriffen wurde, unterliege die Entwicklung nun dem politischen Prozess und sei nicht mehr im Einflussbereich des Departementes, weshalb das Risiko nicht mehr geführt werden solle.
38 39
Richtlinien über das Risikomanagement Bund vom 31. März 2016, 4.
Die Risiken hierbei sind: Abwanderung von Unternehmen ins Ausland, womit ein Verlust von Steuersubstraten einhergeht und ein Einnahmeverlust für den Bund droht; Gefährdung des Finanzausgleichs.
1467
BBl 2018
Diesem Argument kann seitens der GPK nicht gefolgt werden. Würde zum einen diese Vorgehensweise konsequent angewendet, müssten weitere Risiken aus dem Reporting entfernt werden. Das Argument, wonach man auf die Eintrittswahrscheinlichkeit eines gewissen Ereignisses keinen oder nur noch beschränkt Einfluss nehmen kann, ist auch bei anderen Risiken per se gegeben. In diesen Fällen muss jedoch versucht werden, aufgrund einer präzisen Analyse des Risikos, die zu erwartenden Schäden einzugrenzen. Ob nun ein Departement auf ein Risiko direkt Einfluss nehmen kann, darf für die Erfassung eines Risikos nicht massgebend sein. Das Risiko besteht nämlich für die Eidgenossenschaft unabhängig einer potentiellen Einflussnahme auf die Eintrittswahrscheinlichkeit.
Zum anderen fällt bei einem Vergleich der Risikoanalyse seit Beginn der Aufnahme dieses Risikos (2012) bis 2016 auf, dass sich diese nicht verändert hat. Es gehen daraus stets dieselben Gefahren hervor (Gefährdung Finanzausgleich, Mindereinnahmen aus den Unternehmenssteuern, etc.). Dass gegen den Beschluss des Parlaments das Referendum ergriffen wurde und danach das Stimmvolk die Vorlage an der Urne ablehnte, vermag an dieser Einschätzung nichts zu ändern. Die Risiken und deren Auswirkungen bleiben für die Eidgenossenschaft weiterbestehen. Dementsprechend befindet sich zurzeit eine neue Vorlage in Ausarbeitung. Zudem stimmt es nicht, dass die Verwaltung gar keine Einflussmöglichkeiten mehr hätte, wenn ein Referendum ergriffen wird: Die Art der Einflussnahme ändert sich zwar, aber sie ist weiterhin vorhanden (bspw. über die Information der Öffentlichkeit, die Beteiligung im Abstimmungskampf etc.). Die GPK sind sich bewusst, dass dies innerhalb des vorgegebenen, rechtlichen Rahmens geschehen muss, doch gilt es, diesen Handlungsspielraum umso mehr auszuschöpfen.
Selbstverständlich kann nicht ausgeschlossen werden, dass sich ein Risiko und die darauf gestützten Massnahmen verändern. Um solche Änderungen oder neue Risiken angemessen zu berücksichtigen, wurde die halbjährliche Aktualisierung der verschiedenen Risiken und Massnahmen vorgesehen: Zusätzlich zum Risikoreporting führt die Generalsekretärenkonferenz im Sommer jeweils das sogenannte Risikoupdate durch. Die Frage nach dem Akteur, dem eine Einflussmöglichkeit auf ein bestimmtes Risiko zukommt, kann
nicht relevant für die Einstufung eines Risikos sein. Die politische Meinungsbildung soll gemäss den Richtlinien der EFV vom Risikomanagement nicht erfasst sein.40 Bei dem vorliegend in Frage stehenden Risiko der Unternehmenssteuerreform III und seinem Nachfolgeprojekt wird das Ziel verfolgt, das schweizerische Steuersystem in Einklang mit internationalen Vorgaben und Standards zu bringen, um einen Nachteil (Stichwort: schwarze Listen) für den Wirtschaftsstandort Schweiz zu verhindern. In diesem Sinne ist es unerlässlich, dass das Risiko USR III als Bundesratsrisiko geführt wird. Da das Referendum angenommen worden ist, muss sich der Bundesrat erneut mit dem Thema befassen. Unter dem Titel der «Steuervorlage 17» (SV17) wird eine neue Vorlage erarbeitet. Im Rahmen des Risiko-Updates 2017 wurde das Risiko unter einer neuen Bezeichnung («Negative Effekte nach Verzögerung bei der Ausarbeitung der Steuervorlage 2017») wieder ins Risikoreporting 40
Richtlinien über das Risikomanagement Bund vom 31. März 2016, 4: Doch diese Weisung ist nicht absolut auszulegen, so dass in gewissen Fällen trotzdem ein Risiko entstehen kann, nämlich wenn ein Gesetzgebungsprojekt dazu führt, dass ein übergeordnetes Ziel nicht erreicht werden kann.
1468
BBl 2018
aufgenommen, was die GPK begrüssen. Ein zentraler Aspekt ist, dass ein Volksentscheid im Risikomanagement des Bundes nie als Risiko eingestuft werden kann. Im vorliegenden Fall steht denn auch im Vordergrund, dass sich der dem Risiko zugrundeliegende Sachverhalt auf Grund der Ergreifung des Referendums nicht verändert hat.
Ob eine Verwaltungseinheit auf ein Risiko Einfluss nehmen kann oder nicht, bildet kein Kriterium bei der Einstufung eines Risikos und dessen Aufnahme ins Risikoreporting. Gemäss der Risikodefinition der Weisungen über die Risikopolitik des Bundes41 werden unter Risiko «Ereignisse und Entwicklungen verstanden, die mit einer gewissen Wahrscheinlichkeit eintreten und wesentliche negative finanzielle und nichtfinanzielle Auswirkungen auf die Erreichung der Ziele und die Erfüllung der Aufgaben der Bundesverwaltung haben».
Empfehlung 5
Fehlende Möglichkeit der politischen Einflussnahme
Der Bundesrat stellt sicher, dass Risiken unabhängig von der Möglichkeit der Einflussnahme auf die Eintrittswahrscheinlichkeit durch ihn, die Bundesversammlung oder eine Verwaltungseinheit ins Reporting aufgenommen werden.
Auch wenn die Eintrittswahrscheinlichkeit nicht beeinflusst werden kann, so ist über das Risikomanagement sicherzustellen, dass Massnahmen ergriffen werden, um den potentiellen Schaden einzugrenzen und auf das Minimum zu reduzieren.
3.3
Einheitliche Handhabung und Anwendung
Bei der Aussprache mit den Generalsekretärinnen, Generalsekretären und dem Vertreter der BK zur Behandlung des Risikoreportings 2016 fiel der Arbeitsgruppe Risikoreporting unter anderem auch auf, dass bei der Erfassung der Querschnittsrisiken in den verschiedenen Departementen noch keine einheitliche Praxis geschaffen werden konnte. Insbesondere wurde die Frage nach der Behandlung der einzelnen Quellrisiken42 der Querschnittsrisiken sehr uneinheitlich beantwortet. Es gibt nämlich Departemente, welche diese Quellrisiken als departementale Risiken weiter bewirtschaften und andere die dies nicht tun. Dies stellt unweigerlich die Frage danach, wie Quellrisiken bewirtschaftet werden, die im jeweiligen Departement nicht mehr geführt sind. Nach Kenntnis der Arbeitsgruppe wurde dieser Aspekt weder im Handbuch, noch in den Weisungen bzw. den Richtlinien geregelt.
41 42
Weisungen über die Risikopolitik des Bundes vom 24. Sept. 2010, BBl 2010 6549.
Siehe dazu Handbuch zum Risikomanagement, 21und 56: Ein Quellrisiko ist ein «Einzelrisiko, das mit anderen Risiken auf übergeordneter Ebene zu einem Querschnittsrisiko aggregiert wird.»
1469
BBl 2018
Empfehlung 6
Einheitlicher Umgang mit Quellrisiken
Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, dafür zu sorgen, dass die Departemente den Umgang mit Quellrisiken einheitlich regeln und praktizieren.
Zudem ist dieser Punkt auch im Handbuch zu ergänzen.
In der Diskussion zeigte sich, dass hierbei die Generalsekretärinnen und Generalsekretäre unterschiedliche Ansätze verfolgen. Es gilt diesen Prozess zu harmonisieren.
3.4
Krisenfrüherkennung
Die Arbeitsgruppe Risikoreporting der GPK interessiert sich unter anderem auch für die Krisenfrüherkennung des Bundesrates, da hier ein direkter Zusammenhang zum Risikoreporting besteht. Die für das Risikomanagement zentralen Aspekte der Krisenfrüherkennung werden von der Bundeskanzlei im Rahmen des Risikoreportings und des Risiko-Updates in den Prozess eingebracht. Obwohl das Risikoreporting nicht primär als Anwendungsbereich der Krisenfrüherkennung definiert wird, ist diese Schnittstelle offensichtlich. Die GPK begrüssen die bedarfsgerechte Aufnahme solcher Aspekte. Dies steigert die Qualität und die Breite des Risikoreportings zusätzlich, da gemäss den Angaben des Vertreters der Bundeskanzlei an den Sitzungen der Arbeitsgruppe Risikoreporting vom 28. April 2017 und vom 9. November 2017 eine zusätzliche Quelle ins Reporting Eingang findet.43
3.5
Eskalation eines Risikos an den Bundesrat
Das Thema der Bürgschaften für die Hochseeschifffahrt44 wurde im Rahmen der Anhörungen mit den Generalsekretärinnen und Generalsekretären ebenfalls eingehend thematisiert. Mitunter ist nicht klar ersichtlich, wieso das Risiko erst 2015 ins Risikoreporting zuhanden des Bundesrates aufgenommen wurde, wo die Krise doch bereits seit 2008 andauert. Das Risiko wurde demnach nicht wie im Handbuch gefordert45 frühzeitig erkannt, zumal es sich um eine langfristige Entwicklung handelt. Der Bundesrat beschäftigte sich im vergangenen Jahr mehrmals mit diesem Thema. Gemäss den Informationen der Bundespräsidentin stellt dieser Aspekt ein generelles Problem dar: Die Abwägung, ab wann ein Risiko an den Bundesrat eskaliert werden muss, sei oftmals eine schwierige Entscheidung.
43 44
45
Gemäss den Informationen der Bundeskanzlei handelt es sich hierbei um Quellen von externen Akteuren, die nicht in der Bundesverwaltung angesiedelt sind.
An dieser Stelle sei bemerkt, dass das Thema der Hochseeschifffahrts-Bürgschaften nicht weiter vertieft wird, da die GPK zu weiteren Abklärungen eine Arbeitsgruppe eingesetzt haben. Zudem wird sich diese Arbeitsgruppe auch mit den weiteren Bürgschaften und ähnlichen Verpflichtungen des Bundes beschäftigen. Die Inspektion bezweckt u.a. die daraus gewonnenen Erkenntnisse für das Risikoreporting zu bewerten.
Handbuch zum Risikomanagement, 17.
1470
BBl 2018
Empfehlung 7
Kriterien zur Eskalation an den Bundesrat
Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, jene Kriterien zu konkretisieren, nach denen bestimmt wird, wie und wann ein departementales Risiko an den Bundesrat eskaliert werden muss und demzufolge im Risikoreporting zuhanden des Bundesrates zwingend aufzuführen ist.
Wenn ein Risiko erst dann aufgenommen wird, wenn dessen Realisierung praktisch nicht mehr abzuwenden ist, ist dies zu spät.
3.6
Geschäftsbericht des Bundesrates
Der Geschäftsbericht des Bundesrates äussert sich nur marginal zum Risikoreporting.46 Die Arbeitsgruppe ist sich bewusst, dass dies in erster Linie den sensiblen Daten des Risikoreportings geschuldet ist, welche als vertraulich klassifiziert sind.
Dies führt aber wiederum dazu, dass nicht nachvollzogen werden kann, wie sich der Bundesrat mit dem Risikoreporting auseinandersetzt und ob allenfalls das Risikoreporting als solches aktiv als Führungsinstrument wahrgenommen und eingesetzt wird.
Es besteht ein öffentliches Interesse daran, dass der Bundesrat das Risikoreporting und Risikomanagement in geeigneter Form und allgemeiner Art und Weise in den Geschäftsbericht des Bundesrates integriert und eventuell gar gewisse im Geschäftsjahr speziell relevante Risiken herausgreift und erläutert.
4
Schluss und weiteres Vorgehen
Die Geschäftsprüfungskommissionen der eidgenössischen Räte begrüssen die bisherige Entwicklung des Risikoreportings und zeigen sich erfreut über die professionelle Arbeit, welche zur Erstellung des Risikoreportings zuhanden des Bundesrates betrieben wird.
Nichtsdestotrotz verbleibt in einigen Bereichen Verbesserungspotential, was nicht zuletzt auch am Beispiel der Bürgschaften für die Hochseeschiffe aufgezeigt werden konnte. Generell gibt es noch verschiedene Aspekte im Prozess des Risikoreportings, die bisher nicht vereinheitlicht wurden, bei denen die Departemente unterschiedliche Ansätze verfolgen (bspw. die Behandlung der Quellrisiken auf Stufe Departemente). Erwähnt sei an dieser Stelle unter anderem auch der (fehlende) Topdown-Ansatz, welcher bereits im ersten Bericht der GPK zum Risikoreporting zuhanden des Bundesrates im Jahr 2010 kritisiert wurde.
Bei der Beurteilung, ob ein gewisses Risiko ins Reporting aufgenommen wird oder nicht, dürfen die Gründe der fehlenden Ressourcen bzw. der fehlenden Möglichkeit zur politischen Einflussnahme keine Rolle spielen, da es sich hierbei unabhängig
46
Handbuch zum Risikomanagement, 39.
1471
BBl 2018
davon um Risiken für die Eidgenossenschaft handelt und damit im Risikoreporting aufgelistet sein müssen.
Neben den verschiedenen Empfehlungen fordert die Arbeitsgruppe den Bundesrat auch an verschiedenen Stellen auf, zu gewissen spezifischen Aspekten Stellung zu nehmen, ohne eine eigentliche Empfehlung abzugeben.
Die Geschäftsprüfungskommissionen ersuchen den Bundesrat, zu den Feststellungen und Empfehlungen dieses Berichts bis zum 29. März 2018 Stellung zu nehmen und ihnen mitzuteilen, mit welchen Massnahmen und bis wann er die Empfehlungen umsetzen will.
30. Januar 2018
Im Namen der Geschäftsprüfungskommissionen der eidgenössischen Räte Die Präsidentin der GPK-S: Ständerätin Anne Seydoux-Christe Die Präsidentin der GPK-N: Nationalrätin Doris Fiala Die Sekretärin der GPK: Beatrice Meli Andres Der Sekretär der Arbeitsgruppe Risikoreporting: Stefan Diezig
1472
BBl 2018
Abkürzungsverzeichnis BAFU
Bundesamt für Umwelt
BBl
Bundesblatt
BK
Bundeskanzlei
EDI
Eidgenössisches Departement des Innern
EFD
Eidgenössisches Finanzdepartement
EFV
Eidgenössische Finanzverwaltung
EVD
Eidgenössisches Volkswirtschaftsdepartement (heute WBF)
GPDel
Geschäftsprüfungsdelegation
GPK
Geschäftsprüfungskommissionen
GPK-N
Geschäftsprüfungskommission des Nationalrates
GPK-S
Geschäftsprüfungskommission des Ständerates
GSK
Generalsekretärenkonferenz
SV17
Steuervorlage 17
USR III
Unternehmenssteuerreform III
VBS
Eidgenössisches Departement für Verteidigung, Bevölkerungsschutz und Sport
WBF
Eidgenössisches Departement für Wirtschaft, Bildung und Forschung
1473
BBl 2018
1474