Risikoreporting zuhanden des Bundesrates ­ eine Bestandsaufnahme Bericht der Geschäftsprüfungskommissionen der eidgenössischen Räte vom 30. Januar 2018 Stellungnahme des Bundesrates vom 21. März 2018

Sehr geehrte Frau Kommissionspräsidentin Sehr geehrte Damen und Herren Zum Bericht der Geschäftsprüfungskommissionen vom 30. Januar 20181 betreffend das «Risikoreporting zuhanden des Bundesrates ­ eine Bestandsaufnahme» nehmen wir nach Artikel 158 des Parlamentsgesetzes nachfolgend Stellung.

Wir versichern Sie, sehr geehrte Frau Kommissionspräsidentin, sehr geehrte Damen und Herren, unserer vorzüglichen Hochachtung.

21. März 2018

Im Namen des Schweizerischen Bundesrates Der Bundespräsident: Alain Berset Der Bundeskanzler: Walter Thurnherr

1

BBl 2018 1457

2018-1013

2381

BBl 2018

Stellungnahme 1

Einleitung

Das Risikomanagement Bund hat sich seit seiner Einführung 2005 stetig weiterentwickelt. Im Jahre 2010 evaluierte die Arbeitsgruppe Risikoreporting der Geschäftsprüfungskommissionen (GPK) erstmals den Stand der Umsetzung des Risikomanagements in der Bundesverwaltung und formulierte in einem Bericht zuhanden des Bundesrates sechs Empfehlungen. Im Bericht vom 30. Januar 2018 präsentieren die GPK eine «Bestandsaufnahme» und bitten den Bundesrat, bis 29. März 2018 zu ihren Feststellungen und Empfehlungen Stellung zu nehmen. Die vorliegende Stellungnahme folgt der Struktur dieses GPK-Berichts.

Der Bundesrat ist mit den vorliegenden Verbesserungsvorschlägen weitgehend einverstanden und anerkennt die aufmerksame Begleitung und Unterstützung des Risikomanagements durch die GPK.

2

Umsetzung der Empfehlungen aus dem Bericht 2010

Top-down-Ansatz und Querschnittsfunktion der Koordinationsstelle Risikomanagement Bund Die GPK weisen, wie schon in ihrem Bericht von 2010, darauf hin, dass im Risikomanagement der Bottom-up-Ansatz mit einem Top-down-Ansatz ergänzt werden muss. Sie unterscheiden beim Top-down-Ansatz zwei Aspekte: Einerseits muss die Führung sicherstellen, dass ihr das Risikoreporting alle Informationen zur Verfügung stellt, die sie für ihre Entscheidungsfindung benötigt. Andererseits wird von der Führung verlangt, dass sie nicht nur bottom-up gemeldete Risiken überprüft, sondern dass sie ein eigenes «Monitoring» spezifischer Risiken betreibt und auch allfällige Lücken kritisch hinterfragt. Nur so könne das Risikomanagement als wirksames Steuerungsinstrument verwendet werden.

Im Risikoreporting-Prozess kommen der Generalsekretärenkonferenz (GSK), als dem Bundesrat vorgelagertes Gremium, und der Koordinationsstelle Risikomanagement Bund in der Eidgenössischen Finanzverwaltung (EFV) entscheidende Topdown-Aufgaben zu. Zweimal im Jahr befasst sich die GSK intensiv mit den Risiken des Bundes. Sie überprüft deren Beschreibung und Bewertung und ordnet nötigenfalls Korrekturen an. Ausserdem ist sie zuständig für die Konsolidierung der Querschnittsrisiken und nimmt im Sinne des von den GPK erwähnten Monitorings auch eine Vollständigkeitsprüfung vor. Die Aufbereitung der Entscheidungsgrundlagen für die GSK erfolgt durch die Koordinationsstelle in der EFV. Diese wurde 2010 um eine Vollzeitstelle (Koordinator Risikomanagement) aufgestockt. Gegenüber den Departementen und der Bundeskanzlei hat die Koordinationsstelle zwar kein materielles Weisungsrecht, sie setzt aber die methodischen Vorgaben und kontrolliert deren Umsetzung.

2382

BBl 2018

Entsprechend dem Kollegial- und Departementalprinzip2 sind Aufgaben, Kompetenzen und Verantwortung in der Bundesverwaltung dezentralisiert. Der Bundesrat hält deshalb auch für das Risikomanagement Bund am Konzept der dezentralen Umsetzung fest. Es ist unerlässlich, dass die Departemente und die Bundeskanzlei bzw.

ihre Verwaltungseinheiten die Verantwortung für ihre Risiken selber tragen, dass diese Verantwortung also nicht an ein Kompetenzzentrum delegiert wird. Das steigert im Übrigen auch die Akzeptanz des Risikomanagements als Führungs- und Steuerungsinstrument.

Die dezentrale Organisation steht allerdings in einem Spannungsverhältnis zu den Erfordernissen der Wirtschaftlichkeit, der Konsistenz und der Transparenz. Für die fachliche Führung des Risikomanagements Bund braucht es daher eine starke und kompetente Koordinationsstelle. Durch die stetige Weiterentwicklung der Arbeitsinstrumente werden die Methodik und die Leitplanken für die Umsetzung des Risikomanagements gefestigt. Die Koordinationsstelle Risikomanagement in der EFV hat bei der Bewältigung dieser Herausforderung die Rückendeckung der GSK und des Bundesrates.

Schliesslich hält der Bundesrat fest, dass das Fallbeispiel «Risiko Hochseeschifffahrt» kein Indiz liefert für eine mangelhafte Top-down-Steuerung: Das Risiko wurde bereits im Jahr 2004 vom zuständigen Bundesamt identifiziert und seither regelmässig aktualisiert. Dem Problem liegt nicht ein systemischer Mangel im Risikomanagement Bund zugrunde, sondern eine Unterschätzung des Risikopotenzials.

Nicht-finanzielle Risiken: Auswirkungsdimensionen Empfehlung 1

Auflistung aller Auswirkungen

Der Bundesrat sorgt dafür, dass die verschiedenen Kategorien der Auswirkungen (finanzielle Auswirkungen, Personenschäden, Beeinträchtigung der Reputation, Beeinträchtigung der Geschäftsprozesse und die Auswirkungen auf die Umwelt) bei der an ihn gerichteten Risikoanalyse aufgelistet werden. Das Ziel besteht darin, dass die Departemente, Bundesämter und weitere Einheiten diese Analyse der Auswirkungen einheitlich, transparent und ganzheitlich auf dem Risikoblatt festhalten.

Auch wenn eine Dimension der Auswirkung in einem konkreten Fall gar nicht betroffen ist, ist dies kurz festzuhalten.

Der Bundesrat stimmt der Empfehlung zu. Im Risikoreporting 2017 wurde sie bereits weitgehend umgesetzt.

Jedes Risiko wird aufgrund seiner Eintrittswahrscheinlichkeit und seiner potenziellen Auswirkungen bewertet. Bei letzteren werden im Risikomanagement Bund fünf Auswirkungsdimensionen unterschieden: Die finanziellen Auswirkungen, die Personenschäden, die Auswirkungen auf die Reputation des Bundes, auf die Geschäftsprozesse und auf die Umwelt. Es ist wichtig, dass jede Auswirkungsdimension geprüft und dass das Ergebnis der Prüfungen im Risikoblatt transparent ausgewiesen wird.

2

Vgl. Art. 177 und 178 Abs. 2 Bundesverfassung (SR 101)

2383

BBl 2018

Gleiches Instrument für alle Alle Departemente und die Bundeskanzlei benutzen für das Risikoreporting zuhanden des Bundesrates die gleiche Informatikanwendung. Für verwandte Managementsysteme (IKS, Projekt-, Qualitäts- und Sicherheitsmanagement usw.) kommen in der Bundesverwaltung andere Anwendungen zum Einsatz.

Fehlende Rückmeldungen Die Risikomanagerinnen und Risikomanager der Departemente und der Bundeskanzlei werden durch die Koordinationsstelle Risikomanagement Bund jeweils rasch und möglichst vollständig über die Diskussionen und Entscheide in der GSK, im Bundesrat und in der Sitzung der GPK-Arbeitsgruppe Risikoreporting orientiert.

Zwecks Stärkung der Informationsflüsse im Risikomanagement werden diese Rückmeldungen ab 2018 auch den Risikocoaches präsentiert, dies im Rahmen eines Informationsanlasses pro Departement.

3

Aktuelle Herausforderungen

Aktualisieren der Risikoblätter Empfehlung 2

Die Risiken werden jährlich aktualisiert

Der Bundesrat ergreift die notwendigen Massnahmen, damit sichergestellt ist, dass die Generalsekretariate, die Departemente bzw. die Bundesämter die Risiken jährlich aktualisieren und die neusten Daten und Informationen auf die Risikoblätter übernommen werden. Das Risiko ist jeweils aufgrund der neusten Entwicklungen einzustufen. Dazu gehört auch die Pflicht ­ falls notwendig ­ jährlich die entsprechenden Daten zu beschaffen und aufzubereiten.

Der Bundesrat ist mit der Empfehlung 2 der GPK einverstanden.

Nach den methodischen Vorgaben der Koordinationsstelle Risikomanagement Bund müssen im Rahmen des Risikoreportings alle Risiken des Bundes mindestens einmal im Jahr auf den aktuellen Stand gebracht werden. Zu überprüfen sind dabei vor allem der Risikobeschrieb (Anpassung an ein allenfalls verändertes Umfeld), das Credible-worst-case-Szenario (Berücksichtigung von Verschiebungen bei Risikoursachen und Schadenpotenzial), die Risikobewertung (Bewertung aller Auswirkungsdimensionen und der Eintrittswahrscheinlichkeit aufgrund des aktuellen Szenarios) und der Stand der Umsetzung der Massnahmen zur Risikoverminderung bzw. zur Schadenminimierung.

2384

BBl 2018

Indikatoren der Eintrittswahrscheinlichkeit Empfehlung 3

Indikatoren der Eintrittswahrscheinlichkeit

Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, für die verschiedenen Risiken griffigere Indikatoren zu formulieren, anhand derer die Eintrittswahrscheinlichkeit eines Risikos zu bestimmen ist.

Zudem ist die Einschätzung der Eintrittswahrscheinlichkeit auf dem jeweiligen Risikoblatt auszuweisen und kurz zu begründen.

Der Bundesrat teilt die Einschätzung der GPK, dass griffige Indikatoren wichtig sind für eine zuverlässige Bewertung der Risiken. Sie dienen als Grundlage für eine rational geleitete Einstufung sowie eine möglichst einheitliche Risikobewertung, was eine wichtige Voraussetzung ist für die Vergleichbarkeit und die Priorisierung der einzelnen Risiken. Aus diesem Grund wurde die qualitative Bewertungsmatrix mit Referenzwerten parametrisiert: zum einen bei den Auswirkungen mit quantitativen Angaben zur Bemessung der Schadensklassen für jede der fünf Auswirkungsdimensionen, zum anderen bei der Eintrittswahrscheinlichkeit mit Prozentwerten bzw. mit Häufigkeiten je Zeitabschnitt.

Eine weitergehende Konkretisierung dieser Indikatoren für die Eintrittswahrscheinlichkeit hält der Bundesrat nicht für zweckmässig: Bei einem Grossteil der Bundesrisiken, insbesondere bei den strategischen Risiken, handelt es sich um singuläre Fälle. Aus diesem Grund arbeitet das Risikomanagement Bund mit der qualitativen Szenariotechnik, in deren Zentrum ein «Credible-worst-case»-Szenario steht, auf das sich die Bewertung bezieht. Für solche Szenarien sind keine standardisierten Erfahrungswerte denkbar.

Eine rationale und homogene Risikobewertung, auf welche die Empfehlung der GPK abzielt, kann insbesondere mit zwei Massnahmen unterstützt werden: Erstens soll eine Bewertung soweit möglich und sinnvoll mit empirischen Erkenntnissen aus verwandten Fällen plausibilisiert und/oder mit einer angemessenen Analyse unter Einbezug von Expertenwissen und Fachstatistiken untermauert werden. Zweitens sollen diese Bewertungsgrundlagen als fester Bestandteil des Risikobeschriebs kurz erläutert werden. Dies ermöglicht es, die Bewertung inhaltlich zu erschliessen, sie für Kritik sowie Vergleiche mit anderen Risiken zugänglich zu machen und die Risiken schliesslich in der Riskmap plausibel einzuordnen. Der Bundesrat misst diesem Aspekt bereits heute grosse Bedeutung bei und wird den zweiten Teil der Empfehlung systematisch weiterverfolgen.

2385

BBl 2018

Fehlende Möglichkeit der Einflussnahme als risikoausschliessendes Element Empfehlung 4

Finanzielle Ressourcen

Der Bundesrat stellt sicher, dass die Erfassung eines Risikos nicht von den finanziellen Ressourcen abhängig gemacht wird, die einer Verwaltungseinheit zur Verfügung stehen.

Es handelt sich um eine Führungsaufgabe, die Ressourcen so einzusetzen, dass den bedeutenden Risiken im Rahmen der erhaltenen Mittel gebührend Rechnung getragen werden kann.

Der Bundesrat ist mit der Empfehlung einverstanden. Ein Verzicht auf die Erfassung von Risiken aufgrund «fehlender finanzieller Ressourcen» zu deren Verminderung kommt schon aufgrund der Vorgaben in der Risikopolitik des Bundesrates3 nicht in Frage. Die bewusste Vernachlässigung eines erkannten Risikos würde auch den grundlegenden Regierungsobliegenheiten des Bundesrats zuwiderlaufen.

Aus Sicht des Bundesrates bergen die Ausführungen im Bericht der GPK allerdings gewisse Mehrdeutigkeiten, die Anlass zu Missverständnissen geben könnten. Er legt daher Wert darauf, Folgendes klarzustellen: Der Bundesrat begrüsst und teilt die Einschätzung der GPK, wonach knappe finanzielle Ressourcen für die Aufgabenerfüllung grundsätzlich kein Risiko begründen können4 und das Risikomanagement nicht für budgetäre Fragen instrumentalisiert werden darf. Die Haltung der GPK trägt zur Klarheit bei und bestärkt Bundesrat, GSK sowie das Risikomanagement Bund in Methodik (Handbuch) und geltender Praxis.

Wie im Bericht der GPK festgestellt, führte das VBS seit 2013 unter wechselndem Titel ein Risiko betreffend die Aufgabenerfüllung im Bereich Schutz des Landes und der Bevölkerung. Der Bundesrat hält fest, dass im Ursachenkatalog des thematisch breit angelegten Risikos mangelnde finanzielle Ressourcen jeweils prominent aufgeführt wurden. In der Folge wies die GSK Anfang 2017 das Risiko an das VBS zurück, damit es thematisch entflochten und um das Element mangelnder Ressourcen bereinigt werde. Im Auftrag des Bundesrates hat das VBS das Risiko für das Update 2017 gestrafft und bereinigt. Dabei stand aber zu keinem Zeitpunkt zur Diskussion, das Risiko in seiner Gesamtheit aus dem Portfolio der Kernrisiken zu streichen.

3 4

Weisungen des Bundesrats vom 24. September 2010 über die Risikopolitik des Bundes (hiernach: Weisungen Risikopolitik); BBl 2010 6549.

«Entscheide des Parlaments und deren Konsequenzen ­ auch im Finanzbereich ­ sind vom Bundesrat und der Verwaltung zu tragen und umzusetzen.» (Bericht GPK, Ziff. 3.2.1, am Schluss).

2386

BBl 2018

Empfehlung 5

Fehlende Möglichkeit der politischen Einflussnahme

Der Bundesrat stellt sicher, dass Risiken unabhängig von der Möglichkeit der Einflussnahme auf die Eintrittswahrscheinlichkeit durch ihn, die Bundesversammlung oder eine Verwaltungseinheit ins Reporting aufgenommen werden.

Auch wenn die Eintrittswahrscheinlichkeit nicht beeinflusst werden kann, so ist über das Risikomanagement sicherzustellen, dass Massnahmen ergriffen werden, um den potentiellen Schaden einzugrenzen und auf das Minimum zu reduzieren.

Der Bundesrat ist mit der Empfehlung im Wesentlichen einverstanden. Gemäss Risikodefinition5 identifiziert und bewirtschaftet das Risikomanagement Bund alle Ereignisse und Entwicklungen, die mit einer gewissen Wahrscheinlichkeit eintreten und wesentliche Auswirkungen auf die Erreichung der Ziele und die Erfüllung der Aufgaben der Bundesverwaltung haben. Dabei zielen die Massnahmen immer darauf ab, die Eintrittswahrscheinlichkeit oder das potenzielle Schadenausmass oder beides zu reduzieren. Wo die Eintrittswahrscheinlichkeit nicht gesteuert werden kann (z. B.

im Fall des Ausbruchs einer Pandemie), fokussiert das Risikomanagement auf Massnahmen zur Schadensbegrenzung (Notfall-, Krisen- und Kontinuitätsmanagement). Dass ein Risiko nicht erfasst würde, weil die Eintrittswahrscheinlichkeit durch den Bundesrat oder durch dessen Verwaltungseinheiten nicht beeinflusst werden kann, entspricht keinesfalls der Regel.

Gestützt darauf erachtet der Bundesrat das im Bericht der GPK angeführte Fallbeispiel ­ die Desaktivierung des Risikos zur Unternehmenssteuerreform III nach Verabschiedung der Vorlage durch das Parlament ­ als Ausnahme, für die sich die risikoführende Stelle mit guten Gründen entschied: Im Hinblick auf die Eintrittswahrscheinlichkeit bestanden ­ wie die GPK festhalten ­ zwar gewisse Einflussmöglichkeiten; diese sind aber für den Bundesrat und erst recht für die Bundesverwaltung politisch und rechtlich eng begrenzt und beschränken sich auf die in jeder Volksabstimmung üblichen Informationsinstrumente (Abstimmungsbüchlein, Faktenblätter auf der Website der zuständigen Verwaltungseinheiten, Medienauftritte des federführenden Mitglieds des Bundesrats). Ebenso existierten ­ mit Blick auf die Bewältigung der Auswirkungen ­ Ideenskizzen für den Fall einer Ablehnung der Vorlage. Aus Sicht des Bundesrats ist das Risikomanagement aber nicht das geeignete
Instrument zur Bewirtschaftung solcher Massnahmen. Dass der Bundesrat die Grundsätze des Risikomanagements aber ernst nimmt, hat er mit der umgehenden Erfassung eines Risikos zum Folgeprojekt «Steuervorlage 2017» gezeigt.

Im Weiteren unterstreicht der Bundesrat die Feststellung der GPK, dass Volksentscheide ­ aus Sicht des Bundesrats auch Parlamentsentscheide ­ nicht als Risiken verstanden werden dürfen. Dass bisherige gesetzlich verankerte Ziele durch neue Ziele ersetzt werden, gehört zum politischen Prozess, und neue Rahmenbedingungen sind für alle Akteure des Bundes, auch für das Risikomanagement, bindend. Daraus hervorgehende Ziel- und Normenkonflikte sind strategische Herausforderungen, die

5

Ziff. 2 Abs. 1 Weisungen Risikopolitik

2387

BBl 2018

nur dann ein Risiko begründen können, wenn sie wesentliche Auswirkungen auf die Aufgabenerfüllung der Bundesverwaltung haben.

Querschnittsrisiken und Quellrisiken: Einheitliche Handhabung Empfehlung 6

Einheitlicher Umgang mit Quellrisiken

Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, dafür zu sorgen, dass die Departemente den Umgang mit Quellrisiken einheitlich regeln und praktizieren.

Zudem ist dieser Punkt auch im Handbuch zu ergänzen.

Der Bundesrat ist mit der Empfehlung grundsätzlich einverstanden; eine einheitliche Regelung und Praxis ist aber aus seiner Sicht bereits heute weitgehend realisiert.

Unter Quellrisiken versteht man Einzelrisiken, die auf übergeordneter Ebene zu einem Querschnittsrisiko aggregiert werden6. Eine Aggregierung kann namentlich dann angezeigt sein, wenn über die ganze Bundesverwaltung mehrere gleiche oder ähnliche Risiken identifiziert werden oder ein identifiziertes Risiko mehrere Verwaltungseinheiten betrifft. Die zentrale Bewirtschaftung dieser Einzelrisiken dient primär folgenden Zwecken: (1) Die Bedeutung eines Risikos bzw. der Handlungsbedarf wird erst aus einer Gesamtsicht auf übergeordneter Stufe sichtbar; (2) das Risiko kann mit zentral gesteuerten Massnahmen effizienter bewirtschaftet werden (Skaleneffekte) und die erforderlichen Mittel können gezielter eingesetzt werden; (3) Wechselwirkungen und Schnittstellen können besser erkannt und analysiert werden.

Im Risikomanagement Bund unterscheidet sich der Umgang mit Quellrisiken zunächst nicht von anderen Einzelrisiken: Sie werden im Rahmen der dezentralen Organisation von der zuständigen Verwaltungseinheit identifiziert, beschrieben und bewertet. Ob nun ein Quellrisiko als Kernrisiko des Departements gemeldet wird, hängt von seiner Bewertung ab. Eine Meldung als Kernrisiko ist nur dann zwingend, wenn das Quellrisiko über der Schwelle der Bundesratsrisiken eingestuft ist.

Zwei Besonderheiten von Quellrisiken sind indes hervorzuheben: Erstens wird auf Stufe Bund jedes Querschnittsrisiko zusammen mit seinen Quellrisiken dargestellt.

Zweitens finden im Rahmen des Reportings zu allen Querschnittsrisiken Koordinationssitzungen statt, bei denen die zuständigen Verwaltungseinheiten die Risikoentwicklung und die Massnahmen bei den einzelnen Quellrisiken sowie die Bewertung des übergeordneten Querschnittsrisikos zusammen mit der Koordinationsstelle Risikomanagement erörtern.

6

Handbuch zum Risikomanagement Bund, Anhang 1 (Begriffsdefinitionen)

2388

BBl 2018

Eskalation eines Risikos an den Bundesrat Empfehlung 7

Kriterien zur Eskalation an den Bundesrat

Die Geschäftsprüfungskommissionen fordern den Bundesrat auf, jene Kriterien zu konkretisieren, nach denen bestimmt wird, wie und wann ein departementales Risiko an den Bundesrat eskaliert werden muss und demzufolge im Risikoreporting zuhanden des Bundesrates zwingend aufzuführen ist.

Der Bundesrat ist mit der Empfehlung im Grundsatz einverstanden. Allerdings ist er der Auffassung, dass geeignete Eskalationskriterien bereits heute definiert und in die Praxis umgesetzt sind.

Im Risikomanagement Bund wird unterschieden zwischen einer ordentlichen und einer ausserordentlichen Risikomeldung der Departemente an den Bundesrat. Die ordentliche Meldung erfolgt im Rahmen des jährlichen Reportings sowie des unterjährigen Risiko-Updates. Die Meldepflicht an den Bundesrat ergibt sich aufgrund der Risikobewertung: Werden die Eintrittswahrscheinlichkeit und die potenziellen Auswirkungen (finanzielle Auswirkungen sowie Schäden mit Blick auf Personen, Reputation, Geschäftsprozesse und Umwelt) über dem Schwellenwert der Bundesratsrisiken eingestuft, erfolgt zwingend eine Meldung an den Bundesrat. Darüber hinaus erstatten jedes Departement sowie die Bundeskanzlei zumindest über ihre drei grössten Risiken Bericht (Kernrisiken).

Bei einer ausserordentlichen Risikosituation informieren die Departemente und die Bundeskanzlei den Bundesrat «umgehend»7. Die Begriffe «ausserordentlich» und «umgehend» sind nach Auffassung des Bundesrates hinreichend klar. Sie müssen anhand der Risikobewertungskriterien (Eintrittswahrscheinlichkeit, fünf Auswirkungsdimensionen) ausgelegt werden: Je grösser das Schadenpotenzial und je immanenter das Schadenereignis, umso eher hat eine Meldung an den Bundesrat zu erfolgen.

Aus Sicht des Bundesrates ist das Fallbeispiel «Hochseeschiffe» kein Indiz für das Fehlen von Eskalationskriterien. Die Bewertungen der Eintrittswahrscheinlichkeit und der möglichen Auswirkungen des sich aus den Bürgschaftsverpflichtungen für den Bund ergebenden Risikos gaben nach den geltenden Eskalationskriterien keinen Anlass zu einer Risikomeldung an den Bundesrat. Im konkreten Fall bestand das Problem in der Einschätzung des Risikos.

7

Vgl. Ziff. 5 Abs. 4 Bst. d Weisungen Risikopolitik

2389

BBl 2018

2390