3.10.1 Definition und Zielsetzung

Unter einem Risiko (im engeren Sinne) ist ein eventuelles, hinsichtlich seiner Eintrittswahrscheinlichkeit und Auswirkung bewertetes, zukünftiges Ereignis zu verstehen, das einen negativen Einfluss auf eine Organisation und ihre Handlungen hat. Nach Eintritt eines Risikos erfolgt somit eine negative Abweichung vom Soll-Zustand.

Zu unterscheiden sind zwei Risikokategorien. Das Risiko im engeren Sinne bezeichnet eine ungünstige Entwicklung (z. B. Verlustgefahr, Gefahr der Nichterreichung von Zielen). Das Risiko im weiteren Sinne gibt die mögliche Abweichung eines Ereignisses vom Erwartungswert an und schließt damit auch Chancen mit ein (vgl. Abbildung 1)[1]. Eine Chance stellt eine für eine Organisation günstige (positive) Entwicklung dar und sollte somit von der Organisation genutzt werden, um ihren Erfolg zu sichern.

_{Abbildung 1: Der Risikobegriff im engeren und weiteren Sinne[2]}

Der Begriff des Risikos ist vom Begriff der „Krise“ zu unterscheiden. Eine Krise wird definiert als „ernsthafte Bedrohung der Grundstrukturen oder der Grundwerte und -normen eines Sozialsystems, die – unter Zeitdruck und unsicheren Umständen – kritische Entscheidungen erfordert“ [3].

Bei jedem Risiko besteht die Möglichkeit, dass es tatsächlich eintritt. Viele Risiken können sich zu einer Krise entwickeln.

Das Risikomanagement beinhaltet die Gesamtheit der organisationsweiten Maßnahmen und Prozesse, die das Ziel der Identifikation, Beurteilung, Steuerung und Überwachung von Risiken haben.[4]

Das Ziel des Risikomanagements ist es nicht, Risiken zu vermeiden, sondern ein Risikobewusstsein sowie Möglichkeiten zur Risikominimierung zu schaffen!

Das aktive Management der bestehenden Risiken und Chancen gilt sowohl für Behörden als auch für privatwirtschaftliche Unternehmen als Grundlage und Voraussetzung für die Zukunftsfähigkeit der Organisation. Strategisch betrachtet dient das Risikomanagement dazu, Risiko-Potentiale, die das Erreichen der Organisationsziele gefährden können, der Führung transparent zu machen, zu bewerten und damit die Steuerbarkeit der Organisation zu erhöhen.

3.10.2 Risikoarten einer Behörde

Die Risiken einer Behörde sind vielfältig. Je nach Auftrag der Behörde können unterschiedliche Risikokategorien stärker oder schwächer ausgeprägt sein. Risiken können in Bezug auf die Möglichkeit ihres aktiven Managements in folgende drei Grundkategorien eingeteilt werden:[5]

• Institutionelle Risiken: Das sind Risiken, die eine Behörde durch eigene Entscheidungen aktiv beeinflussen kann und die dadurch in der Regel gut kontrollierbar sind. Ein Beispiel für diese Risikokategorie sind Vermögensrisiken einer Behörde.

• Systemrisiken: Darunter werden Risiken für das politisch-administrative System als Ganzes verstanden, die dessen Funktions- und Leistungsfähigkeit beeinflussen. Sie sind von einer einzelnen Behörde nur bedingt steuerbar. Als Beispiel kann hier ein Akzeptanzverlust von Politik und Verwaltung genannt werden.

• Gesellschaftliche Risiken: Darunter versteht man Risiken für Individuen, Gruppen, die Gesellschaft oder die Welt als Folgewirkung von Entscheidungen oder Handlungen Dritter, die von einer Behörde in der Regel nicht beeinflusst werden können, mit denen sie aber umgehen muss. Beispiele sind die Klimaveränderung oder die demografische Entwicklung.

Institutionelle Risiken, also diejenigen Risiken, die von einer Behörde aktiv beeinflusst werden können, lassen sich in folgende Teilkategorien einteilen:[6]

• Strategische Risiken: Sie bergen die Gefahr, dass die Behörde ihren (gesetzlichen) Auftrag und die damit verbundenen langfristigen Ziele dauerhaft kaum oder nicht ausreichend erfüllen kann.[7] Unter strategische Risiken fallen z. B. die langfristige Anerkennung der Relevanz einer Behörde durch Politik und Öffentlichkeit oder die Bereitstellung qualitativ hochwertigerer Dienstleistungen durch andere Behörden oder private Anbieter, die die Existenz einer Behörde mittel- oder langfristig gefährden können. Darunter fällt auch das Reputationsrisiko[8] , also die Gefahr, dass Ruf und Akzeptanz einer Organisation geschädigt werden.

• Finanzielle Risiken betreffen die haushälterische Situation einer Behörde. Die Gefahr einer Insolvenz ist für öffentliche Organisationen zwar nicht von Bedeutung, da diese durch öffentliche Mittel finanziert werden. Dennoch können Kürzungen bei den Budgetzuweisungen oder Eingriffe in die Gebühren- und Preispolitik der Behörde, die Bereitstellung aller von der Behörde angestrebten Leistungen erschweren oder unmöglich machen.

• Operationelle Risiken beinhalten die Gefahr von unmittelbaren oder mittelbaren negativen Auswirkungen, z. B. auf finanzielle Mittel, die Funktionsfähigkeit, Zielerreichung oder das Ansehen der Behörde. Diese treten infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen ein. Dazu zählen auch Rechtsrisiken.[9]

3.10.2.1 Das Risiko der Korruption

Korruption ist ein Risiko, mit dem sich jede Organisation der öffentlichen Verwaltung auseinandersetzen muss, denn Korruption beeinträchtigt das Vertrauen der Bürgerinnen und Bürger in die Integrität der Verwaltung (Unabhängigkeit, Unbestechlichkeit und Handlungsfähigkeit des Staates). Ziel der Verwaltung ist es, nicht nur aufgetretene Korruptionsverdachtsfälle konsequent zu verfolgen (Korruptionsbekämpfung), sondern mit Hilfe vorbeugender Maßnahmen Korruption effektiv entgegenzuwirken (Korruptionsprävention).

Für die Bundesverwaltung hat die Bundesregierung dazu eine Richtlinie erlassen[10]. Diese enthält als Anlagen einen Verhaltenskodex gegen Korruption sowie einen Leitfaden für Vorgesetzte und Behördenleitungen. Der Verhaltenskodex richtet sich an die Beschäftigten und erläutert diesen die Grundsätze für transparentes und integres Verhalten. Der Leitfaden zeigt den Vorgesetzten und den Behördenleitungen auf, welche Maßnahmen einzuhalten sind, um das Korruptionsrisiko in ihren Einflussbereichen zu minimieren.

Zur Umsetzung der Richtlinie hat das Bundesministerium des Innern und Heimat (BMI) Empfehlungen in Form einer nicht verbindlichen Umsetzungshilfe veröffentlicht[11] . Außerdem wird die Broschüre „Regelungen zur Integrität“ als Download zur Verfügung gestellt. Sie enthält die genannte Richtlinie, die Umsetzungshilfe, ein Rundschreiben zum Verbot der Annahme von Belohnungen oder Geschenken in der Bundesverwaltung und die „Allgemeine Verwaltungsvorschrift zur Förderung von Tätigkeiten des Bundes durch Leistungen Privater “(VV-Sponsoring)“ [12].

Ein Kernelement der Korruptionsprävention ist zunächst die Feststellung der besonders korruptionsgefährdeten Arbeitsgebiete. Da hierbei von einem abstrakten Risiko ausgegangen wird, ist eine Risikoanalyse in den identifizierten Bereichen unabdingbar. In den Empfehlungen zur Korruptionsprävention in der Bundesverwaltung wird dazu ausgeführt, dass bei der Risikoanalyse für das jeweilige Arbeitsgebiet die einzelnen Arbeitsabläufe und Prozesse sowie die bestehenden Sicherungen im Hinblick auf das Korruptionsrisiko untersucht werden. Anschließend wird bewertet, ob für die Risiken in dem notwendigen Maße wirksame Sicherungen bestehen. Sofern die festgestellten Sicherungsmaßnahmen ein konkretes Korruptionsrisiko in bestimmten Aufgabengebieten nahezu ausschließen, erscheint es sachgerecht, sich im Weiteren auf die Bereiche mit einem weiterhin konkreten Korruptionsrisiko zu konzentrieren.

Als ein Instrument sieht die Richtlinie die Bestellung einer Ansprechperson für Korruptionsprävention als ersten Ansprechpartner für die Beschäftigten vor. Diese Person kann bei konkreten Bezügen zu der jeweiligen Behörde auch von Bürgerinnen und Bürgern kontaktiert werden. Da Hinweisgeber häufig mögliche Nachteile für ihre Person bei Weitergabe ihres Wissens fürchten, kann ergänzend die Berufung externer Ombudspersonen gegen Korruption, meist in Anwaltskanzleien, hilfreich sein.

Wichtig ist, dass Korruptionsprävention Aufgabe jedes und jeder Beschäftigten und jeder Führungskraft ist. Die Prävention und Sensibilisierung ist dann am wirksamsten, wenn sie in der örtlichen, sachlichen und zeitlichen Nähe zu der jeweiligen Aufgabenwahrnehmung erfolgt.

3.10.2.2 Das Risiko mangelnder IT-Sicherheit

Mit zunehmender Digitalisierung und Vernetzung in allen Bereichen der Bundesverwaltung kommt der Informationssicherheit eine immer größere Bedeutung zu. Die dabei zum Einsatz kommenden Informations- und Kommunikationssysteme sowie die jeweiligen dienstlichen Informationen sind ihrem Schutzbedarf entsprechend zu härten und gegen unbefugte Zugriffe zu schützen. Bei einem Mangel an Informationssicherheit kann es schnell z. B. zu einer Beeinträchtigung der Aufgabenerfüllung, zu einem ungewollten Datenabfluss oder zu einem Imageschaden für die Behörde kommen. Zur Vermeidung dieser oder weiterer Schäden ist es eine wesentliche Aufgabe des Informationssicherheitsmanagements, Sicherheitsrisiken zu erkennen und einzuschätzen. Diese Sicherheitsrisiken sind durch die Umsetzung entsprechender Sicherheitsmaßnahmen auf ein tragbares Maß zu reduzieren.

Zur Durchführung einer Risikoanalyse liefert der BSI-Standard 200-3 wertvolle Hinweise und stellt ein leicht anzuwendendes Vorgehen bereit, mit dem Informationssicherheitsrisiken angemessen gesteuert werden können und ergänzt somit ein bestehendes IT-Grundschutz-Sicherheitskonzept[13] .

In den weiteren BSI-Standards werden Methoden und Vorgehensweisen zu Themen der Informationssicherheit behandelt. Der BSI-Standard 200-1 beschreibt allgemeine Anforderungen an ein Managementsystem für Informationssicherheit (ISMS)[14] , welches mit den Hinweisen aus dem BSI-Standard 200-2 zur IT-Grundschutz-Methodik aufgebaut werden kann.[15] Konkretisiert werden die Anforderungen zur Informationssicherheit im IT-Grundschutz-Kompendium[16] .

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) (o.D.) bietet folgende Online-Lerneinheit zum Thema an: IT Grundschutz. Lerneinheit 7.7: Risiken bewerten, (Stand: 25.03.2019): https://www.bsi.bund.de/...

3.10.3 Relevante Normen, Vorgaben und Rahmenkonzepte

Zur Einführung und Nutzung eines Risikomanagements gibt es für die Bundesverwaltung insgesamt keine allgemein gültigen Vorgaben. Die im Folgenden skizzierten Ansätze werden in der Praxis als Grundlagen eines behördenspezifischen Risikomanagements genutzt.

3.10.3.1 Modell des Bundesrechnungshofes

verweist auf: Literaturverzeichnis

Der Bundesrechnungshof (BRH) hat 2017 ein „Modell eines Risikomanagements für die Bundesverwaltung“ veröffentlicht. Dieses Modell ist als Vorschlag zu sehen und hat keinen verbindlichen Charakter. Es beschreibt einen systematischen Ansatz, wie Behörden ihre Risiken identifizieren sowie diese in ihren Kontroll- und Steuerungsinstrumenten abbilden können. Auf der Basis einer Ist-Darstellung von Risiken sollen ein Soll-Zustand definiert und Handlungsbedarfe abgeleitet werden. Der Vorschlag des Bundesrechnungshofes beinhaltet eine Risiko-Instrumente-Matrix, in der Risikoarten mit Instrumenten und Funktionen der Kontrolle und Steuerung verknüpft werden.[17]

In der Matrix werden potenzielle behördliche Risiken in insgesamt 12 Themenblöcke gebündelt, z. B. Finanzen, Strategie, inhaltlich-operative Aufgabenerledigung und Personal. Zu jedem Themenblock werden konkrete potenzielle Risiken benannt. Im Themenblock „Strategie“ sind dies: Defizite bei den strategischen Entscheidungsprozessen, mangelhafte Umsetzung der gewählten Strategie und unvorhergesehene Diskontinuität externer Faktoren. Bei der inhaltlich-operativen Aufgabenerledigung werden Risiken in den Verwaltungsprozessen und Projektrisiken genannt.

Auf der zweiten Achse der Matrix werden eine Fülle von Instrumenten und Funktionen zusammengestellt, die Behörden zur Steuerung und Kontrolle ihres Handelns einsetzen können. Der BRH weist ausdrücklich darauf hin, dass weder die aufgeführten potenziellen behördlichen Risiken noch die genannten Instrumente und Funktionen für ihre Steuerung als abschließende Aufzählung zu verstehen sind. Sie wurden aus der behördlichen Praxis zusammengetragen und können hilfreich bei der Einführung und Implementierung eines behördenspezifischen Risikomanagements sein.

3.10.3.2 DIN ISO 31000: Risikomanagement-Leitlinien

verweist auf: Literaturverzeichnis

Die Norm[18] beinhaltet Richtlinien sowie Grundsätze, Rahmenbedingungen und einen Prozess für das Risikomanagement von Organisationen. Der Standard ist sehr allgemein gehalten. Da er nicht industrie- oder sektorspezifisch angelegt ist, kann er für jede Art von Risiken angewendet werden. Die drei Hauptprinzipien sind:

Risikomanagement als Führungsaufgabe
Das Managen von Risiken ist Aufgabe der Führung. Damit wird Risikomanagement als Führungsaufgabe und nicht nur als Prozess interpretiert. Der obersten Leitung einer Organisation wird die Aufgabe zugeschrieben, ein Risikomanagementsystem zu implementieren.

Risikomanagement als Top-Down-Ansatz
Das Risikomanagement folgt dem Top-Down-Ansatz. Das bedeutet, dass die wesentlichen Risiken einer Organisation aus der Perspektive der obersten Leitung identifiziert, analysiert, gesteuert und kommuniziert werden; dabei sollen keine Details im Mittelpunkt stehen. Stattdessen soll sich die Leitung auf die für die Organisation wesentlichen Risiken fokussieren.

Risikomanagement als ein allgemeiner, sektorübergreifender Ansatz
Die Norm wurde bewusst allgemein gehalten, damit sie möglichst weitreichend und sektor- und länderübergreifend angewendet werden kann. So soll ein international anerkannter Standard entstehen.

_{Abbildung 2: Die wesentlichen Inhalte der DIN ISO 31000 im Überblick[19]}

Zur Umsetzung der DIN ISO 31000 gibt es einen Leitfaden mit der Bezeichnung ISO/TR 31004:2013. Dieser eignet sich auch für die Anwendung in öffentlichen Institutionen.[20]

3.10.3.3 Risikomanagement als Thema der Qualitäts- und Umweltmanagement-Normen

verweist auf: Literaturverzeichnis

Seit 2015 fordert die DIN EN ISO 9001: „Qualitätsmanagementsysteme“ die Verwirklichung eines risikobasierten Denkens. Zu dessen Umsetzung müssen bei der Planung des QM-Systems auch Maßnahmen zur Behandlung von Risiken geplant werden. Diese sollen sicher stellen, dass das QM-System seine beabsichtigten Ziele erreichen kann, dass erwünschte Auswirkungen verstärkt und unerwünschte Auswirkungen verringert sowie Verbesserungen erreicht werden.[21] Formelle Methoden für das Risikomanagement oder ein dokumentierter Risikomanagementprozess werden nicht gefordert. Ein Risikomanagement nach ISO 31000 kann die Grundlage sein, muss aber nicht eingeführt werden. Die Organisation soll selbst entscheiden, ob sie ihr Risikomanagement ggf. nach anderen Leitlinien implementieren möchte.[22]

Sehr ähnlich sind die Aussagen zum Risikomanagement in DIN EN ISO 14001 „Umweltmanagementsysteme“. [23] Künftig soll die Behandlung von Risiken ein Grundprinzip in allen internationalen Managementsystem-Normen werden.
Unabhängig davon, nach welchen Konzepten oder Normen eine Behörde ihre Managementansätze entwickelt und implementiert, müssen diese sorgfältig aufeinander abgestimmt werden, um unnötige Aufwände und Doppelarbeiten zu vermeiden. Wird in einer Behörde beispielsweise bereits ein Risikomanagement betrieben, sollte bei der Implementierung weiterer Managementansätze (z. B. Qualitätsmanagement nach DIN EN ISO 9001 oder DIN EN ISO/IEC 17 025[24] ) hieran angeknüpft werden. Auch die Risikoanalyse als phasenübergreifendes Arbeitspaket von Projekten und die prozessbezogene Risikoanalyse im Zusammenhang mit der Prozessoptimierung und –steuerung sollte die möglicherweise im Risikomanagement etablierten Prozesse und Methoden nutzen.

3.10.4 Der Risikomanagement-Kreislauf

Der Kreislauf besteht aus den Phasen der Risikoidentifikation und -analyse, der Risikobewertung, der Risikosteuerung und der Risikokommunikation.

_{Abbildung 3: Der Risikomanagement-Kreislauf[25]}

Die Risikoidentifikation und –analyse beinhaltet die regelmäßige und systematische Betrachtung interner und externer Entwicklungen und Ereignisse, die zu einer Verbesserung oder Verschlechterung der (Risiko-)Situation einer Behörde oder auch nur einzelner Organisationseinheiten führen können. Ziel dabei ist, unvermeidbare Probleme zu erkennen bevor sie eintreten und dadurch günstigere und wirksamere Maßnahmen zu ergreifen. Die Frequenz der Risikoidentifikation richtet sich nach der Dynamik der Risiken. Bei der Überprüfung des Risikomanagements ist zu prüfen, ob geeignete Regelungen zur rechtzeitigen Risikoerkennung existieren und ob die identifizierten Risiken durch die Organisation erfasst, verfolgt und kommuniziert werden.[26] Die prozessbezogene Risikobetrachtung leistet dazu einen wichtigen Beitrag.

Die Identifikation von Risiken stellt häufig zunächst eine große Herausforderung dar, weshalb es sehr wichtig ist, dass alle beteiligten Akteure intensiv als Team zusammenarbeiten. Von besonderer Bedeutung ist dabei die Schaffung eines einheitlichen Verständnisses und Vokabulars. Dies kann mit übergreifenden Workshops realisiert werden. Dabei kann neben der Sensibilisierung für das Thema auch ein methodisches Vorgehen zum Aufbau und zur Etablierung eines Risikomanagements erarbeitet werden.

Für die Identifikation können z. B. Risikokataloge, Erhebungsbögen, Workshops, Beobachtungen von Frühwarnindikatoren oder Kennzahlen genutzt werden. [27] Hier sollte für alle Beteiligten eine Vorlage mit einheitlichen und fest definierten Kategorien zur Verfügung gestellt werden. Sobald Risiken identifiziert sind, müssen sie bewertet werden (Risikobewertung). Ausführliche Informationen zur Durchführung einer Risikoanalyse finden sich in Abschnitt „Methoden und Techniken – Risikoanalyse“.

Die für die wesentlichen Einzelrisiken getroffenen Entscheidungen sind nachvollziehbar zu erläutern und zu dokumentieren. Folgende Risikosteuerungsmöglichkeiten kommen in Frage[28] :

• Bei der Risikovermeidung wird auf risikoreiche Aktivitäten verzichtet. Dies kann Verbote bestimmter Aktivitäten oder Geschäfte in einer Organisation zur Folge haben.

• Die Risikoverminderung bedeutet eine Reduzierung der Eintrittswahrscheinlichkeit oder des Ausmaßes von Risiken. Ein solches Vorgehen kann durch Mitarbeiterschulungen, Limitierungen im Finanzbereich, zusätzlichen Ressourceneinsatz usw. unterstützt werden.

• Bei der Risikoüberwälzung (auch als Risikoübertragung oder Risikotransfer bezeichnet) wird das Risiko auf eine andere Organisation übertragen, z. B. auf eine Versicherung bei Elementarschäden oder auf eine andere Behörde (z. B. IT-Dienstleistungen).

• Die Risikoübernahme (auch als Risikoakzeptanz oder –kompensation bezeichnet) bedeutet die bewusste Inkaufnahme oder das aktive Eingehen von Risiken. Dieses Vorgehen eignet sich für Bagatellrisiken oder für solche, für die keine anderen Möglichkeiten der Risikosteuerung in Frage kommen. Dieses Vorgehen kommt auch in Frage, wenn strategische Risiken in Folge einer Abwägung zwischen Chancen und Risiken bewusst eingegangen werden. Hier gilt es als Teil der strategischen Steuerung die Entwicklung der Risiken konsequent zu überwachen. Eine Risikoübernahme kommt auch für schwer (nicht) vorhersehbare Risiken in Betracht. Hier gilt es die Existenz solcher Risiken anzuerkennen, Frühwarnindikatoren zur Beurteilung der Risikoentwicklung zu erarbeiten und die Organisation insgesamt so anpassungsfähig aufzustellen, dass eine zeitgerechte Reaktion auf sich entwickelnde Risiken erfolgen kann.

Insbesondere Risiken mit hoher Eintrittswahrscheinlichkeit und großer zu erwartender Schadenshöhe sind regelmäßig zu verfolgen. Für diese Risiken sind geeignete vorbeugende und korrektive Maßnahmen einzuplanen und vorzubereiten. Dazu gehören auch fest definierte Verantwortlichkeiten sowie die Vorhaltung von finanziellen Mitteln. Entsprechende Steuerungsmaßnahmen sind frühzeitig abzustimmen und festzulegen.

Die Risikokommunikation umfasst die Erstellung und die Übergabe der Risikoinformationen in Berichtsform an entsprechende Adressaten (z. B. Behörden- oder Abteilungsleitung, prozessverantwortliche Personen, Projektleitungen). Für die Risikokommunikation sollte ein standardisierter Prozess mit eindeutigen Zuständigkeiten, Kommunikationswegen, Terminvorgaben, Schwellenwerten und Berichtsformaten etabliert werden.

Hilfreich ist es, das (übergreifende) Risikomanagement in ein bestehendes Berichtswesen, wie beispielsweise das eines zentralen Controllings oder des zentralen Qualitätsmanagements, zu integrieren. Darüber hinaus sollte für eilbedürftige Risikomeldungen eine Ad-hoc-Risikoberichterstattung etabliert werden. Ein projektbezogenes Risikomanagement sollte im Projektmanagement integriert sein und mit dem Projektcontrolling zusammenwirken. Ein prozessbezogenes Risikomanagement steht im Zusammenhang mit dem Prozesscontrolling.

3.10.5 Kulturelle Voraussetzungen

Für die Umsetzung eines behördenspezifischen Risikomanagements sind Akzeptanz und Verständnis sowohl bei den Führungskräften als auch bei den Mitarbeiterinnen und Mitarbeitern unerlässlich. Um ein für die Organisation passendes Risikobewusstsein zu schaffen, bietet es sich an, Leitlinien zu entwickeln und zu kommunizieren, die den Umgang mit Risiken festlegen. Dabei kann auch der Umgang mit Fehlern, insbesondere im Zusammenhang mit agilen Vorgehensweisen, thematisiert werden. Durch die Formulierung solcher Leitlinien unterstreicht die Führung einer Behörde die Bedeutung, die es dem Risikomanagement beimisst. Zusätzlich sollten die Führungskräfte die gewünschte Verhaltensweise vorleben. Insgesamt können Maßnahmen zur Stärkung des Risikobewusstseins und eines entsprechenden Verhaltens durch entsprechende Fortbildungen gestärkt oder auch im Rahmen von Initiativen zur Kulturveränderung (Link auf Führungs- und Organisationskultur) in der Organisation initiiert und umgesetzt werden.

Fußnoten

[1] Einige aktuelle Definitionen des Begriffs Risiko beinhalten alle möglichen Abweichungen von geplanten Zielen, also sowohl negative (Gefahren) wie auch positive Abweichungen (Chancen), vgl. z. B.: DIIR-Revisionsstandard Nr. 2 Prüfung des Risikomanagementsystems durch die Interne Revision (https://www.diir.deffileadmin/fachwissen/...): „Der Begriff Risiko beschreibt die Möglichkeit des Eintretens von Ereignissen oder von
Entwicklungen, die sich auf das Erreichen von Zielen auswirken, was die Möglichkeit von positiven Abweichungen (Chancen) und negativen Abweichungen (Gefahren, Risiken im engeren Sinn) einschließt“. Abruf: 15.01.2021.
[2] Eigene Darstellung auf Basis von Niggemann 2013, S. 10.
[3] Rosenthal, ’t Hart und Charles 1989, S. 10; zitiert nach Rosenthal & Kouzmin 1997, S. 280 (eigene Übersetzung).
[4] Vgl. Diederichs 2018, S. 13.
[5] Vgl. Budäus und Hilgers 2009, S. 25 ff.
[6] Vgl. Niedostadek 2011, S. 37f.
[7] Ebenda, S. 38.
[8] Ebenda, S. 38.
[9] Vgl. Niedostadek 2011, S. 38.
[10] Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, 30.Juli 2004:
http://www.verwaltungsvorschriften-im-internet.de/..., Abruf: 28.09.2020
[11] Empfehlungen zur Korruptionsprävention in der Bundesverwaltung, 21.03.2012:
https://www.bmi.bund.de/..., Abruf: 28.09.2020.
[12] Regelungen zur Integrität, 18.09.2018: https://www.bmi.bund.de/..., Abruf: 28.09.2020
[13] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-1: https://www.bsi.bund.de/..., Abruf: 15.01.2021.
[14] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-2: https://www.bsi.bund.de/..., Abruf: 15.01.2021.
[15] Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 200-3: https://www.bsi.bund.de/..., Abruf: 15.01.2021.
[16] Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium: https://www.bsi.bund.de/, Abruf: 15.01.2021.
[17] Vgl. Bundesrechnungshof 2017, https://www.bundesrechnungshof.de/de/..., Abruf: 20.07.2020.
[18] DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, Beuth, Berlin.
[19] Eigene Darstellung auf Basis der DIN ISO 31000:2018-10 Risikomanagement
[20] ISO/TR 31004:2013-10: Risikomanagement - Leitfaden zur Implementierung der ISO 31000, Beuth, Berlin.
[21] Vgl. DIN EN ISO 9001:2015-11: Qualitätsmanagementsysteme – Anforderungen, S. 23
[22] Ebenda, S. 53 f.
[23] Vgl. DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, S. 25
[24] DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien
[25] Eigene Darstellung auf Basis von Budäus, Hilgers 2009, S. 42 und Diederichs 2018, S. 91.
[26] Diederichs 2018, S. 92 ff.
[27] Vgl. Seidel, S. 62ff., Diederichs 2018, S. 225f.
[28] Vgl. Seidel 2003, S. 68 f.

Literaturverzeichnis

Budäus, Dietrich; Hilgers, Dennis: Reform des öffentlichen Haushalts- und Rechnungswesens in Deutschland, in: Zeitschrift für Planung & Unternehmenssteuerung, 19. Jahrgang, 2009, Heft 4, S. 377–396.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-1: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/..., Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI Standard 200-2: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/..., Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik (BSI): BSI-Standard 200-3: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Grundschutz/..., Abruf: 15.01.2021.

Bundesamt für Sicherheit in der Informationstechnik: IT-Grundschutz-Kompendium: https://www.bsi.bund.de/, Abruf: 15.01.2021.

Bundesrechnungshof: Modell eines Risikomanagements für die Bundesverwaltung, 2017, Bonn: https://www.bundesrechnungshof.de/, Abruf: 22.07.2020

DIN EN ISO 9001:2015-11: Qualitätsmanagementsysteme – Anforderungen, Beuth, Berlin 2015.

DIN EN ISO/ IEC 17025:2018-03: Allgemeine Anforderungen an die Kompetenz von Prüf- und Kalibrierlaboratorien, Beuth, Berlin 2018

DIN EN ISO 14001:2015-11: Umweltmanagementsysteme - Anforderungen mit Anleitung zur Anwendung, Beuth, Berlin 2015.

DIN ISO 31000:2018-10 Risikomanagement – Leitlinien, Beuth, Berlin 2018.

Empfehlungen zur Korruptionsprävention in der Bundesverwaltung, 21.03.2012: https://www.bmi.bund.de/, Abruf: 28.09.2020.

Niedostadek, André: Risiken im öffentlichen Bereich, 2011, LIT-Verlag, Berlin.

Niggemann, Markus: Steuerung von Gaspreisrisiken. Konzeption eines Preisrisikomanagements für Gasversorger, 2013, Springer Gabler, Wiesbaden.

Regelungen zur Integrität, 18.09.2018: https://www.bmi.bund.de/, Abruf: 28.09.2020

Richter, Martin; Motel, Jens: Risikomanagement in einer Bundesbehörde, in: Verwaltung und Management, 22. Jg., Heft 2, S. 73-82.

Richtlinie der Bundesregierung zur Korruptionsprävention in der Bundesverwaltung, 30.Juli 2004: http://www.verwaltungsvorschriften-im-internet.de/..., Abruf: 28.09.2020

Ridder, Hans-Gerd; Bruns, Hans-Jürgen; Spier, Fabian: Managing implementation processes, in: Public Management Review, 8. Jahrgang, 2006, Heft 1, S. 87–118.

Rosenthal, Uriel; Charles, Michael T.; Hart, Paul't (1989): Coping with crises. The management of disasters, riots, and terrorism: Charles C Thomas Pub Ltd.

Rosenthal, Uriel; Kouzmin, Alexander: Crises and Crisis Management: Toward Comprehensive Government Decision Making, in: Journal of Public Administration Research and Theory, 7. Jahrgang, 1997, Heft 2, S. 277–304. https://academic.oup.com/jpart/article/7/2/277/957517, Abruf: 02.10.2020

Seidel, Uwe M. (Hrsg.): Risikomanagement: Erkennen, Bewerten und Steuern von Risiken, 2002, WEKA MEDIA, Kissing.

Diederichs, Marc: Risikomanagement und Risikocontrolling (Reihe: Finance competence), 2018, Vahlen, München.