GRC sollte in jeder Organisation Thema sein

Eva Maria Schrittwieser im Gespräch mit Sarah Blaimschein

Warum braucht es Ihrer Meinung nach im Bundesministerium für Finanzen ein Governance-Risk-Compliance-Management?

Das Bundesministerium für Finanzen hat sich bereits vor vielen Jahren zu einer wirkungsorientierten Verwaltungsführung nach den Grundsätzen des New Public Management bekannt. Im Zuge tiefgreifender Veränderungen wurden die Aufbau- und die Ablauforganisation neu gestaltet sowie neue betriebswirtschaftliche Instrumente implementiert. Die Einführung eines Risikomanagements war aus meiner Sicht ein weiterer logischer Schritt. Der gewählte ganzheitliche Ansatz des Governance-Risk-Compliance-Managements soll helfen, die bevorstehenden Herausforderungen zu meistern, Risiken im Entscheidungsprozess zu berücksichtigen und dabei die steigende Komplexität nicht aus den Augen zu verlieren. Das Vertrauen der Bürgerinnen und Bürger sowie der Unternehmen in die öffentliche Verwaltung ist wichtiger denn je. Unsere Gesellschaft verlangt – völlig zu Recht – mehr Verantwortlichkeit und Transparenz zum Beispiel im Umgang mit Steuergeldern. So will das Governance-Risk-Compliance-Management im Bundesministerium für Finanzen auch zur Sicherung der finanziellen Interessen der Republik und zum Erhalt der guten Reputation des Ministeriums beitragen. Die Reputation einer großen Verwaltungseinheit wie dem Bundesministerium für Finanzen hängt auch von den eigenen Mitarbeitern sowie deren Qualifikation und Verhalten ab. Das Governance-Risk-Compliance-Management unterstützt bei der Sensibilisierung der Mitarbeiter in Bezug auf die Risiken in ihren eigenen Aufgabenbereichen und sorgt für die Sicherstellung von Compliance im Ressort.

Was sind die größten Unterschiede zwischen Risikomanagement in der öffentlichen Verwaltung und Risikomanagement in einem privatwirtschaftlich geführten Unternehmen?

Ich bin der Meinung, dass es in der grundsätzlichen Ausrichtung, im Prozess und in den Verantwortlichkeiten keine Unterschiede zwischen dem Risikomanagement in privatwirtschaftlich geführten Unternehmen und der öffentlichen Verwaltung gibt. Wie in der Privatwirtschaft auch resultieren die Risiken nicht nur aus der Umwelt, sondern auch aus dem Inneren der Organisation sowie den dort bestehenden Aufgaben und gesetzten Zielen. Aus diesen Aufgaben und Zielen resultieren potenzielle inhaltliche Unterschiede, weil zum Beispiel die Sicherstellung der Unternehmenswertsteigerung nicht notwendigerweise eine Toppriorität in der Risikostrategie eines Ministeriums ist. So wie jede Branche spezielle Risiken managen muss, die es in anderen Bereichen nicht gibt, so sieht sich auch die öffentliche Verwaltung – abhängig von ihren Aufgabenbereichen – mit eigenen Risiken konfrontiert. Vielfach gibt es aber Überschneidungen zwischen dem privaten und dem öffentlichen Sektor, zum Beispiel in Belangen rund um IT-Sicherheitsrisiken, Personalrisiken und finanzielle Risiken.

Welche Risiken werden konkret berücksichtigt?

Aus der Heterogenität der Aufgabenstellungen und der Vielzahl von Zielen im Bundesministerium für Finanzen ergibt sich ein umfassendes Risikoportfolio. In unserem Risikokatalog finden sich daher beispielsweise Risiken aus den Bereichen Haftungen des Bundes, Beteiligungsmanagement, Cyber Security, Verfahren bei Höchstgerichten, Demografie oder Tax Compliance. Veränderungen ergeben sich dabei ad hoc oder im Rahmen unseres halbjährlich stattfindenden Risikomanagementprozesses, im Zuge dessen neue Risiken identifiziert, analysiert und bewertet werden. Zudem wird die Wirksamkeit der gesetzten Maßnahmen zu Reduktion und Vermeidung bestehender Risiken einer Analyse unterzogen.

An welchen gesetzlichen Bestimmungen, die es für Unternehmen, nicht aber für Verwaltungen gibt, orientiert sich das Risikomanagement des Bundesministeriums für Finanzen?

Es ist richtig, dass es nur für das Risiko-Controlling von Beteiligungen des Bundes eine gesetzliche Bestimmung gibt, sonst aber weder unionsrechtliche noch nationale Bestimmungen zur Ausgestaltung von Risikomanagementsystemen für öffentliche Verwaltungen im engeren Sinn bestehen. Ich bin der Meinung, dass Governance, Risk & Compliance in jeder Organisation Thema sein sollte, und zwar unabhängig davon, ob es regulatorische Vorgaben gibt oder nicht. Im Bundesministerium für Finanzen haben wir uns beim Aufbau des Governance-Risk-Compliance-Managements daher an den zwei wesentlichen Rahmenwerken orientiert: den Grundsätzen und Richtlinien für Risikomanagement der ISO 31000 sowie am „Enterprise Risk Management –Integrated Framework“ des Committee of Sponsoring Organizations of the Treadway Commission (COSO). Beide enthalten Regeln, Methoden und Instrumente, die in einer großen öffentlichen Organisation gut anwendbar sind. Ein großer Vorteil lag meines Erachtens auch darin, dass wir im Bundesministerium für Finanzen nun einheitliche Begriffe und Prozesse – basierend auf internationalen Standards – verwenden und ein Erfahrungsaustausch mit dem privaten Sektor leichter möglich ist.

Wie hat sich das Projekt „GRC-Management im BMF“ konkret dargestellt? Was waren die bedeutendsten Meilensteine? Was sind die nächsten Schritte?

Das Projekt wurde vom Bundesminister für Finanzen als Strategieprojekt in Auftrag gegeben. Dadurch war das Commitment der obersten Führungsebene von Beginn an sichergestellt. Zu den bedeutendsten Meilensteinen zählen jedenfalls die Freigabe der Risikostrategie, die Pilotierung und begleitende Evaluation sowie die Veröffentlichung des GRC-Handbuchs, und somit die Entscheidung für das Rollout. Die wesentlichen nächsten Schritte werden sein, das Compliance-Management weiterzuentwickeln und in das Governance-Risk-Compliance-Management zu integrieren sowie die Schnittstellen zu anderen wesentlichen Governance-Risk-Compliance-Bereichen – zum Beispiel zur Internen Revision – weiter auszubauen.

Das Bundesministerium für Finanzen hat ein GRC-Handbuch entwickelt. Wie genau kann man sich das vorstellen? Wer wurde in die Erstellung des Handbuchs eingebunden und wem steht es nun zur Verfügung?

Das GRC-Handbuch wurde vom Projektteam, das sich aus Mitarbeitern aller Sektionen zusammensetzte, entwickelt. Einen ersten Entwurf haben wir auf Basis der Ist-Erhebung zum Risikomanagement im Bundesministerium für Finanzen erstellt und diesen danach wiederum als Basis für die Pilotierung herangezogen. Im Zuge der Pilotierung wurde das Handbuch auf seine Tauglichkeit in der praktischen Arbeit geprüft. Nach deren Ende wurden schließlich die notwendigen Adaptierungen vorgenommen. Das GRC-Handbuch dient der Umsetzung des Governance-Risk-Compliance-Managements im Bundesministerium für Finanzen und ist als Handlungsanleitung für die Mitarbeiterinnen und Mitarbeiter sowie Führungskräfte zu verstehen.

Die mit 25. 5. 2018 in Kraft tretende Datenschutz-Grundverordnung steht derzeit in vielen Unternehmen und auch in der Öffentlichkeit stark im Fokus. Wie geht das Bundesministerium für Finanzen mit diesem sensiblen Thema um?

Für das Bundesministerium für Finanzen hatten der Datenschutz und die Informationssicherheit bereits vorher hohe Priorität. Aus diesem Grund haben wir schon vor zehn Jahren ein internes Informationssicherheitsmanagementsystem (ISMS) implementiert, das nach dem internationalen Sicherheitsstandard ISO 27001 zertifiziert ist und jährlich auditiert wird. Damit waren wir übrigens das erste Bundesministerium in Europa, das eine solche Zertifizierung erlangt hat.

Im Hinblick auf die Erfüllung der neuen Anforderungen der Datenschutz-Grundverordnung wurde im letzten Jahr ein Projekt zur Anpassung der internen Regelungen sowie organisatorischen und technischen Maßnahmen initiiert. Die daraus resultierenden Datenschutzprozesse wurden schließlich in das bestehende Managementsystem integriert. Damit erreichen wir eine optimale Synergienutzung.

Was sind Ihre bisher größten Erfolge?

Mir macht meine Arbeit Spaß, und ich bin überzeugt davon, dass sich der Erfolg, wenn man etwas mit Leidenschaft macht, einstellen wird. Die Implementierung des Governance-Risk-Compliance-Managements im Bundesministerium für Finanzen gemeinsam mit dem Projektteam und mit Unterstützung der Führungskräfte kann sicherlich als Erfolg bezeichnet werden; immerhin ist das in dieser Form in der öffentlichen Verwaltung bisher einzigartig. Ebenso freue ich mich, Mitherausgeberin der im Linde Verlag erscheinenden neuen Fachzeitschrift GRC aktuell zu sein. Es war ein tolles Gefühl, im Februar dieses Jahres die erste Ausgabe in Händen zu halten.