Risikomanagement an der ETH Zürich - ETH - Finanzen und ...
Risikomanagement an der ETH Zürich - ETH - Finanzen und ...
Risikomanagement an der ETH Zürich - ETH - Finanzen und ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
<strong>Risikom<strong>an</strong>agement</strong><br />
<strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
Richtlinien, Systematik & Ver<strong>an</strong>twortlichkeiten
Zweck dieses Dokuments<br />
Dieses Dokument hält die Risikopolitik <strong>der</strong> <strong>ETH</strong> Zürich fest <strong>und</strong> dient als Informations- <strong>und</strong><br />
Kommunikationsmittel für alle Beteiligten. Die Risikopolitik ist Teil <strong>der</strong> Geschäftspolitik <strong>der</strong><br />
<strong>ETH</strong> Zürich <strong>und</strong> legt die Leitlinien/ Rahmenbedingungen zu einem homogenen, systematischen<br />
<strong>und</strong> konsequenten Umg<strong>an</strong>g mit Risiken fest. Entsprechend <strong>der</strong> kontinuierlichen Weiterentwicklung<br />
des <strong>Risikom<strong>an</strong>agement</strong> <strong>und</strong> <strong>der</strong> Verän<strong>der</strong>ung des Umfeldes <strong>der</strong> <strong>ETH</strong> Zürich wird<br />
das Dokument periodisch <strong>an</strong>gepasst.<br />
St<strong>an</strong>d 9. Juni 2010 / Version 2.0<br />
2
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
Inhaltsverzeichnis<br />
1 Präambel ............................................................................................ 4<br />
2 Rahmenbedingungen <strong>und</strong> Ziele .................................................... 4<br />
2.1 Definition <strong>Risikom<strong>an</strong>agement</strong> ..........................................................................................4<br />
2.2 <strong>Risikom<strong>an</strong>agement</strong>ziele .................................................................................................... 5<br />
2.3 Formale Gr<strong>und</strong>lagen .......................................................................................................... 5<br />
2.4 Geltungsbereich ................................................................................................................. 5<br />
3 Gr<strong>und</strong>sätze <strong>der</strong> Risikobewältigung............................................... 6<br />
3.1 Führungsaufgabe ............................................................................................................... 6<br />
3.2 Risikobewältigung ............................................................................................................. 6<br />
3.3 Risikofin<strong>an</strong>zierung ............................................................................................................. 6<br />
3.4 Risikokosten ........................................................................................................................ 6<br />
4 Org<strong>an</strong>isation <strong>und</strong> Ver<strong>an</strong>twortlichkeiten ....................................... 7<br />
4.1 Präsident/Vizepräsident Fin<strong>an</strong>zen & Controlling/Schulleitung ............................... 7<br />
4.2 <strong>Risikom<strong>an</strong>agement</strong>-Kommission ....................................................................................8<br />
4.3 <strong>Risikom<strong>an</strong>agement</strong> Kernteam .........................................................................................8<br />
4.4 Einheiten aus Lehre, Forschung <strong>und</strong> Administration ..................................................8<br />
4.5 Risikoeigner .........................................................................................................................8<br />
4.6 Massnahmeneigner .......................................................................................................... 9<br />
4.7 Interne Revision ................................................................................................................. 9<br />
4.8 Externe Revision ................................................................................................................ 9<br />
5 <strong>Risikom<strong>an</strong>agement</strong>prozess ............................................................ 9<br />
5.1 Risikoerfassung ................................................................................................................... 9<br />
5.2 Risikobewertung ............................................................................................................... 10<br />
5.3 Risikobewältigung ............................................................................................................ 10<br />
5.4 Risikocontrolling ............................................................................................................... 10<br />
6 Versicherungspolitik ........................................................................ 11<br />
7 Schadenm<strong>an</strong>agement <strong>und</strong> Schadenfin<strong>an</strong>zierung ...................... 11<br />
7.1 Frühindikatoren .................................................................................................................. 11<br />
7.2 Schadenmeldung ............................................................................................................... 11<br />
7.3 Schadenfin<strong>an</strong>zierung ....................................................................................................... 12<br />
7.4 Ursachen<strong>an</strong>alyse ............................................................................................................... 12<br />
Anhänge ................................................................................................. 13<br />
Anh<strong>an</strong>g A: Begriffe <strong>der</strong> Risikopolitik (Glossar) ...................................................................... 14<br />
Anh<strong>an</strong>g B: Kernrisiken <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich ............................................................................... 16<br />
3
1 Präambel<br />
Im Zusammenh<strong>an</strong>g mit <strong>der</strong> Erfüllung des akademischen Gr<strong>und</strong>auftrags <strong>und</strong> <strong>der</strong> Verfolgung<br />
<strong>der</strong> strategischen Ziele <strong>der</strong> <strong>ETH</strong> Zürich lassen sich bestimmte Risiken nicht vermeiden. Im<br />
Rahmen des <strong>Risikom<strong>an</strong>agement</strong> soll proaktiv auf diese Risiken eingeg<strong>an</strong>gen <strong>und</strong> mit geeigneten<br />
Massnahmen das Risikopotential auf ein akzeptables Niveau reduziert werden. In erster<br />
Linie ist immer die Eigenver<strong>an</strong>twortlichkeit aller <strong>an</strong> <strong>der</strong> <strong>ETH</strong> beschäftigten Menschen gefor<strong>der</strong>t.<br />
Ereignen sich trotz aller Vorsichtsmassnahmen Schäden, welche auf Fehler zurückzuführen<br />
sind, beh<strong>an</strong>deln wir diese offen <strong>und</strong> ehrlich. Fehler sind auch eine Lerngelegenheit, es geht<br />
nicht um eine Schuldzuweisung, son<strong>der</strong>n um die Realisierung von Verbesserungspotentialen.<br />
2 Rahmenbedingungen <strong>und</strong> Ziele<br />
2.1 Definition <strong>Risikom<strong>an</strong>agement</strong><br />
Unternehmensweites <strong>Risikom<strong>an</strong>agement</strong> wird gemäss COSO 1 folgen<strong>der</strong>massen definiert:<br />
«Unternehmensweites <strong>Risikom<strong>an</strong>agement</strong> ist ein Prozess,<br />
ausgeführt durch Überwachungs- <strong>und</strong> Leitungsorg<strong>an</strong>e, Führungskräfte <strong>und</strong> Mitarbeiter<br />
einer Org<strong>an</strong>isation,<br />
<strong>an</strong>gew<strong>an</strong>dt bei <strong>der</strong> Strategiefestlegung sowie innerhalb <strong>der</strong> Gesamtorg<strong>an</strong>isation,<br />
gestaltet um die Org<strong>an</strong>isation beeinflussenden, möglichen Ereignisse zu erkennen,<br />
<strong>und</strong> um hinreichende Sicherheit bezüglich des Erreichens <strong>der</strong> Ziele <strong>der</strong> Org<strong>an</strong>isation zu<br />
gewährleisten.»<br />
In den Weisungen des <strong>ETH</strong>-Rates zum <strong>Risikom<strong>an</strong>agement</strong> 2 heisst es:<br />
Das <strong>Risikom<strong>an</strong>agement</strong> bildet den Rahmen für einen pl<strong>an</strong>vollen Umg<strong>an</strong>g mit den Risiken.<br />
Es stützt sich auf die Risikopolitik.<br />
Zentrales Element ist <strong>der</strong> kontinuierliche Verbesserungsprozess, welcher auf die Reduktion<br />
von Risiken <strong>und</strong> <strong>der</strong>en Folgen abzielt.<br />
Er umfasst die Teilprozesse Risikoerfassung, Risikobewertung, Risikobewältigung, <strong>und</strong><br />
Risikocontrolling.<br />
1<br />
COSO (The Committee of Sponsoring Org<strong>an</strong>izations of the Treadway Commission) hat einen<br />
weltweit bei Unternehmen, Org<strong>an</strong>isationen <strong>und</strong> Revisionsgesellschaften etablierten<br />
<strong>Risikom<strong>an</strong>agement</strong>st<strong>an</strong>dard entwickelt<br />
(www.coso.org).<br />
2 Weisungen des <strong>ETH</strong>-Rates über das <strong>Risikom<strong>an</strong>agement</strong> <strong>der</strong> <strong>ETH</strong> <strong>und</strong> <strong>der</strong> Forschungs<strong>an</strong>stalten vom<br />
4. Juli 2006.<br />
4
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
2.2 <strong>Risikom<strong>an</strong>agement</strong>ziele<br />
Die Schulleitung verfolgt mit <strong>der</strong> Risikopolitik namentlich folgende Ziele:<br />
– Die Wahrung des guten Rufes <strong>der</strong> <strong>ETH</strong> Zürich.<br />
– Das Vermeiden von Schäden.<br />
– Die Unterstützung <strong>der</strong> Zielerreichung <strong>der</strong> <strong>ETH</strong> Zürich.<br />
– Die Erhaltung <strong>der</strong> Funktionstüchtigkeit <strong>der</strong> <strong>ETH</strong> Zürich.<br />
– Die Gewährleistung eines hohen Masses <strong>an</strong> Sicherheit für Personen <strong>und</strong> Vermögenswerte.<br />
– Die För<strong>der</strong>ung <strong>der</strong> Eigenver<strong>an</strong>twortung <strong>und</strong> des Risikobewusstseins bei den Mitarbeitenden<br />
<strong>der</strong> <strong>ETH</strong> Zürich.<br />
– Die Unterstützung <strong>der</strong> Führung mittels umfassen<strong>der</strong> <strong>und</strong> aktueller Risikoinformation.<br />
– Eine Gesamtübersicht über die Risikosituation <strong>der</strong> <strong>ETH</strong> Zürich.<br />
– Die Kontrolle <strong>und</strong> Minimierung <strong>der</strong> Risikokosten (Fremd- <strong>und</strong> Eigenversicherung).<br />
– Eine wirkungsorientierte, kosteneffiziente <strong>und</strong> <strong>an</strong>tizipative Aufgabenerfüllung.<br />
2.3 Formale Gr<strong>und</strong>lagen<br />
<strong>Risikom<strong>an</strong>agement</strong> wird durch folgende Erlasse, Weisungen <strong>und</strong> Beschlüsse gefor<strong>der</strong>t:<br />
B<strong>und</strong>esratsbeschluss vom 19. J<strong>an</strong>uar 2005<br />
– Verpflichtung zum <strong>Risikom<strong>an</strong>agement</strong> für Org<strong>an</strong>isationen des 3. <strong>und</strong> 4. Kreises <strong>der</strong><br />
B<strong>und</strong>esverwaltung.<br />
Artikel 19a VO <strong>ETH</strong>-Bereich (RS<strong>ETH</strong>Z 120)<br />
– Regelt die Gr<strong>und</strong>züge des <strong>Risikom<strong>an</strong>agement</strong>.<br />
Weisungen des <strong>ETH</strong>-Rates über das <strong>Risikom<strong>an</strong>agement</strong> <strong>der</strong> <strong>ETH</strong> <strong>und</strong> <strong>der</strong> Forschungs<strong>an</strong>stalten<br />
(RS<strong>ETH</strong>Z 126)<br />
– Regelung <strong>der</strong> Gr<strong>und</strong>züge des <strong>Risikom<strong>an</strong>agement</strong> <strong>und</strong> <strong>der</strong> Risikofin<strong>an</strong>zierung.<br />
– Ver<strong>an</strong>twortung für das <strong>Risikom<strong>an</strong>agement</strong> liegt beim Präsidenten.<br />
Verordnung über die Org<strong>an</strong>isation <strong>der</strong> <strong>ETH</strong> Zürich,, Art. 8, Abs. 1, lit e; Art. 11a, Abs 3, lit e; Art. 28,<br />
Abs. 1, lit e (RS<strong>ETH</strong>Z 201.021)<br />
– Zuständigkeit für das <strong>Risikom<strong>an</strong>agement</strong> liegt beim Präsidenten.<br />
– Umsetzungsver<strong>an</strong>twortung für das <strong>Risikom<strong>an</strong>agement</strong> liegt beim Vizepräsidenten<br />
Fin<strong>an</strong>zen & Controlling.<br />
– <strong>Risikom<strong>an</strong>agement</strong> Kommission als beratende Kommission <strong>der</strong> Schulleitung<br />
Reglement für die <strong>Risikom<strong>an</strong>agement</strong> Kommission <strong>der</strong> <strong>ETH</strong> Zürich (RS<strong>ETH</strong>Z 203.7)<br />
– Regelt die Tätigkeiten <strong>und</strong> Org<strong>an</strong>isation <strong>der</strong> <strong>Risikom<strong>an</strong>agement</strong> Kommission.<br />
– Vorsitz durch den Vizepräsidenten Fin<strong>an</strong>zen & Controlling<br />
Fin<strong>an</strong>zreglement Art. 114-116 <strong>und</strong> Anh<strong>an</strong>g 1 (RS<strong>ETH</strong>Z 245)<br />
– Regelt die Kompetenzen betreffend <strong>der</strong> Fin<strong>an</strong>zierung zur Behebung von Schäden &<br />
betreffend Deckungszusagen.<br />
Richtlinien über nicht versicherte Risiken <strong>und</strong> Ereignisse (RS<strong>ETH</strong>Z 203.71)<br />
– Regelt den Deckungsumf<strong>an</strong>g <strong>der</strong> Rückstellungen für nicht versicherte Risiken sowie die<br />
Versicherungspflicht bei Objekten <strong>und</strong> Tätigkeiten mit erhöhter Risikoexposition.<br />
2.4 Geltungsbereich<br />
Der Geltungsbereich <strong>der</strong> vorliegenden Risikopolitik umfasst die gesamte <strong>ETH</strong> Zürich.<br />
5
3 Gr<strong>und</strong>sätze <strong>der</strong> Risikobewältigung<br />
3.1 Führungsaufgabe<br />
Der bewusste Umg<strong>an</strong>g mit Risiken liegt in <strong>der</strong> Ver<strong>an</strong>twortung jedes Mitarbeitenden. Das adäquate<br />
<strong>Risikom<strong>an</strong>agement</strong> ist eine Führungsaufgabe, die in den Einheiten wahrgenommen<br />
wird.<br />
Der Präsident trägt die Ver<strong>an</strong>twortung.<br />
3.2 Risikobewältigung<br />
In <strong>der</strong> Bewältigung <strong>der</strong> Risiken folgt die <strong>ETH</strong> Zürich in dieser Reihenfolge den Prinzipien:<br />
– Vermeiden<br />
– Vermin<strong>der</strong>n<br />
– Akzeptieren – Tragen<br />
– Fin<strong>an</strong>zieren<br />
3.3 Risikofin<strong>an</strong>zierung<br />
Die <strong>ETH</strong> Zürich trägt ihre Risiken gr<strong>und</strong>sätzlich selbst.<br />
Der Abschluss von Versicherungen k<strong>an</strong>n sinnvoll sein, wenn keine <strong>an</strong><strong>der</strong>en Massnahmen möglich<br />
sind. Dies trifft insbeson<strong>der</strong>e für Risiken zu, welche eine tiefe Eintretenswahrscheinlichkeit<br />
<strong>und</strong> ein hohes Schadenpotential haben.<br />
Für nichtversicherte o<strong>der</strong> nichtversicherbare grössere Ereignisse sieht die <strong>ETH</strong> Zürich eine<br />
Eigenversicherung vor (siehe auch Ziff. 5 Versicherungspolitik).<br />
Bestimmungen zur Risikofin<strong>an</strong>zierung finden sich in den Weisungen des <strong>ETH</strong>-Rates zum<br />
<strong>Risikom<strong>an</strong>agement</strong> (Art. 9 -14), dem Fin<strong>an</strong>zreglement (Art. 114 -116 <strong>und</strong> Anh<strong>an</strong>g 1) sowie den<br />
Richtlinien über nicht versicherte Risiken <strong>und</strong> Ereignisse.<br />
3.4 Risikokosten<br />
Ziel ist, das Total <strong>der</strong> Risikokosten zu minimieren. Die Risikokosten setzten sich aus den folgenden<br />
Komponenten zusammen:<br />
– Versicherungsprämien<br />
– Selbstgetragene Schäden<br />
– Präventive Risikomin<strong>der</strong>ungs-/Schadenverhütungskosten<br />
– Verwaltungskosten (z.B. Kosten <strong>der</strong> Administration, Honorare).<br />
6
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
4 Org<strong>an</strong>isation <strong>und</strong> Ver<strong>an</strong>twortlichkeiten<br />
Das iterative Zusammenspiel zwischen den nachfolgend beschriebenen Funktionsträgern <strong>und</strong><br />
Gremien ist von zentraler Bedeutung für ein funktionierendes <strong>Risikom<strong>an</strong>agement</strong> System.<br />
Nach dem Prinzip <strong>der</strong> Eigenver<strong>an</strong>twortung ist es zudem wichtig, dass sowohl die direkt am<br />
Prozess beteiligten Personen wie auch alle weiteren <strong>ETH</strong>-Angehörigen ein entsprechendes<br />
Risiko-Bewusstsein entwickeln.<br />
Das <strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich ist folgen<strong>der</strong>massen org<strong>an</strong>isiert (Abbildung 1):<br />
<strong>ETH</strong>-Rat<br />
Präsident / VPFC / Schulleitung<br />
Interne <strong>und</strong> externe<br />
Revision<br />
<strong>Risikom<strong>an</strong>agement</strong> Kommission (RMK)<br />
Vorsitz: VPFC<br />
Kernteam <strong>Risikom<strong>an</strong>agement</strong><br />
Vorsitz: Leiterin FD<br />
Leiterin SGU, Leiter Rechtsdienst, Sekretär <strong>Risikom<strong>an</strong>agement</strong><br />
Einheiten aus Lehre, Forschung, Administration<br />
Risikoeigner<br />
Risikoeigner<br />
Risikoeigner<br />
Massnahmeneigner<br />
Massnahmeneigner Massnahmeneigner Massnahmeneigner<br />
Abbildung 1: Org<strong>an</strong>isation des <strong>Risikom<strong>an</strong>agement</strong>s<br />
4.1 Präsident/Vizepräsident Fin<strong>an</strong>zen & Controlling/Schulleitung<br />
Dem Präsidenten fällt gemäss Art. 4 Abs. 1 <strong>der</strong> Weisungen <strong>Risikom<strong>an</strong>agement</strong> bzw. <strong>der</strong> Org<strong>an</strong>isationsverordnung<br />
<strong>ETH</strong> die Ver<strong>an</strong>twortung für das <strong>Risikom<strong>an</strong>agement</strong> zu, die Umsetzungsver<strong>an</strong>twortung<br />
liegt beim Vizepräsidenten Fin<strong>an</strong>zen & Controlling. Die Schulleitung genehmigt<br />
jährlich den Risikokatalog auf Gesamtstufe <strong>ETH</strong> Zürich <strong>und</strong> die damit verb<strong>und</strong>enen<br />
Massnahmen, gegebenenfalls inklusive Ressourcenzuteilung. Sie bewilligt die periodisch zu<br />
aktualisierende Risikopolitik auf Antrag <strong>der</strong> <strong>Risikom<strong>an</strong>agement</strong> Kommission. Weiter informiert<br />
sie den <strong>ETH</strong>-Rat (via Internes Audit) periodisch über Best<strong>an</strong>d, Umf<strong>an</strong>g <strong>und</strong> potentielle Auswirkungen<br />
<strong>der</strong> Kernrisiken. Die Schulleitung entscheidet ferner über nichtversicherte Schäden von<br />
über CHF 1 Mio. gemäss Kompetenzregelung im Fin<strong>an</strong>zreglement <strong>und</strong> wählt die Mitglie<strong>der</strong> <strong>der</strong><br />
<strong>Risikom<strong>an</strong>agement</strong> Kommission.<br />
7
4.2 <strong>Risikom<strong>an</strong>agement</strong>-Kommission<br />
Die <strong>Risikom<strong>an</strong>agement</strong> Kommission (Vorsitz durch den Vizepräsidenten Fin<strong>an</strong>zen & Controlling)<br />
ist das beratende Gremium <strong>der</strong> Schulleitung in Fragen des <strong>Risikom<strong>an</strong>agement</strong>, <strong>der</strong> Risikofin<strong>an</strong>zierung<br />
<strong>und</strong> <strong>der</strong> Versicherungen. Sie beurteilt periodisch die Risiko-, Schadens- <strong>und</strong> Versicherungssituation.<br />
In ihrer Ver<strong>an</strong>twortung liegt die <strong>ETH</strong>-weite Steuerung des <strong>Risikom<strong>an</strong>agement</strong>s.<br />
Die Kommission schlägt <strong>der</strong> Schulleitung bzw. dem Präsidenten periodisch die aktualisierte<br />
Risikopolitik vor. Sie beschliesst das Vorgehen zu Risikoerhebung, -bewertung, -<br />
bewältigung <strong>und</strong> -controlling <strong>und</strong> überwacht den Prozess. D<strong>an</strong>eben stellt die Kommission für<br />
das <strong>Risikom<strong>an</strong>agement</strong> eine <strong>an</strong>gemessene org<strong>an</strong>isatorische, personelle, technische <strong>und</strong> methodische<br />
Infrastruktur sicher.<br />
Aufgaben <strong>und</strong> Org<strong>an</strong>isation <strong>der</strong> <strong>Risikom<strong>an</strong>agement</strong> Kommission sind im Reglement für die<br />
<strong>Risikom<strong>an</strong>agement</strong> Kommission (RMK) <strong>der</strong> Eidgenössischen Technischen Hochschule<br />
Zürich vom 3. Juni 2008 geregelt.<br />
4.3 <strong>Risikom<strong>an</strong>agement</strong> Kernteam<br />
Das Kernteam ver<strong>an</strong>twortet die fachliche Führung in den Bereichen Risiko-, Schadens- <strong>und</strong><br />
Versicherungsm<strong>an</strong>agement. Es ist für die Prozessführung des <strong>Risikom<strong>an</strong>agement</strong> gemäss den<br />
Vorgaben <strong>der</strong> RMK zuständig. Das Kernteam konsolidiert jährlich den Risiko- <strong>und</strong> den Massnahmenkatalog.<br />
Es erstellt die Gr<strong>und</strong>züge <strong>der</strong> Risikopolitik sowie den Risikocontrollingbericht.<br />
Das Kernteam unterstützt <strong>und</strong> berät Schulleitung, Präsident <strong>und</strong> Kommission in <strong>der</strong> Umsetzung<br />
eines adäquaten <strong>Risikom<strong>an</strong>agement</strong>. Für die Org<strong>an</strong>isationseinheiten ist das Kernteam<br />
die Anlaufstelle bei technischen <strong>und</strong> org<strong>an</strong>isatorischen Fragen zum <strong>Risikom<strong>an</strong>agement</strong>.<br />
4.4 Einheiten aus Lehre, Forschung <strong>und</strong> Administration<br />
Ver<strong>an</strong>twortlich für die Umsetzung des <strong>Risikom<strong>an</strong>agement</strong> sind die Führungskräfte <strong>der</strong> Einheiten.<br />
Die Einheiten stellen sicher, dass die in diesem Dokument aufgeführten Ver<strong>an</strong>twortlichkeiten<br />
wahrgenommen, Risiken identifiziert <strong>und</strong> bewertet sowie Massnahmen gegen Risiken<br />
erarbeitet <strong>und</strong> umgesetzt werden.<br />
4.5 Risikoeigner<br />
Der Risikoeigner trägt die Ver<strong>an</strong>twortung für das adäquate M<strong>an</strong>agement eines Risikos. Er ist<br />
für die Erarbeitung <strong>und</strong> Initiierung entsprechen<strong>der</strong> Massnahmen zuständig <strong>und</strong> stellt die<br />
notwendigen fin<strong>an</strong>ziellen <strong>und</strong> personellen Ressourcen zur Umsetzung <strong>der</strong> Massnahmen sicher.<br />
Der Risikoeigner wird im Risikokatalog namentlich erwähnt. Er berichtet dem Kernteam<br />
periodisch über den St<strong>an</strong>d <strong>und</strong> Massnahmen bestehen<strong>der</strong> Risiken <strong>und</strong> meldet neu identifizierte<br />
Risiken gemäss den definierten Schwellenwerten (siehe Risikomatrix S. 8).<br />
8
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
4.6 Massnahmeneigner<br />
Der Massnahmeneigner trägt die Ver<strong>an</strong>twortung für die Umsetzung <strong>der</strong> Massnahmen. Er<br />
informiert periodisch (mindestens jährlich) den Risikoeigner über St<strong>an</strong>d <strong>und</strong> Fortschritt. Diese<br />
Aufgabe ist nicht <strong>an</strong> eine Stabstelle delegierbar, das Kernteam unterstützt lediglich den Prozess,<br />
die Ver<strong>an</strong>twortung für die Umsetzung bleibt beim Risiko- <strong>und</strong> Massnahmeneigner.<br />
4.7 Interne Revision<br />
Die interne Revision überprüft periodisch die Umsetzung des <strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong><br />
<strong>ETH</strong> Zürich.<br />
4.8 Externe Revision<br />
Die externe Revision k<strong>an</strong>n die Umsetzung des <strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich überprüfen.<br />
5 <strong>Risikom<strong>an</strong>agement</strong>prozess<br />
Die Umsetzung des <strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich erfolgt nach einem st<strong>an</strong>dardisierten<br />
Prozess, <strong>der</strong> gemäss nachstehen<strong>der</strong> Abbildung 2 die folgenden Schritte umfasst:<br />
Risikoerfassung<br />
Risikocontrolling<br />
Risikobewertung<br />
Risikobewältigung<br />
Abbildung 2: <strong>Risikom<strong>an</strong>agement</strong>prozess<br />
5.1 Risikoerfassung<br />
Die Risikoerfassung beinhaltet eine g<strong>an</strong>zheitliche Best<strong>an</strong>desaufnahme <strong>der</strong> Risiken. Org<strong>an</strong>isatorisch<br />
wird sie von den Einheiten durchgeführt. Die Risikoerfassung wird periodisch aktualisiert.<br />
Die erfassten Risiken werden auf Gesamtstufe <strong>ETH</strong> Zürich im Risikokatalog konsolidiert<br />
(siehe Anh<strong>an</strong>g B).<br />
9
Fin<strong>an</strong>zielle Auswirkung (Tragweite)<br />
5.2 Risikobewertung<br />
Auf <strong>der</strong> Risikoerfassung aufbauend werden die Risiken nach ihren fin<strong>an</strong>ziellen Auswirkungen<br />
<strong>und</strong> Eintretenswahrscheinlichkeiten bewertet <strong>und</strong> nach Prioritäten geordnet. Sie werden im<br />
Risikokatalog <strong>und</strong> <strong>der</strong> Risikomatrix eingetragen (vgl. Abbildung 3). 3<br />
Risikomatrix<br />
Kernrisiken<br />
Zu meldende Risiken<br />
Eintretenswahrscheinlichkeit<br />
Tragweite<br />
1 < 0,01 Mio.<br />
2 0,01 - 1 Mio.<br />
3 1 - 10 Mio.<br />
4 10 - 50 Mio.<br />
5 50 - 100 Mio.<br />
6 > 100 Mio.<br />
Häufigkeit<br />
1 1 / >1000 Jahre<br />
2 1 / 100-1000 Jahre<br />
3 1 / 10-100 Jahre<br />
4 1 / 5-10 Jahre<br />
5 1 / 2-5 Jahre<br />
6 1 /
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
6 Versicherungspolitik<br />
Gr<strong>und</strong>sätzlich trägt die <strong>ETH</strong> Zürich ihre potentiellen Schäden selbst. Der Abschluss von Versicherungsverträgen<br />
ist subsidiär zu <strong>an</strong><strong>der</strong>en Massnahmen zur Vermeidung <strong>und</strong> Vermin<strong>der</strong>ung<br />
von Risiken.<br />
Neben den gesetzlich vorgeschriebenen Versicherungen hat die <strong>ETH</strong> Zürich die folgenden<br />
Versicherungen abgeschlossen:<br />
– eine Sach- <strong>und</strong> Betriebsunterbrechungsversicherung<br />
– eine Betriebshaftpflichtversicherung<br />
Die Identifikation von beson<strong>der</strong>s risikobehafteten Objekten/ Tätigkeiten erfolgt durch die<br />
Einheiten <strong>der</strong> <strong>ETH</strong> Zürich selber. Es ist eine Versicherung abzuschliessen, sofern keine <strong>an</strong><strong>der</strong>en<br />
Massnahmen zur Risikominimierung möglich sind. Die <strong>Risikom<strong>an</strong>agement</strong> Org<strong>an</strong>isation beurteilt,<br />
ob eine Versicherung einem vertretbaren Kosten-/Nutzenverhältnis entspricht. Ergibt die<br />
Beurteilung, dass das Kosten-/Nutzenverhältnis nicht adäquat <strong>und</strong> daher auf eine Versicherung<br />
zu verzichten ist, so entbindet die <strong>Risikom<strong>an</strong>agement</strong> Org<strong>an</strong>isation die Einheit von <strong>der</strong><br />
Versicherungspflicht.<br />
Bei Fragen zu Versicherungen <strong>und</strong> für Versicherungsabschlüsse ist die Abteilung Fin<strong>an</strong>zdienstleistungen<br />
einzubeziehen.<br />
Die detaillierten Bestimmungen zur Risikofin<strong>an</strong>zierung finden sich in den Weisungen des<br />
<strong>ETH</strong>-Rates zum <strong>Risikom<strong>an</strong>agement</strong> (Art. 9 -14), dem Fin<strong>an</strong>zreglement (Art. 114 -116 <strong>und</strong><br />
Anh<strong>an</strong>g 1) sowie den Richtlinien über nicht versicherte Risiken <strong>und</strong> Ereignisse.<br />
7 Schadenm<strong>an</strong>agement <strong>und</strong> Schadenfin<strong>an</strong>zierung<br />
7.1 Frühindikatoren<br />
Die Einführung von Frühindikatoren k<strong>an</strong>n bei einigen Risiken sinnvoll sein. Die Indikatoren<br />
sollen so definiert sein, dass sie eine Aussagekraft über das entsprechende Risiko haben. Sie<br />
müssen gute Frühinformationseigenschaften besitzen bzw. den Entwicklungen von Interesse<br />
vorauseilen. Für die Frühindikatoren werden Sollwerte <strong>und</strong> Toler<strong>an</strong>zgrenzen festgelegt, die<br />
ständig überwacht werden <strong>und</strong> bei Über- bzw. Unterschreitung eine Aktion auslösen.<br />
7.2 Schadenmeldung<br />
Im Schadenfall ist <strong>der</strong> Stab Sicherheit, Ges<strong>und</strong>heit <strong>und</strong> Umwelt unverzüglich zu informieren.<br />
11
7.3 Schadenfin<strong>an</strong>zierung<br />
Anlaufstelle betreffend Schadenfin<strong>an</strong>zierung ist die Abteilung Fin<strong>an</strong>zdienstleistungen. Die<br />
Kompetenzen betreffend Schadendeckung sind gemäss Fin<strong>an</strong>zreglement, Anh<strong>an</strong>g 1, wie folgt<br />
geregelt:<br />
Schadensausmass Träger des Schadens Entscheid Schadensdeckung<br />
Schäden, welche die in <strong>der</strong><br />
B<strong>und</strong>esgesetzgebung<br />
ver<strong>an</strong>kerten Aufgaben <strong>der</strong><br />
<strong>ETH</strong> Zürich gefährden<br />
B<strong>und</strong><br />
<strong>ETH</strong>-Rat, B<strong>und</strong><br />
> CHF 1 Mio. Sachversicherung (Vollwert)<br />
Haftpflicht (bis CHF 50 Mio.)<br />
Rückstellungen/<br />
Eigenversicherung<br />
Versicherung/SL<br />
CHF 250k bis 1 Mio.<br />
CHF 50k bis 250k<br />
Versicherungen <strong>und</strong>/o<strong>der</strong><br />
Rückstellungen/<br />
Eigenversicherung<br />
Versicherungen <strong>und</strong>/o<strong>der</strong><br />
Rückstellungen/<br />
Eigenversicherung<br />
Präsident mit VPFC<br />
VPFC mit Leiterin<br />
Fin<strong>an</strong>zdienstleistungen<br />
< CHF 50k Rückstellungen/<br />
Eigenversicherung<br />
Leiterin Fin<strong>an</strong>zdienstleistungen<br />
Abbildung 4: Schadenfin<strong>an</strong>zierung<br />
Selbstbehalt von CHF 1.5k pro Ereignis <strong>und</strong> Einheit<br />
Die Schadendeckung <strong>und</strong> Deckungszusagen nicht versicherter Risiken <strong>und</strong> Ereignisse sind<br />
im Anh<strong>an</strong>g 1 zum Fin<strong>an</strong>zreglement geregelt.<br />
7.4 Ursachen<strong>an</strong>alyse<br />
Es liegt im Interesse <strong>der</strong> <strong>ETH</strong> Zürich, dass im Schadenfall eine Ursachen<strong>an</strong>alyse erfolgt. Dabei<br />
bedarf es <strong>der</strong> aktiven Mitarbeit aller betroffenen Einheiten sowie <strong>der</strong> jeweiligen Vorgesetzten.<br />
Die systematisch gewonnenen Erkenntnissen fliessen zurück in den <strong>Risikom<strong>an</strong>agement</strong> Prozess.<br />
Damit wird sichergestellt, dass aus Fehlern Verbesserungen erzielt werden können.<br />
12
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
Anhänge<br />
A<br />
B<br />
Begriffe <strong>der</strong> Risikopolitik (Glossar)<br />
Kernrisiken <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
13
Anh<strong>an</strong>g A: Begriffe <strong>der</strong> Risikopolitik (Glossar)<br />
Kernrisiken<br />
Kernrisiken sind diejenigen Risiken mit potenziell hohen<br />
fin<strong>an</strong>ziellen Auswirkungen <strong>und</strong>/o<strong>der</strong> überdurchschnittlicher<br />
Eintretenswahrscheinlichkeiten. An <strong>der</strong> <strong>ETH</strong> Zürich werden als<br />
Kernrisiken diejenigen Risiken bezeichnet, welche unmittelbar die<br />
Erfüllung <strong>der</strong> gesetzlichen Aufgaben gefährden. <strong>und</strong> ein<br />
Risikoprodukt (Eintretenswahrscheinlichkeit multipliziert mit<br />
Schadensausmass) von 16 o<strong>der</strong> mehr aufweisen.<br />
Massnahmenkatalog<br />
Ein Massnahmenkatalog ist eine Erweiterung des Risikokatalogs<br />
<strong>und</strong> stellt ein Arbeitsinstrument zur Risikobewältigung dar. In<br />
ihm werden die einzelnen Massnahmen pro Risiko erfasst. Je<br />
Massnahme werden Angaben zu Umsetzungszeitpunkt, Status<br />
<strong>und</strong> Massnahmeneigner aufgeführt. Er zeigt insbeson<strong>der</strong>e auf,<br />
wie die Eintretenswahrscheinlichkeit <strong>und</strong>/o<strong>der</strong> die Schadenhöhe<br />
eines Risikos reduziert werden können.<br />
Massnahmeneigner<br />
Der Massnahmeneigner trägt die Ver<strong>an</strong>twortung für die<br />
Umsetzung <strong>der</strong> Massnahmen. Er informiert den Risikoeigner<br />
periodisch (mindestens jährlich) über den St<strong>an</strong>d <strong>und</strong> Fortschritt.<br />
Risikobewältigung<br />
Die Risikobewältigung stützt sich auf die → Risikoerfassung <strong>und</strong><br />
→ Risikobewertung. Es geht um die Formulierung <strong>und</strong><br />
Umsetzung geeigneter Massnahmen für die Eindämmung <strong>der</strong><br />
Risiken mit identifiziertem H<strong>an</strong>dlungsbedarf, namentlich <strong>der</strong> so<br />
gen<strong>an</strong>nten → Kernrisiken.<br />
Risikobewertung<br />
Die Risikobewertung umfasst die Beurteilung jedes einzelnen im<br />
→ Risikokatalog erfassten Risikos nach <strong>der</strong><br />
Eintretenswahrscheinlichkeit <strong>und</strong> dem max. Schadensausmass<br />
(fin<strong>an</strong>zielle Auswirkung). Gestützt auf die vorgenommenen<br />
Bewertungen wird eine → Risikomatrix erstellt.<br />
Risikocontrolling<br />
Das Risikocontrolling umfasst die Überprüfung <strong>und</strong> Steuerung<br />
des <strong>Risikom<strong>an</strong>agement</strong>prozesses. Es stellt den kontinuierlichen<br />
Prozess gemäss den Gr<strong>und</strong>sätzen <strong>der</strong> Risikopolitik sicher <strong>und</strong><br />
trachtet nach kontinuierlicher Verbesserung dieses Prozesses.<br />
Das Risikocontrolling legt die Abweichungen des Ist- Zust<strong>an</strong>des<br />
von den Zielen <strong>der</strong> Risikopolitik offen; zudem dient es <strong>der</strong><br />
Erfolgskontrolle bei <strong>der</strong> Umsetzung von Massnahmen.<br />
Risikoeigner<br />
Jedem Risiko wird eine ver<strong>an</strong>twortliche Person im jeweiligen<br />
Departement bzw. in <strong>der</strong> jeweiligen Verwaltungseinheit<br />
zugeordnet. Diese Person trägt operationell die Ver<strong>an</strong>twortung<br />
für die ihr zugeteilten Risiken.<br />
14
<strong>Risikom<strong>an</strong>agement</strong> <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich<br />
Risikoerfassung<br />
Die Risikoerfassung zielt auf eine möglichst umfassende<br />
Best<strong>an</strong>desaufnahme <strong>der</strong> Risiken. Sie erfolgt org<strong>an</strong>isatorisch<br />
betrachtet von unten nach oben, d.h. sie wird in den einzelnen<br />
<strong>ETH</strong> <strong>und</strong> Forschungs<strong>an</strong>stalten durchgeführt. Das Resultat <strong>der</strong><br />
Risikoerfassung ist ein → Risikokatalog in Tabellenform.<br />
Risikokatalog<br />
Ein Inventar von Risiken in Tabellenform, geglie<strong>der</strong>t nach<br />
Merkmalen Risikobeschreibung, Szenarien,<br />
Eintretenswahrscheinlichkeit, Auswirkung, Risikoprodukt sowie<br />
Risikoeigner.<br />
Risikomatrix<br />
Zweidimensionale graphische Darstellung <strong>der</strong> Risikol<strong>an</strong>dschaft.<br />
Auf <strong>der</strong> Abszisse werden skalierte<br />
Eintretenswahrscheinlichkeiten <strong>und</strong> auf <strong>der</strong> Ordinate skalierte<br />
Schadenshöhen abgebildet. Aus <strong>der</strong> Multiplikation von<br />
Eintretenswahrscheinlichkeit <strong>und</strong> Auswirkung resultiert das<br />
Risikoprodukt, welches eine Priorisierung <strong>der</strong> Risiken erlaubt.<br />
Risikoprofil<br />
Ergebnis <strong>der</strong> Eintragung <strong>der</strong> einzelnen Risiken in die Risikomatrix.<br />
Es zeigt das Betriebsrisiko einer bestimmten Org<strong>an</strong>isation auf<br />
<strong>und</strong> bildet damit die Basis zu <strong>der</strong>en → Risikobewältigung. Das<br />
Risikoprofil wird auch Wahrscheinlichkeits-Tragweite-Diagramm<br />
gen<strong>an</strong>nt.<br />
15
Anh<strong>an</strong>g B: Kernrisiken <strong>an</strong> <strong>der</strong> <strong>ETH</strong> Zürich (St<strong>an</strong>d 9.6.2010)<br />
ID Risiko Risikobeschreibung<br />
<strong>ETH</strong>-<br />
001<br />
<strong>ETH</strong>-<br />
002<br />
<strong>ETH</strong>-<br />
003<br />
Signifik<strong>an</strong>ter Ausfall fin<strong>an</strong>zieller<br />
Mittel, Verpassen von Drittmittelpotential<br />
<strong>ETH</strong>-<br />
004<br />
Verlust wichtiger Mitarbeiten<strong>der</strong>,<br />
fehlendes Know How, Min<strong>der</strong>ung<br />
Arbeitsleistung<br />
Beschaffungsrisiken<br />
Gewalt o<strong>der</strong> Bedrohung gegen<br />
Personen<br />
Unvorhersehbarer Ausfall von Schlüsselpersonen, fehlende Sicherstellung von<br />
Kontinuität im Mittelbau (Brain Drain), ungenügendes Fachwissen/Ausbildung<br />
(För<strong>der</strong>ung MA), Unzufriedenheit <strong>und</strong> Abgänge von Talenten aufgr<strong>und</strong> fehlen<strong>der</strong><br />
Entwicklungsmöglichkeiten. Min<strong>der</strong>ung <strong>der</strong> Arbeitsleistung durch Unsicherheiten<br />
aufgr<strong>und</strong> von Umstrukturierungen <strong>und</strong> Vorgesetztenwechsel, unzureichende<br />
Betreuung durch Vorgesetzte, unzufriedenstellende Arbeitsplatzbedingungen.<br />
Schaden durch betriebswirtschaftlich unsinnige Beschaffung, ungenügende<br />
Abklärung <strong>der</strong> Bedürfnisse, ungenügende Berücksichtigung von Folgekosten von<br />
Beschaffungen (z.B. bauliche Anpassungen, keine TCO-Betrachtungen), unvorteilhafte<br />
Lieferkonditionen <strong>und</strong> Verträge, Einkauf zu überhöhten Preisen, Abhängigkeiten<br />
von Liefer<strong>an</strong>ten (z.B. Konkurs, Marktmacht, m<strong>an</strong>gelhafte Produkte), keine<br />
Verfügbarkeit von Verbrauchs- <strong>und</strong> Ersatzteilen, Verletzung ethischer Normen (im<br />
Beschaffungsprozess, Quelle/Herstellung <strong>der</strong> beschafften Güter).<br />
Sinkende Budgetmittel, sinkende Drittmittel, Professuren vernachlässigen die<br />
Drittmittel-Einwerbung, zu günstige Verrechnung von Leistungen, Verluste im<br />
Cash- <strong>und</strong> Assetm<strong>an</strong>agement <strong>und</strong> aus Beteiligungen.<br />
Gewalt o<strong>der</strong> Gewalt<strong>an</strong>drohung, Ausnützen von Machtverhältnissen, sexuelle<br />
Belästigung, Verletzung <strong>der</strong> physischen o<strong>der</strong> psychischen Integrität von Personen.<br />
<strong>ETH</strong>-<br />
005<br />
<strong>ETH</strong>-<br />
007<br />
<strong>ETH</strong>-<br />
010<br />
<strong>ETH</strong>-<br />
014<br />
<strong>ETH</strong>-<br />
025<br />
Unzureichende Leistungen in <strong>der</strong><br />
Lehre<br />
Datenverlust/unberechtigter<br />
Zugriff auf Daten<br />
Kommunikationsrisiken <strong>und</strong><br />
Verlust <strong>der</strong> Akzept<strong>an</strong>z bei wichtigen<br />
Stakehol<strong>der</strong>n<br />
Wissenschaftliches Fehlverhalten<br />
Grossschaden <strong>an</strong> Immobilien im<br />
Eigentum B<strong>und</strong><br />
Erwartungen <strong>der</strong> Studierenden bez. Lehrqualität werden nicht erfüllt. Misserfolg<br />
bei <strong>der</strong> Anziehung <strong>und</strong> Rekrutierung (hochqualifizierter) Studieren<strong>der</strong>. Drastische<br />
Schw<strong>an</strong>kungen bei den Studierendenzahlen führen zu Qualitätsproblemen <strong>und</strong><br />
ungenügendem Betreuungsverhältnis. Grobe Fehler in Verfahren <strong>und</strong> Prozessen<br />
(insb. Prüfungen), M<strong>an</strong>ipulationen, unethisches Verhalten (z.B. Korruption).<br />
Wichtige/vertrauliche Akten o<strong>der</strong> digitale Daten aus Lehre, Forschung <strong>und</strong> Administration<br />
stehen nicht mehr zur Verfügung, werden gestohlen o<strong>der</strong> illegal publiziert.<br />
Daten müssen teuer regeneriert werden o<strong>der</strong> sind unwie<strong>der</strong>bringlich verloren.<br />
Z.B. durch m<strong>an</strong>gelhafte o<strong>der</strong> ungenügend umgesetzte Schutz- <strong>und</strong> Sicherungsmassnahmen,<br />
Ausfall <strong>der</strong> Speicher, Sabotage, Hacking, unberechtigter<br />
Zugriff, illegale Weitergabe, Verfälschung o<strong>der</strong> Löschung durch Insi<strong>der</strong>, Verlust<br />
von Akten o<strong>der</strong> Datenträgern.<br />
Reputations- <strong>und</strong> Imageverlust durch Fehler in <strong>der</strong> Pressearbeit, schlechte Aussendarstellung,<br />
Angriffe von aussen, politische Angriffe, schlechte Kommunikation<br />
zu gesellschaftlich/ethisch umstrittenen (Forschungs-) Aktivitäten o<strong>der</strong> Zusammenarbeit<br />
mit Dritten, schlechtes Krisenm<strong>an</strong>agement, Äusserungen von <strong>ETH</strong><br />
Angehörigen. Zu wenig Einfluss auf die Politik, Akzept<strong>an</strong>zverlust in <strong>der</strong> Gesellschaft,<br />
zu wenig Engagement gegenüber Stakehol<strong>der</strong>n.<br />
Verfälschung/Fälschung von Resultaten, Plagiate, unethisches Verhalten, Verstoss<br />
gegen <strong>ETH</strong> Richtlinien bzw. qualitative o<strong>der</strong> ethische St<strong>an</strong>dards, Integrität <strong>der</strong><br />
Forschung wird verletzt.<br />
Schäden <strong>an</strong> von <strong>ETH</strong>-genutzten Immobilien im Eigentum des B<strong>und</strong>es aufgr<strong>und</strong><br />
z.B. Feuer, Wasser o<strong>der</strong> Elementarereignissen. Unklarheit, wer für die Wie<strong>der</strong>inst<strong>an</strong>dstellung<br />
aufkommt.<br />
16