Risikomanagement an der ETH Zürich - ETH - Finanzen und ...

Risikomanagement
an der ETH Zürich
Richtlinien, Systematik & Verantwortlichkeiten

Zweck dieses Dokuments
Dieses Dokument hält die Risikopolitik der ETH Zürich fest und dient als Informations- und
Kommunikationsmittel für alle Beteiligten. Die Risikopolitik ist Teil der Geschäftspolitik der
ETH Zürich und legt die Leitlinien/ Rahmenbedingungen zu einem homogenen, systematischen
und konsequenten Umgang mit Risiken fest. Entsprechend der kontinuierlichen Weiterentwicklung
des Risikomanagement und der Veränderung des Umfeldes der ETH Zürich wird
das Dokument periodisch angepasst.
Stand 9. Juni 2010 / Version 2.0
2

Risikomanagement an der ETH Zürich
Inhaltsverzeichnis
1 Präambel ............................................................................................ 4
2 Rahmenbedingungen und Ziele .................................................... 4
2.1 Definition Risikomanagement ..........................................................................................4
2.2 Risikomanagementziele .................................................................................................... 5
2.3 Formale Grundlagen .......................................................................................................... 5
2.4 Geltungsbereich ................................................................................................................. 5
3 Grundsätze der Risikobewältigung............................................... 6
3.1 Führungsaufgabe ............................................................................................................... 6
3.2 Risikobewältigung ............................................................................................................. 6
3.3 Risikofinanzierung ............................................................................................................. 6
3.4 Risikokosten ........................................................................................................................ 6
4 Organisation und Verantwortlichkeiten ....................................... 7
4.1 Präsident/Vizepräsident Finanzen & Controlling/Schulleitung ............................... 7
4.2 Risikomanagement-Kommission ....................................................................................8
4.3 Risikomanagement Kernteam .........................................................................................8
4.4 Einheiten aus Lehre, Forschung und Administration ..................................................8
4.5 Risikoeigner .........................................................................................................................8
4.6 Massnahmeneigner .......................................................................................................... 9
4.7 Interne Revision ................................................................................................................. 9
4.8 Externe Revision ................................................................................................................ 9
5 Risikomanagementprozess ............................................................ 9
5.1 Risikoerfassung ................................................................................................................... 9
5.2 Risikobewertung ............................................................................................................... 10
5.3 Risikobewältigung ............................................................................................................ 10
5.4 Risikocontrolling ............................................................................................................... 10
6 Versicherungspolitik ........................................................................ 11
7 Schadenmanagement und Schadenfinanzierung ...................... 11
7.1 Frühindikatoren .................................................................................................................. 11
7.2 Schadenmeldung ............................................................................................................... 11
7.3 Schadenfinanzierung ....................................................................................................... 12
7.4 Ursachenanalyse ............................................................................................................... 12
Anhänge ................................................................................................. 13
Anhang A: Begriffe der Risikopolitik (Glossar) ...................................................................... 14
Anhang B: Kernrisiken an der ETH Zürich ............................................................................... 16
3

1 Präambel
Im Zusammenhang mit der Erfüllung des akademischen Grundauftrags und der Verfolgung
der strategischen Ziele der ETH Zürich lassen sich bestimmte Risiken nicht vermeiden. Im
Rahmen des Risikomanagement soll proaktiv auf diese Risiken eingegangen und mit geeigneten
Massnahmen das Risikopotential auf ein akzeptables Niveau reduziert werden. In erster
Linie ist immer die Eigenverantwortlichkeit aller an der ETH beschäftigten Menschen gefordert.
Ereignen sich trotz aller Vorsichtsmassnahmen Schäden, welche auf Fehler zurückzuführen
sind, behandeln wir diese offen und ehrlich. Fehler sind auch eine Lerngelegenheit, es geht
nicht um eine Schuldzuweisung, sondern um die Realisierung von Verbesserungspotentialen.
2 Rahmenbedingungen und Ziele
2.1 Definition Risikomanagement
Unternehmensweites Risikomanagement wird gemäss COSO 1 folgendermassen definiert:
«Unternehmensweites Risikomanagement ist ein Prozess,
ausgeführt durch Überwachungs- und Leitungsorgane, Führungskräfte und Mitarbeiter
einer Organisation,
angewandt bei der Strategiefestlegung sowie innerhalb der Gesamtorganisation,
gestaltet um die Organisation beeinflussenden, möglichen Ereignisse zu erkennen,
und um hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu
gewährleisten.»
In den Weisungen des ETH-Rates zum Risikomanagement 2 heisst es:
Das Risikomanagement bildet den Rahmen für einen planvollen Umgang mit den Risiken.
Es stützt sich auf die Risikopolitik.
Zentrales Element ist der kontinuierliche Verbesserungsprozess, welcher auf die Reduktion
von Risiken und deren Folgen abzielt.
Er umfasst die Teilprozesse Risikoerfassung, Risikobewertung, Risikobewältigung, und
Risikocontrolling.
1
COSO (The Committee of Sponsoring Organizations of the Treadway Commission) hat einen
weltweit bei Unternehmen, Organisationen und Revisionsgesellschaften etablierten
Risikomanagementstandard entwickelt
(www.coso.org).
2 Weisungen des ETH-Rates über das Risikomanagement der ETH und der Forschungsanstalten vom
4. Juli 2006.
4

Risikomanagement an der ETH Zürich
2.2 Risikomanagementziele
Die Schulleitung verfolgt mit der Risikopolitik namentlich folgende Ziele:
– Die Wahrung des guten Rufes der ETH Zürich.
– Das Vermeiden von Schäden.
– Die Unterstützung der Zielerreichung der ETH Zürich.
– Die Erhaltung der Funktionstüchtigkeit der ETH Zürich.
– Die Gewährleistung eines hohen Masses an Sicherheit für Personen und Vermögenswerte.
– Die Förderung der Eigenverantwortung und des Risikobewusstseins bei den Mitarbeitenden
der ETH Zürich.
– Die Unterstützung der Führung mittels umfassender und aktueller Risikoinformation.
– Eine Gesamtübersicht über die Risikosituation der ETH Zürich.
– Die Kontrolle und Minimierung der Risikokosten (Fremd- und Eigenversicherung).
– Eine wirkungsorientierte, kosteneffiziente und antizipative Aufgabenerfüllung.
2.3 Formale Grundlagen
Risikomanagement wird durch folgende Erlasse, Weisungen und Beschlüsse gefordert:
Bundesratsbeschluss vom 19. Januar 2005
– Verpflichtung zum Risikomanagement für Organisationen des 3. und 4. Kreises der
Bundesverwaltung.
Artikel 19a VO ETH-Bereich (RSETHZ 120)
– Regelt die Grundzüge des Risikomanagement.
Weisungen des ETH-Rates über das Risikomanagement der ETH und der Forschungsanstalten
(RSETHZ 126)
– Regelung der Grundzüge des Risikomanagement und der Risikofinanzierung.
– Verantwortung für das Risikomanagement liegt beim Präsidenten.
Verordnung über die Organisation der ETH Zürich,, Art. 8, Abs. 1, lit e; Art. 11a, Abs 3, lit e; Art. 28,
Abs. 1, lit e (RSETHZ 201.021)
– Zuständigkeit für das Risikomanagement liegt beim Präsidenten.
– Umsetzungsverantwortung für das Risikomanagement liegt beim Vizepräsidenten
Finanzen & Controlling.
– Risikomanagement Kommission als beratende Kommission der Schulleitung
Reglement für die Risikomanagement Kommission der ETH Zürich (RSETHZ 203.7)
– Regelt die Tätigkeiten und Organisation der Risikomanagement Kommission.
– Vorsitz durch den Vizepräsidenten Finanzen & Controlling
Finanzreglement Art. 114-116 und Anhang 1 (RSETHZ 245)
– Regelt die Kompetenzen betreffend der Finanzierung zur Behebung von Schäden &
betreffend Deckungszusagen.
Richtlinien über nicht versicherte Risiken und Ereignisse (RSETHZ 203.71)
– Regelt den Deckungsumfang der Rückstellungen für nicht versicherte Risiken sowie die
Versicherungspflicht bei Objekten und Tätigkeiten mit erhöhter Risikoexposition.
2.4 Geltungsbereich
Der Geltungsbereich der vorliegenden Risikopolitik umfasst die gesamte ETH Zürich.
5

3 Grundsätze der Risikobewältigung
3.1 Führungsaufgabe
Der bewusste Umgang mit Risiken liegt in der Verantwortung jedes Mitarbeitenden. Das adäquate
Risikomanagement ist eine Führungsaufgabe, die in den Einheiten wahrgenommen
wird.
Der Präsident trägt die Verantwortung.
3.2 Risikobewältigung
In der Bewältigung der Risiken folgt die ETH Zürich in dieser Reihenfolge den Prinzipien:
– Vermeiden
– Vermindern
– Akzeptieren – Tragen
– Finanzieren
3.3 Risikofinanzierung
Die ETH Zürich trägt ihre Risiken grundsätzlich selbst.
Der Abschluss von Versicherungen kann sinnvoll sein, wenn keine anderen Massnahmen möglich
sind. Dies trifft insbesondere für Risiken zu, welche eine tiefe Eintretenswahrscheinlichkeit
und ein hohes Schadenpotential haben.
Für nichtversicherte oder nichtversicherbare grössere Ereignisse sieht die ETH Zürich eine
Eigenversicherung vor (siehe auch Ziff. 5 Versicherungspolitik).
Bestimmungen zur Risikofinanzierung finden sich in den Weisungen des ETH-Rates zum
Risikomanagement (Art. 9 -14), dem Finanzreglement (Art. 114 -116 und Anhang 1) sowie den
Richtlinien über nicht versicherte Risiken und Ereignisse.
3.4 Risikokosten
Ziel ist, das Total der Risikokosten zu minimieren. Die Risikokosten setzten sich aus den folgenden
Komponenten zusammen:
– Versicherungsprämien
– Selbstgetragene Schäden
– Präventive Risikominderungs-/Schadenverhütungskosten
– Verwaltungskosten (z.B. Kosten der Administration, Honorare).
6

Risikomanagement an der ETH Zürich
4 Organisation und Verantwortlichkeiten
Das iterative Zusammenspiel zwischen den nachfolgend beschriebenen Funktionsträgern und
Gremien ist von zentraler Bedeutung für ein funktionierendes Risikomanagement System.
Nach dem Prinzip der Eigenverantwortung ist es zudem wichtig, dass sowohl die direkt am
Prozess beteiligten Personen wie auch alle weiteren ETH-Angehörigen ein entsprechendes
Risiko-Bewusstsein entwickeln.
Das Risikomanagement an der ETH Zürich ist folgendermassen organisiert (Abbildung 1):
ETH-Rat
Präsident / VPFC / Schulleitung
Interne und externe
Revision
Risikomanagement Kommission (RMK)
Vorsitz: VPFC
Kernteam Risikomanagement
Vorsitz: Leiterin FD
Leiterin SGU, Leiter Rechtsdienst, Sekretär Risikomanagement
Einheiten aus Lehre, Forschung, Administration
Risikoeigner
Risikoeigner
Risikoeigner
Massnahmeneigner
Massnahmeneigner Massnahmeneigner Massnahmeneigner
Abbildung 1: Organisation des Risikomanagements
4.1 Präsident/Vizepräsident Finanzen & Controlling/Schulleitung
Dem Präsidenten fällt gemäss Art. 4 Abs. 1 der Weisungen Risikomanagement bzw. der Organisationsverordnung
ETH die Verantwortung für das Risikomanagement zu, die Umsetzungsverantwortung
liegt beim Vizepräsidenten Finanzen & Controlling. Die Schulleitung genehmigt
jährlich den Risikokatalog auf Gesamtstufe ETH Zürich und die damit verbundenen
Massnahmen, gegebenenfalls inklusive Ressourcenzuteilung. Sie bewilligt die periodisch zu
aktualisierende Risikopolitik auf Antrag der Risikomanagement Kommission. Weiter informiert
sie den ETH-Rat (via Internes Audit) periodisch über Bestand, Umfang und potentielle Auswirkungen
der Kernrisiken. Die Schulleitung entscheidet ferner über nichtversicherte Schäden von
über CHF 1 Mio. gemäss Kompetenzregelung im Finanzreglement und wählt die Mitglieder der
Risikomanagement Kommission.
7

4.2 Risikomanagement-Kommission
Die Risikomanagement Kommission (Vorsitz durch den Vizepräsidenten Finanzen & Controlling)
ist das beratende Gremium der Schulleitung in Fragen des Risikomanagement, der Risikofinanzierung
und der Versicherungen. Sie beurteilt periodisch die Risiko-, Schadens- und Versicherungssituation.
In ihrer Verantwortung liegt die ETH-weite Steuerung des Risikomanagements.
Die Kommission schlägt der Schulleitung bzw. dem Präsidenten periodisch die aktualisierte
Risikopolitik vor. Sie beschliesst das Vorgehen zu Risikoerhebung, -bewertung, -
bewältigung und -controlling und überwacht den Prozess. Daneben stellt die Kommission für
das Risikomanagement eine angemessene organisatorische, personelle, technische und methodische
Infrastruktur sicher.
Aufgaben und Organisation der Risikomanagement Kommission sind im Reglement für die
Risikomanagement Kommission (RMK) der Eidgenössischen Technischen Hochschule
Zürich vom 3. Juni 2008 geregelt.
4.3 Risikomanagement Kernteam
Das Kernteam verantwortet die fachliche Führung in den Bereichen Risiko-, Schadens- und
Versicherungsmanagement. Es ist für die Prozessführung des Risikomanagement gemäss den
Vorgaben der RMK zuständig. Das Kernteam konsolidiert jährlich den Risiko- und den Massnahmenkatalog.
Es erstellt die Grundzüge der Risikopolitik sowie den Risikocontrollingbericht.
Das Kernteam unterstützt und berät Schulleitung, Präsident und Kommission in der Umsetzung
eines adäquaten Risikomanagement. Für die Organisationseinheiten ist das Kernteam
die Anlaufstelle bei technischen und organisatorischen Fragen zum Risikomanagement.
4.4 Einheiten aus Lehre, Forschung und Administration
Verantwortlich für die Umsetzung des Risikomanagement sind die Führungskräfte der Einheiten.
Die Einheiten stellen sicher, dass die in diesem Dokument aufgeführten Verantwortlichkeiten
wahrgenommen, Risiken identifiziert und bewertet sowie Massnahmen gegen Risiken
erarbeitet und umgesetzt werden.
4.5 Risikoeigner
Der Risikoeigner trägt die Verantwortung für das adäquate Management eines Risikos. Er ist
für die Erarbeitung und Initiierung entsprechender Massnahmen zuständig und stellt die
notwendigen finanziellen und personellen Ressourcen zur Umsetzung der Massnahmen sicher.
Der Risikoeigner wird im Risikokatalog namentlich erwähnt. Er berichtet dem Kernteam
periodisch über den Stand und Massnahmen bestehender Risiken und meldet neu identifizierte
Risiken gemäss den definierten Schwellenwerten (siehe Risikomatrix S. 8).
8

Risikomanagement an der ETH Zürich
4.6 Massnahmeneigner
Der Massnahmeneigner trägt die Verantwortung für die Umsetzung der Massnahmen. Er
informiert periodisch (mindestens jährlich) den Risikoeigner über Stand und Fortschritt. Diese
Aufgabe ist nicht an eine Stabstelle delegierbar, das Kernteam unterstützt lediglich den Prozess,
die Verantwortung für die Umsetzung bleibt beim Risiko- und Massnahmeneigner.
4.7 Interne Revision
Die interne Revision überprüft periodisch die Umsetzung des Risikomanagement an der
ETH Zürich.
4.8 Externe Revision
Die externe Revision kann die Umsetzung des Risikomanagement an der ETH Zürich überprüfen.
5 Risikomanagementprozess
Die Umsetzung des Risikomanagement an der ETH Zürich erfolgt nach einem standardisierten
Prozess, der gemäss nachstehender Abbildung 2 die folgenden Schritte umfasst:
Risikoerfassung
Risikocontrolling
Risikobewertung
Risikobewältigung
Abbildung 2: Risikomanagementprozess
5.1 Risikoerfassung
Die Risikoerfassung beinhaltet eine ganzheitliche Bestandesaufnahme der Risiken. Organisatorisch
wird sie von den Einheiten durchgeführt. Die Risikoerfassung wird periodisch aktualisiert.
Die erfassten Risiken werden auf Gesamtstufe ETH Zürich im Risikokatalog konsolidiert
(siehe Anhang B).
9

Finanzielle Auswirkung (Tragweite)
5.2 Risikobewertung
Auf der Risikoerfassung aufbauend werden die Risiken nach ihren finanziellen Auswirkungen
und Eintretenswahrscheinlichkeiten bewertet und nach Prioritäten geordnet. Sie werden im
Risikokatalog und der Risikomatrix eingetragen (vgl. Abbildung 3). 3
Risikomatrix
Kernrisiken
Zu meldende Risiken
Eintretenswahrscheinlichkeit
Tragweite
1 < 0,01 Mio.
2 0,01 - 1 Mio.
3 1 - 10 Mio.
4 10 - 50 Mio.
5 50 - 100 Mio.
6 > 100 Mio.
Häufigkeit
1 1 / >1000 Jahre
2 1 / 100-1000 Jahre
3 1 / 10-100 Jahre
4 1 / 5-10 Jahre
5 1 / 2-5 Jahre
6 1 /

Risikomanagement an der ETH Zürich
6 Versicherungspolitik
Grundsätzlich trägt die ETH Zürich ihre potentiellen Schäden selbst. Der Abschluss von Versicherungsverträgen
ist subsidiär zu anderen Massnahmen zur Vermeidung und Verminderung
von Risiken.
Neben den gesetzlich vorgeschriebenen Versicherungen hat die ETH Zürich die folgenden
Versicherungen abgeschlossen:
– eine Sach- und Betriebsunterbrechungsversicherung
– eine Betriebshaftpflichtversicherung
Die Identifikation von besonders risikobehafteten Objekten/ Tätigkeiten erfolgt durch die
Einheiten der ETH Zürich selber. Es ist eine Versicherung abzuschliessen, sofern keine anderen
Massnahmen zur Risikominimierung möglich sind. Die Risikomanagement Organisation beurteilt,
ob eine Versicherung einem vertretbaren Kosten-/Nutzenverhältnis entspricht. Ergibt die
Beurteilung, dass das Kosten-/Nutzenverhältnis nicht adäquat und daher auf eine Versicherung
zu verzichten ist, so entbindet die Risikomanagement Organisation die Einheit von der
Versicherungspflicht.
Bei Fragen zu Versicherungen und für Versicherungsabschlüsse ist die Abteilung Finanzdienstleistungen
einzubeziehen.
Die detaillierten Bestimmungen zur Risikofinanzierung finden sich in den Weisungen des
ETH-Rates zum Risikomanagement (Art. 9 -14), dem Finanzreglement (Art. 114 -116 und
Anhang 1) sowie den Richtlinien über nicht versicherte Risiken und Ereignisse.
7 Schadenmanagement und Schadenfinanzierung
7.1 Frühindikatoren
Die Einführung von Frühindikatoren kann bei einigen Risiken sinnvoll sein. Die Indikatoren
sollen so definiert sein, dass sie eine Aussagekraft über das entsprechende Risiko haben. Sie
müssen gute Frühinformationseigenschaften besitzen bzw. den Entwicklungen von Interesse
vorauseilen. Für die Frühindikatoren werden Sollwerte und Toleranzgrenzen festgelegt, die
ständig überwacht werden und bei Über- bzw. Unterschreitung eine Aktion auslösen.
7.2 Schadenmeldung
Im Schadenfall ist der Stab Sicherheit, Gesundheit und Umwelt unverzüglich zu informieren.
11

7.3 Schadenfinanzierung
Anlaufstelle betreffend Schadenfinanzierung ist die Abteilung Finanzdienstleistungen. Die
Kompetenzen betreffend Schadendeckung sind gemäss Finanzreglement, Anhang 1, wie folgt
geregelt:
Schadensausmass Träger des Schadens Entscheid Schadensdeckung
Schäden, welche die in der
Bundesgesetzgebung
verankerten Aufgaben der
ETH Zürich gefährden
Bund
ETH-Rat, Bund
> CHF 1 Mio. Sachversicherung (Vollwert)
Haftpflicht (bis CHF 50 Mio.)
Rückstellungen/
Eigenversicherung
Versicherung/SL
CHF 250k bis 1 Mio.
CHF 50k bis 250k
Versicherungen und/oder
Rückstellungen/
Eigenversicherung
Versicherungen und/oder
Rückstellungen/
Eigenversicherung
Präsident mit VPFC
VPFC mit Leiterin
Finanzdienstleistungen
< CHF 50k Rückstellungen/
Eigenversicherung
Leiterin Finanzdienstleistungen
Abbildung 4: Schadenfinanzierung
Selbstbehalt von CHF 1.5k pro Ereignis und Einheit
Die Schadendeckung und Deckungszusagen nicht versicherter Risiken und Ereignisse sind
im Anhang 1 zum Finanzreglement geregelt.
7.4 Ursachenanalyse
Es liegt im Interesse der ETH Zürich, dass im Schadenfall eine Ursachenanalyse erfolgt. Dabei
bedarf es der aktiven Mitarbeit aller betroffenen Einheiten sowie der jeweiligen Vorgesetzten.
Die systematisch gewonnenen Erkenntnissen fliessen zurück in den Risikomanagement Prozess.
Damit wird sichergestellt, dass aus Fehlern Verbesserungen erzielt werden können.
12

Risikomanagement an der ETH Zürich
Anhänge
A
B
Begriffe der Risikopolitik (Glossar)
Kernrisiken an der ETH Zürich
13

Anhang A: Begriffe der Risikopolitik (Glossar)
Kernrisiken
Kernrisiken sind diejenigen Risiken mit potenziell hohen
finanziellen Auswirkungen und/oder überdurchschnittlicher
Eintretenswahrscheinlichkeiten. An der ETH Zürich werden als
Kernrisiken diejenigen Risiken bezeichnet, welche unmittelbar die
Erfüllung der gesetzlichen Aufgaben gefährden. und ein
Risikoprodukt (Eintretenswahrscheinlichkeit multipliziert mit
Schadensausmass) von 16 oder mehr aufweisen.
Massnahmenkatalog
Ein Massnahmenkatalog ist eine Erweiterung des Risikokatalogs
und stellt ein Arbeitsinstrument zur Risikobewältigung dar. In
ihm werden die einzelnen Massnahmen pro Risiko erfasst. Je
Massnahme werden Angaben zu Umsetzungszeitpunkt, Status
und Massnahmeneigner aufgeführt. Er zeigt insbesondere auf,
wie die Eintretenswahrscheinlichkeit und/oder die Schadenhöhe
eines Risikos reduziert werden können.
Massnahmeneigner
Der Massnahmeneigner trägt die Verantwortung für die
Umsetzung der Massnahmen. Er informiert den Risikoeigner
periodisch (mindestens jährlich) über den Stand und Fortschritt.
Risikobewältigung
Die Risikobewältigung stützt sich auf die → Risikoerfassung und
→ Risikobewertung. Es geht um die Formulierung und
Umsetzung geeigneter Massnahmen für die Eindämmung der
Risiken mit identifiziertem Handlungsbedarf, namentlich der so
genannten → Kernrisiken.
Risikobewertung
Die Risikobewertung umfasst die Beurteilung jedes einzelnen im
→ Risikokatalog erfassten Risikos nach der
Eintretenswahrscheinlichkeit und dem max. Schadensausmass
(finanzielle Auswirkung). Gestützt auf die vorgenommenen
Bewertungen wird eine → Risikomatrix erstellt.
Risikocontrolling
Das Risikocontrolling umfasst die Überprüfung und Steuerung
des Risikomanagementprozesses. Es stellt den kontinuierlichen
Prozess gemäss den Grundsätzen der Risikopolitik sicher und
trachtet nach kontinuierlicher Verbesserung dieses Prozesses.
Das Risikocontrolling legt die Abweichungen des Ist- Zustandes
von den Zielen der Risikopolitik offen; zudem dient es der
Erfolgskontrolle bei der Umsetzung von Massnahmen.
Risikoeigner
Jedem Risiko wird eine verantwortliche Person im jeweiligen
Departement bzw. in der jeweiligen Verwaltungseinheit
zugeordnet. Diese Person trägt operationell die Verantwortung
für die ihr zugeteilten Risiken.
14

Risikomanagement an der ETH Zürich
Risikoerfassung
Die Risikoerfassung zielt auf eine möglichst umfassende
Bestandesaufnahme der Risiken. Sie erfolgt organisatorisch
betrachtet von unten nach oben, d.h. sie wird in den einzelnen
ETH und Forschungsanstalten durchgeführt. Das Resultat der
Risikoerfassung ist ein → Risikokatalog in Tabellenform.
Risikokatalog
Ein Inventar von Risiken in Tabellenform, gegliedert nach
Merkmalen Risikobeschreibung, Szenarien,
Eintretenswahrscheinlichkeit, Auswirkung, Risikoprodukt sowie
Risikoeigner.
Risikomatrix
Zweidimensionale graphische Darstellung der Risikolandschaft.
Auf der Abszisse werden skalierte
Eintretenswahrscheinlichkeiten und auf der Ordinate skalierte
Schadenshöhen abgebildet. Aus der Multiplikation von
Eintretenswahrscheinlichkeit und Auswirkung resultiert das
Risikoprodukt, welches eine Priorisierung der Risiken erlaubt.
Risikoprofil
Ergebnis der Eintragung der einzelnen Risiken in die Risikomatrix.
Es zeigt das Betriebsrisiko einer bestimmten Organisation auf
und bildet damit die Basis zu deren → Risikobewältigung. Das
Risikoprofil wird auch Wahrscheinlichkeits-Tragweite-Diagramm
genannt.
15

Anhang B: Kernrisiken an der ETH Zürich (Stand 9.6.2010)
ID Risiko Risikobeschreibung
ETH-
001
ETH-
002
ETH-
003
Signifikanter Ausfall finanzieller
Mittel, Verpassen von Drittmittelpotential
ETH-
004
Verlust wichtiger Mitarbeitender,
fehlendes Know How, Minderung
Arbeitsleistung
Beschaffungsrisiken
Gewalt oder Bedrohung gegen
Personen
Unvorhersehbarer Ausfall von Schlüsselpersonen, fehlende Sicherstellung von
Kontinuität im Mittelbau (Brain Drain), ungenügendes Fachwissen/Ausbildung
(Förderung MA), Unzufriedenheit und Abgänge von Talenten aufgrund fehlender
Entwicklungsmöglichkeiten. Minderung der Arbeitsleistung durch Unsicherheiten
aufgrund von Umstrukturierungen und Vorgesetztenwechsel, unzureichende
Betreuung durch Vorgesetzte, unzufriedenstellende Arbeitsplatzbedingungen.
Schaden durch betriebswirtschaftlich unsinnige Beschaffung, ungenügende
Abklärung der Bedürfnisse, ungenügende Berücksichtigung von Folgekosten von
Beschaffungen (z.B. bauliche Anpassungen, keine TCO-Betrachtungen), unvorteilhafte
Lieferkonditionen und Verträge, Einkauf zu überhöhten Preisen, Abhängigkeiten
von Lieferanten (z.B. Konkurs, Marktmacht, mangelhafte Produkte), keine
Verfügbarkeit von Verbrauchs- und Ersatzteilen, Verletzung ethischer Normen (im
Beschaffungsprozess, Quelle/Herstellung der beschafften Güter).
Sinkende Budgetmittel, sinkende Drittmittel, Professuren vernachlässigen die
Drittmittel-Einwerbung, zu günstige Verrechnung von Leistungen, Verluste im
Cash- und Assetmanagement und aus Beteiligungen.
Gewalt oder Gewaltandrohung, Ausnützen von Machtverhältnissen, sexuelle
Belästigung, Verletzung der physischen oder psychischen Integrität von Personen.
ETH-
005
ETH-
007
ETH-
010
ETH-
014
ETH-
025
Unzureichende Leistungen in der
Lehre
Datenverlust/unberechtigter
Zugriff auf Daten
Kommunikationsrisiken und
Verlust der Akzeptanz bei wichtigen
Stakeholdern
Wissenschaftliches Fehlverhalten
Grossschaden an Immobilien im
Eigentum Bund
Erwartungen der Studierenden bez. Lehrqualität werden nicht erfüllt. Misserfolg
bei der Anziehung und Rekrutierung (hochqualifizierter) Studierender. Drastische
Schwankungen bei den Studierendenzahlen führen zu Qualitätsproblemen und
ungenügendem Betreuungsverhältnis. Grobe Fehler in Verfahren und Prozessen
(insb. Prüfungen), Manipulationen, unethisches Verhalten (z.B. Korruption).
Wichtige/vertrauliche Akten oder digitale Daten aus Lehre, Forschung und Administration
stehen nicht mehr zur Verfügung, werden gestohlen oder illegal publiziert.
Daten müssen teuer regeneriert werden oder sind unwiederbringlich verloren.
Z.B. durch mangelhafte oder ungenügend umgesetzte Schutz- und Sicherungsmassnahmen,
Ausfall der Speicher, Sabotage, Hacking, unberechtigter
Zugriff, illegale Weitergabe, Verfälschung oder Löschung durch Insider, Verlust
von Akten oder Datenträgern.
Reputations- und Imageverlust durch Fehler in der Pressearbeit, schlechte Aussendarstellung,
Angriffe von aussen, politische Angriffe, schlechte Kommunikation
zu gesellschaftlich/ethisch umstrittenen (Forschungs-) Aktivitäten oder Zusammenarbeit
mit Dritten, schlechtes Krisenmanagement, Äusserungen von ETH
Angehörigen. Zu wenig Einfluss auf die Politik, Akzeptanzverlust in der Gesellschaft,
zu wenig Engagement gegenüber Stakeholdern.
Verfälschung/Fälschung von Resultaten, Plagiate, unethisches Verhalten, Verstoss
gegen ETH Richtlinien bzw. qualitative oder ethische Standards, Integrität der
Forschung wird verletzt.
Schäden an von ETH-genutzten Immobilien im Eigentum des Bundes aufgrund
z.B. Feuer, Wasser oder Elementarereignissen. Unklarheit, wer für die Wiederinstandstellung
aufkommt.
16