Das Risikomanage-
ment der GIZ: Risiken minimieren, Schaden abwenden
Die GIZ erhält Gelder aus dem Bundeshaushalt, von internationalen Organisationen und aus anderen Quellen. Um mit diesen Mitteln Projekte effizient umzusetzen und dabei die Projektziele zu erreichen, nutzt die GIZ ein Risikomanagement-System, das alle Ebenen des Wertschöpfungsprozesses umfasst und dadurch unternehmensweit einen systematischen Umgang mit Risiken ermöglicht. Das Risikomanagement-System wird im für alle Führungskräfte und Mitarbeiter*innen verbindlichen Risikomanagement-Handbuch der GIZ beschrieben.
Ziel des Risikomanagements der GIZ ist es, Risiken vorausschauend zu erkennen und zu steuern. So verhindert das Unternehmen, dass Ziele verfehlt und Leistungen nicht wie vereinbart erbracht werden können. Dazu müssen die Verantwortlichen feststellen, wie wahrscheinlich es ist, dass bestimmte Risiken eintreten, und welchen möglichen Schaden die Risiken verursachen könnten.
Rechtzeitig gegensteuern
Das Risikomanagement-System fördert den bewussten Umgang mit Risiken und ermöglicht eine effiziente und effektive Risikoerfassung und -befassung. So können die Verantwortlichen frühzeitig wirksame Steuerungsmaßnahmen einleiten, um Risiken zu vermeiden, zu reduzieren oder zu übertragen. Sollten Risiken eintreten, kann die GIZ auf diese Weise den möglichen Schaden verringern. Das Unternehmen ordnet Risiken neun Kategorien zu, die im Risikokatalog der GIZ aufgeführt sind (z. B. kaufmännische Risiken oder Reputationsrisiken).
In der Stabsstelle Unternehmensentwicklung der GIZ gibt es eine eigene Gruppe, die sich mit dem Risikomanagement befasst. Die Gruppe Risikomanagement tauscht sich unter anderem mit internationalen Beratungsunternehmen aus, um die Funktionsfähigkeit des Risikomanagement-Systems der GIZ sicherzustellen und weiterzuentwickeln.
Risikomanagement: Prozess auf Unternehmensebene
Die Gruppe Risikomanagement fragt halbjährlich unternehmensweit neue Risiken und Veränderungen bekannter Risiken ab (z. B. Schadens- oder Wegfallmeldungen). Zudem erfasst sie, welche Schritte unternommen wurden, um Risiken zu steuern. Unabhängig von dieser Abfrage können die Organisationseinheiten jederzeit eine Ad-hoc-Risikomeldung machen.
Die Befassungsgremien auf Unternehmensebene – der Risikomanagement-Ausschuss (RMA) und das Risikomanagement-Gremium (RMG) – befassen sich mit den Risiken, die für das Gesamtunternehmen relevant sind. Der RMA, der überwiegend mit Vertreter*innen des mittleren Managements besetzt ist, bereitet die Risikosachverhalte zur Diskussion und/oder Entscheidung im RMG vor. Im RMG sind neben einem Mitglied des Vorstands Vertreter*innen der Leitungsebene 1 (oberes Management unterhalb des Vorstands) vertreten. Das RMG kann dem Vorstand der GIZ Ansätze zum Umgang mit unternehmensrelevanten Risiken vorschlagen.
Die Gruppe Risikomanagement bereitet die Sitzungen von RMA und RMG vor, führt diese durch, hält die Ergebnisse fest und kommuniziert diese an die Leitungsebene 1 und den Vorstand. Sie entwickelt die Formate, Instrumente und Methoden zum Umgang mit Risiken und zur Berichterstattung über Risiken auf der Unternehmensebene kontinuierlich weiter.
Risikomanagement: Prozess auf Projekt- und Bereichsebene
Das Risikomanagement der GIZ basiert auf einem standardisierten Prozess, in dem sich bereits die Projektebene systematisch mit Risiken auseinandersetzt. Der Prozess orientiert sich an den klassischen Schritten des Risikomanagements:
1. Risiken identifizieren und beschreiben
2. Risiken bewerten und analysieren
3. Passende Steuerungsmaßnahmen für Risiken entwickeln
4. Berichterstattung über Risiken an die nächste Managementebene
1. Risiken identifizieren und beschreiben
Im ersten Schritt (Risikoidentifikation) werden alle unsicheren Ereignisse ermittelt, benannt und erfasst, aus denen sich eine negative Abweichung von (Projekt-)Zielen ergeben könnte. Ziel der Risikoidentifikation ist es, die Ursachen, das Risiko sowie die möglichen negativen Auswirkungen möglichst frühzeitig und umfassend zu identifizieren und zu erfassen. Risiken können unter anderem aus bestehenden Dokumenten, wie den Safeguards+Gender Analysen, abgeleitet werden.
2. Risiken bewerten und analysieren (anhand von Schadenspotenzial und Eintrittswahrscheinlichkeit)
Die Risikobewertung dient dazu, die Relevanz des identifizierten Risikos besser einschätzen zu können. Die Bewertung erfolgt anhand der Kombination der Faktoren Eintrittswahrscheinlichkeit und Schadenspotenzial. So lässt sich ableiten, welche Risiken prioritär behandelt werden sollten. In der Risikoanalyse wird geprüft, ob Zusammenhänge zwischen einzelnen Risiken bestehen, um gegebenenfalls frühzeitig Risikohäufungen (Clusterrisiken) und/oder strukturelle Risiken zu erkennen.
3. Passende Steuerungsmaßnahmen für Risiken entwickeln (Vermeiden, Reduzieren, Übertragen, Akzeptieren, Beobachten)
Der Umgang mit identifizierten und bewerteten Risiken beginnt mit der Wahl der geeigneten Steuerungsstrategie: Der*die Risikoverantwortliche entscheidet, wie mit Blick auf das Risiko verfahren wird. Risikosteuerungsoptionen sind die Akzeptanz, der Transfer an Dritte, die Reduktion, die Vermeidung sowie die Beobachtung eines Risikos. Der*die Risikoverantwortliche entwickelt wirksame und angemessene Steuerungsmaßnahmen und/oder mittel-/langfristige Risikobewältigungsstrategien und setzt diese um.
4. Berichterstattung über Risiken an die nächste Managementebene
Ein weiteres wichtiges Element im Risikomanagement-Prozess ist der verbindliche Risikodialog. Über dieses Forum können sich Zuständige auf verschiedenen Managementebenen über die Risiken und den Umgang mit ihnen austauschen und entscheiden, welche Ebene die Steuerung übernimmt. Risiken, die der*die Risikomeldende nicht mehr steuern kann, bearbeitet die nächsthöhere Managementebene. Dadurch bearbeitet die GIZ die Risiken auf der jeweils sachnächsten Ebene.
Durch die Einbindung aller Managementebenen – von den Projektzuständigen bis zum Vorstand – wird sichergestellt, dass der Entscheidungsprozess hinsichtlich risikobehafteter Sachverhalte systematisch abläuft. Außerdem ist so gesichert, dass zeitnah Schritte initiiert werden, um die identifizierten Risiken zu minimieren.
Das Safeguards+Gender Managementsystem
Bei der Vorbereitung und Umsetzung von Projekten der internationalen Zusammenarbeit soll sichergestellt werden, dass die gewünschten Verbesserungen in einem Bereich nicht zu unbeabsichtigten Verschlechterungen in einem anderen führen. Solche Effekte werden auch „nicht intendierte negative Wirkungen“ genannt. Im Rahmen des Safeguards+Gender Managementsystems werden geplante Projekte aller Auftraggeber bereits in der Vorbereitung auf mögliche nicht intendierte negative Wirkungen in den Bereichen Umwelt, Klima (Minderung von Treibhausgasen und Anpassung an den Klimawandel), Konflikt- und Kontextsensibilität, Menschenrechte sowie Gleichberechtigung der Geschlechter geprüft. So werden Risiken frühzeitig erkannt, geeignete Ansätze zu deren Management identifiziert und in das Projektkonzept eingebracht. Für den Bereich Gender werden auch Potenziale geprüft, die Gleichberechtigung der Geschlechter zu fördern.
Ein Beispiel für dieses Vorgehen ist die Konzeption eines Projekts der BMZ-Sonderinitiative Flucht. Es sollte die Einkommens- und Beschäftigungsmöglichkeiten für Binnenvertriebene fördern. Bei der Vorbereitung stellten die Zuständigen fest, dass besonders vulnerable Gruppen wie Frauen und junge Menschen mit dem ursprünglichen Ansatz kaum Zugang zu den Leistungen des Projekts gehabt hätten. Durch sprachliche Barrieren, eine eingeschränkte Mobilität und unzureichende Grundbildung wären diese Gruppen weitgehend ausgeschlossen geblieben. Das Projekt wurde daraufhin mit einem kontext- und gendersensiblen Ansatz („Do No Harm“) neu konzipiert. Dabei wurden die Maßnahmen auf spezifische Bedarfe von Frauen und jungen Menschen angepasst, um diese Zielgruppen tatsächlich erreichen zu können.
Mit Hilfe dieses Systems wurden im Jahr 2019 299 Projektvorschläge geprüft und risikominimierende Anpassungen identifiziert. 20 Projekten wurde die höchste Risikostufe zugewiesen. Diese Einstufung hat zur Folge, dass der Vorstand der GIZ der Durchführung des Projekts zustimmen muss und die Entwicklung der Risiken sowie Anpassungen im Verlauf der Projektdurchführung regelmäßig überprüft wird. Das Safeguards+Gender Managementsystem der GIZ dient damit sowohl einem verbesserten Risikomanagement als auch der Sicherstellung der Projektziele.
Weiterentwicklung des Risikomanagements
Das Risikomanagement der GIZ wird mit Blick auf die sich verändernden internen und externen Anforderungen kontinuierlich weiterentwickelt.
Vor diesem Hintergrund startete die GIZ 2019 ein Projekt zur Digitalisierung des Risikomanagement-Prozesses. Ziel ist die Einführung einer Software zum Integrierten Risikomanagement (IRM). Ab 2022 soll die Software unternehmensweit genutzt werden.
GRI-Standard 102-11, 102-17, 102-33; UNGC 1, 2, 3, 7, 10; DNK 4, 6, 20