Risiken managen, Schaden abwenden
Der Vorstand der GIZ hat Ende November 2021 über eine Risikopolitik entschieden. Die Risikopolitik beschreibt die grundlegende Haltung der GIZ zum Umgang mit Risiken, zeigt auf, dass das Eingehen von Risiken zur Erreichung der Ziele der GIZ unerlässlich ist, und bestärkt die Mitarbeiter*innen und Führungskräfte darin, unternehmerisch zu handeln.
Die GIZ erfüllt mit ihrem Risikomanagement-System sowohl die gesetzlichen Anforderungen als auch Anforderungen unterschiedlicher Auftraggeber. Sie erhält Gelder aus dem Bundeshaushalt, von internationalen Organisationen und aus anderen Quellen. Um mit diesen Mitteln Projekte effizient umzusetzen und die Projektziele zu erreichen, hat das Unternehmen ein Risikomanagement-System entwickelt, dem alle Führungskräfte verpflichtet sind. Es stellt unternehmensweit einen systematischen Umgang mit Risiken sicher und ist Teil des internen Regelwerks der GIZ.
Ziel des Risikomanagements der GIZ ist es, Risiken vorausschauend zu erkennen und auf der sachnächsten Ebene zu steuern. So verhindert das Unternehmen, dass Ziele verfehlt und Leistungen nicht wie vereinbart erbracht werden können. Dazu müssen die Verantwortlichen feststellen, wie wahrscheinlich es ist, dass bestimmte Risiken eintreten, und welchen möglichen Schaden die Risiken verursachen könnten.
Rechtzeitig gegensteuern
Das Risikomanagement-System fördert den bewussten Umgang mit Risiken und ermöglicht eine standardisierte Risikoerfassung und -befassung. So können die Verantwortlichen frühzeitig wirksame Steuerungsmaßnahmen einleiten, um Risiken zu vermeiden, zu reduzieren oder zu übertragen. Sollten Risiken eintreten, kann die GIZ auf diese Weise den möglichen Schaden verringern.
Die GIZ klassifiziert Risiken nach einem unternehmenseigenen Risikokatalog, unter anderem in Sicherheits-, operative und kaufmännische Risiken. Im Risikokatalog werden unter anderem potenzielle Risiken bezüglich Umwelt-, Klima- und Sozial- sowie Nachhaltigkeitsthemen (beispielsweise Menschenrechte) aufgeführt, aber auch bezüglich Antikorruption und weiteren Compliance-Themen.
Prozess auf Unternehmensebene
In der Stabsstelle Unternehmensentwicklung der GIZ befasst sich eine eigene Gruppe mit dem Risikomanagement. Sie fragt halbjährlich unternehmensweit neue Risiken und Veränderungen bekannter Risiken ab. Zudem wird bei der Risikoabfrage durch die Melder*innen erfasst, welche Schritte unternommen wurden, um Risiken zu steuern. Unabhängig von dieser Abfrage können die Organisationseinheiten jederzeit Ad-hoc-Risiken melden.
Der Risikomanagement-Ausschuss (RMA) und das Risikomanagement-Gremium (RMG) der GIZ befassen sich im Auftrag des Vorstands mit den Risiken, die für das Gesamtunternehmen relevant sind. Der RMA, der überwiegend mit Vertreter*innen des mittleren Managements besetzt ist, bereitet die Risikosachverhalte zur Diskussion und/oder Entscheidung im RMG vor. Im RMG sind neben einem Mitglied des Vorstands Vertreter*innen der Leitungsebene 1 (oberes Management unterhalb des Vorstands) vertreten. Das RMG diskutiert die Risikosituation des Unternehmens und stellt fest, ob es Entwicklungen gibt, die seinen Fortbestand gefährden könnten. Bei Bedarf empfiehlt das RMG dem Vorstand Ansätze zum Umgang mit diesen Risiken.
Prozess auf Projekt- und Bereichsebene
Das Risikomanagement der GIZ basiert auf einem standardisierten Prozess, in dessen Verlauf sich bereits die Projektebene systematisch mit Risiken auseinandersetzt. Der Prozess orientiert sich an den klassischen Schritten des Risikomanagements:
Durch die Einbindung aller Managementebenen – von den Projektzuständigen bis zum Vorstand – wird sichergestellt, dass der Entscheidungsprozess hinsichtlich risikobehafteter Sachverhalte systematisch abläuft. Außerdem ist so gewährleistet, dass zeitnah Schritte initiiert werden, um identifizierte Risiken zu minimieren.
Das Safeguards+Gender Managementsystem
Bei der Vorbereitung und Umsetzung von Projekten der internationalen Zusammenarbeit soll sichergestellt werden, dass die gewünschten Verbesserungen in einem Bereich nicht zu unbeabsichtigten Verschlechterungen in einem anderen führen. Solche Effekte werden auch „nicht intendierte negative Wirkungen“ genannt. Nach dem Vorsorgeprinzip werden daher im Rahmen des Safeguards+Gender Managementsystems geplante Projekte aller Auftraggeber bereits in der Vorbereitung auf mögliche nicht intendierte negative Wirkungen geprüft, und zwar in Bezug auf Umwelt, Klima (Minderung von Treibhausgasen und Anpassung an den Klimawandel), Konflikt- und Kontextsensibilität, Menschenrechte sowie Gleichberechtigung der Geschlechter. So werden Risiken frühzeitig erkannt, geeignete Ansätze zu ihrem Management identifiziert und diese in das Projektkonzept eingebracht. Für den Bereich Gender werden zudem Potenziale geprüft, die Gleichberechtigung der Geschlechter zu fördern.
Falls das Safeguards+Gender Managementsystem Risiken identifiziert, werden diese durch das Risikomanagement auf Ebene der Vorhaben gesteuert. Mit Hilfe dieses Systems wurden im Jahr 2021 insgesamt 313 Projektvorschläge geprüft und in der Folge risikominimierende Anpassungen identifiziert. 27 Projekte wurden der höchsten Risikostufe zugewiesen. Diese Einstufung hat zur Folge, dass der Vorstand der GIZ der Durchführung des Projekts zustimmen muss und dass die Entwicklung der Risiken sowie Anpassungen im Verlauf der Projektdurchführung regelmäßig überprüft werden. Das Safeguards+Gender Managementsystem der GIZ dient damit sowohl einem verbesserten Risikomanagement als auch der Sicherstellung der Projektziele.
Weiterentwicklung des Risikomanagements
Die GIZ entwickelt ihr Risikomanagement kontinuierlich weiter, um die Funktionsfähigkeit des Risikomanagement-Systems sicherzustellen und sich verändernde interne und externe Anforderungen im Blick zu behalten. Die Gruppe Risikomanagement tauscht sich mit Organisationen und internationalen Beratungsunternehmen aus. Ein Ergebnis daraus ist unter anderem die Erstellung einer Risikopolitik für die GIZ.
Das Risikomanagement entwickelt zudem die Formate, Instrumente und Methoden zum Umgang mit Risiken und zur Berichterstattung über Risiken auf Unternehmensebene kontinuierlich weiter. Mit dem Ziel der Digitalisierung interner Prozesse der GIZ wird derzeit eine Integrierte Risikomanagement-Software (IRM-Software) beschafft, die 2022 konfiguriert, pilotiert und 2023 unternehmensweit eingeführt werden soll. Die IRM-Software wird folgende Themenschwerpunkte abdecken:
- Unternehmensrisikomanagement,
- Informationssicherheitsrisikomanagement (gemäß ISO 27001),
- Management von internen und externen Kontrollen, Prüfungen und Evaluierungen,
Management von Vorfällen unterschiedlichster Art (beispielsweise Compliance-Vorfällen).
Auf dieser Seite finden sich Informationen zu folgenden Sustainable Development Goals (SDGs):
Auf dieser Seite finden sich Informationen zu folgenden Nachhaltigkeitsstandards:
GRI-Standard 2-13, 2-23, 2-26, 412; UNGC 1, 2; DNK 6, 14, 17