Konzept Risikomanagement 12.11.07 - Fachstelle ...

Bern, 12. November 2007, Version 1.0 

Konzept Risikomanagement 

Verwaltungsdirektion 

Fachstelle Risikomanagement 

Gesellschaftsstrasse 2 

CH-3012 Bern 

beat.schneiter@bt.unibe.ch 

www.risiko.unibe.ch 

Risikomanagementkonzept 

Dokumentautor: 

Beat Schneiter 

Dokumenteigentümer: Daniel Odermatt 

Abteilung: 


Fachstelle: 

Risikomanagement 

Datum: November 2007 

Review Periode: 

12 Monate 

Vertraulichkeitsstatus: Öffentlich

Bern, 12. November 2007, Version 1.0 


Inhaltsverzeichnis 



Gesellschaftsstrasse 2 

CH-3012 Bern 

beat.schneiter@bt.unibe.ch 

www.risiko.unibe.ch 

1. Einleitung .........................................................................................................................4 

1.1 Definition Risikomanagement ............................................................................................4 

1.2 Risikomanagementziele.....................................................................................................5 

1.3 Ziele des Risikomanagementkonzeptes.............................................................................5 

1.4 Gesetzliche Grundlagen ....................................................................................................6 

2. Risikoleitbild / Umsetzungsplanung...............................................................................7 

2.1 Quantitative und qualitative Ziele .......................................................................................7 

2.2 Umsetzungsplan 2007 bis 2010 .........................................................................................8 

3. Wirkungsbereich (Abgrenzung) ......................................................................................9 

3.1 Geltungsbereich.................................................................................................................9 

4. Verantwortlichkeiten......................................................................................................10 

4.1 Universitätsleitung ...........................................................................................................10 

4.2 Risikomanagementdelegierte/r.........................................................................................10 

4.3 Fachstelle Risikomanagement .........................................................................................10 

4.4 Dekanate / Fakultäten / Institute / Abteilungen.................................................................11 

4.5 Hauptrisikoverantwortlicher, Risikoeigner ........................................................................11 

4.6 Kernteam „RISIKO“..........................................................................................................12 

5. Risikomanagementprozess...........................................................................................13 

5.1 Angewandte Standards....................................................................................................13 

5.2 Risikokatalog der Universität ...........................................................................................14 

5.3 Risikoprofil der Universität ...............................................................................................14 

5.4 Massnahmenanalyse und Massnahmenstrategie.............................................................15 

5.5 Risikokatalog- und Profil auf Instituts, Abteilungsebene ...................................................16 

6. Krisenmanagement........................................................................................................17 

7. Risikomanagementfaktoren ..........................................................................................18

Bern, 23. Oktober 2007 Version 1.0 


7.1 Einleitung.........................................................................................................................18 

7.2 COSO Ebenen / Komponenten ........................................................................................18 

8. Risikoreporting ..............................................................................................................20 

8.1 Risikobericht....................................................................................................................20 

9. Monitoring/Audit ............................................................................................................21 

9.1 Monitoring........................................................................................................................21 

9.2 Audit ................................................................................................................................21 

10. Verschiedenes / Anhang ...............................................................................................22 

10.1 Abkürzungsverzeichnis ....................................................................................................22 

10.2 COSO Komponenten Einschätzungsbogen......................................................................22 

11. Dokumentprozess..........................................................................................................23 

Seite 3/23



1. Einleitung 

1.1 Definition Risikomanagement 

Untenstehend die Definition von Risikomanagement gemäß „The Committee of Sponsoring Organizations 

of the Treadway Commission“ oder auch kurz COSO. Der COSO Standard hat sich weltweit 

etabliert bei Revisionsgesellschaften wie auch bei Unternehmen und weiteren Organisationen 

als anerkannter Risikomanagementstandard. Mitglieder des obengenannten Komitees sind: AIC- 

PA, AAA, FEI, IIA und IMA. 

Unternehmensweites Risikomanagement wird gemäß COSO folgendermaßen definiert: 

Das unternehmensweite Risikomanagement betrifft Risiken und Chancen, die die Wertschöpfung 

beeinflussen. Der Terminus Risikomanagement ist wie folgt definiert: 

Unternehmensweites Risikomanagement ist ein Prozess, ausgeführt durch Überwachungsund 

Leitungsorgane, Führungskräfte und Mitarbeiter einer Organisation, angewandt bei der 

Strategiefestlegung sowie innerhalb der Gesamtorganisation, gestaltet um die die Organisation 

beeinflussenden, möglichen Ereignisse zu erkennen, und um hinreichende Sicherheit 

bezüglich des Erreichens der Ziele der Organisation zu gewährleisten. 

Die Definition berücksichtigt einige grundlegende Konzepte. Das Unternehmensweite Risikomanagement 

ist/wird: 

• ein Prozess, der sich ununterbrochen und über die gesamte Organisation erstreckt 

• ausgeführt durch Menschen auf jeder Ebene einer Organisation 

• angewandt bei der Strategiefestlegung 

• unternehmensübergreifend angewandt – auf jeder Ebene und in jeder Einheit – und 

betrachtet das organisationsweite Risikoportfolio 

• gestaltet, um mögliche Ereignisse zu erkennen – die im Falle ihres Eintretens die Organisation 

beeinflussen – und um Risiken auf Grundlage der Risikoneigung zu steuern 

• geeignet, den Führungskräften sowie dem Überwachungs- und Leitungsorganen einer 

Organisation hinreichend Sicherheit zu gewährleisten 

• ausgerichtet auf das Erreichen von Zielen in einer oder mehreren zusammenhängenden 

Kategorien 

Seite 4/23



Diese Definition ist absichtlich breit gewählt. Sie deckt grundlegende Konzepte ab, die eine Basis 

dafür bilden, wie Unternehmen und andere Organisationen Risiken steuern. Gleichzeitig bietet sie 

so eine Grundlage für die organisations- unternehmens- und branchenübergreifende Anwendung. 

Sie ist direkt auf das Erreichen von Zielen ausgerichtet, die von einer Organisation festgelegt sind 

und bildet eine Grundlage für die Beurteilung der Funktionsfähigkeit des unternehmensweiten Risikomanagements 

(www.coso.org). 

1.2 Risikomanagementziele 

Das ganzheitliche umfassende Risikomanagement an der Universität Bern (RM UNIBE) soll sicherstellen, 

dass Rechtskonformitäts- Sicherheits- (AS & GS, IT Security, Umweltsicherheit, usw.), 

Betriebs- und Finanzielle Risiken (Internes Kontrollsystem) auf ein für die Universität tragbares 

Level reduziert werden. 

Das Risikomanagement soll sicherstellen, das der Betrieb wirkungsorientiert und effizient abläuft, 

dass die Sicherheit von Personen (Studierende, Besucher, usw.), Mitarbeitern, Sachen, Vermögenswerten 

und Umwelt garantiert ist. 

Der Führung der Universität Bern soll aktuelle Risikoinformation zur Verfügung stehen um Führungs- 

und Strategieentscheide zu unterstützen und Massnahmenstrategien zu definieren. 

Das Risikobewusstsein soll bei Professoren, Mitarbeiter/innen und Studierenden gefördert werden 

und Risikokosten minimiert werden. 

Das Image, die Reputation der Universität Bern soll geschützt und verstärkt werden. 

Die angestrebten Ziele (strategische und operative) der Universität sollen durch ein ganzheitliches 

umfassendes Risikomanagement geschützt werden. 

1.3 Ziele des Risikomanagementkonzeptes 

Das Konzept legt die Hauptpunkte des universitätsweiten Risikomanagements fest. Es dient als 

Informations- und Kommunikationsmittel für alle am Risikomanagementprozess beteiligten Mitarbeiter/innen. 

Das Konzept erläutert die Vorgehensweise und die Risikoerfassung. Abweichende 

Methoden sind nur mit Rücksprache der Fachstelle für Risikomanagement erlaubt. Eine Universitätsweisung 

wird das Konzept ergänzen. 

Seite 5/23



1.4 Gesetzliche Grundlagen 

Risikomanagement wird durch folgende Gesetzesartikel / Weisungen gefordert: 

• Art. 12 FLV verlangt das Führen eines Internen Kontrollsystems (IKS). Das IKS der Universität 

deckt die Bereiche Reporting und Compliance gemäß COSO I Ansatz ab. 

• Der Regierungsratsbeschluss des Kantons Berns (RRB) 1922 (20.11.02) verlangt eine Beurteilung 

und Bewirtschaftung der Risiken in den einzelnen Aufgabenportefeuilles sowie 

die Einleitung der notwendigen Maßnahmen in den zuständigen Direktionen. Die Finanzkontrolle 

des Kantons Bern überprüft das Risikomanagement der Direktionen. 

• Art. 15 FLG verlangt vom Anhang der Jahresrechnung: „Der Anhang zur Jahresrechnung 

enthält ergänzende und erläuternde Informationen zur Rechnungslegung. Inhaltlich orientiert 

er sich an den Mindestangaben gemäß Artikel 663b des Obligationenrechts und der 

Entwicklung der allgemein anerkannten Normen zur Rechnungslegung“. Der Prüfer der 

Jahresrechnung prüft ab 01.01.08 gemäß Art. 663b Ziff. 12 rev OR ob eine Risikobeurteilung 

vorliegt und prüft die Existenz eines internen Kontrollsystems (IKS). 

Seite 6/23



2. Risikoleitbild / Umsetzungsplanung 

Das Leitbild der Fachstelle Risikomanagement ist: 

• Unterstützung der Universität in der Wahrnehmung ihrer Verantwortung als eigene Rechtspersönlichkeit, 

dies insbesondere im Bereich Risikomanagement. 

• Sicherstellung der Rechtskonformität im Bereich Risikomanagement gegenüber externen 

Stakeholdern (Beispielsweise: Kanton Bern, Kontrollbehörden) und internen Stakeholdern 

(Beispielsweise Unileitung, MitarbeiterInnen, Studenten). 

• Erkennen der wichtigen Risikofelder durch einen strukturierten Risikoidentifikationsprozess. 

Minimieren der Risiken welche ein großes Ausfall- Finanz- und Imagerisiko einschließen. 

• Unterstützung der Unabhängigkeit und Freiheit der Institute in Lehre und Forschung durch 

effiziente Risikokonzepte. 

• Führen eines Risikokatalogs, der Interne Kontrollpunkte und/oder Risikomassnahmen beinhaltet. 

Dieser Katalog wird der Unileitung jährlich oder nach Bedarf zur Genehmigung 

präsentiert. 

• Das Image der Universität schützen und weiterentwickeln, die Erreichung der Finanz- und 

Budgetziele sicherstellen und die Sicherheit an der Universität risikoorientiert weiterentwickeln 

• Das universitätsweite Risikomanagement orientiert sich an anerkannten Standards und gesetzlichen 

Vorgaben. 

2.1 Quantitative und qualitative Ziele 

2007: Risikomanagementkonzept: Das Risikomanagementkonzept wird bis Ende Q3 07 dem Verwaltungsdirektor 

zur Bewilligung vorgelegt. Es wird jährlich im 1. Quartal überarbeitet, den neuen 

Erkenntnissen angepasst und durch die Unileitung bewilligt. Eine Erstrisikoanalyse wird in den 

Abteilungen der Verwaltungsdirektion bis Ende Q4 07 erstellt und der daraus resultierende Risikokatalog 

inklusive Maßnahmen vorgelegt und bewilligt. 

2008: Eine Erstrisikoanalyse wird im Generalsekretariat und den Rektoratsratsdiensten bis Ende 

Q2 08 erstellt und der daraus resultierende Risikokatalog inklusive Maßnahmen vorgelegt und 

bewilligt. Eine Erstrisikoanalyse wird in den im Zentrum Lehre & Forschung bis Ende Q4 07 erstellt 

und der daraus resultierende Risikokatalog inklusive Maßnahmen vorgelegt und bewilligt. In einer 

Pilotphase wird eine Risikoanalyse in 1 bis 2 Instituten durchgeführt, um eine Konzeptidee für das 

Seite 7/23



weitere Vorgehen in den übrigen Instituten zu erhalten. Review Risikoanalyse im Q4 08 der Abteilungen 

der Verwaltungsdirektion. 

2009: Die Institute erhalten ein angepasstes Risikomanagementkonzept aufgrund der Erkenntnisse 

einer Pilotphase (1-2 Institute), welches effizient Risiken aufnimmt und Massnahmenprojekte erarbeitet. 

Eine Erstrisikoanalyse in allen Instituten aufgrund des Institut - Risikomanagementkonzeptes 

bis Q3 09. Durchführung einer Review Risikoanalyse in den Abteilungen der Verwaltungsdirektion, 

des Generalsekretariates, und im Zentrum Lehre & Forschung. Analyse der Integration von 

Risikomanagement und Internes Kontrollsystem und Umsetzungsvorschlag (getrennter oder integrierter 

Ansatz). 

2010: Risikomanagement ist gemäß Umsetzungplanung (Siehe Anhang) ein integrierter Bestandteil 

im Betrieb der Universität (eine Verknüpfung mit dem QSE (Qualitätssicherung- und Entwicklung) 

wird geprüft, sobald Erfahrungen mit den Abteilungen und Instituten vorliegen). 

2.2 Umsetzungsplan 2007 bis 2010 

Die unten eingefügte Ablaufplanung fasst die obengenannten Schritte zusammen. Ab 2010 sind 

die Erstanalysen universitätsweit abgeschlossen und der Prozess Risikomanagement ist integriert 

und die Risikoinformation (Risikokatalog / Massnahmenprojekte) wird fortlaufend erneuert. Jährlich 

wiederkehrende Prozessschritte sind: Bewilligung des Risikokataloges und Massnahmenprojekte 

durch Universitätsleitung (UL); Anpassung des Risikomanagementkonzeptes und Bewilligung 

durch UL; Neueinschätzung des Risikokatalogs und Erfassung neuer Risiken. 

Umsetzungsplanung Risikomanagement 

Konzeptbewilligung UL 

Review Konzept 

Erstanalyse 

Risikokatalogbewilligung UL 

Entscheid Prozess Institute 

Review Analyse 

2007 2008 2009 2010 

Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 

Risikomanagementkonzept 

Projektplan Ablauf Risikoanalysen und Massnahmenplanung 

Risikopolitik, Leitbild 

Organisation, Verantwortlichkeiten 

Kontrolle und Audit 

Integration Internes Kontrollsystem 

Analyse Verwaltungsdirektion 

Analyse Verwaltungsdirektion (Alle Abteilungen) 

Analyse Generalsekretariat und Rektoratsdienste 

Rechtsdienst, Gleichstellung 

Stab, Kommunikation, Kollegium Generale, Forum Uni & Gesellschaft 

Analyse Zentrum Lehre & Forschung 

Euresearch, Forschungsevaluation, Fundraising 

Pilotanalyse in 1-2 Instituten 

z. Bsp. Zahnkliniken 

z. Bsp. Geografie 

Analyse Fakultäten & Institute 

Analyse alle Institute 

Seite 8/23



3. Wirkungsbereich (Abgrenzung) 

3.1 Geltungsbereich 

Dieses Dokument „Risikomanagementkonzept“ der Universität Bern ist umzusetzen in Zusammenarbeit 

mit der Fachstelle Risikomanagement der Verwaltungsdirektion durch folgende Institute / 

Fakultäten / Abteilungen: 

• Alle Institute 

• Alle Fakultäten 

• Zentrum Forschung 

• Zentrum Lehre 

• Rektoratsdienste 

• Generalsekretariat 

• Verwaltungsdirektion 

Die Konzeptvorgaben sind verbindlich und abweichende Ansätze sind durch die Fachstelle Risikomanagement 

bewilligen zu lassen. Das Ziel dieses Bewilligungsschrittes ist es eine einheitliche 

Vorgehensweise zu erzeugen und vergleichbare Resultate zu erzielen. 

Der Risikokatalog und die Risikoprofile sind verbindlich einzusetzen, Massnahmenstrategien, 

Massnahmenprojektbeschriebe sind nach entsprechenden Universitätsvorgaben einzureichen. 

Seite 9/23



4. Verantwortlichkeiten 

4.1 Universitätsleitung 

Die Hauptverantwortung für ein universitätsweites Risikomanagement trägt die Universitätsleitung. 

Die Verantwortlichkeit umfasst die jährliche Genehmigung / Freigabe des Risikokatalogs auf 

Universitätsstufe und damit verbundenen Massnahmengenehmigungen, gegebenenfalls inklusive 

Ressourcenzuteilung. Die Universitätsleitung ist zudem verantwortlich eine Risikopolitik und ein 

Leitbild zu formulieren und den Risikomanagementansatz der durch die Verwaltungsdirektion vorgeschlagen 

wird zu bewilligen. Die Universitätsleitung unterstützt ein proaktives Risikomanagement 

durch entsprechenden Einbezug der Fachstelle in laufende Projekte, Strategieumsetzungspläne. 

Die Fachstelle erhält den Zugang zu den entsprechenden Schnittstellen in die 

Hauptprozesse Lehre & Forschung und zu den Unterstützungsprozessen (Stab, Rechtsdienst, 

Verwaltungsdirektion, usw.). 

4.2 Risikomanagementdelegierte/r 

Als Risikomanagementdelegierter der Universität waltet der Verwaltungsdirektor. Die Aufgaben 

des Delegierten sind die Beauftragung und Überwachung der Fachstelle Risikomanagement und 

das quartalsweise Reporting an die Universitätsleitung. Der Risikomanagementdelegierte ist Mitglied 

der Universitätsleitung und verantwortet in der Funktion des Delegierten das Risikomanagement 

auf Stufe Senat und Universitätsleitung. Er stellt den Informationsfluss betreffend Risikomanagement 

zwischen Universitätsleitung, Senat und der Fachstelle Risikomanagement sicher. 

4.3 Fachstelle Risikomanagement 

Die Fachstelle Risikomanagement verantwortet die fachliche Führung im Bereich Risikomanagement, 

welches auch Arbeitssicherheit & Gesundheitsschutz, Umweltsicherheit, Internes Kontrollsystem 

(IKS), Versicherungsmanagement, umfasst. Diese fachliche Führung umfasst auch Weisungskompetenz 

gegenüber den Instituten und Abteilungen der Universität in Sonderfällen, welche 

als kritische Ereignisse eingestuft sind. Die Fachstelle erarbeitet jährlich den Risikokatalog, schlägt 

die Risikopolitik / Strategie vor und überprüft das Risikomanagementkonzept jährlich nach den 

COSO Kriterien und dem Stand der Technik und des Wissens und im Sinne eines kontinuierlichen 

Verbesserungsprozesses. Die Fachstelle kontrolliert, auditiert die bewilligten Massnahmenpläne 

und erhebt Kennzahlen betreffend Ereignissen und Projektfortschritt (Maßnahmen). Die Fachstelle 

unterstützt und berät die Universitätsleitung und die Fakultäten (Dekanate und Institute) in der Umsetzung 

eines umfassenden Risikomanagementansatzes. 

Seite 10/23



4.4 Dekanate / Fakultäten / Institute / Abteilungen 

Verantwortlich für die Umsetzung des durch die Universitätsleitung vorgegebenen Risikomanagementkonzeptes 

sind die Dekanate, Fakultäten, Institutsdirektionen und die Abteilungsleiter 

(auch auf Stufe Universitätsleitung). Sie tragen die Verantwortung, dass das von der Universitätsleitung 

vorgegebene Risikomanagementkonzept und die damit verbundenen Prozessschritte 

termingerecht durchgeführt werden können. Die Dekanate, Fakultäten, Institutsdirektionen und die 

Abteilungsleiter stellen sicher, dass die im Dokument aufgeführten Verantwortlichkeiten wahrgenommen 

werden und Massnahmenpläne und weitere Outputs des Risikomanagementprozesses in 

den jeweiligen Institute und Abteilungen umgesetzt werden. Die Dekanate, Fakultäten, Institutsdirektionen 

und die Abteilungsleiter erstellen einen jährlichen Risikomanagementbericht (Vorgabe 

des Inhaltes durch Fachstelle), der auch IKS und weitere relevante Risikokapitel enthält, zuhanden 

der Fachstelle. 

4.5 Hauptrisikoverantwortlicher, Risikoeigner 

Im von der Fachstelle Risikomanagement geführten Risikokatalog werden Hauptrisikoverantwortliche 

und Risikoeigner festgelegt. 

Der Hauptrisikoverantwortliche ist explizit verantwortlich dass die Risikopolitik / Massnahmenstrategie 

in ihren Instituten umgesetzt wird. Im Ereignisfall trägt der Hauptrisikoverantwortliche die 

Verantwortung für allfällige Abweichungen / Nichtdurchführung von bewilligten Maßnahmen. Der 

Hauptrisikoverantwortliche bewilligt Massnahmenprojektpläne und deren Endtermin / Abgabetermin 

/ Audittermin. Er ist verantwortlich, dass Massnahmenpläne mit genügend Ressourcen (Finanzielle 

/ Personelle) versehen sind um den bestimmten Endtermin zu erreichen. Der Hauptrisikoverantwortliche 

ist in der Regel der Instituts- oder Abteilungsleiter. Im Zweifelsfalle bestimmt die 

Fachstelle Risikomanagement den Hauptrisikoverantwortlichen. 

Der Risikoeigner trägt die Umsetzungsverantwortung der Massnahmenprojektpläne gemäß bewilligtem 

Massnahmenkatalog. Der Risikoeigner wird im Risikokatalog namentlich erwähnt. Der Risikoeigner 

ist verantwortlich, Massnahmenumsetzungsschwierigkeiten (Termin- Ressourcen- 

Schnittstellenschwierigkeiten, usw.) frühzeitig an die Fachstelle Risikomanagement und den 

Hauptrisikoverantwortlichen zu kommunizieren. Der Risikoeigner hat die Übersicht über die eingeleiteten 

Maßnahmen und kennt die Notfallmassnahmen, falls ein Kernrisiko eintritt. Der Risikoeigner 

erstellt eine entsprechende Maßnahmen- und Notfalldokumentation, welche er der Fachstelle 

Risikomanagement und dem Hauptrisikoverantwortlichen vorlegt. 

Seite 11/23



4.6 Kernteam „RISIKO“ 

Die Universität Bern bildet ein Kernteam „Risiko“. Die Aufgabe dieses Kernteams besteht darin 

Ereignisse zu analysieren und die entsprechenden Maßnahmen (Risikoanalyse) zu initiieren. 

Eine weitere Aufgabe des Kernteams „Risiko“ ist der Austausch und die Integration von Schnittstellen, 

die sich aus den folgenden Aufgabenbereichen ergeben können: QSE, Risikomanagement, 

IKS, Controlling, Rechtswesen, Governance, usw. 

Die ständigen Mitglieder des Kernteams „Risiko“ sind QSE, Fachstelle Risikomanagement, 

Rechtsabteilung, Finanzabteilung. Der Verwaltungsdirektor führt das Kernteam „Risiko“. 

Das Kernteam Risiko wird frühestens im 2008 die Arbeit aufnehmen. Eventuell wird das Kernteam 

in eine bestehende Senats- oder Unileitungskommission integriert. 

Unten dargestellt das Risikomanagementorganigramm: 

Delegierter Risikomanagement 

Universitätsleitung 

Unileitung 


Kernteam 

RISIKO 

(Recht, RM, Finanzen, Stab) 

Institute, Abteilungen 

Risikoeigner 

Seite 12/23



5. Risikomanagementprozess 

5.1 Angewandte Standards 

Die Universität Bern stützt sich auf anerkannte Standards wie ISO 31000 (in Vorbereitung) oder 

AS/NZS, bzw. COSO. Diese Standards sind von externen Prüfstellen anerkannt und sind auch an 

der Universität einsetzbar. Die Abbildung unten zeigt den Risikomanagementansatz: 

00-000-00-000 Risikomanagment durchführen 

Beschreibung 

Der Prozess zeigt die Prozessschritte des Risikomanagements an der Universität Bern. Als Grundlage des Prozesses Risikomanagement dient 

das von der Universitätsleitung bewilligte Konzept Risikomanagement. Das Konzept Risikomanagement wird jährlich angepasst und bewilligt. 

Verantwortung 

Fachstelle Risikomanagement (RM) 

Geltungsbereich 

Abteilungen, Institute der Universität Bern 

Inputs 

Risikoanalysecheckliste, Andere Analysetools (z.B. SWOT) 

Existierender Risikokatalog / Strategie, usw. 

Lieferanten, 

Vorgelagerte 

Prozesse 

Workshop, Interviewteilnehmer/innen 

Risikomanagementkonzept und Strategie, IKS 

Diagramm 

Wer 

Weiterführende Beschreibungen und Informationen 

Bewilligtes Konzept 

Risikomanagement 

Konzept 

RM 

Fachstelle RM 

Konzept RM der Unileitung, Delegiertem RM zur Bewilligung 

vorlegen. Konzepthauptkapitel: Leitbild, Politik, 

Verantwortlichkeiten, Risikomanagementprozess, COSO Faktoren, 

Integration IKS, Monitoring & Audit, RM Organisation, Integration 

Krisenmanagement und Notfallplanung. 

Konzept Risikomanagment 

Kontext definieren 

Analysecheckliste 

Existierende Info: 

SWOT, BSC, Strategie, 

Managementmodelle, 

Risikokatalog, usw. 

Leiter/in Abteilung 

Institut 

Kontextdefinition der Fachstelle RM mit Leiter/in Abteilung/Institut und 

Delegiertem RM; Kontext umfasst im Minimum folgende Elemente: 

Abteilungsinterne Teilnehmer/innen, Vorgehensweise 

(Interviews/Workshop), Integration von Analysetools (SWOT, BSC, 

usw.), Risikoanalyseinputs (Abteilungsstrategie, Ziele, usw.), 

Festlegung Struktur und Ablaufs; Vorbereitung Analysecheckliste 

durch Fachstelle RM. 

Analysecheckliste 

Risiken identifizieren 

Eintrag 

Risikokatalog 


Fachstelle RM führt Risikoanalyseinterviews/Workshops durch; 

Eintrag der erkannten Gefahren im Risikokatalog; Die Fachstelle RM 

moderiert den Analyseprozess mit den Teilnehmer/Innen; 

Bestimmung von Auslöser und Schaden. 

Risikokatalog leer 

Risiken evaluieren 

Risikoprofil 

IKS Konzept 

Massnahmenkatalog 


Analyse möglicher Massnahmen durch die Teilnehmer/Innen und den 

Leiter/in Abteilung/Instituts und Bestimmung des Risikoeigners; 

Mögliche Integration ins IKS analysieren; Bestimmung der 3-5 Kern 

Risiken pro Abteilung/Institut. 

IKS Konzept 

Massnahmen analysieren 

Projektbeschriebe 

Massnahmen 

Notfallplanung 

Leiter/in Abteilung 

Institut 

Aufgrund des Massnahmenvorschlags (siehe Evaluationsschritt) 

Bestimmung der definitive Massnahmen Leiter/in Abteilung/Institut; 

Fachstelle RM koordiniert die Optionen (IKS, Outsourcen, Veringern, 

Vermeiden, Akzeptieren); Fachstelle RM bestimmt Schnittstellen zu 

IKS, Notfallplanung und Krisenmanagement; Restrisikoanalyse. 

Massnahmenkatalog 

Review/Bewilligungszyklus 

durchführen 

Bewilligter 

Kernrisikokatalog 

Bereinigter 

Risikokatalog 

Delegierter RM 

Präsentation der Kernrisiken/Massnahmenstrategie durch Fachstelle 

RM an Delegierten RM; Bewilligung der 

Kernrisiken/Massnahmenstrategie durch Unileitung via Delegiertem 

RM; Definition der Kennzahlen und Massnahmenziele. 

Risikokatalog 

Kommunikation, Monitoring 

durchführen 

Auditplan 

Auditbericht 


Kommunikation der Resultate der Risikoanalyse und 

Massnahmenstrategie (inkl. Ziele) an Anspruchsgruppen (durch 

Fachstelle RM und/oder Abteilungsleiter/in); 

Auditplanung und Monitoring der Massnahmenprojekte durch 

Fachstelle RM; Kommunikation der Auditresultate an Delegierten RM. 

& 

Abteilung ist 

abgeschlossen: 

Risikoanalyse 

und Massnahmenstrategie 

-und 

Projekte liegen vor 

und sind 

kommuniziert 

Auditplan 

Outputs 

Bewilligter Risikokatalog, Risikoprofile 

Massnahmenpläne und Auditpläne 

Kunden, 

Nachgelagerte 

Prozesse 

Universitätsleitung, Verwaltungsdirektor, Abteilungen 

Versicherungsmanagement, IKS, Finanzkontrolle 

Zielgrössen 

Risikoidentifikation 

Risikowertminderung 

Messgrösse 

Anzahl Ereignisse 

Anzahl abgeschlossene Massnahmenprojekte 

Seite 13/23



Die Prozesse des Risikomanagement für die anderen Bereiche (Institute, usw.) sind in Ausarbeitung. 

Im Bereich internes Kontrollsystem kann auch der INTOSAI Standard beigezogen werden. 

Die Universität Bern behält sich vor die anerkannten Standards so einzusetzen wie für die Universität 

zweckmäßig. 

5.2 Risikokatalog der Universität 

Die Fachstelle Risikomanagement führt einen Risikokatalog der eine einheitliche Darstellung und 

Beschreibung der Risiken enthält. Die Fachstelle Risikomanagement stellt sicher, dass die Risikoeinschätzung 

in den Abteilungen und Instituten kompetent bewertet werden. Falls notwendig kann 

die Bewertung durch externe Stellen, Berater erfolgen. 

Die Bewertung im Risikokatalog ist eine Nettobewertung, d.h. bereits getroffene Maßnahmen oder 

Interne Kontrollpunkte sind in der Bewertung berücksichtigt. Pro Institut, Abteilung werden 3 - 5 

Kernrisiken bezeichnet, welche in finanzieller Hinsicht besonders hohe Schäden verursachen 

könnten, oder die in der Eintretenswahrscheinlichkeit hoch eingeschätzt sind. 

Die Fachstelle Risikomanagement erstellt eine universitätsumfassende Risikoübersicht, welche bis 

zu 20 Kernrisiken der Universität darstellt und erläutert. 

Der Risikokatalog kann bei der Fachstelle bezogen werden. Der Katalog umfasst im Minimum die 

folgenden Informationen: Risiko Nummerierung, Identifikationsdatum, Platzierung im Risikoprofil 

(Oberhalb/Unterhalb), Zieldatum, Kategorie, Situationsbeschrieb, Auslöser, Schaden, Maßnahmen 

/ Aktionsplan, Risikoeinschätzung, Risikoeigner, Hauptrisikoverantwortlicher, Institut / Abteilung, 

Zieldatum Maßnahmen / Aktionen, Projektstatus Maßnahmen, Projektnummer, Bemerkungen zum 

Risiko. 

5.3 Risikoprofil der Universität 

Das unten dargestellte Risikoprofil dient der Einschätzung der möglichen Ereignisse nach Eintretenswahrscheinlichkeit 

und Schadensausmass. Dieses Risikoprofil wird auf Ebene Universität benutzt, 

auf Stufe Abteilung, Institut können angepasste Profile verwendet werden (nach Rücksprache 

mit Fachstelle Risikomanagement). Risiken, welche im roten oder orangen Bereich eingestuft 

sind, müssen mit entsprechenden Massnahmenprojekten verknüpft sein. 

Seite 14/23



Risikoprofil Universität Bern 

1x 

Häufig 

A 

Monat 

100% 

1x 

Gelegentlich 

B 

Eintretenswahrscheinlichkeit 

Jahr 

1x 5 

Jahre 

1x 10 

Jahre 

1x 50 

63% 

Selten 

18% 

Sehr Selten 

9.5% 

Sehr 

C 

D 

E 

Jahre 

Unwahrscheinlich 

2% 

V IV III II I 

Finanzieller Schaden (In Mio. CHF) 1 > 10 

Arbeitssicherheit Risiko Leichte V Heilbare V Leichte GS Schwere GS Tod 

Umweltsicherheitsrisiko Reinigung USch Areal Großflächig 

Dienstleistungsunterbruchrisiko (In Mio. CHF) 5 

Image / Reputationsrisiko Uni Abt UL Großer Rat PUK 

Prozessrisiko Intern Streitigkeit Strafrechtl. 

Internes Kontrollsystem (IKS) Risiko (in Mio. CHF) 2.5 

5.4 Massnahmenanalyse und Massnahmenstrategie 

Nach der Risikoanalyse erfolgt der Schritt der Massnahmenanalyse und Massnahmenstrategie. 

Diese Analyse soll sich nach folgenden Punkten richten: 

• ist eine Integration ins IKS möglich, und wird dadurch das Risiko kontrolliert? 

• ist ein Risikosharing möglich, durch Versicherung, Outsourcen, usw.? 

• ist eine Verringerung des Risikos durch Massnahmenprojekte möglich und optimal? 

• kann das Risiko grundsätzlich vermieden werden (Projekt oder Tätigkeit wird nicht durchgeführt)? 

Seite 15/23



• muss das Risiko akzeptiert werden (mit Berücksichtigung von Rückstellungen), da keine 

Massnahmenstrategien eine Reduktion des Risikos bewirken? 

Der Abschluss von Versicherungen kann eine zusätzliche und / oder subsidiäre Maßnahme zu den 

Massnahmenprojekten sein. Das Ziel jeder Massnahmenstrategie ist es die Eintretenswahrscheinlichkeit 

und / oder das Schadensausmass zu verringern. Die Formulierung und Umsetzung dieser 

Massnahmenstrategie liegt in der Verantwortung der im Risikokatalog genannten Risikohauptverantwortlichen. 

Die Massnahmenstrategie soll die Ursachen (Prävention) aber auch die Wirkung 

(Notfallplanung) berücksichtigen. 

5.5 Risikokatalog- und Profil auf Instituts, Abteilungsebene 

Auf der Instituts- und Abteilungsebene kann eine Anpassung des Risikoprofils angebracht sein. 

Grundsätzlich sollte der Ansatz mit der Fachstelle Risikomanagement besprochen und genehmigt 

werden. Der Risikokatalog soll universitätsweit angewandt werden, mit der Ausnahme des Risikoprofils. 

Die Fachstelle erarbeitet mögliche Profile auf Instituts und Abteilungsebene. 

Seite 16/23



6. Krisenmanagement 

Die Universität Bern unterhält eine Krisenorganisation. Die Hauptaufgabe dieser Krisenorganisation 

ist das effiziente Krisenmanagement. 

Die Organisation und die Krisendokumente sind im Internet unter der Fachstelle Risikomanagement 

(siehe Organigramm und Verwaltungsorganisation und/oder Zentrale Dienste) ersichtlich. Der 

Zugang zu diesen Informationen ist nur den Krisenverantwortlichen möglich, über eine Passworteingabe. 

Die Informationen aus dem Risikomanagementprozess werden ins Krisenmanagement aufgenommen. 

Seite 17/23



7. Risikomanagementfaktoren 

7.1 Einleitung 

Die unten aufgeführten 4 Zielkategorien (Strategie, Betrieb, Berichterstattung, Rechtskonformität) 

sind durch den COSO Standard (Würfel) definiert und anwendbar auf verschiedene Organisationsmodelle 

(Verwaltungen, Unternehmen, usw.). Diese 4 Kategorien sind in jeder Risikoanalyse 

anzuwenden und liefern die Hauptereignisse respektive Kernrisiken. Für die Universität Bern sind 

die Faktoren daher auch anzuwenden und in die Risikoanalyse einzubeziehen: 

• Strategie (Auf Uniebene, Institutsebene): Die Universität erlässt die strategische Zielsetzung 

und die Institute richten sich an dieser Strategie aus. Die Universität kontrolliert die 

Umsetzung der Strategie und ermittelt die Risiken der Strategie. 

• Betrieb (Operative Prozesse): Effektive und effiziente Nutzung der Ressourcen (Forschungsgelder, 

Angestellte, Betriebsmittel, usw.) durch QSE Ansatz und Reglemente. Die 

Risiken, welche eine effektive und effiziente Betriebsführung gefährden werden analysiert 

und mit Maßnahmen angegangen. 

• die Berichterstattung der Institute und Abteilungen ermöglicht eine Übersicht betreffend 

Strategieumsetzung. Die Kennzahlen zu Qualität, Finanzen, usw. sind vorhanden und eine 

rasche Korrektur ist möglich falls Abweichungen zu den Zielvereinbarungen festgestellt 

werden. 

• der Prozess zur Rechtskonformität stellt sicher, dass geltende Gesetze eingehalten werden 

7.2 COSO Ebenen / Komponenten 

Die 8 Komponenten des COSO Würfels sind unten zusammengefasst erklärt. Da dieser Standard 

sehr umfassend ist, hat sich die Fachstelle für ein pragmatisches Vorgehen entschlossen. Die CO- 

SO Komponenten werden aufgrund eines Maturity Levels und einer Priorität (Bezüglich Universität) 

bewertet. Aufgrund dieser Erstanalyse werden die zu erfüllenden Komponenten definiert und angegangen. 

Mit dieser Vorgehensweise wird sich die COSO Struktur (Würfel) erschließen lassen. 

• 1. Komponente: Das Kontrollumfeld (Internal Environment) umfasst folgende Kategorien: 

Risikobasiertes Leitbild, Risikoappetit, Unabhängigkeit des Senates und der Unileitung, 

Integrität, Ethische Werte, Kompetenz, Organisationsstruktur (Verantwortlichkeiten, 

Vollmachten, Befugnisse), Umfeld, HRM Standards, usw. 

Seite 18/23



• 2. Komponente: Der Zielsetzungsprozess umfasst Universitätsstrategie, Institutsstrategie, 

Projektziele (Institute), Verwaltungsstrategie (HRM, Finanzen, IT, usw.). Abgeleitet von 

diesen Zielen Betriebsziele, Kennzahlenaufnahme, Compliance Ziele; Festlegung des Risikoappetits 

und der Risikotoleranzen, usw. 

• 3. bis 6. Komponente umfasst Ereignisidentifikation, Risikobeurteilung, Risikosteuerung 

und Kontrollaktivitäten und wird hier zusammengefasst: Die Risikoaufnahmen erfolgen 

aufgrund von Checklisten oder Fragekatalog (an Institute und Leitung) aufgrund von 

COSO Standard oder St-Galler Managementmodell. Gleichzeitig erste Massnahmenableitung 

und / oder Kontrollaktivitätsanalyse. 

• 7. Komponente umfasst Information, Kommunikation: Informationsfluss in der Universität 

(Die Institutsdirektoren, das Personal, die Institute, usw. betreffend); Forschungsinfo, 

Finanzielle Info, usw.; Interne und Externe Informationskanäle 

• Die 8. Komponente umfasst Kontrolle, Monitoring: Der Risikomanagementprozess wird 

mit geeigneten Mitteln (beispielsweise Audits) überwacht; Evaluation des Risikomanagements 

auf Unileitungsebene und auf Institutsebene; 

Der von der Fachstelle ausgearbeitete COSO Komponenten Einschätzungsbogen ist im Anhang 

beigelegt. 

Unten als Zusammenfassung die COSO Würfel Darstellung: 

Seite 19/23



8. Risikoreporting 

8.1 Risikobericht 

Die Fachstelle Risikomanagement erstellt einen Jahresbericht. Die Hauptkapitel dieses Berichtes 

sind: Management Summary, Risikopolitik laufendes Jahr und Umsetzungsgrad, Übersicht Risikomanagement 

Stand (Interviews, Workshops, Massnahmenprojekte, usw.), Kernrisiken, COSO Zielerreichungslevel, 

geplante Änderungen (Change), Übersicht folgendes Jahr, Risikopolitik folgendes 

Jahr, Einschränkungsklausel. 

Die Fachstelle Risikomanagement erstellt ein Quartalsreporting, welches die Hauptaktivitäten aufzeigt 

und unterscheidet zwischen den Kategorien Risikobeurteilungen (inkl. IKS, Versicherungsmanagement), 

AS & GS, Umweltsicherheit und Krisenmanagement. 

Seite 20/23



9. Monitoring/Audit 

9.1 Monitoring 

Durch ein geeignetes Monitoring (Reporting) wird der Risikomanagementprozess überwacht. Bei 

Abweichungen wird der Delegierte für Risikomanagement informiert. 

9.2 Audit 

Der reguläre Audit - Prozess der Finanzkontrolle sorgt für eine entsprechende Kontrolle der Risikomanagementvorgaben. 

Externe Auditpläne (Finanzkontrolle) sollen durch die Fachstelle Risikomanagement 

koordiniert werden. Externe Auditberichte sollen an die Fachstelle Risikomanagement 

in Kopie weitergeleitet werden. 

Interne Audits durch die Fachstelle Risikomanagement können in einer späteren Phase (2009) 

einzelne Risikomanagementprozessschritte oder Massnahmenstrategien in den Abteilungen und 

Instituten überprüfen. Hierzu kann die Fachstelle Risikomanagement einen Auditplan erstellen, 

welcher die Massnahmenplanung und das Funktionieren des IKS prüft. 

Die Resultate der Audits werden durch die Fachstelle Risikomanagement an den Delegierten Risikomanagement 

verteilt. 

Festgelegte Auditmassnahmen betreut die Fachstelle Risikomanagement. 

Seite 21/23



10. Verschiedenes / Anhang 

10.1 Abkürzungsverzeichnis 

AAA 

American Accounting Association 

Abkürzung Erläuterung zur Abkürzung Bemerkung 

AICPA American Institute of Certified Public Accountants 

AS & GS Arbeitssicherheit & Gesundheitsschutz 

AS / NZS Australian / New Zealand Standard 

COSO Committee of Sponsoring Organisations of the Herausgeber eines weltweit 

Treadway Commision 

anerkannten Standards 

FEI 

Financial Executives International 

FLG 

Gesetz über die Steuerung von Finanzen und Leistungen 

Kantonsgesetz 

FLV 

Verordnung über die Steuerung von Finanzen und Kantonsverordnung 

Leistungen 

HRM Human Ressource Standards Personalmanagement 

IIA 

The Institute of Internal Auditors 

IKS 

Internes Kontrollsystem 

IMA 

Institute of Management Accountants 

INTOSAI International Organisation of Supreme Audit Institutions 

Richtlinien für die Internen Kontrollnormen 

im öffentlichen Sektor 

ISO 

Internationale Organisation für Normung 

IT Information Technology Informatikdienstleistungen 

OR 

Obligationenrecht 

QSE Qualitätssicherung- und Entwicklung Universität Bern 

RRB Regierungsratsbeschluss Kanton Bern 

UL Universitätsleitung Universität Bern 

10.2 COSO Komponenten Einschätzungsbogen 

L:\Risikomanagement 

RISIKOMANAGEMENT 

Seite 22/23



11. Dokumentprozess 

Dokumenterstellung Version 0.1 September 07 

Review Verwaltungsdirektor (VD) Version 0.2 September 07 

Geänderte Version an Verwaltungsdirektor Version 0.3 Oktober 07 

Genehmigte Version Version 1.0 November 2007 

Bewilligung Verwaltungsdirektion Datum Unterschrift 

Daniel Odermatt, Verwaltungsdirektor 26.10.2007 Siehe Papierversion 

(Die Bewilligung bezieht sich auf die Verwaltungsdirektion, Rechtsdienst, Gleichstellung, Stab, 

Kommunikation, Kollegium Generale, Forum Uni & Gesellschaft. Das Konzept hat Gültigkeit bis 

Ende Q2 08, danach erfolgt eine Evaluation durch den Verwaltungsdirektor). 

Das Konzept wurde von der Universitätsleitung am 06. November 2007 bewilligt, für die Verwaltungsdirektion 

am 26. Oktober 2007. 

Seite 23/23

Konzept Risikomanagement 12.11.07 - Fachstelle ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?