Konzept Risikomanagement 12.11.07 - Fachstelle ...
Konzept Risikomanagement 12.11.07 - Fachstelle ...
Konzept Risikomanagement 12.11.07 - Fachstelle ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
Bern, 12. November 2007, Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
Verwaltungsdirektion<br />
<strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
Gesellschaftsstrasse 2<br />
CH-3012 Bern<br />
beat.schneiter@bt.unibe.ch<br />
www.risiko.unibe.ch<br />
<strong>Risikomanagement</strong>konzept<br />
Dokumentautor:<br />
Beat Schneiter<br />
Dokumenteigentümer: Daniel Odermatt<br />
Abteilung:<br />
Verwaltungsdirektion<br />
<strong>Fachstelle</strong>:<br />
<strong>Risikomanagement</strong><br />
Datum: November 2007<br />
Review Periode:<br />
12 Monate<br />
Vertraulichkeitsstatus: Öffentlich
Bern, 12. November 2007, Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
Inhaltsverzeichnis<br />
Verwaltungsdirektion<br />
<strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
Gesellschaftsstrasse 2<br />
CH-3012 Bern<br />
beat.schneiter@bt.unibe.ch<br />
www.risiko.unibe.ch<br />
1. Einleitung .........................................................................................................................4<br />
1.1 Definition <strong>Risikomanagement</strong> ............................................................................................4<br />
1.2 <strong>Risikomanagement</strong>ziele.....................................................................................................5<br />
1.3 Ziele des <strong>Risikomanagement</strong>konzeptes.............................................................................5<br />
1.4 Gesetzliche Grundlagen ....................................................................................................6<br />
2. Risikoleitbild / Umsetzungsplanung...............................................................................7<br />
2.1 Quantitative und qualitative Ziele .......................................................................................7<br />
2.2 Umsetzungsplan 2007 bis 2010 .........................................................................................8<br />
3. Wirkungsbereich (Abgrenzung) ......................................................................................9<br />
3.1 Geltungsbereich.................................................................................................................9<br />
4. Verantwortlichkeiten......................................................................................................10<br />
4.1 Universitätsleitung ...........................................................................................................10<br />
4.2 <strong>Risikomanagement</strong>delegierte/r.........................................................................................10<br />
4.3 <strong>Fachstelle</strong> <strong>Risikomanagement</strong> .........................................................................................10<br />
4.4 Dekanate / Fakultäten / Institute / Abteilungen.................................................................11<br />
4.5 Hauptrisikoverantwortlicher, Risikoeigner ........................................................................11<br />
4.6 Kernteam „RISIKO“..........................................................................................................12<br />
5. <strong>Risikomanagement</strong>prozess...........................................................................................13<br />
5.1 Angewandte Standards....................................................................................................13<br />
5.2 Risikokatalog der Universität ...........................................................................................14<br />
5.3 Risikoprofil der Universität ...............................................................................................14<br />
5.4 Massnahmenanalyse und Massnahmenstrategie.............................................................15<br />
5.5 Risikokatalog- und Profil auf Instituts, Abteilungsebene ...................................................16<br />
6. Krisenmanagement........................................................................................................17<br />
7. <strong>Risikomanagement</strong>faktoren ..........................................................................................18
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
7.1 Einleitung.........................................................................................................................18<br />
7.2 COSO Ebenen / Komponenten ........................................................................................18<br />
8. Risikoreporting ..............................................................................................................20<br />
8.1 Risikobericht....................................................................................................................20<br />
9. Monitoring/Audit ............................................................................................................21<br />
9.1 Monitoring........................................................................................................................21<br />
9.2 Audit ................................................................................................................................21<br />
10. Verschiedenes / Anhang ...............................................................................................22<br />
10.1 Abkürzungsverzeichnis ....................................................................................................22<br />
10.2 COSO Komponenten Einschätzungsbogen......................................................................22<br />
11. Dokumentprozess..........................................................................................................23<br />
Seite 3/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
1. Einleitung<br />
1.1 Definition <strong>Risikomanagement</strong><br />
Untenstehend die Definition von <strong>Risikomanagement</strong> gemäß „The Committee of Sponsoring Organizations<br />
of the Treadway Commission“ oder auch kurz COSO. Der COSO Standard hat sich weltweit<br />
etabliert bei Revisionsgesellschaften wie auch bei Unternehmen und weiteren Organisationen<br />
als anerkannter <strong>Risikomanagement</strong>standard. Mitglieder des obengenannten Komitees sind: AIC-<br />
PA, AAA, FEI, IIA und IMA.<br />
Unternehmensweites <strong>Risikomanagement</strong> wird gemäß COSO folgendermaßen definiert:<br />
Das unternehmensweite <strong>Risikomanagement</strong> betrifft Risiken und Chancen, die die Wertschöpfung<br />
beeinflussen. Der Terminus <strong>Risikomanagement</strong> ist wie folgt definiert:<br />
Unternehmensweites <strong>Risikomanagement</strong> ist ein Prozess, ausgeführt durch Überwachungsund<br />
Leitungsorgane, Führungskräfte und Mitarbeiter einer Organisation, angewandt bei der<br />
Strategiefestlegung sowie innerhalb der Gesamtorganisation, gestaltet um die die Organisation<br />
beeinflussenden, möglichen Ereignisse zu erkennen, und um hinreichende Sicherheit<br />
bezüglich des Erreichens der Ziele der Organisation zu gewährleisten.<br />
Die Definition berücksichtigt einige grundlegende <strong>Konzept</strong>e. Das Unternehmensweite <strong>Risikomanagement</strong><br />
ist/wird:<br />
• ein Prozess, der sich ununterbrochen und über die gesamte Organisation erstreckt<br />
• ausgeführt durch Menschen auf jeder Ebene einer Organisation<br />
• angewandt bei der Strategiefestlegung<br />
• unternehmensübergreifend angewandt – auf jeder Ebene und in jeder Einheit – und<br />
betrachtet das organisationsweite Risikoportfolio<br />
• gestaltet, um mögliche Ereignisse zu erkennen – die im Falle ihres Eintretens die Organisation<br />
beeinflussen – und um Risiken auf Grundlage der Risikoneigung zu steuern<br />
• geeignet, den Führungskräften sowie dem Überwachungs- und Leitungsorganen einer<br />
Organisation hinreichend Sicherheit zu gewährleisten<br />
• ausgerichtet auf das Erreichen von Zielen in einer oder mehreren zusammenhängenden<br />
Kategorien<br />
Seite 4/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
Diese Definition ist absichtlich breit gewählt. Sie deckt grundlegende <strong>Konzept</strong>e ab, die eine Basis<br />
dafür bilden, wie Unternehmen und andere Organisationen Risiken steuern. Gleichzeitig bietet sie<br />
so eine Grundlage für die organisations- unternehmens- und branchenübergreifende Anwendung.<br />
Sie ist direkt auf das Erreichen von Zielen ausgerichtet, die von einer Organisation festgelegt sind<br />
und bildet eine Grundlage für die Beurteilung der Funktionsfähigkeit des unternehmensweiten <strong>Risikomanagement</strong>s<br />
(www.coso.org).<br />
1.2 <strong>Risikomanagement</strong>ziele<br />
Das ganzheitliche umfassende <strong>Risikomanagement</strong> an der Universität Bern (RM UNIBE) soll sicherstellen,<br />
dass Rechtskonformitäts- Sicherheits- (AS & GS, IT Security, Umweltsicherheit, usw.),<br />
Betriebs- und Finanzielle Risiken (Internes Kontrollsystem) auf ein für die Universität tragbares<br />
Level reduziert werden.<br />
Das <strong>Risikomanagement</strong> soll sicherstellen, das der Betrieb wirkungsorientiert und effizient abläuft,<br />
dass die Sicherheit von Personen (Studierende, Besucher, usw.), Mitarbeitern, Sachen, Vermögenswerten<br />
und Umwelt garantiert ist.<br />
Der Führung der Universität Bern soll aktuelle Risikoinformation zur Verfügung stehen um Führungs-<br />
und Strategieentscheide zu unterstützen und Massnahmenstrategien zu definieren.<br />
Das Risikobewusstsein soll bei Professoren, Mitarbeiter/innen und Studierenden gefördert werden<br />
und Risikokosten minimiert werden.<br />
Das Image, die Reputation der Universität Bern soll geschützt und verstärkt werden.<br />
Die angestrebten Ziele (strategische und operative) der Universität sollen durch ein ganzheitliches<br />
umfassendes <strong>Risikomanagement</strong> geschützt werden.<br />
1.3 Ziele des <strong>Risikomanagement</strong>konzeptes<br />
Das <strong>Konzept</strong> legt die Hauptpunkte des universitätsweiten <strong>Risikomanagement</strong>s fest. Es dient als<br />
Informations- und Kommunikationsmittel für alle am <strong>Risikomanagement</strong>prozess beteiligten Mitarbeiter/innen.<br />
Das <strong>Konzept</strong> erläutert die Vorgehensweise und die Risikoerfassung. Abweichende<br />
Methoden sind nur mit Rücksprache der <strong>Fachstelle</strong> für <strong>Risikomanagement</strong> erlaubt. Eine Universitätsweisung<br />
wird das <strong>Konzept</strong> ergänzen.<br />
Seite 5/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
1.4 Gesetzliche Grundlagen<br />
<strong>Risikomanagement</strong> wird durch folgende Gesetzesartikel / Weisungen gefordert:<br />
• Art. 12 FLV verlangt das Führen eines Internen Kontrollsystems (IKS). Das IKS der Universität<br />
deckt die Bereiche Reporting und Compliance gemäß COSO I Ansatz ab.<br />
• Der Regierungsratsbeschluss des Kantons Berns (RRB) 1922 (20.11.02) verlangt eine Beurteilung<br />
und Bewirtschaftung der Risiken in den einzelnen Aufgabenportefeuilles sowie<br />
die Einleitung der notwendigen Maßnahmen in den zuständigen Direktionen. Die Finanzkontrolle<br />
des Kantons Bern überprüft das <strong>Risikomanagement</strong> der Direktionen.<br />
• Art. 15 FLG verlangt vom Anhang der Jahresrechnung: „Der Anhang zur Jahresrechnung<br />
enthält ergänzende und erläuternde Informationen zur Rechnungslegung. Inhaltlich orientiert<br />
er sich an den Mindestangaben gemäß Artikel 663b des Obligationenrechts und der<br />
Entwicklung der allgemein anerkannten Normen zur Rechnungslegung“. Der Prüfer der<br />
Jahresrechnung prüft ab 01.01.08 gemäß Art. 663b Ziff. 12 rev OR ob eine Risikobeurteilung<br />
vorliegt und prüft die Existenz eines internen Kontrollsystems (IKS).<br />
Seite 6/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
2. Risikoleitbild / Umsetzungsplanung<br />
Das Leitbild der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> ist:<br />
• Unterstützung der Universität in der Wahrnehmung ihrer Verantwortung als eigene Rechtspersönlichkeit,<br />
dies insbesondere im Bereich <strong>Risikomanagement</strong>.<br />
• Sicherstellung der Rechtskonformität im Bereich <strong>Risikomanagement</strong> gegenüber externen<br />
Stakeholdern (Beispielsweise: Kanton Bern, Kontrollbehörden) und internen Stakeholdern<br />
(Beispielsweise Unileitung, MitarbeiterInnen, Studenten).<br />
• Erkennen der wichtigen Risikofelder durch einen strukturierten Risikoidentifikationsprozess.<br />
Minimieren der Risiken welche ein großes Ausfall- Finanz- und Imagerisiko einschließen.<br />
• Unterstützung der Unabhängigkeit und Freiheit der Institute in Lehre und Forschung durch<br />
effiziente Risikokonzepte.<br />
• Führen eines Risikokatalogs, der Interne Kontrollpunkte und/oder Risikomassnahmen beinhaltet.<br />
Dieser Katalog wird der Unileitung jährlich oder nach Bedarf zur Genehmigung<br />
präsentiert.<br />
• Das Image der Universität schützen und weiterentwickeln, die Erreichung der Finanz- und<br />
Budgetziele sicherstellen und die Sicherheit an der Universität risikoorientiert weiterentwickeln<br />
• Das universitätsweite <strong>Risikomanagement</strong> orientiert sich an anerkannten Standards und gesetzlichen<br />
Vorgaben.<br />
2.1 Quantitative und qualitative Ziele<br />
2007: <strong>Risikomanagement</strong>konzept: Das <strong>Risikomanagement</strong>konzept wird bis Ende Q3 07 dem Verwaltungsdirektor<br />
zur Bewilligung vorgelegt. Es wird jährlich im 1. Quartal überarbeitet, den neuen<br />
Erkenntnissen angepasst und durch die Unileitung bewilligt. Eine Erstrisikoanalyse wird in den<br />
Abteilungen der Verwaltungsdirektion bis Ende Q4 07 erstellt und der daraus resultierende Risikokatalog<br />
inklusive Maßnahmen vorgelegt und bewilligt.<br />
2008: Eine Erstrisikoanalyse wird im Generalsekretariat und den Rektoratsratsdiensten bis Ende<br />
Q2 08 erstellt und der daraus resultierende Risikokatalog inklusive Maßnahmen vorgelegt und<br />
bewilligt. Eine Erstrisikoanalyse wird in den im Zentrum Lehre & Forschung bis Ende Q4 07 erstellt<br />
und der daraus resultierende Risikokatalog inklusive Maßnahmen vorgelegt und bewilligt. In einer<br />
Pilotphase wird eine Risikoanalyse in 1 bis 2 Instituten durchgeführt, um eine <strong>Konzept</strong>idee für das<br />
Seite 7/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
weitere Vorgehen in den übrigen Instituten zu erhalten. Review Risikoanalyse im Q4 08 der Abteilungen<br />
der Verwaltungsdirektion.<br />
2009: Die Institute erhalten ein angepasstes <strong>Risikomanagement</strong>konzept aufgrund der Erkenntnisse<br />
einer Pilotphase (1-2 Institute), welches effizient Risiken aufnimmt und Massnahmenprojekte erarbeitet.<br />
Eine Erstrisikoanalyse in allen Instituten aufgrund des Institut - <strong>Risikomanagement</strong>konzeptes<br />
bis Q3 09. Durchführung einer Review Risikoanalyse in den Abteilungen der Verwaltungsdirektion,<br />
des Generalsekretariates, und im Zentrum Lehre & Forschung. Analyse der Integration von<br />
<strong>Risikomanagement</strong> und Internes Kontrollsystem und Umsetzungsvorschlag (getrennter oder integrierter<br />
Ansatz).<br />
2010: <strong>Risikomanagement</strong> ist gemäß Umsetzungplanung (Siehe Anhang) ein integrierter Bestandteil<br />
im Betrieb der Universität (eine Verknüpfung mit dem QSE (Qualitätssicherung- und Entwicklung)<br />
wird geprüft, sobald Erfahrungen mit den Abteilungen und Instituten vorliegen).<br />
2.2 Umsetzungsplan 2007 bis 2010<br />
Die unten eingefügte Ablaufplanung fasst die obengenannten Schritte zusammen. Ab 2010 sind<br />
die Erstanalysen universitätsweit abgeschlossen und der Prozess <strong>Risikomanagement</strong> ist integriert<br />
und die Risikoinformation (Risikokatalog / Massnahmenprojekte) wird fortlaufend erneuert. Jährlich<br />
wiederkehrende Prozessschritte sind: Bewilligung des Risikokataloges und Massnahmenprojekte<br />
durch Universitätsleitung (UL); Anpassung des <strong>Risikomanagement</strong>konzeptes und Bewilligung<br />
durch UL; Neueinschätzung des Risikokatalogs und Erfassung neuer Risiken.<br />
Umsetzungsplanung <strong>Risikomanagement</strong><br />
<strong>Konzept</strong>bewilligung UL<br />
Review <strong>Konzept</strong><br />
Erstanalyse<br />
Risikokatalogbewilligung UL<br />
Entscheid Prozess Institute<br />
Review Analyse<br />
2007 2008 2009 2010<br />
Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4 Q1 Q2 Q3 Q4<br />
<strong>Risikomanagement</strong>konzept<br />
Projektplan Ablauf Risikoanalysen und Massnahmenplanung<br />
Risikopolitik, Leitbild<br />
Organisation, Verantwortlichkeiten<br />
Kontrolle und Audit<br />
Integration Internes Kontrollsystem<br />
Analyse Verwaltungsdirektion<br />
Analyse Verwaltungsdirektion (Alle Abteilungen)<br />
Analyse Generalsekretariat und Rektoratsdienste<br />
Rechtsdienst, Gleichstellung<br />
Stab, Kommunikation, Kollegium Generale, Forum Uni & Gesellschaft<br />
Analyse Zentrum Lehre & Forschung<br />
Euresearch, Forschungsevaluation, Fundraising<br />
Pilotanalyse in 1-2 Instituten<br />
z. Bsp. Zahnkliniken<br />
z. Bsp. Geografie<br />
Analyse Fakultäten & Institute<br />
Analyse alle Institute<br />
Seite 8/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
3. Wirkungsbereich (Abgrenzung)<br />
3.1 Geltungsbereich<br />
Dieses Dokument „<strong>Risikomanagement</strong>konzept“ der Universität Bern ist umzusetzen in Zusammenarbeit<br />
mit der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> der Verwaltungsdirektion durch folgende Institute /<br />
Fakultäten / Abteilungen:<br />
• Alle Institute<br />
• Alle Fakultäten<br />
• Zentrum Forschung<br />
• Zentrum Lehre<br />
• Rektoratsdienste<br />
• Generalsekretariat<br />
• Verwaltungsdirektion<br />
Die <strong>Konzept</strong>vorgaben sind verbindlich und abweichende Ansätze sind durch die <strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
bewilligen zu lassen. Das Ziel dieses Bewilligungsschrittes ist es eine einheitliche<br />
Vorgehensweise zu erzeugen und vergleichbare Resultate zu erzielen.<br />
Der Risikokatalog und die Risikoprofile sind verbindlich einzusetzen, Massnahmenstrategien,<br />
Massnahmenprojektbeschriebe sind nach entsprechenden Universitätsvorgaben einzureichen.<br />
Seite 9/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
4. Verantwortlichkeiten<br />
4.1 Universitätsleitung<br />
Die Hauptverantwortung für ein universitätsweites <strong>Risikomanagement</strong> trägt die Universitätsleitung.<br />
Die Verantwortlichkeit umfasst die jährliche Genehmigung / Freigabe des Risikokatalogs auf<br />
Universitätsstufe und damit verbundenen Massnahmengenehmigungen, gegebenenfalls inklusive<br />
Ressourcenzuteilung. Die Universitätsleitung ist zudem verantwortlich eine Risikopolitik und ein<br />
Leitbild zu formulieren und den <strong>Risikomanagement</strong>ansatz der durch die Verwaltungsdirektion vorgeschlagen<br />
wird zu bewilligen. Die Universitätsleitung unterstützt ein proaktives <strong>Risikomanagement</strong><br />
durch entsprechenden Einbezug der <strong>Fachstelle</strong> in laufende Projekte, Strategieumsetzungspläne.<br />
Die <strong>Fachstelle</strong> erhält den Zugang zu den entsprechenden Schnittstellen in die<br />
Hauptprozesse Lehre & Forschung und zu den Unterstützungsprozessen (Stab, Rechtsdienst,<br />
Verwaltungsdirektion, usw.).<br />
4.2 <strong>Risikomanagement</strong>delegierte/r<br />
Als <strong>Risikomanagement</strong>delegierter der Universität waltet der Verwaltungsdirektor. Die Aufgaben<br />
des Delegierten sind die Beauftragung und Überwachung der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> und<br />
das quartalsweise Reporting an die Universitätsleitung. Der <strong>Risikomanagement</strong>delegierte ist Mitglied<br />
der Universitätsleitung und verantwortet in der Funktion des Delegierten das <strong>Risikomanagement</strong><br />
auf Stufe Senat und Universitätsleitung. Er stellt den Informationsfluss betreffend <strong>Risikomanagement</strong><br />
zwischen Universitätsleitung, Senat und der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> sicher.<br />
4.3 <strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> verantwortet die fachliche Führung im Bereich <strong>Risikomanagement</strong>,<br />
welches auch Arbeitssicherheit & Gesundheitsschutz, Umweltsicherheit, Internes Kontrollsystem<br />
(IKS), Versicherungsmanagement, umfasst. Diese fachliche Führung umfasst auch Weisungskompetenz<br />
gegenüber den Instituten und Abteilungen der Universität in Sonderfällen, welche<br />
als kritische Ereignisse eingestuft sind. Die <strong>Fachstelle</strong> erarbeitet jährlich den Risikokatalog, schlägt<br />
die Risikopolitik / Strategie vor und überprüft das <strong>Risikomanagement</strong>konzept jährlich nach den<br />
COSO Kriterien und dem Stand der Technik und des Wissens und im Sinne eines kontinuierlichen<br />
Verbesserungsprozesses. Die <strong>Fachstelle</strong> kontrolliert, auditiert die bewilligten Massnahmenpläne<br />
und erhebt Kennzahlen betreffend Ereignissen und Projektfortschritt (Maßnahmen). Die <strong>Fachstelle</strong><br />
unterstützt und berät die Universitätsleitung und die Fakultäten (Dekanate und Institute) in der Umsetzung<br />
eines umfassenden <strong>Risikomanagement</strong>ansatzes.<br />
Seite 10/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
4.4 Dekanate / Fakultäten / Institute / Abteilungen<br />
Verantwortlich für die Umsetzung des durch die Universitätsleitung vorgegebenen <strong>Risikomanagement</strong>konzeptes<br />
sind die Dekanate, Fakultäten, Institutsdirektionen und die Abteilungsleiter<br />
(auch auf Stufe Universitätsleitung). Sie tragen die Verantwortung, dass das von der Universitätsleitung<br />
vorgegebene <strong>Risikomanagement</strong>konzept und die damit verbundenen Prozessschritte<br />
termingerecht durchgeführt werden können. Die Dekanate, Fakultäten, Institutsdirektionen und die<br />
Abteilungsleiter stellen sicher, dass die im Dokument aufgeführten Verantwortlichkeiten wahrgenommen<br />
werden und Massnahmenpläne und weitere Outputs des <strong>Risikomanagement</strong>prozesses in<br />
den jeweiligen Institute und Abteilungen umgesetzt werden. Die Dekanate, Fakultäten, Institutsdirektionen<br />
und die Abteilungsleiter erstellen einen jährlichen <strong>Risikomanagement</strong>bericht (Vorgabe<br />
des Inhaltes durch <strong>Fachstelle</strong>), der auch IKS und weitere relevante Risikokapitel enthält, zuhanden<br />
der <strong>Fachstelle</strong>.<br />
4.5 Hauptrisikoverantwortlicher, Risikoeigner<br />
Im von der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> geführten Risikokatalog werden Hauptrisikoverantwortliche<br />
und Risikoeigner festgelegt.<br />
Der Hauptrisikoverantwortliche ist explizit verantwortlich dass die Risikopolitik / Massnahmenstrategie<br />
in ihren Instituten umgesetzt wird. Im Ereignisfall trägt der Hauptrisikoverantwortliche die<br />
Verantwortung für allfällige Abweichungen / Nichtdurchführung von bewilligten Maßnahmen. Der<br />
Hauptrisikoverantwortliche bewilligt Massnahmenprojektpläne und deren Endtermin / Abgabetermin<br />
/ Audittermin. Er ist verantwortlich, dass Massnahmenpläne mit genügend Ressourcen (Finanzielle<br />
/ Personelle) versehen sind um den bestimmten Endtermin zu erreichen. Der Hauptrisikoverantwortliche<br />
ist in der Regel der Instituts- oder Abteilungsleiter. Im Zweifelsfalle bestimmt die<br />
<strong>Fachstelle</strong> <strong>Risikomanagement</strong> den Hauptrisikoverantwortlichen.<br />
Der Risikoeigner trägt die Umsetzungsverantwortung der Massnahmenprojektpläne gemäß bewilligtem<br />
Massnahmenkatalog. Der Risikoeigner wird im Risikokatalog namentlich erwähnt. Der Risikoeigner<br />
ist verantwortlich, Massnahmenumsetzungsschwierigkeiten (Termin- Ressourcen-<br />
Schnittstellenschwierigkeiten, usw.) frühzeitig an die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> und den<br />
Hauptrisikoverantwortlichen zu kommunizieren. Der Risikoeigner hat die Übersicht über die eingeleiteten<br />
Maßnahmen und kennt die Notfallmassnahmen, falls ein Kernrisiko eintritt. Der Risikoeigner<br />
erstellt eine entsprechende Maßnahmen- und Notfalldokumentation, welche er der <strong>Fachstelle</strong><br />
<strong>Risikomanagement</strong> und dem Hauptrisikoverantwortlichen vorlegt.<br />
Seite 11/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
4.6 Kernteam „RISIKO“<br />
Die Universität Bern bildet ein Kernteam „Risiko“. Die Aufgabe dieses Kernteams besteht darin<br />
Ereignisse zu analysieren und die entsprechenden Maßnahmen (Risikoanalyse) zu initiieren.<br />
Eine weitere Aufgabe des Kernteams „Risiko“ ist der Austausch und die Integration von Schnittstellen,<br />
die sich aus den folgenden Aufgabenbereichen ergeben können: QSE, <strong>Risikomanagement</strong>,<br />
IKS, Controlling, Rechtswesen, Governance, usw.<br />
Die ständigen Mitglieder des Kernteams „Risiko“ sind QSE, <strong>Fachstelle</strong> <strong>Risikomanagement</strong>,<br />
Rechtsabteilung, Finanzabteilung. Der Verwaltungsdirektor führt das Kernteam „Risiko“.<br />
Das Kernteam Risiko wird frühestens im 2008 die Arbeit aufnehmen. Eventuell wird das Kernteam<br />
in eine bestehende Senats- oder Unileitungskommission integriert.<br />
Unten dargestellt das <strong>Risikomanagement</strong>organigramm:<br />
Delegierter <strong>Risikomanagement</strong><br />
Universitätsleitung<br />
Unileitung<br />
<strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
Kernteam<br />
RISIKO<br />
(Recht, RM, Finanzen, Stab)<br />
Institute, Abteilungen<br />
Risikoeigner<br />
Seite 12/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
5. <strong>Risikomanagement</strong>prozess<br />
5.1 Angewandte Standards<br />
Die Universität Bern stützt sich auf anerkannte Standards wie ISO 31000 (in Vorbereitung) oder<br />
AS/NZS, bzw. COSO. Diese Standards sind von externen Prüfstellen anerkannt und sind auch an<br />
der Universität einsetzbar. Die Abbildung unten zeigt den <strong>Risikomanagement</strong>ansatz:<br />
00-000-00-000 Risikomanagment durchführen<br />
Beschreibung<br />
Der Prozess zeigt die Prozessschritte des <strong>Risikomanagement</strong>s an der Universität Bern. Als Grundlage des Prozesses <strong>Risikomanagement</strong> dient<br />
das von der Universitätsleitung bewilligte <strong>Konzept</strong> <strong>Risikomanagement</strong>. Das <strong>Konzept</strong> <strong>Risikomanagement</strong> wird jährlich angepasst und bewilligt.<br />
Verantwortung<br />
<strong>Fachstelle</strong> <strong>Risikomanagement</strong> (RM)<br />
Geltungsbereich<br />
Abteilungen, Institute der Universität Bern<br />
Inputs<br />
Risikoanalysecheckliste, Andere Analysetools (z.B. SWOT)<br />
Existierender Risikokatalog / Strategie, usw.<br />
Lieferanten,<br />
Vorgelagerte<br />
Prozesse<br />
Workshop, Interviewteilnehmer/innen<br />
<strong>Risikomanagement</strong>konzept und Strategie, IKS<br />
Diagramm<br />
Wer<br />
Weiterführende Beschreibungen und Informationen<br />
Bewilligtes <strong>Konzept</strong><br />
<strong>Risikomanagement</strong><br />
<strong>Konzept</strong><br />
RM<br />
<strong>Fachstelle</strong> RM<br />
<strong>Konzept</strong> RM der Unileitung, Delegiertem RM zur Bewilligung<br />
vorlegen. <strong>Konzept</strong>hauptkapitel: Leitbild, Politik,<br />
Verantwortlichkeiten, <strong>Risikomanagement</strong>prozess, COSO Faktoren,<br />
Integration IKS, Monitoring & Audit, RM Organisation, Integration<br />
Krisenmanagement und Notfallplanung.<br />
<strong>Konzept</strong> Risikomanagment<br />
Kontext definieren<br />
Analysecheckliste<br />
Existierende Info:<br />
SWOT, BSC, Strategie,<br />
Managementmodelle,<br />
Risikokatalog, usw.<br />
Leiter/in Abteilung<br />
Institut<br />
Kontextdefinition der <strong>Fachstelle</strong> RM mit Leiter/in Abteilung/Institut und<br />
Delegiertem RM; Kontext umfasst im Minimum folgende Elemente:<br />
Abteilungsinterne Teilnehmer/innen, Vorgehensweise<br />
(Interviews/Workshop), Integration von Analysetools (SWOT, BSC,<br />
usw.), Risikoanalyseinputs (Abteilungsstrategie, Ziele, usw.),<br />
Festlegung Struktur und Ablaufs; Vorbereitung Analysecheckliste<br />
durch <strong>Fachstelle</strong> RM.<br />
Analysecheckliste<br />
Risiken identifizieren<br />
Eintrag<br />
Risikokatalog<br />
<strong>Fachstelle</strong> RM<br />
<strong>Fachstelle</strong> RM führt Risikoanalyseinterviews/Workshops durch;<br />
Eintrag der erkannten Gefahren im Risikokatalog; Die <strong>Fachstelle</strong> RM<br />
moderiert den Analyseprozess mit den Teilnehmer/Innen;<br />
Bestimmung von Auslöser und Schaden.<br />
Risikokatalog leer<br />
Risiken evaluieren<br />
Risikoprofil<br />
IKS <strong>Konzept</strong><br />
Massnahmenkatalog<br />
<strong>Fachstelle</strong> RM<br />
Analyse möglicher Massnahmen durch die Teilnehmer/Innen und den<br />
Leiter/in Abteilung/Instituts und Bestimmung des Risikoeigners;<br />
Mögliche Integration ins IKS analysieren; Bestimmung der 3-5 Kern<br />
Risiken pro Abteilung/Institut.<br />
IKS <strong>Konzept</strong><br />
Massnahmen analysieren<br />
Projektbeschriebe<br />
Massnahmen<br />
Notfallplanung<br />
Leiter/in Abteilung<br />
Institut<br />
Aufgrund des Massnahmenvorschlags (siehe Evaluationsschritt)<br />
Bestimmung der definitive Massnahmen Leiter/in Abteilung/Institut;<br />
<strong>Fachstelle</strong> RM koordiniert die Optionen (IKS, Outsourcen, Veringern,<br />
Vermeiden, Akzeptieren); <strong>Fachstelle</strong> RM bestimmt Schnittstellen zu<br />
IKS, Notfallplanung und Krisenmanagement; Restrisikoanalyse.<br />
Massnahmenkatalog<br />
Review/Bewilligungszyklus<br />
durchführen<br />
Bewilligter<br />
Kernrisikokatalog<br />
Bereinigter<br />
Risikokatalog<br />
Delegierter RM<br />
Präsentation der Kernrisiken/Massnahmenstrategie durch <strong>Fachstelle</strong><br />
RM an Delegierten RM; Bewilligung der<br />
Kernrisiken/Massnahmenstrategie durch Unileitung via Delegiertem<br />
RM; Definition der Kennzahlen und Massnahmenziele.<br />
Risikokatalog<br />
Kommunikation, Monitoring<br />
durchführen<br />
Auditplan<br />
Auditbericht<br />
<strong>Fachstelle</strong> RM<br />
Kommunikation der Resultate der Risikoanalyse und<br />
Massnahmenstrategie (inkl. Ziele) an Anspruchsgruppen (durch<br />
<strong>Fachstelle</strong> RM und/oder Abteilungsleiter/in);<br />
Auditplanung und Monitoring der Massnahmenprojekte durch<br />
<strong>Fachstelle</strong> RM; Kommunikation der Auditresultate an Delegierten RM.<br />
&<br />
Abteilung ist<br />
abgeschlossen:<br />
Risikoanalyse<br />
und Massnahmenstrategie<br />
-und<br />
Projekte liegen vor<br />
und sind<br />
kommuniziert<br />
Auditplan<br />
Outputs<br />
Bewilligter Risikokatalog, Risikoprofile<br />
Massnahmenpläne und Auditpläne<br />
Kunden,<br />
Nachgelagerte<br />
Prozesse<br />
Universitätsleitung, Verwaltungsdirektor, Abteilungen<br />
Versicherungsmanagement, IKS, Finanzkontrolle<br />
Zielgrössen<br />
Risikoidentifikation<br />
Risikowertminderung<br />
Messgrösse<br />
Anzahl Ereignisse<br />
Anzahl abgeschlossene Massnahmenprojekte<br />
Seite 13/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
Die Prozesse des <strong>Risikomanagement</strong> für die anderen Bereiche (Institute, usw.) sind in Ausarbeitung.<br />
Im Bereich internes Kontrollsystem kann auch der INTOSAI Standard beigezogen werden.<br />
Die Universität Bern behält sich vor die anerkannten Standards so einzusetzen wie für die Universität<br />
zweckmäßig.<br />
5.2 Risikokatalog der Universität<br />
Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> führt einen Risikokatalog der eine einheitliche Darstellung und<br />
Beschreibung der Risiken enthält. Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> stellt sicher, dass die Risikoeinschätzung<br />
in den Abteilungen und Instituten kompetent bewertet werden. Falls notwendig kann<br />
die Bewertung durch externe Stellen, Berater erfolgen.<br />
Die Bewertung im Risikokatalog ist eine Nettobewertung, d.h. bereits getroffene Maßnahmen oder<br />
Interne Kontrollpunkte sind in der Bewertung berücksichtigt. Pro Institut, Abteilung werden 3 - 5<br />
Kernrisiken bezeichnet, welche in finanzieller Hinsicht besonders hohe Schäden verursachen<br />
könnten, oder die in der Eintretenswahrscheinlichkeit hoch eingeschätzt sind.<br />
Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> erstellt eine universitätsumfassende Risikoübersicht, welche bis<br />
zu 20 Kernrisiken der Universität darstellt und erläutert.<br />
Der Risikokatalog kann bei der <strong>Fachstelle</strong> bezogen werden. Der Katalog umfasst im Minimum die<br />
folgenden Informationen: Risiko Nummerierung, Identifikationsdatum, Platzierung im Risikoprofil<br />
(Oberhalb/Unterhalb), Zieldatum, Kategorie, Situationsbeschrieb, Auslöser, Schaden, Maßnahmen<br />
/ Aktionsplan, Risikoeinschätzung, Risikoeigner, Hauptrisikoverantwortlicher, Institut / Abteilung,<br />
Zieldatum Maßnahmen / Aktionen, Projektstatus Maßnahmen, Projektnummer, Bemerkungen zum<br />
Risiko.<br />
5.3 Risikoprofil der Universität<br />
Das unten dargestellte Risikoprofil dient der Einschätzung der möglichen Ereignisse nach Eintretenswahrscheinlichkeit<br />
und Schadensausmass. Dieses Risikoprofil wird auf Ebene Universität benutzt,<br />
auf Stufe Abteilung, Institut können angepasste Profile verwendet werden (nach Rücksprache<br />
mit <strong>Fachstelle</strong> <strong>Risikomanagement</strong>). Risiken, welche im roten oder orangen Bereich eingestuft<br />
sind, müssen mit entsprechenden Massnahmenprojekten verknüpft sein.<br />
Seite 14/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
Risikoprofil Universität Bern<br />
1x<br />
Häufig<br />
A<br />
Monat<br />
100%<br />
1x<br />
Gelegentlich<br />
B<br />
Eintretenswahrscheinlichkeit<br />
Jahr<br />
1x 5<br />
Jahre<br />
1x 10<br />
Jahre<br />
1x 50<br />
63%<br />
Selten<br />
18%<br />
Sehr Selten<br />
9.5%<br />
Sehr<br />
C<br />
D<br />
E<br />
Jahre<br />
Unwahrscheinlich<br />
2%<br />
V IV III II I<br />
Finanzieller Schaden (In Mio. CHF) 1 > 10<br />
Arbeitssicherheit Risiko Leichte V Heilbare V Leichte GS Schwere GS Tod<br />
Umweltsicherheitsrisiko Reinigung USch Areal Großflächig<br />
Dienstleistungsunterbruchrisiko (In Mio. CHF) 5<br />
Image / Reputationsrisiko Uni Abt UL Großer Rat PUK<br />
Prozessrisiko Intern Streitigkeit Strafrechtl.<br />
Internes Kontrollsystem (IKS) Risiko (in Mio. CHF) 2.5<br />
5.4 Massnahmenanalyse und Massnahmenstrategie<br />
Nach der Risikoanalyse erfolgt der Schritt der Massnahmenanalyse und Massnahmenstrategie.<br />
Diese Analyse soll sich nach folgenden Punkten richten:<br />
• ist eine Integration ins IKS möglich, und wird dadurch das Risiko kontrolliert?<br />
• ist ein Risikosharing möglich, durch Versicherung, Outsourcen, usw.?<br />
• ist eine Verringerung des Risikos durch Massnahmenprojekte möglich und optimal?<br />
• kann das Risiko grundsätzlich vermieden werden (Projekt oder Tätigkeit wird nicht durchgeführt)?<br />
Seite 15/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
• muss das Risiko akzeptiert werden (mit Berücksichtigung von Rückstellungen), da keine<br />
Massnahmenstrategien eine Reduktion des Risikos bewirken?<br />
Der Abschluss von Versicherungen kann eine zusätzliche und / oder subsidiäre Maßnahme zu den<br />
Massnahmenprojekten sein. Das Ziel jeder Massnahmenstrategie ist es die Eintretenswahrscheinlichkeit<br />
und / oder das Schadensausmass zu verringern. Die Formulierung und Umsetzung dieser<br />
Massnahmenstrategie liegt in der Verantwortung der im Risikokatalog genannten Risikohauptverantwortlichen.<br />
Die Massnahmenstrategie soll die Ursachen (Prävention) aber auch die Wirkung<br />
(Notfallplanung) berücksichtigen.<br />
5.5 Risikokatalog- und Profil auf Instituts, Abteilungsebene<br />
Auf der Instituts- und Abteilungsebene kann eine Anpassung des Risikoprofils angebracht sein.<br />
Grundsätzlich sollte der Ansatz mit der <strong>Fachstelle</strong> <strong>Risikomanagement</strong> besprochen und genehmigt<br />
werden. Der Risikokatalog soll universitätsweit angewandt werden, mit der Ausnahme des Risikoprofils.<br />
Die <strong>Fachstelle</strong> erarbeitet mögliche Profile auf Instituts und Abteilungsebene.<br />
Seite 16/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
6. Krisenmanagement<br />
Die Universität Bern unterhält eine Krisenorganisation. Die Hauptaufgabe dieser Krisenorganisation<br />
ist das effiziente Krisenmanagement.<br />
Die Organisation und die Krisendokumente sind im Internet unter der <strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
(siehe Organigramm und Verwaltungsorganisation und/oder Zentrale Dienste) ersichtlich. Der<br />
Zugang zu diesen Informationen ist nur den Krisenverantwortlichen möglich, über eine Passworteingabe.<br />
Die Informationen aus dem <strong>Risikomanagement</strong>prozess werden ins Krisenmanagement aufgenommen.<br />
Seite 17/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
7. <strong>Risikomanagement</strong>faktoren<br />
7.1 Einleitung<br />
Die unten aufgeführten 4 Zielkategorien (Strategie, Betrieb, Berichterstattung, Rechtskonformität)<br />
sind durch den COSO Standard (Würfel) definiert und anwendbar auf verschiedene Organisationsmodelle<br />
(Verwaltungen, Unternehmen, usw.). Diese 4 Kategorien sind in jeder Risikoanalyse<br />
anzuwenden und liefern die Hauptereignisse respektive Kernrisiken. Für die Universität Bern sind<br />
die Faktoren daher auch anzuwenden und in die Risikoanalyse einzubeziehen:<br />
• Strategie (Auf Uniebene, Institutsebene): Die Universität erlässt die strategische Zielsetzung<br />
und die Institute richten sich an dieser Strategie aus. Die Universität kontrolliert die<br />
Umsetzung der Strategie und ermittelt die Risiken der Strategie.<br />
• Betrieb (Operative Prozesse): Effektive und effiziente Nutzung der Ressourcen (Forschungsgelder,<br />
Angestellte, Betriebsmittel, usw.) durch QSE Ansatz und Reglemente. Die<br />
Risiken, welche eine effektive und effiziente Betriebsführung gefährden werden analysiert<br />
und mit Maßnahmen angegangen.<br />
• die Berichterstattung der Institute und Abteilungen ermöglicht eine Übersicht betreffend<br />
Strategieumsetzung. Die Kennzahlen zu Qualität, Finanzen, usw. sind vorhanden und eine<br />
rasche Korrektur ist möglich falls Abweichungen zu den Zielvereinbarungen festgestellt<br />
werden.<br />
• der Prozess zur Rechtskonformität stellt sicher, dass geltende Gesetze eingehalten werden<br />
7.2 COSO Ebenen / Komponenten<br />
Die 8 Komponenten des COSO Würfels sind unten zusammengefasst erklärt. Da dieser Standard<br />
sehr umfassend ist, hat sich die <strong>Fachstelle</strong> für ein pragmatisches Vorgehen entschlossen. Die CO-<br />
SO Komponenten werden aufgrund eines Maturity Levels und einer Priorität (Bezüglich Universität)<br />
bewertet. Aufgrund dieser Erstanalyse werden die zu erfüllenden Komponenten definiert und angegangen.<br />
Mit dieser Vorgehensweise wird sich die COSO Struktur (Würfel) erschließen lassen.<br />
• 1. Komponente: Das Kontrollumfeld (Internal Environment) umfasst folgende Kategorien:<br />
Risikobasiertes Leitbild, Risikoappetit, Unabhängigkeit des Senates und der Unileitung,<br />
Integrität, Ethische Werte, Kompetenz, Organisationsstruktur (Verantwortlichkeiten,<br />
Vollmachten, Befugnisse), Umfeld, HRM Standards, usw.<br />
Seite 18/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
• 2. Komponente: Der Zielsetzungsprozess umfasst Universitätsstrategie, Institutsstrategie,<br />
Projektziele (Institute), Verwaltungsstrategie (HRM, Finanzen, IT, usw.). Abgeleitet von<br />
diesen Zielen Betriebsziele, Kennzahlenaufnahme, Compliance Ziele; Festlegung des Risikoappetits<br />
und der Risikotoleranzen, usw.<br />
• 3. bis 6. Komponente umfasst Ereignisidentifikation, Risikobeurteilung, Risikosteuerung<br />
und Kontrollaktivitäten und wird hier zusammengefasst: Die Risikoaufnahmen erfolgen<br />
aufgrund von Checklisten oder Fragekatalog (an Institute und Leitung) aufgrund von<br />
COSO Standard oder St-Galler Managementmodell. Gleichzeitig erste Massnahmenableitung<br />
und / oder Kontrollaktivitätsanalyse.<br />
• 7. Komponente umfasst Information, Kommunikation: Informationsfluss in der Universität<br />
(Die Institutsdirektoren, das Personal, die Institute, usw. betreffend); Forschungsinfo,<br />
Finanzielle Info, usw.; Interne und Externe Informationskanäle<br />
• Die 8. Komponente umfasst Kontrolle, Monitoring: Der <strong>Risikomanagement</strong>prozess wird<br />
mit geeigneten Mitteln (beispielsweise Audits) überwacht; Evaluation des <strong>Risikomanagement</strong>s<br />
auf Unileitungsebene und auf Institutsebene;<br />
Der von der <strong>Fachstelle</strong> ausgearbeitete COSO Komponenten Einschätzungsbogen ist im Anhang<br />
beigelegt.<br />
Unten als Zusammenfassung die COSO Würfel Darstellung:<br />
Seite 19/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
8. Risikoreporting<br />
8.1 Risikobericht<br />
Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> erstellt einen Jahresbericht. Die Hauptkapitel dieses Berichtes<br />
sind: Management Summary, Risikopolitik laufendes Jahr und Umsetzungsgrad, Übersicht <strong>Risikomanagement</strong><br />
Stand (Interviews, Workshops, Massnahmenprojekte, usw.), Kernrisiken, COSO Zielerreichungslevel,<br />
geplante Änderungen (Change), Übersicht folgendes Jahr, Risikopolitik folgendes<br />
Jahr, Einschränkungsklausel.<br />
Die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> erstellt ein Quartalsreporting, welches die Hauptaktivitäten aufzeigt<br />
und unterscheidet zwischen den Kategorien Risikobeurteilungen (inkl. IKS, Versicherungsmanagement),<br />
AS & GS, Umweltsicherheit und Krisenmanagement.<br />
Seite 20/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
9. Monitoring/Audit<br />
9.1 Monitoring<br />
Durch ein geeignetes Monitoring (Reporting) wird der <strong>Risikomanagement</strong>prozess überwacht. Bei<br />
Abweichungen wird der Delegierte für <strong>Risikomanagement</strong> informiert.<br />
9.2 Audit<br />
Der reguläre Audit - Prozess der Finanzkontrolle sorgt für eine entsprechende Kontrolle der <strong>Risikomanagement</strong>vorgaben.<br />
Externe Auditpläne (Finanzkontrolle) sollen durch die <strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
koordiniert werden. Externe Auditberichte sollen an die <strong>Fachstelle</strong> <strong>Risikomanagement</strong><br />
in Kopie weitergeleitet werden.<br />
Interne Audits durch die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> können in einer späteren Phase (2009)<br />
einzelne <strong>Risikomanagement</strong>prozessschritte oder Massnahmenstrategien in den Abteilungen und<br />
Instituten überprüfen. Hierzu kann die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> einen Auditplan erstellen,<br />
welcher die Massnahmenplanung und das Funktionieren des IKS prüft.<br />
Die Resultate der Audits werden durch die <strong>Fachstelle</strong> <strong>Risikomanagement</strong> an den Delegierten <strong>Risikomanagement</strong><br />
verteilt.<br />
Festgelegte Auditmassnahmen betreut die <strong>Fachstelle</strong> <strong>Risikomanagement</strong>.<br />
Seite 21/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
10. Verschiedenes / Anhang<br />
10.1 Abkürzungsverzeichnis<br />
AAA<br />
American Accounting Association<br />
Abkürzung Erläuterung zur Abkürzung Bemerkung<br />
AICPA American Institute of Certified Public Accountants<br />
AS & GS Arbeitssicherheit & Gesundheitsschutz<br />
AS / NZS Australian / New Zealand Standard<br />
COSO Committee of Sponsoring Organisations of the Herausgeber eines weltweit<br />
Treadway Commision<br />
anerkannten Standards<br />
FEI<br />
Financial Executives International<br />
FLG<br />
Gesetz über die Steuerung von Finanzen und Leistungen<br />
Kantonsgesetz<br />
FLV<br />
Verordnung über die Steuerung von Finanzen und Kantonsverordnung<br />
Leistungen<br />
HRM Human Ressource Standards Personalmanagement<br />
IIA<br />
The Institute of Internal Auditors<br />
IKS<br />
Internes Kontrollsystem<br />
IMA<br />
Institute of Management Accountants<br />
INTOSAI International Organisation of Supreme Audit Institutions<br />
Richtlinien für die Internen Kontrollnormen<br />
im öffentlichen Sektor<br />
ISO<br />
Internationale Organisation für Normung<br />
IT Information Technology Informatikdienstleistungen<br />
OR<br />
Obligationenrecht<br />
QSE Qualitätssicherung- und Entwicklung Universität Bern<br />
RRB Regierungsratsbeschluss Kanton Bern<br />
UL Universitätsleitung Universität Bern<br />
10.2 COSO Komponenten Einschätzungsbogen<br />
L:\<strong>Risikomanagement</strong><br />
RISIKOMANAGEMENT<br />
Seite 22/23
Bern, 23. Oktober 2007 Version 1.0<br />
<strong>Konzept</strong> <strong>Risikomanagement</strong><br />
11. Dokumentprozess<br />
Dokumenterstellung Version 0.1 September 07<br />
Review Verwaltungsdirektor (VD) Version 0.2 September 07<br />
Geänderte Version an Verwaltungsdirektor Version 0.3 Oktober 07<br />
Genehmigte Version Version 1.0 November 2007<br />
Bewilligung Verwaltungsdirektion Datum Unterschrift<br />
Daniel Odermatt, Verwaltungsdirektor 26.10.2007 Siehe Papierversion<br />
(Die Bewilligung bezieht sich auf die Verwaltungsdirektion, Rechtsdienst, Gleichstellung, Stab,<br />
Kommunikation, Kollegium Generale, Forum Uni & Gesellschaft. Das <strong>Konzept</strong> hat Gültigkeit bis<br />
Ende Q2 08, danach erfolgt eine Evaluation durch den Verwaltungsdirektor).<br />
Das <strong>Konzept</strong> wurde von der Universitätsleitung am 06. November 2007 bewilligt, für die Verwaltungsdirektion<br />
am 26. Oktober 2007.<br />
Seite 23/23