Risikomanagement statt Katastrophenplanung?
Im letzten Jahrzehnt haben betriebswirtschaftliche Fragestellungen und Instrumente massiv Einzug in die Bibliotheks und Archivwelt gehalten (Zum Beispiel Josef Zweifel: Modernes Archivmanagement, in: Archivpraxis in der Schweiz/Pratiques archivistiques en Suisse, hrsg. von Gilbert Coutaz et al., Baden 2007, S. 195–230; Bibliotheken – moderne Dienstleister und Unternehmen/Innovations forum 2004, hrsg. von Rolf Fuhlrott et al., Wiesbaden 2007). Grund dafür ist ein neues Selbstverständnis der Unterhaltsträger, in der Regel die öffentlichen Verwaltungen, die mit der Übernahme privatwirtschaftlicher Managementtechniken eine effizientere Verwaltung und Kundenorientierung zu erreichen suchen. Davon betroffen sind auch indirekte Leistungsbereiche mit Servicefunktionen wie Bibliotheken und Archive.
Der Druck auf die Bibliotheken und Archive ist besonders gross, wenn sich die Mittelallokation und politischer Goodwill über einen Leistungsnachweis bemessen. In einem solchen, von wirtschaftlichen Interessen bestimmten Umfeld müssen sie konsequenterweise entsprechende Strategien entwickeln und Instrumente einsetzen. Allerdings stellen sich damit zugleich immer auch die Fragen nach der Umsetzbarkeit und Angemessenheit.
Risiko «Kulturelles Gedächtnis»
Bibliotheken und Archive werden im Vergleich mit Unternehmungen etwa im Bereich Produktion, Finanzen und Gesundheitswesen nicht als «risikoreiche» Organisationen angesehen. Doch tragen Institutionen mit historischen Beständen eine einmalige Verantwortung: Mit ihren Sammlungen bewahren und pflegen sie bedeutsame, materielle Zeugnisse der Geschichte im Dienste der Rechtssicherheit, der historischen Identität und Reflexion einer Gesellschaft. Ihre Bestände sind als gewachsene Einheiten und als individuell gestaltete Objekte einmalig und im Falle eines Verlustes nicht gleichwertig ersetzbar. Entsprechend der Bedeutung von Bibliotheken und Archiven als Trägern des kulturellen Erbes nahm der Kulturgüterschutz im Schweizerischen Inventar der Kulturgüter von nationaler Bedeutung erstmals über 100 private, öffentliche, geistliche und weltliche Bibliotheken und Archive aufSchweizerisches Inventar der Kulturgüter von nationaler und regionaler Bedeutung/ Inventaire suisse des biens culturels d’importance nationale et régionale/ Inventario svizzero dei beni culturali d’importanza nazionale e regionale, hrsg. vom Bundesamt für Bevölkerungsschutz BABS, Fachbereich Kulturgüterschutz KGS, Bern 2010..
Risikomanagement als Chance
Angesichts der tendenziell grossen Schadensmenge, der enormen Kosten für Instandsetzungs- und allfällige Wiederbeschaffungsmassnahmen und des hohen ideellen Werteverlustes im Falle eines Schadensfalles bei historischen Beständen tragen Bibliotheken und Archive neben der kulturellen auch eine wirtschaftliche Verantwortung. Es stellt sich die Frage, ob ein Risikomanagement für Bibliotheken und Archive, wie es aufgrund gesetzlicher Vorschriften und Standards im Finanz- und Technologiesektor oder im Gesundheits- und Umweltbereich längst als fester Bestandteil der Unternehmensführung etabliert ist, ein brauchbares Instrument ist, sich dieser Verantwortung besser zu stellen. Doch was ist eigentlich unter Risikomanagement zu verstehen? Von Risiken spricht man, wenn die Gefahr besteht, dass materielle oder immaterielle Ziele von Organisationen nicht erreicht werden. Risikomanagement ist der planvolle, systematische Umgang mit Risiken, d.h. die Organisation antizipierend nach Chancen und Bedrohungen zu durchleuchten, Risiken zu entdecken, zu priorisieren, abzusichern und damit über verbesserte Entscheidungsgrundlagen zu verfügenPeter Koch/Wieland Gabler: Gabler Versiche rungslexikon, Wiesbaden 1994, S. 703.. Im Vordergrund stehen Unsicherheiten, die mögliche negative Auswirkungen haben. Risikomanagement ist systematisch eingebettet in Struktur und Prozesse einer Organisation und umfasst sowohl die strategische als auch die operative und dispositive ManagementebeneBruno Brühwiler, Risikomanagement als Führungsaufgabe. 2. Aufl. Bern/Stuttgart/Wien 2007, S. 29f.; stellvertretend für die zahlreiche Literatur zum Risikomanagement: Carin Münzel/Hermann Jenny, Riskmanagement für kleinere und mittlere Unternehmen. Wegleitung zur Einführung und zum Unterhalt eines Riskmanagements-Systems. Zürich/Basel/Genf 2005; Ottmar Schneck: Risikomanagement: Grundlagen, Instrumente, Fallbeispiele, Weinheim 2010..
Mehr als ein Katastrophenplan
In der Regel sind sich Bibliotheken und Archive ihrer Verantwortung gegenüber ihren historischen Beständen bewusst. In der Tat finden Elemente eines Risikomanagements bereits praktische Anwendung, etwa im Falle von älteren Leihgaben, die ausser Haus gehen und die auf ihren Zustand, auf mögliche Schädigungen durch Transport und mechanische oder klimatische Einflüsse geprüft werden (Risikoidentifikation, -analyse, -bewertung), und als Risikobewältigung in Form von vertraglich festgelegten Ausleihbedingungen (z.B. Transportart, Ausleihdauer, Versicherung). Als Elemente eines Risikomanagements bezeichnet werden können auch alle Sicherheitsmassnahmen wie geschlossene Kulturgüterschutzräume, die Einrichtung überwachter Lesesäle, konservatorische Massnahmen und Notfallkonzepte wie Brandschutz. Doch die oft mehr oder weniger nebeneinander und nicht in einem systematischen Zusammenhang stehende Notfallplanung und Konservierungsmassnahmen sind noch kein Risikomanagement. Leider ist der Begriff in der Literatur bisher meist unreflektiert und sehr verkürzt verwendet worden; eine Veränderung hat aber bereits eingesetztAlexandra Jeberien/Hiltrud Jehle: Risikomanagement im Kulturgüterschutz. Konzept und Ziele, in: Restauro 3, 115 (2009), S. 165–171.. Risikomanagement ist nicht nur Prävention, sondern die Vernetzung der Einzelmassnahmen mit einer systematischen Verankerung in der Aufbau- und Ablauforganisation der Institution.
Aufbau eines Risikomanagements
Risikomanagement umfasst folgende Elemente und Prozesse (siehe Grafik).
Strategisches Risikomanagement
Das strategische Risikomanagement bildet das Fundament und die integrative Klammer des ganzen Risikomanagement-Systems. Hier werden die Risikomanagement-Ziele in Form einer Risikopolitik und die Grundlagen der Organisation formuliert. Dazu gehören die Verpflichtung und der Einsatz der obersten Leitung, die bezüglich Risikosituation gegenüber den Eigentümern der Bestände und ihren Auftraggebern Rechenschaft schuldig ist und ohne deren Unterstützung die Einführung eines funktionierenden Risikomanagement-Systems organisatorisch nicht möglich ist. Sie definiert eine strategisch orientierte Risikopolitik, verschriftlicht diese und setzt sie in KraftBrühwiler: Risikomanagement, S. 173f.; Münzel/Jenny: Riskmanagement, S. 69–81.. Die Risikopolitik dient der Kommunikation nach innen und aussen. Sie soll Antwort geben auf die Fragen: Warum ist Risikomanagement wichtig? Welche Ziele (was) und Strategien (wie) verfolgt das Risikomanagement im Betrieb? Wer trägt welche Verantwortung und hat welche Kompetenzen? Wie ist das Risikomanagement in das bestehende System integriert? Welchen Geltungsbereich umfasst es? Mittels Risikozielsetzungen wird die Risikopolitik in Risikokultur umgesetzt und als Teil der Unternehmenskultur von allen Mitarbeitenden mitgetragen.
Ebenfalls im Rahmen des strategischen Risikomanagements erfolgt die organisatorische Umsetzung der risikopolitischen Grundsatzentscheidungen. Die wichtigsten Strukturen, Funktionen, Verantwortlichkeiten und Aufgaben, aber auch Ressourcen und Termine sind schriftlich in einem ständig zu aktualisierenden Risikohandbuch festzuhalten.
Risikomanagement-Prozess
Mit Hilfe des Risikomanagement-Prozesses werden einzelne Risiken eines Systems oder von Prozessen einer Organisation ermittelt, bewertet und Bewältigungslösungen gesucht1. Er ist das eigentliche Kernstück des Risikomanagements. Entsprechend ist ihm grosse Aufmerksamkeit zu schenken. Der Prozess sollte periodisch, wenn möglich jährlich, zum Beispiel im Rahmen einer ganztägigen Klausur, wiederholt werden. Der Risikomanagement-Prozess besteht aus den vier Komponenten Risikoidentifikation, Risikoanalyse, Risikobewertung und Risikobewältigung. Ergebnis des Risikomanagement-Prozesses ist der Risikokatalog: Dieser listet die Einzelrisiken der Organisation auf, ordnet die Einzel- und Gesamtrisiken nach ihrem Verhältnis von Auswirkung und Eintretenswahrscheinlichkeit in eine IST-Risikolandschaft ein, definiert in einer SOLL-Risikolandschaft die Risikoziele und schlägt für nicht tolerierbare Risiken Bewältigungsmassnahmen vor. Das strategische Management entscheidet, ob und mit welchen anderen Prozessen der Organisation sich die Massnahmen vernetzen lassen (z.B. Qualitätsmanagement).
1. Risikoidentifikation
Ziel der Risikoidentifikation ist die Erstellung einer umfassenden Liste (Risikoinventar) möglicher Gefährdungen, gegliedert nach thematischen oder betrieblichen Funktionsbereichen und unabhängig davon, ob die Gefährdungen von der Organisation beeinflussbar sind oder nicht. Wichtig ist, dass die Identifikation alle Risiken, sowohl objektive als auch subjektive, der Organisation erfasst und man sich nicht zu früh einseitig auf einen Risikobereich beschränkt2. Denn Risiken, die hier nicht erkannt werden, fallen aus dem weiteren Prozess heraus. Allerdings sind die Möglichkeiten der Risikoidentifikation auch begrenzt, denn es können in Zukunft Risiken eintreten oder sich entwickeln, die man aus den bisherigen Erfahrungen nicht oder in ihrer Kombination nicht kannte. Risikoidentifikation ist deshalb immer eine Momentaufnahme und muss in sinn- vollen Zeitabständen immer wieder wiederholt werden3. Als «Findungs-Methoden» empfehlen sich bestehende Gefahrenlisten, Guidelines und Empfehlungen, Brainstorming oder die Szenarioanalyse (credible worst case analysis)4. Anschliessend erfolgt eine erste Bereinigung der Liste durch subjektiven Entscheid des Risikoeigners5. Nicht alle Risikobereiche, Risikofelder und Einzelrisiken haben eine so hohe Eintretenswahrscheinlichkeit, als dass sich eine Behandlung im Risikomanagement aufdrängt (z.B. kriegerische Ereignisse). Ziel ist es, die relevanten Risiken weiter zu bearbeiten und keine Ressourcen auf wenig realitätsnahe Risiken zu verschwenden. Die herausgestrichenen Risiken bleiben jedoch schriftlich festgehalten, um allenfalls später weiter bearbeitet zu werden. Mögliche Risikobereiche in Archiven und Bibliotheken mit entsprechenden Risikofeldern sind: Strategie, Finanzen, Gebäude, Organisation, Elementarschäden, Personal, Benutzung, Technologie, Konservierung, endogene Faktoren (z.B. Medienalterung).
2. Risikoanalyse
Die Risikoanalyse umfasst «die Ermittlung von Eintrittswahrscheinlichkeit und Auswirkungen eines erkannten Risikos auf die Ziele der Organisation»12. Ihr Ergebnis ist die IST-Risikolandschaft. Das Problem der Risikoanalyse ist, dass sowohl die Bestimmung der Eintretenswahrscheinlichkeit als auch der Auswirkungen auf quantitativer Datenbasis erfolgen sollte. Allerdings fehlt es für viele Risiken an brauchbaren Daten. Entsprechend müssen subjektive, informale Schätzverfahren angewendet werden. Die Einschätzung erfolgt deshalb aufgrund von Wissen und Erfahrung von Fachpersonen. Rasch und übersichtlich las- sen sich die so eingeschätzten Risiken in einem einfachen Portfolio, der IST- Risikolandschaft, darstellen13. Gleich- zeitig mit der Eintragung der Risiken in die einzelnen Felder des Portfolios wird eine erste Priorisierung sichtbar, aus der sich in der Risikobewertung etwa die Dringlichkeit von Massnah- men ableiten lässt. In der IST-Risiko- landschaft dargestellt werden nur die Einzelrisiken. Ziel des Risikomanage- ments ist letztlich aber die Ermittlung der Gesamtsicht von Risiken. Diese können untereinander in Beziehung oder Abhängigkeit stehen und sich so gegenseitig verstärken. Diese positive Korrelation muss besonders sorgfältig überprüft und eigens erfasst werden.
3. Risikobewertung
In einem nächsten Schritt werden die auf der Risikolandschaft eingetragenen Einzelrisiken bewertet. Dafür vorgän- gig definiert werden muss, welche Ri- sikotoleranz die Organisation bereit und fähig ist zu tragen. Grundlage für die Bestimmung der Toleranzgrenze sind die in der Risikopolitik formulier- ten Ansprüche und die Ressourcen der Organisation. Auch hier kann die Gren- ze «subjektiv» oder mittels statistisch- mathematischer Verfahren (z.B. value at risk, gebräuchlich v.a. im Finanzwe- sen) festgesetzt werden14. Die Toleranz- grenze lässt sich relativ einfach mittels einer oder zwei treppenförmigen Li- nien auf der Risikolandschaft eintra- gen. Die Linie zeigt auf, welche Risiken nicht toleriert und welche akzeptierbar sind. Akzeptierte Risiken werden nicht mehr aktiv weiterverfolgt und nur mehr periodisch beobachtet. Die nicht tole- rierbaren Risiken werden zunächst pri- orisiert, dann ein SOLL-Ziel festgelegt und schliesslich konkrete Massnah- men aufgrund möglicher Bewälti- gungsmöglichkeiten z ur Erreichung des SOLL-Ziels bestimmt. Folgende Punkte sind hierbei zu beachten: 1. Pri- orisierung: Mehrere Risiken im mittle- ren Bereich sind unter Umständen, besonders wenn sie sich gegenseitig verstärken, für die Organisation gefähr- licher als ein einziges grosses Risiko. Die gegenseitigen Abhängigkeiten
müssen deshalb sorgfältig geprüft wer- den. 2. Definition SOLL-Ziel: Die Defi- nition des SOLL-Zieles soll nicht von vornherein an den Möglichkeiten der Risikobewältigung beurteilt werden. Die Herausforderung, auch neue Be- wältigungsstrategien zu prüfen und einzusetzen, wird damit allzu früh ab- geschwächt. 3. Massnahmen, Verant- wortlichkeit und Termine sind klar fest- zuhalten. Allerdings gibt es nicht für alle Risiken überhaupt bzw. angemes- sene Lösungen im Sinne einer Risiko-
Die Definition des SOLLZieles soll nicht von vornherein an den Möglichkei ten der Risikobewältigung beurteilt wer den.
bewältigung. In diesem Falle muss eine Güterabwägung (Verhältnismässigkeit von Aufwand und Risikominderung) vorgenommen und möglicherweise ein Restrisiko akzeptiert werden15.
4. Risikobewältigung
Die Risikobewältigung umfasst Kon- zepte, Lösungen, Massnahmen und Aktionen, welche die Organisation er- greift, um ein Risiko tragbar und ver- antwortbar zu machen. Dabei lassen sich die vier Grundstrategien Risiko- vermeidung, Risikominderung, Risiko- vorsorge und Risikotransfer verfolgen, die sich für Bibliotheken und Archive wie folgt operativ umsetzen lassen: 1. Prävention, 2. Notfall- und Krisenma- nagement, 3. Risikofinanzierung (Ver- sicherung).
4.1 Prävention
Risikoprävention umfasst alle Lösun- gen und Massnahmen, die darauf ab- zielen, dem Risiko möglichst zuvorzu- kommen oder es durch die Verminde- rung von Eintrittswahrscheinlichkeit und/oder Auswirkung zu vermin- dern16. Dazu zählen bauliche, techni- sche, organisatorische und auch politi- sche Massnahmen. Die Prävention ist das wichtigste, weil das wirkungsvolls- te und letztlich kostengünstigste Inst- rument der Risikobewältigung. Ihr kommt allererste Priorität zu. Grund- sätzlich sollte die ganze Liste mit den identifizierten Risiken vor allen ande- ren Risikobewältigungsmassnahmen
Operatives Risikomanagement
1. Risikosteuerung: Ergebnis des Risikomanagement-Prozesses ist der Risikokatalog. Dieser geht an das strategische Risikomanagement, welche das Risikoprofil des Kataloges an den strategischen Zielen der Unternehmung überprüft und über die Umsetzung der vorgeschlagenen Massnahmen entscheidet. Damit wird das Risikomanagement operativ.
2. Risikocontrolling: Im Zusammenhang mit dem Risikomanagement kommt dem Controlling erhebliche Bedeutung zu. Das Controlling sollte analog dem übrigen strategischen Controlling als Regelkreis dauerhaft integriert werden. Dafür können die für das Controlling üblichen Instrumente eingesetzt werden. Insbesondere folgende Aufgaben sind wahrzunehmen: Monitoring der Risikoveränderungen, d.h. die Risikobetrachtung im Gesamtzusammenhang. Damit sollen neue, bisher nicht erkannte Risiken, auch als Folge- oder Wechselwirkungen bereits bekannter Risiken, identifiziert werden, welche Einfluss auf die Gesamtorganisation haben, beispielsweise neue technologische Trends. Das bedingt gegebenenfalls eine Anpassung der Risikopolitik. Dazu zählen auch das Controlling der Risikosteuerungsmassnahmen der aktiv zu managenden Risiken gemäss Massnahmenplan und das Risikoreporting. Dieses sollte fester Bestandteil bestehender ordentlicher Rapporte sein.
3. Kommunikation und Dokumentation:
Nachdem die Risiken wahrgenommen, bewertet und die permanente Steuerung und Überwachung festgelegt sind, müssen die Kommunikation geklärt und die Dokumentation sichergestellt werden. In der Risikomanagement-Literatur gibt es dazu kaum Informationen. Jedes Unternehmen hat hier seine eigenen etablierten Kommunikationswege. Der Risikokommunikation muss aber eine ganz besondere Beachtung zukommen. Es wäre bedauerlich, wenn das Risikomanagement nach dem vorgängigen Aufwand an einer unterlassenen Kommunikation scheitert und sich so kein neues Risikobewusstsein im Betrieb etablieren kann. Zu beachten sind die gute Kommunikation zwischen allen Verantwortlichen und Beteiligten des Risikomanagements und die regelmässige Information aller Mitarbeitenden der Organisation, d.h., Existenz und Zielsetzung der Risikopolitik (und damit die eigene Mitverantwortung) müssen bekannt sein, die wichtigsten Massnahmen sollten regelmässig kommuniziert, dokumentiert und aktualisiert werden (z.B. im Intranet oder der Hauszeitschrift). Die Risikopolitik ist aber auch Teil der Kommunikation gegen aussen, also der Öffentlichkeitsarbeit. Mit der Kommunikation und der Dokumentation schliesst sich der Kreis von strategischem und operativem Risikomanagement und Risikomanagement-Prozess.
Fazit
Risikomanagement kann als Führungsinstrument und Prozess auch für Bibliotheken und Archive geeignet sein, insbesondere für Institutionen mit wertvollen Beständen und damit relativ hoher Risikoexposition. Mit Hilfe des Risikomanagements können Risiken für einzelne Abteilungen oder die ganze Organisation planvoll und systematisch erfasst werden. Risikomanagement erweitert nicht nur den Blick auf die möglichen Risiken, sondern auch die Chance, nicht nur wie bisher konservatorische und katastrophenplanerische Fragen ins Auge zu fassen, sondern ein viel breiteres Suchfeld mit einzubeziehen. Damit stellen sich neue Verantwortlichkeiten, die sich nicht nur auf eine einzige Fachstelle beschränken, sondern über die strategische Verankerung des Risikomanagements den Gesamtbetrieb in die aktive und vorsorgliche Sicherung einbinden. Bisherige Risikovorsorgemassnahmen sollten in das Risikomanagement-System integriert werden und erhalten damit sogar noch zusätzliche Unterstützung und Gewicht. Voraussetzung für die erfolgreiche Implementierung eines Risikomanagement-Systems ist, dass es dem Betrieb und seinen Ressourcen angepasst ist, d.h., dass Aufwand und Ertrag des Risikomanagements in einem positiven Verhältnis stehen müssen und dass es in bestehende Prozesse und Führungsinstrumente integriert sein wird. Als Ertrag nicht zu unterschätzen ist nur schon die Diskussion und Auseinandersetzung mit Risiken. Wichtig sind auch Transparenz, Objektivität und Kontinuität: Das System darf keine Black Box sein, die Ergebnisse müssen für alle nachvollziehbar bleiben, das Vorgehen strukturiert. Mit einfachen Prozessschritten und Formularen ist Risikomanagement für Bibliotheken und Archive mit wenig Aufwand permanent zu betreiben.
Résumé
- Français
La gestion du risque peut être un processus et un outil de gestion adapté pour les bibliothèques et les archives, en particuliers pour les institutions qui conservent des fonds précieux et qui ont donc une exposition au risque relativement élevée. Au moyen de cette gestion du risque, les risques peuvent être recensés de manière systématique et structurée, soit pour un secteur particulier, soit pour toute l’organisation. La gestion du risque permet d’élargir sa conception non seulement des risques encourus, mais également des chances. En effet, cette conception n’est plus orientée uniquement sur les questions de conservation et de plan de catastrophe, mais inclut un champ de recherche bien plus large. De nouvelles responsabilités apparaissent qui ne sont plus limitées à un seul département, mais qui relient par un ancrage stratégique de la gestion du risque, le fonctionnement de l’entreprise dans son entier et la prévention. Les mesures de prévention des risques déjà prises devraient être simplement in tégrées dans le système de gestion des risques. Elles obtiennent ainsi un soutien et une importance supplémentaires. Pour que le système de gestion du risque puisse être mis en œuvre avec succès, il faut qu’il soit adapté au fonctionnement de l’entreprise et à ses ressources. C’està-dire que les frais et les revenus d’une gestion des risques doivent être équilibrés, le système doit être intégré dans des procédés et des outils de gestion déjà existants. La discussion sur les risques et leur examen sont des revenus à ne pas sous-estimer. La transparence, l’objectivité et la continuité sont des éléments également importants: le système ne doit pas être une boîte noire, les résultats doivent rester compréhensibles pour chacun, et le procédé doit être structuré. Grâce à des étapes du processus qui restent simples, la gestion du risque peut être exploitée en permanence et avec peu d’effort par les bibliothèques et les archives.