08 Herbst

Risikomanagement an der ETH Zürich

Richtlinien, Systematik & Verantwortlichkeiten

2

Zweck dieses Dokuments

Dieses Dokument hält die Risikopolitik der ETH Zürich fest und dient als Informations- und

Kommunikationsmittel für alle Beteiligten. Die Risikopolitik ist Teil der Geschäftspolitik der

ETH Zürich und legt die Leitlinien/ Rahmenbedingungen zu einem homogenen, systemati-

schen und konsequenten Umgang mit Risiken fest. Entsprechend der kontinuierlichen Weiter-

entwicklung des Risikomanagement und der Veränderung des Umfeldes der ETH Zürich wird

das Dokument periodisch angepasst.

Stand 2. März 2009 / Version 1.1

3

Risikomanagement an der ETH Zürich

Inhaltsverzeichnis

1 Präambel ............................................................................................ 4

2 Rahmenbedingungen und Ziele .................................................... 4

2.1 Definition Risikomanagement ..........................................................................................4

2.2 Risikomanagementziele .................................................................................................... 5

2.3 Formale Grundlagen .......................................................................................................... 5

2.4 Geltungsbereich ................................................................................................................. 5

3 Grundsätze der Risikobewältigung............................................... 6

3.1 Führungsaufgabe ............................................................................................................... 6

3.2 Risikobewältigung ............................................................................................................. 6

3.3 Risikofinanzierung ............................................................................................................. 6

3.4 Risikokosten ........................................................................................................................ 6

4 Organisation und Verantwortlichkeiten ....................................... 7

4.1 Präsident/Vizepräsident Finanzen & Controlling/Schulleitung ............................... 7

4.2 Risikomanagement-Kommission ....................................................................................8

4.3 Risikomanagement Kernteam .........................................................................................8

4.4 Einheiten aus Lehre, Forschung und Administration ..................................................8

4.5 Risikoeigner .........................................................................................................................8

4.6 Massnahmeneigner .......................................................................................................... 9

4.7 Interne Revision ................................................................................................................. 9

4.8 Externe Revision ................................................................................................................ 9

5 Risikomanagementprozess ............................................................ 9

5.1 Risikoerfassung ................................................................................................................... 9

5.2 Risikobewertung ............................................................................................................... 10

5.3 Risikobewältigung ............................................................................................................ 10

5.4 Risikocontrolling ............................................................................................................... 10

6 Versicherungspolitik ........................................................................ 11

7 Schadenmanagement und Schadenfinanzierung ...................... 11 7.1 Frühindikatoren .................................................................................................................. 11

7.2 Schadenmeldung ............................................................................................................... 11

7.3 Schadenfinanzierung ....................................................................................................... 12

7.4 Ursachenanalyse ............................................................................................................... 12

Anhänge ................................................................................................. 13

Anhang A: Begriffe der Risikopolitik (Glossar) ...................................................................... 14

Anhang B: Kernrisiken an der ETH Zürich ............................................................................... 16

4

1 Präambel

Im Zusammenhang mit der Erfüllung des akademischen Grundauftrags und der Verfolgung

der strategischen Ziele der ETH Zürich lassen sich bestimmte Risiken nicht vermeiden. Im

Rahmen des Risikomanagement soll proaktiv auf diese Risiken eingegangen und mit geeigne-

ten Massnahmen das Risikopotential auf ein akzeptables Niveau reduziert werden. In erster

Linie ist immer die Eigenverantwortlichkeit aller an der ETH beschäftigten Menschen gefor-

dert.

Ereignen sich trotz aller Vorsichtsmassnahmen Schäden, welche auf Fehler zurückzuführen

sind, behandeln wir diese offen und ehrlich. Fehler sind auch eine Lerngelegenheit, es geht

nicht um eine Schuldzuweisung, sondern um die Realisierung von Verbesserungspotentialen.

2 Rahmenbedingungen und Ziele

2.1 Definition Risikomanagement

Unternehmensweites Risikomanagement wird gemäss COSO1 folgendermassen definiert:

«Unternehmensweites Risikomanagement ist ein Prozess,

ausgeführt durch Überwachungs- und Leitungsorgane, Führungskräfte und Mitarbeiter

einer Organisation,

angewandt bei der Strategiefestlegung sowie innerhalb der Gesamtorganisation,

gestaltet um die Organisation beeinflussenden, möglichen Ereignisse zu erkennen,

und um hinreichende Sicherheit bezüglich des Erreichens der Ziele der Organisation zu

gewährleisten.»

In den Weisungen des ETH-Rates zum Risikomanagement2 heisst es:

Das Risikomanagement bildet den Rahmen für einen planvollen Umgang mit den Risiken.

Es stützt sich auf die Risikopolitik.

Zentrales Element ist der kontinuierliche Verbesserungsprozess, welcher auf die Reduktion

von Risiken und deren Folgen abzielt.

Er umfasst die Teilprozesse Risikoerfassung, Risikobewertung, Risikobewältigung, und

Risikocontrolling.

1 COSO (The Committee of Sponsoring Organizations of the Treadway Commission) hat einen

weltweit bei Unternehmen, Organisationen und Revisionsgesellschaften etablierten

Risikomanagementstandard entwickelt

(www.coso.org). 2 Weisungen des ETH-Rates über das Risikomanagement der ETH und der Forschungsanstalten vom

4. Juli 2006.

5

Risikomanagement an der ETH Zürich

2.2 Risikomanagementziele

Die Schulleitung verfolgt mit der Risikopolitik namentlich folgende Ziele:

– Die Wahrung des guten Rufes der ETH Zürich.

– Das Vermeiden von Schäden.

– Die Unterstützung der Zielerreichung der ETH Zürich.

– Die Erhaltung der Funktionstüchtigkeit der ETH Zürich.

– Die Gewährleistung eines hohen Masses an Sicherheit für Personen und Vermögenswerte.

– Die Förderung der Eigenverantwortung und des Risikobewusstseins bei den Mitarbeitenden

der ETH Zürich.

– Die Unterstützung der Führung mittels umfassender und aktueller Risikoinformation.

– Eine Gesamtübersicht über die Risikosituation der ETH Zürich.

– Die Kontrolle und Minimierung der Risikokosten (Fremd- und Eigenversicherung).

– Eine wirkungsorientierte, kosteneffiziente und antizipative Aufgabenerfüllung.

2.3 Formale Grundlagen

Risikomanagement wird durch folgende Erlasse, Weisungen und Beschlüsse gefordert:

Bundesratsbeschluss vom 19. Januar 2005

– Verpflichtung zum Risikomanagement für Organisationen des 3. und 4. Kreises der

Bundesverwaltung.

Artikel 19a VO ETH-Bereich (RSETHZ 120)

– Regelt die Grundzüge des Risikomanagement.

Weisungen des ETH-Rates über das Risikomanagement der ETH und der Forschungsanstalten

(RSETHZ 126)

– Regelung der Grundzüge des Risikomanagement und der Risikofinanzierung.

– Verantwortung für das Risikomanagement liegt beim Präsidenten.

Verordnung über die Organisation der ETH Zürich,, Art. 8, Abs. 1, lit e; Art. 11a, Abs 3, lit e; Art. 28,

Abs. 1, lit e (RSETHZ 201.021)

– Zuständigkeit für das Risikomanagement liegt beim Präsidenten.

– Umsetzungsverantwortung für das Risikomanagement liegt beim Vizepräsidenten

Finanzen & Controlling.

– Risikomanagement Kommission als beratende Kommission der Schulleitung

Reglement für die Risikomanagement Kommission der ETH Zürich (RSETHZ 203.7)

– Regelt die Tätigkeiten und Organisation der Risikomanagement Kommission.

– Vorsitz durch den Vizepräsidenten Finanzen & Controlling

Finanzreglement Art. 114-116 und Anhang 1 (RSETHZ 245)

– Regelt die Kompetenzen betreffend der Finanzierung zur Behebung von Schäden &

betreffend Deckungszusagen.

Richtlinien über nicht versicherte Risiken und Ereignisse (RSETHZ 203.71)

– Regelt den Deckungsumfang der Rückstellungen für nicht versicherte Risiken sowie die

Versicherungspflicht bei Objekten und Tätigkeiten mit erhöhter Risikoexposition.

2.4 Geltungsbereich

Der Geltungsbereich der vorliegenden Risikopolitik umfasst die gesamte ETH Zürich.

6

3 Grundsätze der Risikobewältigung

3.1 Führungsaufgabe

Der bewusste Umgang mit Risiken liegt in der Verantwortung jedes Mitarbeitenden. Das adä-

quate Risikomanagement ist eine Führungsaufgabe, die in den Einheiten wahrgenommen

wird.

Der Präsident trägt die Verantwortung.

3.2 Risikobewältigung

In der Bewältigung der Risiken folgt die ETH Zürich in dieser Reihenfolge den Prinzipien:

– Vermeiden

– Vermindern

– Akzeptieren – Tragen

– Finanzieren

3.3 Risikofinanzierung

Die ETH Zürich trägt ihre Risiken grundsätzlich selbst.

Der Abschluss von Versicherungen kann sinnvoll sein, wenn keine anderen Massnahmen mög-

lich sind. Dies trifft insbesondere für Risiken zu, welche eine tiefe Eintretenswahrscheinlichkeit

und ein hohes Schadenpotential haben.

Für nichtversicherte oder nichtversicherbare grössere Ereignisse sieht die ETH Zürich eine

Eigenversicherung vor (siehe auch Ziff. 5 Versicherungspolitik).

Bestimmungen zur Risikofinanzierung finden sich in den Weisungen des ETH-Rates zum

Risikomanagement (Art. 9 -14), dem Finanzreglement (Art. 114 -116 und Anhang 1) sowie den

Richtlinien über nicht versicherte Risiken und Ereignisse.

3.4 Risikokosten

Ziel ist, das Total der Risikokosten zu minimieren. Die Risikokosten setzten sich aus den folgen-

den Komponenten zusammen:

– Versicherungsprämien

– Selbstgetragene Schäden

– Präventive Risikominderungs-/Schadenverhütungskosten

– Verwaltungskosten (z.B. Kosten der Administration, Honorare).

7

Risikomanagement an der ETH Zürich

4 Organisation und Verantwortlichkeiten

Das iterative Zusammenspiel zwischen den nachfolgend beschriebenen Funktionsträgern und

Gremien ist von zentraler Bedeutung für ein funktionierendes Risikomanagement System.

Nach dem Prinzip der Eigenverantwortung ist es zudem wichtig, dass sowohl die direkt am

Prozess beteiligten Personen wie auch alle weiteren ETH-Angehörigen ein entsprechendes

Risiko-Bewusstsein entwickeln.

Das Risikomanagement an der ETH Zürich ist folgendermassen organisiert (Abbildung 1):

4.1 Präsident/Vizepräsident Finanzen & Controlling/Schulleitung

Dem Präsidenten fällt gemäss Art. 4 Abs. 1 der Weisungen Risikomanagement bzw. der Organi-

sationsverordnung ETH die Verantwortung für das Risikomanagement zu, die Umsetzungs-

verantwortung liegt beim Vizepräsidenten Finanzen & Controlling. Die Schulleitung geneh-

migt jährlich den Risikokatalog auf Gesamtstufe ETH Zürich und die damit verbundenen

Massnahmen, gegebenenfalls inklusive Ressourcenzuteilung. Sie bewilligt die periodisch zu

aktualisierende Risikopolitik auf Antrag der Risikomanagement Kommission. Weiter informiert

sie den ETH-Rat (via Internes Audit) periodisch über Bestand, Umfang und potentielle Auswir-

kungen der Kernrisiken. Die Schulleitung entscheidet ferner über nichtversicherte Schäden von

über CHF 1 Mio. gemäss Kompetenzregelung im Finanzreglement und wählt die Mitglieder der

Risikomanagement Kommission.

Abbildung 1: Organisation des Risikomanagements

ETH-Rat

Präsident / VPFC / Schulleitung

Risikomanagement Kommission (RMK)

Vorsitz: VPFC

Kernteam Risikomanagement

Vorsitz: Leiterin FD

Leiterin SGU, Leiter Rechtsdienst, Sekretär Risikomanagement

Interne und externe Revision

Einheiten aus Lehre, Forschung, Administration

Risikoeigner

Massnahmeneigner

Risikoeigner

Risikoeigner

Massnahmeneigner

Massnahmeneigner

Massnahmeneigner

8

4.2 Risikomanagement-Kommission

Die Risikomanagement Kommission (Vorsitz durch den Vizepräsidenten Finanzen & Control-

ling) ist das beratende Gremium der Schulleitung in Fragen des Risikomanagement, der Risiko-

finanzierung und der Versicherungen. Sie beurteilt periodisch die Risiko-, Schadens- und Versi-

cherungssituation. In ihrer Verantwortung liegt die ETH-weite Steuerung des Risikomanage-

ments. Die Kommission schlägt der Schulleitung bzw. dem Präsidenten periodisch die aktuali-

sierte Risikopolitik vor. Sie beschliesst das Vorgehen zu Risikoerhebung, -bewertung, -

bewältigung und -controlling und überwacht den Prozess. Daneben stellt die Kommission für

das Risikomanagement eine angemessene organisatorische, personelle, technische und me-

thodische Infrastruktur sicher.

Aufgaben und Organisation der Risikomanagement Kommission sind im Reglement für die

Risikomanagement Kommission (RMK) der Eidgenössischen Technischen Hochschule

Zürich vom 3. Juni 2008 geregelt.

4.3 Risikomanagement Kernteam

Das Kernteam verantwortet die fachliche Führung in den Bereichen Risiko-, Schadens- und

Versicherungsmanagement. Es ist für die Prozessführung des Risikomanagement gemäss den

Vorgaben der RMK zuständig. Das Kernteam konsolidiert jährlich den Risiko- und den Mass-

nahmenkatalog. Es erstellt die Grundzüge der Risikopolitik sowie den Risikocontrollingbericht.

Das Kernteam unterstützt und berät Schulleitung, Präsident und Kommission in der Umset-

zung eines adäquaten Risikomanagement. Für die Organisationseinheiten ist das Kernteam

die Anlaufstelle bei technischen und organisatorischen Fragen zum Risikomanagement.

4.4 Einheiten aus Lehre, Forschung und Administration

Verantwortlich für die Umsetzung des Risikomanagement sind die Führungskräfte der Einhei-

ten. Die Einheiten stellen sicher, dass die in diesem Dokument aufgeführten Verantwortlich-

keiten wahrgenommen, Risiken identifiziert und bewertet sowie Massnahmen gegen Risiken

erarbeitet und umgesetzt werden.

4.5 Risikoeigner

Der Risikoeigner trägt die Verantwortung für das adäquate Management eines Risikos. Er ist

für die Erarbeitung und Initiierung entsprechender Massnahmen zuständig und stellt die

notwendigen finanziellen und personellen Ressourcen zur Umsetzung der Massnahmen si-

cher. Der Risikoeigner wird im Risikokatalog namentlich erwähnt. Er berichtet dem Kernteam

periodisch über den Stand und Massnahmen bestehender Risiken und meldet neu identifizier-

te Risiken gemäss den definierten Schwellenwerten (siehe Risikomatrix S. 8).

9

Risikomanagement an der ETH Zürich

4.6 Massnahmeneigner

Der Massnahmeneigner trägt die Verantwortung für die Umsetzung der Massnahmen. Er

informiert periodisch (mindestens jährlich) den Risikoeigner über Stand und Fortschritt. Diese

Aufgabe ist nicht an eine Stabstelle delegierbar, das Kernteam unterstützt lediglich den Pro-

zess, die Verantwortung für die Umsetzung bleibt beim Risiko- und Massnahmeneigner.

4.7 Interne Revision

Die interne Revision überprüft periodisch die Umsetzung des Risikomanagement an der

ETH Zürich.

4.8 Externe Revision

Die externe Revision kann die Umsetzung des Risikomanagement an der ETH Zürich überprü-

fen.

5 Risikomanagementprozess

Die Umsetzung des Risikomanagement an der ETH Zürich erfolgt nach einem standardisierten

Prozess, der gemäss nachstehender Abbildung 2 die folgenden Schritte umfasst:

5.1 Risikoerfassung

Die Risikoerfassung beinhaltet eine ganzheitliche Bestandesaufnahme der Risiken. Organisa-

torisch wird sie von den Einheiten durchgeführt. Die Risikoerfassung wird periodisch aktuali-

siert. Die erfassten Risiken werden auf Gesamtstufe ETH Zürich im Risikokatalog konsolidiert

(siehe Anhang B).

Risikoerfassung

Risikobewältigung

Risikobewertung

Risikocontrolling

Abbildung 2: Risikomanagementprozess

10

5.2 Risikobewertung

Auf der Risikoerfassung aufbauend werden die Risiken nach ihren finanziellen Auswirkungen

und Eintretenswahrscheinlichkeiten bewertet und nach Prioritäten geordnet. Sie werden im

Risikokatalog und der Risikomatrix eingetragen (vgl. Abbildung 3).3

5.3 Risikobewältigung

In der Phase der Risikobewältigung werden Massnahmen entwickelt und umgesetzt. Die

Massnahmen werden im Massnahmenkatalog geführt.

5.4 Risikocontrolling

Das Risikocontrolling schliesst den Prozess der ersten drei Schritte ab. Es geht um die Überprü-

fung und Sicherung der Risikomanagement. Das Risikocontrolling führt im Sinne des kontinu-

ierlichen Prozesses wieder zur Risikoerfassung.

In den Weisungen des ETH-Rates über das Risikomanagement wird weiter auf die einzelnen

Prozessschritte eingegangen (Art. 5-8).

3 Die Risikomatrix ist eine zweidimensionale graphische Darstellung der Risikolandschaft. Auf der

Abszisse werden skalierte Eintretenswahrscheinlichkeiten und auf der Ordinate skalierte

Schadenshöhen abgebildet. Aus der Multiplikation von Eintretenswahrscheinlichkeit und

Auswirkung resultiert das Risikoprodukt, welches eine Priorisierung der Risiken erlaubt.

Abbildung 3: Risikomatrix

Tragweite

1 < 0,01 Mio.

2 0,01 - 1 Mio.

3 1 - 10 Mio.

4 10 - 50 Mio.

5 50 - 100 Mio.

6 > 100 Mio.

Häufigkeit

1 1 / >1000 Jahre

2 1 / 100-1000 Jahre

3 1 / 10-100 Jahre

4 1 / 5-10 Jahre

5 1 / 2-5 Jahre

6 1 / <2 Jahre

Fin

an

ziel

le A

usw

irku

ng

(T

rag

we

ite

)

Eintretenswahrscheinlichkeit

Kernrisiken

Zu meldende Risiken

Risikomatrix

11

Risikomanagement an der ETH Zürich

6 Versicherungspolitik

Grundsätzlich trägt die ETH Zürich ihre potentiellen Schäden selbst. Der Abschluss von Versi-

cherungsverträgen ist subsidiär zu anderen Massnahmen zur Vermeidung und Verminderung

von Risiken.

Neben den gesetzlich vorgeschriebenen Versicherungen hat die ETH Zürich die folgenden

Versicherungen abgeschlossen:

– eine Sach- und Betriebsunterbrechungsversicherung

– eine Betriebshaftpflichtversicherung

Die Identifikation von besonders risikobehafteten Objekten/ Tätigkeiten erfolgt durch die

Einheiten der ETH Zürich selber. Es ist eine Versicherung abzuschliessen, sofern keine anderen

Massnahmen zur Risikominimierung möglich sind. Die Risikomanagement Organisation beur-

teilt, ob eine Versicherung einem vertretbaren Kosten-/Nutzenverhältnis entspricht. Ergibt die

Beurteilung, dass das Kosten-/Nutzenverhältnis nicht adäquat und daher auf eine Versiche-

rung zu verzichten ist, so entbindet die Risikomanagement Organisation die Einheit von der

Versicherungspflicht.

Bei Fragen zu Versicherungen und für Versicherungsabschlüsse ist die Abteilung Finanzdienst-

leistungen einzubeziehen.

Die detaillierten Bestimmungen zur Risikofinanzierung finden sich in den Weisungen des

ETH-Rates zum Risikomanagement (Art. 9 -14), dem Finanzreglement (Art. 114 -116 und

Anhang 1) sowie den Richtlinien über nicht versicherte Risiken und Ereignisse.

7 Schadenmanagement und Schadenfinanzierung

7.1 Frühindikatoren

Die Einführung von Frühindikatoren kann bei einigen Risiken sinnvoll sein. Die Indikatoren

sollen so definiert sein, dass sie eine Aussagekraft über das entsprechende Risiko haben. Sie

müssen gute Frühinformationseigenschaften besitzen bzw. den Entwicklungen von Interesse

vorauseilen. Für die Frühindikatoren werden Sollwerte und Toleranzgrenzen festgelegt, die

ständig überwacht werden und bei Über- bzw. Unterschreitung eine Aktion auslösen.

7.2 Schadenmeldung

Im Schadenfall ist der Stab Sicherheit, Gesundheit und Umwelt unverzüglich zu informieren.

12

7.3 Schadenfinanzierung

Anlaufstelle betreffend Schadenfinanzierung ist die Abteilung Finanzdienstleistungen. Die

Kompetenzen betreffend Schadendeckung sind gemäss Finanzreglement, Anhang 1, wie folgt

geregelt:

Schadensausmass Träger des Schadens Entscheid Schadens-deckung

Schäden, welche die in der Bundesgesetzgebung verankerten Aufgaben der ETH Zürich gefährden

Bund

ETH-Rat, Bund

> CHF 1 Mio. Sachversicherung (Vollwert) Haftpflicht (bis CHF 50 Mio.) Rückstellungen/ Eigenversicherung

Versicherung/SL

CHF 250k bis 1 Mio. Versicherungen und/oder Rückstellungen/ Eigenversicherung

Präsident mit VPFC

CHF 50k bis 250k Versicherungen und/oder Rückstellungen/ Eigenversicherung

VPFC mit Leiterin Finanzdienstleis-tungen

< CHF 50k Rückstellungen/ Eigenversicherung

Leiterin Finanz-dienstleistungen

Die Schadendeckung und Deckungszusagen nicht versicherter Risiken und Ereignisse sind

im Anhang 1 zum Finanzreglement geregelt.

7.4 Ursachenanalyse

Es liegt im Interesse der ETH Zürich, dass im Schadenfall eine Ursachenanalyse erfolgt. Dabei

bedarf es der aktiven Mitarbeit aller betroffenen Einheiten sowie der jeweiligen Vorgesetzten.

Die systematisch gewonnenen Erkenntnissen fliessen zurück in den Risikomanagement Pro-

zess. Damit wird sichergestellt, dass aus Fehlern Verbesserungen erzielt werden können.

Selbstbehalt von CHF 1.5k pro Ereignis und Einheit

Abbildung 4: Schadenfinanzierung

13

Risikomanagement an der ETH Zürich

Anhänge

A Begriffe der Risikopolitik (Glossar)

B Kernrisiken an der ETH Zürich

14

Anhang A: Begriffe der Risikopolitik (Glossar)

Kernrisiken Kernrisiken sind diejenigen Risiken mit potenziell hohen

finanziellen Auswirkungen und/oder überdurchschnittlicher

Eintretenswahrscheinlichkeiten. An der ETH Zürich werden als

Kernrisiken diejenigen Risiken bezeichnet, welche unmittelbar die

Erfüllung der gesetzlichen Aufgaben gefährden. und ein

Risikoprodukt (Eintretenswahrscheinlichkeit multipliziert mit

Schadensausmass) von 16 oder mehr aufweisen.

Massnahmenkatalog Ein Massnahmenkatalog ist eine Erweiterung des Risikokatalogs

und stellt ein Arbeitsinstrument zur Risikobewältigung dar. In

ihm werden die einzelnen Massnahmen pro Risiko erfasst. Je

Massnahme werden Angaben zu Umsetzungszeitpunkt, Status

und Massnahmeneigner aufgeführt. Er zeigt insbesondere auf,

wie die Eintretenswahrscheinlichkeit und/oder die Schadenhöhe

eines Risikos reduziert werden können.

Massnahmeneigner Der Massnahmeneigner trägt die Verantwortung für die

Umsetzung der Massnahmen. Er informiert den Risikoeigner

periodisch (mindestens jährlich) über den Stand und Fortschritt.

Risikobewältigung Die Risikobewältigung stützt sich auf die → Risikoerfassung und

→ Risikobewertung. Es geht um die Formulierung und

Umsetzung geeigneter Massnahmen für die Eindämmung der

Risiken mit identifiziertem Handlungsbedarf, namentlich der so

genannten → Kernrisiken.

Risikobewertung Die Risikobewertung umfasst die Beurteilung jedes einzelnen im

→ Risikokatalog erfassten Risikos nach der

Eintretenswahrscheinlichkeit und dem max. Schadensausmass

(finanzielle Auswirkung). Gestützt auf die vorgenommenen

Bewertungen wird eine → Risikomatrix erstellt.

Risikocontrolling Das Risikocontrolling umfasst die Überprüfung und Steuerung

des Risikomanagementprozesses. Es stellt den kontinuierlichen

Prozess gemäss den Grundsätzen der Risikopolitik sicher und

trachtet nach kontinuierlicher Verbesserung dieses Prozesses.

Das Risikocontrolling legt die Abweichungen des Ist- Zustandes

von den Zielen der Risikopolitik offen; zudem dient es der

Erfolgskontrolle bei der Umsetzung von Massnahmen.

Risikoeigner Jedem Risiko wird eine verantwortliche Person im jeweiligen

Departement bzw. in der jeweiligen Verwaltungseinheit

zugeordnet. Diese Person trägt operationell die Verantwortung

für die ihr zugeteilten Risiken.

15

Risikomanagement an der ETH Zürich

Risikoerfassung Die Risikoerfassung zielt auf eine möglichst umfassende

Bestandesaufnahme der Risiken. Sie erfolgt organisatorisch

betrachtet von unten nach oben, d.h. sie wird in den einzelnen

ETH und Forschungsanstalten durchgeführt. Das Resultat der

Risikoerfassung ist ein → Risikokatalog in Tabellenform.

Risikokatalog Ein Inventar von Risiken in Tabellenform, gegliedert nach

Merkmalen Risikobeschreibung, Szenarien,

Eintretenswahrscheinlichkeit, Auswirkung, Risikoprodukt sowie

Risikoeigner.

Risikomatrix Zweidimensionale graphische Darstellung der Risikolandschaft.

Auf der Abszisse werden skalierte

Eintretenswahrscheinlichkeiten und auf der Ordinate skalierte

Schadenshöhen abgebildet. Aus der Multiplikation von

Eintretenswahrscheinlichkeit und Auswirkung resultiert das

Risikoprodukt, welches eine Priorisierung der Risiken erlaubt.

Risikoprofil Ergebnis der Eintragung der einzelnen Risiken in die Risikomatrix.

Es zeigt das Betriebsrisiko einer bestimmten Organisation auf

und bildet damit die Basis zu deren → Risikobewältigung. Das

Risikoprofil wird auch Wahrscheinlichkeits-Tragweite-Diagramm

genannt.

16

Anhang B: Kernrisiken an der ETH Zürich

Nr. Risikobeschreibung Szenarien

1 Gewalt gegen Personen

Gewalt oder Gewaltandrohungen

gegen physische und psychische

Integrität durch oder gegen

ETH-Angehörige

Drohung, Raub, Beschimpfung, Selbstmord, Amok, sexuelle

Belästigung.

Ausnützen von Machtverhältnissen (Prof./wiss. Mitarbeiter

vs. Studierende, Vorgesetzter vs. Mitarbeiter, Lehrlingsbe-

treuer vs. Lehrling)

2 Reputations- und Imageverlust

Die Reputation der ETHZ wird

beschädigt. Die ETHZ wird von

Öffentlichkeit und Politik unzurei-

chend oder falsch wahrgenom-

men.

Fehlverhalten in der Forschung.

Mangelhafte Leistungen der ETH-Angehörigen.

Gesellschaftlich umstrittene (Forschungs-)Aktivitäten, inkl.

Zusammenarbeit mit Dritten.

Zu geringe Pflege des Beziehungsmanagements und zu

wenig Einflussnahme auf Politik (Lobbying).

Zu wenig Engagement gegenüber Stakeholdern.

3 Signifikanter Ausfall

finanzieller Mittel

Ausfall von Drittmitteln und/oder

Kürzung von Bundesmitteln

Sinkende Budgetmittel.

Sinkende Drittmittel.

Fehlverhalten im Umgang mit finanziellen Mitteln.

Ausfall angelegter Gelder.

Nicht versicherbares/ versichertes Grossereignis.

4 Minderung der Arbeitsleistung

und Verlust wichtiger

Mitarbeitender

ETH-Angehörige erbringen min-

derwertige Arbeitsleistungen,

verlassen die ETH oder haben

Zielsetzungs- und Motivations-

probleme.

Vorgesetzte betreuen die Mitarbeiter unzureichend.

Unsicherheiten wegen Vorgesetztenwechsel und Umstruk-

turierungen.

Fehlende Ausbildung/Ausbildung (Förderung MA).

"Ungerechtigkeiten" Lohn/Personalbeurteilung.

Unzufriedenstellende Arbeitsplatzbedingungen (Team,

Führungsverhalten, Laufbahnplanung, Arbeitsplatzgestal-

tung, etc.).

Krankheit, private oder finanzielle Schwierigkeiten, Burn

Out, Unter-/Überforderung.

Mangelhafte Sicherheit am Arbeitsplatz.

5 Unzureichende Leistungen

in der Lehre

Die Leistungen in der Lehre sind

unzureichend.

Erwartungen der Studierenden bezüglich Lehrqualität

werden nicht erfüllt.

Misserfolg bei der Anziehung und Rekrutierung (hochquali-

fizierter) Studierender.

6 Infrastrukturschaden

(IT, Technik & Anlagen)

Wichtige Infrastruktur (IT, Me-

dienversorgung, Technik) wird

beschädigt oder fällt aus.

Ungenügendes Beherrschen der Komplexität der Anlagen.

Steuerungsfehler.

System-Fehlverhalten (z.B. Software Fehler).

Gezielte Sabotagen, Vandalismus.

Mangelnde Unterhaltsarbeiten aufgrund fehlender finan-

zieller Mittel oder mangelnder Unterhaltsplanung.

Feuer & Wasser.

7 Unberechtigter Zugriff auf

Daten / Verlust von Daten

Wichtige Daten aus Lehre und

Forschung werden gestohlen,

illegal publiziert oder stehen der

ETH nicht mehr zur Verfügung.

Mangelhafte Schutzmassnahmen für kritische Daten und /

oder ungenügende Umsetzung von diesen.

Daten werden von Insidern aktiv verfälscht, illegal weiter-

gegeben oder gelöscht.

Diebstahl oder Verfälschung von Daten.

Hacking.

Gezielte Sabotage.