Ganz herzlich willkommen zum Video zum Thema Brauchen Hochschulen eigentlich ein Risikomanagement? Wenn man sich dieser Frage widmet, stößt man auf einige Gründe, warum Risikomanagement für Hochschulen durchaus wichtig sein könnte.

Erster Grund Umweltdynamik. Hochschulen sind rapiden Veränderungen in ihrer Umwelt ausgesetzt. Man denke an die Corona-Pandemie. Das ist mit Risiken verbunden. Instabilität bedeutet Risiko. Hochschulen werden heute wettbewerblich gesteuert. Es gibt formelgebundene Systeme der Mittelzuweisung, wo man nur Geld bekommt,

wenn man Leistungsindikatoren positiv beeinflusst. Der Anteil der Grundfinanzierung ist deutlich geringer als früher. Auch das steigert natürlich ein Risiko. Man kann nicht mehr sicher sein, dass man immer sein Budget hat, sondern das Budget ist wettbewerbliche Steuerung ausgesetzt.

Damit ganz eng im Zusammenhang. Akademische Risiken schlagen stärker auf finanzielle durch. Beispielsweise. Finanzierung hängt heute sehr häufig von der Zahl der Studierenden oder der Zahl der Absolventinnen ab. Das heißt, ein akademisches Risiko,

dass die Studierenden nicht kommen, dass man hohe Abbrecherquoten hat und die Mittelzuweisung dann sinkt, wenn man nicht die Leistungsparameter entsprechend erbringt,

die von einem erwartet werden. Klar ist auch, wenn Hochschulen autonom sein wollen, wenn Hochschulen frei sind, dann tragen sie auch ein Risiko. Das Risiko nimmt der Hochschule keiner ab. Es ist untrennbar verbunden mit Autonomie und Freiheit. Wenn man einen Globalhaushalt hat, den man frei bewirtschaftet, dann muss man eben irgendwie auch

mit den Tarifsteigerungen bei den Gehältern zurechtkommen und den nimmt einem der Staat nicht ab. Also Freiheit und Risikotragen, das sind zwei Seiten einer Medaille. Und last but not least gibt es auch noch formale Gründe. In vielen Bundesländern

erstellen die Hochschulen heute Jahresabschlüsse nach kaufmännischem Rechnungswesen. Und im kaufmännischen Rechnungswesen im Jahresabschluss gibt es so etwas wie einen Lagebericht. Und im Lagebericht ist eine Einschätzung der Risiken erforderlich. Also allein schon aus diesem formalen Grund kommt man eigentlich um Risikomanagement gar

nicht rum. Das heißt, wenn Sie sich die Argumente mal so anschauen, das spricht schon dafür, dass Risikomanagement relevant ist und eine Bedeutung für Hochschule hat. Hochschulen müssen mit Risiken umgehen. Der Umgang mit Risiken ist demnach ein wichtiger

Erfolgs- und Überlebensfaktor. Wenn die akademischen Risiken auf die finanziellen durchschlagen, da Geld ist weg, die Risiken kommen zum Tragen, dann ist im Zweifelsfall sogar das Überleben einer Hochschule gefährdet. Also Risikomanagement, das ist schon

Ich habe Ihnen einmal den Risikomanagement-Prozess aufgemalt. Da gibt es auch eine DIN-ISO-Norm für, die das ungefähr vorgibt, wie Risikomanagement aussehen sollte. Und dieser Prozess beginnt mit dem Punkt, dass ein Risikomanagement natürlich auch Ziele, Risiko-Ziele braucht, dass es einen gewissen Anwendungsbereich hat. Also auf was wende ich es an? Nur

auf finanzielle Risiken oder auch auf andere Risiken und dass bestimmte Kriterien vorgegeben werden, die in diesem Risikomanagement-Prozess gelten sollen. Und dann gibt es einen Kernbestandteil des Risikomanagements, das ist die Risikobeurteilung. Also im Risikomanagement muss ein vorhandenes Risiko beurteilt werden

und dazu gehören drei Schritte. Der erste ist, ich muss es identifizieren, also ich muss es erstmal kennen, ich muss es aufspüren. Das zweite ist, wenn ich es gefunden habe, dann muss ich es analysieren. Und wenn ich es analysiert habe, dritter Punkt, dann kann

ich es bewerten. Also ist das ein wichtiges Risiko? Ist das ein Risiko, um das ich mich kümmern muss? Ist das ein Risiko, wo ich sagen kann, vernachlässigen ist, ist nicht so wichtig. Das ist die Frage der Bewertung von Risiken. Und wenn ich das alles gemacht habe, wenn ich die Beurteilung hingekriegt habe, dann muss ich natürlich

irgendwas tun, also die Risikobehandlung. Ich muss mit den Risiken, ich muss das versuchen zu vermeiden möglicherweise. Kommen wir gleich nochmal zu, welche Varianten der Risikobehandlung es gibt. Und dieser Prozess ist geframed oder umgeben von drei weiteren Komponenten, nämlich der Risikoüberwachung. Also diese ganze

Identifikation und so kriegen sie nur hin, wenn sie permanent überwachen, welche Risiken da sind, auftauchen. Es braucht dafür ein Berichtswesen. Also die Risiken müssen auch dokumentiert und in Berichten abgebildet werden. Und last

but not least, man braucht eine Kommunikation über Risiken. Also Menschen müssen darüber sprechen, sich damit auseinandersetzen, gemeinsam reflektieren und analysieren. Also ein Kommunikationsprozess, der auch mit und wenn Sie jetzt die ganzen Bausteine zusammennehmen, dann haben Sie die

Elemente eines Risikomanagementprozesses. Also wenn der Risikomanagementprozess so abläuft, was soll das Risikomanagement demnach bewirken? Ich habe das nochmal aufgelistet. Das Risikomanagement soll erstens die Risiken erkennen, bewusst machen, auch zur Beschäftigung damit anregen. Wenn da ein Risikomanagement ist,

sagt das den Entscheidungsträgern, kümmert euch darum, beschäftigt euch damit, setzt euch damit auseinander. Das Risikomanagement soll die Risiken bewerten. Und hier kommt jetzt eine ganz wichtige Unterscheidung von zwei Kategorien. Es gibt quasi zwei Dimensionen, nach denen man ein Risiko

bewerten kann. Man kann es bewerten nach der Eintrittswahrscheinlichkeit. Also wie wahrscheinlich ist es, dass es passiert? Und nach den Folgen und dem Ausmaß eines Schadens. Nehmen Sie mal die Corona-Pandemie. Ich glaube, wenn

das Gegenstand eines Risikomanagements eine Hochschule gewesen wäre, bevor sie begonnen hat, dann hätte die Hochschule wahrscheinlich mit einer sehr geringen Eintrittswahrscheinlichkeit kalkuliert, dass so was wirklich passiert, so eine Pandemie, nachdem wir alle jetzt die Hochschulen schließen.

Aber wenn die Hochschule es eingeplant hätte, hätte es vielleicht gesagt, okay, die Wahrscheinlichkeit ist sehr gering, aber die Folgen, wenn das passieren würde, das Ausmaß des Schadens wäre enorm. Oder ein anderes Beispiel, das Explodieren eines Kernkraftwerks hat vielleicht eine geringe Eintrittswahrscheinlichkeit, aber die Folgen und das Ausmaß des

Schadens wäre riesig. Und es gibt andere Fälle, wo das genau umgekehrt wäre, dass das finanzielle Risiko, dass die Gehälter im öffentlichen Dienst steigen, da ist die Eintrittswahrscheinlichkeit relativ hoch. Aber das Schadens-

Ausmaß, wenn man das jetzt mal als Schaden bezeichnet, wäre relativ gering. Also das sind die beiden Kernkategorien einer Risiko- Ich muss dann versuchen, Maßnahmen zu finden, wie ich mit meinen Risiken umgehe. Ich muss die entwickeln und ich muss die Maßnahmen ergreifen.

Und auch da vielleicht so ein paar Kategorien, die da bedeutsam sind. Ich kann ein Risiko vermeiden. Wenn ich es finde, kann ich sagen, okay, wir lassen die Finger von. Wir vermeiden es zum Beispiel, indem wir die Aktivität unterlassen, die risikoreich ist. Ich kann vorsorgen. Das klassische Variante einer

Risikovorsorge wäre eine Versicherung. Also wenn ich das Risiko sehe, dass mir jemand die technischen Geräte aus meinen Hörsälen klaut, dann treffe ich Vorsorge, indem ich sie versichern lasse, wenn mir das möglich ist. Ist ja auch nicht unbedingt für eine Hochschule möglich, das zu tun. Drittens das Risiko mindern. Ich kann irgendwas tun,

dass es kleiner wird. Viertens das Risiko abwälzen, wenn ich als ein Risiko übernimmt, dann habe ich es abgewälzt und kann mich darüber freuen, dass jemand anderes es übernimmt oder auch eine Maßnahme ist, Risiko tragen. Wenn ich erkenne, diese Maßnahme,

die ich jetzt unternehmen soll, die muss ich tun, die ist wichtig, die brauche ich für Forschung und Lehre. Und da steckt ein Risiko drin, dann trage ich einfach das Risiko. Auch das kann eine explizite, bewusste Entscheidung sein. Und das ist dann im weitesten

Sinne eben auch eine Maßnahme zum Umgang mit einem Risiko, sich bewusst für das Tragen eines Risikos zu entscheiden. Und vierter Punkt Risiken dokumentieren und Transparenz schaffen, haben wir gerade schon angesprochen. Ich habe Ihnen ja nochmal eine Definition des Risikos hingeschrieben, also ein potenzieller Reputationsertrags oder Vermögensverlust, die Beeinträchtigung

der Ziele der Hochschule, der oder die sich aus den zufallsbehafteten zukünftigen Ereignissen ergibt. Das ist vielleicht einfach nur als eine mögliche Definition dieses Risikos. Also wir wissen jetzt ungefähr, was Risikomanagement soll. Wo und wie wird Risikomanagement geregelt?

Es ist häufig so, dass auch in der Privatwirtschaft, aber in zwischen auch an Hochschulen Handbücher zum Risikohandling geschrieben werden. Es gab mal einen Entwurf für ein Risikomanagement Handbuch für die Hochschulen in Niedersachsen.

Und da habe ich einfach mal ein paar Beispiels, Leitsätze rausgeschrieben, was da so drin steht. Jeder ist verantwortlich. Nur bekannte Risiken lassen sich steuern. Risiken müssen systematisch bewertet werden. Nicht alle Risiken sind vermeidbar. Viele sind steuerbar. Kommunikation und Offenheit über Risiken ist erforderlich und Risikodokumentation

sollte erfolgen. Also Sie sehen, das ist einfach ein Beispiel, wie sich dann diese Grundprinzipien, die ich gerade versucht habe, Ihnen zu erläutern, wie sich dann diese in so Leitsätzen in einem Handbuch niederschlagen könnten. Aber das ist nur ein Ausschnitt. Da steht dann noch viel, viel mehr drin. Aber das ist auch für eine

Recherche vielleicht ganz interessant, noch mal zu gucken, wie sehen so Handbücher für Risikomanagement aus? Ich will Ihnen jetzt noch einmal ein Beispiel geben. Ich habe das hier eingezogen. Tatsächlich ist das die Texas A&M University, die schon vor etlichen Jahren so ein

Risikomanagementsystem eingeführt hat. Und einfach mal, dass Sie ein bisschen so ein Beispiel sehen, wie dann damit umgegangen wird. Also an dieser Universität werden unterschiedliche Risikoarten erfasst. Sie sehen hier, ich habe das in Englisch gelassen, Sie sehen hier fünf verschiedene Kategorien oder Arten von Risiken. Es gibt strategische Risiken, also die Fähigkeit, die

Zielerreichung, der Zielerreichung beeinflussen. Universities ability to achieve goals and objectives. Es gibt ein Reputationsrisiko, dass also die Reputation der der Hochschule gefährdet sein könnte in der öffentlichen Wahrnehmung. Das ist

für Hochschulen schon ein wichtiger Punkt. Also die die Reputation, die man hat, wie gut die Forschung angesehen wird. Das ist schon was, was für eine Hochschule sehr wichtig ist. Und wenn Sie zum Beispiel so einen Betrugsfall an der Backe haben, wo einer Ihrer ForscherInnen bei den

Messergebnissen geschummelt hat oder eine Politikerin betrogen hat bei der Erstellung der Dissertation. Und Sie haben das als Hochschule an der Backe. Das sind schon Reputationsrisiken, die Sie tragen. Und wenn die Reputation mal weg ist, dann ist es irgendwie auch schwierig.

Die ist schwer aufgebaut, aber leicht zerstört. Drei weitere haben wir noch. Finanzielle Risiken, das glaube ich klar. Alles, was irgendwie finanziell sich niederschlägt. Operative Risiken. Das ist so in den operativen Prozessen, wo auch was schiefgehen kann. Und natürlich noch ein wichtiger Punkt, die Compliance. Also die Frage des Beachtens von

Gesetzen und Regeln, wenn sie wenn sie irgendwie Produktionsstätten oder Labore unterhalten, wo sie möglicherweise Umweltgesetze brechen könnten. Dann haben sie natürlich bestimmte Risiken der Compliance auch in einer Hochschule als

ein wichtiger Punkt, den sie irgendwie mit in Kauf nehmen müssen. Also fünf verschiedene Kategorien von Risiken, die an dieser Hochschule erfasst werden. Und jetzt ist die Frage, wie geht jetzt diese Hochschule mit der Risikobewertung um? Ja, also sie hat jetzt identifiziert, die in den Kategorien. Und jetzt muss sie sie bewerten. Und sie sehen hier genau in

dieser Tabelle die Dualität zwischen dem, was ich vorhin gesagt habe, Eintritts Wahrscheinlichkeit und Schadensausmaß. Also hier mit den englischen Begriffen Probability und Impact. Also was ist der Impact auf die Ziele? Und was ist die Wahrscheinlichkeit, dass dieses Risiko passiert? Das ist Eintritt. Und

die haben jetzt so drei Kategorien gebildet. High, Medium und Low. Sie sehen hier die Erklärungen zu. Also beim Impact High wäre der sogenannte Showstopper. Also es geht gar nicht weiter. Mehr als 50 Prozent des Budgets sind verloren. Es gibt eine Strafe vor Gericht. Man verliert irgendwie die

Studienprogramme. Medium heißt, es ist ineffizient. Man hat extra Arbeit. Man bezahlt vielleicht Strafen. Aber das ist jetzt nicht so automatisch. Und Low ist dann ein sehr geringer Effekt. Ja, da gibt es eine Warnung, vielleicht ein bisschen extra Arbeit. Aber der Verlust ist sehr begrenzt. Und bei Probability High,

also passiert oft, dauernd, ständig. Medium passiert manchmal, ist aber nicht so richtig vorhersagbar. Und Low, das passiert sehr, sehr selten. Und jetzt würde diese Hochschule jedes Risiko nehmen. Und in Bezug auf Impact und Probability in eine

dieser drei Kategorien einordnen. Also vielleicht High Impact, aber Medium Probability oder Low Impact und High Probability. Und dann stufen die ein. Wenn man also zweimal High hat, dann geht quasi eine rote Ampel an. Warnung hier, schwieriges Risiko. Wir müssen was tun. Bei Medium sagt

man vielleicht gelb die Ampel, beobachtet mal das Risiko. Und bei Low mit Grün sagt man dann, ja, das ist zwar da das Risiko, aber das brauchen wir eigentlich nicht groß beachten, weil das ist unwahrscheinlich und es hat auch keinen großen Effekt. Also das lassen wir mal links liegen und müssen uns nicht drum kümmern.

Also Sie sehen, das ist so ein sehr simples System, aber einfach ein Versuch, das einzuordnen in diese Kategorien und dadurch eben Risiken bewertbar zu machen und so eine Art Normreaktion auszulösen. Ja, also dieses System, wenn ich die alle klassifiziert habe, dann weiß

ich, welche muss ich beobachten und welche muss ich mich aktiv kümmern und welche kann ich ignorieren. Und last but not least zu dieser Texas A&M University. Die haben dann auch Strukturen geschaffen um quasi Strukturen und Abläufe, um das in ihrer Hochschule zu handeln. Also es gab es gibt eine University Risk and

Compliance Office. Da sitzen also dann die Leute, die sich da kümmern um diese Bewertung. Es gibt einen hochschulweiten Prozess. Über die Website wird darüber kommuniziert. Präsentationen werden darüber gehalten und zu allen Risiken werden irgendwie Kontrollmaßnahmen definiert, um sie daneben tragbar und handlebar zu

machen. Also das war einfach ein Beispiel, wo ich Ihnen mal zeigen wollte, wie so eine Hochschule das aufgreift. Inzwischen gibt es das auch in Deutschland. Kommen wir gleich noch mal zu. Also, wenn wir das mal zusammennehmen, was ist die Sie erinnern sich an die Eingangsfrage? Brauchen Hochschulen ein Risikomanagement? Antwort auf die Frage. Ja,

Risikomanagement ist für Hochschulen erforderlich, unvermeidbar. Das ist eine Herausforderung, der sich das Wissenschaftsmanagement stellen muss. Die Grundlogik des Risikomanagements, die man nachher aus der, die man in der Privatwirtschaft entwickelt hat, die ist auch für Wissenschaftseinrichtungen plausibel. Also dieser

DIN Prozess, diese Kategorien mit mit Bewertung der Wahrscheinlichkeit und der Schadenshöhe und diese ganzen Denkkategorien, die funktionieren für Hochschulen genauso wie für ein Unternehmen. Es gibt in zwischen gute und

funktionierende practices aus dem Hochschulbereich. Wir haben gerade diese, diese amerikanische Uni gesehen, auch in Deutschland. Universitäten in Deutschland Also eine der Vorreiter war die Universität Göttingen. In Niedersachsen, in Nordrhein-Westfalen, gibt es relativ viele Beispiele. Das kam eben einfach mit der Freiheit der

deutschen Hochschulen und das auf der anderen Seite auch dieses Handling der Risiken zu einem bedeutsamen Punkt wird. Ich habe gesagt, die Grundlogik funktioniert egal, in welchem Sektor immer gleich. Aber es gilt natürlich, wie immer, so ein System an die Bedürfnisse von Wissenschaftseinrichtungen anzupassen. Ich kann nicht

einfach sagen, das funktioniert in der Wirtschaft, deswegen funktioniert es genauso an der Hochschule. Ich muss das anpassen. Und das betrifft zum Beispiel die Risikoarten. Also dieses Reputationsrisiko ist vielleicht, ja, das ist auch für Unternehmen wichtig, aber für Hochschulen vielleicht noch bedeutsamer oder auch ein bisschen anders gelagert, stark mit der

Forschung in Verbindung. Die Koppelung mit Prozessen an den Hochschulen, die Prozesse sind andere. Ich muss mir also überlegen, wie verknüpfig das Risikomanagement zum Beispiel mit einem Prozess der Zielvereinbarung. Die Frage der Zentralität oder Dezentralität. Hochschulen sind sehr dezentral

organisiert. Fakultäten beispielsweise als dezentrale Organisationseinheiten tragen eine sehr große Verantwortung. Das heißt, ein Stück weit ist dann auch das Risikomanagement dezentral anzusiedeln. Und wir brauchen irgendwie Strukturen, mit denen das auch in Fakultäten hineingetragen wird. Und sie müssen

sicherlich auch an Hochschulen sehr um Akzeptanz für sowas werben, weil es geht ja irgendwie auch darum, beispielsweise zu viel Bürokratie zu vermeiden und irgendwie ein System zu vermeiden, dass in seinem sehr, sehr umfassenden Anspruch vielleicht auch nicht den Bedürfnis in einer Hochschule gerecht wird. Also machen wir brauchen

das, aber bitte immer an die Bedürfnisse einer Wissenschaftseinrichtung anpassen. Und dazu kann man sicherlich noch viele, viele weitere Überlegungen anstellen, wie das im Detail aussieht. Ganz herzlichen Dank für Ihre Aufmerksamkeit. Ich hoffe, das hat Ihnen ein paar Grundaspekte des Risikomanagements für Hochschulen

nahegebracht. Ganz herzlichen Dank. Und wir sehen uns sicher in irgendeinem anderen Video wieder.