Integrales Risikomanagement
Geschäftsbericht 2025 15.04.2026
Das Integrale Risikomanagement erfasst und steuert Risiken, die eine ausserordentliche Lage auslösen können, sowie weitere vom Regierungsrat als wesentlich erachtete Risiken. Der Risikobericht 2025 identifiziert zehn Toprisiken und gibt Auskunft über Reduktionsmassnahmen und deren Umsetzung.
Risikobericht 2025
Das Integrale Risikomanagement erfasst und steuert Risiken, die eine ausserordentliche Lage auslösen können, sowie weitere vom Regierungsrat als wesentlich erachtete Risiken. Im Zentrum steht die Aufrechterhaltung der Handlungsfähigkeit und die Förderung der Resilienz von Regierungsrat und Verwaltung, damit diese ihre Aufgaben zugunsten der Bevölkerung in solchen Situationen wahrnehmen können. Das Integrale Risikomanagement nimmt somit eine verwaltungsinterne Sichtweise auf Risiken ein. Dies in Ergänzung zum Risikomanagement Bevölkerungsschutz, das sich auf das Handeln gegen aussen zur Bewältigung von ausserordentlichen Lagen bezieht.
Der Risikobericht 2025 basiert auf den 2024 in verwaltungsweiter Zusammenarbeit erstmals identifizierten, analysierten und beurteilten zehn Toprisiken sowie beschlossenen Reduktionsmassnahmen und bestätigt die zehn Toprisiken aus dem Vorjahr. Erstmalig wird über die im vergangenen Jahr erreichten Fortschritte bei der Risikobehandlung berichtet. Alle Toprisiken befinden sich auf dem vorgesehenen Reduktionsweg.
Aktualisierung der Toprisiken
Die Risikolandschaft des Kantons Zürich bleibt im Vergleich zum Vorjahr beständig. Die 2024 identifizierten zehn Toprisiken werden aufgrund ihrer Grösse und weil sie an mehreren Stellen in der Verwaltung wirken, als Toprisiken eingestuft. Sie leiten sich aus denselben Gefährdungen wie im letzten Jahr ab, die ihrem Ursprung folgend in die Gefährdungsbereiche «Gesellschaft», «Natur», «Technik» und «Organisation» unterteilt werden. Die Toprisiken werden anhand ihrer Eintrittswahrscheinlichkeit und ihres Schadensausmasses in einer Risikomatrix dargestellt. Nach einer Aktualisierung der Toprisiken kommt es im Vergleich zum Vorjahr zu keiner Anpassung in der Risikobewertung der zehn Toprisiken. Deren Verortung in der Risikomatrix bleibt damit unverändert.
Bei den am höchsten bewerteten Toprisiken handelt es sich um:
Ausfall kritischer IKT-Infrastrukturen, Daten- oder Informationsabfluss und Desinformation. Zunehmende Aktivitäten von bösartigen Akteuren – beispielsweise durch Phishing, Hacking, Malware, DDos – gelten als eine mögliche Ursache für die ersten beiden Toprisiken. Deren Eintritt hätte grosse Auswirkungen auf die Aufgabenerfüllung der Verwaltung. Das dritte Toprisiko spielt zunehmend eine bedeutende Rolle in Wahlen und Abstimmungen. Desinformation kann heute, verstärkt durch neue technologische Möglichkeiten u. a. im Bereich der künstlichen Intelligenz, wesentlich überzeugender verbreitet werden. Diese kann das Vertrauen in die demokratischen und rechtsstaatlichen Prozesse und somit in die Behörden stark gefährden.
Umsetzung der Reduktionsmassnahmen
Zur Bewältigung der Toprisiken wurden 2024 konkrete Reduktionsmassnahmen und -ziele definiert. Mithilfe bestehender und neuer Massnahmen soll das Schadensausmass oder die Eintretenswahrscheinlichkeit der Toprisiken reduziert werden. Die Massnahmen sind fünf Themenbereiche zugeordnet: «Risikomanagement», «Kontinuität des Verwaltungsbetriebs», «Compliance und Beschaffungswesen», «Infrastruktur» und «Früherkennung und Sensibilisierung». Sie knüpfen an bestehende Bestrebungen von Regierungsrat und Verwaltung an und führen diese fort. Nicht in der Übersicht aufgeführt sind Massnahmen zum weiteren Ausbau der Krisen- und Kontinuitätsmanagementfähigkeit der Verwaltung, da sie der Reduktion aller Toprisiken dienen.
Die Umsetzung der Reduktionsmassnahmen ist im Berichtsjahr angelaufen oder wurde fortgeführt. Das erstmals durchgeführte Massnahmencontrolling zeigt, dass die Umsetzung der Massnahmen planmässig voranschreitet und alle zehn Toprisiken dadurch schrittweise reduziert werden können. Der Umsetzungsstand zeigt, dass bei allen zehn Toprisiken die festgelegten Reduktionsziele planmässig erreicht werden können, wenn die Umsetzung der Massnahmen weiterhin wie vorgesehen verläuft. Der Umsetzungsfortschritt zeigt für jedes Toprisiko, wie viel vom jeweiligen Reduktionskurs (in Prozent) bereits zurückgelegt wurde. Die Umsetzungsfortschritte bewegen sich Ende des Berichtsjahres zwischen 15% und 45%.
Es zeigt sich eine schrittweise Stärkung der Resilienz sowie der Handlungsfähigkeit von Regierungsrat und Verwaltung. Wird die Umsetzung der Massnahmen auch in den kommenden Jahren konsequent weitergeführt, können Ziel und Zweck des Integralen Risikomanagements erreicht werden.
Ausblick
Das neu etablierte Risiko- und Massnahmencontrolling wird weiterbetrieben, sodass im nächsten Jahr über die weiteren Fortschritte berichtet werden kann. Der Risikobericht 2025 zeigt, dass das Integrale Risikomanagement erfolgreich in den Regelbetrieb überführt wurde. Es soll weiterhin verfestigt und gezielt weiterentwickelt werden. Ein besonderer Schwerpunkt liegt dabei auf der fortschreitenden Digitalisierung der Bewirtschaftung der Risiken und Überwachung der Massnahmen. Zusätzlich wird eine vorausschauende Sichtweise auf Risiken integriert, die eine Risikoerkennung in den nächsten 10 bis 15 Jahren ermöglicht.
Die zehn Toprisiken, spezifische Massnahmen und Umsetzung
|
R-Nr.
|
Bereich
|
Kurzbegriff
|
Risiko
|
Spezifische Massnahmen
|
Umsetzungsstand
|
Umsetzungsfortschritt in %
|
|---|---|---|---|---|---|---|
| G1 | Gesellschaft | Pandemie | Pandemie mit globalem Ausmass |
|
planmässig auf Reduktionskurs |
30 |
| G2 | Gesellschaft | Anschlag | Anschlag auf staatliche, behördliche Einrichtung |
|
planmässig auf Reduktionskurs |
45 |
| G3 | Gesellschaft | Desinformation | Einflussnahme auf freie Meinungsbildung |
|
planmässig auf Reduktionskurs |
35 |
| G4 | Gesellschaft | naher Krieg | Militärische Eskalation an der Peripherie der EU |
|
planmässig auf Reduktionskurs |
35 |
| O1 | Organisation | Lieferengpass | Ausfall/Unterbruch kritischer Lieferanten und Leistungserbringer für sowie in der Verwaltung |
|
planmässig auf Reduktionskurs |
20 |
| N1 | Natur | Erdbeben | Erdbeben mit Epizentrum im Kanton Zürich |
|
planmässig auf Reduktionskurs |
15 |
| T1 | Technik | KKW-Unfall | KKW-Unfall in der Schweiz |
|
planmässig auf Reduktionskurs |
15 |
| T2 | Technik | Stromausfall | Grossflächiger, langanhaltender Stromausfall |
|
planmässig auf Reduktionskurs |
15 |
| T3 | Technik | Ausfall der Telekommunikation und der IT-Dienstleistungen | Grossflächiger, langanhaltender Ausfall der Telekommunikation und IT-Dienstleistungen |
|
planmässig auf Reduktionskurs |
15 |
| T4 | Technik | Datenabfluss | Unerlaubter Datenabfluss aus der Verwaltung |
|
planmässig auf Reduktionskurs |
30 |
