Internes Kontrollsystem (IKS)

Transkript

1 Internes Kontrollsystem (IKS) Implementierung in der kommunalen Verwaltung Ing. Ingolf HEROLD Mitarbeiter des Kontrollamtes Klagenfurt, Mai

2 INHALTSVERZEICHNIS 1. Vollzug der kommunalen Gebarung und der kommunalen Verwaltung Kommunale Gebarung Kommunale Verwaltung Aufsichtsrechte, Kontrollmaßnahmen, Prüfungsansätze Einschlägige gesetzliche Bestimmungen Wirksamkeit der Gemeindeaufsicht und der Kontrolleinrichtungen Interne Kontrollsysteme Definition IKS-Ziele IKS-Faktoren Aufgabe und Verantwortung IKS-Aufbau, -Systematisierung und -Faktoren Erläuterung IKS-Faktoren (nach COSO) Internes Umfeld Kriterien (zur Beurteilung) des Internen Umfeldes Risikoanalyse Vorgehensweise Steuerungs- und Kontrollmaßnahmen Information und Kommunikation System-Überwachung (IKS-Monitoring) IKS-Grundlagen Dokumentation SOLL-Zustand Nachvollziehbarkeit IST-Zustand Grenzen des IKS Control Self Assessment (CSA) Beauftragung von Risikoprüfungen Top-down Ansatz Selbstbewertung von Risiken Risikoevaluierung Risk-Rating Beurteilung der Risikobereitschaft der Organisation Entwicklung von Risikomanagementstrategien Jede Kontrolle verursacht Kosten - und der Nutzen? Aufdeckende und vorbeugende Kontrollmaßnahmen Gleichgewicht zwischen aufdeckender und vorbeugender Kontrolle Spezifität von Kontrollmassnahmen Bevollmächtigungs- und Genehmigungsverfahren Aufgabentrennung (Genehmigung, Auswertung, Erfassung und Überprüfung) Kontrolle über den Zugriff auf Ressourcen und Unterlagen Verifizierung Übereinstimmungsvergleich Überprüfung der Betriebsleistung Überprüfung der Arbeits- und Betriebsabläufe, Verfahren und Tätigkeiten Kontrolltätigkeiten im Bereich Informationstechnologie Allgemeine Kontrollen Die organisationsweite Sicherheitsprogramm- und Sicherheitsmanagementplanung

3 Zugriffskontrollen Kontrollen betreffend die Entwicklung, die laufende Pflege und den Austausch von Anwendungssoftware Systemsoftware- Kontrollen Aufgabentrennung Servicekontinuität Anwendungsspezifische Kontrolle Nach dem Verarbeitungszyklus Nach den Kontrollzielen Programmierungsfehler Wechselwirkung zwischen allg. und anwendungsspezif. Kontrollen bei IT-Systemen Information und Kommunikation Überwachung, Kontrolltätigkeiten, Qualität der Information Rechenschaftspflicht Information als Entscheidungsgrundlage Dokumentation Wirksame Kommunikation Information bildet die Grundlage von Kommunikation Kommunikationsmaßnahmen Überwachung Die laufende Überwachung Zusätzliche Evaluierung Dynamik der laufenden Überwachung Aufgaben und Zuständigkeiten Führungskräfte Mitarbeiter Interne Revisionsstellen Externe Stellen Oberste Rechnungskontrollbehörden (ORKB) Externe Prüfer Gesetzgeber und Aufsichtsbehörden Sonstige Beteiligte Qualitätssicherung der Internen Kontrollsysteme Anhang

4 OSO COSO So wenig Kontrolle als möglich, so viel Kontrolle als nötig. Internes Kontrollsystem (IKS) Implementierung in der kommunalen Verwaltung 1. Vollzug der kommunalen Gebarung und der kommunalen Verwaltung 1.1. Kommunale Gebarung In der Kärntner Landesabgabenordnung K-LAO 1991 sowie in einer Vielzahl von (begleitenden) Materiengesetzen (Kärntner Abfallwirtschaftsordnung K-AWO 2004, Kärntner Parkraum und Straßenaufsichtsgesetz K-PStG 1996, Kärntner Fremdenverkehrsabgabegesetz K-FVAG 1994, Grundsteuergesetz 1955, Kärntner Getränkeabgabegesetz 1992, Kärntner Hundeabgabengesetz K-HAG 1970, Kärntner Gemeindekanalisationsgesetz K-GKG 1999, Kommunalsteuergesetz 1993, Orts- und Nächtigungstaxengesetz 1970, Tierseuchenfondsgesetz K-TSFG 1995, Vergnügungssteuergesetz K-VSG 1982, Kärntner Zweitwohnsitzabgabegesetz K-ZWAG /2005, Kärntner Gebrauchsabgabengesetz K-GAbgG 1969 usw.) befinden sich grundsätzliche Bestimmungen über die Festsetzung, Ausschreibung und Einhebung von Steuern, Gebühren, Abgaben und Entgelte. In kommunaler Gesetzgebung, Vollziehung und Verwaltung bilden diese wiederum mit den korrespondierenden Gemeindeverordnungen eine Einheit. Haushaltsordnungen und - vorschriften, Kontierungsbestimmungen und die VRV regeln im Einzelnen die Darstellung der Gebarungsergebnisse Kommunale Verwaltung Neben dem Vollzug der eigentlichen Gebarung bildet der Vollzug der hoheitlichen Verwaltung (Bau-, Natur-, Veranstaltungs-, Schulrecht usw.) das zweite Kernelement in der kommunalen Verwaltung (laufende Gebarung - allgemeine Verwaltung). 4

5 1.3. Aufsichtsrechte, Kontrollmaßnahmen, Prüfungsansätze Einschlägige Bestimmungen des Kärntner Landesrechnungshofgesetzes, der Kärntner Allgemeinen Gemeindeordnung und Stadtrechte (im Folgenden aus Übersichtsgründen auszugsweise abgebildet), aber auch das Rechnungshofgesetz des Bundes enthalten zahlreiche Bestimmungen über die Zuständigkeiten und Reichweiten von Gebarungsprüfungen, Kontrollmaßnahmen und Aufsichtsrechten für und in den Gemeinden, jeweils nach den Grundsätzen der Zweckmäßigkeit, Sparsamkeit, Wirtschaftlichkeit und Ordnungsmäßigkeit (Rechtmäßigkeit). Entsprechend dem derzeitigen Trend der Ausgliederungen und der Verwaltungskooperationen (PPP) werden betriebliche kommunale Unternehmungen dem Regime des Unternehmensgesetzbuches (UGB) und den GmbHG oder AktienG mit den für diese Rechtsbereiche geltenden Kontrolleinrichtungen unterworfen Einschlägige gesetzliche Bestimmungen Kärntner Landesrechnungshofgesetz II. Abschnitt Überprüfung der Gebarung durch den Landesrechnungshof 8 Zuständigkeiten zur Gebarungsüberprüfung (1) Dem Landesrechnungshof obliegt a) die Überprüfung der Gebarung des Landes; b) die Überprüfung der Gebarung von Fonds, Stiftungen, Anstalten und sonstiger Einrichtungen, die von Landesorganen oder von Personen (Personengemeinschaften) verwaltet werden, die dazu von Landesorganen bestellt worden sind; c) die Überprüfung der Gebarung von Unternehmungen, an denen das Land allein oder gemeinsam mit anderen der Gebarungsüberprüfung des Landesrechnungshofes unterliegenden Rechtsträgern mit mindestens 50 v. H. des Stamm-, Grund- oder Eigenkapitals beteiligt ist, oder die das Land allein oder gemeinsam mit solchen Rechtsträgern betreibt; d) die Überprüfung der Gebarung von Unternehmungen und sonstigen Einrichtungen, soweit von diesen Landesvermögen treuhändig verwaltet wird oder das Land für sie eine Haftung übernommen hat; e) die Überprüfung der Gebarung öffentlich-rechtlicher Körperschaften, Fonds, Stiftungen und Anstalten mit Mitteln des Landes; f) die Überprüfung der widmungsgemäßen Verwendung sowie der Wirksamkeit der aus Landesmitteln gewährten finanziellen Förderungen und Subventionen (Art. 70 Abs 2 und Abs 4 Z 1 K-LVG). 5

6 (2) Einer Beteiligung des Landes an Unternehmungen nach Abs 1 lit c gleichzuhalten ist die Beherrschung von Unternehmungen durch andere finanzielle oder sonstige wirtschaftliche oder organisatorische Maßnahmen. Die Zuständigkeit des Landesrechnungshofes zur Überprüfung der Gebarung erstreckt sich auch auf Unternehmungen jeder weiteren Stufe, bei denen die angeführten Voraussetzungen vorliegen (Art. 70 Abs 3 K-LVG). (3) Die Überprüfung der Gebarung von anderen Unternehmungen als solchen nach Abs.1 lit c und Abs 2 kommt dem Landesrechnungshof nur insoweit zu, als eine entsprechende Zuständigkeit zur Überprüfung der Gebarung dem Land eingeräumt oder vorbehalten ist. Vor dem Eingehen von Beteiligungen an anderen Unternehmungen als solchen nach Abs 1 lit c und Abs 2 hat sich das Land eine entsprechende Zuständigkeit zur Überprüfung der Gebarung durch den Landesrechnungshof einräumen zu lassen (Art.41 Abs 3 K-LVG). 16 Koordination der Überprüfungstätigkeiten (1) Die Überprüfungstätigkeiten des Landesrechnungshofes sind nach Möglichkeit mit denen des Rechnungshofes abzustimmen. Auf die Tätigkeiten anderer Kontrolleinrichtungen ist tunlichst Bedacht zu nehmen. Kärntner Allgemeine Gemeindeordnung a Übermittlung von Unterlagen Soweit Österreich im Rahmen der Europäischen Integration Berichtspflichten - insbesondere im Zusammenhang mit den Haushalten - treffen, sind die Gemeinden verpflichtet, der Landesregierung die entsprechenden Unterlagen - insbesondere auch Unterlagen, die erst zur Erstellung des Rechnungsabschlusses dienen - noch vor dem 31. Mai zu übermitteln. 91 Unternehmungen (1) Die Errichtung, die wesentliche Änderung und die Auflassung von wirtschaftlichen Unternehmungen der Gemeinde ohne eigene Rechtspersönlichkeit obliegt dem Gemeinderat. Die Gemeinde darf eine derartige wirtschaftliche Unternehmung nur betreiben, wenn dies den Grundsätzen der Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit entspricht. (2) Die Unternehmungen sind nach kaufmännischen Grundsätzen zu führen. (3) Die Tarife und die sonstigen allgemeinen Vertragsbedingungen der Unternehmungen sind durch den Gemeinderat festzusetzen. (4) Dem Gemeinderat obliegt es, den Wirtschaftsplan und die Jahresrechnung der Unternehmungen festzustellen. 86 Abs 7 bis 9 gilt sinngemäß. 6

7 (5) Der Wirtschaftsplan ist die Grundlage für die Gebarung der Unternehmungen der Gemeinde für das kommende Wirtschaftsjahr. (6) Investitionen, die abweichend vom Wirtschaftsplan und in Überschreitung seiner Ansätze getätigt werden, bedürfen der Zustimmung des Gemeinderates. (7) Abs 1 gilt in gleicher Weise, wenn die Gemeinde wirtschaftliche Unternehmungen mit eigener Rechtspersönlichkeit betreibt oder sich an solchen Unternehmungen beteiligt 92 Kontrollausschuss (1) Die Gebarung der Gemeinde einschließlich der Unternehmungen der Gemeinde ohne eigene Rechtspersönlichkeit und der von der Gemeinde verwalteten Stiftungen und Fonds ist durch den Kontrollausschuss auf ihre ziffernmäßige Richtigkeit, auf ihre Zweckmäßigkeit, Sparsamkeit, Wirtschaftlichkeit und Übereinstimmung mit den bestehenden Rechtsvorschriften zu überprüfen. Der Kontrollausschuss hat nach diesen Grundsätzen auch jene Institutionen wie wirtschaftliche Unternehmungen, Vereine und kulturelle Vereinigungen zu prüfen, a) an denen die Gemeinde beteiligt ist, soweit die auf dem Beteiligungsverhältnis beruhenden Einwirkungsmöglichkeiten der Gemeinde eine derartige Prüfung ermöglichen, oder b) die die Gemeinde fördert, soweit sich die Gemeinde die Kontrolle vorbehalten hat oder - wenn kein derartiger Vorbehalt vereinbart wurde - die Institution mit dieser Kontrolle einverstanden ist. (1a) Der Kontrollausschuss hat einen Bericht zum Rechnungsabschluss zu erstatten. Darin ist jedenfalls dazu Stellung zu nehmen, ob die während des vergangenen Finanzjahres tatsächlich angefallenen voranschlagswirksamen Einnahmen und Ausgaben von den veranschlagten Voranschlagsbeträgen abweichen und ob 87 Abs 2 bis 4 eingehalten worden ist. (2) Der Bürgermeister und die sonstigen Mitglieder des Gemeindevorstandes sowie deren Ersatzmitglieder und die Mitglieder des Gemeinderates, die auch Bedienstete der Gemeinde sind, dürfen nicht Mitglieder des Kontrollausschusses sein. (3) Der Bürgermeister hat dafür Sorge zu tragen, dass während der Sitzungen des Kontrollausschusses den Mitgliedern dieses Ausschusses ein fachkundiger Bediensteter der Gemeinde zur Erteilung von Auskünften ständig zur Verfügung steht. 7

8 21. Abschnitt-Aufsicht des Landes 96 Allgemeines (1) Das Land hat das Aufsichtsrecht über die Gemeinde dahingehend auszuüben, dass diese bei Besorgung des eigenen Wirkungsbereiches aus dem Bereich der Landesvollziehung die Gesetze und Verordnungen nicht verletzt, insbesondere ihren Wirkungsbereich nicht überschreitet, und die ihr gesetzlich obliegenden Aufgaben erfüllt. (2) Das Aufsichtsrecht ist durch die Landesregierung auszuüben, soweit durch Gesetz nicht anderes bestimmt ist. (3) Die Aufsichtsmittel sind unter möglichster Schonung der erworbenen Rechte Dritter zu handhaben. (4) Die Bestimmungen dieses Abschnittes gelten sinngemäß für die Aufsicht über die Gemeindeverbände, soweit gesetzlich nicht anderes bestimmt ist und soweit es sich nicht um Gemeindeverbände nach Bundesrecht handelt. 97 Auskunftsrecht der Landesregierung (1) Die Landesregierung ist berechtigt, sich im Weg des Bürgermeisters über jedwede Angelegenheit der Gemeinde zu unterrichten. (2) Die Organe der Gemeinde sind verpflichtet, der Landesregierung im Rahmen der ihnen obliegenden Aufgaben die im Einzelfall verlangten Auskünfte zu erteilen und Prüfungen an Ort und Stelle vornehmen zu lassen. 100 Aufhebung von Bescheiden, Beschlüssen und sonstige Maßnahmen der Gemeindeorgane, Nichtigerklärung (1) Außer den Fällen der 95 und 99 können rechtskräftige Bescheide sowie Beschlüsse oder sonstige Maßnahmen der Gemeindeorgane, die den Wirkungsbereich der Gemeinde überschreiten oder Gesetze oder Verordnungen verletzen, von der Aufsichtsbehörde von Amts wegen oder über Antrag aufgehoben werden. (2) Nach Ablauf von drei Jahren können jedoch Bescheide aus den Gründen der Erlassung durch eine unzuständige Behörde oder durch eine nicht richtig zusammengesetzte Kollegialbehörde nicht mehr aufgehoben werden. Diese Frist beginnt mit der Zustellung der schriftlichen Ausfertigung des Bescheides, im Fall bloß mündlicher Verkündung mit dieser. (3) Soweit gesetzlich nicht anderes bestimmt ist, obliegt der Landesregierung auch die Nichtigerklärung von Bescheiden und sonstigen Beschlüssen von Gemeindeorganen. Nach 8

9 Ablauf von drei Jahren darf eine Nichtigerklärung nicht mehr erfolgen. Abs 2 letzter Satz gilt in gleicher Weise. 102 Überprüfung der Gebarung (1) Die Landesregierung hat das Recht, die Gebarung der Gemeinde auf ihre Sparsamkeit, Wirtschaftlichkeit und Zweckmäßigkeit zu überprüfen. (2) Das Ergebnis der Überprüfung ist dem Bürgermeister zu übermitteln. (3) Der Bürgermeister hat den Prüfungsbericht dem Gemeinderat vorzulegen und innerhalb von drei Monaten der Landesregierung die auf Grund des Prüfungsergebnisses getroffenen Maßnahmen mitzuteilen. 104 Genehmigungsvorbehalte (1) Der Genehmigung der Landesregierung bedürfen nachstehende Rechtsgeschäfte der Gemeinde: a) die Aufnahme von Darlehen und der Abschluss von Leasingverträgen, ausgenommen für Angelegenheiten der laufenden Verwaltung; b) die Übernahme von Bürgschaften und sonstigen Haftungen; c) die Veräußerung oder Belastung von unbeweglichem Gemeindevermögen, das ganz oder teilweise mit Landesmitteln oder mit Bedarfszuweisungen erworben wurde; d) die Errichtung von Kapitalgesellschaften einschließlich der Änderung von Gesellschaftsverträgen sowie der Beitritt zu Kapitalgesellschaften. (2) Unter die Genehmigungspflicht nach Abs 1 lit a fallen nicht Darlehen, die vom Bund, vom Land oder von einem von ihnen eingerichteten Fonds zu Förderungszwecken gewährt werden. (3) Unter die Genehmigungspflicht nach Abs 1 lit c fallen nicht: a) die Abschreibung von Trennstücken gemäß 13 bis 22 des Liegenschaftsteilungsgesetzes, BGBl Nr 3/1930, in der geltenden Fassung, auf Grund eines Anmeldungsbogens (einer Beurkundung) der Vermessungsbehörde; b) die Einräumung einer Dienstbarkeit der Errichtung, der Erhaltung und des Betriebes von Leitungen, die dem Fernmeldewesen oder der Energieversorgung dienen, auf gemeindeeigenen Grundstücken. (4) Die Genehmigung ist zu versagen, wenn durch das beabsichtigte Rechtsgeschäft gesetzliche Bestimmungen verletzt werden oder wenn das beabsichtigte Rechtsgeschäft für die Gemeinde mit einer unverhältnismäßig hohen Belastung verbunden ist und wenn im Fall des Abs 1 lit c die Veräußerung oder Belastung von unbeweglichem Vermögen den öffentlichen 9

10 Interessen zuwiderlaufen würde, die zur Beistellung von Landesmitteln oder von Bedarfszuweisungen für den Erwerb dieses unbeweglichen Vermögens geführt haben. Eine unverhältnismäßig hohe Belastung liegt jedenfalls vor, wenn durch das Zustandekommen des Rechtsgeschäftes infolge einer dauernden Schmälerung des Gemeindevermögens die Erfüllung der Aufgaben der Gemeinde nicht mehr gewährleistet wäre. In den Fällen des Abs 1 lit d ist die Genehmigung zu versagen, wenn die Grundsätze der Wirtschaftlichkeit, Sparsamkeit und Zweckmäßigkeit nicht gewahrt sind; dies ist insbesondere der Fall, wenn die Leistungen der Gemeinde nicht in einem angemessenen Verhältnis zur Leistungsfähigkeit der Gemeinde und zum voraussichtlichen Bedarf stehen. (5) Genehmigungspflichtige Rechtsgeschäfte der Gemeinde (Abs 1) einschließlich von Maßnahmen der Gemeinde nach Abs 1 lit d werden erst mit der Genehmigung der Landesregierung rechtswirksam. Der Umstand, dass ein Rechtsgeschäft der aufsichtsbehördlichen Genehmigung bedarf, und die im vorstehenden daran geknüpfte Rechtsfolge sind in jeder über ein solches Rechtsgeschäft verfassten Urkunde anzuführen. Eine grundbücherliche Einverleibung eines der aufsichtsbehördlichen Genehmigung bedürftigen Rechtsgeschäftes nach Abs 1 ist nur zulässig, wenn die aufsichtsbehördliche Genehmigung vorliegt. Eine in Erfüllung eines nach Abs 1 der aufsichtsbehördlichen Genehmigung bedürftigen Rechtsgeschäftes durchgeführte Übergabe ist rechtsunwirksam, solange die Genehmigung nicht erteilt ist Wirksamkeit der Gemeindeaufsicht und der Kontrolleinrichtungen Eine inhaltliche Betrachtung der oa. Gesetzesstellen zeigt, dass mit Ausnahme der Bestimmungen der 91 (Unternehmungen) und 104 (Genehmigungsvorbehalte) K-AGO eine einsetzende Prüfung oder Kontrolle immer erst ex-post erfolgt, wodurch ein möglicher finanzieller Schaden oder wirtschaftlicher Nachteil nicht mehr verhindert werden kann (nachgängige Prüfung). Diese Risiken können aber dadurch minimiert werden, wenn interne Kontrollsysteme (IKS) in den kommunalen Verwaltungsbereichen wirksam eingerichtet sind. Gleichzeitig würden dadurch aufsichtsbehördliche Verfahren und Gebarungsprüfungen erleichtert und beschleunigt werden. Derzeit bestehen jedoch keine gesetzlichen Regelungen für die Einrichtung interner Kontrollsysteme. Nach internationalen Standards wird ihr Bestehen in modernen und wirksamorientierten Verwaltungen bereits vorausgesetzt*. * )Bei der Verwendung von EU-Förderungsmitteln wird ohne dies vom Bestand interner Kontrollsysteme ausgegangen. 10

11 2. Interne Kontrollsysteme 2.1. Definition Das Interne Kontrollsystem (IKS) ist ein Managementinstrument zur systematischen Sicherstellung der Zielerreichung in den Bereichen "Prozesse", "Informationen", "Vermögensschutz" und "Compliance". Das IKS umfasst daher alle dafür von der Organisations- bzw. Geschäftsleitung planmäßig angeordneten organisatorischen Methoden, Maßnahmen, Regelungen und Aktivitäten. Die nachfolgend beschriebene mögliche IKS-Struktur basiert auf dem COSO-Modell.* *) COSO: Committee of Sponsoring Organisations of the Treadway Commission, eine Gruppe von verschiedenen Organisationen für Rechnungsführung hat COSO eine wertvolle Studie in Sachen interne Kontrolle unter dem Titel Internal Control Integrated Framework veröffentlicht. Die Studie wird oft als der COSO Report bezeichnet. Das COSO-Modell zeigt die Managementstandards zur systematischen Sicherstellung von Zielerreichungen auf und beschreibt die Sachverhalte und Beziehungen zwischen den verschiedenen Komponenten eines IKS IKS-Ziele Effektivität und Effizienz von Geschäftsprozessen Zuverlässigkeit und Vollständigkeit von finanziellen und operationellen Informationen (Ordnungsmässigkeit)* Sicherung des Betriebsvermögens (materielle Werte, Know-how, Haushaltsrechnung) Einhaltung von Gesetzen, Bestimmungen und Verträgen (Compliance) *) Die Ordnungsmässigkeit in finanziellen, administrativen und operativen Geschäftsabläufen wird durch die vollständige Erfüllung folgender Kriterien sichergestellt: Nachvollzieh-/Prüfbarkeit, Zeitliche Korrektheit, Vollständigkeit, Sachliche und formelle Richtigkeit, Systematische Dokumentation und Transparenz 2.3. IKS-Faktoren Die Qualität der Internen Kontrollsysteme basiert auf folgenden, miteinander vernetzten Faktoren und wird (z.b. im Rahmen von Revisionen) danach beurteilt: Internes Umfeld Risikoanalyse Steuerungs- und Kontrollmaßahmen Information und Kommunikation System-Überwachung (IKS-Monitoring) 3. Aufgabe und Verantwortung Die Überwachung des betrieblichen Geschehens zur Sicherstellung der Zielerreichung und der Beherrschung der Risiken ist eine unabdingbare, nicht delegierbare Managementaufgabe. Interne Kontrollsysteme sind daher Basisinstrumente zur Wahrnehmung der 11

12 betriebswirtschaftlichen Führungsverantwortung sowie der Aufsichtspflicht. Die oberste Leitung der Organisation trägt für den Aufbau, die Systematisierung und die Anordnung des IKS sowie für die Sicherstellung der dauernden Wirksamkeit die Hauptverantwortung. Die Geschäfts- bzw. Dienstabteilungsleitungen sind für die operative Umsetzung dieser Führungsaufgabe gegenüber der oa. Stellen verantwortlich. COSO 4. IKS-Aufbau, -Systematisierung und -Faktoren Die Gestaltung eines IKS verlangt daher eine planmäßige Vorgehensweise. Steuerungs- und Kontrollmaßnahmen sind in der einen oder anderen Form zwar in allen Institutionen/Geschäftsformen mehr oder weniger vorhanden. Die gewünschte Effektivität und Effizienz im IKS-Bereich kann allerdings ohne Systematik nicht erreicht werden. (International setzte sich in diesem Bereich zb. das COSO-Modell durch. Die Finanzkontrolle der Stadt Zürich empfiehlt dieses Modell für den Aufbau und die Systematisierung von Internen Kontrollsystemen und wendet es selber bei IKS-Prüfungen an) COSO 4.1. Erläuterung IKS-Faktoren (nach COSO) Internes Umfeld Das Interne Umfeld ist als "weicher Faktor" die Basis aller anderen IKS-Faktoren. Es umfasst die allgemeine Einstellung, das Bewusstsein sowie die Maßnahmen der Führungskräfte betreffend der Unternehmensüberwachung und beeinflusst das Kontrollverständnis der Mitarbeitenden. Bestandteil ist auch die Wahrnehmung und das Führungsverhalten der Organisationsleitung im Hinblick auf interne Steuerung und Kontrolle Kriterien (zur Beurteilung) des Internen Umfeldes Management-Philosophie Einstellung zur Korruptionsprophylaxe Ethische Werte und Kompetenz der Leitung und der MitarbeiterInnen Art, wie das Management Aufgaben, Kompetenz und Verantwortung zuweist, Integrität Führungsstil Organisation Qualitätssicherung Entwicklung 4.2. Risikoanalyse Im Rahmen der Risikoanalyse werden die relevanten Risiken identifiziert, beurteilt und die Behandlung (verhindern, reduzieren, umgehen, versichern etc.) festgelegt (Reflexion der Management-Philosophie). 12

13 4.3. Vorgehensweise - Definition der Geschäfts(Tätigkeits)bereiche und Unternehmensziele - Geschäftsprozesse und Prozessziele definieren - Risiken identifizieren, die die Zielerreichung be-/verhindern können Die Risikoidentifizierung wird nach den IKS-Zielsetzungen strukturiert: - Effektivität und Effizienz von Geschäftsprozessen (input outcome) - Zuverlässigkeit und Vollständigkeit von finanziellen und operativen Informationen (Ordnungsmässigkeit) - Sicherung des Betriebsvermögens (materielle Werte, Know-how, ) - Einhaltung von Gesetzen, Bestimmungen und Verträgen - Beurteilung dieser Risiken (Relevanz, Eintrittswahrscheinlichkeit, Entdeckungswahrscheinlichkeit, Behandlung) - Steuerungs-/Kontrollmaßnahmen zur Beherrschung der Risiken festlegen Steuerungs- und Kontrollmaßnahmen Mit der Einrichtung der Steuerungs-/Kontrollmaßnahmen (Umsetzung der Ergebnisse der Risikoanalyse und der Definition von Kontrollzielen) sollen die Risiken beherrscht und die Erreichung der Geschäftsziele sichergestellt werden Information und Kommunikation Mit der Bereitstellung adäquater Informationen und Informationssysteme ist sicherzustellen, dass das Personal im Organisationsgefüge seine Aufgaben und Entscheidungen mit dem nötigen Kenntnisstand wahrnehmen bzw. treffen kann. Durch geeignete Kommunikation muss die Verteilung der Informationen und das MitarbeiterInnen- Verständnis für deren Kontrollaufgabe und -verantwortung sichergestellt werden. Zudem sind Kommunikationskanäle einzurichten, mit denen Angelegenheiten von Kunden, Lieferanten und MitarbeiterInnen erfasst und innerhalb nützlicher Frist behandelt werden können (externe und interne Information ist eine Bringschuld nach allen Richtungen) System-Überwachung (IKS-Monitoring) Durch die Einrichtung einer systematischen, prozessunabhängigen Überprüfung ist die Aktualität, Zweckmäßigkeit und dauernde Wirksamkeit des Internen Kontrollsystems sicherzustellen. Zielgerichtete IKS-Einrichtungen schaffen die Voraussetzungen für ein wirksames Unternehmenscontrolling. 13

14 COSO 5. IKS-Grundlagen Aufgabe und Verantwortung von Organisationsleitungen im Zusammenhang mit IKS werden in der Schweiz (noch) nicht generell auf Gesetzesstufe geregelt, sie sind jedoch in der Betriebswirtschafts- und der Organisations- und Führungslehre sowie der Fachliteratur definiert und in den anerkannten Revisionsgrundsätzen* festgehalten und werden z.b. für den Verwaltungsrat von AG im Obligationenrecht grundsätzlich angesprochen. *) Code of ethics and auditing standards, INTOSAI, (INTOSAI auditing standards), Internal Control Integrated Framework, COSO, 1992, Enterprise Risk Management Framework, COSO, (COSO ERM), Handbook of international auditing, assurance, and ethics pronouncements, IFAC, (IFAC), (In der Stadtverwaltung Zürich ist im Bereich Rechnungswesen das COSO-Modell als IKS-Struktur vorgeschrieben.) 6. Dokumentation SOLL-Zustand Der SOLL-Zustand des IKS wird idealerweise mit dem COSO-Modell erarbeitet und zentral anhand der COSO-Struktur dokumentiert (z.b. IKS- oder Organisationshandbuch) sowie von der Organisationsleitung angeordnet und kommuniziert. Die verschiedenen Funktionsbereiche bzw. die entsprechenden Prozesse sind auf die Möglichkeit und Wahrscheinlichkeit von Risiken zu untersuchen. Zur Minimierung der aufgrund der Risikoanalyse festgehaltenen Gefahren ist ein Steuerungs-/Kontrollmaßnahmen-Katalog zu erarbeiten. Zur Sicherstellung der vollständigen Umsetzung der Steuerungs- und Kontrollmaßnahmen sind diese mit Querverweisen auf die entsprechenden Prozesse, Kontrollpunkte bzw. anderen Instrumenten zu versehen (Beispiele von Steuerungs-/Kontrollmaßnahmen: Organigramme, Kompetenz-/Visaregelungen, Stellenbeschreibungen, 4-Augen-Prinzip, Funktionentrennung, übereinstimmende Zuweisung von Auftrag, Kompetenz und Verantwortung, Checklisten für Selbst- oder Vorgesetztenkontrolle, [elektronische] Plausibilitätstests, Zugriffberechtigungen, Formulare, Prozessabläufe, Kennzahlen, Controllingkonzepte, Leistungsvorgaben, Leistungsauswertungen etc.). SO OSO 7. Nachvollziehbarkeit IST-Zustand Die Einhaltung und Wirksamkeit Interner Steuerungs- und Kontrollmaßnahmen kann nur nachgewiesen werden, wenn ihre Ausführung nachprüfbar ist (Messbarkeit der Wirksamkeit oder des Erfolges). Diese Aktivitäten müssen daher durch zweckmäßige Aufzeichnungen (z.b. Checklisten, Abstimmungen), Vermerke oder Visa nachvollziehbar dokumentiert werden (Transparenz). 14

15 8. Grenzen des IKS Ein gut eingerichtetes IKS bietet weitgehenden Schutz vor Unregelmäßigkeiten, Fehlaussagen und dolosen Handlungen. Mögliche Lücken sind jedoch: Ungewöhnliche oder unregelmäßig anfallende Geschäfte/Vorfälle Missverständnisse oder Fehleinschätzungen Eingriffe leitender Instanzen in die Tätigkeit von Sachbearbeitern Absprachen von zwei oder mehreren Beteiligten in schädigender Absicht Nachlassende Aufmerksamkeit bzw. Nichteinhaltung angeordneter Kontrollen durch Routine oder Arbeitsüberlastung sowie als Folge technischer, wirtschaftlicher oder sozialer Veränderungen. Durch regelmäßige Überprüfung und Verbesserung des IKS (Systemüberwachung/IKS- Monitoring) sollen solche Schwachstellen verhindert werden. 9. Control Self Assessment (CSA) Beim Control Self Assessment (CSA) geht es darum, dass Unternehmen ihr IKS eigenverantwortlich (mit Unterstützung der Internen Revision) einer regelmäßigen, systematischen Selbstprüfung unterziehen (mit Checklisten, Fragebögen etc.). Die unabhängige (stichprobenmässige) Prüfung des IKS und gegebenenfalls des Self Assessments wird weiterhin durch die Interne Revision durchgeführt. 10. Beauftragung von Risikoprüfungen Top-down Ansatz Dieses Verfahren besteht darin, dass ein Team zusammengestellt wird, das alle Abläufe und Tätigkeiten einer Organisation in Bezug zu deren Zielsetzungen untersucht und die bestehenden Risiken identifiziert. Das Team führt eine Reihe von Interviews mit Mitarbeitern auf allen Organisationsebenen, um für das gesamte Spektrum von Tätigkeiten ein Risikoprofil zu erstellen und Strategiebereiche, Tätigkeiten und Funktionen mit hohem Risikopotenzial (einschließlich Betrugs- und Korruptionsrisiko) zu identifizieren Selbstbewertung von Risiken Dieses Verfahren baut auf dem Bottom-up Ansatz auf und besteht darin, dass jede Ebene und jeder Teilbereich einer Organisation aufgefordert wird, seine Tätigkeitsbereiche auf Risiken zu überprüfen und die Diagnose an die jeweils nächste Instanz zu melden. Die Durchführung erfolgt auf Basis eines übergreifenden Dokumentationsansatzes (wobei der 15

16 Diagnoserahmen durch einen Fragebogen vorgegeben wird) oder durch moderierte Workshops. Die beiden Ansätze schließen sich gegenseitig nicht aus, vielmehr ist eine Kombination der aus beiden Methoden gewonnenen Inputs wünschenswert, um die Identifizierung von organisationsweiten und auf bestimmte Tätigkeitsbereiche beschränkten Risiken zu erleichtern Risikoevaluierung Um Entscheidungen in Bezug auf eine wirkungsvolle Handhabung von Risiken treffen zu können, muss nicht nur grundsätzlich festgestellt werden, dass eine bestimmte Art von Risiko vorliegt, sondern es muss auch die Bedeutung des betreffenden Risikos und die Wahrscheinlichkeit des Eintretens beurteilt werden. Es gibt unterschiedliche Methoden zur Risikoanalyse, vor allem weil zahlreiche Risiken schwer zu quantifizieren sind (z.b. das Risiko für den Ruf oder anderer immaterieller Werte), während sich andere leicht beziffern lassen (speziell finanzielle Risiken) Risk-Rating Insbesondere immaterielle Werte und Inhalte lassen sich nur aus relativ und aus subjektiver Sicht bewerten. Dies macht die Risikoevaluierung mehr zu einer Kunst als einer Wissenschaft. Allerdings lässt sich die subjektive Natur dieser Beurteilung durch die systematische und konsequente Anwendung von Risk-Rating-Kriterien in einem gewissen Maß einschränken. Ein primärer Zweck der Risikoevaluierung besteht darin, dem Management Informationen über risikorelevante Bereiche, in denen Maßnahmen erforderlich sind, zu liefern, und diese Bereiche nach ihrer Priorität zu ordnen. Dazu bedarf es in der Regel eines Rahmens, in dem alle Risiken kategorisiert und, beispielsweise, als hoch, mittel oder niedrig eingestuft werden können. Generell ist zu empfehlen, die Anzahl dieser Kategorien gering zu halten, da eine zu ausgeprägte Differenzierung zu einer störenden Abgrenzung von Ebenen führen kann, die in Wirklichkeit nicht klar trennbar sind. Eine derartige Evaluierung schafft die Grundlage für eine Reihung der Risiken, auf deren Basis das Management Prioritäten setzt und liefert dem Management die nötige Information, um Beschlüsse fassen zu können, welchen Risiken mit Maßnahmen begegnet werden soll (z.b. den Risiken mit den potenziell gravierendsten Auswirkungen oder der höchsten Eintrittswahrscheinlichkeit). 16

17 10.4. Beurteilung der Risikobereitschaft der Organisation Ein wichtiger Aspekt für die Entwicklung einer Risikomanagementstrategie ist die Definition der Risikobereitschaft der betreffenden Körperschaft. Die Risikobereitschaft definiert das Risiko, das die Körperschaft einzugehen bereit ist, ohne Gegenmaßnahmen zu treffen. Entscheidungen in Bezug auf Risikomanagementmaßnahmen müssen im Zusammenhang mit der Feststellung des hinnehmbaren Risikos getroffen werden. Bei der Feststellung der Risikobereitschaft müssen inhärente und Restrisiken berücksichtigt werden. Das inhärente Risiko ist jenes Risiko, dem eine Organisation ohne Maßnahmen zur Reduktion der Auswirkungen oder der Eintrittswahrscheinlichkeit ausgesetzt ist. Das Restrisiko ist das nach Ergreifung von Maßnahmen verbleibende Risiko. Die Risikobereitschaft einer Organisation hängt von der den jeweiligen Risiken zugeordneten Bedeutung ab. Der hinnehmbare finanzielle Verlust, beispielsweise, hängt von einer Reihe von Aspekten ab, darunter auch dem Umfang des zur Verfügung stehenden Budgets, der Ursache des Verlustes oder allfälliger Folgerisiken, wie Rufschädigung. Die Feststellung der Risikobereitschaft hängt stark von subjektiven Faktoren ab, bildet aber in der Formulierung einer umfassenden Risikostrategie einen wichtigen Teilabschnitt Entwicklung von Risikomanagementstrategien Aus den bisher skizzierten Maßnahmen ergibt sich das Risikoprofil einer Organisation; dieses bildet die Basis für die Erarbeitung einer angemessenen Risikostrategie. Grundsätzlich gibt es vier unterschiedliche Risikomanagementansätze. In manchen Fällen kann Risiko übertragen, hingenommen oder vermieden werden. In den meisten Fällen wird es jedoch um eine Beschränkung des Risikos gehen. Um das Risiko auf ein akzeptables Niveau zu reduzieren, ist die Einrichtung und Führung eines wirksamen internen Kontrollsystems erforderlich. Der Zweck des Risikomanagements besteht vor allem in der Eindämmung und nicht so sehr im Ausschluss von Risiken. Die Verfahren, die eine Organisation zur Steuerung von Risiken entwickelt, werden als interne Kontrollmaßnahmen bezeichnet. Die Risikobeurteilung sollte bei der Wahl angemessener Kontrollmaßnahmen eine wichtige Rolle spielen. Hier sei noch einmal darauf hingewiesen, dass nicht alle Risiken ausgeschlossen werden können und dass interne Kontrollen nur hinlänglich gewährleisten, dass die Ziele der Organisation kontinuierlich 17

18 erreicht werden. Allerdings sind Körperschaften mit einem aktiven, auf die laufende Identifizierung und Beschränkung von Risiken abgestellten Risikomanagementansatz besser auf das mögliche Auftreten von Risiken und Veränderungen im Allgemeinen vorbereitet und auch rascher reaktionsfähig, wenn tatsächlich einmal etwas schief gehen sollte. In der Ausgestaltung des internen Kontrollsystems ist es wichtig, darauf zu achten, dass die jeweilige Kontrolltätigkeit in einem angemessenen Verhältnis zum Nutzen steht, der durch Begrenzung des betreffenden Risiko erzielt wird. Mit Ausnahme extrem unerwünschter Folgen genügt es in der Regel Kontrollen einzurichten, die hinlänglich gewährleisten, dass ein allfälliger Verlust im Rahmen der Risikobereitschaft der Organisation bleibt Jede Kontrolle verursacht Kosten - und der Nutzen? Im Fall mancher Risiken besteht die beste Strategie in der Übertragung des Risikos. Dies kann durch konventionelle Versicherungen oder sonstige entgeltliche Übertragung an Dritte oder durch vertragliche Regelungen geschehen. Für manche Risiken lassen sich keine oder nur bedingt Beschränkungsmaßnahmen treffen, oder die Kosten dieser Maßnahmen stehen in keinem realistischen Verhältnis zum möglichen Nutzen. In diesen Fällen liegt der sinnvollste Ansatz möglicherweise in der Hinnahme des Risikos. Manche Risiken können nur auf ein akzeptables Niveau reduziert werden, indem die entsprechende Tätigkeit vermieden wird. Im öffentlichen Sektor ist die Möglichkeit zur Vermeidung von Tätigkeiten im Vergleich zum privaten Sektor möglicherweise stark eingeschränkt. Es gibt eine Reihe von Tätigkeiten, die gerade deshalb dem öffentlichen Sektor übertragen wurden, weil die inhärenten Risiken so hoch sind, dass der für das Gemeinwohl erforderliche Nutzen nur auf diese Weise erzielt werden kann (Beamtendienstrecht, Diensteid). Das Arbeits- und Betriebsumfeld öffentlicher Verwaltungseinrichtungen befindet sich auf Grund von Veränderungen im administrativen und regulativen Umfeld und der volkswirtschaftlichen und konjunkturellen Rahmenbedingungen in ständigem Wandel. Dadurch ändert sich auch die Priorität von Zielsetzungen und das Risikoumfeld einer Organisation laufend, wodurch sich wiederum die Bedeutung der Risiken verlagert und verändert. Daher sollte die Risikobeurteilung ein permanenter, sich ständig wiederholender Prozess sein, in dessen Rahmen geänderte Bedingungen erhoben und analysiert (Risikobeurteilungszyklus) und, wo erforderlich, Maßnahmen eingeleitet werden. Die Risikoprofile und damit zusammenhängenden Kontrollen müssen regelmäßig überprüft und revidiert werden, um sicherzustellen, dass das Risikoprofil seine Gültigkeit behält, das 18

19 Risikomanagement gezielt und angemessen bleibt, und die Kontrollen zur Steuerung der Risiken trotz der Veränderungen in der Risikolandschaft ihre Wirksamkeit behalten. 11. Aufdeckende und vorbeugende Kontrollmaßnahmen Die Kontrolltätigkeiten umfassen die von einer Körperschaft zur Risikosteuerung und zur Erreichung der Organisationsziele eingesetzten Strategien und Verfahren. Um ihre Wirksamkeit zu gewährleisten, müssen die Kontrolltätigkeiten angemessen sein, über den gesamten Zeitraum hinweg kontinuierlich und nach Plan eingesetzt werden, weiters müssen sie kostengünstig, umfassend und sinnvoll sein und sich direkt auf die Kontrollziele beziehen. Kontrolltätigkeiten fallen überall, auf allen Ebenen und in allen Aufgabenbereichen einer Organisation an. Sie umfassen aufdeckende und vorbeugende Kontrollmaßnahmen unterschiedlicher Natur.Nachstehende Bereiche sind hiefür jedenfalls geeignet: (1) Bevollmächtigungs- und Genehmigungsverfahren; (2) Aufgabentrennung (Genehmigung, Auswertung, Erfassung und Überprüfung); (3) Kontrolle über den Zugriff auf Ressourcen und Unterlagen; (4) Verifizierung; (5) Übereinstimmungsvergleich; (6) Leistungsüberprüfung; (7) Überprüfung der Arbeits- und Betriebsabläufe, Verfahren und Tätigkeiten; (8) Beaufsichtigung (Zuweisung, Überprüfung, Genehmigung, Anleitung und Training) Gleichgewicht zwischen aufdeckender und vorbeugender Kontrolle Die Körperschaften sollten für ein angemessenes Gleichgewicht zwischen aufdeckenden und vorbeugenden Kontrolltätigkeiten sorgen. Korrekturen und Verbesserungsmaßnahmen sind als notwendige Ergänzung der Kontrollen erforderlich, um sicherzustellen, dass die Kontrollziele erreicht werden. Die Kontrolltätigkeiten umfassen die für Risikomanagementzwecke eingesetzten Strategien und Verfahren, mit denen sichergestellt werden soll, dass die Organisationsziele erreicht werden. Um wirksam zu sein müssen Kontrollmaßnahmen: angemessen sein (richtige und dem Risiko angemessene Kontrolle am richtigen Ort); über den gesamten Zeitraum kontinuierlich und nach Plan durchgeführt werden (das heißt, sie werden von allen zuständigen Mitarbeitern sorgfältig eingehalten und in Abwesenheit von Aufsichtspersonen oder unter Arbeitsdruck nicht umgangen); 19

20 kostengünstig sein (das heißt, die Kosten der Kontrollen sollten den Nutzen nicht übersteigen); umfassend und sinnvoll sein und sich direkt auf die Kontrollziele beziehen Spezifität von Kontrollmassnahmen Die Kontrollmaßnahmen umfassen ein breites Spektrum an Strategien und Verfahren unterschiedlichster Natur Bevollmächtigungs- und Genehmigungsverfahren Geschäftsfälle und Vorgänge werden nur von Personen genehmigt und durchgeführt, die im Rahmen ihrer dienstlichen Befugnisse handeln. Die Genehmigung ist das wichtigste Instrument zur Sicherstellung, dass nur im Einklang mit den Absichten des Managements zulässige Maßnahmen und Vorgänge eingeleitet werden. Die Genehmigungsverfahren, die dokumentiert und den Führungskräften und Mitarbeitern in klarer Form bekannt gemacht werden sollten, sollen auf die speziellen Bedingungen hinweisen, unter denen die Genehmigungen zu erteilen sind. Die Bedingungen einer Bevollmächtigung einzuhalten bedeutet, dass die Mitarbeiter im Einklang mit den vom Management oder dem Gesetz vorgegebenen Richtlinien und Einschränkungen handeln Aufgabentrennung (Genehmigung, Auswertung, Erfassung und Überprüfung) Um das Risiko von Fehlern, Verschwendung oder unrechtmäßigem Handeln und das Risiko, dass derartige Probleme nicht aufgedeckt werden, zu reduzieren, sollte nie eine Person oder ein Team allein für alle Schlüsselfunktionen eines Geschäftsfalls oder Vorgangs zuständig sein. Vielmehr sollten die Aufgaben und Zuständigkeiten systematisch unter einer Anzahl von Einzelpersonen aufgeteilt werden, um wirksame gegenseitige Kontrollen sicherzustellen. Zu den Schlüsselfunktionen zählen die Genehmigung und Erfassung von Geschäftsfällen und deren Abwicklung, Überprüfung oder Revision. Geheime Absprachen können jedoch die Wirksamkeit dieser internen Kontrollen reduzieren oder zunichte machen. Eine kleine Körperschaft hat unter Umständen nicht genügend Mitarbeiter, um diese Kontrollen in vollem Umfang umzusetzen. In solchen Fällen ist das Management gefordert, sich die Risiken bewusst zu machen und andere ausgleichende Kontrollen einzusetzen. Eine möglicherweise hilfreiche Maßnahme besteht in einer Mitarbeiterrotation. Dadurch kann verhindert werden, dass eine Person allein über ungebührlich lange Zeiträume mit allen Schlüsselfunktionen in Bezug auf Geschäftsfälle und Vorgänge betraut ist. Darüber hinaus kann es zum Zweck der 20

21 Risikobeschränkung auch nützlich sein, die Mitarbeiter zur Inanspruchnahme von Fortbildungsreihen anzuregen bzw. diese vorzuschreiben, um so eine vorübergehende Aufgabenrotation zu bewirken Kontrolle über den Zugriff auf Ressourcen und Unterlagen Der Zugriff auf Ressourcen und Unterlagen ist auf einen befugten Personenkreis zu beschränken, der für deren Verwahrung und/oder Verwendung verantwortlich ist. Die Verantwortung für die Verwahrung wird durch Belege, Inventarlisten oder sonstige Aufzeichnungen, welche die Übernahme oder die Übertragung zur Verwahrung belegen, dokumentiert. Durch die Einschränkung des Zugriffs auf die Mittel wird das Risiko einer unbefugten Verwendung bzw. von Verlusten für die öffentliche Hand verringert und gleichzeitig dazu beigetragen, dass den Richtlinien des Managements Folge geleistet wird. Der Grad der Einschränkung hängt vom Gefährdungsgrad der Mittel und dem erkennbaren Verlustrisiko ab; beide Risiken sollten in regelmäßigen Abständen neu beurteilt werden. Bei der Feststellung des Gefährdungsgrades eines Vermögenswertes sollten Aspekte wie Wert, Transportfähigkeit und Austauschbarkeit mit in Betracht gezogen werden Verifizierung Geschäftsfälle und Vorgänge werden vor und nach ihrer Abwicklung auf ihre Richtigkeit überprüft. Bei Lieferungen, zum Beispiel, wird die gelieferte Stückzahl mit der bestellten Stückzahl und die verrechnete Stückzahl mit der erhaltenen Stückzahl verglichen. Bestände werden durch Bestandsaufnahmen erhoben und überprüft Übereinstimmungsvergleich Aufzeichnungen werden in regelmäßigen Abständen mit der entsprechenden Dokumentation verglichen. So werden zum Beispiel Rechnungslegungsunterlagen, die sich auf Bankkonten beziehen, mit den entsprechenden Kontoauszügen verglichen (zb. IDEA 2006) Überprüfung der Betriebsleistung Die Betriebsleistung wird anhand einer Reihe von Maßstäben in regelmäßigen Abständen auf ihre Wirksamkeit und Wirtschaftlichkeit überprüft. Sollte die Leistungsüberprüfung ergeben, dass die tatsächliche Leistung den bestehenden Zielen und Maßstäben nicht entspricht, sollten die Verfahren und Maßnahmen zur Erreichung der Ziele überprüft werden, um festzustellen, ob Verbesserungen erforderlich sind. 21

22 Überprüfung der Arbeits- und Betriebsabläufe, Verfahren und Tätigkeiten Arbeits- und Betriebsabläufe, Verfahren und Tätigkeiten sollten in regelmäßigen Abständen überprüft werden, um zu gewährleisten, dass sie den geltenden Vorschriften, strategischen und operativen Vorgaben und sonstigen Erfordernissen entsprechen. Diese Art von Überprüfung der Tätigkeit einer Organisation sollte klar von der Überwachung der internen Kontrollen unterschieden werden Beaufsichtigung (Zuweisung, Überprüfung, Genehmigung, Anleitung und Training) Kompetente Beaufsichtigung trägt dazu bei, dass die Ziele der internen Kontrollen erreicht werden. Bei der Zuweisung, Überprüfung und Genehmigung der Tätigkeiten eines Mitarbeiters bedarf es: klarer Mitteilungen über die Aufgaben, Zuständigkeiten und Verantwortlichkeiten eines jeden Mitarbeiters; einer systematischen Überprüfungen der Arbeit eines jeden Mitarbeiters in dem jeweils erforderlichen Ausmaß; der Genehmigung zur Fortsetzung der Arbeiten an kritischen Punkten, damit gewährleistet ist, dass der Arbeitsablauf den vorgesehenen Verlauf nimmt. Wenn ein Vorgesetzter Tätigkeiten delegiert, sollte dies die Rechenschaftspflicht des Vorgesetzten für die übertragenen Zuständigkeiten und Aufgaben nicht verringern. Die Vorgesetzten müssen ihren Mitarbeitern auch die notwendige Anleitung und Schulung bieten, um so dazu beizutragen, dass Fehler, Verschwendung und Unrechtmäßigkeiten auf ein Minimum reduziert werden und die Anweisungen der Führungskräfte in ihrer Bedeutung verstanden und in die Praxis umgesetzt werden. Die oa. Liste ist nicht vollständig, sie umfasst jedoch die üblichsten vorbeugenden und aufdeckenden Kontrolltätigkeiten. Die Kontrollmaßnahmen 1-3 sind vorbeugender, 4-6 vorwiegend aufdeckender und 7-8 sowohl vorbeugender wie auch aufdeckender Natur. Eine Körperschaft sollte ein angemessenes Gleichgewicht zwischen aufdeckenden und vorbeugenden Kontrollmaßnahmen anstreben, wobei häufig eine Kombination verschiedener Kontrollen gewählt wird, um bestimmte Nachteile einzelner Kontrollmaßnahmen auszugleichen. Bereits eingeführte Kontrollmaßnahmen müssen auf ihre Wirksamkeit überprüft werden. Daher müssen sie durch Korrekturen und Verbesserungsmaßnahmen ergänzt werden. Die 22

23 Kontrolltätigkeiten sind außerdem nur eine Komponente des internen Kontrollsystems. Sie sollten daher mit den übrigen Komponenten des Systems in ein Ganzes integriert werden. 12. Kontrolltätigkeiten im Bereich Informationstechnologie Informationssysteme erfordern spezielle Kontrollmaßnahmen. Bei IT-Kontrollen werden zwei Hauptgruppen unterschieden: Allgemeine Kontrollen Diese umfassen die für einen weitgesteckten Bereich gültigen Strukturen, Strategien und Verfahren, die dazu beitragen, ordnungsgemäße Arbeits- und Betriebsabläufe zu gewährleisten. Sie schaffen das Umfeld, in dem die Anwendungen betrieben und die Kontrollen durchgeführt werden. Die allgemeinen Kontrollen beziehen sich auf die für das gesamte IT- System einer Organisation oder einen großen Teilbereich wie Rechenzentrum, Kleincomputer, Netzwerk und Endbenutzerumfeld gültigen Strukturen, Strategien und Verfahren, die dazu beitragen, den ordnungsgemäßen Betrieb sicherzustellen. Zu den Hauptkategorien der allgemeinen Kontrollen zählen: Die organisationsweite Sicherheitsprogramm- und Sicherheitsmanagementplanung schaffen einen Rahmen für die Tätigkeiten im Bereich Risikomanagement, die Entwicklung von Sicherheitsstrategien, die Übertragung von Zuständigkeiten und die Überwachung der Angemessenheit der IT-Kontrollen in der Organisation und stellen die regelmäßige Durchführung der Kontrollen sicher, Zugriffskontrollen beschränken bzw. legen den Zugriff zu Computer- Ressourcen (Daten, Programmen, Ausrüstung und Anlagen) offen und schützen diese Betriebsmittel dadurch vor unbefugter Veränderung und Offenlegung oder Verlust. Die Zugriffskontrollen umfassen sowohl physikalische als auch logische Kontrollen, Kontrollen betreffend die Entwicklung, die laufende Pflege und den Austausch von Anwendungssoftware verhindern den Einsatz von nicht genehmigten Programmen oder Änderungen an bestehenden Programmen, 23

24 Systemsoftware- Kontrollen beschränken und überwachen den Zugriff auf leistungsstarke Programme und sensible Dateien, die zur Hardware-Steuerung und zur Sicherung von im System unterstützten Anwendungen dienen, Aufgabentrennung bezieht sich auf die Entwicklung und Einrichtung von Strategien, Verfahren und einer Organisationsstruktur, die verhindern, dass eine Person allein alle Schlüsselaspekte von ITbezogenen Arbeits- und Betriebsabläufen kontrolliert und dadurch unbefugten Maßnahmen oder unbefugtem Zugriff zu Vermögenswerten oder Aufzeichnungen Vorschub geleistet wird, und Servicekontinuität gewährleistet Unterstützung um sicherzustellen, dass kritische Operationen im Fall unerwarteter Ereignisse ohne Unterbrechung weitergeführt oder umgehend wieder aufgenommen werden können und kritische und sensible Daten geschützt bleiben Anwendungsspezifische Kontrolle Diese umfassen die für separate, individuelle Anwendungssysteme gültigen und unmittelbar auf einzelne elektronische Anwendungen bezogenen Strukturen, Strategien und Verfahren. Diese Kontrollen zielen im Allgemeinen darauf ab, Fehler und Unregelmäßigkeiten im Fluss der Informationen durch die IT- Systeme zu verhindern, aufzudecken und zu beheben. Allgemeine und anwendungsspezifische Kontrollen stehen in Wechselwirkung und sind beide erforderlich, um eine vollständige und fehlerfreie Informationsverarbeitung zu gewährleisten. Da sich die Informationstechnologie in einem rapiden Wandel befindet, müssen IT- Kontrollen generell laufend weiterentwickelt werden, um ihre Wirksamkeit garantieren zu können. Mit dem Fortschritt der Informationstechnologie wurden die öffentlichen Verwaltungseinrichtungen in ihren Arbeits- und Betriebsabläufen und der Verarbeitung, Sicherung und Weiterleitung wesentlicher Informationen zunehmend von elektronischen Informationssystemen abhängig. Die Zuverlässigkeit und Sicherheit elektronischer Daten und der Systeme zur Verarbeitung, Sicherung und Weiterleitung dieser Daten entwickelte sich damit zu einem bedeutenden Anliegen des Managements ebenso wie der Revisoren und Prüfer der Organisationen. Die Informationssysteme erfordern zwar ganz bestimmte Arten von Kontrollen, aber die Informationstechnologie bildet dennoch keinen für sich allein 24