Beantwortung der Forschungsfrage

• Externes Benchmarking

• Berechtigungsstufen

• Prozessmanagement

Die von den ExpertInnen angeführten Punkte hinsichtlich der Sicherstellung von Ord- nungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit können eindeutig durch die ge- wählten theoretischen Modelle bestätigt werden und sind Spiegel von noch nicht in jeder Feinheit, aber dafür in diversesten Ausprägungsstufen vorhandenen integrierten Ma- nagementansätzen. Dies beschreibt wiederum eine verknüpfte Ausprägung von Internem Kontrollsystem und Risikomanagement, welche in alle Unternehmensbereiche abstrahlt.

Durch die Überprüfung der Anwendbarkeit des hypothetischen Modells und die Bestäti- gung dessen auf Basis der analysierten empirischen Daten kann gesagt werden, dass die 100 Prozent-Tochtergesellschaften des Bundes zur Sicherstellung der Ordnungsmäßig- keit, Wirtschaftlichkeit und Gesetzmäßigkeit im Bereich des Finanz- und Risikocontrol- lings das Three Lines of Defense Modell und das COSO-Rahmenwerk nutzen. Bei erste- rem sind in sämtlichen befragten Organisationen alle drei Verteidigungslinien implemen- tiert, wobei die Prüfungen des Rechnungshofs in manchen Bereichen als zusätzliche vierte Linie (externe Audits) verstanden werden können. Hinsichtlich des COSO- Rahmenwerks nutzt der Großteil der befragten Verwaltungseinheiten die COSO- Zielkategorien, während die restlichen Organisationen angaben, dass ihr IKS die Ziele Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit nach dem Public Corporate Governance Kodex verfolgt. Die Komponenten des COSO-Rahmenwerks sind (mit Aus- nahme von Information and Communication, welche in einer Organisation nicht vollstän- dig implementiert ist) in den befragten Organisationen integriert. Das in dieser Arbeit vor- gestellte hypothetische Modell wird daher von den Unternehmen angewendet, um die notwendigen Daten zu überprüfen, welche in das Finanz- und Risikocontrolling des Bun- des eingemeldet werden müssen. Die wichtigsten Aspekte hinsichtlich der Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit wurden von den einzel- nen befragten Personen unterschiedlich eingeschätzt, wobei Antworten wie das Mehr- Augen-Prinzip, ein passendes IT-System, Kontrollen, Risikomanagement und auch das Bewusstsein der MitarbeiterInnen über das IKS und deren Mittragen der notwendigen Maßnahmen und Methoden sich häuften. Es kann daher zusammengefasst werden, dass staatsnahe Organisationen das COSO-Rahmenwerk und das Three Lines of Defens Mo- dell mit Einflüssen hinsichtlich Werten und Vorgaben durch den Public Corporate Gover- nance Kodex nutzen, um die Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit im Bereich des Finanz- und Risikocontrollings sicherzustellen. Dabei bestehen unter- schiedliche Schwerpunkte und Ausprägungsgrade, die durch die Unternehmensgröße, die Branche und historische Gegebenheiten begründet sein könnten.

6 CONCLUSIO

Im Zuge dieser Arbeit sollte mit Hilfe eines eigens erstellten hypothetischen Modells überprüft werden, inwiefern 100 Prozent-Tochtergesellschaften die Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit des Finanz- und Risikocontrollings sicherstellen.

Das hypothetische Modell setzt sich dabei aus den Zielkategorien und Komponenten des COSO-Rahmenwerks und dem Three Lines of Defense Modell zusammen. Den Hinter- grund dazu bildet das Wissen, dass staatsnahe Organisationen im Rahmen des Finanz- und Risikocontrollings des Bundes kontrolliert werden und diesbezüglich quartalsmäßig laut BHG §67 an das BMF berichten müssen. Dies soll die Kontrollfunktion des Staates über seine Töchter gewährleisten, welche aufgrund des staatlichen Auftrags aus einer gewissen Aufgabenerbringung hervorgeht. Der Public Corporate Governance Kodex, dem auch staatsnahe Organisationen unterliegen, sowie das Bundeshaushaltsgesetz und selbstverständlich je nach Organisation auch das GmbH- und Aktiengesetz bilden hier die Richtschnur für Unternehmen, um die Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit zu gewährleisten. Dies wird durch die Implemen- tierung eines IKS, eines Risikomanagementmodells und in manchen Fällen eines inte- grierten Managementansatzes in den Einzelunternehmen umgesetzt.

Im Verlauf der Forschung wurden das IKS und das Risikomanagement von vierzehn staatsnahen Unternehmen anhand dieses Modells überprüft und es konnte festgestellt werden, das alle befragten Organisationseinheiten die drei Verteidigungslinien implemen- tiert haben. Die 1^st Line of Defense stellt dabei ein Internes Kontrollsystem für die operati- ven Prozesse dar, die 2^nd Line of Defense das Risikomanagement und die 3^rd Line of De- fense die Interne Revision. Alle diese Aspekte sind bei den befragten Unternehmen vor- handen. Auch die optionale 4^th Line of Defense ist in Ansätzen, z.B. durch die Prüfungen des Rechnungshofs und die Prüfung der Rechnungslegungsprozesse durch die Wirt- schaftsprüfung vorhanden. Hinsichtlich des COSO-Rahmenwerks können die Zielkatego- rien Operations, Reporting und Compliance im Großteil der Organisationen beobachtet werden. Andere Unternehmen richten sich hier nach den Grundsätzen des Public Corpo- rate Governance Kodex Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit. Die Komponenten des COSO-Rahmenwerks sind mit Ausnahme eines Unternehmens im Bereich Information and Communication ganzheitlich in den Organisationen verankert.

Somit kann geschlossen werden, dass 100 Prozent-Töchter des Staates das Three Lines

of Defense Modell und das COSO-Rahmenwerk in unterschiedlichen Ausprägungsstufen zur Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit des Finanz- und Risikocontrollings und der Einmeldungen dessen in das Beteiligungscontrol- ling des Bundes anwenden. An dieser Stelle kann weiters angemerkt werden, dass es durchaus überraschend war, eine solch breite Abdeckung der Elemente des hypotheti- schen Modells in den 100 Prozent-Töchtern des Staates zu vermerken, da nicht alle sich hinsichtlich der eigenen Umsetzung auf COSO oder die Three Lines of Defense berufen.

Dies wird beispielsweise auch durch den erhobenen Zielen des IKS bewiesen, welche von einigen Organisationen anhand des Public Corporate Governance Kodex und nicht anhand des COSO-Rahmenwerks beschrieben wurden. Allerdings sind die Komponenten von COSO weitgehend nachhaltig umgesetzt, was auf eine Verankerung eines ganzheit- lichen Internen Kontrollsystems schließen lässt.

Bei den Interviews konnten in Bezug auf die einzelnen Fragen Unterschiede zwischen den verschiedenen Organisationen beobachtet werden, welche an dieser Stelle be- schrieben werden sollen.

Auf die Frage nach einer/m IKS-Beauftragten in der Organisation konnten mehrheitlich positive Antworten festgehalten werden. Interessanterweise kann jedoch angemerkt wer- den, dass jene drei Unternehmen, welche für diesen Bereich keine eigenen Verantwortli- chen definieren konnten, einen integrierten Managementansatz verfolgen. Hier werden die Verantwortlichkeitsgrenzen hierarchisch losgelöst und gesamtheitlich in die Organisa- tion eingebunden. Dabei entsteht eine Aufbau- und Ablauforganisation, welche das Inter- ne Kontrollsystem in sich verankert hat und keine Zuständigkeit durch einzelne Personen definiert. Daher bleibt hier anzumerken, dass das Vorhandensein von IKS-Beauftragten allein nicht Rückschlüsse auf die Qualität des IKS zulässt. Hingegen kann es im Hinblick auf einen integrierten Managementansatz, welcher als effektivster Weg zur Umsetzung von IKS und Risikomanagement gesehen werden kann, sinnvoll sein, gehabte Organisa- tionsstrukturen aufzubrechen. Unternehmen, bei welchen Initiativen hinsichtlich der Im- plementierung eines ganzheitlichen Governancemodells spürbar sind, verfügen in einigen Fällen auch über ein ausgedehntes Berichtswesen. Hier wird nicht nur an den Aufsichts- rat und damit das Mutterressort als Eigentümer berichtet, sondern darüber hinaus besteht ein anlassbezogenes oder regelmäßiges Berichtwesen hinsichtlich der IKS, Kontrollen oder Risiken.

Allgemein konnte bei den befragten Organisationen beobachtet werden, dass mehr Res- sourcen und Initiativen im Risikomanagement sichtbar sind als im Bereich IKS. Dies zeigt sich beispielsweise darin, dass das Interne Kontrollsystem aufbauorganisatorisch bei

rund der Hälfte der befragten Organisationseinheiten beim Risikomanagement angesie- delt ist. Ein anderer Indikator hierfür wäre, dass die Identifikation der IKS-relevanten Pro- zesse bei fast allen befragten Unternehmen über Risikokriterien erfolgt. Den Fokus auf Risikomanagement zu legen ist für die Unternehmen aus wirtschaftlichen Gründen und hinsichtlich Aspekten wie Effektivität und Effizienz sinnvoll und in vielen Organisationen ist historisch gesehen schon länger ein Risikomanagementmodell in Anwendung als ein strukturiertes Internes Kontrollsystem. Jedoch ist der Ansatz der Präferierung des Risi- komanagements aus Modellsicht noch ausbaufähig. Im Zuge der Implementierung eines ganzheitlichen Governancemodells müsste das IKS sich durch die gesamte Organisation ziehen und das Risikomanagement damit verschmelzen. Demnach sollte optimalerweise das IKS eng mit dem Risikomanagement zusammenarbeiten, damit bei der Identifikation, Bewertung und Steuerung der Risiken keine Doppelgleisigkeiten entstehen. Dies kann auf Basis der Ergebnisse der Interviews für staatsnahe Organisationen als Verbesse- rungspotenzial gesehen werden.

Bezüglich der COSO-Komponenten konnten teils sehr innovative Ansätze unter den be- fragten Organisationen festgestellt werden. Besonders im Bereich Information and Com- munication klafft hier die Schere hinsichtlich des Umsetzungsstandes weit auseinander.

Während bei den meisten der befragten Organisationen Schulungen und Informationen für MitarbeiterInnen angeboten werden, sind diese in einigen Fällen nur bei Einstieg ins Unternehmen und in manchen Tätigkeitsbereichen vorgesehen. In anderen Unternehmen finden sich höchst innovative Ansätze mit E-Learning sowie eine anonyme Anlaufstelle für Probleme und Fragen zu Risiken und IKS. Hier kann klar abgeleitet werden, dass die Einbindung der MitarbeiterInnen in den Bereich IKS sehr divers abläuft. Diesbezüglich kann weiters erwähnt werden, dass jene Organisationen, welche vielfältige Informations- und Schulungsmöglichkeiten anbieten, auch das Mindset der MitarbeiterInnen zum IKS als wichtiges Element zur Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit sehen. Diese Tendenzen deuten wiederum in Richtung eines integrier- ten Managementansatzes, in welchem das Interne Kontrollsystem in der gesamten Orga- nisation pulsiert und von allen MitarbeiterInnen gelebt wird.

Auf Basis der erhobenen Ergebnisse kann hinsichtlich des hypothetischen Modells rück- geschlossen werden, dass dies auf die 100 Prozent-Töchter des Staates anwendbar ist und dessen Bereiche großteils von den Unternehmen implementiert sind. Durch diese Erkenntnisse kann argumentiert werden, dass das Modell sich als Richtschnur für staats- nahe Unternehmen anbietet, da es klare Vorgaben mit einer übersichtlichen Darstel- lungsweise verknüpft und die Bedürfnisse des öffentlichen Sektors widerspiegelt.

In den letzten Jahren kam verstärkt der Begriff „Good Governance“ im öffentlichen Be- reich zum Tragen. Dabei sollen durch Kriterienkataloge die Sicherstellung einer „guten“

Verwaltung für die BürgerInnen in der öffentlichkeitsnahen Verwaltung gewährleistet wer- den. Der Public Corporate Governance Kodex bildet dahingehend die erste vollständige Grundlage, die für die 100 Prozent-Töchter des Staates zur Anwendung kommt. Die all- gemein als gültig angesehenen Kriterien für gutes Regieren der EU-Kommission werden dort hinsichtlich der operativen Umsetzung näher erläutert. Das im Zuge dieser Arbeit erarbeitete Modell bildet ein weiteres Fundament für diesen Kriterienkatalog. Das Gover- nancemodell ist offen nach außen und lässt Raum für Bedürfnisse der KundInnen, des Marktes, der übergeordneten Ressorts und der Wirtschaft. Es wirkt partizipativ, da alle Unternehmensbereiche ins IKS einbezogen sind und als Gesamtheit Synergien hinsicht- lich des Umgangs mit Risiken, der Kontrollen in den Prozessen und letztendlich der ord- nungsmäßigen, wirtschaftlichen und gesetzmäßigen Einmeldungen in das Finanz- und Risikocontrolling des Bundes nutzen. Das Modell spiegelt Verantwortlichkeit wieder - Verantwortlichkeit im Umgang mit Steuergeldern, gegenüber der Organisation, den Ei- gentümerInnen und dem Bund allgemein. Es fördert die Effizienz des Unternehmens, da Risiken vermieden und Prozesse optimiert werden können. Außerdem kann die Kohärenz innerhalb der Organisation durch ein ganzheitliches Governancemodell sichergestellt werden, welches sich wiederum positiv auf wirtschaftliche Aspekte auswirkt. Die Umset- zung und Implementierung von Internen Kontrollsystemen als integrierter Management- ansatz ist weiterhin zu forcieren, beziehungsweise sollten die bestehenden Elemente soweit adaptiert werden, das dies als Ziel für jede Organisation gelten soll. Denn ein inte- grierter Managementansatz schafft eine globale Betrachtung von Risiken und keine In- selbetrachtung. Dies führt dazu, dass alle wesentlichen Risiken der Unternehmen ge- meinsam und einheitlich gesteuert werden können. Dadurch wird es möglich, dass Un- ternehmen auf Basis der Grundlagen des Three Lines of Defense Modells und des CO- SO-Rahmenwerks ihre Risiken auf Prozess-, als auch auf Unternehmensebene einheit- lich steuern können. Denn nur ein integrierter Ansatz im Risikomanagement, welcher alle Risiken in allen relevanten Unternehmensbereichen berücksichtigt, sorgt dafür, dass die Unternehmensleitung den integrierten Managementansatz mit dessen Komponenten In- ternes Kontrollsystem und Risikomanagementsystem als Steuerungsinstrument verwen- den kann.

Ausblick

Abschließend soll nun ein Ausblick hinsichtlich weiteren Forschungsbedarfs aufbauend auf dieser Arbeit skizziert werden. Als mögliche Forschungsfelder wären folgende anzu- merken:

• Überprüfung der Anwendbarkeit, des Nutzens und der Adäquatheit des hypotheti- schen Modells dieser Arbeit über einen Zeitraum von mehr als fünf Jahren.

• Korrelation der beiden Managementansätze von Internen Kontrollsystemen und Risikomanagement: Inwieweit können sich diese Systeme unterstützen und inwie- fern macht es Sinn, diese zu kombinieren?

• Welchen Nutzen stiften Interne Kontrollsysteme im Zeitablauf für die operative und strategische Ausrichtung eines Unternehmens?

• Ergeben sich durch die Anwendbarkeit des hypothetischen Modells dieser Arbeit neue zu betrachtende Aspekte hinsichtlich Steuerbarkeit und besserer Lenkbar- keit von staatsnahen Unternehmen, um eine gesetzliche Änderung des § 67 BHG herbeizuführen?

• Würde eine Implementierung beziehungsweise eine Kombination der gewählten Modelle, aus Internem Kontrollsystem und Risikomanagement einen Nutzenge- winn für die Planbarkeit, Lenkbarkeit und Steuerung der Ministerien der Republik Österreich generieren?

• Kann die Interne Revision eine Hilfestellung im Bereich von Internen Kontrollsys- temen hinsichtlich projektbegleitender Implementierungsunterstützung liefern?

Abschließend wäre anzumerken dass eine erneute Evaluierung hinsichtlich der Impleme- tierungstiefe von Internen Kontrollsystemen in staatsnahmen Unternehmen vom For- schungsteam als gewinnstiftend bewertet werden kann. Eine erneute Evaluierung mittels Reifegradmodellen könnte interessante Aspekte für die Gestaltbarkeit und Steuerbarkeit von Unternehmen durch integrierte Managementsysteme liefern. Unternehmenssteue- rung kann nur dann langfristig effizient und effektiv ablaufen, wenn alle Managementsys- teme in ein integriertes Managementsystem zusammengefasst werden und somit ein multiperspektivischer Ansatz im strategischen sowie operativen Management verfolgt wird.

Literaturverzeichnis

Beteiligungs- und Finanzcontrolling-Verordnung (2012). In: Bundesgesetzblatt Jahrgang 2012, Teil II, Nr. 511/2012. Fassung vom 21. September 2016.

BHG (2013). In: Bundesgesetzblatt 2013 Teil I Nr. 139/2009. Zuletzt geändert durch das Bundesgesetz 62/2012. Fassung vom 21. September 2016.

Börner, D. (1972): Kennzahlen als Hilfsmittel der Unternehmensführung. In: Rühle von Lilienstern, H. (Hg.): Die informierte Unternehmung. Beiträge aus Wissenschaft und Praxis für die Zukunftsgestaltung der Unternehmung. Berlin: E. Schmidt, S. 267-279.

Bundeskanzleramt Österreich (2012): Public Corporate Governance Kodex.

Grundsätze der Unternehmens- und Beteiligungsführung im Bereich des Bundes. Wien:

Bundeskanzleramt Österreich.

Bundesministerium für Finanzen (2015): Beteiligungen und Ausgliederungen des Bundes. Abgerufen am 24. September 2016 von

Burger A./ Buchhart A. (2002): Risiko-Controlling, München/ Wien: Oldenbourg Wissenschaftsverlag.

COCO - Canadian Institute of Chartered Accountants (CICA). “Guidance on con- trol.” 1995. Abgerufen am 9. Oktober 2016

Committee of Sponsoring Organizations of the Treadway Commission (2013): CO- SO Internal Control – Integrated Framework. Abgerufen am 15. August 2016 von

http://www.coso.org/documents/Internal%20Control-Integrated%20Framework.pdf Committee of Sponsoring Organizations of the Treadway Commission. (2004). Un- ternehmensweites Risikomanagement – Übergreifendes Rahmenwerk Abgerufen am 18.

Oktober 2016 von

http://www.google.com/url?sa=t&rct=j&q=&esrc=s&source=web&cd=1&ved=0CCACCAC CAQF-

jAAah_IiqvuXHAhXIVhQKHXpnAHY&url=http%3A%2F%2Fwww.coso.org%2Fdocuments

%2FCOSO_ERM_ExecutiveSummary.pdf&usg=AFQjCNETk9IhZlr5h6zWx0k3RcjP7WjB bA

Diederichs, M. (2012): Risikomanagement und Risikocontrolling. 3. Ausgabe, Mün- chen: Vahlen.

Diederichs, M./ Eberenz, R./ Eickmann, J.O. (2009): Risikomanagement der Beiersdorf AG. In: Controlling, 2009/4-5/S. 265-272.

Federation of European Risk Management Associations/Confederation of Institutes of Internal Auditing (2011): Guidance on the 8th EU Company Law Directive. Article 41.

FERMA/ECIIA: Brüssel.

Gleißner, W. (2008): Risikocontrolling und strategisches Risikomanagement (Teil 1). Warum Risikocontrolling wichtig ist! In: Controller Magazin, 33. Jg., Juli/August, S. 35- 42.

Hesse, K. (2003): Der risiko-prozess- und systemorientierte Prüfungsansatz, in WPg – Die Wirtschaftsprüfung, Sonderheft 2003, S. 223-229.

Hoffmanm, R. (1993): Unternehmensüberwachung: ein Aufgaben- und Arbeitskata- log für die Revisionspraxis / von Rudolf Hoffmann. Hersg. Vom Deutschen Institut für In- terne Reviƒsion e.V., 2., neu bearb. und erw. Auflage. Berlin: Erich Schmidt.

Hornung, K./ Reichmann, T. (2005): Moderne Controlling-Konzeption in Theorie und Praxis. In: Reichmann, T. (Hg.): Trends und frühe Signale. Tagungsband zum 20.

Deutschen Controlling Congress. Dortmund: GUA, S. 18-57.

http://www.financepractitioner.com/corporate-governance-checklists/internal- control-frameworks-coso-coco-and-the-uk-corporate-governance-code

https://www.bmf.gv.at/budget/das-budget/Ausgliederungen_und_Beteiligungen des_Bundes_Oktober_2015.pdf?5i7zdn

INTOSAI GOV Richtlinie 9100 (2004) INTOSAI Richtlinien für die Internen Kontrol- len des öffentlichen Sektors. Abgerufen am 9.Oktober 2016

http://de.issai.org/media/12764/intosai_gov_9100_g.pdf

Knupperts, T./ Ahlrichs, F. (2007): Prozessorientiertes Risikomanagement. In: Con- trolling, 2007/8-9/S. 491-499.

KonTragG (1998). In: Bundesgesetzblatt Jahrgang 1998 Teil I Nr. 24, ausgegeben am 30. April 1998.

Leiss W.,Steiblicher a, (2015) Recht und Finanzen für Gemeinden. Abgerufen am 9.Oktober 2016 von

http://www.noegbg.at/dokumente/Einfuehrung_und_Umsetzung_IKS.pdf

Martin, C./ Willman, P./ Boukens, R./ Rockley, O. (2014): Risk management for- mations – an alternative approach to the 3 lines of defense model. In: The Journal of Fi- nancial Perspectives, 2014/3/S. 1-18.

Menzies, C. (2004): Sarbanes-Oxly Act. 1. Ausgabe, Stuttgart: Schäffer Poeschl.

o.A. (2015): Österreichischer Amtskalender 2015/2016. Das Lexikon der Behörden und Institutionen. Wien: Verlag Österreich GmbH.

PricewaterhouseCoopers (2006): Internes Kontrollsystem – Führungsinstrument im Wandel. Abgerufen am 31. August 2016 von

https://pwc.ch/fr/dyn_output.html?content.cdid=2721&content.vcname=publikations_seite

&collectionpageid=8293&backLink=https%3A%2F%2Fpwc.ch%2Ffr%2Fservices%2Faudi t%2Fpublications.html

Rasonyi, P. (2008): Siemens beendet Bestechungsverfahren, in Neue Züricher Zei- tung, Nr. 294, Zürich 16.12.2008, S. 23.

Rechnungshof (2014): Interne Kontrollsysteme (IKS) - Themenschwerpunkt des RH 2014. Abgerufen am 26. September 2016 von

http://www.rechnungshof.gv.at/fileadmin/downloads/_jahre/2015/berichte/teilberichte/wien /Wien_2015_11/Wien_2015_11_3.pdf

Reichmann, T. (2011): Controlling mit Kennzahlen. Die systemgeschützte Control- ling-Konzeption mit Analyse- und Reportinginstrumenten. 8. Auflage. München: Vahlen.

Reichmann, T./ Lachnit, L. (1977): Kennzahlensysteme als Instrument zur Planung, Steuerung und Kontrolle von Unternehmen. In: Maschinenbau 1977/9/S. 45-53.

Ruud, T. F./ Friebe, P./ Isufi, S. (2009): Entwicklungen in der Internen und der Ex- ternen Revision unter Berücksichtigung mittelgroßer Unternehmen. In: Hail, L./ Pfaff, D.:

Rechnungslegung und Revision in der Schweiz: Erkenntnisse aus Theorie und Praxis.

Zürich. S. 173-179.

Ruud, T. F./ Kyburz, A. (2014): Gedanken zum Three Lines of Defense Modell – Was ist mit Verteidigung gemeint? Analyse des Governance-Modells aus Sicht des inter- nen Audits. In: Der Schweizer Treuhänder, 2014/9/S. 761-766.

Sarbanes Oxley Act –Section 301. Abgerufen am 8.Oktober 2016 von http://www.sarbanes-oxley-act.biz/SarbanesOxleySection301.htm

Sarbanes Oxley Act –Section 302. Abgerufen am 8.Oktober 2016 von http://www.soxlaw.com/s302.htm

SEC Final Rule, Release Nos.33-8238; 34-47968 (2003) – Final Rule: Manage- ment’s Reports on Internal Control Over Financial Reporting and Certification on Disclo- sure in Exchange Act Periodic Reports, Abgerufen am 8. Oktober 2016 von

http//www.sec.gov/rules/final/33-8238.htm

Staehle, W. H. (1969): Kennzahlen und Kennzahlensysteme als Mittel der Organi- sation und Führung von Unternehmen. Wiesbaden: Springer.

The Institute of Internal Auditors (2013): IIA Position Paper: The Three Lines of De- fense in Effective Risk Management and Control. IIA Global: Florida.

Vanini, U. (2012): Risikomanagement: Grundlagen, Instrumente, Unternehmens- praxis. 1. Ausgabe, Stuttgart: Schäffer Poeschl.

Winter, R. V. (2001): Risikomanagement und Interne Kontrollen beim Sachversi- cherer im Sinne des KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmens- bereich), Karlsruhe.

Dieser Arbeit wird die Auswertungstabelle mit dem ersten und zweiten Reduktionsschritt beigelegt, um die Nachvollziehbarkeit der qualitativen Inhaltsanalyse zu gewährleisten.

Frage 1:

Wie ist das Interne Kontrollsystem in Ihrer Verwaltungseinheit aufgestellt?

ExpertInnen Reduktion 1 Reduktion 2 Anmerkungen

ExpertIn 1 Es ist ein Internes Kontrollsystem vorhanden, welches dem/der Case ManagerIn obliegt.

Es ist in allen befragten Verwaltungsein- heiten ein Internes Kontrollsystem imple- mentiert.

Drei der befragten Verwaltungseinheiten verfolgen einen integrierten Managemen- tansatz.

Knapp die Hälfte der befragten Verwal- tungseinheiten siedeln das IKS im Risi- komanagement an, während die anderen unterschiedliche Zuständigkeiten definie- ren.

Somit haben alle befragten Organisatio- nen die First Line of Defense implemen- tiert.

ExpertIn 2 Es ist ein Internes Kontrollsystem vorhanden, welches dem Risikoma- nagement obliegt.

ExpertIn 3 Es ist ein Internes Kontrollsystem vorhanden, welches dem Controlling in Kombination mit der externen Revision obliegt.

ExpertIn 4 Es ist ein Internes Kontrollsystem vorhanden, welches der Stabstelle Risikomanagement obliegt.

ExpertIn 5 Es ist ein Internes Kontrollsystem vorhanden, welches auf Basis eines integrierten Managementansatzes allen beteiligten Bereichen obliegt.

ExpertIn 6 Es ist ein Internes Kontrollsystem vorhanden, welches der Internen Re- vision obliegt.

ExpertIn 7 Es ist ein konzernweites Internes Kontrollsystem vorhanden, welches dem Qualitätsmanagement obliegt.

103

integrierten Managementansatzes allen beteiligten Bereichen obliegt.

ExpertIn 9 Es ist ein Internes Kontrollsystem vorhanden, welches dem Risikoma- nagement in der Controllingabteilung obliegt.

ExpertIn 10 Es ist ein konzernweites Internes Kontrollsystem vorhanden, welches dem/der IKS-Beauftragten obliegt.

ExpertIn 11 Es ist ein Internes Kontrollsystem vorhanden, welches dem Risikoma- nagement der Stabstelle Qualität und Sicherheit obliegt.

ExpertIn 12 Es ist ein Internes Kontrollsystem auf Basis eines integrierten Manage- mentansatzes vorhanden, welches dem/der IKS-Beauftragten und dem Risikomanagement obliegt.

ExpertIn 13 Es ist ein Internes Kontrollsystem vorhanden, welches dem Qualitäts- management obliegt.

ExpertIn 14 Es ist ein Internes Kontrollsystem vorhanden, welches der Abteilung IKS obliegt.

104

No documento Interne Kontrollsysteme und Risikomanagement im Bereich des Finanz- und Risikocontrollings (páginas 105-182)