Ergebnisse hinsichtlich der Fragen des Interviewleitfadens

Zusammenfassend kann aus den Ergebnissen des Vorfragebogens folglich festgehalten werden, dass die Interne Revision und das Risikomanagement aufbauorganisatorisch unterschiedlich aufgestellt ist. Daher sind diese Bereiche je nach Unternehmen in unter- schiedlichen Organisationsbereichen oder in eigenen Abteilungen angesiedelt und im Falle der Revision sogar teils an Externe ausgelagert. Das Mutterressort spielt in gut zwei Dritteln der Organisationen eine Rolle hinsichtlich der übergreifenden Revision und Ab- stimmung. Da Organisationen mit unterschiedlicher Unternehmensgröße befragt wurden, muss an dieser Stelle ergänzt werden, dass die Auslagerung von Revisionspflichten nach außen aufgrund der Ressourcenknappheit eher ein Szenario für kleinere Unternehmen ist. Alle anderen Ergebnisse sind für alle Unternehmensgrößen anwendbar, da hier hin- sichtlich der abgegebenen Aussagen durch die ExpertInnen keine bedeutsamen Unter- schiede erkennbar waren.

Frage 1a: Basiert Ihr Internes Kontrollsystem auf einem internationalen Standard?

Antworten der befragten ExpertInnen:

• Mehr als die Hälfte der befragten Verwaltungseinheiten orientieren ihr IKS am COSO-Rahmenmodell, ein Viertel verweist auf den Public Corporate Governance Kodex und drei Organisationen verfolgen nachhaltig das Three Lines of Defense Modell.

• Zwei der befragten Verwaltungseinheiten orientieren sich hinsichtlich des IKS an anderen Standards.

• Zwei der befragten Verwaltungseinheiten orientieren sich hinsichtlich des IKS an keinem Standard.

Frage 1b: Gibt es eigene IKS-Beauftragte in Ihrer Verwaltungseinheit?

Antworten der befragten ExpertInnen:

• Elf der befragten Organisationseinheiten verfügen über eigene IKS-Beauftragte in ihrer Verwaltungseinheit.

Frage 1c: Wer trägt in Ihrer Verwaltungseinheit die Verantwortung über die Prozesse?

Antworten der befragten ExpertInnen:

• In allen befragten Organisationseinheiten besteht ein Prozessmanagement.

• Die Verantwortung über die Prozesse wird in unterschiedlichen Ausprägungen zwischen Prozessverantwortlichen und der Geschäftsführung geteilt.

Frage 2: Inwieweit haben Sie ein Risikomanagement in Ihrer Verwaltungseinheit implementiert?

Antworten der befragten ExpertInnen:

• In allen befragten Verwaltungseinheiten ist ein unternehmensinternes Risikoma- nagement implementiert, wobei einige Organisationen sich an der Norm ISO 9001 und dem Prüfleitfaden des Rechnungshofs orientieren.

• Mehrheitlich ist ein Leitfaden nach internen und branchenspezifischen Kriterien vorhanden.

• Somit ist in allen Organisationen die Second Line of Defense umgesetzt.

Frage 3: Wird Ihr Internes Kontrollsystem durch Dritte in regelmäßigen Abständen beurteilt?

Antworten der befragten ExpertInnen:

• Bei allen befragten Verwaltungseinheiten wird das IKS in regelmäßigen Abstän- den durch Dritte beurteilt. Der Rechnungshof und die interne Revision des BMF unterstützt die Evaluierung durch anlassbezogene Prüfungen.

• Somit ist die Third Line of Defense in allen Organisationseinheiten implementiert.

Frage 3a: Wenn ja, durch die Interne Revision?

Antworten der befragten ExpertInnen:

• Alle befragten Organisationseinheiten werden hinsichtlich des IKS durch die Inter- ne Revision überprüft.

• Dabei bestehen Unterschiede hinsichtlich der Prüfintervalle (regelmäßig vs. an- lassbezogen).

Frage 3b: Wenn ja, durch die Wirtschaftsprüfung?

Antworten der befragten ExpertInnen:

• Alle befragten Organisationseinheiten werden hinsichtlich des IKS durch die Wirt- schaftsprüfung geprüft.

Frage 3c: Wie erfolgt die Berichterstattung der Auditergebnisse?

Antworten der befragten ExpertInnen:

• Die Berichterstattung der Auditergebnisse erfolgt bei allen befragten Organisati- onseinheiten an den Aufsichtsrat bzw. die EigentümerInnen, das BMF und die Geschäftsführung/Vorstand.

Frage 4: Welche Ziele verfolgt Ihr Internes Kontrollsystem?

Antworten der befragten ExpertInnen:

• Elf der befragten Verwaltungseinheiten verfolgen mit dem Internen Kontrollsystem die COSO-Zielkategorien Operative Prozesse, Reportingprozesse und Compli- anceprozesse.

• Die restlichen Organisationen orientieren sich an den Vorgaben des Public Corpo- rate Governance Kodex nach den Aspekten der Ordnungsmäßigkeit, Wirtschaft- lichkeit und Gesetzmäßigkeit.

Frage 5: Welche Prozesse in Ihrer Verwaltungseinheit verfügen über ein Internes Kontrollsystem?

Antworten der befragten ExpertInnen:

• Die Hälfte der befragten Verwaltungseinheiten implementiert interne Kontrollen nach risikoorientierten Kriterien. Ein Viertel der Organisationen haben alle Prozes- se mit internen Kontrollen abgedeckt, der Rest beschränkt sich auf erfolgswirksa- me Schlüsselprozesse.

• Somit ist in allen befragten Organisationseinheiten die Ebene Control Environment des COSO-Rahmenmodells abgedeckt.

Frage 5a: Gibt es einen standardisierten Leitfaden/Richtlinie, welcher Ihr Internes Kontrollsystem beschreibt?

Antworten der befragten ExpertInnen:

• Der Großteil der befragten Verwaltungseinheiten verfügt über ein internes Hand- buch oder eine interne Richtlinie zur Beschreibung ihres IKS.

• In zwei Organisationseinheiten liegt keine gesamtheitliche Beschreibung vor.

Frage 6: Wie läuft der Prozess in Ihrer Verwaltungseinheit für die Identifikation der Prozessrisiken ab?

Antworten der befragten ExpertInnen:

• Die Identifikation der Prozessrisiken erfolgt bei allen Verwaltungseinheiten bei der Erstdokumentation der Prozesse mit regelmäßigen Evaluierungsintervallen durch das Risikomanagement und die Prozessverantwortlichen.

• Somit ist in allen befragten Organisationseinheiten die Ebene Risk Assessment des COSO-Rahmenmodells abgedeckt.

Frage 6a: Nach welchen Kriterien erfolgt die Identifikation von IKS-relevanten Prozessen?

Antworten der befragten ExpertInnen:

• Die Identifikation der IKS-relevanten Prozesse erfolgt beim Großteil der befragten Verwaltungseinheiten über die Risikokriterien.

• Einige Organisationen ziehen keine strukturierte Identifikation heran und in eini- gen Fällen liegt eine Identifikation nach IKS-Prüfkriterien vor.

Frage 6b: Nach welchen Risikokriterien bewerten Sie Ihre IKS-relevanten Prozesse?

Antworten der befragten ExpertInnen:

• Die IKS-relevanten Prozesse werden bei fast allen befragten Verwaltungseinhei- ten über die Risikokriterien Schadensausmaß und Eintrittswahrscheinlichkeit be- wertet.

• Dabei wendet fast die Hälfte ein Ampelsystem an und je ein Viertel der Organisa- tionseinheiten hinterlegt eine Bewertungsskala oder eigene Kriterien.

Frage 7: Welche Arten von Kontrollen sind in Ihrer Verwaltungseinheit implementiert?

Antworten der befragten ExpertInnen:

• Alle befragten Verwaltungseinheiten verfügen über präventive und dedektive so- wie in unterschiedlicher Ausprägung über manuelle und automatisierte Kontrollen.

• Somit ist in allen befragten Organisationseinheiten die Ebene Control Activities des COSO-Rahmenmodells abgedeckt.

Frage 7a: Welche präventiven Kontrollen sind Ihrer Verwaltungseinheit implementiert?

Antworten der befragten ExpertInnen:

• In allen befragten Verwaltungseinheiten wurden präventiven Kontrollen implemen- tiert, dazu zählen folgende Elemente:

 das Mehr-Augen-Prinzip,

 Datenvergleiche,

 Berechtigungsstufen,

 Limitwesen,

 Funktionstrennung,

 Code of Ethics,

 Compliance,

 Checklisten

 und IT-Kontrollen.

Frage 7b: Welche dedektiven Kontrollen sind in Ihrer Verwaltungseinheit imple- mentiert?

Antworten der befragten ExpertInnen:

• In allen befragten Verwaltungseinheiten wurden dedektive Kontrollen implemen- tiert, dazu zählen folgende Elemente:

 die Prüfungen der Internen Revision und der Wirtschaftsprüfung,

 Berichtswesen,

 Checklisten zur Ablaufprüfung,

 Maßnahmenüberwachung,

 Rechnungsprüfung,

 Freigaberegelungen,

 Zufallsstichproben,

 Kosten- und Qualitätskontrollen

 und das Mehr-Augen-Prinzip.

Frage 8: Werden Ihre MitarbeiterInnen hinsichtlich des Internen Kontrollsystems geschult bzw. informiert?

Antworten der befragten ExpertInnen:

• Die Hälfte der befragten Organisationseinheiten hat verpflichtende MitarbeiterIn- nenschulungen hinsichtlich des IKS implementiert, während bei den anderen Ver- waltungseinheiten unterschiedliche Informationsmuster (Informationsplattform und anlassbezogene Information) bestehen und in einem Fall keine strukturierte Schu- lung oder Information stattfindet.

• Als innovative Ansätze wurden E-Learning und eine anonyme Anlaufstelle für Fragen der MitarbeiterInnen zum IKS genannt.

• Somit ist in dreizehn von vierzehn befragten Organisationseinheiten die Ebene In- formation and Communication des COSO-Rahmenmodells abgedeckt.

Frage 9: Wie erfolgen der Nachweis und die Dokumentation, dass die Internen Kon- trollen durchgeführt werden?

Antworten der befragten ExpertInnen:

• In allen befragten Verwaltungseinheiten erfolgt die Dokumentation über die Inter- nen Kontrollen in unterschiedlicher Ausprägung manuell und durch IT-Kontrollen sowie anlassbezogen durch die Interne Revision.

• Somit ist in allen befragten Organisationseinheiten die Ebene Monitoring Activities des COSO-Rahmenmodells abgedeckt.

Frage 9a: Wie stellen Sie die Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetz- mäßigkeit Ihres Internen Kontrollsystems sicher?

Antworten der befragten ExpertInnen:

• Hinsichtlich der Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Ge- setzmäßigkeit wurden von den befragten Personen folgende Instrumente genannt:

• Ordnungsmäßigkeit:

 Handbuch,

 Risiko-Kontrollmatrix,

 Dokumentationen,

 Umsetzung aufsichtsrechtlicher Vorgaben,

 Kontrollschleifen,

 Steuerberatung,

 Richtlinien und Prozesse,

 Self Assessment,

 Prozessreviews,

 definierte Workflows,

 Interne Revision,

 MitarbeiterInnenschulungen.

• Wirtschaftlichkeit:

 Risiko-Kontrollmatrix,

 Kosten-Nutzen-Betrachtung der Risikominimierung,

 Steuerberatung,

 interne Kontrollen,

 Self Assessment,

 Wirtschaftsprüfung.

• Gesetzmäßigkeit:

 Dokumentationen,

 Umsetzung gesetzlicher Vorgaben,

 Interne Revision,

 Prüfungen des Rechnungshofs,

 Wirtschaftsprüfung,

 Steuerberatung,

 Compliance.

Frage 10: Durch welche Instrumente des Internen Kontrollsystems stellen Sie die Richtigkeit und Vollständigkeit Ihrer Einmeldungen in das Finanz- und Risikocon- trolling des Bundes/BMF sicher?

Antworten der befragten ExpertInnen:

• Die Richtigkeit und Vollständigkeit der Einmeldungen in das Finanz- und Risi- kocontrolling des Bundes wird von einem Viertel der befragten Organisationsein- heiten durch einen dokumentierten Prozess und bei allen im Mehr-Augen-Prinzip sichergestellt.

Frage 11: Welche Maßnahmen und Methoden sind für Sie die relevantesten zur Si- cherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit eines Internen Kontrollsystems?

Antworten der befragten ExpertInnen:

• Die folgenden Punkte wurden von den befragten Organisationseinheiten als be- sonders relevant hinsichtlich der Sicherstellung der Ordnungsmäßigkeit, Wirt- schaftlichkeit und Gesetzmäßigkeit des IKS genannt:

 Kosten-Nutzen-Betrachtung der Risikokontrollen,

 Dokumentationen,

 Funktionstrennung,

 IT-unterstützte Instrumente,

 Mehr-Augen-Prinzip,

 Quartalsmäßiges Berichtswesen,

 Freigaberegelungen,

 Self Assessment,

 Interne und externe Prüfungen,

 Implementierung eines ganzheitlichen Corporate Governance Systems (Das Three Lines of Defense Modell),

 Internes Kontrollsystem,

 IKS muss gelebt werden (MitarbeiterInnenmindset),

 Externes Benchmarking,

 Berechtigungsstufen,

 Prozessmanagement.

No documento Interne Kontrollsysteme und Risikomanagement im Bereich des Finanz- und Risikocontrollings (páginas 90-99)