Zusammenfassung und Interpretation - Qualitative Inhaltsanalyse nach Mayring

5.4 Qualitative Inhaltsanalyse nach Mayring

5.4.11 Zusammenfassung und Interpretation

 Berechtigungsstufen,

 Prozessmanagement.

2^nd Line of Defense

Da die 1^st Line of Defense nicht über die notwendigen Risikomanagementkenntnisse ver- fügt, um Risiken nachhaltig entgegen zu steuern, unterstützt die 2^nd Line of Defense die erste Verteidigungslinie bei der Identifikation und Bewertung der Prozessrisiken sowie bei der Implementierung der Kontrollen.

Die 2^nd Line of Defense konnte bei den befragten Organisationen eindeutig als implementiert extrahiert werden, da sämtliche befragten 100 Prozent-Töchter des Staates über ein Risikomanagement verfügen.

3^rd Line of Defense

Um die Qualität der 1^st Line und 2^nd Line of Defense durch unabhängige Dritte prüfen zu können, wurde in allen befragten Unternehmen eine 3^rd Line of Defense implementiert.

Diese führt weisungsfreie und unabhängig Prüfungen des Internen Kontrollen Systems durch.

Alle der befragten 100 Prozent-Töchter des Staates werden laut den Ergebnissen der Erhebung in regelmäßigen Abständen durch Dritte beurteilt, einerseits durch die Interne Revision und andererseits durch den/die WirtschaftsprüferIn, welche/r als externe/r Revi- sorIn gesehen wird. Des Weiteren kann somit auch die in der Literatur immer wieder er- wähnte 4^th Line of Defense bestätigt werden. Anlassbezogene Prüfungen können vom Rechnungshof, der Internen Revision des BMFs und der unternehmenseigenen Internen Revision durchgeführt werden. Diese können je nach Sichtweise entweder als 3^rd oder 4^th Line of Defense bezeichnet werden. Hierbei ist anzumerken, dass der Rechnungshof eher als 4^th Line of Defense zu betrachten wäre. Die Prüfungen des Bundesministeriums für Finanzen hingegen, zu welchen beispielsweise dessen Finanz- und Risikocontrolling in den 100 Prozent-Töchtern des Staates zählt, sind eher der 3^rd Line of Defense zuzu- schreiben. Dies beruht auf dem internen Wesen dieser Prüfungen, da sämtliche Unter- nehmen an ihren Aufsichtsrat beziehungsweise die EigentümerInnen, welche mit dem Staat oder übergeordneten Ministerium gleichgesetzt werden können, sowie an ihre Ge- schäftsführung und Vorstände und durch die Einmeldung in das Finanz- und Risikocon- trollings an das Bundesministerium für Finanzen berichten.

COSO-Rahmenwerk

Das COSO-Rahmenwerk ist ein international anerkannter Standard für die Implementie- rung eines Internen Kontrollsystems. Es besteht aus drei Zielkategorien, welche definie- ren, für welche Ziele ein IKS implementiert werden muss, sowie aus den Komponenten, welche die wesentlichen Inhalte eines Internen Kontrollsystems beschreiben.

Die Zielkategorien und Komponenten des COSO-Rahmenwerkes konnten durch die Da- tenerhebung und deren Analyse in den befragten Organisationseinheiten festgemacht werden. Wie bereits erläutert, orientieren sich mehr als die Hälfte der befragten Organisa- tionen am COSO-Rahmenwerk, hier konnte bei elf der Befragten die Orientierung nach den COSO Zielkategorien (Operations, Reporting und Compliance) festgestellt werden.

Die restlichen der Befragten orientieren sich am Public Corporate Governance Kodex nach den Aspekten der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit.

Control Environment

In der Control Environment wird die Aufbau- und Ablauforganisation eines Internen Kon- trollsystems festgelegt. Hinsichtlich der Komponenten des COSO-Rahmenwerks konnte bei Control Environment festgestellt werden, dass die Mehrzahl der 100 Prozent-Töchter des Staates interne Kontrollen nach risikoorientierten Kriterien implementiert hat. Eine geringe Anzahl der Organisationen hat alle im Unternehmen vorhandenen Prozesse mit internen Kontrollen abgedeckt und konzentriert sich hinsichtlich der Kontrollen auf er- folgswirksame Schlüsselprozesse. Dies wird großteils durch interne Handbücher und Richtlinien zum Internen Kontrollsystem unterstützt, in wenigen Organisationen musste jedoch festgestellt werden, dass keine gesamtheitliche Beschreibung des IKS vorliegt.

Risk Assessment

Im Risk Assessment werden die wesentlichen Prozessrisiken gemeinsam durch die 1^st und 2^nd Line of Defense identifiziert und bewertet. Betreffend der COSO-Komponente Risk Assessment konnte aus den Interviews extrahiert werden, dass bei allen befragten Organisationseinheiten die Identifikation der Prozessrisiken bei der Erstdokumentation der Prozesse sowie in regelmäßigen oder anlassbezogenen Evaluierungsintervallen durch das Risikomanagement und die Prozessverantwortlichen stattfindet. Im Bereich der Identifikation von IKS-relevanten Prozessen erfolgt diese beim Großteil der Befragten über Risikokriterien. Einige verfolgen keine strukturierte Identifikation und in einigen Fäl-

len erfolgt die Identifikation der Risiken nach IKS-Prüfkriterien. Es konnte weiters festgestellt werden, dass bei fast allen 100 Prozent-Töchtern des Staates die Prozessrisiken nach deren Schadensausmaß und Eintrittswahrscheinlichkeit bewertet werden. In mehr als der Hälfte der Fälle erfolgt eine qualitative Bewertung (Ampelsystem), ein geringer Teil der Organisationen bewertet die Risiken semi-quantitativ (Bewertungsskala).

Control Activites

Die Control Activies stellen die tatsächlichen Kontrollen dar, welche von den Mitarbeitern der 1^st Line of Defense operativ durchgeführt werden. Kontrollen können entweder manuell oder automatisch sein bzw. präventiv oder dedektiv. Bezüglich der COSO- Komponente Control Activities konnte festgestellt werden, dass alle Organisationen über präventive und dedektive sowie in unterschiedlichen Ausprägungen manuelle und auto- matisierte Kontrollen verfügen. Zu den präventiven Kontrollen zählten das Mehr-Augen- Prinzip, Datenvergleiche, Berechtigungsstufen, Limitwesen, Funktionstrennung, Code of Ethics, Compliance, Checklisten und IT-Kontrollen. Als Beispiele für dedektive Kontrollen wurden die Prüfungen der Internen Revision und der Wirtschaftsprüfung, Berichtswesen, Checklisten zur Ablaufprüfung, Maßnahmenüberwachung, Rechnungsprüfung, Freigabe- regelungen, Zufallsstichproben, Kosten- und Qualitätskontrollen und das Mehr-Augen- Prinzip genannt.

Information and Communication

In der Komponente Information and Communication werden Inhalt und Ziele des Internen Kontrollsystem an interne und externe Stakeholder kommuniziert. Die COSO- Komponente Information and Communication konnte bei fast allen Organisationen identifiziert werden, die Hälfte der Unternehmen verfügt hinsichtlich des IKS über verpflichten- de MitarbeiterInnenschulungen, während bei den anderen 100 Prozent-Töchtern des Staates unterschiedliche Informationsmuster (Informationsplattform und anlassbezogene Information) bestehen. In einem Fall erfolgt keine strukturierte Schulung oder Information, was auf das Fehlen der COSO-Komponente Information and Communication hindeutet.

Als innovative Ansätze wurden E-Learning und eine anonyme Anlaufstelle für Fragen der MitarbeiterInnen zum IKS genannt.

Monitoring Activities

Die Monitoring Activities dienen dazu, das Internen Kontrollsystem in regelmäßigen Ab- ständen durch interne oder externe Dritte zu prüfen, um die Wirksamkeit des Internen Kontrollsystems sicherstellen zu können. Die COSO-Komponente Monitoring Activities wird durch die 1^st und 2^nd Line of Defense determiniert sowie durch das in sämtlichen Verwaltungseinheiten eingeführte Prozessmanagement unterstützt. Es konnte festgestellt werden, dass in allen Unternehmen Dokumentationen zum Internen Kontrollsystem vor- liegen, wenn die Kontrollen auch in unterschiedlicher Ausprägung, manuell oder durch IT- Kontrollen, dokumentiert werden. Anlassbezogen erfolgt in allen 100 Prozent-Töchtern des Staates eine Prüfung der Kontrolldurchführung und –dokumentation durch die Interne Revision.

Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit der Finanz- und Risikoberichterstattung

Hinsichtlich der Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmä- ßigkeit wurden von den befragten Personen folgende Instrumente genannt:

• Ordnungsmäßigkeit: Handbuch, Risiko-Kontrollmatrix, Dokumentationen, Umset- zung aufsichtsrechtlicher Vorgaben, Kontrollschleifen, Steuerberatung, Richtlinien und Prozesse, Self Assessment, Prozessreviews, definierte Workflows, Interne Revision, MitarbeiterInnenschulungen.

• Wirtschaftlichkeit: Risiko-Kontrollmatrix, Kosten-Nutzen-Betrachtung der Risikomi- nimierung, Steuerberatung, interne Kontrollen, Self Assessment, Wirtschaftsprü- fung

• Gesetzmäßigkeit: Dokumentationen, Umsetzung gesetzlicher Vorgaben, Interne Revision, Prüfungen des Rechnungshofs, Wirtschaftsprüfung, Steuerberatung, Compliance

Somit konnten hinsichtlich der Prüfkategorien des IKS in allen Bereichen Maßnahmen und Methoden bei den befragten 100 Prozent-Töchtern des Staates identifiziert werden, welche sich in den COSO-Komponenten und den Verteidigungslinien des Three Lines of Defense Modells wiederfinden.

Richtigkeit und Vollständigkeit der Einmeldung in das Finanz- und Risikocontrol- ling des Bundes

Um die Beantwortung der Forschungsfrage zu konkretisieren, wurden den ExpertInnen zwei weitere Fragen hinsichtlich der Richtigkeit und Vollständigkeit der Einmeldung in das Finanz- und Risikocontrolling des Bundes gestellt. Dabei wurden sie nach den für sie relevantesten Maßnahmen und Methoden zur Sicherstellung der Ordnungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit ihres Internen Kontrollsystems gefragt. Hierbei ergaben sich folgende Erkenntnisse: Die Richtigkeit und Vollständigkeit der Einmeldun- gen in das Finanz- und Risikocontrolling des Bundes wird von den befragten 100 Pro- zent-Töchtern des Staates in einigen Fällen durch einen dokumentierten Prozess und bei allen befragten Unternehmen im Mehr-Augen-Prinzip sichergestellt. Daraus lässt sich deduktiv aus den herangezogenen Modellen ableiten, dass das COSO-Rahmenwerk und das Three Lines of Defense Modell innerhalb der Verwaltungseinheiten eingehend um- gesetzt wurden. Daraus kann geschlussfolgert werden, dass dies in weiterer Folge dazu führt, dass Prozesse innerhalb der Ablauforganisation ordnungsmäßig, wirtschaftlich und gesetzmäßig ablaufen können. Die folgenden Punkte wurden von den befragten Organi- sationseinheiten als besonders relevant hinsichtlich der Sicherstellung der Ordnungsmä- ßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit des IKS genannt:

• Kosten-Nutzen-Betrachtung der Risikokontrollen

• Dokumentationen

• Funktionstrennung

• IT-unterstützte Instrumente

• Mehr-Augen-Prinzip

• Quartalsmäßiges Berichtswesen

• Freigaberegelungen

• Self Assessment

• Interne und externe Prüfungen

• Implementierung eines ganzheitlichen Corporate Governance Systems (Das Three Lines of Defense Modell)

• Internes Kontrollsystem

• IKS muss gelebt werden (MitarbeiterInnenmindset)

• Externes Benchmarking

• Berechtigungsstufen

• Prozessmanagement

Die von den ExpertInnen angeführten Punkte hinsichtlich der Sicherstellung von Ord- nungsmäßigkeit, Wirtschaftlichkeit und Gesetzmäßigkeit können eindeutig durch die ge- wählten theoretischen Modelle bestätigt werden und sind Spiegel von noch nicht in jeder Feinheit, aber dafür in diversesten Ausprägungsstufen vorhandenen integrierten Ma- nagementansätzen. Dies beschreibt wiederum eine verknüpfte Ausprägung von Internem Kontrollsystem und Risikomanagement, welche in alle Unternehmensbereiche abstrahlt.

No documento Interne Kontrollsysteme und Risikomanagement im Bereich des Finanz- und Risikocontrollings (páginas 99-105)