Dazu dien als theoretische Grundlage das COSO-Rahmenwerk und das Three Lines of Defense Modell. In this thesis, the full implementation of the COSO framework and the Three Lines of Defense model in the interviewed organizations will be verified or falsified.
Stand der Forschung
Die Forschungslücke dieser Arbeit liegt daher in der Beurteilung der Bundesniederlassungen hinsichtlich der Implementierung eines internen Kontrollsystems und eines Risikomanagementmodells. Ohnehin ist der Bereich der internen Kontrolle und des Risikomanagements im öffentlichen Sektor relativ unerforschtes Terrain.
Forschungsfrage
Ziel dieser Arbeit ist es, einen ersten Ansatz zu liefern, um herauszufinden, wie Ergebnisse in Unternehmen erhoben werden und welche internen Kontroll- und Risikomanagementsysteme in staatsnahen Unternehmen implementiert sind. Darüber hinaus können Rückschlüsse darauf gezogen werden, wie Korrektheit, Effizienz und Rechtmäßigkeit im Bereich finanzieller Risiken und Kontrolle sichergestellt werden können.
Zielsetzung und Abgrenzung
Basierend auf dem COSO-Rahmenwerk und dem von der EU-Kommission als ergänzendes Managementmodell empfohlenen „Three Lines of Defense“-Modell (FERMA/ECIA 2011, S. 6) wurde die Umsetzung durch ausgewählte 100 %-Bundesbehörden empirisch untersucht und der Stand der Umsetzung überprüft . Dies soll anhand eines speziell für diese Arbeit entwickelten hypothetischen Modells erfolgen, das aus dem COSO-Framework und dem Three Lines of Defense-Modell besteht und als Leitfaden für regierungsnahe Unternehmen dienen kann.
Struktur der österreichischen Bundesbeteiligungen und
Dies bildet auch einen nummerierten Ansatz zur Beurteilung der Meldungen im BMF. Die Beteiligungen des Bundes, an denen mehr als 50 Prozent der Anteile gehalten werden, können dem Beteiligungs- und Spaltungsbericht des Bundes entnommen werden.
Rechtliche Grundlagen für 100 Prozent-Töchter des
Der Bundesminister für Finanzen unter Berücksichtigung des 1. BHG 2013 sowie andere Rechtsträger, für die die Beteiligung und Finanzkontrolle gesetzlich normiert ist, erfolgt die Beteiligungskontrolle durch Bundesminister, die zur Verwaltung von Anteilsrechten oder zur Kontrolle berechtigt sind, sowie der Bundesminister für Finanzen Finanzcontrolling.
Public Corporate Governance Kodex
Inhalte des Public Corporate Governance Kodex
Transparenz soll Vertrauen schaffen – sowohl zwischen den Behörden als auch gegenüber den Kunden. Vorstand und Aufsichtsorgan sind gemeinsam verpflichtet, jährlich einen Corporate-Governance-Bericht über das jeweilige Unternehmen zu erstellen und diesen dem Geschäftsbericht beizufügen.
Rechnungslegung und Abschlussprüfung
Konkret geht es um die Einhaltung des Kodex für die Verwaltung öffentlicher Aktiengesellschaften bzw. um die Begründung von Abweichungen. Der Governance-Bericht des Unternehmens sollte regelmäßig von einer externen Institution evaluiert und verifiziert werden und die Ergebnisse sollten dann in andere Unternehmensaktivitäten und -berichte einfließen (Bundeskanzleramt Österreich 2012, S. 28ff).
Kennzahlen
Indikatorensysteme erhöhen die Klarheit und Verständlichkeit, so dass sie zusammenfassend genutzt werden können, um Vorgehensweisen für Entscheidungsträger klarer zu machen (Reichmann 2011, S. 27). Teilweise sind zusätzlich qualitative Kennzahlen erforderlich, um eine Aussage über bestimmte Handlungsoptionen treffen zu können (Reichmann 2011, S. 26).
Internes Kontrollsystem
Rechnungshofbericht zum Thema Internes
Das Top-Management sollte die Umsetzung des internen Kontrollsystems unterstützen und bei der Umsetzung der Kontrolle mit gutem Beispiel vorangehen („Tone at the Top“). Regelmäßige Überprüfungen des internen Kontrollsystems und Durchführung von Audits durch externe Dritte zur Verbesserung und Optimierung des internen Kontrollsystems.
IKS-Modelle
- Begriffserklärung des IKS nach COSO
- Begriffserklärung des IKS nach INTOSAI GOV 9100
- Begriffserklärung des IKS nach COCO
- Nutzen der Modelle
Kontrollumfeld – Grundlage der fünf Komponenten ist das Kontrollumfeld, das ethische Werte und Organisationskompetenzen, Managementphilosophie und Unternehmenskultur umfasst (Ruud 2009, S. 179). Überwachung – Die Kontrollaktivitäten sollten in regelmäßigen Abständen durch Selbstbewertungen oder externe Dritte überprüft werden, um die langfristige Wirksamkeit der Kontrollaktivitäten sicherzustellen.
Risikomanagement
- Begriffsdefinitionen
- Arten von Risiken
- Ziele und Herausforderungen von Risikomanagement
- Steuerung, Controlling und Risikocontrolling - Effektivität von
- Das Three Lines of Defense Modell
- COSO ERM
Das Three Lines of Defense-Modell wurde erstmals 2006 vorgestellt, um Unternehmen bei der Umsetzung der 8 zu unterstützen. Die drei Ebenen des Three Lines of Defense-Modells werden im Folgenden genauer untersucht.
Die Interne Revision
Bei einem passiven Auskunftsrecht hingegen wird die Interne Revision direkt von den Fachbereichen über wichtige Entwicklungen informiert (Diederichs 2012, S. 154). Die Prüfungsbereiche der Internen Revision werden jährlich mit der Geschäftsführung festgelegt, die Ergebnisse der Prüfungen werden durch den Leiter der Internen Revision und durch die Prüfberichte festgehalten. Die Interne Revision muss vom Management mit den notwendigen personellen und finanziellen Ressourcen ausgestattet werden (Diederichs 2012, S. 154).
Die Interne Revision kann die oben genannten Kriterien nur durch ihre Unabhängigkeit und Meinungsfreiheit gewährleisten. Dazu gehören die Finanzberichterstattung, interne Geschäfts- und Managementprozesse sowie Ratschläge zur Verbesserung interner Prozesse (Diederichs 2012, S. 156).
Erkenntnisstrategie
Basierend auf den oben dargestellten Themen und Modellen kristallisierte sich die definierte Forschungsfrage heraus, die empirisch untersucht werden sollte. In diesem Kapitel muss die genaue Methodik analysiert und anschließend die Operationalisierung durchgeführt werden. Besonders interessant war hierbei, dass Abweichungen zwischen der System- und der Lebenswelt der befragten Personen im Sinne der Vertreter ihrer Organisation und unserer Einsicht darin in beide Richtungen gehen können, also sowohl mehr als auch weniger Maßnahmen können umgesetzt werden, als es die Bundesregierung und der Public Corporate Governance Kodex vorschreiben.
In diesem Zusammenhang gelten als systemische Welt die starren Vorgaben des Bundes im Sinne des Bundeshaushaltsgesetzes und des Codex Public Corporate Governance, des COSO sowie gesetzlicher Vorgaben), wie zum Beispiel: Risikomatrix, Ampelsystem, Prozessrisiken , systemische Risiken, Reporting etc. Diese implementierten Elemente wurden hier als „gelebte Welt“ von Habermas verstanden und die Lücken zwischen dieser und der Systemwelt sollten daher das Ziel der Masterarbeitsforschung sein.
Forschungsdesign
- Problembenennung
- Gegenstandsbenennung
- Wahl der Forschungsmethode
- Durchführung (Anwendung von Forschungsmethoden)
- Analyse (Auswertungsverfahren)
- Verwendung der Ergebnisse
In den folgenden Abschnitten werden die wichtigsten Methoden erläutert, die für die Arbeit relevant sein können, und die Wahl der Forschungsmethode „Standardisierte Leitlinieninterviews“ begründet. Durch anonyme, standardisierte und transkribierte Experteninterviews erhält der Beant Zugang zu den Daten. Dies wurde in der geplanten Arbeit durch den standardisierten Vorfragebogen sichergestellt, der die demografischen Daten der Befragten erfasste und als weitere Unterstützung für die Analyse der Studie diente.
Aufbauend auf den für die Forschungsfrage erforderlichen Grundlagen und Modellen wird anhand des hypothetischen Modells empirisch evaluiert, inwieweit die befragten 100-Prozent-Staatstöchter die einzelnen Komponenten (COSO und Three Lines of Defense) umgesetzt haben. Sobald diese Komponenten implementiert sind, können wichtige Informationen für die Berichterstattung an das Finanz- und Risikomanagement verwendet werden. Die 1. Verteidigungslinie wird bereits durch die Zielkategorien und Elemente bzw. Komponenten des COSO-Frameworks unterstützt, die Prozesse für die 2. Verteidigungslinie, das Risikomanagement, identifizieren.
Der Vorfragebogen
Interviewleitfaden
Variablen, Beziehungen und Aspekte der Wirklichkeit
Das Three Lines of Defense (3LoD)-Modell ist ein anerkanntes Modell für den Einsatz einer unternehmensweiten Governance-Organisation zur systematischen Kontrolle von Unternehmensrisiken. Die rechtlichen Grundlagen für die Beteiligung und die finanzielle Steuerung der Beteiligung des Bundes finden sich im Bundeshaushaltsgesetz (BHG). Es sieht vor, dass Unternehmen, an denen der Bund mindestens zu 50 % beteiligt ist, sowie Unternehmen oder Anstalten des öffentlichen Rechts, die der Bundesaufsicht unterliegen, der Investitionskontrolle, einschließlich der Finanzkontrolle und der Risikokontrolle, unterliegen.
Hier finden Sie wesentliche Kriterien zur Bestätigung der Wirksamkeit des internen Kontrollsystems.
Qualitative Inhaltsanalyse nach Mayring
Festlegung des Materials
Analyse der Entstehungssituation
Formale Charakterisierung des Materials
Festlegung der Analyserichtung
Theoretische Differenzierung der Fragestellung
Bestimmung der Analysetechnik
Definition der Analyseeinheiten
Durchführung der Materialanalyse
Bei der Auswertung wurden die Antworten auf die Fragen des Interviewleitfadens gruppiert und anhand der zuvor definierten Indikatoren und Variablen das relevante Textmaterial identifiziert. Mehr als die Hälfte der befragten Verwaltungseinheiten orientieren sich bei ihrem IKS am COSO-Rahmenmodell, ein Viertel beruft sich auf den Public Corporate Governance Code und drei Organisationen folgen konsequent dem Three Lines of Defense-Modell.
Rückschlüsse auf die Ergebnisse durch die Erhebung
Interne Revision ist in allen befragten Organisationseinheiten vorhanden, allerdings gibt es Unterschiede in der organisatorischen Umsetzung. Daraus lässt sich schließen, dass kleinere Organisationen die Interne Revision meist auslagern, da aufgrund eines relativ kleinen Teams interne Ressourcen fehlen. Dazu gehört die gegenseitige und umfassende Abstimmung der Prüfungsergebnisse der Internen Revision, die direkte Prüfung durch die Interne Revision der übergeordneten Geschäftsstelle in der Organisationseinheit sowie die Durchführung von Folgeprüfungen für einzelne Programme und Projekte.
Wie aus den folgenden Grafiken ersichtlich ist, ist das Verhältnis hier in der Internen Revision mit nur 29 Prozent weiblichen Mitarbeitern ähnlich. Generell lässt sich für den untersuchten Bereich feststellen, dass die Interne Revision tendenziell männerdominiert ist, während im Risikomanagement in allen untersuchten Organisationseinheiten ein Gleichgewicht festgestellt werden konnte. Zusammenfassend lässt sich aus den Ergebnissen der Vorbefragung feststellen, dass die Interne Revision und das Risikomanagement organisatorisch unterschiedlich aufgestellt sind.
Ergebnisse hinsichtlich der Fragen des Interviewleitfadens
In allen geprüften Verwaltungseinheiten wurde ein internes Risikomanagementsystem implementiert, wobei sich einige Organisationen auf die Norm ISO 9001 und die Prüfungsrichtlinien des Rechnungshofs stützen. Elf der befragten Governance-Einheiten nutzen das interne Kontrollsystem, um die COSO-Zielkategorien operative Prozesse, Reportingprozesse und Compliance-Prozesse zu verfolgen. Die Mehrzahl der befragten Verwaltungseinheiten verfügt über ein internes Handbuch bzw. eine interne Richtlinie zur Beschreibung ihres IKS.
Der Großteil der befragten Verwaltungseinheiten identifiziert die IKS-relevanten Prozesse anhand der Risikokriterien. Die Informations- und Kommunikationsebene des COSO-Rahmenmodells wird damit in dreizehn von vierzehn untersuchten Organisationseinheiten abgedeckt. In allen untersuchten Verwaltungseinheiten werden die internen Kontrollen in unterschiedlichem Umfang manuell und mit Hilfe von IT-Kontrollen sowie anlassbezogen durch die interne Revision dokumentiert.
Zusammenfassung und Interpretation
Die Umsetzung der zweiten Verteidigungslinie lässt sich bei den befragten Organisationen eindeutig ableiten, da alle befragten 100-prozentigen Landestöchter über ein Risikomanagement verfügen. Diese können je nach Standpunkt als dritte oder vierte Verteidigungslinie bezeichnet werden. Hierbei ist zu beachten, dass der Rechnungshof eher als 4. Verteidigungslinie zu betrachten ist.
Die Prüfungen des Bundesfinanzministeriums, die beispielsweise das Finanz- und Risikomanagement in den hundertprozentigen Tochtergesellschaften des Staates umfassen, werden wahrscheinlich der 3. Verteidigungslinie zugeschrieben. Bei der Risikobewertung werden die wichtigsten Prozessrisiken gemeinsam von der 1. und 2. Verteidigungslinie identifiziert und bewertet. Die COSO-Komponente Monitoring Activities wird durch die 1. und 2. Verteidigungslinie bestimmt und durch die in allen Managementeinheiten implementierte Prozesssteuerung unterstützt.
Anwendbarkeit des hypothetischen Modells
Beantwortung der Forschungsfrage
