Ausgabe 02_2009 [PDF, 1.2 MB] - Institut für Interne Revision ...

IIA 07
Institut für Interne Revision
Audit Journal
Audit Journal
Zeitschrift des Instituts für
Interne Revision Österreich - IIA Austria
Heft 2 / Juli 2009

Norbert Wagner – 12 Jahre Vorstand, 9 Jahre Vorsitzender – eine Bilanz
Nach nahezu vier Vorstandsperioden im Vorstand
und drei Perioden als Vorsitzender war
es aus meiner Sicht bei der Mitgliederversammlung
2009 der richtige Zeitpunkt um die Aufgaben
an neue, jüngere Kolleginnen und Kollegen
zu übergeben. In diesem Zusammenhang erlauben
Sie mir auch, kurz Bilanz zu ziehen.
Das Institut für Interne Revision Österreich
(damals noch ARGE IR) war zum Zeitpunkt
meiner Übernahme eine gut geführte Organisation
mit einer guten Mitgliederstruktur und einer
soliden finanziellen Absicherung.
Nach einer kurzen Einarbeitungsphase (fünf
der sieben Vorstandsmitglieder waren 2000
neu) und der Unterstützung von Dipl.-Ing.
Gerold Frank wurde die Weiterentwicklung des
Instituts entsprechend den neuen Anforderungen
und Bedürfnissen des Marktes, des IIA und
der Mitglieder strukturiert und phasenweise
umgesetzt.
Dazu gehörte bereits im Jahr 2000 die Einstellung
von Fr. Monika Herrloss als teilzeitbeschäftigte
Mitarbeiterin des Instituts zur Unterstützung
des Vorstandes in administrativen Belangen
v.a. der Mitglieder. Dazu wurde auch ein
neues Softwareprodukt für die Mitgliederbetreuung
und die Buchhaltung eingesetzt.
2002 erfolgte die Umbenennung der ARGE IR
in Institut für Interne Revision Österreich –
IIA Austria um dem Gedanken und der Intention
einer modernen, globalen Institution auch nach
außen hin Rechnung zu tragen. Nach dem Beitritt
des Instituts 1991 zur ECIIA und 1996 zum
IIA erfolgte in den Jahren ab 2002 auch eine
verstärkte aktive internationale Ausrichtung.
Neben der selbstverständlichen intensiven
Teilnahme an internationalen Konferenzen,
dem Global Forum und den Global Councils
arbeitete damals das Vorstandsmitglied Ing.
Günther Meggeneder, CIA im International Auditing
Standards Board des IIA sehr aktiv mit,
wurde dort Vice Chairman und von dieser Position
direkt in das Executive Committee des IIA
(Vorstand) berufen. Heuer im Mai wurde Ing.
Meggeneder zum Senior Vice Chairman des IIA
gewählt und wird damit automatisch nächstes
Jahr im Juni Chairman des IIA (Vorsitzender
des Vorstands) für eine Funktionsperiode. Dr.
Klaus Wöhry, CIA, CFSA arbeitete einige Jahre
im Board of Regents – eines der wichtigsten
Boards des IIA – sehr intensiv mit und genießt
dort hohes Ansehen.
Das Audit Journal wurde erweitert und die Homepage
des Instituts eingerichtet - und auch
schon einige Male überarbeitet.
Ein wichtiges Anliegen war dem Vorstand die
Aus- und Weiterbildung der Revisorinnen und
Revisoren in Österreich. Nach reiflicher Überlegung
und entsprechenden Vorarbeiten wurde
2004 der Vertrag mit der Österreichischen
Akademie für Führungskräfte in Graz gelöst
und eine hundertprozentige Tochter des Instituts
– die Akademie Interne Revision GmbH –
gegründet. Verbunden mit der Gründung der
Akademie und der Aufnahme des Seminarbetriebs
zu Beginn des Jahres 2005 war auch
erstmals die Etablierung eines eigenen Büros
für das Institut. Zur Durchführung des Seminarbetriebs
wurde Fr. Tanja Rautner im Herbst
2004 eingestellt, die stark zur Prägung der
Akademie in ihrer heutigen Form beigetragen
hat.
Neben der Intensivierung der etablierten Arbeitskreise
und der Ausweitung auf weitere
Arbeitskreise, wie etwa New Auditors, CIA, Universitäten,
Energieversorger wurden auch spezielle
temporäre Arbeitskreise eingesetzt, die
konkrete Themen bearbeiteten und deren Ergebnisse
im Rahmen eines ERFA’s vorgestellt
wurden und dann im Linde Verlag als erfolgreiche
Bücher aufgelegt wurden. Dr. Wöhry und
seinem Arbeitskreis ist das – inzwischen bereits
aktualisierte – Buch über das Interne Kontrollsystem
aus der Sicht der Internen Revision zu
verdanken. Dr. Walter Mantsch, CIA hatte den
Vorsitz über den Arbeitskreis zum Thema Risikomanagement
aus der Sicht der Internen Revision
und ich leitete den Arbeitskreis mit dem
Inhalt Interne Revision – Gestaltung und Organisation
in der Praxis.
Obwohl die ARGE IR grundsätzlich seit 1961
besteht, wurde diese aber erst 1981 ein eigenständiger
Verein. Aus diesem Grund wurde
2006 im Rahmen eines Festaktes die 25-Jahr-
Feier als selbständige Institution gefeiert.
Neben der Implementierung der Zertifizierungen
(CIA, CCSA, CFSA, CGAP) wurde die Umstellung
der Prüfmethode zum sog. CBT (Computer
Based Testing) eine wichtige Herausforderung
für das Institut und seine Mitarbeiter.
Sehr erfolgreich entwickelte sich auch die gemeinsam
mit Ernst & Young im Jahr 2008 eingeführte
Diskussionsreihe „Let’s Talk Audit“, die
2

je zwei Mal pro Jahr in einer großen Runde
bzw. für die börsennotierten Unternehmen nach
jeweils einem Impulsreferat eine Diskussion mit
einer hochkarätigen Persönlichkeit in den
Räumen von Ernst & Young ermöglicht.
Aufgrund des Erfolges der Akademie Interne
Revision wurden ab Ende 2007 neue Büroräumlichkeiten
gesucht und schließlich auch im
U4 Center gefunden, wohin das Institut und die
Akademie im Februar 2009 übersiedelt sind.
Aufgrund des stark gestiegenen Aufgabenvolumens
wurde mit November 2008 auch Fr.
Tanya Sharma zur Unterstützung des Teams
aufgenommen.
Eine weitere wichtige Initiative für die Mitglieder
war die Übersetzung des COSO ERM in deutsche
Sprache und deren Publikation.
Parallel dazu wurde auch im Rahmen eines
Corporate Design Projektes gemeinsam mit der
Firma designtextur in Wien ein für Institut und
Akademie einheitliches, modernes Erscheinungsbild
erarbeitet. Das neue CD wurde bei
der Mitgliederversammlung 2009 vorgestellt
und wird ab sofort einheitlich verwendet.
Im Laufe der letzten drei Vorstandsperioden
wurde auch sehr intensiv die Frage der Mitgliederstruktur
diskutiert. Insbesondere vom IIA
kam der starke Druck, von der Unternehmensmitgliedschaft
auf die Individualmitgliedschaft
umzusteigen. Bei allen Modellen zeigten sich
jedoch bei einem Umstieg Nachteile für die Mitglieder
und/oder für das Institut. Wir sind der
Ansicht, dass die Unternehmensmitgliedschaft
für unsere Mitglieder sehr vorteilhaft ist, noch
dazu wo sie neben sehr günstigen Mitgliedsbeiträgen
nach wie vor auch die kostenlose Teilnahme
eines Unternehmensvertreters an Jahrestagungen
und ERFAs beinhaltet.
Die Mitgliederzahlen haben sich in den letzten
zehn Jahren überdurchschnittlich gut entwickelt
und das Vermögen hat sich im selben Zeitraum
rund verdreifacht. Diese Rücklagen sind
eine sehr wichtige Grundlage für weitere Projekte
und Initiativen des neuen Vorstands.
Es war für mich eine interessante, herausfordernde
Tätigkeit, die mir viel Freude und Erfüllung
und viele für mich wichtige, sehr nette
Kontakte und Freundschaften gebracht hat.
Ich möchte auch die Gelegenheit wahrnehmen
und mich sehr herzlich bedanken. Allen voran
bei meiner Frau und meiner Familie, die mich
oft entbehren mussten, bei meiner Kollegin
Weiszgerber und meinen Kollegen Wöhry,
Grabher, Mantsch, Reitmeier und Schuh im
Vorstand, denen ich insbesondere für deren intensive
Arbeit und das nette Arbeitsklima danke,
bei den Mitarbeiterinnen von Institut und
Akademie, Fr. Herrloss, Fr. Rautner und Fr.
Sharma für ihre intensive Unterstützung, bei
den Arbeitskreisleitern, den Vortragenden und
Referenten und bei allen Mitgliedern für ihre aktive
Teilnahme am Institutsgeschehen und den
Veranstaltungen.
Ich freue mich, dass es gelungen ist, einen
neuen Vorstand zu wählen, der aktiv und engagiert
seine Arbeit aufgenommen hat und wünsche
ihm eine erfolgreiche Tätigkeit für das Institut.
(Mag. Norbert Wagner)
IIA 07
Institut für Interne Revision
Audit Journal
Dr. Klaus Wöhry, CIA, CFSA – 9 Jahre im Vorstand des Instituts
Klaus Wöhry gehörte dem Vorstand des Instituts
für drei Vorstandsperioden (9 Jahre) als
Stellvertretender Vorsitzender an.
Viele Initiativen gingen von ihm aus und er war
bei der Umsetzung einer Reihe von Arbeiten
sehr aktiv tätig. So ist ihm und seinem temporären
Arbeitskreis das –inzwischen bereits aktualisierte
– Buch über das Interne Kontrollsystem
aus der Sicht der Internen Revision zu verdanken.
Klaus Wöhry leitete auch den Arbeitskreis
Privatversicherer und ist einer der Initiatoren
der Dreiländertagung der Privatversicherer, die
alternierend in Österreich, Deutschland und der
Schweiz stattfindet.
Eine sehr wichtige – und zeitintensive – Tätigkeit
war die Betreuung der website durch ihn.
Klaus Wöhry war auch in der CEE-Gruppe tätig,
deren Aufgabe der Erfahrungsaustausch
mit anderen nationalen Instituten im CEE-Raum
ist. Er war auch für einige Jahre im Board of
Regents des IIA sehr intensiv tätig und hat damit
nachhaltig an der Weiterentwicklung der
Zertifizierungen des IIA mitgewirkt. Dadurch er-
3

geben hat sich konsequenterweise auch die
Betreuung der CIA-Agenden in Österreich und
aller damit zusammenhängenden Arbeiten.
Klaus Wöhry war immer erreichbar und arbeitete
häufig und intensiv am Abend und am Wochenende
für das Institut. Ich danke seiner Frau
Uta für ihr Verständnis und ihm persönlich für
sein Engagement, seinen intensiven fachlichen
und zeitlichen Einsatz, seinen Humor und die
Möglichkeit, mit ihm in einer sehr angenehmen
und freundschaftlichen Atmosphäre arbeiten zu
können.
Klaus Wöhry hat die Gelegenheit, anlässlich
der Umstrukturierung des Wüstenrot Konzerns
eine neue, herausfordernde Tätigkeit außerhalb
der Internen Revision wahrnehmen zu können,
angenommen.
Ich wünsche ihm im Namen des „alten“ Vorstands
und ganz persönlich von mir viel Erfolg
in seiner neuen Funktion und danke ihm für die
vergangenen neun Jahre.
(Mag. Norbert Wagner)
Dr. Walter Mantsch, CIA - 9 Jahre im Vorstand des Instituts
Walter Mantsch gehörte dem Vorstand des Instituts
für drei Vorstandsperioden (9 Jahre) in
verschiedenen Funktionen an.
Walter Mantsch war bei der Umsetzung einer
Reihe von Arbeiten sehr aktiv tätig. So ist ihm
und seinem temporären Arbeitskreis das Buch
über das Risikomanagement aus der Sicht der
Internen Revision zu verdanken. Er vertrat den
Bereich Industrie im Vorstand und war bei einer
Reihe von Initiativen intensiv tätig.
Walter Mantsch scheidet auf eigenen Wunsch
aus dem Vorstand aus, den er lange Zeit mitgeprägt
hat.
Ich wünsche ihm im Namen des „alten“ Vorstands
und ganz persönlich von mir viel Erfolg
in seinem weiteren Berufsleben und danke ihm
für die vergangenen neun Jahre.
(Mag. Norbert Wagner)
Ich danke ihm für sein Engagement, seinen intensiven
Einsatz und die angenehme Arbeit mit
ihm für das Institut.
28. Mitgliederversammlung – 16. Juni 2009 in Wien
Die 28. Mitgliederversammlung des Instituts für
Interne Revision fand am 16. Juni 2009 wieder
im Don Bosco-Haus in Wien statt. Sehr erfreulich
für die Veranstalter war das große Interesse
der Mitglieder, das sich in der beachtlichen
Zahl der Teilnehmer zeigte.
Auf dem Programm stand neben dem Bericht
des Vorstandes über das abgelaufene Jahr
auch die Neuwahl des Vorstandes für die nächsten
drei Jahre. Hier waren Veränderungen angesagt,
da 3 der bisherigen Vorstandsmitglieder
nicht mehr zur Wahl angetreten sind.
In seinem Bericht gab der scheidende Vorsitzende
des Vorstandes einen Überblick über die
Highlights des Jahres 2008. Zu nennen waren
hier in erster Linie die Jahrestagung unter dem
Titel „URÄG und 8. EU-Richtlinie und ihre Auswirkungen
auf die IR“ in Pichl/Schladming, die
Erfas „Interne Revision – Gestaltung und Organisation
in der Praxis in Kombination mit Ergebnissen
CBOK-Befragung“ und „Das Interne
Kontrollsystem (IKS) in der IT“ aus 2008 sowie
das im März 2009 statt gefundene Erfa „Bewertungs-
und Visualisierungssysteme für Revisionsergebnisse“.
Beachtlich ist, dass bereits 10
Arbeitskreise (Privatversicherer, Banken, Public
Sector Group, New Auditors, CIA, EDV, SAP,
Universitäten, Energiewirtschaft, Wirtschaftskriminalität)
tätig sind. Erfreuliches konnte auch
über die Entwicklung der Akademie Interne
Revision und der CIA-Prüfungen über Computer
Based Testing berichtet werden. Übersetzt
und publiziert wurde das „Enterprise Risk Management
– Integrated Framework (COSO)“, zu
dem schon positive Rückmeldungen vorliegen.
Eine weitere Verbesserung im Seminarbetrieb
der Akademie Interne Revision und bei den
Rahmenbedingungen für die Administration
konnte durch den Bezug neuer Seminar- und
Büroräumlichkeiten in 1120 Wien, Schönbrunner
Straße 218-220 erreicht werden.
4

Daran anschließend gab Mag. Wagner eine
Zusammenfassung der wesentlichsten Aktivitäten
im Zeitraum 2000-2008. In diesen neun
Jahren lenkte er als Vorsitzender maßgeblich
die Geschicke des Institutes und gestaltete mit
seinen Vorstandskollegen die positive Entwicklung
unserer Interessensvertretung. Hinsichtlich
der einzelnen Projekte und Ergebnisse wird auf
den gesonderten Artikel in diesem Audit Journal
verwiesen.
Beruhigend ist sicherlich die stabile Vermögenslage
des Instituts, das im Jahr 2008 wieder
einen Überschuss erwirtschaften konnte. Gleiches
gilt für das Ergebnis der Akademie Interne
Revision. Hier bestätigte sich die Richtigkeit der
damals nach intensiven Diskussionen getroffene
Entscheidung, die Seminartätigkeit selbst
abzuwickeln.
Der aktuelle Mitgliederstand beträgt 384 Mitglieder,
wobei die Firmenmitgliedschaften den
weitaus größten Anteil darstellen. Heuer konnten
bereits 27 Beitritte vermerkt werden, sodass
von einer sehr positiven Mitgliederentwicklung
gesprochen werden kann.
Nach der Darstellung der eindrucksvollen internationalen
Aktivitäten folgte noch ein Ausblick
auf die kommenden Veranstaltungen.
Nach der Präsentation des Vorstandes erstattete
Prof. Dr. Hauser in seiner Funktion als
Rechnungsprüfer einen positiven Bericht über
die Finanzgebarung, sowohl des Instituts als
auch der Akademie, und stellte den Antrag auf
Entlastung des Vorstandes für das Jahr 2008,
die anschließend durch die Mitglieder erfolgte.
Professor Hauser nutzte die Gelegenheit, einen
kurzen Rückblick auf die Entwicklung des Instituts
in den letzten Jahren aus seiner Sicht zu
geben und sich als Rechnungsprüfer persönlich
zu verabschieden.
Im Anschluss fand die Neuwahl des Vorstandes
und der Rechnungsprüfer statt.
Mag. Birgit Fahrnberger
Mag. Thomas Goldstein, CISM
Dietmar Grabher, CIA, CISA
Helmut Reitmeier
Dr. Hannes Schuh, MBA
Mag. Eva Weiszgerber
Mag. Angela Witzany, CIA
wurden von der Mitgliederversammlung mit
außerordentlich hoher Zustimmung gewählt.
Zu Rechnungsprüfern bestellt wurden einhellig
Mag. Regina Rossgatterer, CIA
Mag. Manfred Schuster.
Auf eigenen Wunsch ausgeschieden aus dem
Vorstand sind Mag. Norbert Wagner, Dr. Klaus
Wöhry, CIA, CFSA, Dr. Walter Mantsch, CIA
und als Rechnungsprüfer Prof. Dr. Peter
Hauser.
Mag. Wagner wurde in Anerkennung seiner
langjährigen Tätigkeit als Vorsitzender des Vorstandes
und der erzielten Erfolge die Ehrenmitgliedschaft
beim Institut für Interne Revision
verliehen.
Nach einer Kaffeepause folgte der nächste Höhepunkt
der Veranstaltung – eine Lesung von
Heinz Marecek, die eigentlich ein freies Erzählen
von interessanten Ereignissen, lustigen Geschichten
und Vorkommen im Umfeld des
Theaterlebens war. Mit unvergleichlichem Humor
und Empathie berichtete er von ausgewählten
Begegnungen und Erlebnissen mit
großen Theaterschauspielern, die – so haben
wir erfahren – auch ihre Eigenheiten hatten. Die
Person Marecek und seine Erfolge an dieser
Stelle darzustellen, erübrigt sich, da er wohl allen
von uns durch seine zahlreichen Theaterund
Fernsehauftritte bestens bekannt ist.
Zum Abschluss der Veranstaltung wurde noch
das neue Corporate Design des Instituts und
der Akademie vorgestellt, das hinkünftig das
Erscheinungsbild in der Korrespondenz, den
Publikationen u.a. prägen wird. Es soll symbolisieren,
was auch generell gilt: Fortsetzen und
Anschließen an das bisher Geschaffene, Weiterentwickeln
des Bestehenden und Mut für
Neues.
(Mag. Eva Weiszgerber)
IIA 07
Institut für Interne Revision
Audit Journal
5

Bewertungs- und Visualisierungsergebnisse für Revisionsergebnisse –
Erfa am 12.3.2009
In Revision wird viel Wissen und Energie investiert.
Die Ergebnisse werden mit hohem Aufwand
und wohlüberlegt in Berichten dargestellt.
Wie rasch erkennt der Vorstand, der Aufsichtsrat,
der Prüfungsausschuss oder der oberste
Verantwortliche einer öffentlichen Einrichtung
die Bedeutung einer Feststellung in Bezug auf
den Prüfbereich und für das gesamte Unternehmen?
Woraus zieht er seine Informationen
– aus den Prüfberichten, aus Quartalsberichten
und aus Jahresberichten?
Welche Bewertungsansätze und Darstellungsformen
gibt es?
Was kann / soll mit Berichten sonst noch transportiert
werden?
Gibt es internationale Vergleichsmöglichkeiten?
Diese Fragen wurden von Praktikern für Praktiker
im Rahmen des Erfa „Bewertungs- und Visualisierungsergebnisse
für Revisionsergebnisse“
am 12.3.2009 beantwortet.
Im Revisionsbericht der Allianz Elementar
Versicherungs-AG, so Dr. Dieter Graßmück,
werden die Detailergebnisse in Hauptprüfgebieten
zusammengefasst, bewertet und mit einem
4-Farben-Ampelsystem dargestellt. Zweck ist
die Einschätzung des verbleibenden Restrisikos
unter Berücksichtigung der Gestaltung und
Effektivität des IKS. Die Aspekte der Bewertung
des Restrisikos wurden hinsichtlich der Dimensionen
Wahrscheinlichkeit und Auswirkungen
näher beschrieben. Die Prüfberichte bilden die
Basis einer Reportingpyramide, welche als
nächste Stufen das interne Quartalsreporting
und das Konzernreporting vorsieht. Das Quartalsreporting
gibt den Prüfungsstatus und den
Umsetzungsstatus von Empfehlungen wider.
Weiters ist seit vier Jahren ein Feedbacksystem
eingerichtet.
Die Einstiegsfrage von Oliver Fiedler -„Alles
Pizza, oder was?“ führte sehr rasch zu den
Bewertungs- und Darstellungsformen der Zumtobel
group. Feststellungen werden stets auf
Ordnungsmäßigkeit und Sicherheit bewertet.
Die Visualisierung erfolgt in vier, in einer aufsteigenden
Reihe und mit unterschiedlichen
Farben kolorierten Kreisvierteln. Kommentare
werden um Smileys ergänzt. Die Berichte folgen
dem Corporate Design des Unternehmens
und sind klar gegliedert. Die erste Seite des Berichtes
ist eine auf dem Business Process
Maturity Model basierende Darstellung der Bewertung.
Die Symbole ziehen sich im Bericht
konsequent durch.
Sektionschef Mag. Wilhelm Kellner, Rechnungshof,
erörterte die Frage der Darstellung
von Wert und Nutzen der Rechnungshöfe anhand
internationaler Vergleiche. Elemente von
Leistungsvergleichen sind Inputs und Outputs,
aber auch die quantitativ erfassbaren Outcomes,
wie zB Einsparungen durch Empfehlungen,
und die qualitativ erfassbaren Impacts, wie
zB der Beitrag zu Good Governance in der öffentlichen
Verwaltung. Gezeigt wurden Beispiele
des australischen, kanadischen, amerikanischen,
englischen und österreichischen Rechnungshofes.
Abgerundet wurde das Bild durch
eine Aufzählung der häufigsten Performance
Indikatoren europäischer Rechnungshöfe.
Mag. Werner Gutschik und Christian Hamberger
präsentierten die Visualisierung von Revisionsergebnissen
bei der Bank Austria Unicredit
Group. Der klar strukturierte Revisionsbericht
enthält eine Bewertungsdarstellung durch Pfeilsymbole
(Farbe und Richtung) in vier Bewertungsklassen.
Neben Management Summary
und Detailbericht werden noch ein Aktionsplan
und ein Tracking der Maßnahmen dargestellt.
Die Kommunikation mit den geprüften Einheiten
erfolgt über die Software „Aktionsplan-
Management International“. Die Monatsberichte
folgen der Darstellungslogik der Bewertung.
Der Quartalsbericht enthält statistische Aussagen
über durchgeführte Prüfungen und Revisionsergebnisse
(Overall Rating), ähnlich der
Jahresbericht. Das Berichtswesen wird durch
eine interne Reportingsoftware unterstützt.
Die Interne Revision des Finanzministeriums ist
funktional unmittelbar dem Minister unterstellt,
so Dr. Hannes Schuh. Er und die Top-
Führungskräfte des Ressorts sind Adressat der
Quartalsberichte und des Jahresberichtes. Die
Quartalsberichte sind knapp gehalten. Sie geben
in Tabellenform einen Überblick über laufende
Prüfungen und offene Umsetzungsmaßnahmen
und enthalten – anders als die Prüfberichte
– Bewertungen durch gedrehte Dreieckssymbole
in Ampelfarben. Der Jahresbericht hat
viele Zwecke zu erfüllen. Er dient der sachlichen
Ergebnisdarstellung, als Erstüberblick
über Findings zu einer Prüfung, als Info über
Personalentwicklung, über nationale und
6

internationale Vernetzung und als Marketinginstrument.
Die Revisionsabteilung des Lebensministeriums
umfasst nach Mag. Alexandra Finz zwei
Teilbereiche, das Referat EU-Finanzkontrolle
und das Referat Interne Revision. Die Bewertung
der Prüfungsfeststellungen erfolgt anhand
von Budgetgrößen, Kennzahlen / Leistungsindikatoren
und qualitativen Bewertungsmodellen.
Exemplarisch dargestellt wurden der Prüfbericht,
der Leistungsbericht und die Revisionsdatenbank.
Besonders interessant war das
konsequente, auch elektronisch unterstütze
Weiterziehen der Ampelbewertung in den Umsetzungs-
bzw. Follow Up Bereich. Jeder Bewertungsampel
steht eine Lösungsfortschrittsampel
gegenüber, Veränderungsschritte sind
damit auf einen Blick erkennbar.
Das Erfa ist bereits bei seiner Ankündigung auf
großes Interesse gestoßen. Mit zahlreichen
Anmeldungen nimmt es dabei einen Spitzenplatz
im Ranking der Erfas ein. Die Erfüllung
der hohen Erwartungen wurde durch die überaus
positiven Rückmeldungen vielfach bestätigt.
Die Teilnehmer haben eine Vielzahl guter
Anregungen mit nach Hause genommen.
Die Präsentationen stehen wie immer im Members-Bereich
der Homepage zur Verfügung.
(Dr. Hannes Schuh, MBA)
IIA 07
Institut für Interne Revision
Audit Journal
Ein Jahr CBT (Computer Based Testing) in Österreich – Zertifizierungen unter
neuer Technik
Im Juni 2008 wurden die ersten Registrierungen
und in den darauf folgenden Wochen die
ersten Prüfungen zum CIA in der neuen Form
durchgeführt. Für das Institut für Interne Revision
Österreich war es ein gewagter Schritt, da
sich ja unser deutsches Partnerinstitut, das
DIIR Deutsches Institut für Interne Revision,
gegen diese technische Weiterentwicklung entschieden
hat und die Prüfungen zum CIA etc.
nach wie vor in Papier und Bleistift abhält.
Wir in Österreich haben unseren anfänglichen
Widerstand gegen CBT aufgegeben und sind
zusammen mit fast allen Instituten weltweit auf
diese neue Technologie umgestiegen. Es war
für uns einfach der notwendige Schritt, um die
Prüfungen sicherer zu machen und den Service
für unsere Mitglieder bzw. die PrüfungskandidatInnen
wesentlich zu verbessern. Ich denke hier
vor allem an die Möglichkeit der Unabhängigkeit
von bestimmten Terminen und Orten und
die rasche (fast unmittelbare) Bekanntgabe der
Ergebnisse.
Verbunden mit dem Umstieg waren die Risiken
„Wie wird diese Form der Prüfung angenommen?“,
„Funktioniert die neue Technik?“ und
letztlich das finanzielle Risiko „Wegfall der
KandidatInnen aus dem benachbarten Osten“.
Jetzt 12 Monate später ist es Zeit ein erstes
Resümee zu ziehen:
Von den KandidatInnen wurde die neue Form
der Auslieferung der Prüfungen zu Beginn mit
etwas Zurückhaltung angenommen. Ein Grund
für die geringeren Anmeldezahlen zu Beginn ist
aber auch in einem gewissen Vorzieheffekt im
November 2007 begründet. Der November
2007 Termin sprengte alle bisherigen Teilnehmerzahlen
und lag bei ca. 150% der “normalen“
Termine. Seit dem vierten Quartal 2008 haben
sich die Anmeldungen unter CBT auf einem für
Österreich durchaus erfreulichen Niveau von
rund 20 Prüfungsteilen pro Monat stabilisiert.
Auch ist ein leichter Anstieg der Anzahl von
KandidatInnen aus Deutschland zu verzeichnen.
Nach anfänglichen technischen Problemen,
insbesondere im Registrierungsprozess mit
dem IIA Global hat sich dieses System eingespielt
und arbeitet mittlerweile großteils problemlos.
Hier ist es an der Zeit unserer Monika
Herrloss zu danken, die diesen Registrierungsprozess
und die gesamte CIA Administration zu
unserer und was noch wesentlich wichtiger ist,
zur vollsten Zufriedenheit der KandidatInnen
abwickelt. Nicht selten haben wir noch nach
22:00 Uhr über Zulassungen zur Prüfung und
allfällige Probleme telefoniert bzw. per Mail
kommuniziert und Monika hat jedes (mögliche)
Problem – auch im direkten Kontakt mit IIA
Global – geklärt.
Das System läuft inzwischen sehr stabil und
auch der Ausfall bzw. der Wechsel des Prüfungscenters
in Wien ging erfreulich und ohne
größere Probleme über die Bühne.
7

Bezüglich des erwarteten Einbruchs bei der
Zahl der Registrierungen (immerhin kamen bis
2007 ca. 50% der KandidatInnen aus dem benachbarten
CEE Ländern – insbesondere der
Slowakei) erfüllten sich unsere Prognosen erfreulicherweise
nicht. Einerseits konnten wir einen
Anstieg bei den österreichischen KandidatInnen
erzielen und andererseits wurden Teile
des Ausfalls durch „neue“ KandidatInnen aus
Deutschland aufgefangen, die sich zur Prüfung
unter CBT in Österreich oder der Schweiz registrieren
lassen können. Wir haben dieser Tage
die 200. Registrierung unter CBT vorgenommen
und liegen mit diesem Wert für 12 Monate
zwar noch leicht unter dem Wert von 2007,
aber deutlich über unserem langjährigen
Durchschnitt.
Die Entwicklung der Zertifizierungen unter CBT
verlief bis dato in Österreich deutlich besser als
im Rest der Welt. Die Entscheidung des Vorstand,
der neuen Technologie zu vertrauen hat
sich als richtig herausgestellt und wir können
dadurch unseren KandidatInnen eine nahezu
rund um die Uhr Prüfungsmöglichkeit anbieten,
die es ihnen auch ermöglicht, auf der ganzen
Welt (ohne Deutschland, Israel und China) die
Prüfung in deutscher Sprache abzulegen. Und
auch diese Möglichkeit wird genutzt; wir hatten
schon einige KandidatInnen, die die Prüfung in
Hongkong, Australien, Japan oder den Vereinigten
Staaten abgelegt haben.
Natürlich hat sich auch der Stellenwert des Certified
Internal Auditors (CIA) – als Nachweis eines
umfangreichen Wissens rund um die Interne
Revision – in den letzten Monaten weiter
verbessert. So werden CIAs bei diversen Stellenausschreibungen
bereits gezielt angesprochen
und gesucht und auch die Aufsichtsbehörden
des österreichischen Finanzmarktes
(FMA) akzeptiert einen CIA oder CFSA als
Spezialist (fit and proper) in Sachen Interner
Revision.
Ich blicke mit einer gewissen Zufriedenheit und
auch etwas Stolz auf die Entwicklung des CIA
und der IIA Zertifizierungen in Österreich zurück.
Was mit dem hohen persönlichen Einsatz
von Dipl. Ing. Gerold Frank 1998 und der ersten
Prüfung mit sieben Kandidaten begonnen hat,
hat sich zu einem notwendigen, akzeptierten
und auch geforderten Standardangebot des Instituts
und der Wirtschaft entwickelt.
Erlauben Sie mir zum Abschluss meiner
9-jährigen Tätigkeit im Vorstand des Instituts
und als Leiter des Arbeitskreises Privatversicherer
noch zwei, drei Sätze in eigener Sache.
Ich habe die Interne Revision auf eigenen
Wunsch (20 Jahre in einer Tätigkeit sind einfach
genug und der Mensch braucht neue Herausforderungen)
verlassen. Nachdem ich aber
nicht nur Interner Revisor gewesen bin, sondern
– und alle die mich näher kennen, werden
das bestätigen – die Interne Revision praktisch
gelebt habe, bleibe ich dieser Profession und
dem Institut natürlich verbunden.
Ich bedanke mich bei allen Kolleginnen und
Kollegen, die mich in den letzten 9 Jahren unterstützt
haben und wünsche euch/Ihnen allen,
den CIAs, den Zertifizierungen und dem Institut
für Interne Revision Österreich – IIA Austria,
sowie dem neuen Vorstand alles erdenklich
Gute und einen weiteren Weg steil nach oben.
(Dr. Klaus Wöhry, CIA, CFSA)
8

Viel Energie für URÄG und Contracting!
Seit seiner Gründung im Herbst 2006 belebt
der AK Energiewirtschaft die Arbeitskreis-
Szene des IIA Ö.
Im Jahr 2009 wurden bereits zwei kräftige Lebenszeichen
gesetzt. Nach der intensiven Auseinandersetzung
mit den Thema „Unternehmensrechtsänderungsgesetz“
auf der IIR Ö-
Jahrestagung im September 2008 kam der AK
am 11.3.2009 am neuen Sitz des IIR Ö zum
Thema „ÜRAG“ (und die Folgen) zusammen,
um sich abseits von Panik und Verdrängung mit
dem professionellen Umgang mit den neuen
Herausforderungen in Richtung Aufsichtsrat /
Audit Committee / Prüfungsausschuss auseinanderzusetzen.
Impulsreferate und die intensive
Diskussion führten zu zahlreichen interessanten
Erkenntnissen.
Tief in das operative Tagesgeschäft ging es
beim relativ spontan organisierten Branchen-
Erfa über das Thema „Prüfung des Contractings“,
zu dem die Kärntner Elektrizitäts AG
(Kelag) nach Klagenfurt eingeladen hatte. Konkrete
Erfahrungsberichte und geplante Revisionsansätze
wurden den interessierten Teilnehmern
gleichermaßen geboten.
Die beiden Veranstaltungen haben gezeigt, wie
sinnvoll und wichtig es ist, sich unter Revisoren
sowohl in grundlegenden als auch in Detailfragen
auszutauschen und das Netzwerk des IIR
Ö zu nützen. Die nächsten Pläne werden schon
geschmiedet.
(Dr. Markus Fally)
IIA 07
Institut für Interne Revision
Audit Journal
Prüfung von Telebankingsystemen
Die Medienberichterstattung Anfang 2009 „ Spitzenbeamter soll bis zu € 60 Mio auf private Konten verschoben
haben“ zeigt die Anfälligkeit von Telebankingsystemen für dolose Tathandlungen mit beträchtlichen
Schadenssummen von unternehmensinternen Tätern.
Aufgrund der vorhandenen Risiken wird versucht, eine für die Interne Revision in der Praxis anwendbare
Checkliste zu generieren. Der Schwerpunkt der Checkliste ist die Verhinderung von dolosen Handlungen,
die von Mitarbeitern bei der Durchführung von Telebanking begangen werden.
Tathandlungen von Mitarbeitern im Rechnungswesen
Die Tathandlungen von Mitarbeitern im Rechnungswesen betreffend den Zahlungsstrom nach außen
können aufgrund der abteilungsspezifischen Gliederung wie folgt kategorisiert werden.
Abteilung Finanzbuchhaltung:
Buchung von Rechnungen fiktiver Kreditoren
Hinzufügen eigener Kontonummern bei bestehenden Kreditoren und nachfolgende Buchung fiktiver
Belege
Ausnutzen von Zeichnungsberechtigungen auf Firmenkonten für Abhebungen und fiktive Buchungen
Abteilung Zahlungsverkehr:
Eingriffe in den elektronischen Zahlungsvorschlag (Ändern von Kontonummern, Hinzufügen
oder Austausch von Zahlungsempfängern)
Hinzufügen von betrügerischen Zahlungspositionen zum normalen manuellen Zahlungsverkehr
Täter: Zumeist Mitarbeiter, die für die Bedienung des Telebanking verantwortlich sind.
9

Der Schwerpunkt der gegenständlichen Untersuchung ist auf die beschriebene Tathandlung im Zahlungsverkehr
gerichtet. Es sollte aber auch beachtet werden, dass eine längere Tatdauer auch manipulative
Eingriffe in der Kreditorenbuchhaltung erfordert. Ansonsten würde die Tat bei der Ausbuchung
des Kreditors mit dem Bankbeleg auffallen. 1 Insofern ist auch zu unterscheiden zwischen Tathandlungen,
bei denen der Täter versucht einen "großen Coup" zu landen und einen namhaften Betrag in einer
Einmalaktion abzuzweigen (und dabei eine baldige Entdeckung in Kauf nimmt) und Tathandlungen, bei
denen der Täter über einen längeren Zeitraum seine betrügerischen Handlungen begeht und dabei das
Entdeckungsrisiko möglichst klein halten will.
Beschreibung der Tathandlungen im Zahlungsverkehr
Bei dolosen Handlungen im Zahlungsverkehr können zwei Hauptrisiken identifiziert werden:
Einsatz veralteter Telebankingsysteme
Schwachstellen beim IKS im Zahlungsverkehr
Die Schwachstellen von veralteten Systemen ist in folgenden Komponenten ersichtlich:
Der TAN – Code wird nicht direkt von den Inhabern in das System eingesetzt. Dieser wird den
Mitarbeiter für die Bedienung des Telebanking mündlich mitgeteilt oder auf den Zahlungsvorschlag
geschrieben.
Der TAN – Code wird zwar auf einem Computer im Zahlungsverkehr vom Inhaber eingesetzt,
jedoch wird das Datenpaket nicht sofort versendet.
Das System unterstützt keine angemessenen Passwortregeln (zB Mindestlänge, Verfallszeit,
zwingende Verwendung von Sonderzeichen, Zahlen, Groß-/Kleinschreibung).
Das System unterstützt keine angemessene Rechteverwaltung (zB in Systemadministratoren,
Erfasser und Unterzeichner).
Besonders kritische Systemtransaktionen können im System nicht auf ausgewählte Benutzer
(zB Systemadministratoren) eingeschränkt werden (zB Ändern/Löschen von importierten Datenbeständen,
Änderung/Löschung von Systemprotokollen, Anlegen/Ändern von Benutzern
bzw. Benutzerrechten, Änderung der Systemparameter).
In sämtlichen dieser Fälle sind die Mitarbeiter im Zahlungsverkehr - direkt oder indirekt - in Besitz des
TAN – Codes und können vor dem Versand der Daten Änderungen im Zahlungspaket vornehmen oder
eigene Zahlungspakete einspielen.
Schwachstellen im IKS sind unter anderem:
Der TAN – Code (oder TAN Generator) wird nicht so aufbewahrt, dass nur der tatsächlich Berechtigte
darauf zugreifen kann ("unter der Schreibunterlage").
Es gibt kein geregeltes Verfahren für die TAN - Weitergabe in Notfällen (zB kein Zeichnungsberechtigter
im Büro anwesend)
Keine strikte Funktionstrennung zwischen Erfassung und Freigabe von Zahlungspaketen (zB
Erfassung von Zahlungspaket und erste Freigabe von ein und derselben Person).
Das Vieraugen-Prinzip (zB Doppelzeichnung von Zahlungen) ist zwar implementiert, entspricht
nicht den bei sensiblen Zahlungsvorgängen notwendigen Erfordernissen (zB relative Unabhängigkeit
der Zeichnungsberechtigten, hierarchische Gleichstellung beider Personen - Gefahr von
"Gefälligkeits-" oder "Blindunterschriften").
Keine angemessene Stichprobenkontrolle von Zahlungspaketen (zB Abstimmung zwischen
Zahlungsvorschlagsliste und Summe importiertes Zahlungspaket, Durchsicht der Zahlungspakete
auf Auffälligkeiten, Anforderung von Ursprungsbelegen beim Erfasser).
Kein geregeltes Verfahren für den Umgang mit Importdateien (zB sofortige, besser automatische
Löschung nach erfolgreichem Import).
1
Sofern keine automatisierte Ausbuchung bei Erstellung des Zahlungsvorschlages erfolgt. In diesen Fällen wird jedoch die Ausbuchung
über Abstimmkonten durchgeführt.
10

Risikoorientierte Betrachtung der Kernprozesse im Telebanking
Eine grafische Darstellung der Kernprozesse zeigt nachfolgendes Bild:
IIA 07
Institut für Interne Revision
Audit Journal
11

Prüfung der wesentlichen Maßnahmen in Form einer Checklist
Für die Prüfung bestehender Telebankingssysteme werden folgende Fragestellungen empfohlen:
Besteht eine Funktionstrennung in der Kreditorenbuchhaltung (Bereiche Buchung, Anlage Kreditor,
Verwaltung der Kreditorenstammdaten, Bearbeitung des Zahlungsvorschlages)?
Wenn nein: Welche Stichproben- oder sonstigen Kontrollen gibt es, um diese Schwachstelle zu
mildern?
Besteht eine Funktionstrennung zwischen der Finanzbuchhaltung und dem Zahlungsverkehr?
Wenn nein: Siehe oben ;-)
Besteht ein Berechtigungskonzept für das Telebankingsystem mit der notwendigen Funktionstrennung
in - zumindest - Systemadministratoren (dürfen keine Zahlungsaktivitäten durchführen),
Erfassern (dürfen Zahlungsdaten erfassen oder importieren, aber nicht freigeben) und
Freigebern (dürfen Zahlungsvorgänge freigeben aber weder erfassen, importieren oder ändern)?
Unterstützt das Telebankingsystem state-of-the-art Passwortregeln?
Besteht ein Berechtigungskonzept für jenen Speicherort, wo der Zahlungsvorschlag aus der Finanzbuchhaltung
gespeichert wird?
Welche Personen besitzen Schreibzugriffe auf diesen Speicherort?
Wie ist die Sicherheit der Daten auf den Transportweg gewährleistet (Finanzbuchhaltung –
Speicherort –Telebankingsysteme)?
Wer besitzt die TAN–Codes (Listen oder Karten bzw. Token zur Generierung von Codes) und in
welchen Kombinationen können die TANs eingesetzt werden?
Besteht darüber ein schriftliches Konzept?
Entspricht dieses Konzept tatsächlich den aktuellen Zeichnungsberechtigungen auf den Bankkonten?
Wie werden die TAN’s verwahrt? (Listen oder Karten oder Token)
Wie werden die Daten von den Inhabern der TANs vor dem Einsetzen kontrolliert?
Ist die Veränderbarkeit der Daten nach dem Einsetzen der TANs ausgeschlossen?
Werden die TANs vom Inhaber persönlich im Telebanking-System eingesetzt oder werden sie
den Bedienern der Software Telebanking mitgeteilt?
Welche Kontrollen werden nach erfolgreicher Versendung des Datenpaketes durchgeführt?
Welche Kontrollen werden bei erfolglosen Sendeversuchen von Datenpaketen oder vom Telebankingsystem
zurückgewiesenen Zahlungsfreigaben durchgeführt?
Werden von der kontoführenden Bank Kontrollen durchgeführt, ob der im Zahlungsvorschlag
angeführte Zahlungsempfänger mit der angeführten Kontonummer übereinstimmt?
Werden nur die Summen oder auch die einzelnen Buchungen kontrolliert? (z.B Sendeprotokoll,
Kontoauszüge)
Wie wird diese Kontrolle dokumentiert (Ablage Sendeprotokoll)?
Werden zu der Abstimmung mit der Kreditorenbuchhaltung originale Bankauszüge oder ein eigener
ausgedruckter Kontoauszug verwendet?
Wie wird das Ausbuchen des Kreditors (Kreditor/Bank) durchgeführt?
Werden zumindest einmal jährlich Datenanalysen in der Kreditorenbuchhaltung durchgeführt
(Zumindest: an welche Kreditoren wurden die meisten Zahlungen geleistet).
Erfolgt in regelmäßigen Abständen eine Prüfung des Rechnungswesens, insbesondere der
Kreditorenbuchhaltung (zB durch die Interne Revision)?
Unterschätztes Risiko: Manueller Zahlungsverkehr
Beim automatischen Zahlungsverkehr wird zB aus der Kreditorenbuchhaltung ein Zahlungsvorschlag
gemacht und sämtliche relevanten Zahlungsdaten werden vom System generiert und an das Telebankingsystem
übergeben. Daneben gibt es aber in jeder Organisation einen mehr oder weniger umfangreichen
manuellen Zahlungsverkehr, bei dem Zahlungsvorgänge – aus welchem Grund immer – direkt
im Telebankingsystem erfasst werden. Bei diesem Verfahren ist es ungleich leichter, betrügerische Daten
einzuschleusen als beim automatischen Zahlungsvekehr.
Dieses höhere Risiko sollte sich auch beim IKS niederschlagen, zB durch mehr Stichproben oder andere
Freigaberegelungen für manuelle Zahlungsvorgänge.
12

Unbekanntes Risiko: Betrügerische Handlungen in der Debitorenbuchhaltung
Das Risiko von dolosen Handlungen im Bereich der Zahlung von Kreditoren ist hinlänglich bekannt.
Weniger bekannt ist hingegen das Risiko von betrügerischen Handlungen im Zusammenhang mit Zahlungseingängen.
Dabei gibt es in fast jeder Organisation Bagatellbetragsgrenzen für Zahlungsabzüge von Kunden (zB zu
viel oder zu spät abgezogener Skonto, Abrundungen bei der Zahlung). Wenn nun bei Zahlungseingängen
regelmäßig solche fiktiven Zahlungsabzüge gebucht und auf einem Konto mit vielen Bewegungen
versteckt werden, so sammeln sich mit der Zeit namhafte Beträge an, die nur noch per manueller Zahlungsanweisung
auf das Konto des Täters transferiert werden müssen. Dabei ist das einzige Entdeckungsrisiko
für den Täter die Zahlungsanweisung. Ein Entdeckungsrisiko auf Ebene der Buchhaltungskonten
gibt es nicht, die Konten sind sämtliche korrekt ausgeziffert.
IIA 07
Institut für Interne Revision
Audit Journal
Darstellung der wesentlichen Maßnahmen gegen die vorhandenen Risiken
Die Funktionstrennung zwischen der Kreditorenbuchhaltung und dem Zahlungsverkehr ist eine wesentliche
Maßnahme, um längerfristige Tathandlungen zu verhindern. Nach der Bezahlung muss der Kreditor
gegen die Bank ausgebucht werden, d.h. die Zahlungen müssen sich auch in der Kreditorenbuchhaltung
wieder finden. Falls in einem Unternehmen die Kreditorenbuchhaltung und die Bedienung der
Telebankingssysteme von denselben Personen durchgeführt werden, besteht ein großes Risiko.
Der Zahlungsvorschlag wird zumeist aus einem System der Finanzbuchhaltung exportiert und für den
Import in das Telebanking auf einen Speicherort gestellt. Für diesen Speicherort sollten die Schreibzugriffe
nur nach dem „need to know“ Prinzip vergeben werden.
In einigen Fällen gelang es den Tätern in Besitz der TANs zu kommen, da diese mangelhaft verwahrt
wurden. Die Verwahrung in einer offenen Schreibtischlade bzw. an einem allgemein zugänglichen
Speicherort entspricht nicht den erforderlichen Sicherheitsstandards.
Das überwiegend vorliegende Tatbild zeigt, dass von den Tätern nach dem Einsetzen der TANs in den
Daten Veränderungen vorgenommen werden. In der Praxis werden die TANs von den Inhabern auf den
Zahlungsvorschlag geschrieben, den ausführenden Mitarbeiter (= Täter) im Zahlungsverkehr mündlich
mitgeteilt oder auf den PC des ausführenden Mitarbeiters eingesetzt. In allen diesen Fällen ist das Paket
offen und können von Mitarbeiter Veränderungen vorgenommen werden. Bei modernen Telebankingssystemen
werden die Daten den Zeichnungsberechtigten zur Verfügung gestellt geprüft und sind
nach Einsetzen der TANs gesperrt. Bereits an dieser Stelle sei angeführt, dass moderne Telebankingssysteme
(Kartensysteme bzw. Generierung von Codes über Token) diesen Anforderungen entsprechen.
Nach der Bezahlung der Kreditoren muss die getätigte Zahlung auch in die Finanzbuchhaltung einfließen.
Das heißt, grundsätzlich sollte die bezahlte Summe den offenen Kreditorenforderungen laut dem
aus der Finanzbuchhaltung erstellen Zahlungsvorschlag entsprechen. Es sollte daher diese Abstimmungstätigkeit
nicht in den Verantwortungsbereich eines Mitarbeiters im Zahlungsverkehr stehen.
In den Daten der Finanzbuchhaltung sollten regelmäßig Datenanalysen durchgeführt werden. Es sollte
der Abteilung Internen Revision möglich sein, sich Daten aus der Kreditorenbuchhaltung zu beschaffen
und diese nach bestimmten Kriterien auszuwerten. Bereits durch eine Auswertung, welche Kreditoren
die meisten Zahlungen erhalten haben, würden Tathandlungen früher entdeckt werden.
Manuelle Zahlungsvorgänge sollten besonders kritisch hinterfragt und geprüft werden und ein entsprechend
starkes IKS sollte für diese Transaktionen vorhanden sein.
13

Zusammenfassung
Tathandlungen von eigenen Mitarbeitern im Bereich des Telebanking sind zumeist aufgrund erheblicher
Lücken in den Internen Kontrollsystemen möglich. Die beste Prävention gegen diese Tathandlung ist
eine.
Funktionstrennung zwischen Kreditorenbuchhaltung und Zahlungsverkehr
Verwendung moderner Telebankingssysteme (Karten oder Token), bei denen die Daten nach
dem Einsetzen der Codes bzw. nach dem Lesen der Karte nicht mehr verändert werden können,
und welche einen angemessenen Schutz des Telebankingsystems an sich unterstützen
(Berechtigungskonzept, Passwortschutz).
(Bernhard Fromm und Dietmar Grabher, CIA, CISA)
Mit Massendatenanalyse einen Stein ins Rollen bringen
1. Vorbemerkungen
Bossert & Partner, ein auf Revisionsdienstleistung
fokussiertes Beratungsunternehmen
wurde von einem Unternehmen der „öffentlichen
Hand“ beauftragt, eine Prüfung des an einen
Dienstleister vergebenen Parkhausmanagements
durchzuführen. Trotz oder gerade wegen
langjähriger Zusammenarbeit war in der
Vergangenheit noch keine Prüfung durchgeführt
worden, die wirtschaftliche Bedeutung der
Parkraumbewirtschaftung war in den letzten
Jahren jedoch deutlich gestiegen.
Gegenstand der Parkraumbewirtschaftung waren
drei Parkhäuser, mehrere Parkplätze sowie
so genannte Kurzparkzonen. Alle Gebäude und
Grundstücke befinden sich im Besitz des Unternehmens
(Eigentümer), der Dienstleister ist
Betreiber der Parkhäuser und Eigentümer der
Einrichtungen (Automaten etc.) sowie der notwendigen
IT-Struktur.
Im nachfolgenden werden die einzelnen Schritte
beschrieben:
„halbmanuelle“ Prüfung
Massendatenanalyse 8 Millionen Datensätze
Fehlerfeststellungen
Vertragssituation
Prognostizierte Mehreinnahmen
2. Vorgefundene Situation
Im angetroffenen Zustand kümmerte sich der
Betreiber um folgende Prozesse:
A. Kernprozesse:
Instandhaltung/Wartung
Parkzeitermittlung
Kassieren/Faktura
Geldentsorgung bzw. Abrechnung gegenüber
Kreditkartenorganisationen
Pachtabrechnung gegenüber dem
Eigentümer
(nicht kontrollierbar!)
B. Hilfs- bzw. Serviceprozesse
Einkauf/Beschaffung
Bewachung
Buchhaltung
Die Aufgabe des Eigentümers der Parkhäuser
beschränkte sich auf das Dienstleistungsmanagement
(Kenntnisnahme der gemeldeten Umsätze,
Vertragsgestaltung und -prüfung). Ob
damit wirklich alle notwendigen Aufgaben abgedeckt
sind, dazu später.
Die Zusammenarbeit zwischen Eigentümer und
Betreiber der Parkhäuser war grundsätzlich erfolgreich,
jedoch gab es in den letzten Monaten
mehrere Anhaltspunkte, die eine nähere Betrachtung
nahe legten.
Hierzu gehörten im Wesentlichen
die bereitgestellten Statistiken sind nicht
nachvollziehbar und lassen sich nicht nachträglich
erzeugen
der abgeschlossene Dienstleistungsvertrag
ist kurz und nichtssagend, sprich: Wichtige
Dinge sind nicht geregelt
ein direkter Zugriff auf das System der Parkraumbewirtschaftung
durch den Eigentümer
wurde zunächst abgelehnt, lief dann im Weiteren
nicht zufriedenstellend
die Frage an den Betreiber nach der
GdPdU- Fähigkeit der eingesetzten
14

Software konnte nicht beantwortet werden,
sie wurde, schlimmer noch, nicht verstanden
Oberstes Ziel der Revisionsprüfung war der
Nachweis der Richtigkeit der Provisionsabrechnungen
der vergangenen Jahre. Hierzu war es
erforderlich, die naturgemäß großen Datenmengen
einer genauen Prüfung zu unterziehen.
Für diese Aufgabe wurde WinIdea als Analyseinstrument
eingesetzt, die Arbeiten wurden
durch einen speziell ausgebildeten Mitarbeiter
von Bossert & Partner durchgeführt.
Im Verlauf der Prüfung ergab sich aufgrund des
Verlaufs noch die Zielrichtung, möglicherweise
Versäumnissen in der Vertragsbeziehung bzw.
Fehler in der Provisionsabrechnung nachzuweisen,
um den Vertrag sowohl in inhaltlicher
Hinsicht (bessere Definition der Aufgaben) sowie
naturgemäß in konditioneller Hinsicht nachzubessern.
Dies umso mehr, als der Vertrag
langfristig zu aus Eigentümersicht nicht befriedigenden
Konditionen abgeschlossen worden
war.
3. Prüfung des IT-Systems der Parkhäuser
Vor dem Hintergrund, dass die Bewegungsdaten
eines Jahres von mehreren tausend Parkplätzen
einer Prüfung zu unterziehen sind, liegt
es nahe, dies mit einem modernen Analyseinstrument
für Massendaten durchzuführen.
Letztlich mussten hier die Belegläufe aller einzelnen
Abrechnungen untersucht werden, da
diese in Summe Grundlage der Provisionsabrechnung
sind – ein typischer Fall für die Fragestellung
„vom Urbeleg zum Ergebnis“.
3.1. GdPdU
Die Grundsätze zum Datenzugriff und zur Prüfbarkeit
digitaler Unterlagen (GDPdU) regeln
den automatisierten Datenzugriff der Finanzamtprüfung
auf steuerrelevante Tatbestände.
Dies bedeutet, dass in digitalen Systemen erstellte
Daten mittels spezieller Revisions-
Software unmittelbar auswertbar sein müssen.
Bereits in einem Vorgespräch bezog der
Dienstleister die Position, diese Systeme würden
nicht der GDPdU unterliegen, da es sich
um ein Kassen- und nicht um ein Buchführungssystem
handeln würde.
Diese Aussage ist nicht richtig. Da jeder Bezahlvorgang
einen Umsatzsteueranteil enthält
(auch Parken ist ein umsatzsteuerrechtlicher
Vorgang!), müssen sämtliche Daten auch digital
gespeichert werden. Da dies systemseitig
nicht gewährleistet ist, hätte durch einen Finanzamtprüfer
die gesamte Buchhaltung verworfen
werden können.
Durch die fehlende GdPdU-Archivierung war
ein Datenzugriff zur Überprüfung der in den Abrechnungen
aufgeführten Umsätze nicht möglich.
3.2. Abgleich der Umsatzmeldung mit
vorgelegten Unterlagen
Es wurde versucht, mittels der täglich erstellten
Sicherungskopien eine Bestätigung des Jahres-
Umsatzes herbeizuführen. Da die enthaltenen
Datensätze aufgrund ihres Formates nicht automatisch
auswertbar waren, wurde eine individuelle
Software erstellt. Diese Prüfung erfolgte
„halb-manuell“.
Bei Abzug der Sicherungskopien wurde erklärt,
dass diese den Umsatz nicht vollständig ausweisen.
Ursache war eine alte IT-Version bei
mehreren Ausfahrtsschranken, welche die Kreditkartenumsätze
nicht in die Sicherungskopien
einfließen ließen. Der Abgleich der Sicherungskopien
mit den Abrechnungen ergab eine Differenz
von knapp 7% des gemeldeten Jahresumsatzes.
Es wurde untersucht, inwieweit die Differenz
auf fehlende Schrankenumsätze zurückzuführen
war. Hierzu wurden die entsprechenden
Umsätze aus den Tagesabrechnungen erfasst.
Es wurde festgestellt, dass nur ca. die Hälfte
des Betrages durch fehlende Schrankenumsätze
begründet ist, die andere Hälfte ergibt sich
daraus, dass Kassenautomaten zeitweise keine
Umsätze an die Sicherungskopien gemeldet
hatten.
Bis zu diesem Stand waren die Daten lückenhaft,
nicht nachvollziehbar und unzureichend
dokumentiert, es konnte also keine automatisierte
Prüfung mittels einer Revisionssoftware
durchgeführt werden.
3.3. Sonstige Auffälligkeiten
A) Ereignisjournal
Mittels des Ereignisjournals werden Systemeingriffe
wie z.B. Automatenöffnungen, Ticketstaus
oder Gerät autark protokolliert. Aus Revisionssicht
geben die pro Automat und Schranke
aufgeführten Ereignisse Hinweise auf fehlerhafte
Bearbeitungen oder stellen Sonderfälle
dar. Es bestand der Mangel, dass dieses Journal
systemseitig nur für 79 Tage gespeichert
IIA 07
Institut für Interne Revision
Audit Journal
15

wurde. Eine Speicherung analog der gesetzlichen
Aufbewahrungsfristen für Buchhaltungs-
Unterlagen ist nach Ansicht der Berichterstatter
erforderlich.
Bei der Analyse der noch zur Verfügung stehenden
Ereignisjournale wurde festgestellt,
dass die Protokollierung teilweise fehlerhaft ist.
So wurden zum Beispiel die Automatentüren
2.875-mal geöffnet, aber nur in 2.704 Fällen
geschlossen. Ursache hierfür waren angeblich
fehlerhafte Sensorenmeldungen. Auch zeigte
die Analyse sowie Befragungen, dass die Betriebsleiter
die enthaltenen Informationen nicht
ausreichend nutzten.
B) Anlagenbezogener Umsatz
Jeder Kassenautomat und jede Ausfahrtschranke
war einem Parkhaus als Abrechnungsbereich
zugeordnet (z.B. P1 bis P5). Die
Umsätze dieser fünf Bereiche wurden in jeweils
einer schichtbezogenen Abrechnung zusammengeführt.
Diese Auswertung stellte eine Betrachtung
nach dem Zahlungsort dar.
Da ein Kunde, der z.B. im P5 parkte, sein Ticket
auch an einem Kassenautomaten des P4
oder P3 bezahlen konnte, war auf den schichtbezogenen
Abrechnungen eine separate Statistik
vorhanden, die sich nach dem Parkbereich
des Kunden richtete. Diese Statistik wurde als
„Anlagenbezogener Umsatz“ bezeichnet. Der
„Anlagenbezogene Umsatz“ gab die Erlöse der
einzelnen Parkbereiche an. Bei der Überprüfung
der Beträge wurde festgestellt, dass sich
die Summe des „Anlagenbezogenen Umsatzes“
nicht mit dem Gesamtumsatz der Schichtbezogenen
Abrechnungen deckte (Abweichung
bis zu 1%).
C) Fehlende Auflistung Ein- und Ausfahrten
Die in den Sicherungskopien gespeicherten Daten
gaben nur Auskunft über bezahlte Parkvorgänge.
Alle Informationen zu Ein- oder Ausfahrten,
die keinem Zahlvorgang zugeordnet werden
konnten, wurden nach kurzer Zeit gelöscht.
Zur Kontrolle (z.B. welche Einfahrten wurden
nicht abgerechnet) sowie für statistische Zwecke
sollten aber sämtliche Bewegungsdaten
langfristig archiviert werden, was nicht erfolgte.
D) Fehlerhafter Umsatzsteuerausweis
Die Umsatzsteuer wurde nur mit zwei Nachkommastellen
berechnet. Dies führte zu Rundungsdifferenzen
von bis zu € 7,00 pro Parkhaus
und Tag. Üblicherweise wird bei anderen
IT-Systemen zur Vermeidung dieser Differenzen
mit sechs Nachkommastellen gerechnet.
(Anmerkung: Allein diese Tatsache sollte ausreichen,
um bei einer Umsatzsteuerprüfung
eindeutige Fragen der Finanzverwaltung mit
evtl. weitreichenden Folgen zu provozieren.)
4. IT-System Kurzparkzone
Hier waren mehr als 10 Automaten installiert.
Die Geldverwaltung war hier erleichtert, da die
Automaten kein Wechselgeld herausgaben,
d.h. der Kunde zahlte für eine beabsichtigte
Parkzeit. Bei der Prüfung wurden folgende
Schwachstellen ermittelt:
A) Fehlende IT-Einbindung
Die Umsatzmeldung erfolgte bei Automatenleerung
mittels Ausdruck eines Kassenstreifens.
Aufgeführt wurden z.B. Tagesumsatz, lfd. Abschlags-Nr.
und aufgelaufener Umsatz. Eine
Darstellung der Umsätze und Zeiten pro Parkvorgang
war nicht möglich. Insofern war eine
Prüfung nur eingeschränkt möglich und musste
sich auf die aufwendige manuelle Eingabe der
Daten aus den Kassenstreifen beschränken
(3.500 Kassenstreifen mit jeweils zehn Angaben).
B) Fehlerhafte Umsatzdarstellung
Bei der vorgenommen Eingabe aller Umsätze
wurde festgestellt, dass zwischen den Tagesund
den aufgelaufenen Summen Differenzen
entstanden. Zwar waren diese tages- und gerätebezogen
insgesamt im geprüften Zeitraum
etwas unter EUR 1.000 (täglich von € 0,10 bis
zu € 2,00), sie zeigten aber, dass das System
nicht ordnungsgemäß programmiert war. Insoweit
waren auch weitere Fehler möglich, die
aufgrund des fehlenden Datenbestandes aber
nicht ermittelt werden konnten (siehe Pkt. 6).
Insgesamt ergab die Prüfung, dass die Abrechnungen
aufgrund einer fehlerhaften Programmierung
eine Vielzahl von Abweichungen aufwiesen
(in 2006 haben 48% aller Abrechnungen
mindestens eine Differenz zwischen Tageswert
und kumulierten Umsatz- oder Ticketzähler).
Da durch diese Fehler eine ordnungsgemäße
Umsatzdarstellung nicht gegeben war
und zudem keine Einzeldaten pro Zahlungsvorgang
vorlagen, konnten die gemeldeten Umsätze
aus der Kurzparkzone nicht aussagekräftig
geprüft und bestätigt werden.
16

5. Operative Mängel in den Prozessen
Fehlender Umsatzabgleich
Im operativen Geschäft orientierten sich die
Mitarbeiter des Parkhausbetreibers nur nach
den Geldbeständen aus den Automatenleerungen.
Die entnommenen Beträge wurden gezählt
und mit dem bei der Leerung vom Kassenautomaten
ausgedruckten Bon abgeglichen.
Eine Kontrolle bzw. ein Abgleich mit den auf
den Abrechnungen aufgeführten Umsätzen erfolgte
nicht. Außerdem wurde der Bon nach
dem Bargeldabgleich vernichtet und nicht der
Kassenabrechnung beigefügt.
6. Zusammenfassung Punkte 1 - 5
Besonders ins Gewicht fallen letztlich nach unserer
Ansicht folgende Feststellungen:
Keine Dokumentation aller Ein- bzw. Ausfahrten,
sondern nur der Vorgänge, die zu
einem Zahlungsvorgang führen. Dies ist
letztlich eine Folge davon, dass die Software
seitens Hersteller und Betreiber fälschlicherweise
nur als Kassensystem betrachtet
wurde.
Das Ereignisjournal wurde nur für max. 1
Monat vorgehalten – dies ist für Problemanalysen
nicht ausreichend.
Sondervorgänge in den täglichen Sicherungskopien
werden nicht statistisch aufbereitet.
Die Datensätze der täglichen Sicherungskopien
sind nicht vollständig (Umsätze einzelner
Stellen fehlen!)
Diese Datensätze sind nur erschwert auswertbar,
entsprechen nicht der GdPdU
Rundungsfehler in der abzuführenden Umsatzsteuer
führen zu falsch ausgewiesener
Umsatzsteuer
Aus diesen Gründen konnte eine fundierte Bestätigung
der Umsatzwerte nach heutigen Erfordernissen
nicht vorgenommen werden, die
Richtigkeit der Provisionsabrechnung und somit
die Höhe der Provision konnten nicht ermittelt
bzw. bestätigt werden. Erschwerend kam hinzu,
dass gemäß Vertrag eine Buchführung entsprechend
den handels- und steuerrechtlichen
Bestimmungen durchzuführen ist. Hierzu gehört
nach Meinung der Verfasser ein angemessenes
internes Kontrollsystem, das auch nicht in
Ansätzen zu erkennen war.
Somit war ein eindeutiger Vertragsverstoß
nachgewiesen, eine Kündigung des Dienstleistungsvertrags
war möglich.
Die Trennung wurde im vorliegenden Fall
zunächst nicht vollzogen. Die Folge dieser Revision
waren jedoch die Vorjahre betreffenden
Nachzahlungen, eine deutliche Senkung der
Betreiberprovision sowie definitive Vorgaben im
Hinblick auf IT- und Prozessverbesserungen.
7. Folgeprüfung
Aufgrund der Feststellungen der „halbmanuellen
Prüfung“ wurden auf Empfehlung von Bossert
& Partner die erkannten Systemfehler der
Parkhaussoftware durch den Betreiber bereinigt.
Dadurch war danach eine erweiterte Massendatenanalyse
mittels „Idea“ möglich.
In dieser Prüfung wurden innerhalb von 10 Tagen
ca. 8,5 Millionen Datensätze überprüft. Zusätzlich
wurden die Umsätze auf Parkhausebene,
Kassenautomaten, Schranken ermittelt, jeder
Parkvorgang (Einfahrt – Zahlung – Ausfahrt)
konnte nachvollzogen werden.
Im Folgeschritt wurden für einen Zeitraum von
1 Jahr die gemeldeten Umsätze mit den Umsätzen
lt. Massendatenanalyse abgeglichen.
Dabei wurden Differenzen in Höhe von EUR
150.000 festgestellt.
Nachdem bei dieser Folgeprüfung keine deutliche
Verbesserung der Situation festzustellen
war, übernahm der Eigentümer das Parkhausmanagement
in Eigenregie – die nun nicht
mehr zu zahlende Betreiberprovision war hoch
genug, um damit eigene Investitionen und laufende
Kosten zu rechtfertigen und zu finanzieren.
Die erwarteten Mehrerlöse in den nächsten
Jahren bis 2015 betragen ca. EUR 15 Mio.
8. Schlussbemerkung
Abschließend bleibt im Hinblick auf die oben
dargestellte Aufteilung der Zuständigkeit bzw.
Prozesse festzuhalten, dass folgende Prozesse
zusätzlich in die Zuständigkeit eines Betreibers
fallen und von diesem auch geleistet werden
müssen:
Steuerung der Auslastung
Optimierung der Park-Erlöse
Fraudmanagement – IT-Sicherheit
Controlling und - nicht zu vergessen - auch
Revision!
(Klaus-Dieter Göbel)
IIA 07
Institut für Interne Revision
Audit Journal
17

Neue Mitglieder
Das Institut für Interne Revision Österreich – IIA Austria begrüßt folgende neue Mitglieder:
Mag. Karl Ziegler
Helmut Honz
Mag. Martin Koliander
Mag. Ernestine Schweinschwaller
Gabriele Pregartner
Dipl.-Ing. Kurt Rainer
Karin Holnsteiner
Mag. Brigitte H. Juen
General Electric Capital Global Banking
ETI Elektroelement d.d.
Bfi – Berufsförderungsinstitut Steiermark
Friedrich Winterstein
Prof. Dr. Peter Hauser
Wir freuen uns auf eine gute Zusammenarbeit!
(Mag. Eva Weiszgerber)
Termine des Institutes
24.-25.09.09
12.11.2009
Jahrestagung des IIRÖ
„Wirtschaftskrise – Strategien in schwierigen Zeiten“
Aktiv-Vital Hotel, Gars am Kamp
Erfa
„Compliance – was bedeutet das für die Interne Revision?“
18

Die Akademie Interne Revision informiert:
Seminartipps:
„IPPF: Berufsgrundlagen der Internen Revision“
Basisseminar – Einführung & Überblick 08.10.2009
Basisseminar zur Einführung in die Berufsgrundlagen der Internen Revision
Referent(en): Dr. Ulrich Hahn, CIA, CISA, CCSA
Mitglieder: € 490,00 / Nicht-Mitglieder: € 620,00
IIA 07
Institut für Interne Revision
Audit Journal
„IPPF – Aktuelle Berufsgrundlagen der Internen Revision“
Update / Workshop 09.10.2009
Weiterführendes Update - Seminar zu den Berufsgrundlagen der Internen Revision
Referent(en): Dr. Ulrich Hahn, CIA, CISA, CCSA
Mitglieder: € € 490,00 / Nicht-Mitglieder: € 620,00
Buchungskombi
„IPPF – Basisseminar & Update / Workshop 08. – 09.10.2009
Referent(en): Dr. Ulrich Hahn, CIA, CISA, CCSA
Mitglieder: € 870,00 / Nicht-Mitglieder: € 1.020,00
„IKS effizient gestalten und prüfen mit COSO“ 09. – 10.11.2009
COSO gilt als international anerkanntes Best Practice für die Gestaltung und Prüfung von IKS und
Risikomanagement. In diesem Workshop lernen Sie, COSO Modelle in der Praxis erfolgreich
anzuwenden. Inkl. Deutschem COSO ERM Buch!
Referent(en): Dietmar Grabher, CIA, CISA
Mitglieder: € 820,00 / Nicht-Mitglieder: € 970,00
„Vernehmungstechnik für Revisoren“ 04. – 05.11.2009
Training für Befragungen bei dolosen Handlungen mit praktischen Übungen.
Referent(en): Dr. Helmut Salomon / Mag. Bernhard Fromm
Mitglieder: € 780,00 / Nicht-Mitglieder: € 930,00
Ausbildungspaket
„Einführung in die Interne Revision“ 14. – 16.09.2009
„Die Arbeitstechniken des Revisors“ 28. – 30.09.2009
„Prüfungsgrundlagen“ 13. – 15.10.2009
„Das IKS im Gesamtunternehmen“ 02. – 03.11.2009
Referent(en): Mag. Birgit Weidenauer
Dipl.-Ing. Maria-Theresia Stadler
Dietmar Grabher, CIA, CISA
Dr. Ulrich Hahn, CIA, CISA, CCSA
Dr. Markus Fally
Mag. Klaus Wöhry, CIA, CFSA
Mitglieder: € 3.900,00 / Nicht-Mitglieder: € 4.620,00
Berufsspezifische Weiterbildung für Revisoren –
damit Ihr Karriereweg nicht zur Sackgasse wird!
19

Audit Journal
Zeitschrift des Instituts für
Interne Revision Österreich -
IIA Austria
Impressum
Verleger, Hersteller und Herausgeber
Institut für Interne Revision Österreich - IIA Austria
Schönbrunner Strasse 218 - 220
U4 Center, Stiege B, 3. OG
A - 1120 Wien
Für den Inhalt verantwortlich:
Mag. Eva Weiszgerber
Hinweis: Die namentlich gekennzeichneten Beiträge müssen
nicht die Meinung des Herausgebers wiedergeben.
www.internerevision.at
20