INTOSAI Richtlinien für die internen Kontrollnormen im ... - ISSAI

INTOSAI GOV 9100Die Internationalen Normen für Oberste Rechnungskontrollbehörden(International Standards for Supreme Audit Institutions) ISSAIwerden herausgegeben von der Internationalen Organisation derObersten Rechnungskontrollbehörden (INTOSAI). NähereInformationen unter www.issai.orgI N T O S A IINTOSAI Richtlinienfür die internenKontrollnormen imöffentlichen Sektor

INTOSAI Professional Standards CommitteePSC-SecretariatRigsrevisionen • Landgreven 4 • P.O. Box 9009 • 1022 Copenhagen K • DenmarkTel.:+45 3392 8400 • Fax:+45 3311 0415 •E-mail: info@rigsrevisionen.dkI N T O S A IEXPERIENTIA MUTUAEXPERIENTIA MUTUAOMNIBUS PRODESTOMNIBUSPRODESTINTOSAI General Secretariat - RECHNUNGSHOF(Austrian Court of Audit)DAMPFSCHIFFSTRASSE 2A-1033 VIENNAAUSTRIATel.: ++43 (1) 711 71 • Fax: ++43 (1) 718 09 69E-MAIL: intosai@rechnungshof.gv.at;WORLD WIDE WEB: http://www.intosai.org

RICHTLINIENKOMITEE FÜR DIE INTERNEKONTROLLEINTOSAI RICHTLINIENFÜR DIEINTERNAL CONTROL STANDARDSCOMMITTEEINTERNEN KONTROLLNORMENIM ÖFFENTLICHEN SEKTORINTERNAL CONTROL STANDARDSCOMMITTEEINTERNAL CONTROL STANDARDSCOMMITTEEINTOSAI Richtlinien für die internen Kontrollnormen 1

InhaltINHALTSVERZEICHNISVorwort..................................................................................................2Einleitung ..............................................................................................41 Interne Kontrolle ...........................................................................71.1 Definition..........................................................................................71.2 Grenzen der Wirksamkeit interner Kontrollsysteme.........................132 Eckpfeiler des internen Kontrollsystems...................................152.1 Kontrollumfeld................................................................................192.2 Risikobeurteilung ...........................................................................242.3 Kontrolltätigkeiten...........................................................................302.4 Information und Kommunikation .....................................................392.5 Überwachung.................................................................................433 Aufgaben und Zuständigkeiten ..................................................47Anlage 1 Beispiele ..........................................................................53Anlage 2Glossar.............................................................................61INTOSAI Richtlinien für die internen Kontrollnormen 1

VorwortINTOSAI RICHTLINIEN FÜR INTERNEKONTROLLNORMEN IM ÖFFENTLICHENSEKTORVorwortDie INTOSAI Richtlinien für Interne Kontrollnormen aus dem Jahr 1992sind ein lebendes Dokument, das von der Vision einer laufendenWeiterentwicklung der Normen für die Konzeption, Durchführung undBeurteilung interner Kontrollen getragen wird. Teil dieser Zielsetzungsind Bemühungen um die laufende Aktualisierung der Richtlinien.Der XVII. INCOSAI (Seoul, 2001) erkannte die dringende Notwendigkeiteiner Aktualisierung der aus dem Jahr 1992 stammenden Richtlinienund fasste den Beschluss, die Revision an dem vom Committee ofSponsoring Organisations of the Treadway Commission (COSO)vorgeschlagenen Rahmen für die Gestaltung eines internenKontrollsystems zu orientieren. Aus der weiteren Auseinandersetzungmit der Thematik entwickelten sich zusätzliche Empfehlungen, welchedie Einbindung des Konzepts einer ethischen Wertehaltung und dieErweiterung der allgemeinen Grundsätze für Kontrollen im Bereich derInformationsverarbeitung forderten. In der überarbeiteten Fassung derRichtlinien wird diesen Empfehlungen bereits Rechnung getragen. Diessollte zu einer Vertiefung des Verständnisses neuer Konzepte über dieinterne Kontrolle beitragen.Die überarbeiteten Richtlinien sollten ebenfalls als lebendes Dokumentgesehen werden, das im Lauf der Zeit weiterentwickelt und verfeinertwerden wird, um neuen Entwicklungen wie etwa dem COSORahmenwerk zum Enterprise Risk Management 1 Rechnung zu tragen.Die vorliegende aktualisierte Fassung ist das Ergebnis der Bemühungender Mitglieder des INTOSAI Richtlinienkomitees für die interne Kontrolle.Die Aktualisierung erfolgte durch eine von Mitgliedern des Komiteesgebildete Task Force bestehend aus Vertretern der ORKB Boliviens,Frankreichs, Ungarns, Litauens, der Niederlande, Rumäniens, desVereinigten Königreichs, der USA und Belgiens (Vorsitz).Anlässlich der 50. Präsidialtagung (im Oktober 2002 in Wien) wurdedem Präsidium ein Aktionsplan für die Aktualisierung der Richtlinienunterbreitet und von diesem angenommen. Ein Bericht über denFortschritt der Arbeit wurde dem Präsidium anlässlich der 51.1COSO, Enterprise Risk Management Framework, Exposure Draft for PublicComment, www.erm.coso.org, 2004.INTOSAI Richtlinien für die internen Kontrollnormen 2

VorwortPräsidialtagung (im Oktober 2003 in Budapest) vorgelegt. Bei einerKomiteesitzung im Februar 2004 in Brüssel wurde der Entwurfschließlich im Detail diskutiert und generell angenommen. Nach derKomiteesitzung wurde der Entwurf an alle INTOSAI-Mitglieder für eineabschließende Stellungnahme weitergeleitet.Der Komiteepräsident hat die eingereichten Stellungnahmen analysiertund die geeigneten Abänderungen vorgenommen.Ich möchte allen Mitgliedern des INTOSAI Richtlinienkomitees für dieinternen Kontrollnormen danken für deren Bemühungen und Mitarbeit andiesem Projekt. Besonderen Dank sage ich den Mitgliedern der TaskForce.Die Richtlinien für die internen Kontrollnormen im öffentlichen Sektorwerden dem XVIII. INCOSAI in Budapest 2004 zur Genehmigungunterbreitet.Franki VANSTAPELErster Vorsitzender des Rechnungshofes von BelgienPräsident des INTOSAI Richtlinienkomitees für die internenKontrollnormenINTOSAI Richtlinien für die internen Kontrollnormen 3

EinleitungEinleitungIm Jahr 2001 fasste der INCOSAI den Beschluss zur Aktualisierung der1992 erlassenen INTOSAI Richtlinien für die internen Kontrollnormen.Damit soll allen wesentlichen aktuellen Entwicklungen im Bereich interneKontrollsysteme Rechnung getragen und das dem COSO-Bericht„Internal Control – Integrated Framework“ zu Grunde liegende Konzeptin die INTOSAI-Normen integriert werden.Mit der Umsetzung des von der COSO vorgeschlagenen Modells in denneuen Richtlinien soll nicht nur das Konzept der internen Kontrolle aufden letzten Stand gebracht werden, vielmehr geht es dem Komitee auchdarum, das allgemeine Verständnis interner Kontrolle bei den ORKB zufördern. Es liegt auf der Hand, dass die besonderen Merkmaleöffentlicher Verwaltungseinrichtungen in diesem Dokument speziellberücksichtigt werden. Dieser Umstand veranlasste das Komitee, eineAnzahl zusätzlicher Themen und aktueller Entwicklungen mit in Betrachtzu ziehen.Daher finden über das COSO-Rahmenwerk und das Konzept derRichtlinien aus dem Jahr 1992 hinausgehend auch die ethischenAspekte der Arbeits- und Betriebsabläufe in der öffentlichen VerwaltungBerücksichtigung. Die Erweiterung der internen Kontrollziele um diesenAspekt ist erforderlich, da die Bedeutung ethischen Verhaltens ebensowie die Verhinderung und Aufdeckung von Betrug und Korruption imöffentlichen Sektor seit den Neunzigerjahren stärker in den Vordergrundgetreten sind. 2 Grundsätzlich darf von öffentlich Bediensteten erwartetwerden, dass sie dem Gemeinwohl zuverlässig dienen, öffentliche Mittelordnungsgemäß verwalten und die Bürger nach dem Grundsatz vonRechtmäßigkeit und Gerechtigkeit unparteiisch behandeln. EthischeGrundsätze und Normen sind daher ein Eckpfeiler von GoodGovernance und eine wesentliche Voraussetzung, um das Vertrauender Bevölkerung zu gewinnen und zu festigen.Da es sich bei den vom öffentlichen Sektor verwalteten Ressourcen inder Regel um öffentliche Mittel handelt und deren Einsatz im Interesseder Allgemeinheit generell einer besonderen Sorgfalt bedarf, muss dieBedeutung, die einer ordnungsgemäßen Sicherung dieserVermögenswerte zukommt, stärker betont werden.Außerdem verschafft die im öffentlichen Sektor noch vielfach üblicheeinfache Einnahmen- und Ausgabenrechnung keinen ausreichendenEinblick in Bezug auf die Beschaffung und den Einsatz der Ressourcenund deren weitere Verwendung. Die öffentlichenVerwaltungseinrichtungen verfügen daher nicht durchwegs überaktualisierte Aufzeichnungen über alle ihre Vermögenswerte, wodurchwiederum Schwachstellen entstehen. Die Sicherstellung der Ressourcenwurde daher als ein wesentliches Ziel interner Kontrollen erkannt.Wie sich auch die Richtlinien für interne Kontrollnormen aus dem Jahr1992 nicht auf das herkömmliche Konzept der Finanzkontrolle und derdamit verbundenen Verwaltungskontrolle beschränkten und das breiter2XVI INCOSAI, Montevideo, Uruguay, 1998.INTOSAI Richtlinien für die internen Kontrollnormen 4

Einleitunggefasste Konzept der Managementkontrolle aufgriffen, wird in diesemDokument die Bedeutung von allgemeineren, über Finanzdatenhinausgehenden Informationen zusätzlich betont.Durch den umfassenden Einsatz von Informationssystemen in allenöffentlichen Verwaltungseinrichtungen rückt die Bedeutung vonKontrollen im Bereich Informationstechnologie (IT-Kontrollen) in denVordergrund. Diesem Erfordernis ist in den vorliegenden Richtliniendaher ein eigener Abschnitt gewidmet. Die IT-Kontrollen stehen inunmittelbarem Zusammenhang mit allen Teilbereichen des internenKontrollsystems wie Kontrollumfeld, Risikobeurteilung, Information undKommunikation sowie der laufende Überwachung der Wirksamkeit derVerfahren. Aus Gründen der einfacheren Darstellung werden sie imAbschnitt „Kontrolltätigkeiten“ zusammenfassend erörtert.Die Zielsetzung des Komitees bestand in der Bereitstellung einesLeitfadens für die Entwicklung und Durchführung wirksamer internerKontrollen im öffentlichen Sektor. Die Richtlinien richten sich daherzuallererst an die Führungsgremien öffentlicher Einrichtungen, für die sieals Leitfaden für die Umsetzung und Durchführung interner Kontrolleninnerhalb der jeweiligen Körperschaften dienen können.Da die Bewertung der Wirksamkeit interner Kontrollsysteme in deröffentlichen Verwaltung 3 einem allgemein anerkannten Normenstandardunterliegt, können die Richtlinien von Revisoren und Prüfern alsPrüfinstrument eingesetzt werden. Einerseits dienen die unterBerücksichtigung des COSO-Rahmenwerks erstellten Richtlinien fürinterne Kontrollnormen Führungskräften in der öffentlichen Verwaltung 4als Rahmenvorgabe zur Konzeption eines tragfähigen internenKontrollsystems für die jeweilige Körperschaft, andererseits geben sieinternen Revisoren und externen Prüfern einen Maßstab zur Beurteilungder internen Kontrollen an die Hand. Diese Richtlinien sind jedoch nichtals Ersatz für die INTOSAI Richtlinien für die Finanzkontrolle oderandere relevante Prüfungsnormen gedacht.Mit dem vorliegenden Dokument wurde eine Rahmenempfehlung für eininternes Kontrollsystem für öffentliche Verwaltungseinrichtungenerarbeitet und eine Grundlage für die Evaluierung internerKontrollsysteme geschaffen. Der hier vorgeschlagene Ansatz ist auf alleTeilbereiche der Arbeits- und Betriebsabläufe einer Körperschaftanwendbar. Die Richtlinien sind jedoch nicht dazu gedacht, rechtmäßigeKompetenzen einer Körperschaft in Bezug auf die Ausarbeitung vonGesetzen, den Erlass von Vorschriften oder die unabhängigeFormulierung von strategischen Zielsetzungen einzuschränken oder zubehindern.34INTOSAI Richtlinien für die FinanzkontrolleDas Verwaltungspersonal im Allgemeinen ist als Adressatengruppe nicht speziellgenannt. Diese Gruppe ist zwar mit den Auswirkungen interner Kontrollen unmittelbarkonfrontiert und spielt auch bei deren Durchführung eine wichtige Rolle, ist aber imGegensatz zur Führungsebene nicht in letzter Instanz für die im Zusammenhang mitinternen Kontrollen innerhalb einer Organisation ergriffenen Maßnahmenverantwortlich. Die Aufgaben und Zuständigkeiten werden in Abschnitt 3 im Einzelnenbeschrieben.INTOSAI Richtlinien für die internen Kontrollnormen 5

EinleitungDie internen Kontrollsysteme öffentlicher Verwaltungseinrichtungenmüssen vor dem Hintergrund der speziellen Merkmale dieserKörperschaften erfasst werden, nämlich ihrer Ausrichtung auf sozialeund politische Zielsetzungen, der Verwaltung öffentlicher Mittel, ihrerAbhängigkeit vom Haushaltszyklus, ihrer komplexen Leistungsstruktur(die einen Interessensausgleich zwischen traditionellen Werten wieRechtmäßigkeit, Integrität und Transparenz und modernenunternehmerischen Wertmaßstäben wie Effizienz und Wirksamkeiterforderlich macht) und ihrer entsprechend umfassenden öffentlichenRechenschaftspflicht.Zusammenfassend sollte hervorgehoben werden, dass es in diesemDokument um Richtlinien zur Formulierung von Normen und Standardsgeht. Die Richtlinien sind jedoch nicht als detaillierte Vorgaben fürStrategien, Verfahren und Methoden zur Umsetzung interner Kontrollenzu sehen, sondern vielmehr als weitgefasster Leitfaden für dieEntwicklung von Kontrollsystemen innerhalb der jeweiligenKörperschaften. Das Richtlinienkomitee verfügt natürlich über keinerleiHandhabe zur Durchsetzung von Normen und Vorgaben.Die Struktur des DokumentsIm ersten Abschnitt wird das Konzept der internen Kontrolle definiert unddie Reichweite der Kontrollen abgesteckt. In diesem Abschnitt wird auchauf die Grenzen interner Kontrollsysteme eingegangen. Im zweitenAbschnitt werden die einzelnen Komponenten interner Kontrollsystemevorgestellt und erörtert. Das Dokument schließt mit der Beschreibungder Aufgaben und Zuständigkeiten im dritten Abschnitt.Jedem Abschnitt vorangestellt ist ein grau unterlegter Kasten, der einekurze und zusammenfassende Darstellung der Hauptthemen desjeweiligen Abschnitts enthält. Daran anschließend folgt, kleiner gedruckt,die Erörterung der jeweiligen Themen, wobei auch auf im Anhangenthaltene konkrete Beispiele verwiesen wird. Ebenfalls im Anhangbeigefügt ist ein Glossar mit den wichtigsten Fachbegriffen.INTOSAI Richtlinien für die internen Kontrollnormen 6

Definition1 Interne Kontrolle1.1 DefinitionDie interne Kontrolle ist ein in die Arbeits- und Betriebsabläufe einerOrganisation eingebetteter Prozess, der von den Führungskräften undden Mitarbeitern durchgeführt wird, um bestehende Risiken zu erfassenund zu steuern und mit ausreichender Gewähr sicherstellen zu können,dass die betreffende Körperschaft im Rahmen der Erfüllung ihrerAufgabenstellung die folgenden allgemeinen Ziele erreicht:• Sicherstellung ordnungsgemäßer, ethischer, wirtschaftlicher,effizienter und wirksamer Abläufe;• Erfüllung der Rechenschaftspflicht;• Einhaltung der Gesetze und Vorschriften;• Sicherung der Vermögenswerte vor Verlust, Missbrauch undSchadenDie interne Kontrolle ist ein in die Organisationsstruktur eingebetteterdynamischer Prozess, der laufend an die innerhalb der Organisationstattfindenden Veränderungen angepasst werden muss. DieFührungskräfte und die Mitarbeiter müssen auf allen Ebenen in diesenProzess eingebunden werden, um bestehende Risiken zu erfassen undzu steuern und mit hinlänglicher Sicherheit gewährleisten zu können,dass die Körperschaft ihre Aufgabenstellung erfüllt und ihre allgemeinenZiele erreicht.Ein eingebetteter ProzessDie interne Kontrolle bezieht sich nicht auf ein Ereignis oder einenUmstand, sondern beinhaltet eine Kette von Kontrollverfahren, die aufallen Ebenen und in allen Arbeits- und Betriebsabläufen derOrganisation wirksam werden. Sie ist quasi allgegenwärtig und kommtim Führungsstil des Managements zum Ausdruck. Interne Kontrolle istim Gegensatz zur Ansicht mancher Beobachter nicht ein den ArbeitsundBetriebsabläufen einer Organisation hinzugefügter oderaufgesetzter Prozess, eine Art unausweichlicher Last, sondern ein engmit der Gesamtorganisation verzahnter Prozess, der seine höchsteWirksamkeit entfaltet, wenn er, eingebettet in die Gesamtstruktur derOrganisation, Teil ihres Wesens bildet.Die interne Kontrolle sollte ein eingebetteter, und nicht ein aufgesetzterProzess sein. Durch Einbettung als Bestandteil desManagementprozesses wird die interne Kontrolle zu einemFührungsinstrument im Dienste der Planung, Durchführung undlaufenden Überwachung der Arbeits- und Betriebsabläufe.INTOSAI Richtlinien für die internen Kontrollnormen 7

DefinitionEin in die Gesamtstruktur eingebettetes internes Kontrollsystem trägtwesentlich zur Eindämmung der Kosten bei. Die Einführung neuerKontrollverfahren neben bereits bestehenden Verfahren verursachtKosten. Häufig lassen sich unnötige zusätzliche Verfahren und Kostenvermeiden, wenn man sich in einem ersten Schritt auf die bestehendenAbläufe und ihren möglichen Beitrag zu wirksamen internen Kontrollendurch Einbindung der Kontrollfunktionen in die eigentlichen Arbeits- undBetriebsabläufe konzentriert.Umsetzung durch Führungskräfte und MitarbeiterDas Funktionieren von internen Kontrollen hängt von den Menschen ab,von dem, was jeder Einzelne tut und sagt. Die Menschen müssen ihreAufgaben und Zuständigkeiten, ebenso wie die Grenzen ihrerKompetenzen genau kennen. Diesem Konzept ist auf Grund seinerhohen Bedeutung ein eigener Abschnitt (3) gewidmet.Zu den in einer Organisation tätigen Menschen zählen dieFührungskräfte und die übrigen Mitarbeiter. Dem Management obliegt inerster Linie die Aufsicht, es gibt jedoch auch die der Tätigkeit derOrganisation zu Grunde liegenden Zielsetzungen vor und hat dieGesamtverantwortung für die Einrichtung und Führung eines wirksameninternen Kontrollsystems. Das interne Kontrollsystem umfasst jeneMechanismen, die benötigt werden, um die der Erreichung derOrganisationsziele möglicherweise im Weg stehenden Risiken zuerfassen. Es ist die Aufgabe der Führungskräfte, interneKontrollverfahren einzurichten, diese zu überwachen und zu bewerten.Die Umsetzung interner Kontrollen erfordert von den Führungskräftenhohes Engagement und eine intensive Kommunikation zwischen demManagement und den übrigen Mitarbeitern. Die interne Kontrolle istdemzufolge ein Führungsinstrument, das sich unmittelbar an den Zielender jeweiligen Organisation orientiert. Hauptverantwortlich für die interneKontrolle ist das Management, während die Mitarbeiter eine wesentlicheRolle bei deren Durchführung spielen.Die Wirksamkeit interner Kontrollsysteme hängt daher wesentlich vomFaktor Mensch ab. Die Richtlinien für die Einrichtung eines internenKontrollsystems und die Durchführung der Kontrollen tragen derTatsache Rechnung, dass nicht durchgehend sichergestellt werdenkann, dass die Mitarbeiter die nötigen Informationen erhalten, dieKontrollen ausreichend verstehen und sie wirkungsvoll umsetzen. JederMitarbeiter bringt seine eigene Geschichte und besonderen Fähigkeitenin die Organisation ein, hat aber auch seine speziellen Bedürfnisse undPrioritäten. Diese Gegebenheiten haben Einfluss auf die interneKontrolle und werden von dieser beeinflusst.Erfüllung der speziellen Aufgabenstellung der OrganisationDas oberste Ziel jeder Organisation besteht in der Erfüllung ihrerAufgabenstellung. Jede Körperschaft dient einem Zweck – der in deröffentlichen Verwaltung ganz allgemein darin besteht, gewisseDienstleistungen zu erbringen und ein dem öffentlichen Interesseförderliches Ergebnis zu erzielen.INTOSAI Richtlinien für die internen Kontrollnormen 8

DefinitionSteuerung von RisikenWorin immer die Aufgabenstellung einer Körperschaft besteht, dieErfüllung dieser Aufgabenstellung kann von vielerlei Risiken bedrohtsein. Es ist die Aufgabe des Managements, diese Risiken zuidentifizieren und entsprechend zu reagieren, um das bestmöglicheUmfeld für die Umsetzung der Aufgabenstellung zu schaffen. InterneKontrollsysteme tragen dazu bei, die Risiken zu erfassen, könnenjedoch nur hinlänglich sicherstellen, dass die Aufgabenstellung erfülltund die Gesamtziele erreicht werden.Hinlängliche Sicherheit schaffenAuch ein wohldurchdachtes und gewissenhaft eingesetztes internesKontrollsystem bietet dem Management keine absolute Gewähr, dassdie Gesamtziele erreicht werden. Die Richtlinien tragen dem UmstandRechnung, dass nur ein „hinlängliches“ Maß an Sicherheit erreichbar ist.Ein hinlängliches Maß an Sicherheit setzt voraus, dass – unterBerücksichtigung der Kosten, des Nutzens und der Risiken – einzufriedenstellendes Maß an Vertrauen geschaffen wird. Um feststellenzu können, welches Maß an Sicherheit als hinlänglich betrachtet werdenkann, ist eine Beurteilung der Situation erforderlich. Diese Beurteilungerfordert, dass die den Arbeits- und Betriebsabläufen inhärenten Risikenidentifiziert werden und das unter wechselnden Bedingungen jeweilshinnehmbare Risiko definiert und aus qualitativer und quantitativer Sichtbeurteilt wird.Der Begriff der hinlänglichen Sicherheit basiert auf dem Konzept, dassUnsicherheit und Risiko in der Zukunft liegen, die niemand mit Sicherheitvoraussagen kann. Ob die Ziele letztlich erreicht werden, hängt überdiesauch von Faktoren ab, die außerhalb des Einflussbereichs derOrganisation liegen. Weitere Einschränkungen resultieren aus denfolgenden Umständen: Fehleinschätzungen können zu Fehlern in denEntscheidungsprozessen führen; banale Fehler oder Irrtümer könneneinen Systemzusammenbruch verursachen; geheime Absprachenzwischen zwei oder mehreren Beteiligten führen unter Umständen zueiner Umgehung der Kontrollen; oder das Management setzt sich überdas interne Kontrollsystem hinweg. Außerdem kosten Kontrollen Geld,was zu Kompromisslösungen führen kann. Auf Grund dieserEinschränkungen kann vom Management die Erreichung der Ziele nichtmit absoluter Sicherheit gewährleistet werden.Ein hinlängliches Maß an Sicherheit trägt der Tatsache Rechnung, dassdie Kosten der internen Kontrolle den mit dem System erzielten Nutzennicht übersteigen sollten. Entscheidungen im Hinblick auf Maßnahmenzur Risikosteuerung und die Einrichtung interner Kontrollen müssen aufBasis einer Kosten-/Nutzenrechnung getroffen werden. Die Kostenbeinhalten jedoch nicht nur die für den jeweiligen Zweck aufgewendetenFinanzmittel, sondern auch die wirtschaftlichen Folgen verpassterGelegenheiten, wie etwa Verzögerungen in Arbeits- undBetriebsabläufen, Abnahme der Servicequalität oder der Arbeitsleistungoder eine niedrige Arbeitsmoral auf Seiten der Mitarbeiter. Der Nutzenwird daran gemessen, inwieweit das Risiko verringert wird, dass eingestecktes Ziel nicht erreicht wird. Beispiele, die hier zu nennen wären,INTOSAI Richtlinien für die internen Kontrollnormen 9

Definitionnach dem Grundsatz von Rechtmäßigkeit und Gerechtigkeit unparteiischbehandeln. Ethische Grundsätze sind daher ein Eckpfeiler von GoodGovernance in der öffentlichen Verwaltung und die Voraussetzung, umdas Vertrauen der Öffentlichkeit zu gewinnen und zu festigen.Wirtschaftlich bedeutet einen weder verschwenderischen nochübermäßigen Einsatz von Ressourcen. Hier geht es darum, dieangemessene Menge an Ressourcen in der richtigen Qualität, zurrechten Zeit und zu geringstmöglichen Kosten bereitzustellen.Effizient bezieht sich auf das Verhältnis der eingesetzten Ressourcen zuder zur Zielerreichung erbrachten Leistung. Dabei steht die Forderungim Vordergrund, dass eine bestimmte Menge oder Qualität einerLeistung mit dem geringstmöglichen Ressourceneinsatz produziert wird,beziehungsweise mit einer bestimmten Menge und Qualität anRessourceneinsatz die maximale Leistung erzielt wird.Wirksam bezieht sich auf die Erreichung von Zielen beziehungsweisedas Ausmaß, in dem das Ergebnis einer Tätigkeit der Zielsetzung oderdem beabsichtigten Effekt dieser Zielsetzung entspricht.• Erfüllung der RechenschaftspflichtDie Rechenschaftslegung ist der Prozess, durch welchen öffentlicheVerwaltungseinrichtungen und deren Mitarbeiter über ihreEntscheidungen und Tätigkeiten im Rahmen ihrer Verantwortung für dieVerwendung öffentlicher Mittel und deren angemessenem Einsatz sowiealle übrigen Aspekte der Arbeits- und Betriebsabläufe Rechenschaftablegen.Die Rechenschaftslegung erfolgt durch die Erstellung, Führung undBereitstellung von zuverlässigen Finanz- und Managementinformationenund die angemessene Offenlegung dieser Information an intern undextern involvierte und interessierte Stellen in termingerecht vorgelegtenBerichten.Managementinformationen beziehen sich auf dieWirtschaftsentwicklung, die Effizienz und Wirksamkeit derGeschäftspolitik und der Tätigkeit der Organisation (Leistungsberichte)sowie interne Kontrollen und deren Wirksamkeit.• Einhaltung von Gesetzen und VorschriftenDie Organisationen unterliegen zahlreichen Gesetzen und Vorschriften.In Organisationen des öffentlichen Rechts ist die Aufbringung undVerwendung von öffentlichen Mitteln durch Gesetze und Verordnungengeregelt, darunter das Budgetgesetz, internationale Abkommen,Gesetze betreffend die ordnungsgemäße Verwaltung,Rechnungslegungsvorschriften und -normen, Umweltschutz- undBürgerrechtsgesetze, Einkommenssteuerregelungen und Anti-BetrugsundKorruptionsgesetze.INTOSAI Richtlinien für die internen Kontrollnormen 11

Definition• Sicherung der Vermögenswerte vor Zweckentfremdung undSchaden auf Grund von Verschwendung, Missbrauch,Misswirtschaft, Fehlern, Betrug und UnregelmäßigkeitenDas vierte dieser übergeordneten Gesamtziele könnte zwar alsUnterkategorie des ersten gesehen werden (ordnungsgemäße, ethische,wirtschaftliche, effiziente und wirksame Abläufe), aber die hoheBedeutung einer ordnungsgemäßen Sicherung der Ressourcen imöffentlichen Sektor muss speziell hervorgehoben werden. Bei den imöffentlichen Sektor verwalteten Ressourcen handelt es sich in der Regelum öffentliche Mittel, deren Einsatz im Interesse der Allgemeinheitgenerell einer besonderen Sorgfalt bedarf.Außerdem verschafft die im öffentlichen Sektor noch vielfach üblicheeinfache Einnahmen- und Ausgabenrechnung keinen ausreichendenEinblick in Bezug auf die Beschaffung und den Einsatz der Ressourcenund deren weitere Verwendung. Die öffentlichenVerwaltungseinrichtungen verfügen nicht durchwegs über aktualisierteAufzeichnungen über alle ihre Vermögenswerte, wodurch wiederumSchwachstellen entstehen. Aus diesem Grund sollten in allen mit derVerwaltung der Ressourcen einer Organisation verbundenen Abläufenvom Einkauf bis zu deren Ausscheiden entsprechende Kontrolleneingebaut werden.Andere Ressourcen wie Information, Originaldokumente undRechnungslegungsunterlagen bilden die Grundvoraussetzung für einetransparente Verwaltungstätigkeit und Rechenschaftslegung und solltenentsprechend verwahrt werden. Sie sind jedoch ebenfalls der Gefahrvon Diebstahl, Zweckentfremdung oder Zerstörung ausgesetzt.Durch den Einsatz von Computersystemen kommt der Sicherstellungbestimmter Ressourcen und Aufzeichnungen erhöhte Bedeutung zu.Wenn nicht ausreichende Schutzmaßnahmen getroffen werden, bestehtbei in Computermedien gespeicherten sensiblen Informationen Gefahr,dass diese zerstört oder kopiert, verbreitet oder unzweckmäßigverwendet werden.INTOSAI Richtlinien für die internen Kontrollnormen 12

Wirksamkeit1.2 Grenzen der Wirksamkeit interner Kontrollsysteme 5Interne Kontrollsysteme gewährleisten nicht automatisch, dassdie oben definierten Gesamtziele erreicht werden.Ein wirksames internes Kontrollsystem, unabhängig davon, wie gut eskonzipiert ist und betrieben wird, kann nur hinlänglich – und nicht absolut– sicherstellen, dass eine Organisation ihre Ziele erreicht bzw. dass sieüberlebt. Auf dem Weg zur Zielerreichung liefern interne Kontrollen demManagement Informationen über den Erfolg der Tätigkeit derbetreffenden Organisation, oder auch das Ausbleiben von Erfolg. InterneKontrollsysteme können jedoch eine schlechte Führungskraft niemals ineine gute verwandeln. Darüber hinaus liegen Änderungen vonRegierungsprogrammen und Faktoren wie demographische oderkonjunkturelle Bedingungen außerhalb des Einflussbereichs desManagements einer Organisation und können eine Anpassung derKontrollen oder des hinnehmbaren Risikos erfordern.Ein wirksames System interner Kontrollen senkt die Wahrscheinlichkeit,dass Ziele verfehlt werden. Allerdings besteht auch immer das Risiko,dass die internen Kontrollen zu schwach ausgelegt sind oder nicht wiebeabsichtigt funktionieren.Da die Wirksamkeit interner Kontrollen auch vom Faktor Menschabhängt, unterliegen die Systeme der Gefahr von Konzeptions-,Beurteilungs- und Auslegungsfehlern sowie Missverständnissen,Nachlässigkeiten, Ermüdungs- und Ablenkungserscheinungen,geheimen Absprachen, Missbrauch oder absichtlicher Umgehung.Ein weiterer Einschränkungsfaktor bei der Einrichtung internerKontrollsysteme sind begrenzte Ressourcen. Der Nutzen der Kontrollenmuss daher immer gegen die Kosten abgewogen werden. Ein internesKontrollsystem, das alle Verlustrisiken ausschließt, ist nicht realistischund würde wahrscheinlich mehr kosten als der tatsächliche Nutzenrechtfertigen würde. Bei der Entscheidung, welche spezifischenKontrollen eingerichtet werden sollten, müssen immer dieRisikowahrscheinlichkeit und die potenziellen Auswirkungen auf dieOrganisation im Vergleich mit den Kosten für die Einrichtung derjeweiligen Kontrolle überlegt werden.Organisatorische Änderungen und die Einstellung des Managementskönnen die Wirksamkeit interner Kontrollen und die Einstellung der mitder Durchführung der Kontrollen betrauten Mitarbeiter entscheidendbeeinflussen. Es ist daher von großer Wichtigkeit, dass das5Die Grenzen der Wirksamkeit interner Kontrollen müssen betont werden, umübertriebenen Erwartungen durch Fehleinschätzung der Möglichkeiten vorzubeugen.INTOSAI Richtlinien für die internen Kontrollnormen 13

WirksamkeitManagement die Kontrollen laufend überprüft und aktualisiert, dieMitarbeiter über Veränderungen informiert und durch Einhaltung derKontrollen mit gutem Beispiel vorangeht.INTOSAI Richtlinien für die internen Kontrollnormen 14

Komponenten2 Eckpfeiler des internen KontrollsystemsDas interne Kontrollsystem besteht aus fünf inWechselbeziehung stehenden Komponenten:• Kontrollumfeld• Risikobeurteilung• Kontrolltätigkeiten• Information und Kommunikation• ÜberwachungDas interne Kontrollsystem ist dazu ausgelegt, mit hinreichenderSicherheit zu gewährleisten, dass die Gesamtziele der Organisationerreicht werden. Klare Ziele bilden daher die Voraussetzung fürwirksame interne Kontrollen.Das Kontrollumfeld ist die Basis für das gesamte interne Kontrollsystem.Es bestimmt die Disziplin und die Struktur des internen Kontrollsystemsebenso wie das Klima, das die Gesamtqualität der internen Kontrollenbeeinflusst. Es ist für die Gesamtkonzeption der Strategie und der Zieleebenso von Bedeutung wie für die Struktur der Kontrolltätigkeit.Nach der Formulierung klarer Ziele und der Einrichtung eines wirksamenKontrollumfeldes, wird durch Beurteilung der Risiken, die der Erfüllungder Aufgabenstellung der Organisation und ihrer Ziele im Weg stehenkönnten, die Basis für die Entwicklung eines geeignetenRisikomanagementansatzes geschaffen.Die wichtigste Strategie zur Beschränkung der Risiken besteht ininternen Kontrollmaßnahmen. Kontrollmaßnahmen haben vorbeugendeund/oder aufdeckende Funktion. Korrekturen undVerbesserungsmaßnahmen sind eine notwendige Ergänzung internerKontrollmaßnahmen. Beide müssen einer Kosten-/Nutzenrechnungstandhalten. Die Kosten sollten den erzielten Nutzen nicht übersteigen(Kostenwirksamkeit).Wirksame Information und Kommunikation sind für funktionierendeArbeits- und Betriebsabläufe und Kontrollprozesse unerlässlich. DasManagement einer Körperschaft braucht Zugang zu relevanten,vollständigen, zuverlässigen, korrekten und zeitgerechten Informationenüber interne und externe Vorgänge. Auch innerhalb der Organisation istdie Verfügbarkeit von Information eine Voraussetzung, dass diejeweiligen Ziele erreicht werden können.Schließlich bedarf das interne Kontrollsystem der ständigenÜberwachung. Die interne Kontrolle ist ein dynamischer Prozess, derINTOSAI Richtlinien für die internen Kontrollnormen 15

Komponenteneine laufende Anpassung an die tatsächlichen Risiken undVeränderungen in einer Organisation erforderlich macht. DurchÜberwachung wird sichergestellt, dass die internen Kontrollen allfälligenVeränderungen der Zielsetzungen, des Umfeldes, der Ressourcen undder Risiken adäquat Rechnung tragen.Diese Komponenten bilden die Eckpfeiler eines internen Kontrollsystemsin der öffentlichen Verwaltung. Sie stecken den empfohlenen Rahmenfür die Einrichtung und Führung eines internen Kontrollsystems ab undschaffen die Basis für die Evaluierung interner Kontrollen. DieseKomponenten gelten für alle Aspekte der Arbeits- und Betriebsabläufeeiner Organisation.Diese Richtlinien liefern einen allgemeinen Rahmen für interne Kontrolle.Die Umsetzung dieses Rahmens obliegt dem Management, das für dieEntwicklung detaillierter und organisationsgerechter Strategien,Verfahren und Maßnahmen sowie deren Einbettung in die Arbeits- undBetriebsabläufe verantwortlich ist.Wechselwirkung zwischen Zielen und KomponentenDie Gesamtziele, die abbilden, was eine Organisation erreichen will, unddie Komponenten des internen Kontrollsystems, die darstellen, was zurErreichung der allgemeinen Ziele erforderlich ist, stehen in direkterWechselwirkung. Diese Wechselwirkungen werden durch eindreidimensionales Modell in Form eines Würfels dargestellt.In diesem Modell werden die vier übergeordneten Zielkategorien –Rechenschaftspflicht (und Berichterstattung), Einhaltung (von Gesetzenund Vorschriften), (ordnungsgemäße, ethisch einwandfreie,wirtschaftliche, effiziente und wirksame) Arbeits- und Betriebsabläufeund Sicherung der Ressourcen – durch die vertikalen Spaltenabgebildet. Die fünf Komponenten der Kontrolle werden von denhorizontalen Spalten dargestellt. Die dritte Dimension des Würfelsverdeutlicht den Zusammenhang mit der Organisation oder Körperschaftund deren Abteilungen.INTOSAI Richtlinien für die internen Kontrollnormen 16

KomponentenRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungJede der Komponenten „durchzieht“ und bezieht sich jeweils auf alle vierallgemeinen Zielkategorien und ist auf alle gleichermaßen anwendbar.So sind zum Beispiel aus internen oder externen Quellen stammendeFinanz- und Managementinformationen, die in der KomponenteInformation und Kommunikation enthalten sind, für das Management derArbeits- und Betriebsabläufe, die Berichterstattung und Erfüllung derRechenschaftspflicht und die Einhaltung der gesetzlichen Vorschriftengleichermaßen erforderlich.Ebenso gelten die vier Zielkategorien für jede der fünf Komponenten.Die Wirksamkeit und Effizienz der Abläufe kann hier als Beispiel dienen,das deutlich macht, dass jede der fünf Komponenten eine unerlässlicheund wesentliche Rolle bei der Zielerreichung spielt.Interne Kontrollen sind nicht nur für die Gesamtorganisation vonBedeutung, sondern auch für die einzelnen Abteilungen. DieserZusammenhang wird durch die dritte Dimension verdeutlicht, welche dieOrganisation oder Körperschaft und deren Abteilungen darstellt. Jededer Einzelzellen des Würfelmodells kann separat für sich betrachtetwerden.Dieser interne Kontrollrahmen ist für jede öffentlicheVerwaltungseinrichtung generell gültig und anwendbar. Die Umsetzungdurch das jeweilige Management wird aber je nach dem Wesen derKörperschaft stark variieren und von einer Reihe spezifischer Faktorenabhängen. Zu diesen zählen unter anderem die Organisationsstruktur,das Risikoprofil, das operative Umfeld, die Größe, Komplexität und dieTätigkeit der Organisation sowie die jeweiligen normativen Vorgaben.Das Management muss unter Berücksichtigung der speziellenGegebenheiten der betreffenden Organisation eine Reihe vonEntscheidungen im Hinblick auf die Komplexität der Verfahren, dieINTOSAI Richtlinien für die internen Kontrollnormen 17

Komponenteneingesetzten Methoden und die Komponenten des internenKontrollsystems treffen.In den folgenden Abschnitten werden die obgenannten Komponenten imÜberblick vorgestellt und durch zusätzliche Kommentare erläutert.INTOSAI Richtlinien für die internen Kontrollnormen 18

Kontrollumfeld2.1 KontrollumfeldRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungDas Kontrollumfeld bestimmt die Einstellung innerhalb einerOrganisation und beeinflusst das Kontrollbewusstsein derMitarbeiter. Es bildet die Basis aller übrigen Komponenteninterner Kontrolle und gibt die Disziplin und Struktur vor.Die Elemente des Kontrollumfelds sind:(1) Die persönliche und fachliche Integrität und die ethischeWertehaltung des Managements und der Mitarbeiter; dazugehört eine in der Organisation durchgängig undkonsequent fördernde Haltung gegenüber internenKontrollen;(2) Engagement für Kompetenz;(3) „Das gute Beispiel der Führungskräfte“ (Philosophie undFührungsstil des Managements);(4) Organisationsstruktur;(5) Personalpolitik und Management.Die persönliche und fachliche Integrität und die ethischeWertehaltung des Managements und der MitarbeiterDie persönliche und fachliche Integrität und die ethische Wertehaltungder Führungskräfte und der Mitarbeiter bestimmen deren grundsätzlicheEinstellung und Werturteile, die wiederum in Verhaltensgrundsätzenzum Ausdruck kommen. Führungskräfte und Mitarbeiter sollten zu jederZeit und in allen Bereichen eine unterstützende Einstellung zu internenKontrollen zeigen.INTOSAI Richtlinien für die internen Kontrollnormen 19

KontrollumfeldJede in einer Organisation tätige Person – Führungskräfte undMitarbeiter – ist gefordert, die persönliche und fachliche Integrität undethische Wertehaltung zu jeder Zeit zu wahren, unter Beweis zu stellenund im Einklang mit den geltenden Verhaltensgrundsätzen zu handeln.Dies kann beispielsweise die Offenlegung von persönlichen finanziellenInteressen, von Funktionen in anderen Organisationen, von Geschenken(z.B. im Fall gewählter Mandatare und leitender Beamte) und vonInteressenskonflikten beinhalten.Ebenso sind die öffentlichen Verwaltungseinrichtungen gefordert, ihreIntegrität und ethische Wertehaltung zu wahren und unter Beweis zustellen, und der Öffentlichkeit durch Vermittlung ihrer Aufgabenstellungund ihrer Grundwerte erkennbar machen. Darüber hinaus muss fürethische, ordnungsgemäße, wirtschaftliche, effiziente und wirksameArbeits- und Betriebsabläufe gesorgt sein, die im Einklang mit derAufgabenstellung der betreffenden Körperschaft stehen.Engagement für KompetenzEngagement für Kompetenz bezieht sich auf das Wissens- undKompetenzniveau, das erforderlich ist, um eine ordnungsgemäße,ethische, wirtschaftliche, effiziente und wirksame Leistungserbringunggewährleisten zu können. Ebenso beinhaltet es die genaue Kenntnis derZuständigkeiten für die internen Kontrollen.Die Führungskräfte und Mitarbeiter müssen das erforderlicheKompetenzniveau aufweisen und bewahren, das sie befähigt, dieBedeutung der Entwicklung, Durchführung und Aufrechterhaltungleistungsfähiger interner Kontrollen zu begreifen, die allgemeinen Zieleinterner Kontrollen zu erreichen und die Aufgabenstellung derKörperschaft zu erfüllen. Durch ihre jeweiligen Zuständigkeiten ist jedein einer Organisation tätige Person in den Prozess der internen Kontrolleeingebunden.Die Führungskräfte und deren Mitarbeiter müssen daher über dienotwendigen Fähigkeiten und die Fachkompetenz verfügen, um Risikeneinschätzen und zu einer effizienten und wirksamenLeistungserbringung beitragen zu können sowie das Wesen der internenKontrolle ausreichend verstehen, um ihrer Verantwortung in wirksamerWeise gerecht werden zu können.Das Bewusstsein öffentlich Bediensteter über die Ziele der internenKontrolle und speziell die Bedeutung ethischen Handelns kann zumBeispiel durch entsprechende Weiterbildungsmaßnahmen gefördertwerden, was auch dazu beiträgt, das Verstehen der Ziele zu vertiefenund Fähigkeiten zu entwickeln, um ethische Probleme sinnvoll zu lösen.INTOSAI Richtlinien für die internen Kontrollnormen 20

KontrollumfeldDas gute Beispiel der FührungskräfteDas „gute Beispiel der Führungskräfte“ (Philosophie und Führungsstildes Managements) zeigt sich in:• einer zu jeder Zeit unterstützenden Einstellung gegenüber internenKontrollen, Unabhängigkeit, Kompetenz und Führung durch gutesBeispiel;• den vom Management vorgegebenen Verhaltensgrundsätzen, undder Betonung der Bedeutung interner Kontrollziele und speziellethischer Arbeits- und Betriebsabläufe in der Mitarbeiterberatungund in Leistungsbeurteilungen.Die Einstellung der Führungskräfte zeigt sich in allen Aspekten der vomManagement ergriffenen Maßnahmen. Engagement, Einsatz undUnterstützung der obersten Behördenleiter und der Gesetzgeber durchVorgabe des „guten Beispiels“ fördern eine positive Einstellung und sindvon entscheidender Bedeutung, um eine nachhaltig positive undunterstützende Haltung gegenüber internen Kontrollen zu gewährleisten.Wenn die Führungsspitze die Überzeugung vertritt, dass interneKontrollen wichtig sind, werden die übrigen Mitarbeiter diese Haltungübernehmen und die Kontrollen gewissenhaft durchführen. So wird zumBeispiel die Einrichtung einer internen Revisionsstelle in der Regel alsein starkes Signal für die hohe Bedeutung interner Kontrollenverstanden.Wenn die Mitarbeiter umgekehrt den Eindruck gewinnen, dass dasManagement den internen Kontrollen keine hohe Bedeutung beimisstund das Engagement der Führungskräfte eher als Lippenbekenntnisdenn als ernsthafte Unterstützung aufgefasst wird, ist mit großerWahrscheinlichkeit damit zu rechnen, dass die Kontrollziele derOrganisation nicht wirkungsvoll erreicht werden.Es ist daher von entscheidender Bedeutung für das Erreichen derKontrollziele, speziell der Zielsetzung „ethischer Arbeits- undBetriebsabläufe“, dass die Führungskräfte ethisches Verhalten vorlebenund auf der Einhaltung hoher ethischer Standards beharren. DieFührungskräfte müssen durch ihr eigenes Verhalten eine Vorbildrolleeinnehmen und ein angemessenes Leitbild schaffen, anstatt sich mitpassablem und angepasstem Verhalten zu begnügen. Speziell die vomManagement vorgegebenen Strategien, Verfahren und Methoden solltenauf die Förderung eines ordnungsgemäßen, ethischen, wirtschaftlichen,effizienten und wirksamen Verhaltens abzielen.Die Integrität der Führungskräfte und ihrer Mitarbeiter wird jedoch vonvielerlei Faktoren beeinflusst. Das Management sollte die Mitarbeiterdaher in gewissen Abständen an die im Pflichten- und Verhaltenskodexdefinierten Verpflichtungen erinnern. Ein wichtiges Instrument in diesemZusammenhang sind Beratungsgespräche und Leistungsbeurteilungen.Auch bei Gesamtleistungsbeurteilungen sollte die Durchführung derinterner Kontrollnormen durch die Mitarbeiter neben zahlreichenanderen Beurteilungsfaktoren Berücksichtigung finden.INTOSAI Richtlinien für die internen Kontrollnormen 21

KontrollumfeldOrganisationsstrukturIn der Organisationsstruktur einer Körperschaft sind:• die Zuweisung von Aufgaben und Verantwortungsbereichen;• Übertragung von Befugnissen und Verantwortlichkeiten;• die Einrichtung eines angemessenen Instanzenweges;vorgegeben.In der Organisationsstruktur sind die Aufgaben- undVerantwortungsbereiche einer Körperschaft festgelegt. DurchÜbertragung der Befugnisse und Verantwortlichkeiten wird die Art undWeise vorgegeben, in der Aufgaben und Zuständigkeiten innerhalb derOrganisation delegiert werden. Eine Übertragung von Befugnissen undVerantwortlichkeiten ist ohne Berichtswesen nicht denkbar. Daher mussein angemessener Instanzenweg eingerichtet werden. In Sonderfällen,wie etwa einer Verwicklung des Managements in Unregelmäßigkeiten,müssen neben dem normalen Instanzenweg unter Umständenzusätzliche Wege der Berichterstattung eingerichtet werden.Die Organisationsstruktur kann eine interne Revisionsstelle vorsehen,die unabhängig vom Management sein sollte und der oberstenManagementebene in der Organisation direkt berichtet.In Abschnitt 3 über Aufgaben und Zuständigkeiten wird ebenfalls auf dieeinzelnen Aspekte der Organisationsstruktur eingegangen.Personalpolitik und PersonalmanagementDer Bereich Personalpolitik und Personalmanagement umfasst diePersonaleinstellung und Stellenbesetzung, Orientierungsmaßnahmen,Schulung (formal und praktisch) und Weiterbildung,Leistungsbeurteilung und Beratung, Förderungsmaßnahmen undGehaltsschemen sowie Ausgleichsmaßnahmen.Die Mitarbeiter bilden einen wichtigen Aspekt des internenKontrollsystems. Kompetente, vertrauenswürdige Mitarbeiter sind eineVoraussetzung für wirksame Kontrollen. Einstellungs-, Schulungs- undBeurteilungsmaßnahmen sowie Gehaltsschemen undFörderungsmaßnahmen bilden einen wesentlichen Teil desKontrollumfeldes. Bei Entscheidungen über Einstellungen undStellenbesetzungen sollte sichergestellt sein, dass die jeweiligenKandidaten persönliche Integrität und ausreichende Ausbildung undberufliche Erfahrung zur Durchführung der ihnen übertragenenAufgaben aufweisen und dass sie die erforderliche formale Ausbildung,praktische Schulung und ethische Unterweisung am Arbeitsplatzerhalten. Führungskräfte und Mitarbeiter, die ein tiefgehendesVerständnis für interne Kontrollen zeigen und bereit sind, Verantwortungfür diese zu übernehmen, sind für die Wirksamkeit von internenKontrollstrukturen von ausschlaggebender Bedeutung.Das Personalmanagement spielt auch in der Förderung eines ethischenUmfeldes eine wichtige Rolle, indem für ein hohes professionellesNiveau und Transparenz in den täglichen Abläufen gesorgt wird. DiesINTOSAI Richtlinien für die internen Kontrollnormen 22

Kontrollumfeldzeigt sich in der Personalbeschaffung ebenso wie beiLeistungsbeurteilungen und im Beförderungswesen, das auf einemLeistungssystem aufgebaut sein sollte. Die Sicherstellung offenerAuswahlverfahren durch Veröffentlichung der Einstellungsbedingungenund die öffentliche Ausschreibung der Stellen trägt ebenfalls zurVerwirklichung eines hohen ethischen Standards imPersonalmanagement bei.BeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 23

Risikobeurteilung2.2 RisikobeurteilungRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungDie Risikobeurteilung ist ein Verfahren zur Identifizierung undAnalyse von Risiken, welche die Erreichung der Ziele einerKörperschaft gefährden könnten, und dient zur Festlegung einerangemessenen Risikomanagementstrategie.Sie umfasst:(1) die Identifizierung von Risiken:• in Bezug auf die Zielsetzungen der Körperschaft;• im Gesamtzusammenhang;• auf Grund externer und interner Faktoren, auf Ebene derKörperschaft und ihrer Tätigkeitsbereiche;(2) die Risikoevaluierung:• Einschätzung der Bedeutung eines Risikos;• Abschätzung der Eintrittswahrscheinlichkeit;(3) Einschätzung der Risikobereitschaft der Organisation;(4) Entwicklung von Risikomanagementstrategien:• Vier unterschiedliche Risikomanagementstrategienmüssen erwogen werden: Übertragung, Tolerierung,Beschränkung oder Vermeidung; der bedeutendsteAnsatz im Rahmen dieser Richtlinie ist die Beschränkungvon Risiken, da wirksame interne Kontrollen diewichtigste Maßnahme zur Eindämmung von Risikendarstellen;• Die geeigneten Kontrollmechanismen könnenaufdeckender und/oder vorbeugender Natur sein.INTOSAI Richtlinien für die internen Kontrollnormen 24

Risikobeurteilungaufdeckender und/oder vorbeugender Natur sein.• Das Arbeits- und Betriebsumfeld öffentlicherVerwaltungseinrichtungen befindet sich auf Grund vonVeränderungen im administrativen und regulativenUmfeld und der volkswirtschaftlichen und konjunkturellenRahmenbedingungen in ständigem Wandel. Daher sollteauch die Risikobeurteilung ein permanenter, sich ständigwiederholender Prozess sein, in dessen Rahmengeänderte Bedingungen, Chancen und Risiken erhobenund analysiert (Risikobeurteilungszyklus) und die internenKontrollen der veränderten Risikosituation angepasstwerden.Wie schon in der Definition betont wurde, kann ein internesKontrollsystem nur hinlänglich Gewähr bieten, dass die Ziele derOrganisation erreicht werden. Die Risikobeurteilung ist eineKomponente der internen Kontrolle und spielt eine Schlüsselrolle bei derWahl der geeigneten Kontrollmaßnahmen. Die Risikobeurteilung dientdazu, allfällige Risiken, welche die Erreichung der Ziele der jeweiligenKörperschaft gefährden könnten, zu identifizieren und zu analysierenund eine angemessene Risikostrategie zu bestimmen.Eine Beurteilung der Risiken setzt voraus, dass die betreffendeOrganisation ihre Ziele definiert hat. Die Ziele müssen festgelegtwerden, bevor das Management allfällige Risiken, die der Erreichungeines Zieles im Wege stehen könnten, feststellen und entsprechendeGegenmaßnahmen treffen kann. Die laufende Evaluierung der Risikenund die Entwicklung entsprechender Gegenmaßnahmen erfordert dieEinrichtung eines kostengünstigen Systems und Mitarbeiter, dieausreichend qualifiziert sind, um potenzielle Risiken identifizieren undbeurteilen zu können. Interne Kontrollen sind eine Maßnahme zurRisikobeschränkung, da sie dazu dienen, die Unsicherheit in Bezug aufdie Wahrscheinlichkeit des Eintretens erkannter Risiken zu reduzieren.Öffentliche Verwaltungseinrichtungen haben die Aufgabe, einegeeignete Risikomanagementstrategie zu entwickeln, um den Risiken,welche die Leistungserbringung und das Erreichen gewünschterErgebnisse gefährden, wirksam zu begegnen.RisikoidentifizierungEin strategischer Ansatz zur Risikobeurteilung erfordert dieIdentifizierung von Risiken vor dem Hintergrund der strategischen Zieleder jeweiligen Organisation. Risiken, die diese Ziele gefährden könnten,werden dann analysiert und bewertet und die wesentlichsten Risikenherausgefiltert.INTOSAI Richtlinien für die internen Kontrollnormen 25

RisikobeurteilungDie Identifizierung der primären Risiken ist nicht nur von Bedeutung, umdie wichtigsten Bereiche zu bestimmen, denen die Ressourcen zurRisikobeurteilung zugeteilt werden sollten, sondern auch um dieVerantwortung für das Management dieser Risiken entsprechendzuweisen zu können.Die Leistungserbringung einer Körperschaft kann durch interne undexterne Faktoren sowie auf der Ebene der Körperschaft und von derenArbeits- und Betriebsabläufen gefährdet sein. Die Risikobeurteilungsollte alle potenziell bestehenden Risiken in Betracht ziehen(einschließlich des Betrugs- und Korruptionsrisikos). Von großerBedeutung ist daher, dass die Identifizierung von Risiken aus demGesamtzusammenhang erfolgt. Die Identifizierung von Risiken ist einpermanenter, sich ständig wiederholender Prozess, der häufig in denPlanungsprozess integriert ist. Ein von Null ausgehender Ansatz, dernicht einfach auf der zuletzt durchgeführten Prüfung aufbaut, erweistsich häufig als sinnvoll. Dieser Ansatz erleichtert das Erkennen vonÄnderungen im Risikoprofil 6 einer Organisation, die durchVeränderungen des wirtschaftlichen und regulativen Umfelds, internerund externer Bedingungen und die Einführung von neuen odergeänderten Zielsetzungen bedingt sein können.Zur Identifizierung von Risiken müssen geeignete Instrumenteeingesetzt werden. Zwei der häufigsten sind die Beauftragung vonRisikoprüfungen und eine Selbstbewertung der Risiken. 76Die Übersicht oder Matrix der Hauptrisiken einer Verwaltungseinrichtungoder untergeordneten Körperschaft, die auch das Ausmaß der Auswirkungen(z.B. hoch, mittel, gering) und die Wahrscheinlichkeit des Eintretensbeinhaltet.7Beauftragung von RisikoprüfungenDieses Verfahren baut auf dem Top-down Ansatz auf und besteht darin,dass ein Team zusammengestellt wird, das alle Abläufe und Tätigkeiteneiner Organisation in Bezug zu deren Zielsetzungen untersucht und diebestehenden Risiken identifiziert. Das Team führt eine Reihe von Interviewsmit Mitarbeitern auf allen Organisationsebenen, um für das gesamteSpektrum von Tätigkeiten ein Risikoprofil zu erstellen und Strategiebereiche,Tätigkeiten und Funktionen mit hohem Risikopotenzial (einschließlichBetrugs- und Korruptionsrisiko) zu identifizieren.Selbstbewertung von RisikenDieses Verfahren baut auf dem Bottom-up Ansatz auf und besteht darin,dass jede Ebene und jeder Teilbereich einer Organisation aufgefordert wird,seine Tätigkeitsbereiche auf Risiken zu überprüfen und die Diagnose an diejeweils nächste Instanz zu melden. Die Durchführung erfolgt auf Basis einesübergreifenden Dokumentationsansatzes (wobei der Diagnoserahmen durcheinen Fragebogen vorgegeben wird) oder durch moderierte Workshops.Die beiden Ansätze schließen sich gegenseitig nicht aus, vielmehr ist eineKombination der aus beiden Methoden gewonnenen Inputs wünschenswert,um die Identifizierung von organisationsweiten und auf bestimmteTätigkeitsbereiche beschränkten Risiken zu erleichtern.INTOSAI Richtlinien für die internen Kontrollnormen 26

RisikobeurteilungRisikoevaluierungUm Entscheidungen in Bezug auf eine wirkungsvolle Handhabung vonRisiken treffen zu können, muss nicht nur grundsätzlich festgestelltwerden, dass eine bestimmte Art von Risiko vorliegt, sondern es mussauch die Bedeutung des betreffenden Risikos und dieWahrscheinlichkeit des Eintretens beurteilt werden. Es gibtunterschiedliche Methoden zur Risikoanalyse, vor allem weil zahlreicheRisiken schwer zu quantifizieren sind (z.B. das Risiko für den Ruf),während sich andere leicht beziffern lassen (speziell finanzielle Risiken).Die erstere Gruppe lässt sich nur aus relativ subjektiver Sicht bewerten.Dies macht die Risikoevaluierung mehr zu einer Kunst als einerWissenschaft. Allerdings lässt sich die subjektive Natur dieserBeurteilung durch die systematische und konsequente Anwendung vonRisk Rating Kriterien in einem gewissen Maß einschränken.Ein primärer Zweck der Risikoevaluierung besteht darin, demManagement Informationen über risikorelevante Bereiche, in denenMaßnahmen erforderlich sind, zu liefern, und diese Bereiche nach ihrerPriorität zu ordnen. Dazu bedarf es in der Regel eines Rahmens, in demalle Risiken kategorisiert und, beispielsweise, als hoch, mittel oderniedrig eingestuft werden können. Generell ist zu empfehlen, die Anzahldieser Kategorien gering zu halten, da eine zu ausgeprägteDifferenzierung zu einer störenden Abgrenzung von Ebenen führenkann, die in Wirklichkeit nicht klar trennbar sind.Eine derartige Evaluierung schafft die Grundlage für eine Reihung derRisiken, auf deren Basis das Management Prioritäten setzt, und liefertdem Management die nötige Information, um Beschlüsse fassen zukönnen, welchen Risiken mit Maßnahmen begegnet werden soll (z.B.den Risiken mit den potenziell gravierendsten Auswirkungen oder derhöchsten Eintrittswahrscheinlichkeit).Beurteilung der „Risikobereitschaft“ der OrganisationEin wichtiger Aspekt für die Entwicklung einerRisikomanagementstrategie ist die Definition der „Risikobereitschaft“ derbetreffenden Körperschaft. Die Risikobereitschaft definiert das Risiko,das die Körperschaft einzugehen bereit ist, ohne Gegenmaßnahmen zutreffen. Entscheidungen in Bezug auf Risikomanagementmaßnahmenmüssen im Zusammenhang mit der Feststellung des hinnehmbarenRisikos getroffen werden.Bei der Feststellung der Risikobereitschaft müssen inhärente undRestrisiken berücksichtigt werden. Das inhärente Risiko ist jenes Risiko,dem eine Organisation ohne Maßnahmen zur Reduktion derAuswirkungen oder der Eintrittswahrscheinlichkeit ausgesetzt ist. DasRestrisiko ist das nach Ergreifung von Maßnahmen verbleibende Risiko.Die Risikobereitschaft einer Organisation hängt von der den jeweiligenRisiken zugeordneten Bedeutung ab. Der hinnehmbare finanzielleVerlust, beispielsweise, hängt von einer Reihe von Aspekten ab,darunter auch dem Umfang des zur Verfügung stehenden Budgets, derUrsache des Verlustes, oder allfälliger Folgerisiken, wie Rufschädigung.Die Feststellung der Risikobereitschaft hängt stark von subjektivenINTOSAI Richtlinien für die internen Kontrollnormen 27

RisikobeurteilungFaktoren ab, bildet aber in der Formulierung einer umfassendenRisikostrategie einen wichtigen Teilabschnitt.Entwicklung von RisikomanagementstrategienAus den bisher skizzierten Maßnahmen ergibt sich das Risikoprofil einerOrganisation; dieses bildet die Basis für die Erarbeitung einerangemessenen Risikostrategie.Grundsätzlich gibt es vier unterschiedliche Risikomanagementansätze.In manchen Fällen kann Risiko übertragen, hingenommen odervermieden werden. 8 In den meisten Fällen wird es jedoch um eineBeschränkung des Risikos gehen. Um das Risiko auf ein akzeptablesNiveau zu reduzieren, ist die Einrichtung und Führung eines wirksameninternen Kontrollsystems erforderlich.Der Zweck des Risikomanagements besteht vor allem in derEindämmung und nicht so sehr im Ausschluss von Risiken. DieVerfahren, die eine Organisation zur Steuerung von Risiken entwickelt,werden als interne Kontrollmaßnahmen bezeichnet. DieRisikobeurteilung sollte bei der Wahl angemessenerKontrollmaßnahmen eine wichtige Rolle spielen. Hier sei noch einmaldarauf hingewiesen, dass nicht alle Risiken ausgeschlossen werdenkönnen und dass interne Kontrollen nur hinlänglich gewährleisten, dassdie Ziele der Organisation kontinuierlich erreicht werden. Allerdings sindKörperschaften mit einem aktiven, auf die laufende Identifizierung undBeschränkung von Risiken abgestellten Risikomanagementansatzbesser auf das mögliche Auftreten von Risiken und Veränderungen imAllgemeinen vorbereitet und auch rascher reaktionsfähig, wenntatsächlich einmal etwas schief gehen sollte.In der Ausgestaltung des internen Kontrollsystems ist es wichtig, daraufzu achten, dass die jeweilige Kontrolltätigkeit in einem angemessenenVerhältnis zum Nutzen steht, der durch Begrenzung des betreffendenRisiko erzielt wird. Mit Ausnahme extrem unerwünschter Folgen genügtes in der Regel Kontrollen einzurichten, die hinlänglich gewährleisten,dass ein allfälliger Verlust im Rahmen der Risikobereitschaft derOrganisation bleibt. Jede Kontrolle verursacht Kosten, und der Nutzen8Im Fall mancher Risiken besteht die beste Strategie in der Übertragung des Risikos.Dies kann durch konventionelle Versicherungen oder sonstige entgeltlicheÜbertragung an Dritte oder durch vertragliche Regelungen geschehen.Für manche Risiken lassen sich keine oder nur bedingt Beschränkungsmaßnahmentreffen, oder die Kosten dieser Maßnahmen stehen in keinem realistischen Verhältniszum möglichen Nutzen. In diesen Fällen liegt der sinnvollste Ansatz möglicherweisein der Hinnahme des Risikos.Manche Risiken können nur auf ein akzeptables Niveau reduziert werden, indem dieentsprechende Tätigkeit vermieden wird. Im öffentlichen Sektor ist die Möglichkeit zurVermeidung von Tätigkeiten im Vergleich zum privaten Sektor möglicherweise starkeingeschränkt. Es gibt eine Reihe von Tätigkeiten, die gerade deshalb demöffentlichen Sektor übertragen wurden, weil die inhärenten Risiken so hoch sind, dassder für das Gemeinwohl erforderliche Nutzen nur auf diese Weise erzielt werdenkann.INTOSAI Richtlinien für die internen Kontrollnormen 28

Risikobeurteilungder Kontrolltätigkeit muss in einem angemessenen Verhältnis zu denKosten der Risikoeindämmung stehen.Das Arbeits- und Betriebsumfeld öffentlicher Verwaltungseinrichtungenbefindet sich auf Grund von Veränderungen im administrativen undregulativen Umfeld und der volkswirtschaftlichen und konjunkturellenRahmenbedingungen in ständigem Wandel. Dadurch ändert sich auchdie Priorität von Zielsetzungen und das Risikoumfeld einer Organisationlaufend, wodurch sich wiederum die Bedeutung der Risiken verlagertund verändert. Daher sollte die Risikobeurteilung ein permanenter, sichständig wiederholender Prozess sein, in dessen Rahmen geänderteBedingungen erhoben und analysiert (Risikobeurteilungszyklus) und, woerforderlich, Maßnahmen eingeleitet werden. Die Risikoprofile und damitzusammenhängenden Kontrollen müssen regelmäßig überprüft undrevidiert werden, um sicherzustellen, dass das Risikoprofil seineGültigkeit behält, das Risikomanagement gezielt und angemessenbleibt, und die Kontrollen zur Steuerung der Risiken trotz derVeränderungen in der Risikolandschaft ihre Wirksamkeit behalten.BeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 29

Kontrolltätigkeiten2.3 KontrolltätigkeitenRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungDie Kontrolltätigkeiten umfassen die von einer Körperschaft zurRisikosteuerung und zur Erreichung der Organisationszieleeingesetzten Strategien und Verfahren.Um ihre Wirksamkeit zu gewährleisten, müssen dieKontrolltätigkeiten angemessen sein, über den gesamtenZeitraum hinweg kontinuierlich und nach Plan eingesetztwerden, weiters müssen sie kostengünstig, umfassend undsinnvoll sein und sich direkt auf die Kontrollziele beziehen.Kontrolltätigkeiten fallen überall, auf allen Ebenen und in allenAufgabenbereichen einer Organisation an. Sie umfassenaufdeckende und vorbeugende Kontrollmaßnahmenunterschiedlicher Natur, wie zum Beispiel:(1) Bevollmächtigungs- und Genehmigungsverfahren;(2) Aufgabentrennung (Genehmigung, Auswertung, Erfassungund Überprüfung);(3) Kontrolle über den Zugriff auf Ressourcen und Unterlagen;(4) Verifizierung;(5) Übereinstimmungsvergleich;(6) Leistungsüberprüfung;(7) Überprüfung der Arbeits- und Betriebsabläufe, Verfahrenund Tätigkeiten;INTOSAI Richtlinien für die internen Kontrollnormen 30

Kontrolltätigkeitenund Tätigkeiten;(8) Beaufsichtigung (Zuweisung, Überprüfung, Genehmigung,Anleitung und Training).Die Körperschaften sollten für ein angemessenes Gleichgewichtzwischen aufdeckenden und vorbeugenden Kontrolltätigkeitensorgen.Korrekturen und Verbesserungsmaßnahmen sind alsnotwendige Ergänzung der Kontrollen erforderlich, umsicherzustellen, dass die Kontrollziele erreicht werden.Die Kontrolltätigkeiten umfassen die für Risikomanagementzweckeeingesetzten Strategien und Verfahren, mit denen sichergestellt werdensoll, dass die Organisationsziele erreicht werden.Um wirksam zu sein müssen Kontrollmaßnahmen:• angemessen sein (das heißt die richtige und dem Risikoangemessene Kontrolle am richtigen Ort);• über den gesamten Zeitraum kontinuierlich und nach Plandurchgeführt werden (das heißt, sie werden von allen zuständigenMitarbeitern sorgfältig eingehalten und in Abwesenheit vonAufsichtspersonen oder unter Arbeitsdruck nicht umgangen);• kostengünstig sein (das heißt, die Kosten der Kontrollen sollten denNutzen nicht übersteigen);• umfassend und sinnvoll sein und sich direkt auf die Kontrollzielebeziehen.Die Kontrollmaßnahmen umfassen ein breites Spektrum an Strategienund Verfahren unterschiedlichster Natur wie:1. Bevollmächtigungs- und GenehmigungsverfahrenGeschäftsfälle und Vorgänge werden nur von Personen genehmigtund durchgeführt, die im Rahmen ihrer dienstlichen Befugnissehandeln. Die Genehmigung ist das wichtigste Instrument zurSicherstellung, dass nur im Einklang mit den Absichten desManagements zulässige Maßnahmen und Vorgänge eingeleitetwerden. Die Genehmigungsverfahren, die dokumentiert und denFührungskräften und Mitarbeitern in klarer Form bekannt gemachtwerden sollten, sollten auf die speziellen Bedingungen hinweisen,unter denen die Genehmigungen zu erteilen sind. Die Bedingungeneiner Bevollmächtigung einzuhalten bedeutet, dass die Mitarbeiterim Einklang mit den vom Management oder dem Gesetzvorgegebenen Richtlinien und Einschränkungen handeln.INTOSAI Richtlinien für die internen Kontrollnormen 31

Kontrolltätigkeiten2. Aufgabentrennung (Genehmigung, Auswertung, Erfassung undÜberprüfung)Um das Risiko von Fehlern, Verschwendung oder unrechtmäßigemHandeln und das Risiko, dass derartige Probleme nicht aufgedecktwerden, zu reduzieren, sollte nie eine Person oder ein Team alleinfür alle Schlüsselfunktionen eines Geschäftsfalls oder Vorgangszuständig sein. Vielmehr sollten die Aufgaben und Zuständigkeitensystematisch unter einer Anzahl von Einzelpersonen aufgeteiltwerden, um wirksame gegenseitige Kontrollen sicherzustellen. Zuden Schlüsselfunktionen zählen die Genehmigung und Erfassungvon Geschäftsfällen und deren Abwicklung, Überprüfung oderRevision. Geheime Absprachen können jedoch die Wirksamkeitdieser internen Kontrollen reduzieren oder zunichte machen. Einekleine Körperschaft hat unter Umständen nicht genügend Mitarbeiter,um diese Kontrollen in vollem Umfang umzusetzen. In solchenFällen ist das Management gefordert, sich die Risiken bewusst zumachen und andere ausgleichende Kontrollen einzusetzen. Einemöglicherweise hilfreiche Maßnahme besteht in einerMitarbeiterrotation. Dadurch kann verhindert werden, dass einePerson allein über ungebührlich lange Zeiträume mit allenSchlüsselfunktionen in Bezug auf Geschäftsfälle und Vorgängebetraut ist. Darüber hinaus kann es zum Zweck derRisikobeschränkung auch nützlich sein, die Mitarbeiter zurInanspruchnahme von Jahresurlauben anzuregen bzw. diesevorzuschreiben, und so eine vorübergehende Aufgabenrotation zubewirken.3. Kontrolle über den Zugriff auf Ressourcen und UnterlagenDer Zugriff auf Ressourcen und Unterlagen ist auf einen befugtenPersonenkreis zu beschränken, der für deren Verwahrung und/oderVerwendung verantwortlich ist. Die Verantwortung für dieVerwahrung wird durch Belege, Inventarlisten oder sonstigeAufzeichnungen, welche die Übernahme oder die Übertragung zurVerwahrung belegen, dokumentiert. Durch die Einschränkung desZugriffs auf die Mittel wird das Risiko einer unbefugten Verwendungbzw. von Verlusten für den Staat verringert und gleichzeitig dazubeigetragen, dass den Richtlinien des Managements Folge geleistetwird. Der Grad der Einschränkung hängt vom Gefährdungsgrad derMittel und dem erkennbaren Verlustrisiko ab; beide Risiken sollten inregelmäßigen Abständen neu beurteilt werden. Bei der Feststellungdes Gefährdungsgrades eines Vermögenswertes sollten Aspektewie Wert, Transportfähigkeit und Austauschbarkeit mit in Betrachtgezogen werden.4. VerifizierungGeschäftsfälle und Vorgänge werden vor und nach ihrer Abwicklungauf ihre Richtigkeit überprüft. Bei Lieferungen, zum Beispiel, wird diegelieferte Stückzahl mit der bestellten Stückzahl und die verrechneteStückzahl mit der erhaltenen Stückzahl verglichen. Bestände werdendurch Bestandsaufnahmen erhoben und überprüft.INTOSAI Richtlinien für die internen Kontrollnormen 32

Kontrolltätigkeiten5. ÜbereinstimmungsvergleichAufzeichnungen werden in regelmäßigen Abständen mit derentsprechenden Dokumentation verglichen. So werden zum BeispielRechnungslegungsunterlagen, die sich auf Bankkonten beziehen,mit den entsprechenden Kontoauszügen verglichen.6. Überprüfung der BetriebsleistungDie Betriebsleistung wird anhand einer Reihe von Maßstäben inregelmäßigen Abständen auf ihre Wirksamkeit und Wirtschaftlichkeitüberprüft. Sollte die Leistungsüberprüfung ergeben, dass dietatsächliche Leistung den bestehenden Zielen und Maßstäben nichtentspricht, sollten die Verfahren und Maßnahmen zur Erreichung derZiele überprüft werden, um festzustellen, ob Verbesserungenerforderlich sind.7. Überprüfung der Arbeits- und Betriebsabläufe, Verfahren undTätigkeitenArbeits- und Betriebsabläufe, Verfahren und Tätigkeiten sollten inregelmäßigen Abständen überprüft werden, um zu gewährleisten,dass sie den geltenden Vorschriften, strategischen und operativenVorgaben und sonstigen Erfordernissen entsprechen. Diese Art vonÜberprüfung der Tätigkeit einer Organisation sollte klar von derÜberwachung der internen Kontrollen, die in Abschnitt 2.5 behandeltwird, unterschieden werden.8. Beaufsichtigung (Zuweisung, Überprüfung, Genehmigung,Anleitung und Training)Kompetente Beaufsichtigung trägt dazu bei, dass die Ziele derinternen Kontrollen erreicht werden. Bei der Zuweisung, Überprüfungund Genehmigung der Tätigkeiten eines Mitarbeiters bedarf es:• klarer Mitteilungen über die Aufgaben, Zuständigkeiten undVerantwortlichkeiten eines jeden Mitarbeiters;• einer systematischen Überprüfungen der Arbeit eines jedenMitarbeiters in dem jeweils erforderlichen Ausmaß;• der Genehmigung zur Fortsetzung der Arbeiten an kritischenPunkten, damit gewährleistet ist, dass der Arbeitsablauf denvorgesehenen Verlauf nimmt.Wenn ein Vorgesetzter Tätigkeiten delegiert, sollte dies dieRechenschaftspflicht des Vorgesetzten für die übertragenenZuständigkeiten und Aufgaben nicht verringern. Die Vorgesetztenmüssen ihren Mitarbeitern auch die notwendige Anleitung undSchulung bieten, um so dazu beizutragen, dass Fehler,Verschwendung und Unrechtmäßigkeiten auf ein Minimum reduziertwerden und die Anweisungen der Führungskräfte in ihrer Bedeutungverstanden und in die Praxis umgesetzt werden.Die obige Liste ist nicht vollständig, sie umfasst jedoch die üblichstenvorbeugenden und aufdeckenden Kontrolltätigkeiten. DieKontrollmaßnahmen 1-3 sind vorbeugender, 4-6 vorwiegendINTOSAI Richtlinien für die internen Kontrollnormen 33

Kontrolltätigkeitenaufdeckender und 7-8 sowohl vorbeugender wie auch aufdeckenderNatur. Eine Körperschaft sollte ein angemessenes Gleichgewichtzwischen aufdeckenden und vorbeugenden Kontrollmaßnahmenanstreben, wobei häufig eine Kombination verschiedener Kontrollengewählt wird, um bestimmte Nachteile einzelner Kontrollmaßnahmenauszugleichen.Bereits eingeführte Kontrollmaßnahmen müssen auf ihre Wirksamkeitüberprüft werden. Daher müssen sie durch Korrekturen undVerbesserungsmaßnahmen ergänzt werden. Die Kontrolltätigkeiten sindaußerdem nur eine Komponente des internen Kontrollsystems. Siesollten daher mit den übrigen vier Komponenten des Systems in einGanzes integriert werden.BeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 34

Kontrolltätigkeiten2.3.1 Kontrolltätigkeiten im Bereich InformationstechnologieInformationssysteme erfordern spezielle Kontrollmaßnahmen. BeiIT-Kontrollen werden zwei Hauptgruppen unterschieden:(1) Allgemeine KontrollenDie allgemeinen Kontrollen umfassen die für einenweitgesteckten Bereich gültigen Strukturen, Strategien undVerfahren, die dazu beitragen, ordnungsgemäße Arbeits- undBetriebsabläufe sicherzustellen. Sie schaffen das Umfeld, indem die Anwendungen betrieben und die Kontrollendurchgeführt werden.Zu den Hauptkategorien der allgemeinen Kontrollen zählen (1)die organisationsweite Sicherheitsprogramm- undSicherheitsmanagementplanung, (2) Zugriffskontrollen, (3)Kontrollen betreffend die Entwicklung, die laufende Pflege undden Austausch von Anwendungssoftware, (4) Systemsoftware-Kontrollen, (5) Aufgabentrennung, und (6) Servicekontinuität.(2) Anwendungsspezifische KontrollenDie anwendungsspezifischen Kontrollen umfassen die fürseparate, individuelle Anwendungssysteme gültigen undunmittelbar auf einzelne elektronische Anwendungenbezogenen Strukturen, Strategien und Verfahren. DieseKontrollen zielen im Allgemeinen darauf ab, Fehler undUnregelmäßigkeiten im Fluss der Informationen durch die IT-Systeme zu verhindern, aufzudecken und zu beheben.Allgemeine und anwendungsspezifische Kontrollen stehen inWechselwirkung und sind beide erforderlich, um eine vollständigeund fehlerfreie Informationsverarbeitung zu gewährleisten. Da sichdie Informationstechnologie in einem rapiden Wandel befindet,müssen IT-Kontrollen generell laufend weiterentwickelt werden,um ihre Wirksamkeit garantieren zu können.Mit dem Fortschritt der Informationstechnologie wurden die öffentlichenVerwaltungseinrichtungen in ihren Arbeits- und Betriebsabläufen und derVerarbeitung, Sicherung und Weiterleitung wesentlicher Informationenzunehmend von elektronischen Informationssystemen abhängig. DieZuverlässigkeit und Sicherheit elektronischer Daten und der Systemezur Verarbeitung, Sicherung und Weiterleitung dieser Daten entwickelteINTOSAI Richtlinien für die internen Kontrollnormen 35

Kontrolltätigkeitensich damit zu einem bedeutenden Anliegen des Managements ebensowie der Revisoren und Prüfer der Organisationen. DieInformationssysteme erfordern zwar ganz bestimmte Arten vonKontrollen, aber die Informationstechnologie bildet dennoch keinen fürsich allein stehenden Kontrollbereich, sondern einen in weite Teile desGesamtsystems eingebetteten Bestandteil der internen Kontrollen.Der Einsatz automatisierter Systeme in der Informationsverarbeitungbringt eine Reihe von Risiken mit sich, mit denen sich eine Organisationauseinandersetzen muss. Diese Risiken ergeben sich unter anderemaus der standardisierten Abwicklung von Geschäftsfällen; derautomatischen IT-gestützten Abwicklung der Geschäftsfälle; einererhöhten Gefahr, dass Fehler nicht entdeckt werden; der Existenz,Vollständigkeit und dem Umfang von Revisions- undPrüfungsdokumentation; der Art der verwendeten Hardware undSoftware sowie der Erfassung von außerordentlichen und nichtroutinemäßigen Geschäftsfällen. Ein der standardisierten Abwicklungvon Geschäftsfällen inhärentes Risiko besteht zum Beispiel darin, dasssich Programmierungsfehler durchgehend auf alle vergleichbarenVorgänge auswirken. Durch wirkungsvolle IT-Kontrollen kann dasManagement mit hinlänglicher Sicherheit gewährleisten, dass die mitden IT-Systemen der Organisation verarbeiteten Informationen undDaten den Kontrollzielen wie der Sicherstellung der Vollständigkeit,Aktualität, Gültigkeit und Integrität entsprechen.Die IT-Kontrollen lassen sich in zwei Hauptgruppen unterteilen,allgemeine Kontrollen und anwendungsspezifische Kontrollen.Allgemeine KontrollenDie allgemeinen Kontrollen beziehen sich auf die für das gesamte IT-System einer Organisation oder einen großen Teilbereich – wieRechenzentrum, Kleincomputer, Netzwerk und Endbenutzerumfeld –gültigen Strukturen, Strategien und Verfahren, die dazu beitragen, denordnungsgemäßen Betrieb sicherzustellen. Sie bestimmen das Umfeld,in dem die Anwendungen betrieben und die Kontrollen durchgeführtwerden.Die Hauptkategorien der allgemeinen Kontrollen:1. Die organisationsweite Sicherheitsprogramm- undSicherheitsmanagementplanung schaffen einen Rahmen für dieTätigkeiten im Bereich Risikomanagement, die Entwicklung vonSicherheitsstrategien, die Übertragung von Zuständigkeiten und dieÜberwachung der Angemessenheit der IT-Kontrollen in derOrganisation und stellen die regelmäßige Durchführung derKontrollen sicher.2. Zugriffskontrollen beschränken bzw. legen den Zugriff zu Computer-Ressourcen (Daten, Programmen, Ausrüstung und Anlagen) offenund schützen diese Betriebsmittel dadurch vor unbefugterVeränderung und Offenlegung oder Verlust. Die Zugriffskontrollenumfassen sowohl physikalische als auch logische Kontrollen.3. Kontrollen betreffend die Entwicklung, die laufende Pflege und denAustausch von Anwendungssoftware verhindern den Einsatz vonINTOSAI Richtlinien für die internen Kontrollnormen 36

Kontrolltätigkeitennicht genehmigten Programmen oder Änderungen an bestehendenProgrammen.4. Systemsoftware-Kontrollen beschränken und überwachen denZugriff auf leistungsstarke Programme und sensible Dateien, die zurHardware-Steuerung und zur Sicherung von im System unterstütztenAnwendungen dienen.5. Aufgabentrennung bezieht sich auf die Entwicklung und Einrichtungvon Strategien, Verfahren und einer Organisationsstruktur, dieverhindern, dass eine Person allein alle Schlüsselaspekte von ITbezogenenArbeits- und Betriebsabläufen kontrolliert und dadurchunbefugten Maßnahmen oder unbefugtem Zugriff zuVermögenswerten oder Aufzeichnungen Vorschub geleistet wird.6. Servicekontinuität gewährleistet Unterstützung um sicherzustellen,dass kritische Operationen im Fall unerwarteter Ereignisse ohneUnterbrechung weitergeführt oder umgehend wieder aufgenommenwerden können und kritische und sensible Daten geschützt bleiben.Anwendungsspezifische KontrollenAnwendungsspezifische Kontrollen umfassen die Strukturen, Strategienund Verfahren, die sich direkt auf einzelne elektronische Anwendungenbeziehen – zum Beispiel Systeme zur Verwaltung von Forderungen,Vorräten, Lohnverrechnung, Beihilfen oder Krediten – und die für dieKontrolle der Datenverarbeitung mit bestimmter Anwendungssoftwarekonzipiert sind.Diese Kontrollen dienen in der Regel dazu, Fehler undUnregelmäßigkeiten im Fluss der Informationen durch die IT-Systeme zuverhindern, aufzudecken und zu beheben.In Bezug auf anwendungsspezifische Kontrollen und die Art und Weise,wie die Information durch die IT-Systeme fließt, lassen sich imVerarbeitungszyklus drei unterschiedliche Phasen unterscheiden:• Eingabe: die Daten werden genehmigt, aufbereitet und korrekt,vollständig und zeitgerecht in das Anwendungsprogrammeingegeben;• Verarbeitung: die Daten werden vom Rechner ordnungsgemäßverarbeitet und die Dateien werden korrekt aktualisiert; und• Ausgabe: die im Anwendungsprogramm erstellten Dateien undBerichte enthalten die tatsächlichen Geschäftsfälle und Vorgängeund stellen die Verarbeitungsergebnisse korrekt dar; die Berichtewerden kontrolliert und an die berechtigten User weitergeleitet.Die anwendungsspezifischen Kontrollen können auch nach ihrenKontrollzielen unterschieden werden, unter anderem in Bezug aufGenehmigung, Vollständigkeit, Richtigkeit und Rechtmäßigkeit derGeschäftsfälle und Informationen. Genehmigungskontrollen dienen zurÜberprüfung der Rechtmäßigkeit von Geschäftsfällen und sind eineMaßnahme, mit der sichergestellt werden kann, dass es sich bei denerfassten Geschäftsfällen um Vorgänge handelt, die im betreffendenZeitraum tatsächlich stattgefunden haben. Vollständigkeitskontrollendienen zur Überprüfung, ob alle rechtmäßigen Geschäftsfälle erfasstund ordnungsgemäß zugeordnet sind. Mit Richtigkeitskontrollen wirdINTOSAI Richtlinien für die internen Kontrollnormen 37

Kontrolltätigkeitenüberprüft, ob die Geschäftsfälle korrekt erfasst und alle Daten undDatenelemente fehlerfrei eingegeben wurden. Ist jedoch die Kontrolleder Integrität der Datenverarbeitung und der Dateien unzulänglich, istder Nutzen jeder der obgenannten anwendungsspezifischen Kontrollenin Frage gestellt und die Gefahr des Auftretens von nicht genehmigtenGeschäftsfällen und unvollständigen oder fehlerhaften Datensätzenentsprechend erhöht.Anwendungsspezifische Kontrollen umfassen programmierteKontrollmaßnahmen, wie automatisierte Datenaufbereitungsfunktionen,ebenso wie die manuelle Weiterbearbeitung von elektronischgenerierten Unterlagen wie die Revision von Berichten, in denenzurückgewiesene oder ungewöhnliche Positionen identifiziert werden.Wechselwirkung zwischen allgemeinen undanwendungsspezifischen Kontrollen bei IT-SystemenDie Wirksamkeit von anwendungsspezifischen Kontrollen hängtwesentlich von der Wirksamkeit der allgemeinen Kontrollen ab. Wenndie allgemeinen Kontrollen schwach sind, sinkt die Zuverlässigkeit dereinzelnen anwendungsspezifischen Kontrollen erheblich. Ohnewirksame allgemeine Kontrollen werden die anwendungsspezifischenKontrollen unter Umständen auf Grund von Nichtbeachtung, Umgehungoder Abänderungen wirkungslos. Eine logische Kontrolle etwa, die denNutzer daran hindern soll, eine unlogische Anzahl von Arbeitsstunden indas Lohnverrechnungssystem einzugeben (z.B. mehr als 24 Stundenpro Tag), kann eine wirkungsvolle, anwendungsspezifische Kontrollesein. Diese Kontrolle verliert jedoch ihre Zuverlässigkeit, wenn dieallgemeinen Kontrollen unbefugte Programmänderungen zulassen, diees möglich machen, einzelne Zahlungen von der logischen Kontrolleauszuschließen.Während die grundlegenden Kontrollziele unverändert bleiben, müssendie Kontrollen selbst ständig weiterentwickelt werden, um dem rapidenWandel im Bereich der Informationstechnologie Rechnung zu tragenund die Wirksamkeit der Kontrollen zu gewährleisten. Veränderungenwie die zunehmende Abhängigkeit von Netzwerken, leistungsfähigereComputer, durch welche die Verantwortung für die Datenverarbeitungbeim Endanwender liegt, elektronische Handelssysteme und dasInternet beeinflussen die Art und Umsetzung spezifischerKontrollmaßnahmen.Für weitere Informationen zum Thema IT-Kontrollen wird auf dieInformation Systems Audit and Control Association (ISACA),insbesondere die ISACA Control Objectives for Information and relatedTechnology – ISACA Kontrollziele für Informations- und verwandteTechnologien (COBIT), und den Leitfaden des INTOSAI Komitees fürdie IT-Prüfung verwiesen.BeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 38

Information und Kommunikation2.4 Information undKommunikationRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungInformation und Kommunikation sind für die Umsetzung aller internenKontrollziele von wesentlicher Bedeutung.InformationEine Voraussetzung für die Bereitstellung zuverlässiger undzweckdienlicher Informationen ist die sofortige Aufzeichnung undordnungsgemäße Zuordnung von Geschäftsfällen und anderenVorgängen. Einschlägige Information sollte identifiziert, erfasst und denMitarbeitern rechtzeitig in einer Form weitergeleitet werden, dass dieseihrer internen Kontrollfunktion und anderen Aufgaben nachkommenkönnen (rechtzeitige Information der richtigen Stellen). Daher sollte dasinterne Kontrollsystem als solches ebenso wie alle Geschäftsfälle undVorgänge vollständig dokumentiert werden.Mit Hilfe der Informationssysteme werden Berichte erstellt, die Betriebs-,Finanz- und Geschäftsdaten und relevante Informationen in Bezug aufdie Einhaltung von Gesetzen und Vorschriften enthalten, und denFührungskräften als Basis für das Management der Körperschaft und derKontrolle der internen Arbeits- und Betriebsabläufe dienen. DieReichweite der Systeme beschränkt sich nicht auf intern generierteDaten, sondern umfasst auch signifikante externe Ereignisse, Tätigkeitenund Bedingungen, die für den Entscheidungsfindungsprozess und dasBerichtswesen von Bedeutung sind.Die Qualität der Information beeinflusst den Entscheidungsprozess imManagement. Daher muss angemessene, zeitgerechte, aktuelle undkorrekte Information in zugänglicher Form bereitgestellt werden.INTOSAI Richtlinien für die internen Kontrollnormen 39

Information und KommunikationInformation und Kommunikation sind für die Umsetzung aller internenKontrollziele von wesentlicher Bedeutung. Eines der internenKontrollziele, zum Beispiel, besteht in der Erfüllung der öffentlichenRechenschaftspflicht. Dieses Ziel wird erreicht, indem zuverlässige undzweckdienliche Finanz- und Managementinformationen erstellt undbereitgehalten werden und diese in angemessener Weise zeitgerechtveröffentlicht werden. Information und Berichterstattung über dieoperativen Ergebnisse einer Organisation schaffen die Möglichkeit,Arbeits- und Betriebsabläufe am Maßstab ihrer Planmäßigkeit, Ethik,Wirtschaftlichkeit, Effizienz und Wirksamkeit zu beurteilen. Häufigerfordern Gesetze und Vorschriften die Offenlegung bestimmterInformationen.Um eine wirksame interne Kontrolle und das Erreichen der Kontrollzielesicherzustellen werden auf allen Ebenen einer OrganisationInformationen benötigt. Daher muss ein Katalog zweckdienlicher,zuverlässiger und einschlägiger Informationen festgelegt werden, dieerfasst und den Mitarbeitern rechtzeitig und in einer Form weiterzuleitensind, dass diese ihre interne Kontrollfunktion und andere Aufgabenerfüllen können. Eine Voraussetzung für die Bereitstellung zuverlässigerund zweckdienlicher Informationen ist die sofortige Aufzeichnung undordnungsgemäße Zuordnung von Geschäftsfällen und Vorgängen.Um dem Management zweckdienliche und einschlägige Information alsGrundlage für Entscheidungsprozesse und zur Steuerung der ArbeitsundBetriebsabläufe bereitstellen zu können, müssen Geschäftsfälle undandere signifikante Vorgänge sofort aufgezeichnet werden. Dies gilt fürden gesamten Vorgang bzw. die gesamte Abwicklungsphase einesGeschäftsfalles einschließlich der Anbahnung und Genehmigung, allerVerfahrensabschnitte, sowie die abschließende Zuordnung inzusammenfassenden Aufzeichnungen. Ebenso gilt dies in Bezug auf dieumgehende Aktualisierung aller Dokumentationsunterlagen, um sie aufdem letztgültigen Stand zu halten.Eine ordnungsgemäße Zuordnung von Geschäftsfällen und Vorgängenist erforderlich, um sicherzustellen, dass dem Management zuverlässigeInformationen zur Verfügung stehen. Dieser Prozess umfasst diesystematische Aufbereitung, Kategorisierung und Formatierung vonInformationen, die für die Erarbeitung von Berichten, Zeitplänen undJahresabschlüssen herangezogen werden.Mit Hilfe der Informationssysteme werden Berichte erstellt, die Betriebs-,Finanz- und Geschäftsdaten sowie Information in Bezug auf dieEinhaltung von Gesetzen und Vorschriften enthalten und die demManagement als Basis für die Kontrolle der Arbeits- und Betriebsabläufedienen. In den IT-Systemen werden nicht nur intern generierte Datenquantitativ und qualitativ verarbeitet, sondern auch externe Ereignisse,Tätigkeiten und Bedingungen, die für die Entscheidungsprozesse unddas Berichtswesen von Bedeutung sind.INTOSAI Richtlinien für die internen Kontrollnormen 40

Information und KommunikationAngemessene Management-Entscheidungen hängen von der Qualitätder verfügbaren Information ab. Daher muss die bereitgestellteInformation:• angemessen (ist die erforderliche Information verfügbar?);• zeitgerecht (ist sie verfügbar, wenn sie gebraucht wird?);• aktuell (ist sie am letzten verfügbaren Stand?);• korrekt (ist sie fehlerfrei?);• zugänglich (ist sie für die betreffenden Personen leicht zugänglich?);sein.Um eine hohe Qualität des Informations- und Berichtswesens zugewährleisten, die Durchführung der internen Kontrollen und Aufgabenzu erleichtern und die Überwachung effizienter und wirkungsvoller zugestalten, sollte das interne Kontrollsystem als solches ebenso wie alleGeschäftsfälle und Vorgänge vollständig und transparent dokumentiertwerden (z.B. Ablaufdiagramme und Berichte). Diese Dokumentationsollte jederzeit einsehbar sein.Die Dokumentation des internen Kontrollsystems sollte eineBeschreibung der Organisationsstruktur und Strategien sowie derAufgabenbereiche und der jeweils geltenden Zielsetzungen undKontrollverfahren enthalten. Eine Organisation muss über schriftlicheUnterlagen verfügen, welche die Komponenten des internenKontrollverfahrens einschließlich der Organisations- und Kontrollzielebeschreiben.Der Umfang der Dokumentation des internen Kontrollsystems hängt vonFaktoren wie der Größe und der Komplexität der betreffendenKörperschaft ab.KommunikationWirksame Kommunikation sollte in jeder Richtung stattfinden,von oben nach unten, quer durch alle Ebenen und von untennach oben sowie alle Teilbereiche und die gesamte Strukturdurchdringen.Das oberste Management sollte allen Mitarbeitern eindeutigund klar vermitteln, dass die Kontrollaufgaben ernst zunehmen sind. Die Mitarbeiter sollten ihre Rolle im internenKontrollsystem verstehen und sich der Zusammenhänge dereinzelnen Aufgaben mit den Tätigkeiten anderer Mitarbeiterbewusst sein.INTOSAI Richtlinien für die internen Kontrollnormen 41

Information und KommunikationEbenso muss für eine wirksame Kommunikation nach außengesorgt sein.Information bildet die Grundlage von Kommunikation. Diese muss dieErwartungen der betroffenen Gruppen und Einzelpersonen erfüllen undsie in die Lage versetzen, die ihnen obliegenden Aufgaben wirksam zuerfüllen. Wirksame Kommunikation sollte in jeder Richtung stattfinden,von oben nach unten, quer durch alle Ebenen der Organisation und vonunten nach oben sowie alle Teilbereiche und die gesamte Strukturdurchdringen.Einer der wichtigsten Kommunikationskanäle ist der zwischen demManagement und dessen Mitarbeitern. Das Management muss in Bezugauf die operativen Ergebnisse, Entwicklungen, Risiken und dasFunktionieren der internen Kontrolle sowie andere wichtige Ereignisseund Themen am jeweils aktuellen Stand gehalten werden. Umgekehrtobliegt es dem Management, die Mitarbeiter klar darüber zu informieren,welche Informationen benötigt werden sowie Feedback und dieentsprechenden Anleitungen zu geben. Auch die Verhaltensgrundsätzesollten vom Management im Detail und zielgerichtet kommuniziertwerden. Dies beinhaltet auch eine klare Darstellung der dem internenKontrollansatz zu Grunde liegenden Philosophie und Strategie und eineBeschreibung der Kompetenzverteilung.Die Kommunikationsmaßnahmen sollten so ausgelegt sein, dass sie dasBewusstsein für die Bedeutung und Sachdienlichkeit wirksamer internerKontrollen erhöhen, das Maß der Risikobereitschaft und derRisikotoleranz der Körperschaft verständlich machen, und denMitarbeitern ihre Aufgaben und Zuständigkeiten in der Durchführung undUnterstützung der einzelnen Aspekte der internen Kontrolle bewusstmachen.Neben internen Kommunikationsmaßnahmen sollte vom Managementauch sichergestellt werden, dass geeignete Kommunikationsmittel zumAustausch von Information mit externen Stellen zur Verfügung stehen,da externe Kommunikationskanäle unter Umständen sehr bedeutsameInformationen für die Erreichung der Organisationsziele liefern.Es obliegt dem Management, auf Basis der aus internen und externenKanälen gewonnenen Informationen die erforderlichen Maßnahmen zutreffen und rechtzeitig weitere Schritte zu setzen.BeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 42

Überwachung2.5 ÜberwachungRechenschaftspflichtEinhaltung von GesetzenArbeits- undBetriebsabläufeSicherung derRessourcenKontrollumfeldRisikobeurteilungKontrolltätigkeitenOrganisationKörperschaft...AbteilungInformation und KommunikationÜberwachungInterne Kontrollsysteme sollten überwacht werden, um die Qualität derSystemperformance im Zeitablauf zu beurteilen. Die Überwachungerfolgt durch Routinetätigkeiten, zusätzliche Evaluierungen oder eineKombination der beiden.(1) Laufende ÜberwachungDie laufende Überwachung der internen Kontrollen ist in dieregulären Arbeits- und Betriebsabläufe einer Körperschafteingebunden. Sie umfasst regelmäßige, vom Management und denmit der Überwachung betrauten Instanzen durchgeführteMaßnahmen und Tätigkeiten, die von den Mitarbeitern im Rahmender Erfüllung ihrer Aufgaben ausgeübt werden.Die laufende Überwachung erstreckt sich auf jede der im internenKontrollsystem enthaltenen Teilkomponenten und beinhaltetMaßnahmen zur Verhinderung ordnungswidriger, unethischer,verschwenderischer, unzweckmäßiger und unwirksamer internerKontrollen.(2) Zusätzliche EvaluierungenUmfang und die Häufigkeit zusätzlicher Evaluierungen hängen inerster Linie von einer Beurteilung der Risiken und der Wirksamkeitder laufenden Überwachungsverfahren ab.Spezielle, zusätzliche Evaluierungsprozesse dienen zur Beurteilungder Wirksamkeit des internen Kontrollsystems und zurSicherstellung, dass mit den vorgegebenen Methoden undVerfahren die erwünschten Ergebnisse der internen Kontrollenerzielt werden. Über Mängel in den internen Kontrollsystemen sollteder zuständigen Managementebene Meldung erstattet werden.INTOSAI Richtlinien für die internen Kontrollnormen 43

Überwachungder zuständigen Managementebene Meldung erstattet werden.Die Überwachung sollte sicherstellen, dass die Prüfergebnisse undEmpfehlungen in geeigneter Weise und umgehend umgesetzt werden.Durch die Überprüfung der internen Kontrollen soll sichergestelltwerden, dass die Kontrollen ihre beabsichtigte Funktion erfüllen undgeänderten Bedingungen in angemessener Form Rechnung tragen. Desweiteren dient die Überwachung der Beurteilung, ob die von derAufgabenstellung der Körperschaft bestimmten und der Konzeption derinternen Kontrolle zu Grunde liegenden allgemeinen Zielsetzungenerreicht werden. Diese Beurteilung erfolgt durch laufende Überwachung,zusätzliche Evaluierungen, oder eine Kombination dieser beidenVerfahren und dient zur Sicherstellung, dass die internen Kontrollen aufallen Ebenen und in allen Bereichen der Körperschaft laufenddurchgeführt werden und ihre Ziele erreichen. Die Überwachung derinternen Kontrollen sollte klar getrennt sein von der Überprüfung derArbeits- und Betriebsabläufe einer Organisation, die, wie in Abschnitt 2.3beschrieben, Teil der internen Kontrollen bildet.Die laufende Überwachung der internen Kontrollen erfolgt im Rahmender regulären Arbeits- und Betriebsabläufe einer Organisation. Dielaufende Überwachung ist ein ständiger, zeitnaher Prozess; sie reagiertdynamisch auf geänderte Bedingungen und ist eng in die Arbeits- undBetriebsabläufe der Organisation eingebettet. Daher ist sie wirksamerals zusätzliche Evaluierungen; dadurch sind die entsprechendenKorrekturen potenziell weniger kostspielig. Im Vergleich zu zusätzlichenEvaluierungen, die eine rein nachträgliche Maßnahme darstellen,können Probleme durch die laufende Überwachung häufig schnellergeortet werden.Umfang und Häufigkeit der zusätzlichen Evaluierungen sollte in ersterLinie von der Einschätzung der Risiken und der Wirksamkeit derlaufenden Überwachungsverfahren abhängen. Bei dieser Einschätzungsollte die Organisation die folgenden Faktoren mit in Betracht ziehen: Artund Umfang der durch interne und externe Umstände verursachtenVeränderungen und die damit zusammenhängenden Risken; dieKompetenz und Erfahrung der mit der Umsetzung der Risikostrategienund der entsprechenden Kontrollen betrauten Mitarbeiter; sowie dieErgebnisse der laufenden Überwachung. Bei zusätzlichenEvaluierungen können sich auch auf einen bestimmten Zeitpunktfokussierte Überprüfungen der Wirksamkeit der Kontrollen als nützlicherweisen. Zusätzliche Evaluierungen können in Form vonSelbstbewertungen, einer Überprüfung der Kontrollkonzeption oderdurch Feststellung der Wirksamkeit der Kontrollen durch Erprobungdurchgeführt werden. Zusätzliche Evaluierungen können auch von denORKB oder durch externe Prüfer oder interne Revisoren durchgeführtwerden.In der Regel wird eine Kombination von laufenden Überwachungen undzusätzlichen Evaluierungen dazu beitragen, dass die Wirksamkeit derinternen Kontrollen langfristig gesichert ist.INTOSAI Richtlinien für die internen Kontrollnormen 44

ÜberwachungAlle Mängel, die im Rahmen der laufenden Überwachung oderzusätzlicher Evaluierungen festgestellt werden, sollten an die für dieerforderlichen Maßnahmen zuständigen Stellen gemeldet werden. DerBegriff „Mängel“ bezieht sich hier auf Umstände, welche dieKörperschaft in Bezug auf das Erreichen ihrer allgemeinen Zielebehindern können. Ein Mangel kann daher eine vermutete, potenzielleoder reale Unzulänglichkeit sein. Er kann aber auch in einer noch nichtwahrgenommenen Möglichkeit zur Verbesserung der internen Kontrollenbestehen, welche die Wahrscheinlichkeit erhöhen würde, dass dieKörperschaft ihre allgemeinen Ziele erreicht.Ein entscheidender Faktor in diesem Zusammenhang ist, dass die überMängel in internen Kontrollen erforderliche Information an die richtigenStellen weitergeleitet wird. Dazu sollten Protokolle erstellt werden, indenen festgelegt ist, welche Informationen auf welchen Ebenen fürwirksame Entscheidungsprozesse gebraucht werden. Die Protokolletragen dem allgemeinen Grundsatz Rechnung, dass Führungskräfteüber die Tätigkeit und das Verhalten der Mitarbeiter in ihrem jeweiligenVerantwortungsbereich informiert werden sollten. Ebenso sollte denFührungskräften die für die Erreichung spezifischer Ziele maßgeblicheInformation zur Kenntnis gebracht werden.Im Rahmen der Arbeits- und Betriebsabläufe erstellte Informationenwerden in der Regel durch die üblichen Kanäle weitergeleitet, das heißtan die für die jeweilige Aufgabe verantwortliche Stelle bzw. einemindestens eine Stufe über der betreffenden Ebene liegendeFührungsebene. Allerdings sollten auch zusätzlicheKommunikationskanäle für die Weiterleitung sensibler Informationen,wie etwa in Bezug auf unrechtmäßige oder unzulässige Handlungen, zurVerfügung stehen.Die Überwachung der internen Kontrollen sollte Strategien undVerfahren beinhalten, die sicherstellen, dass die Ergebnisse vonPrüfungen, Revisionen und sonstigen Überprüfungen in angemessenerForm und umgehend umgesetzt werden. Die Führungskräfte müssen (1)die Ergebnisse von Prüfungen, Revisionen und sonstigenÜberprüfungen, einschließlich der von Revisoren und Prüfernvorgelegten Mängelberichte und Empfehlungen, umgehend bewerten,(2) in Reaktion auf die Revisions- und Prüfungsergebnisse undEmpfehlungen zu ergreifende, angemessene Maßnahmen festlegen,und (3) innerhalb eines festgelegten Zeitraums alle Korrekturen undMaßnahmen zur Bereinigung der ihnen zur Kenntnis gebrachtenProbleme ergreifen und durchführen.Der Problemlösungsprozess beginnt mit der Unterbreitung der PrüfungsoderRevisionsergebnisse beim Management, und er ist erstabgeschlossen, wenn Maßnahmen getroffen wurden, durch welche (1)die festgestellten Mängel behoben, (2) Verbesserungen erzielt, oder (3)erwiesen wird, dass die Ergebnisse und Empfehlungen keine vomManagement zu setzenden Maßnahmen erfordern.INTOSAI Richtlinien für die internen Kontrollnormen 45

ÜberwachungBeispieleDer Leser wird auf die im Anhang enthaltenen Beispiele zu jedem derZiele und den Komponenten eines internen Kontrollsystems verwiesen.INTOSAI Richtlinien für die internen Kontrollnormen 46

Aufgaben und Zuständigkeiten3 Aufgaben und ZuständigkeitenJede in einer Organisation tätige Person trägt im Rahmen der internenKontrollen ein bestimmtes Maß an Verantwortung:Führungskräftesind direkt verantwortlich für alleTätigkeiten einer Organisation, unteranderem für die Konzeption, dieEinrichtung, die Aufsicht über dasordnungsgemäße Funktionieren, dieFührung und die Dokumentation desinternen Kontrollsystems. IhreZuständigkeiten variieren je nach ihrerFunktion und den Merkmalen derOrganisation.Interne Revisorenprüfen die Wirksamkeit des internenKontrollsystems mittels Evaluierungen,unterbreiten Empfehlungen und tragendadurch zu dessen nachhaltigerWirksamkeit bei. In dieser Funktionspielen sie eine wesentliche Rolle zurSicherung wirksamer interner Kontrollen.Im Unterschied zu den Führungskräftentragen sie jedoch nicht die primäreVerantwortung für die Konzeption, dieEinrichtung, das ordnungsgemäßeFunktionieren, die Führung und dieDokumentation des internenKontrollsystems.Mitarbeitersind an der Durchführung der internenKontrollen beteiligt. Interne Kontrollensind explizit und implizit Teil derAufgaben jedes Mitarbeiters. JederMitarbeiter hat bestimmte Aufgaben beider Durchführung der Kontrollen undsollte dafür verantwortlich sein, dassProbleme in den Arbeits- undBetriebsabläufen, die Nichteinhaltungvon Verhaltensnormen, oderINTOSAI Richtlinien für die internen Kontrollnormen 47Verletzungen strategischer Vorgabengemeldet werden.

Aufgaben und ZuständigkeitenBetriebsabläufen, die Nichteinhaltungvon Verhaltensnormen, oderVerletzungen strategischer Vorgabengemeldet werden.Externe Stellen spielen im internen Kontrollprozess ebenfalls eine wichtigeRolle. Sie können zum Erreichen der Organisationsziele beitragen oderwichtige Informationen zur Umsetzung der internen Kontrollen liefern. Sietragen jedoch keine Verantwortung für die Konzeption, die Einrichtung,das ordnungsgemäße Funktionieren, die Führung und die Dokumentationdes internen Kontrollsystems der Organisation.ObersteRechnungskontrollbehörden(ORKB)fördern und unterstützen die Einrichtungwirksamer interner Kontrollen inöffentlichen Verwaltungseinrichtungen.Die Beurteilung des internenKontrollsystems ist ein wesentlicherFaktor für die Durchführung vonRechtskonformitäts-, Rechnungs- undGeschäftsprüfungen durch die ORKB.Ihre Ergebnisse und Empfehlungenwerden den jeweiligen involvierten undinteressierten Stellen undPersonenkreisen zur Kenntnisnahmeweitergeleitet.Externe Prüferwerden in manchen Ländern mit derPrüfung bestimmter öffentlicherVerwaltungseinrichtungen betraut. Dieseund ihre Fachorgane sollten fürBeratungen und Empfehlungen imBereich interne Kontrolle zur Verfügungstehen.Gesetzgeber undAufsichtsbehördenlegen die im Hinblick auf interneKontrollen geltenden Vorschriften undRichtlinien fest. Sie sollten zumallgemeinen Verständnis internerKontrollen beitragen.INTOSAI Richtlinien für die internen Kontrollnormen 48

Aufgaben und ZuständigkeitenSonstige Beteiligtearbeiten mit den Organisationenzusammen (Begünstigte, Lieferanten,etc.) und liefern Information hinsichtlichder Erreichung der Ziele.Die interne Kontrolle wird in erster Linie durch die innerhalb derjeweiligen Körperschaft verantwortlichen Personengruppen wieFührungskräfte, interne Revisoren und andere Mitarbeiter umgesetzt.Maßnahmen und Tätigkeiten externer involvierter und interessierterStellen und Personenkreise haben jedoch ebenfalls Auswirkungen aufdas Funktionieren des internen Kontrollsystems.FührungskräfteAlle Mitarbeiter einer Organisation erfüllen bei der Durchführung internerKontrollen wichtige Aufgaben. Die Gesamtverantwortlichkeit für dieKonzeption, die Einrichtung, die Durchführung und die Aufsicht über dasordnungsgemäße Funktionieren sowie die laufende Pflege und dieDokumentation des internen Kontrollsystems liegt jedoch bei denFührungskräften. Die Managementstrukturen können Ausschüsse undRevisionskomitees umfassen, die jeweils unterschiedliche Aufgaben undZusammensetzungen aufweisen und in den verschiedenen Ländernunterschiedlichen gesetzlichen Bestimmungen unterliegen.Interne RevisorenDas Management richtet häufig eine interne Revisionsstelle als Teil desinternen Kontrollsystems ein, die zur Überwachung der Wirksamkeit derinternen Kontrollen beiträgt. Die internen Revisoren berichtenregelmäßig über das Funktionieren der internen Kontrollen, wobei derEvaluierung der Konzeption und der operativen Abläufe der internenKontrollen hohe Bedeutung zukommt. Sie berichten über die Stärkenund Schwächen und geben Empfehlungen in Bezug auf möglicheVerbesserungen der internen Kontrollen. Ihre Unabhängigkeit undObjektivität sollte jedoch garantiert sein.Daher sollte die interne Revision eine unabhängige, objektive Funktionder Qualitätssicherung und Beratung sein, die zur Verbesserung derArbeits- und Betriebsabläufe der jeweiligen Organisation beiträgt unddamit die Wertschöpfung erhöht. Durch einen systematischen undgründlichen Bewertungsansatz trägt die interne Revision zur Erreichungder Organisationsziele bei und verbessert die Effizienz desRisikomanagements sowie der Verfahren der Kontrolle und derCorporate Governance.Interne Revisoren können im Bereich interne Kontrolle zwar einewertvolle Qualitätssicherungs- und Beratungsfunktion ausüben, dochsollte der interne Revisor nicht als Ersatz für ein starkes internesKontrollsystem betrachtet werden.Um die Wirksamkeit der internen Revisionsfunktion zu gewährleisten, istes von wesentlicher Bedeutung, dass die internen RevisorenINTOSAI Richtlinien für die internen Kontrollnormen 49

Aufgaben und Zuständigkeitenunabhängig vom Management sind, ihre Arbeit unparteiisch, korrekt undehrlich verrichten, und dass sie ihre Ergebnisse direkt an die höchsteVerantwortungsebene in der Organisation berichten. Dies erlaubt denRevisoren, in der Beurteilung der internen Kontrollen eine unparteiischeStellung einzunehmen und die auf die Korrektur von Mängelnabzielenden Vorschläge objektiv darzustellen. Zur fachlichenOrientierung sollten interne Revisoren das Professional PracticesFramework (PPF) des Institute of Internal Auditors (IIA) einschließlichder Definition, der berufsethischen Grundsätze, der Standards und derPraktischen Ratschläge zu Rate ziehen. Darüber hinaus sollten interneRevisoren dem Pflichten- und Verhaltenskodex der INTOSAI folgen.Über ihre Aufgabe zur Überwachung der internen Kontrollen einerKörperschaft hinaus können kompetente interne Revisoren durchgezielte Unterstützung der externen Prüfer zum effizienten Ablaufexterner Prüfungen beitragen. Art, Umfang und Zeitaufwand derexternen Prüfverfahren ist von der aus Sicht des externen Prüfersverlässlichen Arbeit des internen Revisors abhängig.MitarbeiterAngestellte und andere Mitarbeiter sind ebenfalls an der Durchführungder internen Kontrollen beteiligt. Es ist in der Regel dieser an vordersterFront stehende Personenkreis, der die Kontrollen im Rahmen derlaufenden Tätigkeit durchführt und überprüft, Anwendungsfehlerkorrigiert und Probleme erkennt, denen am besten durch Kontrollenbegegnet werden kann.Externe StellenExterne Stellen wie externe Prüfer (einschließlich der ORKB),Gesetzgeber und Aufsichtsbehörden und andere Stellen bilden diezweite große Hauptgruppe der maßgeblich an den internen Kontrollenbeteiligten Personen. Sie können zum Erreichen der Organisationszielebeitragen oder wichtige Informationen zur Umsetzung der internenKontrollen liefern, tragen jedoch keine Verantwortung für die Konzeption,die Einrichtung, die Durchführung und das ordnungsgemäßeFunktionieren oder die Dokumentation des internen Kontrollsystems derOrganisation.ORKB und externe PrüferZu den Aufgaben externer Stellen, insbesondere der externen Prüferund der ORKB, zählen die Beurteilung des Funktionierens des internenKontrollsystems und die Berichterstattung über die Ergebnisse derPrüfungen an das Management. Es ist jedoch das von den jeweiligenStellen ausgeübte Mandat, das den dabei jeweils eingenommenBlickwinkel bestimmt.Die folgenden Aspekte sollten vom Prüfer bei der Bewertung derinternen Kontrollen in Betracht gezogen werden:• Festlegung des Stellenwertes des Risikos und der Risikosensitivitätder zu bewertenden Kontrollen;INTOSAI Richtlinien für die internen Kontrollnormen 50

Aufgaben und Zuständigkeiten• Beurteilung der Gefahr für einen Missbrauch von Ressourcen und fürein Verfehlen der Ziele in Bezug auf ethische, wirtschaftliche,effiziente und wirksame Abläufe, oder von Versäumnissen in derErfüllung der Rechenschaftspflicht sowie der Gefahr derNichteinhaltung von Gesetzen und Vorschriften;• Identifizierung und Verstehen der jeweils relevanten Kontrollen;• Feststellung von bereits vorhandenem Wissen über die Wirksamkeitvon Kontrollen;• Bewertung der Angemessenheit der Kontrollkonzeption;• Feststellung der Wirksamkeit der Kontrollen durch Erprobung;• Berichterstattung über die Beurteilung der internen Kontrollen undErörterung der erforderlichen Verbesserungsmaßnahmen.Die ORKB hat außerdem ein rechtmäßiges Interesse sicherzustellen,dass, soweit erforderlich, leistungsstarke interne Revisionsstellenbestehen. Diese Stellen sind ein wichtiges Element der internenKontrolle, da sie zur laufenden Qualitätssicherung und Verbesserungder Arbeits- und Betriebsabläufe beitragen. In manchen Ländern sinddie internen Revisionsstellen möglicherweise nicht unabhängig genug,zu schwach oder nicht vorhanden. In diesen Fällen sollte die ORKB,wenn möglich, mit Unterstützung und Rat zur Entwicklung und zumAufbau derartiger Einrichtungen beitragen und die Unabhängigkeitinterner Revisionsstellen sicherstellen. Diese Unterstützung kann unteranderem die folgenden Maßnahmen umfassen: Abordnung oderAusleihung von Personal, Vortragstätigkeit, Bereitstellung vonTrainingsmaterial, und Entwicklung von methodischemGrundsatzmaterial und Arbeitsprogrammen.Durch diese Maßnahmen darf die Unabhängigkeit der ORKB oder derexternen Prüfer nicht in Frage gestellt werden.Die Oberste Rechnungskontrollbehörde muss darüber hinaus ein gutesKlima der Zusammenarbeit mit den internen Revisionsstellen schaffen,sodass Erfahrungen und Wissen ausgetauscht und die Arbeit jedesEinzelnen ergänzt und vervollständigt werden kann. Eine Möglichkeit,dieses Arbeitsverhältnis zu fördern, besteht darin, zweckdienlicheFeststellungen der internen Revision in den Prüfbericht einzubeziehenund entsprechend zu würdigen. Die ORKB sollte Verfahren für dieBewertung der Arbeit der internen Revisionsstellen entwickeln, umfeststellen zu können, inwieweit die Revisionsergebnisse zuverlässigsind. Eine leistungsstarke interne Revisionsstelle kann die Prüftätigkeitder ORKB erleichtern und zur Vermeidung unnötigen Doppelaufwandsbeitragen. Die ORKB sollte sicherstellen, dass ihr die internenRevisionsberichte und die diesen zu Grunde liegendenArbeitsunterlagen sowie die für eine Umsetzung derPrüfungsfeststellungen erforderlichen Daten zur Verfügung gestelltwerden.Darüber hinaus sollte die ORKB im öffentlichen Sektor eine beispielhafteRolle vorgeben, indem sie in der eigenen Organisationsstruktur eininternes Kontrollsystem verankert, das den in diesen Richtlinienenthaltenen Grundsätzen entspricht.INTOSAI Richtlinien für die internen Kontrollnormen 51

Aufgaben und ZuständigkeitenNicht nur die ORKB, sondern auch die externen Prüfer tragen wesentlichdazu bei, dass die internen Kontrollziele einer Organisation,insbesondere in Bezug auf die „Erfüllung der Rechenschaftspflicht“ unddie „Sicherung der Ressourcen“ erreicht werden. Von externen Prüfernerstellte Prüfberichte zu Finanz- und Geschäftsberichten sind einintegraler Bestandteil der Rechenschaftslegung und der GoodGovernance. Sie bilden für externe involvierte oder interessierte Stellenund Personengruppen neben Information über die Geschäftstätigkeitjedenfalls einen wichtigen Maßstab zur Ergebnisbewertung.Gesetzgeber und AufsichtsbehördenGesetze tragen dazu bei, eine Basis für das allgemeine Verständnis undeinen einheitlichen Ansatz in Bezug auf die Definition und die Zieleinterner Kontrollen zu schaffen. Im Wege der Gesetzgebung ist esmöglich, strategische Grundsätze vorzugeben, die intern und externinvolvierten Stellen und Personengruppen als Vorgabe für dieWahrnehmung von Aufgaben und Zuständigkeiten im Rahmen desinternen Kontrollsystems dienen.INTOSAI Richtlinien für die internen Kontrollnormen 52

Anlage 1 - BeispieleAnlage 1BeispieleINTOSAI Richtlinien für die internen Kontrollnormen 53

Anlage 1 - BeispieleErfüllung der Rechenschaftspflicht Beispiel (1) : Ein für die sichere Beförderung mit dem Schiff verantwortliches Ministerium ist in mehrereAbteilungen aufgegliedert. Die Abteilungen sind zuständig für den Lotsendienst, das Ausbaken, die Prüfung der Qualität des Wassers, dieFörderung der Schifffahrt, Investierungen in die und Instandhaltung der Infrastruktur (Brücken, Deiche, Kanäle und Schleusen).Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationDer für jede Abteilung Etwaige Risiken sind der EtwaigeDie Information undbestimmte Leiter muss Zusammenstoß von Kontrolltätigkeiten sind Kommunikation für dieseden allgemeinen Schiffen, toxische oder die Führung von Schiffen Situation umfasst etwaManager desÖlverschmutzung und durch zuverlässige die BerichterstattungMinisteriumsDeichbrüche. Falls das Lotsen, das Ausbaken über Zusammenstößeinformieren. Die Ministerium durch und das Ausbojen, die um andere Schiffe zuAbteilungsleiterNachlässigkeit einen visuellewarnen, das Informierenverfügen über die Unfall herbeiführt, kann Luftüberwachung und über die Wetterlage undrichtige Fachkompetenz es dafür völlig haftbar die Überprüfung der die Veröffentlichung derund die erforderlichen gemacht werden. Wasserqualität.Namen derMachtbefugnisse umVerschmutzer und diegewissedamit verbundenenEntscheidungen treffenSanktionen, und diezu können. SieMaßnahmen zurunterschreiben alle eineBeseitigung derberufsständischeVerschmutzung.Ordnung.ÜberwachungDie Zahl vonZusammenstößen undUmweltverstößen mussverfolgt werden, ebensowie die Ergebnisse derProbeentnahmen undein Vergleich mitanderen Ländern undmit historischen Daten.Diese Kontrollprüfungenkönnen zurVerbesserung derWirksamkeit und derZweckmäßigkeit derLotsendienste für dieSchifffahrt, desAusbakens, derÜberwachungen sowieder Probeentnahmenbeitragen.INTOSAI Richtlinien für die internen Kontrollnormen 54

Anlage 1 - BeispieleErfüllung der Rechenschaftspflicht Beispiel (2) : Der Abteilungsleiter für Sport setzte im Vorjahr das Ziel dass die sportliche Betätigung inden kommenden Jahren um 15 % steigen würde.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationDie Verwaltung verließsich auf den guten Rufdes Abteilungsleiters undberief nicht die üblichenVersammlungen ein umseine Fortschritte zuüberprüfen.Weil die Zielsetzungennicht genau definiert sind,besteht das Risiko dassdie Ziele nicht erreichtwerden. Die Gefahrbesteht dass dieBerichterstattung nichtzeitnah stattfinden wird,weil der Abteilungsleiterdie Berichterstattungverzögern möchte,solange er die 15 %Zielsetzung nicht erreichthat. Überdies wurde nichterklärt auf welche Weisedie Zunahme um 15 %gemessen werden sollte.Er kann also behaupten,dass die Zahl vonSportlern zugenommenhat, oder die Stundenzahlder sportlichen Betätigung,oder dass sogar die Zahlvon Sportzentren oderSportklubs um 15 %gestiegen ist. Dadurchwird die Qualität dermitgeteilten Informationenerheblich beeinträchtigt.Dieses Risiko kannverringert werden indemgeeignete Linien für dieBerichterstattung sowieeinBerichterstattungsmodelldas die zu erteilendenInformationen festlegt,eingesetzt werden.Der Bericht mussrechtzeitig eingereichtwerden und mit demvorgefassten Modell imEinklang sein. Er sollte dieZielsetzungen in SachenWachstum angeben, dieArt auf die sie gemessenwerden und warum sie aufdiese Weise gemessenwerden. AlleHintergrundinformationensollten vorhanden sein.ÜberwachungDie Feststellung, ob dieBerichterstattung denAnforderungen ja odernein entspricht, welcheInformationen erteiltwerden und welcheInformationen noch fehlen,ist eine Form vonÜberwachung.INTOSAI Richtlinien für die internen Kontrollnormen 55

Anlage 1 - BeispieleEinhaltung von Gesetzen und Richtlinien – Beispiel : Das Verteidigungsministerium hat die Absicht mittels eines öffentlichen Auftrags neueJagdflugzeuge zu kaufen und veröffentlicht alle diesbezüglichen Bedingungen und Verfahrensweisen. Alle eingereichten Angebote werdenungeöffnet aufbewahrt bis die Angebotsfrist abläuft. In dem Moment werden in Anwesenheit des verantwortlichen Managers und einigerBeamter alle Angebote geöffnet. Lediglich diese Angebote werden überprüft und verglichen um das beste Angebot auszuwählen.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationDas Team das den AnkaufUm die Risikentätigt, setzt sich auseinzuschränken, solltenFachleuten zusammen dieVerfahrensweisenein Dokumententwickelt und angewandtunterschreiben worauswerden die allen Gesetzenhervor geht dass sie mitund Richtlinien bezüglichden Submittenten keineder öffentlichen Aufträgefinanzielle oder familiäreentsprechen.Bindung haben. Dieverantwortlichen Managerund Beamtenunterschreiben diesesDokument ebenfalls.Eines der Risiken beiöffentlichen Aufträgen undöffentlichen Verträgen istinsider dealing. Einer derSubmittenten könnte einVorwissen über die Preiseder anderen Angebotehaben und aufgrunddieses Vorwissens eingewinnendes Angeboteinreichen, was nicht vonselbst die beste Auswahlaus den Angeboten zurFolge hat. Ein anderesRisiko ist die Auswahl desfalschen Angebots, wasmöglicherweise ein neueröffentlicher Auftrag zurFolge hat weil das andereAngebot den Erwartungennicht entsprach. AndereSubmittenten die sichbenachteiligt fühlen,können eine Klageeinreichen.Die Verfahrensweisenbezüglich derVeröffentlichung derBedingungen desöffentlichen Auftrags, dieBewertung dereingereichten Angeboteund die Veröffentlichungdes auserwähltenAngebots müssenschriftlich festgelegtwerden und alle zutreffenden Maßnahmen imEinzelnen darlegen. Beider Bewertung sollten alleGründe für die (Nicht)Berücksichtigung einesAngebots belegt werden.ÜberwachungDie interne Kontrolle kanndie Dossiers überprüfenund die Beschwerdenweiter verfolgen.INTOSAI Richtlinien für die internen Kontrollnormen 56

Anlage 1 - BeispieleMethodische, ethische, sparsame, wirtschaftliche und wirksame Verrichtungen – Beispiel (1): Das Ministerium für Kultur hat die Absichtdie Zahl von Museumbesuchern zu steigern. Zu diesem Zweck schlägt es vor neue Museen zu bauen, an jeden Bürger einen Kulturscheck zuverteilen und das Eintrittsgeld zu verbilligen. Um sparsam, wirtschaftlich und wirksam vorzugehen, soll das Management überprüfen ob dieZiele, wie diese formuliert wurden, aufgrund seiner Vorschläge erreicht werden können und wie viel jeder einzelne Vorschlag kosten wird.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationDas Ministerium für Kulturhat für eine angepassteOrganisationsstruktur zusorgen, so dass es denEntwurf und den Bau dervorgeschlagenen Museenund deren Planung undVerrichtungenüberwachen kann.Eines der Risiken ist dieTatsache, dass derMuseumbesuch nichtzunimmt. Auch wohlmöglich ist die Tatsache,dass einige Initiativenfehlschlagen und dieGrenze des Budgetsüberschreiten. Wenn zumBeispiel die Senkung derTicketpreise nicht eineZunahme desMuseumbesuchs auslöst,bedeutet dies eineMinderung der öffentlichenEinnahmen. Wenn für denBau von Museen einegeeignete Planung nichtvorliegt und dieErfordernisse fürBeleuchtung, Temperaturund Sicherheit nicht inBetracht gezogen werden,kann dies kostspieligeAnpassungsarbeitenwährend der oder nachden Bauarbeiten zur Folgehaben.MöglicheKontrolltätigkeiten die sichauf die erwähnten Risikenbeziehen, sind : eineBudgetprüfung die diegegenwärtige Lage mitden Veranschlagungenvergleicht, Überwachungdes Fortgangs derArbeiten und dieUntersuchung derVerantwortlichkeit falls dasBudget überschritten wird.Die Information undKommunikation für diesesBeispiel setzt sichmöglicherweisezusammen aus derDokumentation derVersammlungen mit denArchitekten, derFeuerwehr(Sicherheitsmaßnahmen),den Künstlern undanderen. Die Informationund Kommunikation kannauch Berichte enthalten inBezug auf dieWeiterverfolgung desBudgets und den Fortgangder Bauarbeiten.ÜberwachungÜberwachung heißt: dieAnalyse derVerantwortlichkeit im FalleeinerBudgetüberschreitung, diesich darauf beziehendenZinskosten infolgeRückstand in den Arbeitenoder Zahlungen.INTOSAI Richtlinien für die internen Kontrollnormen 57

Anlage 1 - BeispieleMethodische, ethische, sparsame, wirtschaftliche und wirksame Verrichtungen – Beispiel (2): Die Regierung hat die Absicht dieLandwirtschaft zu entwickeln und die Lebensqualität auf dem Lande zu verbessern. Sie gewährt Zuschüsse für Bewässerungsanlagen undSchöpfbrunnen.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationDie Regierung hat dafür Das Risiko besteht, dasszu sorgen, dass sie über es Vereinigungeneine geeignete Abteilung skrupellos gelingtverfügt um dieZuschüsse zu bekommen,Zuschussverrichtungen in aber die Mittel nicht fürdie Praxis umzusetzen das bewusste Zielund zu führen. Auch soll einsetzen.sie das geeignete Umfeldschaffen für einerechtzeitige und wirksameErledigung diesesProjekts.MöglicheKontrolltätigkeiten sind:- Überprüfung derQualifizierung derVereinigungen dieZuschüsse beantragen- Prüfung vor Ort desFortgangs der Arbeitenund Prüfung derFortschrittsberichte- Überwachung derAusgaben derVereinigungen durchPrüfung derenRechnungen und durchVerschiebung derAuszahlung (eines Teils)deren Zuschüsse aufden Abschluss derPrüfung.Fortschrittsberichteberichten im Detail vonden Kosten, der Zahl vongebohrten Schöpfbrunnenund den bewässertenFlächen.ÜberwachungÜberwachung kann seindie Weiterverfolgung derBohrungen derSchöpfbrunnen und derBewässerungsanlagenund der Vergleich mitanderen ähnlichenProjekten.Auch eineWeiterverfolgung desErtrags der bewässertenFlächen kann in Erwägunggezogen werden.INTOSAI Richtlinien für die internen Kontrollnormen 58

Anlage 1 - BeispieleSicherstellung der Ressourcen – Beispiel (1) : Das Verteidigungsministerium hat einige Lager, Vorräte und Kraftstoffdepots. Es ist die Politikder Armeeführung diese Vorräte ausschließlich für militärische und nicht für persönliche Zielsetzungen zu verwenden.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &KommunikationEine wirksameDas Risiko besteht, dassPersonalpolitik würde Leute Waffen stehlen umdarin bestehen, dass für diese unerlaubtdie Besetzung dieser anzuwenden oder zuLager die richtigen verkaufen. Auch andereMitarbeiter angestellt und Vorräte wie Kraftstoffbeibehalten werden. könnten gestohlenwerden.VorbeugendeKontrolltätigkeiten sinddas Ummauern oder dasEinzäunen der Lager undDepots, oder die Zugängeunter Bewachung mitHunden stellen. EineständigeBestandskontrolle undVerfahrensweisen diebesagen, dass Güter nurmit Zustimmung eineshohen Offiziersausgehändigt werdenkönnen, würden auch zurSicherstellung der Mittelbeitragen.Berichterstattung überbeschädigte Zäune undDifferenzen bei denBestandskontrollen.Genehmigung zurErgänzung der Vorräteund Verfahrensweisensind ebenfallszweckdienlich..ÜberwachungÜberwachung kann seineine Inspektion der Zäune,nicht angekündigteBestandskontrollen,Weiterverfolgung derVorratsbewegungen odersogar eine geheimeSicherheitsprüfung.INTOSAI Richtlinien für die internen Kontrollnormen 59

Anlage 1 - BeispieleSicherstellung der Ressourcen – Beispiel (2) : Große Mengen vertraulicher Informationen sind im Computer in einer Abteilung desJustizministeriums gespeichert. Trotzdem wird der IT-Aufsicht wenig Bedeutung beigemessen und weist die IT-Aufsicht dadurch wichtigeMängel auf.Kontrollumfeld Risikobeurteilung Kontrolltätigkeiten Information &ÜberwachungDas Management soll sichfür Sachkenntnis undrichtiges Benehmen inSachen IT engagieren undfür die erforderlichefachliche Ausbildungsorgen. DiePersonalpolitik spielt aucheine Schlüsselrolle beieinem positiven IT-Kontrollumfeld.Hinsichtlich derallgemeinen Kontrolle hatdie Abteilung :- den Zugriff der Benutzernicht auf die für dieAufgabenstellungerforderlichen Mittelbeschränkt;- keine geeignetenKontrollstrukturen für dieSystemsoftwareentwickelt umProgramme und sensibleInformationensicherzustellen;- die Softwareänderungennicht erfasst;- unkompatible Aufgabennicht getrennt;- die Kontinuität derAbteilung nichtsichergestellt;- das Netz nicht gegenunerwünschten Verkehrgeschützt.In Sachen Prüfung derComputeranwendungenhat die Abteilung keineZugriffsgenehmigungenerteilt.Die Abteilung kann:logische (Passwort) undphysische Zugriffskontrollen(Schloss,Identifizierungsnachweis,Alarm) anwenden;- den Benutzern vonAnwendungsgebieten dieMöglichkeit in dasLenkungssystemeinzuloggen, verweigern;- den Zugang zumProduktionsgebiet auf dasPersonal das sich mitEntwicklungen befasst,beschränken;- Kontrolltagebücheranwenden, so dass Zugriffe(Versuche) und Aufträgeregistriert und Verstößegegen die Sicherheitentdeckt werden;- einen Plan für Notfälle undKatastrophen erarbeiten, sodass die wesentlichenRessourcen weiterhin zurVerfügung stehen und dieKontinuität des Betriebsgefördert werden kann;- Firewalls installieren undden Webserver überprüfenum den Netzverkehrsicherzustellen.KommunikationIT-Kontrollverfahrensweisensollten vorhanden seinund Softwareänderungensollten erfasst werdenbevor die Softwareinstalliert wird.Es sollten eine StrategieundTätigkeitsbeschreibungenentwickelt werden die diePrinzipien derAufgabentrennungfördern.Kontrolltagebücher fürLogins (Versuche) undunerlaubte Aufträgesollten periodischmitgeteilt und überprüftwerden.Mögliche Aktivitäten sinddie Durchführung einer IT-Prüfung und einerKatastrophen-simulation,die Überprüfung derTätigkeiten desWebservers.INTOSAI Richtlinien für die internen Kontrollnormen 60

Anlage 2 - GlossarAnlage 2GlossarINTOSAI Richtlinien für die internen Kontrollnormen 61

Anlage 2 - GlossarDieses Glossar legt die wichtigsten Begriffe aus die im Zusammenhangmit der Definition und Praxis der internen Kontrolle verwendet werden.Einige Definitionen wurden in die Richtlinien eingeführt. Daneben habenwir nachstehend auch bestehende Definitionen aus verschiedenenQuellen aufgenommen :• Code of ethics and auditing standards, INTOSAI, 2001. (INTOSAIauditing standards)• Internal Control – Integrated Framework, COSO, 1992. (COSO 1992)• Glossarium, Office for official publications of the Europeancommunities, P. Everard and D. Wolter, 1989. (glossarium)• Auditing and assurance services, an integrated approach, A. A.Arens, R. J. Elder and M. S. Beasley, Prentice Hall internationaledition, ninth edition, 2003. (Arens, Elder & Beasley)• the COSO exposure draft “Enterprise Risk Management Framework”,COSO, 2003. (COSO ERM)• Handbook of international auditing, assurance, and ethicspronouncements, IFAC, 2003. (IFAC)• Transparency International Source Book 2000, (TransparencyInternational)• XVI INCOSAI, Montevideo, Uruguay, 1998, Principal Paper Theme1A (Preventing and Detecting Fraud and Corruption), February 1997,(XVI INCOSAI, Uruguay, 1998)AAbläufe• Der Begriff „Abläufe“ verbunden mit „Zielsetzungen“ oder „Kontrollen“deutet auf die Wirksamkeit und die Effizienz der Tätigkeiten einerKörperschaft hin. Abläufe umfassen Leistungserbringung,gewinnbringende Zielsetzungen und die Sicherstellung vonRessourcen. (COSO 1992)• Die für die Zielerreichung der Körperschaft erforderlichen Funktionen,Prozesse und Tätigkeiten.Allgemeine Kontrollen• Allgemeine Kontrollen beziehen sich auf die für das gesamte IT-System einer Organisation oder auf einen großen Teilbereich gültigenStrukturen, Strategien und Verfahren, die dazu beitragen, denordnungsgemäßen Betrieb sicherzustellen. Sie schaffen das Umfeld,in dem die Anwendungen betrieben und die Kontrollen durchgeführtwerden.• Strategien und Verfahren die dazu beitragen, den kontinuierlichenund ordnungsgemäßen Betrieb des IT-Systems sicherzustellen. Sieumfassen Kontrollen des IT-Managements, der IT-Infrastruktur, desSicherheitsmanagements und der Beschaffungs-, Entwicklung- undWartungsphase für Software. Allgemeine Kontrollen unterstützen dasFunktionieren von programmierten anwendungsspezifischenKontrollen. Andere Begriffe für allgemeine Kontrollen sind allgemeineComputerkontrollen und IT- Kontrollen. (COSO ERM)Anwendungsspezifische Kontrollen• Die anwendungsspezifischen Kontrollen umfassen die für separate,individuelle Anwendungssysteme gültigen Strukturen, Strategien undINTOSAI Richtlinien für die internen Kontrollnormen 62

Anlage 2 - GlossarVerfahren. Sie sind entwickelt worden um die Datenverarbeitunginnerhalb spezifischer Anwendungssoftware abzusichern.• Programmierte Verfahren in Anwendungssoftware und dazugehörigemanuelle Verfahren die entwickelt worden sind um die Vollständigkeitund die Genauigkeit der Informationsverarbeitung zu gewährleisten.Beispiele sind elektronische Kontrollen der eingetragenen Daten,Kontrollen der numerischen Reihen und manuelle Verfahren um inAusnahmelisten aufgenommene Items weiterzuverfolgen. (COSO1992)Aufdeckende KontrollmaßnahmenEine Kontrolle zwecks Aufdeckung einer unbeabsichtigten Veranstaltungoder eines unbeabsichtigten Ergebnisses (im Gegensatz zuvorbeugenden Kontrollmaßnahmen) (COSO 1992)Aufgabentrennung• Um das Risiko von Fehlern, Verschwendung oder unrechtmäßigemHandeln und das Risiko, dass derartige Probleme nicht aufgedecktwerden, zu reduzieren, sollte nie eine Person oder ein Team allein fürdie Schlüsselfunktionen eines Geschäftsfalls (Genehmigung,Auswertung, Erfassung, Überprüfung) oder Vorgangs zuständig sein.• Aufgabentrennung in einer Organisation bezieht sich auf :Verwahrung von Vermögenswerten, Genehmigung, Verantwortungfür Betriebsabläufe. (Arens, Elder & Beasley)Ausgabe (Output)In IT handelt es sich um vom Computer verarbeiteten Daten undInformationen, wie eine graphische Darstellung auf einem Terminal odereine Kopie.BBetrug• Eine illegale Wechselwirkung zwischen zwei Entitäten, bei der einePartei sich vorsätzlicher Täuschung bedient mittels falscherDarstellung um sich unzulässige ungerechte Vorteile zuzueignen.Täuschung, Schwindel, Verheimlichung, Vertrauensbruch sindbetrügerische Handlungen die angewendet werden um sich auf eineungerechte und unehrliche Weise Vorteile zuzueignen. (XVIINCOSAI, Uruguay, 1998)• Betrug wird definiert als eine von einer oder mehreren Personen(Führungskräften, Mitarbeitern, Drittpersonen) begangenevorsätzliche Handlung die zu einer falschen Darstellung derJahresabschlüsse führt. (IFAC)• Eine vorsätzliche falsche Darstellung der Jahresabschlüsse. (Arens,Elder & Beasley)CComputeranwendungComputerprogramm entwickelt um Leute bei einer bestimmten KategorieArbeit zu begleiten, inklusive Sonderaufträge wie Lohnbuchhaltung,Inventarkontrolle, Buchhaltung und Auftragsunterstützung.Entsprechend der Arbeit wofür das Programm entwickelt wurde,INTOSAI Richtlinien für die internen Kontrollnormen 63

Anlage 2 - Glossarverarbeitet es deren Texte, Zahlenmaterial, Graphiken oder eineKombination von diesen Elementen.Computer InformationssystemEin Computer Informationssystem ist vorhanden wenn ein Computer,ohne Rücksicht auf Typ oder Größe, an der Verarbeitung durch dieKörperschaft für die Prüfung wichtiger finanzwirtschaftlicher Datenbeteiligt ist, unabhängig davon, dass der Computer von der Körperschaftoder von Dritten bedient wird. (IFAC)Computerkontrollen1. Kontrollen durch den Computer durchgeführt, d.h. in dieComputersoftware hineinprogrammierte Kontrollen (im Gegensatz zumanuellen Kontrollen).2. Kontrollen der Datenverarbeitung durch den Computer, d.h.allgemeine Kontrollen und anwendungsspezifische Kontrollen (sowohlprogrammierte als auch manuelle). (COSO 1992)COSOCommittee of Sponsoring Organisations of the Treadway Commission,eine Gruppe von verschiedenen Organisationen für Rechnungsführung.In 1992 hat COSO eine wertvolle Studie in Sachen interne Kontrolleunter dem Titel „Internal Control – Integrated Framework“ veröffentlicht.Die Studie wird oft als der „COSO Report“ bezeichnet.DDatenFakten und Informationen die mitgeteilt und manipuliert werden können.Dokumentation• Dokumentation der Struktur der internen Kontrolle sollte folgendesumfassen : Identifizierung der Struktur und der Strategie einerOrganisation sowie ihre Wirkungsbereiche und die dazugehörigenZielsetzungen und Kontrollverfahrensweisen. Diese Informationensollten in die Richtlinien des Managements, dieVerwaltungsprinzipien, die Handbücher für Verfahrensweisen und fürRechnungsführung aufgenommen werden.• Dokumentation ist das Material (Arbeitsunterlagen) das vorbereitetworden ist durch und für, oder erworben und aufbewahrt durch denPrüfer im Zusammenhang mit der Durchführung der Prüfung. (IFAC)• Die Analyse durch den Prüfer der Unterlagen und Berichte desKunden um die Informationen zu belegen die in die Jahresabschlüsseaufgenommen sind oder aufgenommen hätten sein müssen. (Arens,Elder & Beasley)EEdit-PrüfungIn das Frühstadium des Inputverfahrens hineinprogrammierte Kontrollenum fehlerhafte Datenfelder zu erkennen. Diese Kontrolle ist in der Lagedie in numerische Felder eingetragenen alphanumerischen Zeichenzurückzuweisen. Programmierte Edit-Prüfungen können zur AnwendungINTOSAI Richtlinien für die internen Kontrollnormen 64

Anlage 2 - Glossarkommen wenn Daten bezüglich Transaktionen aus einer anderenAnwendung in den Verarbeitungszyklus hineinfließen.EffizientBezieht sich auf das Verhältnis der eingesetzten Ressourcen zu der zurZielerreichung erbrachten Leistung. Dabei steht die Forderung imVordergrund, dass eine bestimmte Menge oder Qualität einer Leistungmit dem geringstmöglichen Ressourceneinsatz produziert wird.Beziehungsweise mit einer bestimmten Menge oder Qualität anRessourceneinsatz die maximale Leistung erzielt wird.Effizienz• Das Verhältnis des Outputs im Sinn von produzierten Gütern,Dienstleistungen und anderen Ergebnissen und den dafüreingesetzten Mitteln. (INTOSAI auditing standards)• Maximierung des Outputs durch Einsatz der vorhandenen Geld-,Personal- und Sachmittel oder Minimierung des Inputs durch einequantitative und gegebene qualitative Bestimmung des Outputs.(Glossar)Eingabe (Input)Die Daten werden in den Computer eingegeben.Eingreifen des ManagementsHandeln des Managements indem es Strategien und Verfahren ausberechtigten Gründen zurückweist. Das Eingreifen ist erforderlich umsich einmaligen und nichtgängigen Geschäftsfällen und Vorgängen zuwidersetzen, die vom System ohne Eingreifen nicht auf eineangemessene Weise abgewickelt werden (siehe Nichtbeachtung vonseiten des Managements) (COSO 1992)Einhaltung von GesetzenHier geht es um die Einhaltung geltender Gesetze und Vorschriften diefür eine Körperschaft zutreffen. (COSO 1992)EndbenutzersystemeBezieht sich auf die Anwendung von nicht zentralisierten (d.h. nicht-IT-Abteilung) Datenverarbeitung wobei von Endbenutzern entwickelteautomatisierte Verfahren angewendet werden, gewöhnlich anhand vonSoftwarepaketen (z.B. Spreadsheet und Datenbank).Endbenutzerprozesse können weiter entwickelt werden und einebesonders wichtige Informationsquelle für Management werden. Ob dieausreichend getestet und dokumentiert werden, ist die Frage.Entwurf1. Absicht; wie in der Definition, interne Kontrolle wird durchgeführt inder Absicht die Zielerreichung auf eine berechtigte Weisesicherzustellen; wenn die Absicht realisiert wird, kann das System alswirksam betrachtet werden.2. Plan; ein bestimmtes Funktionieren des Systems als Voraussetzunghaben, im Gegensatz zum tatsächlichen Funktionieren des Systems(COSO 1992)EthischBezieht sich auf moralische Prinzipien.INTOSAI Richtlinien für die internen Kontrollnormen 65

Anlage 2 - GlossarEthische WerteMoralische Werte versetzen die Führungskraft in die Lage einegeeignete Verhaltensweise festzustellen; diese Werte sollten auf dem„richtigen Verhalten“ basieren, das die gesetzlichen Anforderungenübersteigt. (COSO 1992)Externe KontrollePrüfung die durch eine externe von der geprüften Körperschaftunabhängige Einrichtung vorgenommen wird und die darauf abzielt,einerseits ein Urteil über die Rechnungsführung und Rechnungslegung,über die Ordnungsmäßigkeit und Rechtmäßigkeit der Geschäftsvorfälleund/oder über die Haushalts- und Wirtschaftsführung abzugeben sowieandererseits entsprechende Berichte zu erstellen.FFlussdiagramm• Eine grafische Darstellung der Dokumente und Berichte (Arens, Elder& Beasley)• Diagramm, in dem der Ablauf von Verfahren bzw. der Weg vonInformationen und Dokumenten dargestellt ist. Mit Hilfe dieserTechnik ist es möglich komplexe Kreisläufe oder Verfahrenübersichtlich zu beschreiben. (Glossar)HHaushaltsplanQuantitativer und finanzieller Ausdruck eines Maßnahmenprogramms,dessen Realisierung für einen gegebenen Zeitraum vorgesehen ist. DerHaushaltsplan dient zur Planung des zukünftigen Handelns und zurnachgängigen Prüfung der erzielten Ergebnisse. (Glossar)HaushaltskontrollePrüfung, durch die eine Behörde, die den Haushaltsplan einerKörperschaft genehmigt hat, sich vergewissert, dass dieserHaushaltsplan gemäß den Voranschlägen, Mittelbewilligungen und dengeltenden Vorschriften ausgeführt wurde. (Glossar)Hinlängliche Sicherheit• Ein hinlängliches Maß an Sicherheit setzt voraus, dass – unterBerücksichtigung der Kosten, des Nutzens und der Risiken – einzufriedenstellendes Maß an Vertrauen geschaffen wird.• Auch ein wohldurchdachtes und gewissenhaft eingesetztes internesKontrollsystem bietet keine absolute Gewähr dass die Zielsetzungender Körperschaft erreicht werden. Diese Tatsache ist auf die deninternen Kontrollsystemen inhärenten Einschränkungenzurückzuführen. (COSO 1992)IInhärente EinschränkungenEs handelt sich hier um jene Einschränkungen die für alle internenKontrollsysteme gelten. Die Einschränkungen beziehen sich aufINTOSAI Richtlinien für die internen Kontrollnormen 66

Anlage 2 - Glossarmenschliche Fehleinschätzungen; die begrenzten Ressourcen und dieNotwendigkeit die Kosten der Kontrollen gegen die Nutzen abzuwägen;die Möglichkeit eines Systemzusammenbruchs; die Möglichkeit dassdas Management sich über das interne Kontrollsystem hinwegsetzt unddie Möglichkeit von geheimen Absprachen. (COSO 1992)Inhärentes RisikoDas inhärente Risiko ist jenes Risiko, dem eine Organisation ohneMaßnahmen zur Reduktion der Auswirkungen oder derEintrittswahrscheinlichkeit ausgesetzt ist. (COSO ERM)Institute of Internal Auditors (IIA)Das IIA ist eine Organisation die ethische Normen und Methodenentwickelt, die sorgt für Ausbildung und für die Förderung eines hohenprofessionellen Niveaus für ihre Mitarbeiter.IntegritätIntegrität ist die ethische Wertehaltung; Redlichkeit, Aufrichtigkeit undWahrhaftigkeit, der Wunsch gerecht zu handeln.(COSO 1992)International Organisation of Supreme Audit Institutions (INTOSAI)INTOSAI ist die Internationale Organisation der OberstenRechnungskontrollbehörden (ORKB) für Mitgliedstaaten der VereintenNationen oder einer ihrer Sonderorganisationen. Die ORKB spielen einewichtige Rolle in ihren Staaten; sie prüfen die Haushalts- undWirtschaftsführung der Regierungen und tragen zu ihrer Verbesserungbei. INTOSAI wurde im Jahre 1953 gegründet; ihre Mitgliederzahl istmittlerweile von ursprünglich 34 auf mehr als 170 Staaten angestiegen.Interne KontrolleDie interne Kontrolle ist ein in die Arbeits- und Betriebsabläufe einerOrganisation eingebetteter Prozess, der von den Führungskräften undden Mitarbeitern durchgeführt wird, um bestehende Risiken zu erfassenund zu steuern und mit ausreichender Gewähr sicherstellen zu können,dass die betreffende Körperschaft im Rahmen der Erfüllung ihrerAufgabenstellung die folgenden allgemeinen Ziele erreicht :Sicherstellung ordnungsgemäßer, ethischer, wirtschaftlicher, effizienterund wirksamer Abläufe; Erfüllung der Rechenschaftspflicht; Einhaltungder Gesetze und Vorschriften; Sicherung der Vermögenswerte vorVerlust.Internes KontrollsystemEin Synonym für die in einer Organisation durchgeführte interneKontrolle (COSO 1992)Interne RevisionsstelleDienststelle (oder Tätigkeit) innerhalb einer Organisation die sich imAuftrag der Leitung mit Kontrollen und der Bewertung der Systeme undVerfahren der Organisation befasst, damit etwaiges betrügerisches,fehlerhaftes oder unwirtschaftliches Handeln weitmöglichst verringertwird. Die interne Revision muss innerhalb der Organisation unabhängigsein und der Leitung unmittelbar Bericht erstatten. (Glossar)INTOSAI Richtlinien für die internen Kontrollnormen 67

Anlage 2 - GlossarInterne RevisorenPrüfen die Wirksamkeit des internen Kontrollsystems mittelsEvaluierungen, unterbreiten Empfehlungen und tragen dadurch zudessen nachhaltige Wirksamkeit bei.KKomponenteEines der fünf Elemente der internen Kontrolle. Die Komponenten derinternen Kontrolle einer Körperschaft sind internes Kontrollumfeld,Risikobeurteilung, Kontrolltätigkeiten, Information und Kommunikation,und Überwachung. (COSO 1992)Kontrolle1. Das Vorhandensein einer Kontrolle – eine Strategie oderVerfahrensweise die Bestandteil ist einer internen Kontrolle. EineKontrolle kann innerhalb einer der fünf Komponenten vorhanden sein.2. Eine Kontrolle durchführen – Ergebnisse der Strategie undVerfahrensweisen die für die Kontrolle entwickelt worden sind; dieseErgebnisse sind oder sind nicht eine wirksame interne Kontrolle.3. Kontrollieren – regulieren; eine Strategie anwenden die sich auf dieKontrolle auswirkt. (COSO 1992)KontrollinstanzÖffentliche Instanz, ungeachtet ihrer Bestimmung, Zusammensetzungoder Organisation, die gemäß dem Gesetz externe Kontrollendurchführt. (Glossar)KontrolltätigkeitKontrolltätigkeiten sind Verfahrensweisen die entwickelt worden sind umRisiken zu behandeln und die Zielsetzungen der Körperschaft zuerreichen. Die von einer Organisation eingesetzten Verfahrensweisenum Risiken zu behandeln werden Kontrolltätigkeiten genannt.KontrollumfeldDas Kontrollumfeld bestimmt die Einstellung innerhalb einerOrganisation und beeinflusst das Kontrollbewusstsein der Mitarbeiter. Esbildet die Basis aller übrigen Komponenten interner Kontrolle und gibtdie Disziplin und Struktur vor.KörperschaftEine Organisation die für ein bestimmtes Ziel gegründet ist. EineKörperschaft ist zum Beispiel ein Geschäftsbetrieb, eine Non-Profit-Organisation, eine öffentliche Einrichtung oder eine akademischeBehörde. Organisation und Abteilung werden als Synonym gebraucht.(COSO 1992)KorruptionJede Form der unmoralischen Anwendung öffentlicher Befugnis fürpersönliche oder private Zwecke (XVI INCOSAI, Uruguay, 1998).Missbrauch der Macht für private Zwecke (Transparency International).Kosten-/NutzenrechnungSiehe Wirtschaftlich, Wirksamkeit und Effizienz.INTOSAI Richtlinien für die internen Kontrollnormen 68

Anlage 2 - GlossarLLegislativeDie gesetzgebende Gewalt in einem Staat, z.B. das Parlament.(INTOSAI auditing standards)Logischer ZugriffDer Zugriff zu Computerressourcen wird begrenzt auf “Lesezugriff”, einerweiteter Zugriff umfasst die Möglichkeit Daten abzuändern, neueDateien zu schaffen und bestehende Dateien zu löschen. (siehe auchphysikalischer Zugriff)MManagementVorgesetzte und andere Mitarbeiter die Managementaufgaben erfüllen.Management umfasst die Direktoren und den Prüfungsausschuss nurwenn sie solche Aufgaben erfüllen. (IFAC)MangelEine wahrgenommene, potentielle oder tatsächlichePrüfungsunzulänglichkeit, oder eine Gelegenheit um die interneKontrolle zu verstärken so dass die Probabilität der Zielerreichung derKörperschaft erhöht wird. (COSO 1992)Manuelle KontrollenKontrollen die manuell, nicht vom Computer durchgeführt werden (sieheComputerkontrollen). (COSO 1992)NNetzwerkIn IT ein System von netzartig verbundenen Computern unddazugehörenden Einrichtungen. Ein Netzwerk umfasst permanenteVerbindungen wie z.B. Kabel, oder zeitlich begrenzte Verbindungenüber Telefon oder andere Kommunikationswege. Ein Netzwerk istentweder ein kleines, lokales Netzwerk mit einigen Computern, Druckernund anderen Geräten, oder besteht aus vielen kleinen und großenComputern in einem geographisch ausgedehnten Gebiet.Nichtbeachtung von seiten des ManagementsHandeln des Managements indem es Strategien und Verfahren ausunberechtigten Gründen zurückweist um sich persönliche Vorteilezuzueignen oder um einen falschen Eindruck entstehen zu lassenbezüglich der Finanzlage der Körperschaft oder der Einhaltung vonVorschriften (siehe Eingreifen des Managements). (COSO 1992)OOberste Rechnungskontrollbehörden (ORKB)Die Behörde eines Staates, die, ohne Rücksicht auf ihreZusammensetzung oder Organisation, kraft des Gesetzes die oberstenöffentlichen Kontrollbefugnisse eines Staates hat. (INTOSAI auditingstandards & IFAC)INTOSAI Richtlinien für die internen Kontrollnormen 69

Anlage 2 - GlossarÖffentliche RechenschaftspflichtDie Verpflichtung für Personen oder Körperschaften, einschließlichöffentlicher Unternehmen und Gesellschaften, denen öffentliche Mittelanvertraut werden, um für die steuerlichen, unternehmerischen undProgrammaspekte Rechenschaft abzulegen. Die Rechenschaftslegunggeschieht gegenüber denjenigen die den betreffenden Personen undKörperschaften die Verantwortung übertragen haben. (INTOSAI auditingstandards)Öffentlicher SektorDer Begriff „öffentlicher Sektor“ verweist auf nationale Regierungen,regionale Regierungen (z.B. Bundesstaat, Provinz, Bezirk), lokaleRegierungen (z.B. Stadt, Gemeinde) und die dazugehörendenKörperschaften (z.B. Agenturen, Ausschüsse, Kommissionen undUnternehmen). (IFAC)OrdnungsgemäßEiner bestimmten Ordnung entsprechend, oder methodisch.PPersonengruppen (Stakeholders)Beteiligte Stellen und Personengruppen wie die Aktieninhaber, dieMitarbeiter, die Kundschaft und die Lieferanten. (COSO ERM)Physikalischer ZugriffZugriff auf Bereiche und Körperschaften. (siehe logischer Zugriff)ProzessmanagementEine Reihe von Arbeits- und Betriebsabläufen die vom Managementdurchgeführt werden. Interne Kontrolle ist in das Prozessmanagementeingebettet. (COSO 1992)PrüfungPrüfung der Tätigkeiten und Geschäftsvorfälle einer Körperschaft mitdem Ziel festzustellen, ob diese gemäß bestimmten Zielen,Haushaltsplänen und bestimmten Vorschriften und Normen durchgeführtwerden bzw. ablaufen. Ziel dieser Prüfung ist es, in regelmäßigenZeitabständen Abweichungen aufzudecken die möglicherweiseAbhilfemaßnahmen notwendig machen. (Glossar)PrüfungsausschussEin Ausschuss innerhalb des Vorstands der sich insbesondere mitFinanzberichterstattung sowie mit Vorgängen beschäftigt um diegeschäftlichen und finanziellen Risiken im Griff zu haben, und für dieEinhaltung wichtiger geltender gesetzlicher, ethischer undordnungsmäßiger Anforderungen. Kennzeichnend für denPrüfungsausschuss ist, dass er den Vorstand unterstützt bei der Aufsichtüber (a) die Integrität der Jahresabschlüsse, (b) die Einhaltunggesetzlicher und ordnungsmäßiger Anforderungen, (c) dieQualifizierungen und Unabhängigkeit des Prüfers, (d) das Funktionierender Innenrevision und des unabhängigen Prüfers sowie (e) dieINTOSAI Richtlinien für die internen Kontrollnormen 70

Anlage 2 - GlossarEntschädigung der Führungskräfte des Betriebs (in Ermangelung einesEntschädigungsausschusses).RRechenschaftspflicht• Prozess, durch welchen öffentliche Verwaltungseinrichtungen undderen Mitarbeiter über ihre Entscheidungen und Tätigkeiten imRahmen ihrer Verantwortung für die Verwendung öffentlicher Mittelund deren angemessenem Einsatz sowie alle übrigen Aspekte derArbeits- und Betriebsabläufe Rechenschaft ablegen.• Einer Person oder geprüften Körperschaft auferlegte Pflichtnachzuweisen, dass sie die ihr anvertrauten Mittel gemäß denBedingungen, unter denen die Mittel ihr zur Verfügung gestelltwurden, verwaltet oder kontrolliert hat. (Glossar)RechenzentrumEin Computer von hohem Niveau zur Leistung intensiverComputeraufgaben. Am Rechenzentrum nehmen verschiedeneBenutzer mittels Terminals teil.Risiko• Die Prüfer nehmen ein gewisses Maß an Unsicherheit bei derDurchführung von Kontrollen hin (Arens, Elder & Beasley)• Die Möglichkeit eines plötzlich eintretenden Ereignisses das sich aufdie Zielerreichung negativ auswirkt. (COSO ERM)Risikobereitschaft• Die Risikobereitschaft definiert das Risiko, das die Körperschafteinzugehen bereit ist, ohne Gegenmaßnahmen zu treffen.• Das Risiko das ein Unternehmen einzugehen bereit ist um seineallgemeinen Zielsetzungen zu erreichen. (COSO ERM)RisikobeurteilungRisikobeurteilung ist ein Verfahren zur Identifizierung und Analyse vonRisiken, welche die Erreichung der Ziele einer Körperschaft gefährdenkönnten, und dient zur Festlegung einer angemessenenRisikomanagementstrategie.RisikoevaluierungIst die Beurteilung der Bedeutung des Risikos und derWahrscheinlichkeit des Eintretens.RisikoprofilDie Übersicht oder Matrix der Hauptrisiken einer Verwaltungseinrichtungoder untergeordneten Körperschaft, die auch das Ausmaß derAuswirkungen (z.B. hoch, mittel, gering) und die Wahrscheinlichkeit desEintretens beinhaltet.RisikotoleranzDie annehmbare Abweichung von der Zielerreichung. (COSO ERM)INTOSAI Richtlinien für die internen Kontrollnormen 71

Anlage 2 - GlossarSServicekontinuitätServicekontinuität gewährleistet Unterstützung um sicherzustellen, dasskritische Operationen im Fall unerwarteter Ereignisse ohneUnterbrechung weitergeführt oder umgehend wieder aufgenommenwerden können und kritische und sensible Daten geschützt bleiben.SicherheitsprogrammDie organisationsweite Sicherheitsprogramm- undSicherheitsmanagementplanung sind die Basis für dieSicherheitsstruktur der Organisation und stellen das Engagement derobersten Führungskräfte für Risikomanagement dar. Das Programmsollte einen Rahmen für die Tätigkeiten im Bereich Risikomanagement,die Entwicklung von Sicherheitsstrategien und die Überwachung derAngemessenheit dieser Verfahren schaffen.Sparsamkeit• Minimierung der Kosten der für eine bestimmte Aktivität eingesetztenMittel bei Wahrung der geeigneten Qualität. (INTOSAI auditingstandards)• Beschaffung qualitativ und quantitativ geeigneter Geld-, PersonalundSachmittel zum richtigen Zeitpunkt und mit geringstmöglichemKostenaufwand. (Glossar)StrategieDienstliche Anordnung des Managements bezüglich der Durchführungvon Kontrollen. Die Strategie ist die Basis für die Einführung vonVerfahren und deren Umsetzung. (COSO 1992)SystemsoftwareDiese Software gewährleistet hauptsächlich die Koordinierung undSteuerung der Ressourcen für Hardware und Kommunikation, denZugriff auf Unterlagen und die Steuerung der Anwendungen.Systemsoftware-KontrollenDie Kontrolle der Programme und der betreffenden Routine dient dazudie Abwicklung der Computervorgänge zu überwachen.UÜberwachungÜberwachung ist eine Komponente der internen Kontrolle und einEvaluierungsprozess zur Beurteilung der Qualität derSystemperformance im Zeitablauf.Unabhängigkeit• Handlungsfreiheit die einer Rechnungskontrollbehörde und derenPrüfern nach Maßgabe des Prüfungsauftrags ohne jeglicheEinmischung von außen eingeräumt wird. (Glossar)• Die Handlungsfreiheit der ORKB um die Kontrollen nach Maßgabedes Kontrollmandats und ohne jegliche externe Einmischung undAnweisung durchzuführen. (INTOSAI auditing standards)INTOSAI Richtlinien für die internen Kontrollnormen 72

Anlage 2 - Glossar• Der Prüfer kann in der Ausübung seines Dienstes eine unparteiischeStellung einnehmen (Unabhängigkeit im eigentlichen Sinne) (Arens,Elder & Beasley)• Der Prüfer kann gegenüber anderen Personen eine unparteiischeStellung einnehmen (äußerliche Unabhängigkeit). (Arens, Elder &Beasley)UnsicherheitUnvermögen um im voraus die Wahrscheinlichkeit des Eintretens eineskünftigen Ereignisses oder dessen Auswirkung zu kennen. (COSOERM)VVerarbeitungIn IT handelt es sich um die durch das Verarbeitungszentrum einesComputers zur Ausführung gebrachten Anweisungen eines Programms.VerfahrenEine Maßnahme zur Umsetzung einer Strategie. (COSO 1992)VerschwörungEine gemeinsame Planung von Arbeitnehmern mit dem Ziel einemGeschäft Bargeld, Inventar oder andere Aktivvermögen zu entwenden.(Arens, Elder & Beasley)Vorbeugende KontrollmaßnahmenEine Kontrolle zwecks Vorbeugung einer unbeabsichtigtenVeranstaltung oder eines unbeabsichtigten Ergebnisses (im Gegensatzzu aufdeckenden Kontrollmaßnahmen) (COSO 1992)WWirksamWirksam bezieht sich auf die Erreichung von Zielen beziehungsweisedas Ausmaß, in dem das Ergebnis einer Tätigkeit der Zielsetzung oderdem beabsichtigten Effekt dieser Zielsetzung entspricht.Wirksamkeit• Der Zielerfüllungsgrad und das Verhältnis zwischen derbeabsichtigten Wirkung und der tatsächlichen Wirkung einerTätigkeit. (INTOSAI auditing standards)• Grad der Zielverwirklichung entsprechend einem günstigen Kosten-Nutzen-Verhältnis. (Glossar)WirtschaftlichWirtschaftlich bedeutet einen weder verschwenderischen nochübermäßigen Einsatz von Ressourcen. Hier geht es darum, dieangemessene Menge an Ressourcen in der richtigen Qualtität, zurrechten Zeit und an der richtigen Stelle zum niedrigsten Kostpreisbereitzustellen.INTOSAI Richtlinien für die internen Kontrollnormen 73

Anlage 2 - GlossarZZugriffskontrolleEs handelt sich um Kontrollen die in der Informationstechnologieentwickelt worden sind um Ressourcen gegen unerlaubte Änderungen,Verlust oder Veröffentlichung zu schützen.INTOSAI Richtlinien für die internen Kontrollnormen 74