Ausgabe 2002.4 [PDF, 486.8 KB] - Institut für Interne Revision ...

AUDIT
V vJOURNAL
Our day has come!
(Mag. Norbert Wagner)
Our day has come! Mit diesen Worten beginnt William G. Bishop, IIA President, sein Communiqué im
IIA Leaders Link vom Dezember 2002. Er meint damit, dass sich mehr als jemals zuvor, das Management
und das board ihrer Internen Revision bedienen und deren Rat und Lösungsvorschläge zu Nutze
machen. Manager schätzen immer mehr ihre Revisoren und Revisorinnen und setzen sie verstärkt ein
in den Bereichen Sicherheit (assurance), Ordnungsmäßigkeit, Überprüfung des Internen Kontrollsystems
und Berichtswesen. Und, so führt er weiter aus, dass vor allem der Begriff des Internen Kontrollsystems,
der über lange Zeit eher als ein rätselhafter, mysteriöser angesehen wurde, nunmehr
schlagartig ein Begriff geworden ist, der in den täglichen Sprachgebrauch Eingang gefunden hat.
Obwohl dieser Wechsel natürlich vor allem das Resultat einiger dramatischer Ereignisse in der Governance
großer Unternehmen bzw. gravierender Betrugsfälle ist, ist es doch für die Interne Revision ein
wesentlicher Faktor, dass über die Arbeit, Leistung und Bedeutung der Internen Revision intensiv
gesprochen wird – our story is being told – sagt William G. Bishop dazu.
Auch Österreich hatte in der Vergangenheit manch - kleine – Enron’s und WorldCom’s. Als eines der
letzten Länder der Europäischen Union hat nunmehr auch Österreich – seit 2. Oktober 2002 – seinen
Code of Corporate Governance. Im Punkt 18 ist darin unter anderem verankert, dass „in Abhängigkeit
von der Größe des Unternehmens eine interne Revision als eigene Stabstelle des Vorstandes einzurichten
ist“. Der Austrian Code of Corporate Governance ist abrufbar unter www.oevfa.at oder
www.iwp.or.at.
Dieser Code richtet sich vorrangig an österreichische börsennotierte Aktiengesellschaften. Grundlage
sind die Vorschriften des österreichischen Aktien-, Börse- und Kapitalmarktrechts, sowie in ihren
Grundsätzen die OECD-Richtlinien für Corporate Governance. Es wird empfohlen, dass sich auch
nichtbörsennotierte Aktiengesellschaften daran orientieren, soweit die Regeln auf diese anwendbar
sind.
Der Kodex verfolgt das Ziel einer verantwortlichen, auf nachhaltige und langfristige Wertschaffung
ausgerichteten Leitung und Kontrolle von Gesellschaften und Konzernen. Mit dem Kodex wird ein
hohes Maß an Transparenz für alle Stakeholder des Unternehmens erreicht. Geltung erlangt der Österreichische
Corporate Governance Kodex durch freiwillige Selbstverpflichtung der Unternehmen zu
den Grundsätzen in der jeweils vorliegenden Fassung.
Der Code beinhaltet gesetzesausfüllende bzw. –ergänzende Regelungen einer ordentlichen
Unternehmensführung bzw. –überwachung. Die Einhaltung bzw. Nichteinhaltung von Code-Grundsätzen
ist vom Unternehmen jährlich im Geschäftsbericht zu veröffentlichen (sog.
C-Regelungen = „comply or explain“).
Auch die EU beschäftigt sich intensiv mit dem Thema Corporate Governance Codes. Im heurigen
Frühjahr wurden von den Kommissionsdienststellen die vergleichende Studie von Corporate Governance
Codes, die für die Europäische Union und ihre Mitgliedsstaaten von Bedeutung sind, vorgestellt.
Die Studie ist von der Internationalen Kanzlei Weil, Gotshal & Manges LLP in Zusammenarbeit mit der
European Association of Securities Dealers und dem European Corporate Governance Network erstellt
worden.
Die Studie listet die unterschiedlichen Corporate Governance Codes auf, die Einfluss auf die Art und
Weise haben können, wie Unternehmen in Europa geführt und kontrolliert werden. Sie vergleicht die
verschiedenen Corporate Governance Regelungen der Codes und legt deren wesentliche Ähnlichkeiten
und Unterschiede dar. Weiter geht sie darauf ein, in welcher Art und Weise die Durchsetzbarkeit
Seite
2 ________________________________________________

AUDIT
V vJOURNAL
der Regelungen der Codes organisiert ist, und befasst sich mit den zu erwartenden Entwicklungen auf
dem Gebiet der Corporate Governance.
Die Studie wird der hochrangigen Gruppe von Experten auf dem Gebiet des Gesellschaftsrechts ü-
bergeben werden. Diese Expertengruppe ist im September 2001 mit dem Ziel eingesetzt worden,
den Rahmen für ein modernes europäisches Gesellschaftsrecht (einschließlich Corporate Governance)
abzustecken, das hinreichend flexibel und zeitgemäß ist, um den Bedürfnissen der Unternehmen zu
entsprechen. Nähere Informationen bzw. die Studie sind zu finden unter
http://europa.eu.int/comm/internal_market/de/company/company/news.
Die im Zuge der Vorfälle in den USA ausgelösten Diskussionen zum Thema Governance führten auch
zu der klaren Aussage und „Recommendation“ des IIA, wonach „Companies should establish and
maintain an independent, adequately resourced and competently staffed internal audit function. If
none, the board should disclose why not in the annual report.”
Aus der gemeinsamen Arbeit des IIA mit der New York Stock Exchange stammen unter anderem die
nachstehenden Änderungsvorschläge der NYSE:
• Increasing the role and authority of independent directors
• Tightening the definition of “independent” director and adding new audit committee
qualification requirements
• Expectation that companies will have internal auditing functions
• Fostering a focus on good corporate governance
• Giving shareholders more opportunity to monitor and participate in the governance of their
companies
• Establishing new control and enforcement mechanisms
• Improving the education and training of directors
Beim Treffen des Internal Auditing Standards Board in Prag im Oktober 2002 wurden auch Standards
zur Thematik Corporate Governance diskutiert, womit die Rolle der Internen Revision als key player
in diesem Bereich verstärkt werden soll. Es ist geplant, beim Dezember-Meeting eine Endfassung dazu
zu verabschieden.
Intensiv erwähnt und diskutiert wird seit Sommer auch der sog. „Sarbanes-Oxley-Act“. Dieses neue
Gesetz hat den amerikanischen Kongress im Juli 2002 passiert. Mit dieser Gesetzgebung werden in
den USA „public companies“ und deren Executives, Direktoren, Revisoren, Wirtschaftsprüfer, Anwälte,
Analysten, etc. neue Pflichten auferlegt. Der Sarbanes-Oxley-Act schafft ein neues Regulativ für die
Tätigkeit der Internen Revision und setzt neue Standards für die Unabhängigkeit der Internen Revision.
Nähere Informationen sowie den Sarbanes-Oxley-Act finden Sie unter www.sarbanesoxleyact.com.
Nach diesem globalen Überblick nun zu unserem Institut für Interne Revision. Was hat sich hier heuer
getan?
Am Beginn des Jahres 2002 stand die erste Audit Competence Konferenz mit einer überwältigenden
Teilnahme und einem großartigen Erfolg. Die Jahrestagung in Pörtschach am Wörthersee und zwei
Erfa’s – bei der UNIQA-Versicherung und im Siemens-Forum – waren weitere Highlights des heurigen
Jahres.
Im organisatorischen Bereich gab es vor allem die Umbenennung der bewährten Arbeitsgemeinschaft
Interne Revision in das Institut für Interne Revision Österreich, was auch international sehr positiv
aufgenommen wurde. Das bisherige österreichische Institut für Interne Revision wurde in Akademie
________________________________________________ Seite
3

AUDIT
V vJOURNAL
für Interne Revision geändert und wird den Schwerpunkt auf der CIA-Ausbildung haben. Eine weitere
wesentliche Arbeit des heurigen Jahres war die Neugestaltung unserer hompage
www.internerevision.at, vor allem mit einer nun neugeschaffenen members-only-Site. Der Aufwand
dafür war erheblich, deswegen dauerte es auch länger, als wir ursprünglich angenommen hatten.
Der nächste Schritt im Institut ist nunmehr die bereits angekündigte Anpassung der Mitgliederstruktur
und –beiträge. Sowohl bei der Überarbeitung der Statuten als auch bei einigen neuen Mitgliederansuchen
zeigten sich Probleme, die wir nunmehr bereinigen wollen. Wir wollen diesen Änderungsprozess
im Vorstand vorbereiten, dann mit allen Interessierten diskutieren und bei der nächsten Jahrestagung
bzw. Mitgliederversammlung Mai 2003 in Graz vorlegen bzw. beschliessen lassen.
Eine entsprechende Einladung zur Diskussion – die wir für Februar 2003 geplant haben – wird rechtzeitig
auf unserer homepage verlautbart werden. Der Vorstand freut sich auf Ihre intensive Mitarbeit.
Nun bleibt mir noch, Ihnen und Ihren Familien im Namen des Vorstandes des Instituts für Interne
Revision Österreich ein frohes und glückliches Weihnachtsfest und ein gesundes und erfolgreiches Jahr
2003 zu wünschen.
Von Bits und Bytes oder anders ausgedrückt,
ein kleiner Rückblick auf das letzte Erfa
(Mag. Eva Weiszgerber)
Die regelmäßige Veranstaltung von Erfahrungsaustauschtreffen,
sog. ERFA's ist wesentlicher
Bestandteil des zwischen den einzelnen
Mitgliedern des Instituts für Interne Revision
stattfindenden Informationsaustausches.
Das heurige Herbst-ERFA wurde vom EDV-
Arbeitskreis veranstaltet und fand über Einladung
der Firma Siemens im Siemens Form in
Wien statt. An dieser Stelle herzlichen Dank an
alle Beteiligten für die Vorbereitung dieser
Veranstaltung, die unter dem Titel "Risikopotentiale
als Prüfungsansätze aus Sicht der
DV-Revision" stand und herzlichen Dank auch
an die Firma Siemens für die ausgezeichnete
Bewirtung und das zur Verfügung stellen der
schönen Räumlichkeiten.
Mehr als 100 Anmeldungen zeigten deutlich
das Interesse der Mitglieder des IIA Austria an
diesem Themenbereich.
In seiner Begrüßung informierte Hausherr GD
DI Albert Hochleitner über Daten und Fakten
der Siemens AG und unterstrich die strategische
Bedeutung der Revision in der Siemens
Gruppe.
Nach einer Einleitung vom Leiter des EDV-
Arbeitskreises Mag. Thomas Goldstein, begann
die Reihe der Vorträge mit Hrn. Ronald
Bron, der das "Spannungsfeld Sicherheit" näher
betrachtete. Ausgehend von einer Sicherheitspyramide
wies er darauf hin, dass Sicherheit
Teil der Unternehmensstrategie sein muss
und dass immer noch der Mensch die
Schwachstelle im System darstellt. Ein Vorgehensmodell
zur Risikoanalyse und ein diesbezüglicher
Fragenkatalog rundeten das Bild ab.
Anschließend widmete sich Dr. Michael
Schirmbrand den "Gesetzen und Standards
für IT-Prüfer/-Revisoren". Gerade im IT-
Bereich gibt es sehr viele gesetzliche Aufträge,
Verordnungen, Vorgaben, Fachgutachten etc.,
die zum Teil nicht in das Bewusstsein aller
gedrungen sind. Das war deutlich an einzelnen
Gesichtern im Auditorium zu erkennen. Zusätzlich
wurde das Cobit-Modell als Rahmen
für die Steuerung der Prozesse dargestellt und
festgehalten, dass eine IT-Prüfeinheit aus zumindest
5 Mitarbeiter/Mitarbeiterinnen bestehen
müsste und Hinweise für deren erforderliche
Qualifikation gegeben.
Seite
4 ________________________________________________

AUDIT
V vJOURNAL
Mit Ing. Gerhard Hackl erfolgte zuerst ein
virtueller Rundgang durch ein Rechenzentrum.
Allein die Darstellung aller Risikopotentiale,
sowohl technischer, als auch organisatorischer
oder personeller Natur, ließ schon einen Teil
des Publikums blass werden und heftig über
die Situation im eigenen Hause nachdenken.
Wesentliche Feststellung war, dass die Sicherheit
in den Köpfen der Mitarbeiter/Mitarbeiterinnen
beginnt und sich hier ein
wirkungsvoller Ansatzpunkt für den Ausschluss
bzw. Minimierung von Risiko ergibt.
Als nächster Programmpunkt stand ein ausgezeichnetes
Mittagsbuffet auf der Tagesordnung
der Veranstaltung, das von der Firma Siemens
zur Verfügung gestellt wurde. Die Pause konnte
zur Besichtigung des Siemens Forums, das
auch ein Museum beheimatet, genützt werden.
Es gab viele Geräte zu entdecken, die man
vielleicht selbst noch aus der Jugendzeit in
Erinnerung hat bzw. die jüngeren unter uns
noch bei ihren Großeltern oder Eltern gesehen
haben. In diesem Sinne war die Pause fast zu
kurz, da schon das nächste Referat begann.
Ing. Manfred Scholz berichtete über die "Betriebssysteme
Win95/Win98/NT/2000/XP".
Nach einer Gegenüberstellung der unterschiedlichen
Einschätzung der Faktoren Vertraulichkeit,
Integrität und Verfügbarkeit durch
die IT und die Revision fanden zwei beeindruckende
Demonstrationen statt, wie schnell
und einfach es gelingen kann, Informationen
über das Netzwerk abzurufen, Auswertungen
über Benützer einer Domäne zu erhalten und
(für Administratoren) Passwörter der Benützer
zu entschlüsseln. Dazu bedarf es nicht einmal
einer eigenen Spezialsoftware. Wichtiger Hinweis
des Referenten war, jedenfalls vor dem
Ausprobieren in der eigenen Firmenapplikation
Kontakt mit der EDV-Abteilung herzustellen,
da ansonsten auch der Revision massiver Ärger
droht.
Mit dem nächsten Thema, "SAP als Beispiel für
eine Standardapplikation" fesselte Hr. Erwin
Horvath das Interesse des Publikums. Sein
Vortrag war geteilt in die Bereiche Prüfen von
SAP und Prüfen mit SAP. Wertvolle Tipps gab
es zu Prüfungsleitfäden, Prüfungssoftware und
Seminarveranstaltern. SAP wird bereits in so
vielen Unternehmen, Organisationen und Institutionen
eingesetzt, dass fast alle Anwesenden
damit schon (erste) Erfahrungen, sei es bei der
Vorbereitung von eigenen Revisionen oder bei
der Revision von SAP gesammelt haben.
Als letzter Vortragender beschäftigte sich Hr.
Rene Schametz mit der "Steuerung eines IT-
Netzwerkes". Als wesentliche Inhalte eines
Netzwerk-Managements sind Fehler-, Konfigurations-,
Sicherheits-, Leistungs- und Abrechnungsmanagement
zu benennen.
Danach bestand noch die Möglichkeit zur Diskussion.
Den Abschluss der Veranstaltung bildeten
die Hinweise des Vorsitzenden des Vorstands
des IIA Austria, Mag. Norbert Wagner,
der die geplanten Veranstaltungen des nächsten
Jahres (Erfas, Jahrestagung, Mitgliederversammlung)
ankündigte und alle Mitglieder zur
Mitarbeit und Meinungsbildung einlud.
Freuen wir uns also auf weitere spannende
Veranstaltungen, die sowohl dem Informationsaustausch,
aber auch dem gegenseitigen
Kennenlernen der Mitglieder dienen sollen.
Um die Unterlagen zu den einzelnen Referaten
nachlesen zu können, hat das Institut für Interne
Revision heuer erstmalig nicht eine papierene
Zusammenstellung den Mitgliedern ü-
bermittelt, sondern die Informationen auf einer
CD-Rom festgehalten. Diese müsste in der
Zwischenzeit schon bei Ihnen eingelangt sein.
________________________________________________ Seite
5

AUDIT
V vJOURNAL
Die neue homepage des Instituts für Interne Revision Österreich
www.InterneRevision.at
(Mag. Klaus Wöhry, CIA)
Hauptnavigation
Subnavigation
Content
Members only
Mit Ende dieses Jahres wird die bekannte homepage der Arbeitgemeinschaft Interne Revision
(www.arge-ir.at) eingestellt und durch die neue homepage des Instituts für Interne Revision Österreich
(www.InterneRevision.at) ersetzt.
Diese Änderung wurde einerseits durch die Änderung des Vereinsnamens, aber noch viel mehr durch
die technische Entwicklung notwendig. War die „alte“ homepage noch gekennzeichnet von starren
Bildern, die aufgerufen werden konnten, so ist die neue homepage geprägt von hoher Funktionalität
bei klaren Stukturen und hoher Professionalität.
Grundlegender Unterschied neben den technischen Verbesserungen ist auch die Teilung in einen
„public-Bereich“, der jedem Internet-user zugänglich ist und in den „members only –Bereich“, der
ausschließlich den Mitgliedern des Instituts für Interne Revision Österreich vorbehalten ist.
Ruft man die homepage unter www.InterneRevision.at so gelangt man über eine animiertes Intro zum
public-Bereich und zum Hauptmenü. Aufbau und Inhalte dieses Hauptmenüs wurden einerseits von
der „alten“ homepage übernommen, aber auch durch Neuerungen ergänzt, bzw. klarer zugeordnet.
Die Navigationsleisten befinden sich nun horizontal unter unserem Vereinsnamen. Die ausgewählten
Schlagworte bzw. Bereiche werden orange/ocker hervorgehoben.
Der Zugang zur members only – Bereich erfolgt über die spezielle Leiste am unteren Ende der Seite.
Für den Zugang erhält jedes Mitglied eine eigene user-id und das dazugehörige Passwort, welches
nach dem ersten Aufruf automatisch geändert werden muss. Diese werden Ihnen zusammen mit den
notwendigen zusätzlichen Informationen und Anleitungen im Dezember übermittelt.
Seite
6 ________________________________________________

AUDIT
V vJOURNAL
Zur Orientierung und auch zum Wecken Ihres Interesses sind hier die Hauptnavigationsstrukturen des
public und des members only-Bereiches mit einigen Hinweisen auf Neuerungen angeführt:
www.internerevision.at - public
Hauptnavigation
Subnavigation1
Was ist das IIR Österreich
Internationale Zusammenarbeit
das Institut
Vorstand
Arbeitskreise
Beitrittserklärung
die Interne Revision
Professional Practices Framework
Aus- und Weiterbildung
CIA
Literatur
International
Termine
Contact
Definition
Standards
Code of Ethics
Practice Advisories
Akademie Interne Revision
Seminarprogramm
Organisatorische Hinweise
Information
Prüfungsordnung
Weiterbildungsnachweis
Erläuterungen und Anmeldung
Liste aktiver CIAs in Österreich
Audit Journal
Literatur im www
Bücher
Web Sites der Nationalen Revisionsinstitute
Europa: Die wichtigsten Internet-Adressen
Der public Bereich entspricht großteils der
alten homepage.
In diesem Teil stehen aber jetzt die
Nichtmitglieder im Vordergrund und hier
im speziellen deren Information:
Die Information über das Institut und dessen
Leistungen, die Interne Revision, die
Akademie Interne Revision mit ihren
Ausbildungsmöglichkeiten bis hin zum
Zertifikat (CIA), aber auch Hinweise auf
interessante Literatur und auf die nächsten
Termine.
Die downloads wurden in diesem Bereich
stark eingeschränkt und beziehen sich nur
noch auf die Beitrittserklärung zum Institut,
Seminaranmeldungen und speziellen
Formularen zum CIA.
Unter Professional Practices Framework
sind hier nur entsprechende Hinweise und
Informationen angeführt.
Hauptnavigation Subnavigation1 Subnavigation2
Mitglieder
Mitgliederverzeichnis
Arbeitskreise
Grundsätze
Jobbörse
Downloads
www.internerevision.at - members only
Banken
EDV
New Auditors
Privatversicherer
Public Sector
SAP
Professional Practices Framework
offene Stellen
Stellensuche
Logos
Audit Journal
Statuten
Unterlagen zu Veranstaltungen
Sonstiges
A
A
A
A
A
A
Standards
Code of Ethics
Practice Advisories
Institut mit Text
IIA-Austria
2002
2001
Archiv
ERFAs
Jahrestagungen
Subnavigation 2 Subnavigation 3
Information
Subnavigation 4
Teilnehmerkreis
Arbeitskreisleiter
Ziel des Arbeitskreises
regelmäßige Treffen
Veranstaltungen
A
ERFAs
Eigene Veröffentlichungen
Inhalte
Downloads
links
Contact
Dieser Bereich ist der
eigentliche Fortschritt, denn
wir schafften damit den
Übergang von der reinen
Informationshomepage hin
zu einer homepage, die
auch aktiv genutzt werden
kann.
Hier bietet das Institut nun
eine Vielzahl von
Informationen, Downloads
und Serviceleistungen.
Diese Serviceleistungen und
Funktionalitäten müssen,
um entsprechend zu
wirken, natürlich auch
entsprechend genutzt und
vorangetrieben werden. Die
dafür notwendige Plattform
haben wir geschaffen, was
daraus letztendlich wirklich
wird hängt von uns allen ab.
________________________________________________ Seite
7

AUDIT
V vJOURNAL
Internal Auditing Standards Board
- Ein erster Erfahrungsbericht
(Günther Meggeneder; CIA)
Seit Juni diesen Jahres habe ich die Aufgabe, im
Internal Auditing Standards Board des IIA mitzuwirken
und so die Weiterentwicklung der Standards
für die Interne Revision mit zu gestalten.
Der Internal Auditing Standards Board (IASB) ist
eines von 12 internationalen Komitees, die durch
das Institute of Internal Auditors eingesetzt wurden
(nähere Informationen auf www.theiia.org).
Die Mitglieder des Standards Board in seiner
aktuellen Zusammensetzung kommen aus 11
Nationen und aus unterschiedlichen Branchen.
Die Board-Meetings finden zwei bis drei Mal
jährlich statt.
Um die Mitglieder des Instituts für Interne Revision
Österreich über die Neuigkeiten aus der
Arbeit des Standard Bords aus erster Hand zu
informieren, wird es jährlich mindestens einen
Bericht über die Entwicklungen im Bereich der
Standards der Internen Revision geben.
Die Arbeit der beiden bisher im heurigen Jahr
abgehaltenen Meetings wurde durch die Vorkommnisse
im amerikanischen Wirtschaftsbereich
(Enron, WorldCom) stark beeinflusst. So
wurde der Bereich der beratenden Tätigkeit der
Internen Revision neu hinterfragt und klargestellt,
dass die Prüfungs- (assurance) -tätigkeit der internen
Revision immer im Vordergrund stehen
muss, um die entsprechende Sicherheit über das
Funktionieren der Risikomanagement- und Kontrollsysteme
und des Corporate governance gewährleisten
zu können.
Immer wieder werden die Standards als „amerikanische“
Standards bezeichnet, die internationale
Geltung in Frage gestellt. Daher wurde einstimmig
beschlossen, die Standards in „International
Standards for the Professional Practice
of Internal Auditing“ umzubenennen. Gleichzeitig
sollen alle Bestimmungen in den Standards
und Practice Advisories dahingehend
geprüft werden, ob sie nur nationale Gültigkeit
haben. Solche Passagen sollen aus den Standards
und Practice Advisories herausgenommen
werden, gleichzeitig ist aber eine zentrale
Einrichtung und Abrufbarkeit zusätzlicher nationaler
Bestimmungen (in Rang von Development
& Practice Aids) auf der IIA-Homepage
oder eine entsprechende Verlinkung auf nationale
Homepages geplant.
Speziell die Bereiche Consulting (Beratung),
add value (Mehrwertschaffung) und die Rolle
der Internen Revision im Risiko-Management
wurden erneut bearbeitet und entsprechende
Aktualisierungen der Standards vorbereitet.
Die Standards sollen aber nicht in zu kurzen
Abständen geändert werden. Der Internal
Auditing Standards Board hat festgelegt, dass
im Normalfall alle zwei Jahre Neufassungen
der Standards veröffentlicht werden sollen.
Unabhängig davon soll auf eventuelle aktuelle
Veränderungen (im beruflichen Umfeld)
schneller reagiert werden können.
Zur besseren Verbreitung der Standards und
zur Unterstützung aller Revisoren bei der Implementierung
der neuen Standards werden die
nationalen Institute aufgefordert, entsprechende
Präsentationen und Seminare anzubieten.
Die Mitglieder des Standards Board stehen
dafür als Vortragende zur Verfügung. Das
diesbezügliche Seminar in Österreich findet am
27. Februar 2003 in Wien statt (Informationen
dazu in der Seminarvorschau 2003, die bereits
durch die ÖAF an alle Mitglieder versandt
wurde).
Seite
8 ________________________________________________

AUDIT
V vJOURNAL
RISIKOORIENTIERTE PRÜFUNG UND RISIKOMANAGEMENT ALS AUFGABEN DER
INTERNEN REVISION.
von Dr. Josef Kondor
Editorial
Der Autor arbeitete mehr als drei Jahrzehnte in der Internen Revision einer internationalen Firma bzw. in der
Öffentlichen Verwaltung; davon ein Drittel jeweils als zuständiger Leiter für Österreich.
Seit seiner Pensionierung widmet er sich verstärkt den durch Sprache und Logik gegebenen Möglichkeiten, die
oft vernachlässigte ,verbale Abbildung der Wirklichkeit’ so realitätskonform wie möglich zu gestalten.
Im ersten Beitrag ( AJ 9/2001) wurde ein einfaches, auf jede Art von Organisationen anwendbares Modell vorgestellt,
mit dessen Hilfe Prüfungen geplant und abgewickelt werden können. Voraussetzung dafür ist „lediglich“
die Beachtung von Möglichkeiten und Grenzen in einzelnen Begriffen und der Sprache als Ganzes. Der
zweite Beitrag (AJ6/2002) versucht, die komplexen Vorgänge im Zusammenhang mit der Enron-Pleite verursachungsgemäß
aufzulösen, mit Hilfe des Modells zunächst bereits vorgelegene Empfehlungen für die Zukunft
zu beurteilen und dann zu eigenen (weiteren) Schlussfolgerungen vorzustoßen.
Die vorliegende dritte Abhandlung rollt die Frage auf, wie weit das vorgestellte Modell und die “Basisdefinitionen“
auch dann noch „funktionieren“, wenn neue Aufgaben, Begriffe etc. verstärkt in den Blickpunkt rücken.
Als Untersuchungsobjekt drängte sich das „Begriffspaket RISIKO“ auf. Nach Analyse, Definition, und Einordnung
der einzelnen Begriffe gemäß Vor- und Nachrängen zeigte sich, dass solche Mutationen dem Modell
nicht nur nichts anhaben können, sondern dieses Modell als Grundlage für eine optimale Implementierung sogar
benötigen.
Die drei Beiträge bilden ein (lose) zusammenhängendes Ganzes aus teils überlappenden teils beitragsspezifisch
abgehandelten Aussagen zur Gestaltung der Revisionsarbeit von der Planung über die Durchführung bis hin zum
Bericht. Sie erheben (bewusst) keinen Anspruch auf Vollständigkeit. Sie sollen vielmehr den Leser, der (periodisch
immer wieder) mit Sicherheit und Effizienz seiner Organisation einschlägig befasst ist, den „Weg aus (einer
oft sprachlich verursachten) Komplexität“ zeigen und zu eigenen, weiterführenden Überlegungen anregen.
1. Einleitung: Der Stellenwert von Risiken für die Aufgaben der Internen Revision.
Kaum eine andere Wissenschaft wie die (allgemeine) Betriebswirtschaftslehre und auch viele ihrer
Spezialgebiete ist durch die realen Entwicklungen in Wirtschaft und Politik im Laufe der letzten 80
Jahre so vielen Änderungen der Semantik, vor allem aber im Kern der Fachsprache selbst, unterworfen
gewesen. Dazu kommen Verlagerungen und Neuerungen in der Auswahl der jeweils im Mittelpunkt
stehenden Teilbereiche 1 .
Diese „Sorgen“ könnten wahrscheinlich als rein akademisch abgetan werden, sofern man nicht gerade
Verantwortungsträger im Rechnungswesen, in der Organisation oder eben in der (Internen) Revision
ist und neben der Gewähr für sachliche Richtigkeit auch immer für verbesserte, effiziente Methoden
und Hilfsmittel sorgen muss.
Bei Risikoorientierung und Risikomanagement handelt es sich um signifikante Veränderungen in der
Akzentuierung und in der Folge zentral in die Aufgaben der Internen Revision eingeflossene Schwerpunkte.
Dabei ist aber festzuhalten, dass beide Begriffe bzw. Begriffsinhalte nicht prinzipiell neu sind,
1 Chronologie der Entwicklungen ab ca. 1920: Fortführung der handelswissenschaftlichen Publikationen, Tageswertbilanz
(als Folge der Hyperinflation); Betriebswirtschaftliche Fundierung der Rechnungslegung, Lösung
der Kostenrechung von der Finanzbuchhaltung; Vollkostenrechnung und Preiskalkulation (Kriegs- und Nachkriegszeit);
Kennzahlensysteme und Instrumentales Rechnungswesen; Betrieb als Prozess zur Kombination von
Produktionsfaktoren (Gutenberg); Plankosten und Direct Costing; Controlling; Benutzung der Informatikterminologie;
Strategisches Controlling; Risikomanagement.
________________________________________________ Seite
9

AUDIT
V vJOURNAL
aber einerseits wegen der Entwicklung des wirtschaftlichen Umfeldes in Richtung Globalisierung und
andererseits wegen „Abspeckens der Personalressourcen“ (Lean Management) stark an Bedeutung
gewonnen haben.
Betrachtet man nun die Ausformulierungen und Überlegungen zu den Begriffsinhalten in den aktuellen
Beiträgen in ERFA`s und Audit Journal, so wird – zu Recht – vor allem der Beschäftigung mit dem
Risikomanagement große Bedeutung beigemessen und sogar dominant eine diesbezügliche Beraterrolle
herausgestrichen. Es wird aber zumeist verabsäumt festzulegen, welche Aspekte von Risiko 2 konkret
abgehandelt werden. Eine korrekte Einbindung von Risikomanagement in den – in der Regel nach
Organisationsbereichen ausgerichteten Prüfplan – ist ohne vorhergehende, gemeinsame Erarbeitung
von Zielsetzungen und Verantwortlichkeiten durch Unternehmensführung und Interne Revision wohl
nicht möglich.
In den im Internet durch das Institut dargestellten Aufgaben der Internen Revision wird die Befassung
mit Risikomanagement bereits im zweiten Absatz dominant herausgestrichen; es wird eine „anerkannte
Vorgehensweise“ angeboten, wohl aber kaum automatisch jene Methoden, wie sie von damit befassten
externen Unternehmensberatern angewendet werden. 3
„Interne Revision unterstützt die Organisationen bei der Erreichung ihrer Ziele durch systematische,
zielgerichtete und anerkannte Vorgehensweise zur Bewertung und Verbesserung
der Effektivität des Risikomanagements, der Steuerung und Überwachung sowie der
Prozesse in bezug auf Unternehmensverfassung und Unternehmensführung (corporate governance)“
Steuerung und Überwachung sind nach allgemeinem Verständnis – unter Beachtung weiterer Unschärfen
dieser Beschreibung – die vorrangigen Betätigungsfelder der Internen Revision. Die Verwendung
des Wortes Prozess für (allgemeine) Geschäftstätigkeit ist (im Deutschen) zumeist keine Bereicherung
für die Prägnanz von Sachverhaltsdarstellungen. Prozesse in bezug auf Unternehmensverfassung
und Unternehmensführung als Prüfobjekt der Internen Revision anzuführen, wirft aber mit Sicherheit
mehr Unklarheiten auf als dadurch beseitigt werden.
Wie in dem Beitrag über „Grundfragen und Weiterentwicklung der Internen Revision....“ dargelegt
wurde, bedarf es für die Planung der Zukunft aus Gegenwart und Vergangenheit eines (Kern)-
Modells, das Vergleichbarkeit und Kontinuität auch unter mitunter sehr rasch wechselnden Bedingungen
gewährleistet und sicherstellt, dass kein Teil der Organisationseinheit unbeachtet durch Management,
Interne Revision .. zu einer gefährlichen Schwachstelle wird.
Für die Wirklichkeitsnähe eines Modells gilt aber auch, dass es immer nur vorläufige Annahmen, der
Wahrheit jeweils nur angenäherte 'Antizipationen' sein können, da eine empirische Verifikation des
Modells, ein Zurückführen einer allgemeinen Wirklichkeitsaussage wie „Gebäude von Mitteln für Ziele“
auf besondere oder bestimmte Erfahrungsgrundsätze (Induktion) aus einer (jetzt) gegebenen Realsituation
nicht (umfassend) zu begründen ist. Der letzte Halbsatz ist besonders zu berücksichtigen, da
er die Kriterien für die Gültigkeit eines theoretisch unterlegten Modells für die Praxis von jenen auf
Anspruch auf Wissenschaftlichkeit unterscheidet. Praktische Modelle können aber jederzeit endgültig
an neuer Erfahrung scheitern; 4 um den Status einer wissenschaftlichen Theorie beanspruchen zu können,
muss die Möglichkeit des Scheiterns sofort logisch begründbar sein.
2 Somit also sowohl die Definition von Risiko als auch von Risikomanagement
3 Ob allerdings die „Grundausbildung“ des Revisors speziell für die Evaluierung der Risiken aus dem wirtschaftlichen
Umfeld der Organisation ausreicht, muss vorerst einmal bezweifelt werden.
4 Sir Karl Popper: The Logic of Scientific Discovery. (Deutsch: Logik der Forschung) Hutchinson, London,
New York 1959, zitiert gem. Internet.
Seite
10 ________________________________________________

AUDIT
V vJOURNAL
Je nach Aussagekraft und Flexibilität des jeweiligen, der Revisionsarbeit (von der Planung bis zum
Bericht) zugrundeliegenden Modells, besteht die Möglichkeit einer Beibehaltung über viele Jahre,
eben so lange wie es nicht falsifiziert werden kann 4 .
Durch Beachtung der Vor- und Nachränge 5 in dem der Tätigkeit der Internen Revision zugrunde
gelegten Modell – Prüfung der nach dem Prinzip der Internen Kontrolle für die Zielerreichung ausgerichteten
Strukturen und Abläufe einer Organisation 6 - wird in der Folge untersucht, ob (neue) Schwerpunkte
wie Risikoorientierung und Risikomanagement ihrem Stellenwert entsprechend eingeordnet werden
können, ohne das Modell selbst zu verändern.
2. Begriffsdefinitionen
2.1 Risiko und Chance
Die meist verwendete Definition ist wohl die statistisch-mathematische Erklärung als Produkt aus
Eintrittswahrscheinlichkeit und dem Ausmaß des Ereignisses.
R ... Risiko
P ... Eintrittswahrscheinlichkeit
A ... Quantifiziertes Ausmaß des Ereignisses
R = P * A
Umgangssprachlich wird zumeist in Wirtschaft und Politik (und einschlägigen Publikationen) unter
Risiko die negative Abweichung von einem erwarteten Wert eines Ereignisses verstanden.
Dabei wird Risiko auch mit Bedrohung oder Gefahr gleichgesetzt und mit einem unzureichenden Informationsstand
begründet.
Daraus kann sehr leicht eine Verwechslung mit Bedrohung und Gefahr an sich resultieren. So
stellen z.B. konzentrierte Säuren für den Verwender eine ernste Gefahr von Verletzungen dar,
wenn dieser nicht vorschriftsmäßig damit umgeht. Risiko ist die Wahrscheinlichkeit oder Chance,
dass die durch die Chemikalie bestehende Gefahr zu einer Verletzung führt. Demgemäss ist
konzentrierte Schwefelsäure eine gefährliche Chemikalie. Wenn jedoch mit der Schwefelsäure
ordnungsgemäß hantiert wird, können die damit verbundenen Risiken sehr klein sein.
Gefahren an sich sind somit selten auszuschalten, es sei denn, dass man auf diese Ressourcen zur
Gänze verzichten kann. Solche Gefahren sind inhärent.
Die Risiken, die sie darstellen, können jedoch durch eine Risikobewertung und in der Folge durch
passende Sicherheitsmaßnahmen minimiert werden.
Es können sich jedoch auch positive Abweichungen von erwarteten Werten einstellen, durch niedrigere
Kosten oder durch höhere Erträge als ursprünglich angenommen. Deshalb sollten Risiken nicht
von vornherein losgelöst von damit verbundenen Chancen gesehen werden.
. Popper sagt selbst, dass der Wissenschaftsanspruch keine conditio sine qua non ist “it is not necessarily to hold
that it is unenlightening, still less that it is meaningless,”
5 vergl. Othmar Spann – Haupttheorien der Volkswirtschaftslehre, 26. Auflage, 1949......
6 vergl. Audit Jorunal 3/9 2001: J. Kondor: ..Grundfragen und Weiterentwicklung der Internen Revision für
die Gestaltung und Absicherung von Organisationen durch Interne Kontrolle........... S 3 ff.
________________________________________________ Seite
11

AUDIT
V vJOURNAL
• Risiko ist die Wahrscheinlichkeit, dass ein Ereignis nicht oder nicht in der erwarteten Ausprägung
eintritt.
• Risiko ist das Gegenteil von Sicherheit. Sicherheit wäre dann gegeben, wenn zukünftige Entwicklungen
genau vorhergesagt werden könnten.
• Risiken eingehen bedeutet auch Chancen haben.
Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts!
2.2 Risikoorientierung
Risikoorientierung ist keine Aktivität an sich, sondern primär eine Geisteshaltung. Um sie erfolgreich
umsetzen zu können, sind eine Reihe von Vorleistungen erforderlich.
Am Anfang stehen die Eruierung und Visualisierung der in der Organisation vorhandenen Risiken, um
die negativen Konsequenzen für Leben, Gesundheit, Vermögen oder die Umwelt zunächst einmal zu
verstehen. Für den Einsatz als Orientierungshilfe bei Entscheidungen müssen die Wahrscheinlichkeiten
und die erwarteten Konsequenzen aus erkannten Risiken quantifiziert werden.
Der Interne Revisor sollte risikobezogene Orientierungshilfen gleich auf mehreren Ebenen seiner Tätigkeit
einsetzen:
• Bei der Erstellung des (mehrjährigen) Revisionsplans, um so die (zumeist knappe) für Prüfungen
zur Verfügung stehende Zeit optimal zu nutzen. D.h. bei einem (drei- bis fünfjährigen)
Zyklus in dem alle Unternehmensbereiche geprüft werden müssen, jene Gebiete
herauszufiltern, die intensiv und vor allem mehrmals geprüft werden müssen.
• Bei der Bestimmung von Art und Anzahl der Stichproben im Rahmen einer speziellen
Prüfung. Eine rein nur – ad random – festgelegte Anzahl von Stichproben, birgt bei Betrachtung
von außen mehrere Risiken:
• Die Stichprobenanzahl ist – gemessen an der Grundgesamtheit - zu klein, um mathematisch
unterlegte Aussagen über deren Zustand zuzulassen.
• Die willkürlich festgelegten und ohne Bezug zu fachlichen Inhalten ausgewählten Stichproben
geben keinen Aufschluss über die sachlich richtige Verarbeitung komplexer Sachverhalte.
Diese beginnen mit der (allgemeinen) Datenerfassung, der generellen Zulässigkeit
als Geschäftsfall, der Beachtung von Begrenzungen bei der Anwendung, Berücksichtigung
von Parametern in anderen Applikationen u.ä.m.; und dies sowohl in bezug auf fachliche
Richtigkeit als auch Umsetzung und Finalisierung durch gesicherte EDV-
Applikationen.
-
Der Revisor ist in der Lage, späteren Vorwürfen unzulänglicher Aufgabenerfüllung durch eine klare
Festlegung von Aufgaben und Zielen in Abstimmung mit allfälligen gesetzlichen oder vertraglichen
Erfordernissen ins Revisionsstatut zu vermeiden. Einander widersprechende oder aufgrund der verfügbaren
Zeit nicht realisierbare Zielsetzungen würden somit erst gar nicht in die Revisionsordnung
aufgenommen werden.
Seite
12 ________________________________________________

AUDIT
V vJOURNAL
2.3 Risikomanagement
Schon seit dem Eintritt der hochkapitalistischen Phase wird in (Zusammenarbeit mit) Banken in bestimmten
Wirtschaftssektoren Risikomanagement zur Abdeckung finanzieller Risiken bei Geld- und
Wertpapiergeschäften oder zum Ausgleich von Währungsschwankungen (bei Warengeschäften) betrieben.
Der Geschäftszweck von Versicherungsunternehmen besteht seit den Anfängen darin, in sich von den
Kunden nicht abdeckbare Risken durch Übernahme zu kumulieren und so über Eintrittswahrscheinlichkeiten
und Schadenshöhen für den Versicherten zu kalkulierbaren Prämienkosten zu machen.
Die zugehörigen Risiken und die zu ihrer Darstellung benötigten Zahlen kommen
a) aus dem Versicherungsgeschäft, (versicherungstechnisches Risiko)
b) aus der Vermögensveranlagung, (finanztechnisches Risiko)
c) aus der Tätigkeit als Wirtschaftsunternehmen, (operationales Risiko).
Das Risikomanagement eines Versicherungsunternehmens verknüpft Daten, Methoden und Techniken
der Versicherungsmathematik, der Finanzmathematik und der mathematischen Statistik zu einem
einheitlichen, mittels interdependenten Kennzahlen operierenden Modell. Dieses ist die Grundlage für
die erfolgreiche Unternehmensführung.
Aufgrund der Anforderungen aus der modernen Marktentwicklung, der fortschreitenden Technisierung
(und dies speziell im Informationswesen), sowie der Globalisierung wird eine neue Qualität von
Risikomanagement in fast allen Wirtschaftszweigen erforderlich. Dieses muss ein integrierter Bestandteil
der Unternehmungsführung sein. Ziel von Risikomanagement (und speziell der dafür eingerichteten
Subsysteme zur Frühwarnung) ist es, Risiken schon im Vorfeld zu erkennen und Maßnahmen
zur Gegensteuerung zu ergreifen.
Auch der Gesetzgeber hat bereits in vielen Ländern verfügt, dass verpflichtend Risikomanagement,
Frühwarnvorkehrungen bzw. interne Überwachungseinrichtungen (einschl. Interner Revision) installiert
und eingeführt werden müssen. 7
3. Einrichtung von Risiko-Management
Damit sowohl bestehende als auch zukünftige Risiken erkennbar und kontrollierbar sind, bedarf es
einer Vielzahl von zahlenmäßig aufbereiteten Informationen. Überall dort, wo bereits erfolgreich Controlling
praktiziert wird, ist es wahrscheinlich nur ein kleiner Schritt, um durch eine Neuausrichtung und
Neufokussierung den veränderten Anforderungen zu genügen.
Ist dies nicht der Fall, dann ist zunächst ein internes Kennzahlensystem einzurichten. Die Abbildung
des Unternehmens in Kennzahlen ist unabdingbare Voraussetzung für wirksames Risikomanagement.
Das Informationswesen des Unternehmens muss darauf ausgerichtet werden, Erkenntnisse über beoder
entstehende Risiken innerhalb der Organisation schnell an die (definierten) Entscheidungsträger
weiterzuleiten.
Risikomanagement kann Teil einer bereits bestehenden Einheit (z.B. Controlling) sein oder einer neu
geschaffenen Managementfunktion zugeordnet werden. Da in den größenordnungsmäßig relevanten
7 weitere Einzelheiten bzw. kritische Anmerkungen im Folgeabschnitt über das deutsche KonTraG
________________________________________________ Seite
13

AUDIT
V vJOURNAL
Organisationen zumeist Zahlen und Teilinterpretationen aus einem instrumentalen, aus vielen Quellen
gespeisten, Rechnungswesen vorhanden sind, werden diese Unterlagen primär für das Risikomanagement
gesammelt, verdichtet und dann für das Unternehmen (als Ganzes) interpretiert. Letztlich
sind alle Mitarbeiter des Unternehmens im Rahmen ihrer Befugnisse und Pflichten risikoverantwortlich.
Risikomanagement ist somit eine umfassende Aufgabe, an der vielfach (auch hierarchisch) verschiedene
Träger Teil haben können. Durch sie werden auf allen relevanten Ebenen geeignete Aktivitäten
gesetzt, um als risikoträchtig identifizierte Vorgänge unter Kontrolle zu halten 8 .
Beim Surfen durch die Webseiten verschiedener, Unternehmensberatung und Einrichtung von Risikomanagement
anbietender Beratungsfirmen ist aufgefallen, dass es den meisten schwer fällt, verständlich zu
erklären, wie Risikomanagement in eine bestehende Organisation eingebunden werden kann. So heißt es in
RATINGaktuell 02/2002 zunächst noch durchaus sinnvoll: „Ziel muss die frühzeitige und systematische
Identifikation und Bewertung sowie Steuerung und Kontrolle der risikobehafteten Prozesse sein.“ Der
Autor setzt jedoch fort: „Ein Risiko-Management-Prozess muss als dauerhafter Prozess (Regelkreis) im
Unternehmen implementiert werden. Risiko-Management ist keine einmalige Aktion.“ 9
Für den Fall, dass ein Risikomanagementsystem nicht speziell eingerichtet ist, stellt der Autor aber sehr
wohl Fragen nach einschlägiger organisatorischer Ausprägung: “Gibt es ein Risiko-Management und welche
Systeme werden für Risiko-Controlling und Qualitätssicherung genutzt?“ 9
Price Waterhouse & Cooper 10 sehen in einem Internen Kontrollsystem eine unabdingbare Voraussetzung
für die Etablierung von Risiko-Management.
Ernst & Young 11 verlangen als Basis eines das Gesamtunternehmen umspannenden Risiko-Managements
(sinngemäß) die Ausrichtung der Organisation nach den Prinzipien der Internen Kontrolle und eine kritische
und unabhängige Interne Revision, die alle Bereiche periodisch prüft.
4. Risikomanagement und Interne Revision
Sobald Risikomanagement als expliziter Bereich – sei es als Abteilung, Gruppe oder Funktion – in Erscheinung
tritt, wird es bei einer schon bisher alle Unternehmungsbereiche abdeckenden Internen
Revision automatisch zum Prüfungsgegenstand.
Es geht um die Prüfung der Wirksamkeit der in Struktur und Abläufen der Organisation eingerichteten
Vorkehrungen, die Integrität der Daten, deren Vollständigkeit, Relevanz usw. Nur wenn sichergestellt
ist, dass für das Risikomanagement alle wesentlichen internen und externen Risiken richtig erfasst
werden, können wirksame Strategien und Maßnahmen zur Gegensteuerung (also Vermeidung oder
Abfederung) entwickelt werden.
Im Gegensatz zum Risikomanagement geht es der Internen Revision nicht um eine vorwiegend permanente
Kontrolle der operativen Risiken, sondern um eine zeitlich limitierte und auf die Prüfungsaufgabe
fokussierte Prüfungstätigkeit. Zusätzlich leistet die Interne Revision durch ihre kritische Be-
8 z.B.: Verfolgung der Entwicklung der Außenstandsdauer einzelner Risikokunden wie auch des Gesamtaußenstandes
durch die Debitorenbuchhaltung, von Klagen und Forderungsausfällen durch die (hauseigene) Rechtsabteilung.
9 Frank Romeike: Risiko-Management als Grundlage einer wertorientierten Unternehmenssteuerung, Seite 14 in
RATINGaktuell 02/002
10 Aufrufbar durch Nennung der Firmenbezeichnung mit Hilfe einer Suchmaschine im Internet.
11 Wie 10
Seite
14 ________________________________________________

AUDIT
V vJOURNAL
richterstattung über Effizienz und Realisierung von Interner Kontrolle in der gesamten Organisation
einen wesentlichen Beitrag für die Beurteilung der Risikolage des Unternehmens.
Risikomanagement bedeutet aber auch Übernahme und Verantwortung für das bewusste Eingehen
von Risiken im Rahmen der unternehmerischen Betätigung. Die Interne Revision kann allerdings 12 in
diesen Teil nicht als Entscheidungsträger mit eingebunden werden – sie würde sonst zu einem Teil
des zu kontrollierenden Systems werden. Allenfalls wäre eine temporäre Abstellung eines (erfahrenen)
Revisors an das Linienmanagement zur Mitarbeit an einem zeitlich befristeten Projekt denkbar.
5. Das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“,
Ausblick auf und Weiterentwicklung von Kontrolle als Führungsfunktion.
Risiken einzugehen und Chancen zu nutzen sind der Kern unternehmerischen Handelns. Spektakuläre
Firmenkrisen in Deutschland wie Metallgesellschaft, Schneider und der Fall Holzmann 13 haben schon
vor den Vereinigten Staaten in der zweiten Hälfte der 90-er Jahre zu massiver Kritik am Management
deutscher Firmen geführt und damit unternehmerische Risiken wieder stark in den Vordergrund gerückt.
Vor diesem Hintergrund wurde im Mai 1998 in Deutschland das „Gesetz zur Kontrolle und Transparenz
im Unternehmensbereich" ( KonTraG ) verabschiedet. Das Gesetz bezieht sich primär auf Aktiengesellschaften
und soll Schwächen im Unternehmenskontrollsystem 14 korrigieren: Die Geschäftsleitung
wird verpflichtet, für ein angemessenes Risikomanagement zu sorgen. Aber auch bei anderen
Rechtsformen werden anerkannte Mindeststandards erwartet, mit nachhaltigen Konsequenzen für die
mittelständische Wirtschaft – und da wieder u. a. als Argumentationshilfe bei der Kreditbeschaffung. 15
Dem „Risikofaktor Kunde" muss durch das Risikomanagement besondere Beachtung geschenkt werden.
Und obwohl dies schon länger bekannt sein dürfte, gehen nach wie vor fast ein Drittel aller Unternehmenspleiten
auf Forderungsausfälle zurück, wobei die mittelständische Wirtschaft besonders
betroffen ist.
Deswegen sollten die eigene Außenstandspolitik und Verwaltung periodisch immer wieder auf Verbesserungen
untersucht werden. Borghöhenbegrenzungen und definierte Zahlungsfristen sollten sich
primär an betriebswirtschaftlichen Kriterien 16 und nicht (nur) an allgemeinen Einschätzungen der Kreditwürdigkeit
orientieren. Hiefür können Informationen von jenen Stellen verfügbar gemacht werden,
die sich professionell mit Kundenbonität befassen, also z. B. renommierte Kreditauskunfteien, die,
vielfach mit Unternehmensberatung verbunden, weiterführendes Risikomanagement offerieren. 17
Sind nun generell Reorganisationsmaßnahmen erforderlich, um die Managementfunktion Kontrolle
und Revision generell auf die (neuen) Erfordernisse von Risiko Management auszurichten, und ein
geeignetes, für das Unternehmen maßgeschneidertes, kosten-effizientes „Risiko-Management-
System“ zu implementieren?
13 Darunter fällt auch der der Bank Burgenland aus der Geschäftsbeziehung mit dem deutschen Wirtschaftskriminellen
Homrusch entstandene Schaden aus Kreditbetrug
14 Diese grausliche Wortschöpfung zeigt zum wiederholten Mal deutlich, wie wichtig ein einheitlicher Sprachgebrauch
für die Festlegung umsetzbarer und in der Praxis akzeptierter Mindestanforderungen ist.
15 Klaus Oesterle, Leiter Controlling Informationsmanagement der InFoScore-Gruppe in Baden-Baden (Internet)
16 Also z. B. an jener Zeitspanne, die für den Weiterverkauf erforderlich ist. Eine darüber hinausgehende Finanzierung
ist nur für begründete Sonderfälle – unter Beachtung des zusätzlichen Risikos – angebracht.
17 Das Internet bietet mittels Abfrage über verschiedene Suchmaschinen eine Reihe von „Selbstdarstellungen“
einschlägiger Unternehmensberater an.
________________________________________________ Seite
15

AUDIT
V vJOURNAL
In Fortführung des in den Journalen 3/2001 und 6/2002 vorgestellten, und auf dem Prinzip der Internen
Kontrolle erarbeiteten Organisationsmodells, ist auch Risikomanagement – gemäß den obigen
Ausführungen – nur ein weiterer Bereich in dem Gebäude von Mitteln für Ziele 18 , Risikomanagement
verändert nichts an Definitionen und den festgestellten Vor- und Nachrängen. Durch explizite Einführung
von Risiko-Management erforderlich werdende signifikante Veränderungen in Struktur- und
Ablauforganisation sowie der Neuordnung von Prioritäten sollten aber nachhaltig eine Erhöhung des
Unternehmenswertes nach sich ziehen.
So wie für eine gesicherte Gewinnermittlung, zuerst ein ordnungsmäßiges Rechnungswesen vorliegen
muss, wird Risikomanagement erst dann sinnvoll möglich, wenn als Basis zumindest nach
dem Prinzip der Internen Kontrolle ausgerichtete Strukturen und Abläufe in der Organisation
gegeben sind. Ab einer bestimmten Größe des Unternehmens wird (verstärkt) eine Interne Revision
einzurichten sein.
Anmerkungen zu den verwendeten Quellen:
Othmar Spann, Haupttheorien der Volkswirtschaftslehre, 26. Auflage, Heidelberg 1949
Ludwig Wittgenstein, Tractatus logico philosophicus, Wien 1918; Suhrkamp 1984
Wie Risikomanagement Unternehmen nützt
Ein Autorenbeitrag von Klaus Oesterle, Leiter Controlling Informationsmanagement der InFoScore-Gruppe in
Baden-Baden (Internet Download)
Sir Karl Popper: The Logic of Scientific Discovery. (Deutsch: Logik der Forschung) Hutchinson, London, 1959,
zitiert gem. Internet.
Protokolle über die Jahrestagung 2002 des österreichischen Instituts für Interne Revision, Generalthema: Risikoorientierte
Prüfung.
Frank Romeike in RATINGaktuell 02/2002 – Risiko-Management als Grundlage einer wertorientierten Unternehmenssteuerung
(Internet Download)
Verschiedene Wortkombinationen zur Themenstellung aus Interner Revision, Risikomanagement, Interner Kontrolle
und Unternehmensberatung über Suchmaschinen wie Metacrawler, Yahoo, u.a. in Deutsch und Englisch abgefragt und
die dahinter stehenden Inhalte ausgewählt und temporär aufgerufen.
18 Othmar Spann, Haupttheorien der Volkswirtschaftslehre, 26. Auflage 1949, Seite 193. „Dem geht subjektiv
das Abwägen und Widmen der Mittel für Ziele voraus“.
Seite
16 ________________________________________________

AUDIT
V vJOURNAL
CIA-Urkunden-Verleihung
(Günther Meggeneder, CIA)
„Es ist immer wieder etwas Besonderes, den erfolgreichen Kandidaten die Urkunden anlässlich der
erfolgreichen Absolvierung der Ausbildung zum Certified Internal Auditor (CIA) zu überreichen“ sagte
der Präsident des österreichischen Instituts, Norbert Wagner, anlässlich der Verleihung der CIA-
Urkunden an die acht neuen CIAs, die im Mai diesen Jahres die Prüfung mit Erfolg absolvierten. Die
Überreichung der Urkunden wurde am 9. Oktober 2002 im Wiener „Gmoakeller“ abgehalten. Die
erfolgreichen Kandidaten:
von links:
MORANG Steve, CIA -
Ernst & Young
STEIBLMÜLLNER Michael,
Mag., CIA - Rosenbauer
WEIDINGER Gert, Mag. CIA -
KPMG
MANTSCH Walter, Dr. CIA -
Readymix
STÖGER Gertrude, Mag., CIA -
Bank Austria Creditanstalt
SCHLAPSCHY Edmund, CIA -
Austrian Airlines
LANZ Alois, CIA -
Rechnungshof
Nicht auf Foto
ROTTER Susanne, Mag. CIA -
KPMG
Das Institut fördert seit Jahren die Durchführung der CIA-Prüfung, da sie zur Schaffung eines eigenständigen
Berufsbilds und als Zeichen für die Qualifikation der Revisoren unerlässlich ist. „Certified
Internal Auditor zu sein ist ein Ausweis dafür, die internationalen Standards zu kennen, zu akzeptieren
und die tägliche Arbeit in der Internen Revision danach auszurichten“ hielt das für die CIA-Prüfung
zuständige Vorstandsmitglied Günther Meggeneder fest und wünschte sich, dass die Zahl der Kandidaten
und Absolventen der CIA-Prüung auch künftig weiter ansteigt.
Neue Mitglieder
(Mag. Eva Weiszgerber)
Das Institut für Interne Revision Österreich freut sich, folgende neue Mitglieder begrüßen
zu können:
✗ Duropack AG
✗ Magistrat Graz, Stadtrechnungshof
Wir freuen uns auf eine gute Zusammenarbeit!
________________________________________________ Seite
17

AUDIT
V vJOURNAL
Nachruf
Dkfm. Dr. Konsul h.c. Univ.Professor Klaus CZEMPIREK
(Dkfm. Dr. Friedrich Kranzelmayer)
Am 20.Nov, d. J. verstarb 64-jährig Dkfm. Dr. Konsul h.c. Univ.Professor Klaus CZEMPIREK,
zu diesem Zeitpunkt Aufsichtsratsvorsitzender von Rosenbauer International, EHG Ennshafen,
Vivatis Holding u.a.m..
In den frühen 60er Jahren des 20. Jhdts. war Czempirek in der VÖEST Leiter der Internen
Revision u. bis 1970 Mitglied des "Fachbeirates", dem damaligen Leitungsgremium der Arge-IR
im ÖPZ. Sein fundiertes Fachwissen brachte für unsere Arbeitsgemeinschaft u. damit seinen
Kollegen, die ja zumeist "am Anfang" standen, viele Anregungen u. Arbeitshilfen.
Sein letzter Beitrag anlässlich der Jahrestagung 1971 "Die IR aus der Sicht der Unternehmensleitung"
befasste sich mit wesentlichen Zukunftsfragen der IR und die noch immer gültige
Authenzität seiner Thesen lässt eine auszugsweise neue Veröffentlichung im
AUDIT JOURNAL angezeigt erscheinen:
Interne Revision 2037
(Dr. K. Czempirek )
Auf der Suche nach einem Leitfaden für ein
paar generelle Bemerkungen aus Anlass
einer Tagung für interne Revision stieß ich
nach einem fast ausweglosen Labyrinth zu
guter Letzt noch auf eine Weggabelung:
Sollte ich den übersichtlicheren und damit
bequemeren Weg einschlagen, aus meiner
heutigen Sicht als Unternehmensleiter
nochmals den Standort der Internen Revision
von heute und morgen bestimmen
oder sollte ich den anderen Weg nehmen,
dessen Spur durch einen undurchdringlichen
Nebel bald unsichtbar wird und an
dessen Ende die Interne Revision 2037 für
uns unbekannt und vielleicht sogar beängstigend
liegt, weil wir nicht wissen, ob alles
das wir bisher für sie getan haben, richtig
war. Weil heute viele Autoren ihren Themen
".....im Jahr 2000" hinzufügen ,stellte
ich die Skizze unter das noch unbekanntere
Jahr 2037. In diesem Jahr wäre mein
Jahrgang 100 Jahre alt und größtenteils
vergessen, soweit es sich nicht um einen
Cognac handelt oder um einen Studienkollegen,
wie den derzeitigen österreichischen
Finanzminister, der im Wege über
ein öffentliches Amt in die Geschichte eingehen
kann. Jedenfalls kann mir 2037 keine
Revision mehr vorhalten, ich hätte bei dieser
Skizze geirrt oder zu unrecht den Weg
der (Revision-) Ordnung verlassen. - Zur
Sache!
Bei einer bestimmten Ordnungserwartung
wird es immer Abweichungstendenzen
geben. Zur Wahrung der Ordnung oder
zur evolutionären Anpassung des Ordnungssystems
wird es daher auch 2037
notwendig sein, Grund und Ausmaß der
Abweichungen festzustellen, um entweder
Maßnahmen einzuleiten, die bestehende
Ordnung zu sichern oder, falls gewünscht,
die künftige Ordnungserwartung zu nuancieren
oder radikal zu ändern. Die kritischanalytische
Feststellung von Abweichungen
ist die Revisionsfunktion. Somit wird es
auch 2037 eine Revisionsfunktion geben,
wenn es dann ein bestimmtes politisches,
soziales, wirtschaftliches, technisches und
im besonderen ein betriebswirtschaftliches
Ordnungssystem gibt, ohne damit sagen zu
wollen, dass es 2037 noch "Betriebe" gibt,
wie wir sie heute kennen. Wie die genann-
Seite
18 ________________________________________________

AUDIT
V vJOURNAL
ten Bereiche 2037 aussehen, müssen die
Futurologen beantworten.
Wie wird aber die interne Revision der
Institution aussehen, die das zukünftige
Gesellschaftssystem prägen? Wie Sie sicherlich
aus dem 1. Teil der Antwort zu
diesem Problemkreis entnommen haben,
ist die Revisionsfunktion in jedem kybernetischen
System zwangsläufig zu Hause.
Selbst, wenn wir im Jahr 2037 aus gesellschaftspolitischen
Gründen derartige Regelkreise
ablehnten, könnten wir uns ihnen
nicht entziehen, weil wir selbst einen repräsentieren
und wahrscheinlich alles um
uns die Kybernetik in sich trägt, wie auch,
die unsichtbare Schwerkraft nicht geleugnet
werden kann. Was aus dieser Überlegung
für uns als Revisoren von Bedeutung
ist, ist die Tatsache, dass neben den natürlichen
kybernetischen Systemen durch den
Menschen selbst derartige Systeme entwickelt
werden und ihre auf Maschinen basierende
Anwendung unvorstellbare und
vor allem in ihrer Geschwindigkeit progressiv
zunehmende Fortschritte macht
(Informatik, Computer based management
technics, Prozesssteuerung, kybernetische
Steuerungssysteme der Luft- und Raumfahrt
u.ä.).
Von dieser Seite her ist also im allgemeinen
der Mensch als Träger der Revisionsfunktion
betroffen und sogar gefährdet, wenn
man nicht gleichzeitig berücksichtigt, dass
der Mensch immer bereit war, sein augenblickliches
Arbeitsgebiet aufzugeben und
zu einer Funktion und Leistung "höherer
Ordnung" zu streben. Die Revisionsfunktion
höherer Ordnung (als heute) wird dort
liegen, wo noch keine vollautomatischen
und vollintegrierten, reinen Maschinensysteme
die Revision übernehmen können. An
der kritisch-analytischen Funktion und
Leistung des Menschen wird es daher immer
dort liegen, wo andere Menschen die
Maschinen noch nicht soweit gebracht
haben, einen wirklich geschlossenen Regelkreis
zu gewährleisten. Darüber hinaus
bleibt noch immer die Frage offen, wer
prüft die Richtigkeit der Zielvorgaben und
Maßgrößen im maschinellen System. Auch
Maschinen?
- Im einfachen Bereich und auch im kombinierten
Bereich schon heute denkbar
(vor allem in der Technik) und realisiert.
Im sozioökonomischen Bereich und seiner
Multidimensionalität noch kaum denkbar.
In den Betrieben teilweise denkbar. Ungelöst
an den Nahtstellen zum Markt (also
letztlich zum Menschen) bei den Faktoren,
die in einer Entscheidung ganz allgemein
als ungewiss zu bezeichnen sind.
Eines ist aber sicher anzunehmen; die heute
bestehende Funktion der internen Revision
wird - wenn es sie noch gibt - durch
ein Mensch-Maschine-System erfüllt werden,
weshalb EDV und Kybernetik zum
Rüstzeug der internen Revision der nächsten
25 Jahre gehören müssen, um in dieser
Zeit eine Revisionstechnik zu erarbeiten
und eine Revisorengeneration zu erziehen,
die dann auch den Sprung nach 2037 vorbereitet,
umso mehr als diese um 2000
schon wieder mehr weiß.
Die z w e i t e für Ihren Berufsstand bedeutungsvolle
Frage wird aber sein, ob und
wo es noch Revisionsabteilungen gibt, in
denen es als kreativer Mensch Freude
macht zu arbeiten auch in einem Mensch-
Maschine-System auf optimal erarbeiteten
kybernetischen Grundlagen.
Was sicherlich erwartet werden kann, ist
die Erhöhung des Bedarfes an Revision
höherer Ordnung (alles was die vollintegrierten
und maschinellen Regelkreise nicht
können), und die Verlagerung der Schwerpunkte
von der internen Revision der Unternehmen
nach den Institutionen der öffentlichen
Versorgungswirtschaft. Innerhalb
der Wirtschaft wird der Bedarf an
Revision in der Industrie zurückgehen (relativ),
der Bedarf aber im stärker wachsen-
________________________________________________ Seite
19

AUDIT
V vJOURNAL
den Dienstleistungssektor zunehmen. Abgeleitet
kann diese Überlegung davon
werden, dass erstens der Anteil der öffentlichen
Versorgungswirtschaften (Infrastrukturleistungen
des Staates, der Länder
und Gemeinden) am Gesamtvolumen der
Produktion und Verteilung von Leistungen
ständig zunimmt und dass zweitens innerhalb
der Wirtschaft, die nicht im Orbit der
öffentlichen Verwaltung liegt, der Dienstleistungssektor
viel stärker wächst, als die
Industrie. Daraus kann der Schluss gezogen
werden, dass Einrichtungen wie der Rechnungshof
und die Kontrollämter der öffentlichen
Körperschaften vor progressiv steigenden
Aufgaben stehen werden und dass
in den Unternehmen, wie immer die auch
aussehen werden, des tertiären Sektors
(also Handel, Banken, Versicherungen,
Transport, Freizeitgestaltung), die noch
dazu ebenfalls Konzentrationstendenzen
aufweisen, die Revisionsfunktion an Bedeutung
gewinnt. Hier werden aber die neu
aufzubauenden Revisionen bereits - hoffentlich
zumindest - ein anderes Bild tragen,
da sie bereits die neuesten Erkenntnisse
über die steuerungstechnische Zusammenarbeit
von Mensch und Maschine
anwenden können.
Eine der wichtigsten Veränderungen der
Stellung der Revisionsabteilungen vor allem
im Bereiche des operational auditing
kommt aber meines Erachtens nicht aus
einer Änderung, oder Verminderung der
Revisionsfunktion - ausgeübt durch den
Menschen selbst - sondern aus der Führungsphilosophie,
aus dem Fortschritt der
Aus- und Weiterbildung der in der Verwaltung
und Wirtschaft tätigen Menschen, aus
den Managementtechniken und aus der
Entwicklung des Angebotes an Menschen,
die für die Führungsaufgaben und höheren
Planungs- und Organisations- sowie Revisionsaufgaben
zur Verfügung stehen werden.
Und dies dürfte ziemlich losgelöst
davon sein, wie die Leistungsträger (die
Leistungsgemeinschaften, aussehen und
wem sie gehören und ob wir sie dann noch
Unternehmen, öffentliche Betriebe und
Verwaltungen nennen, oder ob es sich
dann nur mehr um volkseigene Betriebe,
Kommunen, Kibbuzim usw. handelt.
Die Detailfragen, die sich daraus ergeben,
könnten möglicherweise sein:
a) Wird man die Revision im Bereich
des operational auditing als Institution
nicht mehr zugunsten der
Verbesserung der Planung und
Systemorganisation zurücksetzen?
Alles, was nicht durch Planung, Systemanalyse,
maschinelle Regelkreise
u.ä. automatisch erfasst wird, wird als
quantité negligeable behandelt oder,
auch noch regelbar gemacht. Die
Grenze könnte eine fatale sein: das
nicht auf die Maschine zu legen, was
nicht häufig genug anfällt, um wirtschaftlich
vertretbar automatisiert zu
werden (gleichgültig, ob es sich dabei
um eine einfache Revisionsleistung
handelt oder um eine höhere Ordnung,
die den schöpferischen Menschen erfordert).
b) Wird man die Revision als Abteilung
nicht wieder in die Diskussion
um den autoritären Führungsstil
verstricken, der noch eine "Polizei"
'benötigt.
Könnte nicht jemand auf die Idee
kommen zu sagen, es sei wirtschaftlicher,
bessere Systemorganisation zu
betreiben, bessere Managementtechniken
(z.B. by objectives) anzuwenden
oder die Menschen in den
Projektteams der Zukunft besser auszubilden
- zu mehr Verantwortung erziehen,
als Revisionsabteilungen zu unterhalten
c) Werden im Hinblick auf die ungeheure
Innovationsgeschwindigkeit
in Technik und Wirtschaft und in
Seite
20 ________________________________________________

AUDIT
V vJOURNAL
der Verwaltung und die Notwendigkeit
die Leistungsträger (Betriebe
etc.) auf dem jeweils
schnellsten Weg anzupassen, die
Abteilungen für Systemorganisation
nicht zwangsläufig das
Übergewicht bei der kritischen
Analyse bekommen und die Revisionsfunktion
auf Bilanz- und Deliktrevision
zurückgebracht?
Oder liegt in dieser Frage auch schon
die Antwort bezüglich der Arbeitsabgrenzung
(Systemanalyse - Analyse der
wirtschaftlichen Gebarung, wo diese
2037 nicht bereits aus integrierten Managementsystemen
hervorgeht, die auf
Computer, direct acces und Video-
Geräten im täglichen Gebrauch durch
das top-management basieren oder wo
der Mensch direkt an den Computer
geschaltet ist - wird auch schon vorausgesagt).
d) Werden bei der zu erwartenden
Priorität der laufenden Systemund
Organisationsanpassungen und
deren saugenden Wirkung auf alle
Spezialisten der Informatik für die
Revision noch Mitarbeiter gewonnen
werden, die für die kritische
Analyse im wirtschaftlichen Bereich
notwendig sind und die ebenfalls
informationstechnisch (kybernetisch)
geschult sein müssen,
wenn es nicht aus dieser Erscheinung
allein zur Abwertung der Revision
kommen soll.
Sie sehen - eine Fülle von Fragen, die jeweils
für sich einen Vortrag oder vielleicht
sogar ein Buch füllen könnten. Hoffentlich
habe ich Sie mit der einen oder anderen
Frage beunruhigt oder erschreckt. Als Revisionschefs
werden Sie sicherlich meine
Meinung teilen, dass man sich selbst und
seine Funktion manchmal in Frage stellen
muss.
Abklärung des eigenen Standortes, Diskussionen
mit anderen Disziplinen und Überzeugungskraft
dem Management gegenüber
müssten heute bereits die geistige
Atmosphäre schaffen, um die nächste Revisorengeneration
fachlich und menschlich
vorzubereiten, denn es ist nur mehr eine
Generation, die uns von 2037 trennt.
________________________________________________ Seite
21

AUDIT
V vJOURNAL
Seminarangebot 1. Quartal 2003
Die neuen Standards für die brufliche Praxis der Interne Revision – Ü-
bersicht über Änderungen und Neuigkeiten, Vorstellung möglicher Umsetzung
in der praktischen Arbeit
Wien, 27.02.2003
Das Interne Kontrollsystem (IKS) im Gesamtunternehmen – Von den
Grundlagen bis zum e- commerce
Wien, 17.-18.03.2003
Risk Management als Prüffeld
Wien, 25.-26.03.2003
Revision des Rechnungswesens
Wien, 19.-20.03.2003
Revision von Tochter- und Beteiligungsgesellschaften
Wien, 27.03.2003
Einführung in die DV-Revision
Wien, 25.-26.2.2003
IT-Governance – Messung, Steuerung und Kontrolle von IT-Prozessen
unter Berücksichtigung aktueller Standards
Wien, 06.03.2003
Seite
22 ________________________________________________