Ausgabe 2002.4 [PDF, 486.8 KB] - Institut für Interne Revision ...
Ausgabe 2002.4 [PDF, 486.8 KB] - Institut für Interne Revision ...
Ausgabe 2002.4 [PDF, 486.8 KB] - Institut für Interne Revision ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
AUDIT<br />
V vJOURNAL<br />
Our day has come!<br />
(Mag. Norbert Wagner)<br />
Our day has come! Mit diesen Worten beginnt William G. Bishop, IIA President, sein Communiqué im<br />
IIA Leaders Link vom Dezember 2002. Er meint damit, dass sich mehr als jemals zuvor, das Management<br />
und das board ihrer <strong>Interne</strong>n <strong>Revision</strong> bedienen und deren Rat und Lösungsvorschläge zu Nutze<br />
machen. Manager schätzen immer mehr ihre Revisoren und Revisorinnen und setzen sie verstärkt ein<br />
in den Bereichen Sicherheit (assurance), Ordnungsmäßigkeit, Überprüfung des <strong>Interne</strong>n Kontrollsystems<br />
und Berichtswesen. Und, so führt er weiter aus, dass vor allem der Begriff des <strong>Interne</strong>n Kontrollsystems,<br />
der über lange Zeit eher als ein rätselhafter, mysteriöser angesehen wurde, nunmehr<br />
schlagartig ein Begriff geworden ist, der in den täglichen Sprachgebrauch Eingang gefunden hat.<br />
Obwohl dieser Wechsel natürlich vor allem das Resultat einiger dramatischer Ereignisse in der Governance<br />
großer Unternehmen bzw. gravierender Betrugsfälle ist, ist es doch <strong>für</strong> die <strong>Interne</strong> <strong>Revision</strong> ein<br />
wesentlicher Faktor, dass über die Arbeit, Leistung und Bedeutung der <strong>Interne</strong>n <strong>Revision</strong> intensiv<br />
gesprochen wird – our story is being told – sagt William G. Bishop dazu.<br />
Auch Österreich hatte in der Vergangenheit manch - kleine – Enron’s und WorldCom’s. Als eines der<br />
letzten Länder der Europäischen Union hat nunmehr auch Österreich – seit 2. Oktober 2002 – seinen<br />
Code of Corporate Governance. Im Punkt 18 ist darin unter anderem verankert, dass „in Abhängigkeit<br />
von der Größe des Unternehmens eine interne <strong>Revision</strong> als eigene Stabstelle des Vorstandes einzurichten<br />
ist“. Der Austrian Code of Corporate Governance ist abrufbar unter www.oevfa.at oder<br />
www.iwp.or.at.<br />
Dieser Code richtet sich vorrangig an österreichische börsennotierte Aktiengesellschaften. Grundlage<br />
sind die Vorschriften des österreichischen Aktien-, Börse- und Kapitalmarktrechts, sowie in ihren<br />
Grundsätzen die OECD-Richtlinien <strong>für</strong> Corporate Governance. Es wird empfohlen, dass sich auch<br />
nichtbörsennotierte Aktiengesellschaften daran orientieren, soweit die Regeln auf diese anwendbar<br />
sind.<br />
Der Kodex verfolgt das Ziel einer verantwortlichen, auf nachhaltige und langfristige Wertschaffung<br />
ausgerichteten Leitung und Kontrolle von Gesellschaften und Konzernen. Mit dem Kodex wird ein<br />
hohes Maß an Transparenz <strong>für</strong> alle Stakeholder des Unternehmens erreicht. Geltung erlangt der Österreichische<br />
Corporate Governance Kodex durch freiwillige Selbstverpflichtung der Unternehmen zu<br />
den Grundsätzen in der jeweils vorliegenden Fassung.<br />
Der Code beinhaltet gesetzesausfüllende bzw. –ergänzende Regelungen einer ordentlichen<br />
Unternehmensführung bzw. –überwachung. Die Einhaltung bzw. Nichteinhaltung von Code-Grundsätzen<br />
ist vom Unternehmen jährlich im Geschäftsbericht zu veröffentlichen (sog.<br />
C-Regelungen = „comply or explain“).<br />
Auch die EU beschäftigt sich intensiv mit dem Thema Corporate Governance Codes. Im heurigen<br />
Frühjahr wurden von den Kommissionsdienststellen die vergleichende Studie von Corporate Governance<br />
Codes, die <strong>für</strong> die Europäische Union und ihre Mitgliedsstaaten von Bedeutung sind, vorgestellt.<br />
Die Studie ist von der Internationalen Kanzlei Weil, Gotshal & Manges LLP in Zusammenarbeit mit der<br />
European Association of Securities Dealers und dem European Corporate Governance Network erstellt<br />
worden.<br />
Die Studie listet die unterschiedlichen Corporate Governance Codes auf, die Einfluss auf die Art und<br />
Weise haben können, wie Unternehmen in Europa geführt und kontrolliert werden. Sie vergleicht die<br />
verschiedenen Corporate Governance Regelungen der Codes und legt deren wesentliche Ähnlichkeiten<br />
und Unterschiede dar. Weiter geht sie darauf ein, in welcher Art und Weise die Durchsetzbarkeit<br />
Seite<br />
2 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
der Regelungen der Codes organisiert ist, und befasst sich mit den zu erwartenden Entwicklungen auf<br />
dem Gebiet der Corporate Governance.<br />
Die Studie wird der hochrangigen Gruppe von Experten auf dem Gebiet des Gesellschaftsrechts ü-<br />
bergeben werden. Diese Expertengruppe ist im September 2001 mit dem Ziel eingesetzt worden,<br />
den Rahmen <strong>für</strong> ein modernes europäisches Gesellschaftsrecht (einschließlich Corporate Governance)<br />
abzustecken, das hinreichend flexibel und zeitgemäß ist, um den Bedürfnissen der Unternehmen zu<br />
entsprechen. Nähere Informationen bzw. die Studie sind zu finden unter<br />
http://europa.eu.int/comm/internal_market/de/company/company/news.<br />
Die im Zuge der Vorfälle in den USA ausgelösten Diskussionen zum Thema Governance führten auch<br />
zu der klaren Aussage und „Recommendation“ des IIA, wonach „Companies should establish and<br />
maintain an independent, adequately resourced and competently staffed internal audit function. If<br />
none, the board should disclose why not in the annual report.”<br />
Aus der gemeinsamen Arbeit des IIA mit der New York Stock Exchange stammen unter anderem die<br />
nachstehenden Änderungsvorschläge der NYSE:<br />
• Increasing the role and authority of independent directors<br />
• Tightening the definition of “independent” director and adding new audit committee<br />
qualification requirements<br />
• Expectation that companies will have internal auditing functions<br />
• Fostering a focus on good corporate governance<br />
• Giving shareholders more opportunity to monitor and participate in the governance of their<br />
companies<br />
• Establishing new control and enforcement mechanisms<br />
• Improving the education and training of directors<br />
Beim Treffen des Internal Auditing Standards Board in Prag im Oktober 2002 wurden auch Standards<br />
zur Thematik Corporate Governance diskutiert, womit die Rolle der <strong>Interne</strong>n <strong>Revision</strong> als key player<br />
in diesem Bereich verstärkt werden soll. Es ist geplant, beim Dezember-Meeting eine Endfassung dazu<br />
zu verabschieden.<br />
Intensiv erwähnt und diskutiert wird seit Sommer auch der sog. „Sarbanes-Oxley-Act“. Dieses neue<br />
Gesetz hat den amerikanischen Kongress im Juli 2002 passiert. Mit dieser Gesetzgebung werden in<br />
den USA „public companies“ und deren Executives, Direktoren, Revisoren, Wirtschaftsprüfer, Anwälte,<br />
Analysten, etc. neue Pflichten auferlegt. Der Sarbanes-Oxley-Act schafft ein neues Regulativ <strong>für</strong> die<br />
Tätigkeit der <strong>Interne</strong>n <strong>Revision</strong> und setzt neue Standards <strong>für</strong> die Unabhängigkeit der <strong>Interne</strong>n <strong>Revision</strong>.<br />
Nähere Informationen sowie den Sarbanes-Oxley-Act finden Sie unter www.sarbanesoxleyact.com.<br />
Nach diesem globalen Überblick nun zu unserem <strong>Institut</strong> <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong>. Was hat sich hier heuer<br />
getan?<br />
Am Beginn des Jahres 2002 stand die erste Audit Competence Konferenz mit einer überwältigenden<br />
Teilnahme und einem großartigen Erfolg. Die Jahrestagung in Pörtschach am Wörthersee und zwei<br />
Erfa’s – bei der UNIQA-Versicherung und im Siemens-Forum – waren weitere Highlights des heurigen<br />
Jahres.<br />
Im organisatorischen Bereich gab es vor allem die Umbenennung der bewährten Arbeitsgemeinschaft<br />
<strong>Interne</strong> <strong>Revision</strong> in das <strong>Institut</strong> <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> Österreich, was auch international sehr positiv<br />
aufgenommen wurde. Das bisherige österreichische <strong>Institut</strong> <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> wurde in Akademie<br />
________________________________________________ Seite<br />
3
AUDIT<br />
V vJOURNAL<br />
<strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> geändert und wird den Schwerpunkt auf der CIA-Ausbildung haben. Eine weitere<br />
wesentliche Arbeit des heurigen Jahres war die Neugestaltung unserer hompage<br />
www.internerevision.at, vor allem mit einer nun neugeschaffenen members-only-Site. Der Aufwand<br />
da<strong>für</strong> war erheblich, deswegen dauerte es auch länger, als wir ursprünglich angenommen hatten.<br />
Der nächste Schritt im <strong>Institut</strong> ist nunmehr die bereits angekündigte Anpassung der Mitgliederstruktur<br />
und –beiträge. Sowohl bei der Überarbeitung der Statuten als auch bei einigen neuen Mitgliederansuchen<br />
zeigten sich Probleme, die wir nunmehr bereinigen wollen. Wir wollen diesen Änderungsprozess<br />
im Vorstand vorbereiten, dann mit allen Interessierten diskutieren und bei der nächsten Jahrestagung<br />
bzw. Mitgliederversammlung Mai 2003 in Graz vorlegen bzw. beschliessen lassen.<br />
Eine entsprechende Einladung zur Diskussion – die wir <strong>für</strong> Februar 2003 geplant haben – wird rechtzeitig<br />
auf unserer homepage verlautbart werden. Der Vorstand freut sich auf Ihre intensive Mitarbeit.<br />
Nun bleibt mir noch, Ihnen und Ihren Familien im Namen des Vorstandes des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong><br />
<strong>Revision</strong> Österreich ein frohes und glückliches Weihnachtsfest und ein gesundes und erfolgreiches Jahr<br />
2003 zu wünschen.<br />
Von Bits und Bytes oder anders ausgedrückt,<br />
ein kleiner Rückblick auf das letzte Erfa<br />
(Mag. Eva Weiszgerber)<br />
Die regelmäßige Veranstaltung von Erfahrungsaustauschtreffen,<br />
sog. ERFA's ist wesentlicher<br />
Bestandteil des zwischen den einzelnen<br />
Mitgliedern des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong><br />
stattfindenden Informationsaustausches.<br />
Das heurige Herbst-ERFA wurde vom EDV-<br />
Arbeitskreis veranstaltet und fand über Einladung<br />
der Firma Siemens im Siemens Form in<br />
Wien statt. An dieser Stelle herzlichen Dank an<br />
alle Beteiligten <strong>für</strong> die Vorbereitung dieser<br />
Veranstaltung, die unter dem Titel "Risikopotentiale<br />
als Prüfungsansätze aus Sicht der<br />
DV-<strong>Revision</strong>" stand und herzlichen Dank auch<br />
an die Firma Siemens <strong>für</strong> die ausgezeichnete<br />
Bewirtung und das zur Verfügung stellen der<br />
schönen Räumlichkeiten.<br />
Mehr als 100 Anmeldungen zeigten deutlich<br />
das Interesse der Mitglieder des IIA Austria an<br />
diesem Themenbereich.<br />
In seiner Begrüßung informierte Hausherr GD<br />
DI Albert Hochleitner über Daten und Fakten<br />
der Siemens AG und unterstrich die strategische<br />
Bedeutung der <strong>Revision</strong> in der Siemens<br />
Gruppe.<br />
Nach einer Einleitung vom Leiter des EDV-<br />
Arbeitskreises Mag. Thomas Goldstein, begann<br />
die Reihe der Vorträge mit Hrn. Ronald<br />
Bron, der das "Spannungsfeld Sicherheit" näher<br />
betrachtete. Ausgehend von einer Sicherheitspyramide<br />
wies er darauf hin, dass Sicherheit<br />
Teil der Unternehmensstrategie sein muss<br />
und dass immer noch der Mensch die<br />
Schwachstelle im System darstellt. Ein Vorgehensmodell<br />
zur Risikoanalyse und ein diesbezüglicher<br />
Fragenkatalog rundeten das Bild ab.<br />
Anschließend widmete sich Dr. Michael<br />
Schirmbrand den "Gesetzen und Standards<br />
<strong>für</strong> IT-Prüfer/-Revisoren". Gerade im IT-<br />
Bereich gibt es sehr viele gesetzliche Aufträge,<br />
Verordnungen, Vorgaben, Fachgutachten etc.,<br />
die zum Teil nicht in das Bewusstsein aller<br />
gedrungen sind. Das war deutlich an einzelnen<br />
Gesichtern im Auditorium zu erkennen. Zusätzlich<br />
wurde das Cobit-Modell als Rahmen<br />
<strong>für</strong> die Steuerung der Prozesse dargestellt und<br />
festgehalten, dass eine IT-Prüfeinheit aus zumindest<br />
5 Mitarbeiter/Mitarbeiterinnen bestehen<br />
müsste und Hinweise <strong>für</strong> deren erforderliche<br />
Qualifikation gegeben.<br />
Seite<br />
4 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
Mit Ing. Gerhard Hackl erfolgte zuerst ein<br />
virtueller Rundgang durch ein Rechenzentrum.<br />
Allein die Darstellung aller Risikopotentiale,<br />
sowohl technischer, als auch organisatorischer<br />
oder personeller Natur, ließ schon einen Teil<br />
des Publikums blass werden und heftig über<br />
die Situation im eigenen Hause nachdenken.<br />
Wesentliche Feststellung war, dass die Sicherheit<br />
in den Köpfen der Mitarbeiter/Mitarbeiterinnen<br />
beginnt und sich hier ein<br />
wirkungsvoller Ansatzpunkt <strong>für</strong> den Ausschluss<br />
bzw. Minimierung von Risiko ergibt.<br />
Als nächster Programmpunkt stand ein ausgezeichnetes<br />
Mittagsbuffet auf der Tagesordnung<br />
der Veranstaltung, das von der Firma Siemens<br />
zur Verfügung gestellt wurde. Die Pause konnte<br />
zur Besichtigung des Siemens Forums, das<br />
auch ein Museum beheimatet, genützt werden.<br />
Es gab viele Geräte zu entdecken, die man<br />
vielleicht selbst noch aus der Jugendzeit in<br />
Erinnerung hat bzw. die jüngeren unter uns<br />
noch bei ihren Großeltern oder Eltern gesehen<br />
haben. In diesem Sinne war die Pause fast zu<br />
kurz, da schon das nächste Referat begann.<br />
Ing. Manfred Scholz berichtete über die "Betriebssysteme<br />
Win95/Win98/NT/2000/XP".<br />
Nach einer Gegenüberstellung der unterschiedlichen<br />
Einschätzung der Faktoren Vertraulichkeit,<br />
Integrität und Verfügbarkeit durch<br />
die IT und die <strong>Revision</strong> fanden zwei beeindruckende<br />
Demonstrationen statt, wie schnell<br />
und einfach es gelingen kann, Informationen<br />
über das Netzwerk abzurufen, Auswertungen<br />
über Benützer einer Domäne zu erhalten und<br />
(<strong>für</strong> Administratoren) Passwörter der Benützer<br />
zu entschlüsseln. Dazu bedarf es nicht einmal<br />
einer eigenen Spezialsoftware. Wichtiger Hinweis<br />
des Referenten war, jedenfalls vor dem<br />
Ausprobieren in der eigenen Firmenapplikation<br />
Kontakt mit der EDV-Abteilung herzustellen,<br />
da ansonsten auch der <strong>Revision</strong> massiver Ärger<br />
droht.<br />
Mit dem nächsten Thema, "SAP als Beispiel <strong>für</strong><br />
eine Standardapplikation" fesselte Hr. Erwin<br />
Horvath das Interesse des Publikums. Sein<br />
Vortrag war geteilt in die Bereiche Prüfen von<br />
SAP und Prüfen mit SAP. Wertvolle Tipps gab<br />
es zu Prüfungsleitfäden, Prüfungssoftware und<br />
Seminarveranstaltern. SAP wird bereits in so<br />
vielen Unternehmen, Organisationen und <strong>Institut</strong>ionen<br />
eingesetzt, dass fast alle Anwesenden<br />
damit schon (erste) Erfahrungen, sei es bei der<br />
Vorbereitung von eigenen <strong>Revision</strong>en oder bei<br />
der <strong>Revision</strong> von SAP gesammelt haben.<br />
Als letzter Vortragender beschäftigte sich Hr.<br />
Rene Schametz mit der "Steuerung eines IT-<br />
Netzwerkes". Als wesentliche Inhalte eines<br />
Netzwerk-Managements sind Fehler-, Konfigurations-,<br />
Sicherheits-, Leistungs- und Abrechnungsmanagement<br />
zu benennen.<br />
Danach bestand noch die Möglichkeit zur Diskussion.<br />
Den Abschluss der Veranstaltung bildeten<br />
die Hinweise des Vorsitzenden des Vorstands<br />
des IIA Austria, Mag. Norbert Wagner,<br />
der die geplanten Veranstaltungen des nächsten<br />
Jahres (Erfas, Jahrestagung, Mitgliederversammlung)<br />
ankündigte und alle Mitglieder zur<br />
Mitarbeit und Meinungsbildung einlud.<br />
Freuen wir uns also auf weitere spannende<br />
Veranstaltungen, die sowohl dem Informationsaustausch,<br />
aber auch dem gegenseitigen<br />
Kennenlernen der Mitglieder dienen sollen.<br />
Um die Unterlagen zu den einzelnen Referaten<br />
nachlesen zu können, hat das <strong>Institut</strong> <strong>für</strong> <strong>Interne</strong><br />
<strong>Revision</strong> heuer erstmalig nicht eine papierene<br />
Zusammenstellung den Mitgliedern ü-<br />
bermittelt, sondern die Informationen auf einer<br />
CD-Rom festgehalten. Diese müsste in der<br />
Zwischenzeit schon bei Ihnen eingelangt sein.<br />
________________________________________________ Seite<br />
5
AUDIT<br />
V vJOURNAL<br />
Die neue homepage des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> Österreich<br />
www.<strong>Interne</strong><strong>Revision</strong>.at<br />
(Mag. Klaus Wöhry, CIA)<br />
Hauptnavigation<br />
Subnavigation<br />
Content<br />
Members only<br />
Mit Ende dieses Jahres wird die bekannte homepage der Arbeitgemeinschaft <strong>Interne</strong> <strong>Revision</strong><br />
(www.arge-ir.at) eingestellt und durch die neue homepage des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> Österreich<br />
(www.<strong>Interne</strong><strong>Revision</strong>.at) ersetzt.<br />
Diese Änderung wurde einerseits durch die Änderung des Vereinsnamens, aber noch viel mehr durch<br />
die technische Entwicklung notwendig. War die „alte“ homepage noch gekennzeichnet von starren<br />
Bildern, die aufgerufen werden konnten, so ist die neue homepage geprägt von hoher Funktionalität<br />
bei klaren Stukturen und hoher Professionalität.<br />
Grundlegender Unterschied neben den technischen Verbesserungen ist auch die Teilung in einen<br />
„public-Bereich“, der jedem <strong>Interne</strong>t-user zugänglich ist und in den „members only –Bereich“, der<br />
ausschließlich den Mitgliedern des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> Österreich vorbehalten ist.<br />
Ruft man die homepage unter www.<strong>Interne</strong><strong>Revision</strong>.at so gelangt man über eine animiertes Intro zum<br />
public-Bereich und zum Hauptmenü. Aufbau und Inhalte dieses Hauptmenüs wurden einerseits von<br />
der „alten“ homepage übernommen, aber auch durch Neuerungen ergänzt, bzw. klarer zugeordnet.<br />
Die Navigationsleisten befinden sich nun horizontal unter unserem Vereinsnamen. Die ausgewählten<br />
Schlagworte bzw. Bereiche werden orange/ocker hervorgehoben.<br />
Der Zugang zur members only – Bereich erfolgt über die spezielle Leiste am unteren Ende der Seite.<br />
Für den Zugang erhält jedes Mitglied eine eigene user-id und das dazugehörige Passwort, welches<br />
nach dem ersten Aufruf automatisch geändert werden muss. Diese werden Ihnen zusammen mit den<br />
notwendigen zusätzlichen Informationen und Anleitungen im Dezember übermittelt.<br />
Seite<br />
6 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
Zur Orientierung und auch zum Wecken Ihres Interesses sind hier die Hauptnavigationsstrukturen des<br />
public und des members only-Bereiches mit einigen Hinweisen auf Neuerungen angeführt:<br />
www.internerevision.at - public<br />
Hauptnavigation<br />
Subnavigation1<br />
Was ist das IIR Österreich<br />
Internationale Zusammenarbeit<br />
das <strong>Institut</strong><br />
Vorstand<br />
Arbeitskreise<br />
Beitrittserklärung<br />
die <strong>Interne</strong> <strong>Revision</strong><br />
Professional Practices Framework<br />
Aus- und Weiterbildung<br />
CIA<br />
Literatur<br />
International<br />
Termine<br />
Contact<br />
Definition<br />
Standards<br />
Code of Ethics<br />
Practice Advisories<br />
Akademie <strong>Interne</strong> <strong>Revision</strong><br />
Seminarprogramm<br />
Organisatorische Hinweise<br />
Information<br />
Prüfungsordnung<br />
Weiterbildungsnachweis<br />
Erläuterungen und Anmeldung<br />
Liste aktiver CIAs in Österreich<br />
Audit Journal<br />
Literatur im www<br />
Bücher<br />
Web Sites der Nationalen <strong>Revision</strong>sinstitute<br />
Europa: Die wichtigsten <strong>Interne</strong>t-Adressen<br />
Der public Bereich entspricht großteils der<br />
alten homepage.<br />
In diesem Teil stehen aber jetzt die<br />
Nichtmitglieder im Vordergrund und hier<br />
im speziellen deren Information:<br />
Die Information über das <strong>Institut</strong> und dessen<br />
Leistungen, die <strong>Interne</strong> <strong>Revision</strong>, die<br />
Akademie <strong>Interne</strong> <strong>Revision</strong> mit ihren<br />
Ausbildungsmöglichkeiten bis hin zum<br />
Zertifikat (CIA), aber auch Hinweise auf<br />
interessante Literatur und auf die nächsten<br />
Termine.<br />
Die downloads wurden in diesem Bereich<br />
stark eingeschränkt und beziehen sich nur<br />
noch auf die Beitrittserklärung zum <strong>Institut</strong>,<br />
Seminaranmeldungen und speziellen<br />
Formularen zum CIA.<br />
Unter Professional Practices Framework<br />
sind hier nur entsprechende Hinweise und<br />
Informationen angeführt.<br />
Hauptnavigation Subnavigation1 Subnavigation2<br />
Mitglieder<br />
Mitgliederverzeichnis<br />
Arbeitskreise<br />
Grundsätze<br />
Jobbörse<br />
Downloads<br />
www.internerevision.at - members only<br />
Banken<br />
EDV<br />
New Auditors<br />
Privatversicherer<br />
Public Sector<br />
SAP<br />
Professional Practices Framework<br />
offene Stellen<br />
Stellensuche<br />
Logos<br />
Audit Journal<br />
Statuten<br />
Unterlagen zu Veranstaltungen<br />
Sonstiges<br />
A<br />
A<br />
A<br />
A<br />
A<br />
A<br />
Standards<br />
Code of Ethics<br />
Practice Advisories<br />
<strong>Institut</strong> mit Text<br />
IIA-Austria<br />
2002<br />
2001<br />
Archiv<br />
ERFAs<br />
Jahrestagungen<br />
Subnavigation 2 Subnavigation 3<br />
Information<br />
Subnavigation 4<br />
Teilnehmerkreis<br />
Arbeitskreisleiter<br />
Ziel des Arbeitskreises<br />
regelmäßige Treffen<br />
Veranstaltungen<br />
A<br />
ERFAs<br />
Eigene Veröffentlichungen<br />
Inhalte<br />
Downloads<br />
links<br />
Contact<br />
Dieser Bereich ist der<br />
eigentliche Fortschritt, denn<br />
wir schafften damit den<br />
Übergang von der reinen<br />
Informationshomepage hin<br />
zu einer homepage, die<br />
auch aktiv genutzt werden<br />
kann.<br />
Hier bietet das <strong>Institut</strong> nun<br />
eine Vielzahl von<br />
Informationen, Downloads<br />
und Serviceleistungen.<br />
Diese Serviceleistungen und<br />
Funktionalitäten müssen,<br />
um entsprechend zu<br />
wirken, natürlich auch<br />
entsprechend genutzt und<br />
vorangetrieben werden. Die<br />
da<strong>für</strong> notwendige Plattform<br />
haben wir geschaffen, was<br />
daraus letztendlich wirklich<br />
wird hängt von uns allen ab.<br />
________________________________________________ Seite<br />
7
AUDIT<br />
V vJOURNAL<br />
Internal Auditing Standards Board<br />
- Ein erster Erfahrungsbericht<br />
(Günther Meggeneder; CIA)<br />
Seit Juni diesen Jahres habe ich die Aufgabe, im<br />
Internal Auditing Standards Board des IIA mitzuwirken<br />
und so die Weiterentwicklung der Standards<br />
<strong>für</strong> die <strong>Interne</strong> <strong>Revision</strong> mit zu gestalten.<br />
Der Internal Auditing Standards Board (IASB) ist<br />
eines von 12 internationalen Komitees, die durch<br />
das <strong>Institut</strong>e of Internal Auditors eingesetzt wurden<br />
(nähere Informationen auf www.theiia.org).<br />
Die Mitglieder des Standards Board in seiner<br />
aktuellen Zusammensetzung kommen aus 11<br />
Nationen und aus unterschiedlichen Branchen.<br />
Die Board-Meetings finden zwei bis drei Mal<br />
jährlich statt.<br />
Um die Mitglieder des <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong><br />
Österreich über die Neuigkeiten aus der<br />
Arbeit des Standard Bords aus erster Hand zu<br />
informieren, wird es jährlich mindestens einen<br />
Bericht über die Entwicklungen im Bereich der<br />
Standards der <strong>Interne</strong>n <strong>Revision</strong> geben.<br />
Die Arbeit der beiden bisher im heurigen Jahr<br />
abgehaltenen Meetings wurde durch die Vorkommnisse<br />
im amerikanischen Wirtschaftsbereich<br />
(Enron, WorldCom) stark beeinflusst. So<br />
wurde der Bereich der beratenden Tätigkeit der<br />
<strong>Interne</strong>n <strong>Revision</strong> neu hinterfragt und klargestellt,<br />
dass die Prüfungs- (assurance) -tätigkeit der internen<br />
<strong>Revision</strong> immer im Vordergrund stehen<br />
muss, um die entsprechende Sicherheit über das<br />
Funktionieren der Risikomanagement- und Kontrollsysteme<br />
und des Corporate governance gewährleisten<br />
zu können.<br />
Immer wieder werden die Standards als „amerikanische“<br />
Standards bezeichnet, die internationale<br />
Geltung in Frage gestellt. Daher wurde einstimmig<br />
beschlossen, die Standards in „International<br />
Standards for the Professional Practice<br />
of Internal Auditing“ umzubenennen. Gleichzeitig<br />
sollen alle Bestimmungen in den Standards<br />
und Practice Advisories dahingehend<br />
geprüft werden, ob sie nur nationale Gültigkeit<br />
haben. Solche Passagen sollen aus den Standards<br />
und Practice Advisories herausgenommen<br />
werden, gleichzeitig ist aber eine zentrale<br />
Einrichtung und Abrufbarkeit zusätzlicher nationaler<br />
Bestimmungen (in Rang von Development<br />
& Practice Aids) auf der IIA-Homepage<br />
oder eine entsprechende Verlinkung auf nationale<br />
Homepages geplant.<br />
Speziell die Bereiche Consulting (Beratung),<br />
add value (Mehrwertschaffung) und die Rolle<br />
der <strong>Interne</strong>n <strong>Revision</strong> im Risiko-Management<br />
wurden erneut bearbeitet und entsprechende<br />
Aktualisierungen der Standards vorbereitet.<br />
Die Standards sollen aber nicht in zu kurzen<br />
Abständen geändert werden. Der Internal<br />
Auditing Standards Board hat festgelegt, dass<br />
im Normalfall alle zwei Jahre Neufassungen<br />
der Standards veröffentlicht werden sollen.<br />
Unabhängig davon soll auf eventuelle aktuelle<br />
Veränderungen (im beruflichen Umfeld)<br />
schneller reagiert werden können.<br />
Zur besseren Verbreitung der Standards und<br />
zur Unterstützung aller Revisoren bei der Implementierung<br />
der neuen Standards werden die<br />
nationalen <strong>Institut</strong>e aufgefordert, entsprechende<br />
Präsentationen und Seminare anzubieten.<br />
Die Mitglieder des Standards Board stehen<br />
da<strong>für</strong> als Vortragende zur Verfügung. Das<br />
diesbezügliche Seminar in Österreich findet am<br />
27. Februar 2003 in Wien statt (Informationen<br />
dazu in der Seminarvorschau 2003, die bereits<br />
durch die ÖAF an alle Mitglieder versandt<br />
wurde).<br />
Seite<br />
8 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
RISIKOORIENTIERTE PRÜFUNG UND RISIKOMANAGEMENT ALS AUFGABEN DER<br />
INTERNEN REVISION.<br />
von Dr. Josef Kondor<br />
Editorial<br />
Der Autor arbeitete mehr als drei Jahrzehnte in der <strong>Interne</strong>n <strong>Revision</strong> einer internationalen Firma bzw. in der<br />
Öffentlichen Verwaltung; davon ein Drittel jeweils als zuständiger Leiter <strong>für</strong> Österreich.<br />
Seit seiner Pensionierung widmet er sich verstärkt den durch Sprache und Logik gegebenen Möglichkeiten, die<br />
oft vernachlässigte ,verbale Abbildung der Wirklichkeit’ so realitätskonform wie möglich zu gestalten.<br />
Im ersten Beitrag ( AJ 9/2001) wurde ein einfaches, auf jede Art von Organisationen anwendbares Modell vorgestellt,<br />
mit dessen Hilfe Prüfungen geplant und abgewickelt werden können. Voraussetzung da<strong>für</strong> ist „lediglich“<br />
die Beachtung von Möglichkeiten und Grenzen in einzelnen Begriffen und der Sprache als Ganzes. Der<br />
zweite Beitrag (AJ6/2002) versucht, die komplexen Vorgänge im Zusammenhang mit der Enron-Pleite verursachungsgemäß<br />
aufzulösen, mit Hilfe des Modells zunächst bereits vorgelegene Empfehlungen <strong>für</strong> die Zukunft<br />
zu beurteilen und dann zu eigenen (weiteren) Schlussfolgerungen vorzustoßen.<br />
Die vorliegende dritte Abhandlung rollt die Frage auf, wie weit das vorgestellte Modell und die “Basisdefinitionen“<br />
auch dann noch „funktionieren“, wenn neue Aufgaben, Begriffe etc. verstärkt in den Blickpunkt rücken.<br />
Als Untersuchungsobjekt drängte sich das „Begriffspaket RISIKO“ auf. Nach Analyse, Definition, und Einordnung<br />
der einzelnen Begriffe gemäß Vor- und Nachrängen zeigte sich, dass solche Mutationen dem Modell<br />
nicht nur nichts anhaben können, sondern dieses Modell als Grundlage <strong>für</strong> eine optimale Implementierung sogar<br />
benötigen.<br />
Die drei Beiträge bilden ein (lose) zusammenhängendes Ganzes aus teils überlappenden teils beitragsspezifisch<br />
abgehandelten Aussagen zur Gestaltung der <strong>Revision</strong>sarbeit von der Planung über die Durchführung bis hin zum<br />
Bericht. Sie erheben (bewusst) keinen Anspruch auf Vollständigkeit. Sie sollen vielmehr den Leser, der (periodisch<br />
immer wieder) mit Sicherheit und Effizienz seiner Organisation einschlägig befasst ist, den „Weg aus (einer<br />
oft sprachlich verursachten) Komplexität“ zeigen und zu eigenen, weiterführenden Überlegungen anregen.<br />
1. Einleitung: Der Stellenwert von Risiken <strong>für</strong> die Aufgaben der <strong>Interne</strong>n <strong>Revision</strong>.<br />
Kaum eine andere Wissenschaft wie die (allgemeine) Betriebswirtschaftslehre und auch viele ihrer<br />
Spezialgebiete ist durch die realen Entwicklungen in Wirtschaft und Politik im Laufe der letzten 80<br />
Jahre so vielen Änderungen der Semantik, vor allem aber im Kern der Fachsprache selbst, unterworfen<br />
gewesen. Dazu kommen Verlagerungen und Neuerungen in der Auswahl der jeweils im Mittelpunkt<br />
stehenden Teilbereiche 1 .<br />
Diese „Sorgen“ könnten wahrscheinlich als rein akademisch abgetan werden, sofern man nicht gerade<br />
Verantwortungsträger im Rechnungswesen, in der Organisation oder eben in der (<strong>Interne</strong>n) <strong>Revision</strong><br />
ist und neben der Gewähr <strong>für</strong> sachliche Richtigkeit auch immer <strong>für</strong> verbesserte, effiziente Methoden<br />
und Hilfsmittel sorgen muss.<br />
Bei Risikoorientierung und Risikomanagement handelt es sich um signifikante Veränderungen in der<br />
Akzentuierung und in der Folge zentral in die Aufgaben der <strong>Interne</strong>n <strong>Revision</strong> eingeflossene Schwerpunkte.<br />
Dabei ist aber festzuhalten, dass beide Begriffe bzw. Begriffsinhalte nicht prinzipiell neu sind,<br />
1 Chronologie der Entwicklungen ab ca. 1920: Fortführung der handelswissenschaftlichen Publikationen, Tageswertbilanz<br />
(als Folge der Hyperinflation); Betriebswirtschaftliche Fundierung der Rechnungslegung, Lösung<br />
der Kostenrechung von der Finanzbuchhaltung; Vollkostenrechnung und Preiskalkulation (Kriegs- und Nachkriegszeit);<br />
Kennzahlensysteme und Instrumentales Rechnungswesen; Betrieb als Prozess zur Kombination von<br />
Produktionsfaktoren (Gutenberg); Plankosten und Direct Costing; Controlling; Benutzung der Informatikterminologie;<br />
Strategisches Controlling; Risikomanagement.<br />
________________________________________________ Seite<br />
9
AUDIT<br />
V vJOURNAL<br />
aber einerseits wegen der Entwicklung des wirtschaftlichen Umfeldes in Richtung Globalisierung und<br />
andererseits wegen „Abspeckens der Personalressourcen“ (Lean Management) stark an Bedeutung<br />
gewonnen haben.<br />
Betrachtet man nun die Ausformulierungen und Überlegungen zu den Begriffsinhalten in den aktuellen<br />
Beiträgen in ERFA`s und Audit Journal, so wird – zu Recht – vor allem der Beschäftigung mit dem<br />
Risikomanagement große Bedeutung beigemessen und sogar dominant eine diesbezügliche Beraterrolle<br />
herausgestrichen. Es wird aber zumeist verabsäumt festzulegen, welche Aspekte von Risiko 2 konkret<br />
abgehandelt werden. Eine korrekte Einbindung von Risikomanagement in den – in der Regel nach<br />
Organisationsbereichen ausgerichteten Prüfplan – ist ohne vorhergehende, gemeinsame Erarbeitung<br />
von Zielsetzungen und Verantwortlichkeiten durch Unternehmensführung und <strong>Interne</strong> <strong>Revision</strong> wohl<br />
nicht möglich.<br />
In den im <strong>Interne</strong>t durch das <strong>Institut</strong> dargestellten Aufgaben der <strong>Interne</strong>n <strong>Revision</strong> wird die Befassung<br />
mit Risikomanagement bereits im zweiten Absatz dominant herausgestrichen; es wird eine „anerkannte<br />
Vorgehensweise“ angeboten, wohl aber kaum automatisch jene Methoden, wie sie von damit befassten<br />
externen Unternehmensberatern angewendet werden. 3<br />
„<strong>Interne</strong> <strong>Revision</strong> unterstützt die Organisationen bei der Erreichung ihrer Ziele durch systematische,<br />
zielgerichtete und anerkannte Vorgehensweise zur Bewertung und Verbesserung<br />
der Effektivität des Risikomanagements, der Steuerung und Überwachung sowie der<br />
Prozesse in bezug auf Unternehmensverfassung und Unternehmensführung (corporate governance)“<br />
Steuerung und Überwachung sind nach allgemeinem Verständnis – unter Beachtung weiterer Unschärfen<br />
dieser Beschreibung – die vorrangigen Betätigungsfelder der <strong>Interne</strong>n <strong>Revision</strong>. Die Verwendung<br />
des Wortes Prozess <strong>für</strong> (allgemeine) Geschäftstätigkeit ist (im Deutschen) zumeist keine Bereicherung<br />
<strong>für</strong> die Prägnanz von Sachverhaltsdarstellungen. Prozesse in bezug auf Unternehmensverfassung<br />
und Unternehmensführung als Prüfobjekt der <strong>Interne</strong>n <strong>Revision</strong> anzuführen, wirft aber mit Sicherheit<br />
mehr Unklarheiten auf als dadurch beseitigt werden.<br />
Wie in dem Beitrag über „Grundfragen und Weiterentwicklung der <strong>Interne</strong>n <strong>Revision</strong>....“ dargelegt<br />
wurde, bedarf es <strong>für</strong> die Planung der Zukunft aus Gegenwart und Vergangenheit eines (Kern)-<br />
Modells, das Vergleichbarkeit und Kontinuität auch unter mitunter sehr rasch wechselnden Bedingungen<br />
gewährleistet und sicherstellt, dass kein Teil der Organisationseinheit unbeachtet durch Management,<br />
<strong>Interne</strong> <strong>Revision</strong> .. zu einer gefährlichen Schwachstelle wird.<br />
Für die Wirklichkeitsnähe eines Modells gilt aber auch, dass es immer nur vorläufige Annahmen, der<br />
Wahrheit jeweils nur angenäherte 'Antizipationen' sein können, da eine empirische Verifikation des<br />
Modells, ein Zurückführen einer allgemeinen Wirklichkeitsaussage wie „Gebäude von Mitteln <strong>für</strong> Ziele“<br />
auf besondere oder bestimmte Erfahrungsgrundsätze (Induktion) aus einer (jetzt) gegebenen Realsituation<br />
nicht (umfassend) zu begründen ist. Der letzte Halbsatz ist besonders zu berücksichtigen, da<br />
er die Kriterien <strong>für</strong> die Gültigkeit eines theoretisch unterlegten Modells <strong>für</strong> die Praxis von jenen auf<br />
Anspruch auf Wissenschaftlichkeit unterscheidet. Praktische Modelle können aber jederzeit endgültig<br />
an neuer Erfahrung scheitern; 4 um den Status einer wissenschaftlichen Theorie beanspruchen zu können,<br />
muss die Möglichkeit des Scheiterns sofort logisch begründbar sein.<br />
2 Somit also sowohl die Definition von Risiko als auch von Risikomanagement<br />
3 Ob allerdings die „Grundausbildung“ des Revisors speziell <strong>für</strong> die Evaluierung der Risiken aus dem wirtschaftlichen<br />
Umfeld der Organisation ausreicht, muss vorerst einmal bezweifelt werden.<br />
4 Sir Karl Popper: The Logic of Scientific Discovery. (Deutsch: Logik der Forschung) Hutchinson, London,<br />
New York 1959, zitiert gem. <strong>Interne</strong>t.<br />
Seite<br />
10 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
Je nach Aussagekraft und Flexibilität des jeweiligen, der <strong>Revision</strong>sarbeit (von der Planung bis zum<br />
Bericht) zugrundeliegenden Modells, besteht die Möglichkeit einer Beibehaltung über viele Jahre,<br />
eben so lange wie es nicht falsifiziert werden kann 4 .<br />
Durch Beachtung der Vor- und Nachränge 5 in dem der Tätigkeit der <strong>Interne</strong>n <strong>Revision</strong> zugrunde<br />
gelegten Modell – Prüfung der nach dem Prinzip der <strong>Interne</strong>n Kontrolle <strong>für</strong> die Zielerreichung ausgerichteten<br />
Strukturen und Abläufe einer Organisation 6 - wird in der Folge untersucht, ob (neue) Schwerpunkte<br />
wie Risikoorientierung und Risikomanagement ihrem Stellenwert entsprechend eingeordnet werden<br />
können, ohne das Modell selbst zu verändern.<br />
2. Begriffsdefinitionen<br />
2.1 Risiko und Chance<br />
Die meist verwendete Definition ist wohl die statistisch-mathematische Erklärung als Produkt aus<br />
Eintrittswahrscheinlichkeit und dem Ausmaß des Ereignisses.<br />
R ... Risiko<br />
P ... Eintrittswahrscheinlichkeit<br />
A ... Quantifiziertes Ausmaß des Ereignisses<br />
R = P * A<br />
Umgangssprachlich wird zumeist in Wirtschaft und Politik (und einschlägigen Publikationen) unter<br />
Risiko die negative Abweichung von einem erwarteten Wert eines Ereignisses verstanden.<br />
Dabei wird Risiko auch mit Bedrohung oder Gefahr gleichgesetzt und mit einem unzureichenden Informationsstand<br />
begründet.<br />
Daraus kann sehr leicht eine Verwechslung mit Bedrohung und Gefahr an sich resultieren. So<br />
stellen z.B. konzentrierte Säuren <strong>für</strong> den Verwender eine ernste Gefahr von Verletzungen dar,<br />
wenn dieser nicht vorschriftsmäßig damit umgeht. Risiko ist die Wahrscheinlichkeit oder Chance,<br />
dass die durch die Chemikalie bestehende Gefahr zu einer Verletzung führt. Demgemäss ist<br />
konzentrierte Schwefelsäure eine gefährliche Chemikalie. Wenn jedoch mit der Schwefelsäure<br />
ordnungsgemäß hantiert wird, können die damit verbundenen Risiken sehr klein sein.<br />
Gefahren an sich sind somit selten auszuschalten, es sei denn, dass man auf diese Ressourcen zur<br />
Gänze verzichten kann. Solche Gefahren sind inhärent.<br />
Die Risiken, die sie darstellen, können jedoch durch eine Risikobewertung und in der Folge durch<br />
passende Sicherheitsmaßnahmen minimiert werden.<br />
Es können sich jedoch auch positive Abweichungen von erwarteten Werten einstellen, durch niedrigere<br />
Kosten oder durch höhere Erträge als ursprünglich angenommen. Deshalb sollten Risiken nicht<br />
von vornherein losgelöst von damit verbundenen Chancen gesehen werden.<br />
. Popper sagt selbst, dass der Wissenschaftsanspruch keine conditio sine qua non ist “it is not necessarily to hold<br />
that it is unenlightening, still less that it is meaningless,”<br />
5 vergl. Othmar Spann – Haupttheorien der Volkswirtschaftslehre, 26. Auflage, 1949......<br />
6 vergl. Audit Jorunal 3/9 2001: J. Kondor: ..Grundfragen und Weiterentwicklung der <strong>Interne</strong>n <strong>Revision</strong> <strong>für</strong><br />
die Gestaltung und Absicherung von Organisationen durch <strong>Interne</strong> Kontrolle........... S 3 ff.<br />
________________________________________________ Seite<br />
11
AUDIT<br />
V vJOURNAL<br />
• Risiko ist die Wahrscheinlichkeit, dass ein Ereignis nicht oder nicht in der erwarteten Ausprägung<br />
eintritt.<br />
• Risiko ist das Gegenteil von Sicherheit. Sicherheit wäre dann gegeben, wenn zukünftige Entwicklungen<br />
genau vorhergesagt werden könnten.<br />
• Risiken eingehen bedeutet auch Chancen haben.<br />
Nichts geschieht ohne Risiko, aber ohne Risiko geschieht auch nichts!<br />
2.2 Risikoorientierung<br />
Risikoorientierung ist keine Aktivität an sich, sondern primär eine Geisteshaltung. Um sie erfolgreich<br />
umsetzen zu können, sind eine Reihe von Vorleistungen erforderlich.<br />
Am Anfang stehen die Eruierung und Visualisierung der in der Organisation vorhandenen Risiken, um<br />
die negativen Konsequenzen <strong>für</strong> Leben, Gesundheit, Vermögen oder die Umwelt zunächst einmal zu<br />
verstehen. Für den Einsatz als Orientierungshilfe bei Entscheidungen müssen die Wahrscheinlichkeiten<br />
und die erwarteten Konsequenzen aus erkannten Risiken quantifiziert werden.<br />
Der <strong>Interne</strong> Revisor sollte risikobezogene Orientierungshilfen gleich auf mehreren Ebenen seiner Tätigkeit<br />
einsetzen:<br />
• Bei der Erstellung des (mehrjährigen) <strong>Revision</strong>splans, um so die (zumeist knappe) <strong>für</strong> Prüfungen<br />
zur Verfügung stehende Zeit optimal zu nutzen. D.h. bei einem (drei- bis fünfjährigen)<br />
Zyklus in dem alle Unternehmensbereiche geprüft werden müssen, jene Gebiete<br />
herauszufiltern, die intensiv und vor allem mehrmals geprüft werden müssen.<br />
• Bei der Bestimmung von Art und Anzahl der Stichproben im Rahmen einer speziellen<br />
Prüfung. Eine rein nur – ad random – festgelegte Anzahl von Stichproben, birgt bei Betrachtung<br />
von außen mehrere Risiken:<br />
• Die Stichprobenanzahl ist – gemessen an der Grundgesamtheit - zu klein, um mathematisch<br />
unterlegte Aussagen über deren Zustand zuzulassen.<br />
• Die willkürlich festgelegten und ohne Bezug zu fachlichen Inhalten ausgewählten Stichproben<br />
geben keinen Aufschluss über die sachlich richtige Verarbeitung komplexer Sachverhalte.<br />
Diese beginnen mit der (allgemeinen) Datenerfassung, der generellen Zulässigkeit<br />
als Geschäftsfall, der Beachtung von Begrenzungen bei der Anwendung, Berücksichtigung<br />
von Parametern in anderen Applikationen u.ä.m.; und dies sowohl in bezug auf fachliche<br />
Richtigkeit als auch Umsetzung und Finalisierung durch gesicherte EDV-<br />
Applikationen.<br />
-<br />
Der Revisor ist in der Lage, späteren Vorwürfen unzulänglicher Aufgabenerfüllung durch eine klare<br />
Festlegung von Aufgaben und Zielen in Abstimmung mit allfälligen gesetzlichen oder vertraglichen<br />
Erfordernissen ins <strong>Revision</strong>sstatut zu vermeiden. Einander widersprechende oder aufgrund der verfügbaren<br />
Zeit nicht realisierbare Zielsetzungen würden somit erst gar nicht in die <strong>Revision</strong>sordnung<br />
aufgenommen werden.<br />
Seite<br />
12 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
2.3 Risikomanagement<br />
Schon seit dem Eintritt der hochkapitalistischen Phase wird in (Zusammenarbeit mit) Banken in bestimmten<br />
Wirtschaftssektoren Risikomanagement zur Abdeckung finanzieller Risiken bei Geld- und<br />
Wertpapiergeschäften oder zum Ausgleich von Währungsschwankungen (bei Warengeschäften) betrieben.<br />
Der Geschäftszweck von Versicherungsunternehmen besteht seit den Anfängen darin, in sich von den<br />
Kunden nicht abdeckbare Risken durch Übernahme zu kumulieren und so über Eintrittswahrscheinlichkeiten<br />
und Schadenshöhen <strong>für</strong> den Versicherten zu kalkulierbaren Prämienkosten zu machen.<br />
Die zugehörigen Risiken und die zu ihrer Darstellung benötigten Zahlen kommen<br />
a) aus dem Versicherungsgeschäft, (versicherungstechnisches Risiko)<br />
b) aus der Vermögensveranlagung, (finanztechnisches Risiko)<br />
c) aus der Tätigkeit als Wirtschaftsunternehmen, (operationales Risiko).<br />
Das Risikomanagement eines Versicherungsunternehmens verknüpft Daten, Methoden und Techniken<br />
der Versicherungsmathematik, der Finanzmathematik und der mathematischen Statistik zu einem<br />
einheitlichen, mittels interdependenten Kennzahlen operierenden Modell. Dieses ist die Grundlage <strong>für</strong><br />
die erfolgreiche Unternehmensführung.<br />
Aufgrund der Anforderungen aus der modernen Marktentwicklung, der fortschreitenden Technisierung<br />
(und dies speziell im Informationswesen), sowie der Globalisierung wird eine neue Qualität von<br />
Risikomanagement in fast allen Wirtschaftszweigen erforderlich. Dieses muss ein integrierter Bestandteil<br />
der Unternehmungsführung sein. Ziel von Risikomanagement (und speziell der da<strong>für</strong> eingerichteten<br />
Subsysteme zur Frühwarnung) ist es, Risiken schon im Vorfeld zu erkennen und Maßnahmen<br />
zur Gegensteuerung zu ergreifen.<br />
Auch der Gesetzgeber hat bereits in vielen Ländern verfügt, dass verpflichtend Risikomanagement,<br />
Frühwarnvorkehrungen bzw. interne Überwachungseinrichtungen (einschl. <strong>Interne</strong>r <strong>Revision</strong>) installiert<br />
und eingeführt werden müssen. 7<br />
3. Einrichtung von Risiko-Management<br />
Damit sowohl bestehende als auch zukünftige Risiken erkennbar und kontrollierbar sind, bedarf es<br />
einer Vielzahl von zahlenmäßig aufbereiteten Informationen. Überall dort, wo bereits erfolgreich Controlling<br />
praktiziert wird, ist es wahrscheinlich nur ein kleiner Schritt, um durch eine Neuausrichtung und<br />
Neufokussierung den veränderten Anforderungen zu genügen.<br />
Ist dies nicht der Fall, dann ist zunächst ein internes Kennzahlensystem einzurichten. Die Abbildung<br />
des Unternehmens in Kennzahlen ist unabdingbare Voraussetzung <strong>für</strong> wirksames Risikomanagement.<br />
Das Informationswesen des Unternehmens muss darauf ausgerichtet werden, Erkenntnisse über beoder<br />
entstehende Risiken innerhalb der Organisation schnell an die (definierten) Entscheidungsträger<br />
weiterzuleiten.<br />
Risikomanagement kann Teil einer bereits bestehenden Einheit (z.B. Controlling) sein oder einer neu<br />
geschaffenen Managementfunktion zugeordnet werden. Da in den größenordnungsmäßig relevanten<br />
7 weitere Einzelheiten bzw. kritische Anmerkungen im Folgeabschnitt über das deutsche KonTraG<br />
________________________________________________ Seite<br />
13
AUDIT<br />
V vJOURNAL<br />
Organisationen zumeist Zahlen und Teilinterpretationen aus einem instrumentalen, aus vielen Quellen<br />
gespeisten, Rechnungswesen vorhanden sind, werden diese Unterlagen primär <strong>für</strong> das Risikomanagement<br />
gesammelt, verdichtet und dann <strong>für</strong> das Unternehmen (als Ganzes) interpretiert. Letztlich<br />
sind alle Mitarbeiter des Unternehmens im Rahmen ihrer Befugnisse und Pflichten risikoverantwortlich.<br />
Risikomanagement ist somit eine umfassende Aufgabe, an der vielfach (auch hierarchisch) verschiedene<br />
Träger Teil haben können. Durch sie werden auf allen relevanten Ebenen geeignete Aktivitäten<br />
gesetzt, um als risikoträchtig identifizierte Vorgänge unter Kontrolle zu halten 8 .<br />
Beim Surfen durch die Webseiten verschiedener, Unternehmensberatung und Einrichtung von Risikomanagement<br />
anbietender Beratungsfirmen ist aufgefallen, dass es den meisten schwer fällt, verständlich zu<br />
erklären, wie Risikomanagement in eine bestehende Organisation eingebunden werden kann. So heißt es in<br />
RATINGaktuell 02/2002 zunächst noch durchaus sinnvoll: „Ziel muss die frühzeitige und systematische<br />
Identifikation und Bewertung sowie Steuerung und Kontrolle der risikobehafteten Prozesse sein.“ Der<br />
Autor setzt jedoch fort: „Ein Risiko-Management-Prozess muss als dauerhafter Prozess (Regelkreis) im<br />
Unternehmen implementiert werden. Risiko-Management ist keine einmalige Aktion.“ 9<br />
Für den Fall, dass ein Risikomanagementsystem nicht speziell eingerichtet ist, stellt der Autor aber sehr<br />
wohl Fragen nach einschlägiger organisatorischer Ausprägung: “Gibt es ein Risiko-Management und welche<br />
Systeme werden <strong>für</strong> Risiko-Controlling und Qualitätssicherung genutzt?“ 9<br />
Price Waterhouse & Cooper 10 sehen in einem <strong>Interne</strong>n Kontrollsystem eine unabdingbare Voraussetzung<br />
<strong>für</strong> die Etablierung von Risiko-Management.<br />
Ernst & Young 11 verlangen als Basis eines das Gesamtunternehmen umspannenden Risiko-Managements<br />
(sinngemäß) die Ausrichtung der Organisation nach den Prinzipien der <strong>Interne</strong>n Kontrolle und eine kritische<br />
und unabhängige <strong>Interne</strong> <strong>Revision</strong>, die alle Bereiche periodisch prüft.<br />
4. Risikomanagement und <strong>Interne</strong> <strong>Revision</strong><br />
Sobald Risikomanagement als expliziter Bereich – sei es als Abteilung, Gruppe oder Funktion – in Erscheinung<br />
tritt, wird es bei einer schon bisher alle Unternehmungsbereiche abdeckenden <strong>Interne</strong>n<br />
<strong>Revision</strong> automatisch zum Prüfungsgegenstand.<br />
Es geht um die Prüfung der Wirksamkeit der in Struktur und Abläufen der Organisation eingerichteten<br />
Vorkehrungen, die Integrität der Daten, deren Vollständigkeit, Relevanz usw. Nur wenn sichergestellt<br />
ist, dass <strong>für</strong> das Risikomanagement alle wesentlichen internen und externen Risiken richtig erfasst<br />
werden, können wirksame Strategien und Maßnahmen zur Gegensteuerung (also Vermeidung oder<br />
Abfederung) entwickelt werden.<br />
Im Gegensatz zum Risikomanagement geht es der <strong>Interne</strong>n <strong>Revision</strong> nicht um eine vorwiegend permanente<br />
Kontrolle der operativen Risiken, sondern um eine zeitlich limitierte und auf die Prüfungsaufgabe<br />
fokussierte Prüfungstätigkeit. Zusätzlich leistet die <strong>Interne</strong> <strong>Revision</strong> durch ihre kritische Be-<br />
8 z.B.: Verfolgung der Entwicklung der Außenstandsdauer einzelner Risikokunden wie auch des Gesamtaußenstandes<br />
durch die Debitorenbuchhaltung, von Klagen und Forderungsausfällen durch die (hauseigene) Rechtsabteilung.<br />
9 Frank Romeike: Risiko-Management als Grundlage einer wertorientierten Unternehmenssteuerung, Seite 14 in<br />
RATINGaktuell 02/002<br />
10 Aufrufbar durch Nennung der Firmenbezeichnung mit Hilfe einer Suchmaschine im <strong>Interne</strong>t.<br />
11 Wie 10<br />
Seite<br />
14 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
richterstattung über Effizienz und Realisierung von <strong>Interne</strong>r Kontrolle in der gesamten Organisation<br />
einen wesentlichen Beitrag <strong>für</strong> die Beurteilung der Risikolage des Unternehmens.<br />
Risikomanagement bedeutet aber auch Übernahme und Verantwortung <strong>für</strong> das bewusste Eingehen<br />
von Risiken im Rahmen der unternehmerischen Betätigung. Die <strong>Interne</strong> <strong>Revision</strong> kann allerdings 12 in<br />
diesen Teil nicht als Entscheidungsträger mit eingebunden werden – sie würde sonst zu einem Teil<br />
des zu kontrollierenden Systems werden. Allenfalls wäre eine temporäre Abstellung eines (erfahrenen)<br />
Revisors an das Linienmanagement zur Mitarbeit an einem zeitlich befristeten Projekt denkbar.<br />
5. Das „Gesetz zur Kontrolle und Transparenz im Unternehmensbereich“,<br />
Ausblick auf und Weiterentwicklung von Kontrolle als Führungsfunktion.<br />
Risiken einzugehen und Chancen zu nutzen sind der Kern unternehmerischen Handelns. Spektakuläre<br />
Firmenkrisen in Deutschland wie Metallgesellschaft, Schneider und der Fall Holzmann 13 haben schon<br />
vor den Vereinigten Staaten in der zweiten Hälfte der 90-er Jahre zu massiver Kritik am Management<br />
deutscher Firmen geführt und damit unternehmerische Risiken wieder stark in den Vordergrund gerückt.<br />
Vor diesem Hintergrund wurde im Mai 1998 in Deutschland das „Gesetz zur Kontrolle und Transparenz<br />
im Unternehmensbereich" ( KonTraG ) verabschiedet. Das Gesetz bezieht sich primär auf Aktiengesellschaften<br />
und soll Schwächen im Unternehmenskontrollsystem 14 korrigieren: Die Geschäftsleitung<br />
wird verpflichtet, <strong>für</strong> ein angemessenes Risikomanagement zu sorgen. Aber auch bei anderen<br />
Rechtsformen werden anerkannte Mindeststandards erwartet, mit nachhaltigen Konsequenzen <strong>für</strong> die<br />
mittelständische Wirtschaft – und da wieder u. a. als Argumentationshilfe bei der Kreditbeschaffung. 15<br />
Dem „Risikofaktor Kunde" muss durch das Risikomanagement besondere Beachtung geschenkt werden.<br />
Und obwohl dies schon länger bekannt sein dürfte, gehen nach wie vor fast ein Drittel aller Unternehmenspleiten<br />
auf Forderungsausfälle zurück, wobei die mittelständische Wirtschaft besonders<br />
betroffen ist.<br />
Deswegen sollten die eigene Außenstandspolitik und Verwaltung periodisch immer wieder auf Verbesserungen<br />
untersucht werden. Borghöhenbegrenzungen und definierte Zahlungsfristen sollten sich<br />
primär an betriebswirtschaftlichen Kriterien 16 und nicht (nur) an allgemeinen Einschätzungen der Kreditwürdigkeit<br />
orientieren. Hie<strong>für</strong> können Informationen von jenen Stellen verfügbar gemacht werden,<br />
die sich professionell mit Kundenbonität befassen, also z. B. renommierte Kreditauskunfteien, die,<br />
vielfach mit Unternehmensberatung verbunden, weiterführendes Risikomanagement offerieren. 17<br />
Sind nun generell Reorganisationsmaßnahmen erforderlich, um die Managementfunktion Kontrolle<br />
und <strong>Revision</strong> generell auf die (neuen) Erfordernisse von Risiko Management auszurichten, und ein<br />
geeignetes, <strong>für</strong> das Unternehmen maßgeschneidertes, kosten-effizientes „Risiko-Management-<br />
System“ zu implementieren?<br />
13 Darunter fällt auch der der Bank Burgenland aus der Geschäftsbeziehung mit dem deutschen Wirtschaftskriminellen<br />
Homrusch entstandene Schaden aus Kreditbetrug<br />
14 Diese grausliche Wortschöpfung zeigt zum wiederholten Mal deutlich, wie wichtig ein einheitlicher Sprachgebrauch<br />
<strong>für</strong> die Festlegung umsetzbarer und in der Praxis akzeptierter Mindestanforderungen ist.<br />
15 Klaus Oesterle, Leiter Controlling Informationsmanagement der InFoScore-Gruppe in Baden-Baden (<strong>Interne</strong>t)<br />
16 Also z. B. an jener Zeitspanne, die <strong>für</strong> den Weiterverkauf erforderlich ist. Eine darüber hinausgehende Finanzierung<br />
ist nur <strong>für</strong> begründete Sonderfälle – unter Beachtung des zusätzlichen Risikos – angebracht.<br />
17 Das <strong>Interne</strong>t bietet mittels Abfrage über verschiedene Suchmaschinen eine Reihe von „Selbstdarstellungen“<br />
einschlägiger Unternehmensberater an.<br />
________________________________________________ Seite<br />
15
AUDIT<br />
V vJOURNAL<br />
In Fortführung des in den Journalen 3/2001 und 6/2002 vorgestellten, und auf dem Prinzip der <strong>Interne</strong>n<br />
Kontrolle erarbeiteten Organisationsmodells, ist auch Risikomanagement – gemäß den obigen<br />
Ausführungen – nur ein weiterer Bereich in dem Gebäude von Mitteln <strong>für</strong> Ziele 18 , Risikomanagement<br />
verändert nichts an Definitionen und den festgestellten Vor- und Nachrängen. Durch explizite Einführung<br />
von Risiko-Management erforderlich werdende signifikante Veränderungen in Struktur- und<br />
Ablauforganisation sowie der Neuordnung von Prioritäten sollten aber nachhaltig eine Erhöhung des<br />
Unternehmenswertes nach sich ziehen.<br />
So wie <strong>für</strong> eine gesicherte Gewinnermittlung, zuerst ein ordnungsmäßiges Rechnungswesen vorliegen<br />
muss, wird Risikomanagement erst dann sinnvoll möglich, wenn als Basis zumindest nach<br />
dem Prinzip der <strong>Interne</strong>n Kontrolle ausgerichtete Strukturen und Abläufe in der Organisation<br />
gegeben sind. Ab einer bestimmten Größe des Unternehmens wird (verstärkt) eine <strong>Interne</strong> <strong>Revision</strong><br />
einzurichten sein.<br />
Anmerkungen zu den verwendeten Quellen:<br />
Othmar Spann, Haupttheorien der Volkswirtschaftslehre, 26. Auflage, Heidelberg 1949<br />
Ludwig Wittgenstein, Tractatus logico philosophicus, Wien 1918; Suhrkamp 1984<br />
Wie Risikomanagement Unternehmen nützt<br />
Ein Autorenbeitrag von Klaus Oesterle, Leiter Controlling Informationsmanagement der InFoScore-Gruppe in<br />
Baden-Baden (<strong>Interne</strong>t Download)<br />
Sir Karl Popper: The Logic of Scientific Discovery. (Deutsch: Logik der Forschung) Hutchinson, London, 1959,<br />
zitiert gem. <strong>Interne</strong>t.<br />
Protokolle über die Jahrestagung 2002 des österreichischen <strong>Institut</strong>s <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong>, Generalthema: Risikoorientierte<br />
Prüfung.<br />
Frank Romeike in RATINGaktuell 02/2002 – Risiko-Management als Grundlage einer wertorientierten Unternehmenssteuerung<br />
(<strong>Interne</strong>t Download)<br />
Verschiedene Wortkombinationen zur Themenstellung aus <strong>Interne</strong>r <strong>Revision</strong>, Risikomanagement, <strong>Interne</strong>r Kontrolle<br />
und Unternehmensberatung über Suchmaschinen wie Metacrawler, Yahoo, u.a. in Deutsch und Englisch abgefragt und<br />
die dahinter stehenden Inhalte ausgewählt und temporär aufgerufen.<br />
18 Othmar Spann, Haupttheorien der Volkswirtschaftslehre, 26. Auflage 1949, Seite 193. „Dem geht subjektiv<br />
das Abwägen und Widmen der Mittel <strong>für</strong> Ziele voraus“.<br />
Seite<br />
16 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
CIA-Urkunden-Verleihung<br />
(Günther Meggeneder, CIA)<br />
„Es ist immer wieder etwas Besonderes, den erfolgreichen Kandidaten die Urkunden anlässlich der<br />
erfolgreichen Absolvierung der Ausbildung zum Certified Internal Auditor (CIA) zu überreichen“ sagte<br />
der Präsident des österreichischen <strong>Institut</strong>s, Norbert Wagner, anlässlich der Verleihung der CIA-<br />
Urkunden an die acht neuen CIAs, die im Mai diesen Jahres die Prüfung mit Erfolg absolvierten. Die<br />
Überreichung der Urkunden wurde am 9. Oktober 2002 im Wiener „Gmoakeller“ abgehalten. Die<br />
erfolgreichen Kandidaten:<br />
von links:<br />
MORANG Steve, CIA -<br />
Ernst & Young<br />
STEIBLMÜLLNER Michael,<br />
Mag., CIA - Rosenbauer<br />
WEIDINGER Gert, Mag. CIA -<br />
KPMG<br />
MANTSCH Walter, Dr. CIA -<br />
Readymix<br />
STÖGER Gertrude, Mag., CIA -<br />
Bank Austria Creditanstalt<br />
SCHLAPSCHY Edmund, CIA -<br />
Austrian Airlines<br />
LANZ Alois, CIA -<br />
Rechnungshof<br />
Nicht auf Foto<br />
ROTTER Susanne, Mag. CIA -<br />
KPMG<br />
Das <strong>Institut</strong> fördert seit Jahren die Durchführung der CIA-Prüfung, da sie zur Schaffung eines eigenständigen<br />
Berufsbilds und als Zeichen <strong>für</strong> die Qualifikation der Revisoren unerlässlich ist. „Certified<br />
Internal Auditor zu sein ist ein Ausweis da<strong>für</strong>, die internationalen Standards zu kennen, zu akzeptieren<br />
und die tägliche Arbeit in der <strong>Interne</strong>n <strong>Revision</strong> danach auszurichten“ hielt das <strong>für</strong> die CIA-Prüfung<br />
zuständige Vorstandsmitglied Günther Meggeneder fest und wünschte sich, dass die Zahl der Kandidaten<br />
und Absolventen der CIA-Prüung auch künftig weiter ansteigt.<br />
Neue Mitglieder<br />
(Mag. Eva Weiszgerber)<br />
Das <strong>Institut</strong> <strong>für</strong> <strong>Interne</strong> <strong>Revision</strong> Österreich freut sich, folgende neue Mitglieder begrüßen<br />
zu können:<br />
✗ Duropack AG<br />
✗ Magistrat Graz, Stadtrechnungshof<br />
Wir freuen uns auf eine gute Zusammenarbeit!<br />
________________________________________________ Seite<br />
17
AUDIT<br />
V vJOURNAL<br />
Nachruf<br />
Dkfm. Dr. Konsul h.c. Univ.Professor Klaus CZEMPIREK<br />
(Dkfm. Dr. Friedrich Kranzelmayer)<br />
Am 20.Nov, d. J. verstarb 64-jährig Dkfm. Dr. Konsul h.c. Univ.Professor Klaus CZEMPIREK,<br />
zu diesem Zeitpunkt Aufsichtsratsvorsitzender von Rosenbauer International, EHG Ennshafen,<br />
Vivatis Holding u.a.m..<br />
In den frühen 60er Jahren des 20. Jhdts. war Czempirek in der VÖEST Leiter der <strong>Interne</strong>n<br />
<strong>Revision</strong> u. bis 1970 Mitglied des "Fachbeirates", dem damaligen Leitungsgremium der Arge-IR<br />
im ÖPZ. Sein fundiertes Fachwissen brachte <strong>für</strong> unsere Arbeitsgemeinschaft u. damit seinen<br />
Kollegen, die ja zumeist "am Anfang" standen, viele Anregungen u. Arbeitshilfen.<br />
Sein letzter Beitrag anlässlich der Jahrestagung 1971 "Die IR aus der Sicht der Unternehmensleitung"<br />
befasste sich mit wesentlichen Zukunftsfragen der IR und die noch immer gültige<br />
Authenzität seiner Thesen lässt eine auszugsweise neue Veröffentlichung im<br />
AUDIT JOURNAL angezeigt erscheinen:<br />
<strong>Interne</strong> <strong>Revision</strong> 2037<br />
(Dr. K. Czempirek )<br />
Auf der Suche nach einem Leitfaden <strong>für</strong> ein<br />
paar generelle Bemerkungen aus Anlass<br />
einer Tagung <strong>für</strong> interne <strong>Revision</strong> stieß ich<br />
nach einem fast ausweglosen Labyrinth zu<br />
guter Letzt noch auf eine Weggabelung:<br />
Sollte ich den übersichtlicheren und damit<br />
bequemeren Weg einschlagen, aus meiner<br />
heutigen Sicht als Unternehmensleiter<br />
nochmals den Standort der <strong>Interne</strong>n <strong>Revision</strong><br />
von heute und morgen bestimmen<br />
oder sollte ich den anderen Weg nehmen,<br />
dessen Spur durch einen undurchdringlichen<br />
Nebel bald unsichtbar wird und an<br />
dessen Ende die <strong>Interne</strong> <strong>Revision</strong> 2037 <strong>für</strong><br />
uns unbekannt und vielleicht sogar beängstigend<br />
liegt, weil wir nicht wissen, ob alles<br />
das wir bisher <strong>für</strong> sie getan haben, richtig<br />
war. Weil heute viele Autoren ihren Themen<br />
".....im Jahr 2000" hinzufügen ,stellte<br />
ich die Skizze unter das noch unbekanntere<br />
Jahr 2037. In diesem Jahr wäre mein<br />
Jahrgang 100 Jahre alt und größtenteils<br />
vergessen, soweit es sich nicht um einen<br />
Cognac handelt oder um einen Studienkollegen,<br />
wie den derzeitigen österreichischen<br />
Finanzminister, der im Wege über<br />
ein öffentliches Amt in die Geschichte eingehen<br />
kann. Jedenfalls kann mir 2037 keine<br />
<strong>Revision</strong> mehr vorhalten, ich hätte bei dieser<br />
Skizze geirrt oder zu unrecht den Weg<br />
der (<strong>Revision</strong>-) Ordnung verlassen. - Zur<br />
Sache!<br />
Bei einer bestimmten Ordnungserwartung<br />
wird es immer Abweichungstendenzen<br />
geben. Zur Wahrung der Ordnung oder<br />
zur evolutionären Anpassung des Ordnungssystems<br />
wird es daher auch 2037<br />
notwendig sein, Grund und Ausmaß der<br />
Abweichungen festzustellen, um entweder<br />
Maßnahmen einzuleiten, die bestehende<br />
Ordnung zu sichern oder, falls gewünscht,<br />
die künftige Ordnungserwartung zu nuancieren<br />
oder radikal zu ändern. Die kritischanalytische<br />
Feststellung von Abweichungen<br />
ist die <strong>Revision</strong>sfunktion. Somit wird es<br />
auch 2037 eine <strong>Revision</strong>sfunktion geben,<br />
wenn es dann ein bestimmtes politisches,<br />
soziales, wirtschaftliches, technisches und<br />
im besonderen ein betriebswirtschaftliches<br />
Ordnungssystem gibt, ohne damit sagen zu<br />
wollen, dass es 2037 noch "Betriebe" gibt,<br />
wie wir sie heute kennen. Wie die genann-<br />
Seite<br />
18 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
ten Bereiche 2037 aussehen, müssen die<br />
Futurologen beantworten.<br />
Wie wird aber die interne <strong>Revision</strong> der<br />
<strong>Institut</strong>ion aussehen, die das zukünftige<br />
Gesellschaftssystem prägen? Wie Sie sicherlich<br />
aus dem 1. Teil der Antwort zu<br />
diesem Problemkreis entnommen haben,<br />
ist die <strong>Revision</strong>sfunktion in jedem kybernetischen<br />
System zwangsläufig zu Hause.<br />
Selbst, wenn wir im Jahr 2037 aus gesellschaftspolitischen<br />
Gründen derartige Regelkreise<br />
ablehnten, könnten wir uns ihnen<br />
nicht entziehen, weil wir selbst einen repräsentieren<br />
und wahrscheinlich alles um<br />
uns die Kybernetik in sich trägt, wie auch,<br />
die unsichtbare Schwerkraft nicht geleugnet<br />
werden kann. Was aus dieser Überlegung<br />
<strong>für</strong> uns als Revisoren von Bedeutung<br />
ist, ist die Tatsache, dass neben den natürlichen<br />
kybernetischen Systemen durch den<br />
Menschen selbst derartige Systeme entwickelt<br />
werden und ihre auf Maschinen basierende<br />
Anwendung unvorstellbare und<br />
vor allem in ihrer Geschwindigkeit progressiv<br />
zunehmende Fortschritte macht<br />
(Informatik, Computer based management<br />
technics, Prozesssteuerung, kybernetische<br />
Steuerungssysteme der Luft- und Raumfahrt<br />
u.ä.).<br />
Von dieser Seite her ist also im allgemeinen<br />
der Mensch als Träger der <strong>Revision</strong>sfunktion<br />
betroffen und sogar gefährdet, wenn<br />
man nicht gleichzeitig berücksichtigt, dass<br />
der Mensch immer bereit war, sein augenblickliches<br />
Arbeitsgebiet aufzugeben und<br />
zu einer Funktion und Leistung "höherer<br />
Ordnung" zu streben. Die <strong>Revision</strong>sfunktion<br />
höherer Ordnung (als heute) wird dort<br />
liegen, wo noch keine vollautomatischen<br />
und vollintegrierten, reinen Maschinensysteme<br />
die <strong>Revision</strong> übernehmen können. An<br />
der kritisch-analytischen Funktion und<br />
Leistung des Menschen wird es daher immer<br />
dort liegen, wo andere Menschen die<br />
Maschinen noch nicht soweit gebracht<br />
haben, einen wirklich geschlossenen Regelkreis<br />
zu gewährleisten. Darüber hinaus<br />
bleibt noch immer die Frage offen, wer<br />
prüft die Richtigkeit der Zielvorgaben und<br />
Maßgrößen im maschinellen System. Auch<br />
Maschinen?<br />
- Im einfachen Bereich und auch im kombinierten<br />
Bereich schon heute denkbar<br />
(vor allem in der Technik) und realisiert.<br />
Im sozioökonomischen Bereich und seiner<br />
Multidimensionalität noch kaum denkbar.<br />
In den Betrieben teilweise denkbar. Ungelöst<br />
an den Nahtstellen zum Markt (also<br />
letztlich zum Menschen) bei den Faktoren,<br />
die in einer Entscheidung ganz allgemein<br />
als ungewiss zu bezeichnen sind.<br />
Eines ist aber sicher anzunehmen; die heute<br />
bestehende Funktion der internen <strong>Revision</strong><br />
wird - wenn es sie noch gibt - durch<br />
ein Mensch-Maschine-System erfüllt werden,<br />
weshalb EDV und Kybernetik zum<br />
Rüstzeug der internen <strong>Revision</strong> der nächsten<br />
25 Jahre gehören müssen, um in dieser<br />
Zeit eine <strong>Revision</strong>stechnik zu erarbeiten<br />
und eine Revisorengeneration zu erziehen,<br />
die dann auch den Sprung nach 2037 vorbereitet,<br />
umso mehr als diese um 2000<br />
schon wieder mehr weiß.<br />
Die z w e i t e <strong>für</strong> Ihren Berufsstand bedeutungsvolle<br />
Frage wird aber sein, ob und<br />
wo es noch <strong>Revision</strong>sabteilungen gibt, in<br />
denen es als kreativer Mensch Freude<br />
macht zu arbeiten auch in einem Mensch-<br />
Maschine-System auf optimal erarbeiteten<br />
kybernetischen Grundlagen.<br />
Was sicherlich erwartet werden kann, ist<br />
die Erhöhung des Bedarfes an <strong>Revision</strong><br />
höherer Ordnung (alles was die vollintegrierten<br />
und maschinellen Regelkreise nicht<br />
können), und die Verlagerung der Schwerpunkte<br />
von der internen <strong>Revision</strong> der Unternehmen<br />
nach den <strong>Institut</strong>ionen der öffentlichen<br />
Versorgungswirtschaft. Innerhalb<br />
der Wirtschaft wird der Bedarf an<br />
<strong>Revision</strong> in der Industrie zurückgehen (relativ),<br />
der Bedarf aber im stärker wachsen-<br />
________________________________________________ Seite<br />
19
AUDIT<br />
V vJOURNAL<br />
den Dienstleistungssektor zunehmen. Abgeleitet<br />
kann diese Überlegung davon<br />
werden, dass erstens der Anteil der öffentlichen<br />
Versorgungswirtschaften (Infrastrukturleistungen<br />
des Staates, der Länder<br />
und Gemeinden) am Gesamtvolumen der<br />
Produktion und Verteilung von Leistungen<br />
ständig zunimmt und dass zweitens innerhalb<br />
der Wirtschaft, die nicht im Orbit der<br />
öffentlichen Verwaltung liegt, der Dienstleistungssektor<br />
viel stärker wächst, als die<br />
Industrie. Daraus kann der Schluss gezogen<br />
werden, dass Einrichtungen wie der Rechnungshof<br />
und die Kontrollämter der öffentlichen<br />
Körperschaften vor progressiv steigenden<br />
Aufgaben stehen werden und dass<br />
in den Unternehmen, wie immer die auch<br />
aussehen werden, des tertiären Sektors<br />
(also Handel, Banken, Versicherungen,<br />
Transport, Freizeitgestaltung), die noch<br />
dazu ebenfalls Konzentrationstendenzen<br />
aufweisen, die <strong>Revision</strong>sfunktion an Bedeutung<br />
gewinnt. Hier werden aber die neu<br />
aufzubauenden <strong>Revision</strong>en bereits - hoffentlich<br />
zumindest - ein anderes Bild tragen,<br />
da sie bereits die neuesten Erkenntnisse<br />
über die steuerungstechnische Zusammenarbeit<br />
von Mensch und Maschine<br />
anwenden können.<br />
Eine der wichtigsten Veränderungen der<br />
Stellung der <strong>Revision</strong>sabteilungen vor allem<br />
im Bereiche des operational auditing<br />
kommt aber meines Erachtens nicht aus<br />
einer Änderung, oder Verminderung der<br />
<strong>Revision</strong>sfunktion - ausgeübt durch den<br />
Menschen selbst - sondern aus der Führungsphilosophie,<br />
aus dem Fortschritt der<br />
Aus- und Weiterbildung der in der Verwaltung<br />
und Wirtschaft tätigen Menschen, aus<br />
den Managementtechniken und aus der<br />
Entwicklung des Angebotes an Menschen,<br />
die <strong>für</strong> die Führungsaufgaben und höheren<br />
Planungs- und Organisations- sowie <strong>Revision</strong>saufgaben<br />
zur Verfügung stehen werden.<br />
Und dies dürfte ziemlich losgelöst<br />
davon sein, wie die Leistungsträger (die<br />
Leistungsgemeinschaften, aussehen und<br />
wem sie gehören und ob wir sie dann noch<br />
Unternehmen, öffentliche Betriebe und<br />
Verwaltungen nennen, oder ob es sich<br />
dann nur mehr um volkseigene Betriebe,<br />
Kommunen, Kibbuzim usw. handelt.<br />
Die Detailfragen, die sich daraus ergeben,<br />
könnten möglicherweise sein:<br />
a) Wird man die <strong>Revision</strong> im Bereich<br />
des operational auditing als <strong>Institut</strong>ion<br />
nicht mehr zugunsten der<br />
Verbesserung der Planung und<br />
Systemorganisation zurücksetzen?<br />
Alles, was nicht durch Planung, Systemanalyse,<br />
maschinelle Regelkreise<br />
u.ä. automatisch erfasst wird, wird als<br />
quantité negligeable behandelt oder,<br />
auch noch regelbar gemacht. Die<br />
Grenze könnte eine fatale sein: das<br />
nicht auf die Maschine zu legen, was<br />
nicht häufig genug anfällt, um wirtschaftlich<br />
vertretbar automatisiert zu<br />
werden (gleichgültig, ob es sich dabei<br />
um eine einfache <strong>Revision</strong>sleistung<br />
handelt oder um eine höhere Ordnung,<br />
die den schöpferischen Menschen erfordert).<br />
b) Wird man die <strong>Revision</strong> als Abteilung<br />
nicht wieder in die Diskussion<br />
um den autoritären Führungsstil<br />
verstricken, der noch eine "Polizei"<br />
'benötigt.<br />
Könnte nicht jemand auf die Idee<br />
kommen zu sagen, es sei wirtschaftlicher,<br />
bessere Systemorganisation zu<br />
betreiben, bessere Managementtechniken<br />
(z.B. by objectives) anzuwenden<br />
oder die Menschen in den<br />
Projektteams der Zukunft besser auszubilden<br />
- zu mehr Verantwortung erziehen,<br />
als <strong>Revision</strong>sabteilungen zu unterhalten<br />
c) Werden im Hinblick auf die ungeheure<br />
Innovationsgeschwindigkeit<br />
in Technik und Wirtschaft und in<br />
Seite<br />
20 ________________________________________________
AUDIT<br />
V vJOURNAL<br />
der Verwaltung und die Notwendigkeit<br />
die Leistungsträger (Betriebe<br />
etc.) auf dem jeweils<br />
schnellsten Weg anzupassen, die<br />
Abteilungen <strong>für</strong> Systemorganisation<br />
nicht zwangsläufig das<br />
Übergewicht bei der kritischen<br />
Analyse bekommen und die <strong>Revision</strong>sfunktion<br />
auf Bilanz- und Deliktrevision<br />
zurückgebracht?<br />
Oder liegt in dieser Frage auch schon<br />
die Antwort bezüglich der Arbeitsabgrenzung<br />
(Systemanalyse - Analyse der<br />
wirtschaftlichen Gebarung, wo diese<br />
2037 nicht bereits aus integrierten Managementsystemen<br />
hervorgeht, die auf<br />
Computer, direct acces und Video-<br />
Geräten im täglichen Gebrauch durch<br />
das top-management basieren oder wo<br />
der Mensch direkt an den Computer<br />
geschaltet ist - wird auch schon vorausgesagt).<br />
d) Werden bei der zu erwartenden<br />
Priorität der laufenden Systemund<br />
Organisationsanpassungen und<br />
deren saugenden Wirkung auf alle<br />
Spezialisten der Informatik <strong>für</strong> die<br />
<strong>Revision</strong> noch Mitarbeiter gewonnen<br />
werden, die <strong>für</strong> die kritische<br />
Analyse im wirtschaftlichen Bereich<br />
notwendig sind und die ebenfalls<br />
informationstechnisch (kybernetisch)<br />
geschult sein müssen,<br />
wenn es nicht aus dieser Erscheinung<br />
allein zur Abwertung der <strong>Revision</strong><br />
kommen soll.<br />
Sie sehen - eine Fülle von Fragen, die jeweils<br />
<strong>für</strong> sich einen Vortrag oder vielleicht<br />
sogar ein Buch füllen könnten. Hoffentlich<br />
habe ich Sie mit der einen oder anderen<br />
Frage beunruhigt oder erschreckt. Als <strong>Revision</strong>schefs<br />
werden Sie sicherlich meine<br />
Meinung teilen, dass man sich selbst und<br />
seine Funktion manchmal in Frage stellen<br />
muss.<br />
Abklärung des eigenen Standortes, Diskussionen<br />
mit anderen Disziplinen und Überzeugungskraft<br />
dem Management gegenüber<br />
müssten heute bereits die geistige<br />
Atmosphäre schaffen, um die nächste Revisorengeneration<br />
fachlich und menschlich<br />
vorzubereiten, denn es ist nur mehr eine<br />
Generation, die uns von 2037 trennt.<br />
________________________________________________ Seite<br />
21
AUDIT<br />
V vJOURNAL<br />
Seminarangebot 1. Quartal 2003<br />
Die neuen Standards <strong>für</strong> die brufliche Praxis der <strong>Interne</strong> <strong>Revision</strong> – Ü-<br />
bersicht über Änderungen und Neuigkeiten, Vorstellung möglicher Umsetzung<br />
in der praktischen Arbeit<br />
Wien, 27.02.2003<br />
Das <strong>Interne</strong> Kontrollsystem (IKS) im Gesamtunternehmen – Von den<br />
Grundlagen bis zum e- commerce<br />
Wien, 17.-18.03.2003<br />
Risk Management als Prüffeld<br />
Wien, 25.-26.03.2003<br />
<strong>Revision</strong> des Rechnungswesens<br />
Wien, 19.-20.03.2003<br />
<strong>Revision</strong> von Tochter- und Beteiligungsgesellschaften<br />
Wien, 27.03.2003<br />
Einführung in die DV-<strong>Revision</strong><br />
Wien, 25.-26.2.2003<br />
IT-Governance – Messung, Steuerung und Kontrolle von IT-Prozessen<br />
unter Berücksichtigung aktueller Standards<br />
Wien, 06.03.2003<br />
Seite<br />
22 ________________________________________________