Ausgabe 02_2011 [PDF, 3.4 MB] - Institut für Interne Revision ...

IIA 07
Institut für Interne Revision
Audit Journal
Audit Journal
Zeitschrift des Instituts für
Interne Revision Österreich - IIA Austria
• VON Mitgliedern FÜR Mitglieder –
50 Jahre Institut für Interne Revision
• IIA Global Council in Wien vom 01. bis 04. Mai 2011
• 6. CEE (Central and Eastern Europe) Konferenz in Wien
• Public-Sector-Session der 6. CEE Konferenz
• Let´s talk Audit
Nachhaltigkeit / CSR prüfen?
• 30. Mitgliederversammlung am 9. Juni 2011
• News aus den Arbeitskreisen
• Prüfleitfaden SAP ERP 6.0
Kapitel 4: Autorisierung (ABAP-Stack)
• Buchbesprechung:
Revision der Beschaffung – Prüfungsfragen für die Praxis,
(DIIR, 4. Auflage 2011)
• Buchbesprechung:
Handbuch Interne Kontrollsysteme (IKS)
(Oliver Bungartz)
• Kommende Veranstaltungen
• Neue Mitglieder
Heft 2 / Juni 2011

VON Mitgliedern FÜR Mitglieder –
50 Jahre Institut für Interne Revision
Konstantin Klien. Peter Hauser
Ronald Barazon
Angela Witzany, Günter Meggeneder

Zwischen der Gründung der Arbeitsgemeinschaft
für Interne Revision (ARGE IR) im Jahr
1961 bis zum Institut für Interne Revision Österreich
– IIA Austria im Jahr 2011 liegen 50 erfolgreiche
Jahre, auf die das heutige Institut für
Interne Revision und die Akademie Interne Revision
mit einer stetig wachsenden Anzahl an
Mitgliedern, den über die Jahre ehrenamtlich
tätigen Kolleginnen und Kollegen des Vorstands
sowie der Geschäftsführung und den
Mitarbeiterinnen im Back Office–Bereich stolz
zurückblicken.
Dieses 50-jährige Jubiläum wurde zum Anlass
genommen, die Vertretung des Berufsstandes
der Internen Revision in Österreich, das IIA
Austria, am 03. Mai 2011 auf Einladung der
Uniqa Versicherungen AG im Beisein zahlreicher
Mitglieder und internationaler Gäste zu
feiern.
Generaldirektor Dr. Konstantin Klien, Vorsitzender
des Vorstands der UNIQA Versicherungen
AG, begrüßte in den Räumlichkeiten des
Uniqa-Towers 290 Gäste aus rund 70 Ländern.
Neben Mitgliedern des IIA Austria nahmen
auch internationale Vertreter des in dieser Woche
erstmalig in Wien tagenden IIA Global
Council teil. In seiner Ansprache betonte Dr.
Klien die Bedeutung der Internen Revision für
das Top-Management und sah die Einladung in
den Räumlichkeiten der UNIQA Versicherungen
AG als Dankeschön an die Interne Revision
für viele wertvolle Empfehlungen an.
Mag. Angela Witzany, Vorstandsvorsitzende
des IIA Austria, hieß neben dem Hausherren
auch Ehrenmitglieder und ehemalige Vorstandsmitglieder
willkommen und nutzte die
Gelegenheit, dem Sponsor und insbesondere
Herrn Prof. Dr. Hauser sowie allen aktiven und
ehemaligen Akteuren des IIA Austria für ihren
Einsatz und ihr Engagement zu danken. Im
Rahmen einer beeindruckenden Leistungsbilanz
wurde dargelegt, dass sowohl das IIA Austria
als auch die Akademie Interne Revision mit
ihren Themen am Puls der Zeit sind. Der Ausblick
auf die Arbeitsschwerpunkte der Zukunft,
wie die weitere Unterstützung der Mitglieder in
ihrer Revisionsarbeit, die Öffentlichkeitsarbeit,
Aktivitäten zur Intensivierung des Zugangs zu
den Universitäten und die internationale Zusammenarbeit
sollen auch in Zukunft sicherstellen,
dass „VON Mitglieder FÜR Mitglieder“ als
Herausforderung gesehen wird.
Grußbotschaften von Günter Meggeneder,
Chairman des IIA, Richard Chambers, IIA Präsident
und CEO, sowie von Phil Tarling, Präsident
des ECIIA verwiesen auf die Erfolge des
IIA Austria, das mit seinem großen Engagement
auch Vorbild für die Revisionsinstitute anderer
Länder ist. Bernd Schartmann, Sprecher
des Vorstands des Deutschen Instituts für Interne
Revision, und Stephan Eggenberg, Präsident
des schweizerischen Verbands für Interne
Revision, verwiesen auf die jahrelange gute
Zusammenarbeit, wie aktuell die Enquete 2011,
eine gemeinsame Befragung der deutschsprachigen
Institute zu revisionsspezifischen Themenstellungen
sowie zu aktuellen Entwicklungen
in der Internen Revision bzw. die gemeinsamen
Tagungen in der Vergangenheit und
Zukunft. Die aktuellen Veranstaltungen in Wien,
das Global Council sowie die CEE-Conference,
wurden als Höhepunkt der erfolgreichen Aktivitäten
des IIA Austria hervorgehoben und wurde
Wien für diese Woche zur „Hauptstadt der Internen
Revisoren“ gekürt. Die Grußworte endeten
in der Botschaft „Bewahren Sie den
Schwung und Elan und tragen Sie ihn in die
Zukunft.“
Den Festvortrag im Form eines Dinner Speech
hielt der Journalist Ronald Barazon, der dem
IIA Austria bereits in der Vergangenheit als
wertvoller Partner bei Veranstaltungen zur Seite
stand und sich als Anhänger der Berufsgruppe
der Internen Revisoren outete. Mit viel Elan
und auf seine bekannt humorvolle Art betonte
er die steigende Bedeutung der Internen Revision
in den letzten Jahren, legte aber auch ihre
Rolle im Unternehmen dar. Insbesondere hob
er die Aktivitäten der Revisionsinstitute in Sachen
Advocacy hervor, die aus seiner Sicht ein
wesentlicher Erfolgsfaktor für die Zukunft sind.
Stilvoll begleitet wurde die Veranstaltung durch
die Darbietungen des Streichquartetts der Jungen
Philharmonie, die den prachtvollen Rahmen,
die Festansprachen, das gelungene Menu
und die Möglichkeiten zum Austausch zwischen
Mitgliedern, ehemaligen Vorstandsmitgliedern
und Kollegen sowie den internationalen Gästen
abrundeten.
Die vielen positiven Rückmeldungen, auch von
den internationalen Gästen, bestätigten den
Eindruck einer gelungenen Veranstaltung und
motivieren sowohl den Vorstand als auch die
Geschäftsführung und Mitarbeiterinnen des Instituts
und der Akademie in ihrem Engagement
fortzufahren.
IIA 07
Institut für Interne Revision
Audit Journal
Mag. Birgit Fahrnberger
Seite 2

IIA Global Council in Wien vom 1. bis 4. Mai 2011
Mehr als 125 IIA Mitglieder und Mitarbeiter aus
knapp 70 Ländern weltweit nahmen am Global
Council in Wien teil. Anwesend waren Mitglieder
des IIA Exekutiv-Komitees, die Vorsitzenden
bzw. Mitglieder der nationalen Vorstände,
des IIA, Geschäftsführer und IIA Mitarbeiter.
Den Teilnehmern wurden Statusberichte von
Mitgliedern des IIS Exektuiv-Komitees und dem
Präsidenten und CEO über CBOK (Global
Internal Audit Survey), den Strategieplan sowie
ein Update zu den Themen des letztjährigen
Global Council in Atlanta mit den zu treffenden
Maßnahmen gegeben. Direkt in Verbindung zur
Veranstaltung des letzen Jahres stehen:
• Value Proposition of Internal Auditors –
wurde weiter entwickelt zu Artikel und Broschüren
sowie übersetzt in dzt. mindestens
vier Sprachen
• ein neues Licensing and Regulations Whitepaper
wurde zur Verwendung für die Institute
weiterentwickelt
• das PCB (Professional Certification Board)
arbeitet an neuen mehrstufigen Zertifizierungen
• und Advocacy-Aussendungen für die nächsten
Monate wurden entworfen.
Im Rahmen des Global Council in Wien standen
Vorträge und vor allem intensive Diskussionsrunden
zu den folgenden vier Themen am
Programm:
1. Die Rolle der Internen Revision in
Governance, Risk und Compliance
2. Identifizieren von aktuellen Themen und
Herausforderungen für die Interne Revision
3. Entwicklung und Verbreitung globaler
Advocacy Aussagen
4. Nutzung und Verbreitung von Informationen
und Wissen
Im Rahmen des Global Council in Wien wurden
noch keine Schlussfolgerungen gezogen, aus
den Diskussionsrunden konnten jedoch bereits
einige gemeinsame Themen erkannt werden.
1. Die Rolle der Internen Revision in
Governance, Risk und Compliance
a. Die Interne Revision spielt eine Rolle, aber
diese ist nicht ausreichend definiert und es
gibt große Unterschiede zwischen den Ländern,
öffentlichem und privatem Bereich,
Größe und Entwicklungsgrad der Organisation.
b. Man sollte vorsichtig sein, bei dem was wir
versprechen! Nicht alle internen Revisoren
haben die Fähigkeiten und Kompetenzen,
ordnungsgemäße Arbeit zu erbringen. Das
IIA muss sowohl den Internen Revisoren als
auch den Vorständen Unterstützung bieten,
vor allem in der Rolle der Internen Revision
in der Governance.
c. das IIA muss die Rolle der Internen Revision
rasch definieren und versuchen, diese den
Stakeholdern zu vermitteln, um einen Sitz am
Tisch zu halten.
d. das IIA (und die nationalen Institute) sollten
mit anderen Fachleuten (und Berufsverbänden)
in den Bereichen Risikomanagement
und Compliance zusammen arbeiten.
2. Identifizieren von aktuellen Themen und
Herausforderungen für die Interne Revision
Folgende Themen wurden als prioritär eingestuft:
a. die Rolle der Internen Revision in
Governance und Risikomanagement
b. Prüfung strategischer Initiativen und Prozesse
c. Talent Management – Zurverfügungstellung
der Internen Revisionstätigkeit, der Rekrutierung
und Bindung qualifizierter Prüfer
d. Erstellung von Prüfvermerken über Kontrollen
3. Entwicklung und Verbreitung globaler
Advocacy Aussagen
a. Den Teilnehmern gefiel die Idee globaler
Advocacy Aussagen, wollen aber sicherstellen,
dass sie auf lokaler Ebene angepasst
und umgesetzt werden können,
Seite 3

. Mehrere Vorschläge wurden gemacht, um
die vorgesehenen Advocacy Aussagen zu
ändern / überarbeiten.
c. Das Three Lines of Defense Model zeitigte
großes Interesse und führte zu intensiven
Diskussionen
d. Das IIA sollte fortfahren in der Entwicklung,
der Kommunikation und der Suche nach weiteren
Unterstützern für Advocacy.
4. Nutzung und Verbreitung von Informationen
und Wissen
a. Die meisten Institute erarbeiten keine eigenen
Grundsätze und Publikationen; für alle
jene, die dies tun ist eine sog. Zwei-Wege-
Kommunikation erforderlich. Die IIA Research
Foundation kann hier als eine Art
Clearingstelle für jene Institute, die Forschungstätigkeit
durchführen, dienen.
b. Finanzierung und Übersetzung sind zentrale
Herausforderungen der Institute bei der Arbeit
an gemeinsamen Forschungspriojekten.
c. Eine Website-Datenbank der Prioritäten, aktueller
Projekte und globaler, regionaler und
lokaler Forschungsaktivitäten wäre wichtig
und würde helfen, die Beteiligung zu intensivieren.
Viele wertvolle Anregungen wurden beim Global
Council in Wien gesammelt und werden an
die zuständigen Ausschüsse oder Gruppen zur
Prüfung und weiteren Bearbeitung übergeben.
Über die Ergebnisse der weiteren Beratungen
und Entscheidungen wird auf dem nächstjährigen
Global Council berichtet werden bzw. in die
laufenden Aktivitäten des IIA und der nationalen
Institute einfließen.
Das Global Council 2011 begann mit einer Führung
durch das Obere Belvedere und einem
gemütlichen Abend im Salm-Bräu und endete
mit einer Tour zum Stift Melk und einem entspannten
Mittagessen in der Wachau.
IIA 07
Institut für Interne Revision
Audit Journal
Zum Abschluss einige Kommentare, die uns nach Ende des Global Council erreichten:
Denny Beran (IIA Senior Vice Chairman, Nachfolger von Günther Meggeneder als Chairman des IIA
ab Juli 2011):
I would like to thank you once again for making our visit to your Country such a wonderful experience.
Your hospitality was incredible. We experienced a wonderful culture where people
were so friendly and helpful.
We especially appreciated the effort both of you put into making each of your guests feel so very
much at home. We had such a GREAT time not only meeting and spending time with the delegates
who were attending our Global Council but also talking with the citizens on Austria.
Were so glad to be part of celebrating Austria's 50th anniversary as part of The IIA. You know
how much we all value being part of the Global IIA. By spending several days with our Global
leaders, it made us appreciate it even more.
As I mentioned as part of my presentation, I value the exceptional leaders that are part of our
Global organization. Looking out at the audience when I was speaking was such an awesome
feeling because I realized that I was talking with a group of professionals who were making such
a difference and were focused on doing all that they could for our profession.
We will remember our visit to your GREAT Country as one that we will always treasure and cherish
for the rest of our lives. Thanks again to both of you for your outstanding hospitality.
Denny
Seite 4

Richard Chambers (CEO and President of the IIA):
Just a quick note to say thank you to for an extraordinary week of meetings and hospitality. The
CSO meetings, Global Council and CEE Conference were well organized and the logistics support
was flawless. The CEE Conference well produced with an impressive attendance. Finally,
the evening events and networking day of local touring were first class! You should both be very
proud of the outstanding manner in which the week flowed. I commend both of you and the entire
IIA Austria team on a job well done!
Finally, I want to reiterate congratulations on behalf of the Global Body on the occasion of the
50th anniversary of IIA Austria. Yours is clearly one of the premier institutes in the global organization,
and IIA Austria’s members are fortunate to have leaders of your caliber at the helm of the
organization.
Richard F. Chambers CIA, CGAP, CCSA
Sylvia Gonner (IIA Vice President, Global Relations & Development)
I want to echo Richard’s message of congratulation and gratitude to you. I want to thank you for
your wonderful hospitality and support. This event and the city of Vienna will remain one of my
fondest memories in my IIA career.
Vielen Dank!
Sylvia Gonner
Seite 5

6. CEE (Central and Eastern Europe) Konferenz in Wien
Das Institut für Interne Revision Österreich richtete
im Mai 2011 die 6. internationale CEE-
Konferenz in Wien aus.
Die CEE-Konferenz hat als sechste derartige
Konferenz – diesmal in Wien - stattgefunden.
Die bisherigen – sehr erfolgreichen – fünf Konferenzen
wurden in Budapest, Bratislava, Prag,
Bukarest und Opatija abgehalten.
Knapp 300 Teilnehmer aus 32 Ländern nützten
die Gelegenheit, absolute Top-Referenten auf
dem Gebiet der Internen Revision im Arcotel
Wimberger in Wien zu einem konkurrenzlosen
Preis zu sehen und zu hören. Etwa die Hälfte
der Teilnehmer kam aus Österreich, die zweite
Hälfte aus den anderen 31 Ländern.
Es ist auch gelungen, absolute Top-Referenten
aus 16 Ländern für diese Veranstaltung gewinnen
zu können: Belgien, Bosnien & Hercegowina,
Deutschland, Großbritannien, Kroatien,
Lettland, Montenegro, Polen, Russland, Serbien,
Slowakei, Schweiz, Tschechische Republik,
Ungarn, USA und Österreich.
Am ersten Tag fanden Plenarsitzungen mit Vorträgen
vom Chairman des IIA, dem Präsidenten
und CEO des IIA, dem Chairman der ECIIA,
dem Generaldirektor des Internen Revisionsdienstes
der Europäischen Kommission, einem
Vertreter der INTOSAI und Top-Experten für
Advocacy und Korruptionsbekämpfung statt.
Beide Tage dieser Konferenz boten allen Teilnehmern
ein breites Spektrum an aktuellen
Themen zur Internen Revision. Darüber hinaus
hatten sie eine ausgezeichnete Gelegenheit aktuelle
Probleme und Entwicklungen mit den Referenten
und Kollegen aus dem CEE-Raum
während der Tagung oder beim Gala-Dinner
(Donnerstagabend) zu diskutieren und neue
Kontakte zu knüpfen oder bisherige zu vertiefen.
Die Vorträge wurden in Deutsch oder Englisch
gehalten, wobei für alle Vorträge Simultanübersetzungen
(Deutsch-Englisch, Englisch-
Deutsch) angeboten wurden.
Nach der Eröffnung
durch die
Vorsitzende des
österreichischen
Instituts, Angela
Witzany, stellte
der IIA Chairman,
Günther Meggeneder,
gemäß
dem Motto seines
Vorsitzes „Shape
the Future“ die
Rolle der Internen
Revision in einer sich stark verändernden
Landschaft vor und was die Interne Revision
dazu beitragen kann.
IIA 07
Institut für Interne Revision
Audit Journal
Am zweiten Tag wurde die Konferenz in vier
parallelen Tracks fortgesetzt: Fraud, öffentlicher
Sektor, Finanzen und Governance/Risiko.
Phil Tarling, ECIIA President, referierte über
die 8. EU Richtlinie und ihre Auswirkungen auf
die Interne Revision. Als Schlussfolgerung hielt
er fest, dass das Audit Committee Pläne haben
muss, um das Interne Kontrollsystem, das Risiko
Management und die Interne Revision zu
überwachen. Das Audit Committee kann die Interne
Revision dazu einsetzen, das Interne
Kontrollsystem und das Risiko Management zu
überwachen. Das Audit Committee braucht eine
klare Ansicht darüber, wie es die Arbeit der
Internen Revision überwacht. Die Interne Revi-
Seite 6

sion könnte dabei assistieren, indem sie den
Qualitätsprüfungsprozess unterstützt.
Richard Chambers, IIA President and CEO,
setzte fort mit einem sehr interessanten Vortrag
über die „Eigenschaften eines höchst erfolgreichen
Revisionsleiters“. Ein Vortrag mit Aussagen,
den eigentlich niemand missen sollte.
Helmut Berger, Österreichischer RH, hielt ein
Referat über die INTOSAI-Plattform zur Erarbeitung
internationaler Standards und zum
Wissensaustausch.
Themen waren der Strategische Plan und die
Strategischen Ziele der INTOSAI, das Regelwerk
der INTOSAI, das Unterkomitee für die Interne
Kontrolle, die INTOSAI–Richtlinien mit
Bezug zur Internen Revision, Interne Kontrollnormen
im öffentlichen Sektor und die Unabhängigkeit
der Internen Revision im öffentlichen
Sektor, etc.
• Abschaffung bzw. deutliche Einschränkung
des Bankgeheimnisses (gegen hartnäckigen
Widerstand von Österreich und Liechtenstein)
• Offenlegung von Parteispenden (in Europa
praktisch Standard, nicht in Österreich)
• Offenlegung von Politikervermögen und –
einkommen in Spanien
• Maßnahmen gegen offshore Unternehmen?
• Maßnahmen gegen Consulter-Vereinbarungen?
• Meldepflicht für Wirtschaftsprüfer und Revisionsunternehmen?
Brian Gray, Director General, Internal Audit
Service of the European Commission, erläuterte
die “First Overall Opinion of the Internal Auditor
of the European Commission“.
Martin Kreutner, Leiter der Internationalen Anti-Korruptions
Akademie, informierte über die
internationale Anti-Korruptions Sommer Akademie.
Sergey Martynov, (President of the Russia
Chapter of the ACFE - Association of Certified
Fraud Examiners) hielt einen Vortrag über
Vermeidung und Bekämpfung von Wirtschaftskriminalität
in großen russischen Unternehmen.
Walter Geyer, Leiter der Zentralen Staatsanwaltschaft
zur Bekämpfung von Wirtschaftsstrafsachen
und Korruption, referierte über die
Aufgaben und künftigen Entwicklungsstrukturen
der Zentralen Staatsanwaltschaft zur Verfolgung
von Wirtschaftsstrafsachen und Korruption.
Als internationale Strategien zur Korruptionsbekämpfung
nannte er:
Transparenz ist das wirksamste Mittel zur Korruptionsbekämpfung
• Abschaffung anonymer Sparkonten (in Österreich
gegen hartnäckigen Widerstand seit
November 2000)
Der Tag klang aus mit einem exzellenten Buffet
und Musik in gemütlicher Atmosphäre.
Der zweite Tag brachte themenbezogene Vorträge
in vier parallelen Vortragsreihen.
Fraud
• Gert WEIDINGER, Österreich
Die zentralen Elemente eines Anti-Fraud-
Management-Systems und ihre Umsetzung
• Stanko TOKIC, Kroatien
Systeme der Internen Kontrolle und Wirtschaftskriminalität
• Helmut SALOMON, Österreich
Effektivere Bearbeitung von betrügerischen
Handlungen mittels Interviewtechnik
• Ana GOSPODINOVIC, Kroatien / Jörg
JOHANNSEN, Österreich
Die Rolle der Internen Revision im Aufspüren
und Bekämpfen von Wirtschaftskriminalität
• Peter ZAWILLA, Deutschland
Die Vielfältigkeit der Motivlagen und Formen
von Wirtschaftskriminalität durch Mitarbeiter
Seite 7

• Kaspars LEBEDEVS, Lettland
Wirtschaftskriminalität in der Telecom Industrie
• Matthias KOPETZKY, Österreich
Vorschläge zur Vermeidung von Korruption
– unbequeme Einsichten
• Viliam KACERIAK, Slowakei
Wissen Sie, was in Ihren Zweigniederlassungen
geschieht?
Public Sector
• Grzegorz PIATAK, Polen
Wie wird Effektivität in der öffentlichen Verwaltung
verstanden und bewertet?
• Paul JAUERNIG, Österreich
Interne Kontrollsysteme im Magistrat der
Stadt Wien - ein Beratungsprojekt der Internen
Revision
• Esther STERN, OSCE, Österreich/Kanada
Praktische Erfahrungen mit Audit
Committees in internationalen Organisationen
• Edith GOLDEBAND, Österreich
Subsidiarität in der staatlichen Finanzkontrolle
- Positionierung des NÖ LRH
• Nata LASMANE, Lettland
Optimierung interner Revisionssysteme
• Alexandra FINZ, Österreich
Die Bundesbudgetreform und ihre Auswirkungen
auf die Interne Revision
• Joanna MROWICKA, Polen
Erstellung neuer Managementsysteme im
öffentlichen Bereich in Europa
• Hannes SCHUH, Österreich
Risikoorientierung als Grundlage einer modernen
und wirksamen Internen Revision
Finance
• Katarina DJULIC, Serbien
Beurteilung von Corporate Governance
Praktiken
• Ulrike HORNER, Österreich
Das Interne Kontrollsystem im Finanzsektor
• Vincent SANTAMARIA, Tschechische Republik
Optimierung operativer Risiken in Banken
• Birgit STEIGER, Österreich
ICAAP - Gesamtbankrisikosteuerung (Internal
Capital Adequacy Assessment
Procress)
• David BICHLER, Österreich
Internal Audit Reporting
• Amir SOFTIC, Bosnien und Hercegovina
Entwicklung von Front-End-Systemen als
wichtiges Werkzeug effizienter Kreditprozesse
in Finanzinstitutionen
• Grazyna P. WOJCIK, Polen
Erstellung neuer Managementsysteme im
öffentlichen Bereich in Europa
• Slavko RAKOCEVIC, Montenegro
Interne Revision und Compliance – unterschiedliche
Kontrollstufen
Governance & Risk
• Olga ANTIC, Serbien
Ethische Konflikte und Verhaltenskodex
• Michael VERTNEG, Österreich
Corporate Governance und Interne Revision
• Peter GALAMBOS, Ungarn
Fragen, die in jeder Prüfung gestellt werden
sollten
• Flemming RUUD, Schweiz
Risk Control Assurance
• Aslan MILLA, Österreich
Interne Revision und Wirtschaftsprüfung -
Konkurrenten oder Partner?
• Margit KUPFERSCHMIDT / Rosa ZEHNER,
Österreich
Corporate Social Responsibility und Nachhaltigkeitsmanagement
• Pavel VACHA, Tschechische Republik
Technologie in der Praxis der Internen Revision
– ein möglicher Ansatz um der Effektivität
der Internen Revision einen Schub zu
verleihen
• Kurt BERTHOLD; Österreich
Risiko Management mit Fokus auf EuroSOX
Insgesamt war die 6. CEE Konferenz ein voller
Erfolg für das österreichische Institut, begeisternde
Zuschriften – vor allem auch von ausländischen
Teilnehmern – bestätigen dies sehr
eindrücklich.
Die 7. CEE Konferenz ist für den 10. und 11.
Mai 2012 in Sarajewo, Bosnien und Hercegovina,
geplant.
Mag. Norbert Wagner
IIA 07
Institut für Interne Revision
Audit Journal
Seite 8

Public-Sector-Session der 6. CEE-Konferenz
Die acht Vorträge von Vertreterinnen und Vertretern
einer internationalen Organisation und
von drei Nationen zeigten einmal mehr die Dynamik
und Themenvielfalt des öffentlichen Sektors
auf. Drei Vorträge mit den Themen Effektivität
und Qualität, wirkungsorientierte Budgets
und neue Managementsysteme unterstrichen
die strategische Ausrichtung der Verwaltungen.
Der Kontext der Internen Revisionen wurde
durch Vorträge über Audit Committees und die
Subsidiarität der staatlichen Finanzkontrolle
näher untersucht und letztlich wurden Kernthemen
der Revision, wie Interne Kontrollsysteme
in einer Stadtverwaltung, Optimierung Interner
Revisionssysteme sowie Risikoorientierung
angesprochen. Wobei diese Vorträge wieder
zur strategischen Ausrichtung verwiesen
und somit den logischen Kreis schlossen.
Die Vorträge können der Reihenfolge des Tagungsprogrammes
entsprechend wie folgt skizziert
werden:
Grzregorz Piatak, Polen, Revisor des Voivod
Employment Office in Zielona Gora, sprach
über das Thema " Wie wird Effektivität in der öffentlichen
Verwaltung verstanden und bewertet?".
Er legte dar, dass gesetzliche Bestimmungen
oft auch Verpflichtungen zu Effizienz
und Effektivität enthalten und knüpfte daran die
Fragen der Evaluierung und des Feedbacks an
die Gesetzgeber, die er über die Verpflichtung
gegenüber der Öffentlichkeit (teilweise) beantwortete.
Den Fokus legte er dabei auf die Qualität
in der Prüfung wie auch auf die Prüfung der
Qualität und vertiefte sich in den Bereich des
Quality Assessment Frameworks.
Dr. Paul Jauernigg, Österreich, Leiter der Internen
Revision der Wiener Magistratsdirektion
und stellvertretender Magistratsdirektor für Personal
und Revision, stellte "Interne Kontrollsysteme
im Magistrat der Stadt Wien - ein Beratungsprojekt
der Internen Revision" vor. Nach
einer überblicksweisen Vorstellung von Wien in
seiner komplexen Vielfalt, mit seinen 60.000
Planstellen (ohne Stadtwerke) und einem Budget
von 11 Milliarden Euro, hob er die immer
stärker werdende Bedeutung internen Kontrollsysteme
im Rahmen der Managementfunktion
hervor. 2008 bis 2009 wurden die IKS flächendeckend
dargestellt und von der Internen Revision
auf Schlüssigkeit und Qualität geprüft und
mit Anmerkungen und Empfehlungen abgenommen.
Durch die näher ausgeführte Arbeit
der IR haben sich die Dienststellen intensiv und
systematisch mit den IKS auseinander gesetzt,
wurden in der Praxis Mindeststandards eingeführt,
Kontrolllücken geschlossen und bestehende
Systeme weiterentwickelt. Das nächste
Etappenziel (2012) besteht in der Sicherung
der Internen Kontrollsysteme und in der Erhöhung
ihres Reifegrades.
Esther Stern, OSCE, Direktorin des Office of
Internal Oversight, berichtete über praktische
Erfahrungen mit Audit Committees in internationalen
Organisationen. Die OSCE umfasst 56
Mitgliedstaaten und 12 Kooperationspartner,
hat 2.500 Mitarbeiter und verfolgt die Ziele Stabilität,
Wohlstand und Demokratie. Nach der
Einrichtung professioneller und unabhängiger
Interner Revisionen Mitte der 1990er wurden
vor ungefähr einem Jahrzehnt erstmals Audit
Committees eingerichtet. Obwohl es einen
deutlichen Fortschritt in der Entwicklung der
Prüffunktionen gegeben hat, ist dennoch eine
Verbesserung im Bereich des internal audit und
des external audit möglich. Viele Revisionen
sind mittlerweile in Oversight Committees integriert.
Sie umfassen Prüf-, Evaluierungs- und
Nachforschungsfunktionen. Bei anderen Internationalen
Organisationen wiederum gibt es
noch gar keine Audit Committees. Obwohl Herausforderungen
der ACs u.a. im politischen
Kontext, der Positionierung und der quantitativen
und qualitativen Zusammensetzung bestehen,
gibt es auch eine Reihe positiver Effekte.
2008 hat RIAS (Representatives of Internal Audit
Services of the UN and Multilateral Institutions)
ein Positionspapier allgemein anerkannten
AC-Grundsätzen und Good Practices veröffentlicht.
Letztlich wurden noch Ergebnisse eines
Benchmarks mit dem IIA-Instrument "GAINS"
vorgestellt.
Dr. Edith Goldeband, Österreich, Direktorin
des Niederösterreichischen Landesrechnungshofes,
erörterte die Subsidiarität in der staatlichen
Finanzkontrolle anhand der Positionierung
des Niederösterreichischen Landesrechnungshofes.
Nach einer kurzen Vorstellung des Nö.
LRH sprach sie die aktuellen Herausforderungen
an, die sich aus den Folgen der Finanzund
Wirtschaftskrise, dem österr. Stabilitätsprogramm
2010-2014 und aus Europa 2020 (intelligentes,
nachhaltiges und integratives Wachstum)
ergeben. Sie skizzierte die vielfältige, viele
Seite 9

Ebenen umfassende Kontrolllandschaft von der
EU bis zur Internen Revision, die letztlich über
einen Kontrollverbund und die Prinzipien Subsidiarität
und Proportionalität (z.T.) lösbar ist.
Der Kontrollverbund umfasst eine verstärkte
Zusammenarbeit einerseits interner und externer
Finanzkontrollen, andererseits aber auch
nationaler und internationaler Prüfeinheiten.
Nata Lasmane, Lettland, Revisionsleiterin des
Finanzministeriums, erörterte die Optimierung
Interner Revisionssysteme. Die Interne Revision
ist direkt unter der politischen Ebene des
Ministeriums angesiedelt und beinhaltet auch
die Prüfung der EU-Fonds. Nach einer Kurzdarstellung
der nationalen Verwaltungsstruktur
wurden die Verantwortlichkeiten und Ziele der
Central Harmonization Unit und jene der internen
Revision dargestellt. In der Folge wurde
das Glaubwürdigkeitsproblem von Prüfungen in
Zusammenhang mit der Finanzkrise anhand
von 6 Vorurteilen angesprochen und mit Gegenpositionen
widerlegt oder zumindest wesentlich
entschärft. Als Schwachstellen wurde
eine geringe (Personal-)Kapazität angesprochen,
weiters, dass ein Großteil der Hochrisikobereiche
nicht geprüft werden konnte und
50% der Empfehlungen nicht umgesetzt wurden.
Dem steht aber eine positive Entwicklung
im Bereich IT-Projekte, Schulungen, Empfehlungen,
Überwachung nachgeordneter Dienststellen,
Präventivmaßnahmen etc. gegenüber.
Abschließend wurde der Weg zu einer Gesamtbeurteilung
des Budgets aufgezeigt.
Mag. Alexandra Finz, Österreich, Leiterin der
Abteilung EU-Finanzkontrolle und Interne Revision
im Lebensministerium, stellte die Bundesbudgetreform
und ihre Auswirkungen auf die Interne
Revision vor. Nach einer Kurzdarstellung
der Aufgaben, Leistungen und des Rollenverständnisses
ihrer Abteilung skizzierte sie die
Verwaltungsentwicklungen seit den 1960ern
um dann auf die erste und zweite Etappe der
Haushaltsreform des Bundes einzugehen. Diese
zeichnet sich durch eine Integration von
Wirkung und Leistung in das Budget, Einführung
eines neuen Rechnungswesens, Anreize
zur effizienten Mittelverwaltung, Aufzeigen geschlechterspezifischer
Auswirkungen u.a. aus.
Zentrale Steuerungselemente sind der Strategiebericht
des BMF, Globalbudgets auf Ressortebene
und ressortinterne Steuerungen in
Form von Ressourcen-, Ziel und Leistungsplänen.
Für die Revision ergeben sich dadurch
neue Prüffelder (Instrument des neuen Haushaltsregimes,
Umsetzung, neue Erfassungssysteme,
...) und eine Chance zur Stärkung ihrer
Rolle durch Beratung und Wissenstransfer.
Insgesamt bedeutet die Haushaltsreform für alle
einen Kulturwandel.
Joanna Mrowicka, Polen, Leiterin des Departments
für Revision und Interne Kontrolle
der Poznan University of Technology sprach
über die Erstellung neuer Managementsysteme
im öffentlichen Bereich in Europa. Nach einem
Vergleich der Audit Trails im öffentlichen und
privaten Bereich hob sie Best-Practice-
Beispiele der EU hervor, .z.B. Internal Control
Standards der Europäischen Kommission, Public
Internal Finance Control, EUROSAI-Guide
über Audit Quality, u.a.) und führte das systemische
Zusammenspiel der Prüfkörper näher
aus. Inter alia spielen dabei das Self
Assessment, Peer Reviews und interne wie externe
Kommunikation wichtige Rollen.
Dr. Hannes Schuh, Österreich, Leiter der Internen
Revision des BMF, betrachtete die Risikoorientierung
als Grundlage einer modernen
und wirksamen Internen Revision. Ausgehend
von einer dynamischen Verwaltungsentwicklung
skizzierte er die strategische Ausrichtung
der Revision im Verhältnis zu den Zielen der
Verwaltung um dann zwei Beispiele herauszugreifen.
Zum einen wurde risikoorientierte Ansatz
in einem Prüfprozess skizziert und anhand
des Themas Berichtswesen/Kommunikation mit
Beispielen dargestellt, zum anderen wurde die
Prüfung der Risikoorientierung selbst näher untersucht
und anhand von Prüfungsfragen dargestellt.
Eine Grundaussage war dabei, dass
das Risikoverständnis der Verwaltung von seiner
Positionierung im Rahmen der allgemeinen
Verwaltungsentwicklung abhängt und die Revision
auf diesen Umstand ebenso Rücksicht
nehmen muss, wie auf die allgemein anerkannten
Risikomanagementstandards und die aktuellen
Erkenntnisse der Scientific Communitiy.
Dr. Hannes Schuh
IIA 07
Institut für Interne Revision
Audit Journal
Seite 10

Let´s talk Audit – Nachhaltigkeit / CSR prüfen?
Unter dem Titel „CSR / Nachhaltigkeit auf dem
Prüfungsplan der internen Revision? – Luxus
oder Notwendigkeit“ fanden am 17. März (in
Graz) und am 4. Mai 2011 (in Wien) zwei weitere
Veranstaltungen aus der Reihe „Let’s talk
Audit“ statt. Gemeinsam organisiert wurden
auch diese Veranstaltungen von dem Institut für
Interne Revision und von Ernst & Young.
Zur Wiener Veranstaltung:
Frau Mag. Habereder, Projektleiterin bei
respACT – austrian business council for sustainable
development, die führende Unternehmensplattform
für Corporate Social Responsibility
(CSR) und Nachhaltigkeit in Österreich, leitete
die Diskussion mit einem Impulsreferat
zum Thema „CSR und die Rolle der internen
Revision“ ein. Sie stellte die Aktivitäten und
Schwerpunkte von respACT vor und erläuterte
die Inhalte des CSR-Leitbildes welches unter
Einbindung verschiedenster Stakeholder im
Jahr 2009 erarbeitet wurde und sich an alle österreichischen
Unternehmen richtet. Es zeigt,
welche Aspekte die Begriffe Nachhaltigkeit und
CSR umfassen und dient als Anleitung, wie
diese im Unternehmen umgesetzt werden können.
Das Leitbild ist in fünf Handlungsfelder
gegliedert: Führung und Gestaltung, Markt,
MitarbeiterInnen, Umwelt, Gesellschaft.
Veranschaulicht wurden die Inhalte anhand von
österreichischen Best-Practice Beispielen.
So wurde für das Handlungsfeld „Führung und
Gestaltung“ aufgezeigt, wie Nachhaltigkeit/CSR
strategisch auf Führungsebene umgesetzt und
so das Vertrauen in die Firma gestärkt werden
kann. Im Bereich „Markt“ wurde demonstriert,
wie durch eine nachhaltige Produktgestaltung
neue Märkte erschlossen werden können. Dass
Unternehmen die Mitarbeitermotivation und ihre
Reputation am Arbeitsmarkt im Rahmen ihres
Nachhaltigkeit/CSR-Managements steigern
können, wurde im Handlungsfeld „MitarbeiterInnen“
aufgezeigt. Wie ein gezieltes Umweltmanagementsystem
auch Kosteneinsparungen
mit sich bringen kann, wurde unter dem Aspekt
„Umwelt“ vorgestellt. Durch die Verbindung des
Kerngeschäfts mit einer sozialen Problemstellung
können und sollen Unternehmen auch im
Bereich „Gesellschaft“ Verantwortung übernehmen.
Frau Mag. Habereder betonte, dass der Leitfaden
nur eine Hilfestellung für Unternehmen
darstelle und nicht „prüfbar“ sei. Dafür gäbe es
andere Standards, wie beispielsweise der Berichtstandard
für gesellschaftliche, ökologische
und ökonomische Performance der Global Reporting
Initiative, welcher geeignete Prüfkriterien
und Indikatoren bietet.
Authentisch wirke ein Unternehmen, welches
sich CSR/Nachhaltigkeit an die Fahne hefte nur
dann, wenn es diesen Aspekt umfassend in
seine Management- und Berichtsysteme integriert
habe. Dabei käme der Internen Revision
eine bedeutende Rolle zu. Die Prüfung von sozio-ökologischen
Kennzahlen und Einhaltung
relevanter Standards, sowie die Sicherstellung
der Umsetzung notwendiger Prozesse im Unternehmen,
können als Beispiele genannt werden.
Weiters könne die Interne Revision die Implementierung
von CSR/Nachhaltigkeit in den Unternehmen
unterstützen, indem die geprüften
Einheiten durch das Aufzeigen möglicher Risiken
zum Thema sensibilisiert werden. Viele Unternehmen
seien sich gar nicht bewusst, dass
Nachhaltigkeit/CSR ein Thema für sie sei, so
ein Diskutant.
Problematisiert wurde auch inwiefern sensible
Prüfbereiche, wie beispielsweise Mitarbeiterdaten
im Gesundheitsbereich, geprüft werden
sollten. Dies könne auch kontraproduktiv für ein
Unternehmen sein.
Zusammenfassend kann festgehalten werden,
dass ein zielführendes Nachhaltigkeit-/CSR-
Management von „oben“, sprich der Geschäftsführung
strategisch implementiert werden
muss, da sonst die Gefahr besteht, dass nur
punktuell Aspekte umgesetzt werden. Ein
nachhaltig ausgerichtetes Unternehmen muss
Prozesse und Berichtssysteme implementieren,
die das Thema Nachhaltigkeit und CSR messbar
und somit steuerbar machen. Dabei sollte
die interne Revision die Überwachung dieser
Prozesse und Systeme übernehmen und sicher
stellen, dass die wichtigen Risiken adressiert
werden.
Jörg Johannsen
Ernst & Young
Seite 11

IIA 07
Institut für Interne Revision
Audit Journal
Fotos: Veranstaltung Let’s talk Audit am
17.3.2011 in Graz, Impulsreferat durch Hrn.
Dr. Peter Winkler, Faircheck Schadensservice
GmbH.
-> siehe auch Artikel im Audit Journal, Heft 1 /
April 2011.
Das Institut für Interne Revision hat für alle Teilnehmerinnen und Teilnehmer an den Veranstaltungen
• 50-Jahr-Feier
• CEE – Conference
• 4. Dreiländer-Konferenz der IR in der Versicherungswirtschaft
• ERFA Graz
zur Erinnerung und für alle anderen als kleine Impression Fotogalerien auf unsere Homepage
www.internerevision.at gestellt.
Seite 12

30. Mitgliederversammlung am 9. Juni 2011
Auch bei der Mitgliederversammlung des Instituts
für Interne Revision gab es heuer eine
„runde“ Zahl. Bereits zum 30. Mal fand eine
MGV statt, bei der Vereinsmitglieder die Gelegenheit
hatten, sich einerseits über die aktuelle
Lage und die Entwicklung des Instituts zu informieren
und andererseits einen Ausblick auf
die geplanten Aktivitäten zu erhalten. Vielen
Dank an dieser Stelle an alle, die an der MGV
teilgenommen haben für Ihr Interesse!
Nach Erledigung einiger formaler, aber vereinsrechtlich
notwendiger Punkte, führte Mag. Angela
Witzany als Vorsitzende des IIRÖ durch
das Programm. Anhand einer Präsentation gab
sie einleitend einen Überblick über die Highlights
des 2010/2011. Hier sind jedenfalls die
Veranstaltungen anzuführen: Die Jahrestagung
im September 2010 stand unter dem Titel „Corporate
Social Responsibility“ und fand im Tiroler
Dorf Alpbach statt. Das IIRÖ gab begleitend
eine gleichnamige Broschüre heraus. Erfas
fanden zu den Themen „Wirtschaftskriminalität
– Sonderuntersuchung“ und „Interne Revision
zwischen Vorstand und Aufsichtsrat. Wie entwickeln
sich die Überwachungsstrukturen in
Österreich? Was hat das URÄG 2008 gebracht“
statt. Das letzt genannte wurde aufgrund der
großen Nachfrage sogar wiederholt.
Die 50-Jahr-Feier des Instituts für Interne Revision
fand in einem sehr schönen Rahmen statt.
Aus diesem Anlass wurde auch eine Festschrift
– ein Exemplar wurde bereits jedem Mitglied
übersendet – erstellt.
Mit besonderem Stolz konnte auch über die im
Mai in Wien stattgefundenen internationalen
Konferenzen,
• Global Council 2011 in Wien unter Beteilung
von knapp 70 Ländern weltweit
• Global Executive Leader Team Meeting
und Professional Certification Board Meeting
• 6. CEE Konferenz mit knapp 300 Teilnehmern
aus mehr als 30 Ländern
• Dreiländer Versicherungstagung in Wien
berichtet werden.
Sehr erfreulich ist, dass sich weiterhin viele Revisorinnen
und Revisoren in den eingerichteten
10 Arbeitskreisen (Privatversicherer, Banken,
Public Sector, New Auditors, CIA, EDV, SAP,
Universitäten, Energiewirtschaft, Wirtschaftskriminalität)
engagieren.
Dr. Matthias Kopetzky informierte über die Bereiche
Öffentlichkeitsarbeit und Bildung und
Forschung und beschrieb das geplante Forschungsprojekt
„Gender & Corruption“ an. Zu
den Aktionsfeldern Homepage und Zusammenarbeit
mit Universitäten stellte er die ambitionierten
Zielsetzungen des IIRÖ vor und ersuchte
gleichzeitig um tatkräftige Unterstützung
der Anwesenden, sei es durch Inputs oder
durch Herstellung von Kontakten.
Der finanzielle Status des IIRÖ ist weiterhin
sehr stabil, wenn auch durch vermehrte Aktivitäten
höhere Ausgaben entstanden sind. Gleiches
gilt auch für die Akademie Interne Revision
GmbH, die sich seit ihrer Gründung unter
der Leitung von Mag. Norbert Wagner sehr gut
etabliert hat.
Der aktuelle Mitgliederstand beträgt 450 Mitglieder,
wobei die Firmenmitgliedschaften mit
340 den weitaus größten Anteil darstellen. Wir
freuen uns über eine weitere positive Entwicklung:
2011 sind bereits 34 Beitritte vermerkt
worden.
Die internationalen Beziehungen sind ganz
hervorragend und schlagen sich in Kontakten,
im Austausch und in gemeinsamen Projekten
nieder. So ist Mag. Angela Witzany Mitglied im
Professional Certifications Board des Institute
of Internal Auditors (IIA), Mag. Norbert Wagner
Mitglied des Audit Committees der European
Confederation of Institutes of Internal Auditing
(ECIIA) sowie Mitglied bei GELT (Global Executive
Leader Team) und Chairman European
Executive Leader Team. Es gibt bei den CEE
eine enge Kooperation mit Bosnien/
Hercegovina, Bulgarien, Kroatien, Lettland, Litauen,
Montenegro, Rumänien, Russland, Serbien,
Slowakei, Tschech. Republik, Ungarn sowie
ein Mentor-Programm – Bosnien/Hercegovina
und Serbien.
Die Beziehungen zum Deutschen Institut für Interne
Revision und zum Schweizerischen Verband
für Interne Revision bestehen seit vielen
Jahren und sind traditionell gut.
Seite 13

Der Bericht des Vorstands endete mit einem
Ausblick auf Kommendes. Sowohl die geplanten
Veranstaltungen (Jahrestagung im September,
Erfa im November 2011 und Audit
Competence Conference im Jänner 2012) als
auch die Projekte Enquete 2011, Auswertung
und Publikation der CBOK-Umfrage und die
weitere Verbesserung der Website sind bereits
in Vorbereitung.
Nach der Präsentation berichtete Herr Mag.
Schuster in seiner Funktion als Rechnungsprüfer
des IIRÖ und der AIR über die gemeinsam
mit Fr. Mag Rossgatterer durchgeführten Überprüfungen,
die ein sehr positives Ergebnis erbracht
haben und stellte anschließend den Antrag
auf Entlastung des Vorstandes. Diesem
Antrag folgten die Mitglieder einstimmig.
Direktor Wolfgang Zotter ist auf eigenem
Wunsch aus dem Vorstand des IIRÖ ausgeschieden.
Als sein Nachfolger wurde entsprechend
dem vorgelegten Wahlvorschlag Ing. Otto
Mayerhofer gewählt, der sich davor vorstellte
und einen kurzen Überblick über seinen beruflichen
Werdegang gab.
Abschließend dankte Mag. Witzany ihren Vorstandskollegen
sowie Mag. Wagner für ihr Engagement
und die Unterstützung. Gleiches gilt
für Monika Herrloss, die die administrativen
Angelegenheiten des IIRÖ ausgezeichnet managt
sowie Tanja Rautner und Tanya Sharma,
die die IIRÖ-Veranstaltungen sowie die AIR
hervorragend organisieren bzw. betreuen.
Nach einigen Nachfragen und Kommentaren
wurde der erste Teil der MGV geschlossen. Es
folgte der nächste Programmpunkt „Datenschutz
und Wikileaks aus Sicht der vierten Säule“
von Ulla Schmid, einer sehr profilierten Innenpolitikredakteurin
des Profils. Sie gab uns in
klar nachvollziehbarer Weise durch ihren Impulsvortrag
einen Einblick in den investigativen
Journalismus und informierte die Zuhörerinnen
und Zuhörer über die Grundprinzipien jeder
„Geschichte“, die erforderlichen Internet- und
Papierrecherchen zum Thema und über die
Netzwerke, die für Abstimmungen, Erklärungen
und Gegenchecks notwendig sind und letztlich,
dass auch manchmal ein Quäntchen Glück
notwendig ist.
Fr. Schmid zeigte anhand von Beispielen aus
der jüngeren österreichischen Politik in spannender
Schilderung den Weg vom Erhalt von
Informationen oder Hinweisen von Informanten
bis zur fertigen Story im Profil auf.
In der Diskussion bestand Gelegenheit zu
Nachfragen und zu weiteren Statements zu relevanten
Punkten der Aufklärungsarbeit, die
manchmal ähnlich der Revisionstätigkeit ist und
oftmals ganz gegenteilige Intentionen hat.
Mag. Eva Weiszgerber
IIA 07
Institut für Interne Revision
Audit Journal
Seite 14

News aus den Arbeitskreisen
An dieser Stelle wollen wir Ihnen regelmäßig, kurz und bündig allerlei Interessantes aus den einzelnen
Arbeitskreisen des Instituts für Interne Revision Österreich berichten. Sie sollen dadurch einen Eindruck
bekommen, was Thema in den AK war oder aktuell ist bzw. womit sich die TeilnehmerInnen dieser AK
befassen werden. Vielleicht wird dadurch auch Ihr Interesse geweckt, selbst etwas beizutragen, sei es
durch Ihre Teilnahme, durch Ihren Input oder auf eine sonstige Weise.
Mag. Eva Weiszgerber
AK Public Sector
Der Arbeitskreis Public Sector setzte in letzter Zeit folgende Initiativen:
• Eine temporäre Arbeitsgruppe unter der Leitung von Mag. Alexandra Finz MBA, Leiterin der Internen
Revision des Lebensministeriums, beschäftigte sich mit der Frage der Relevanz der Haushaltsrechtsreform
für die Revisorinnen und Revisoren. Das Ergebnis wurde in der 50-Jahr-
Festschrift des Institutes Interne Revision Österreich publiziert und auf der Zentral- und Osteuropa-
Konferenz präsentiert.
• Auf Initiative und unter der Leitung von Mag. Ines Wilflingseder und Mag. Brigitte Juen hat sich eine
– mittlerweile recht erfolgreiche - Plattform "WIFO-Wissensforum" gebildet. Ihr Ziel ist der Wissensund
Erfahrungsaustausch zwischen Internen Revisionen des Public Sectors mit einer kleinen Mitarbeiterzahl.
• Das Institut IIRÖ und PwC geben gemeinsam ein Buch mit dem (wahrscheinlichen) Titel "Interne
Revision - Positionen und Praxisbeispiele aus dem öffentlichen Sektor" heraus. Die Beiträge
stammen von IIRÖ-Mitgliedern des Public Sectors und PwC. Derzeit laufen die allerletzten Finalisierungsarbeiten.
Erscheinungstermin: demnächst.
Dr. Hannes Schuh
AK Universitäten
Am 7.6.2011 fand bereits das 15. Arbeitskreistreffen seit der Gründung im Oktober 2006 an der Medizinischen
Universität Wien statt. Ein Schwerpunkt dieses Treffen war der Vortrag des Leiters Rechtsabteilung
der Medizinischen Universität Wien zum Thema Forschungsförderung und Auftragsforschung an
Universitäten. Weitere Punkte waren die Themen Corporate Governance und IR an Universitäten sowie
Prüfung der Prozesse der Investitionsprogramme.
Ing. Otto Mayerhofer, Mag. Markus Künzel, MBA
Seite 15

AK Wirtschaftskriminalität
Wie auf der letzten Veranstaltung in Graz angekündigt wird diesmal ein Spezialunternehmen, Scalaries,
zu Gast sein. Ein Vortrag zur den Möglichkeiten legaler Informationsbeschaffung durch Spezialagenturen
(zB beim Preemployment-Screening, Lieferantenchecks, oder eben laufende Untersuchungen in einem
Fall). Das Unternehmen Scalaris wird zu den Do´s und Don´ts im Bereich der Datenbeschaffung -
insbesondere im CEE-Raum - Stellung beziehen und auch unsere kritischen Fragen (zB Datenschutz)
beantworten.
IIA 07
Institut für Interne Revision
Audit Journal
Über besonderen Wunsch wird Dr. Kopetzky eine kurze Präsentation zu Täter-Typologien auf Basis
psychologischer Analysen (Forschungsarbeit der Universität Leipzig) vorstellen, wobei ergänzender Input
aus dem AK sehr erwünscht ist.
Abschließend werden wir ein kurzes Brainstorming zur Abschätzung von Risiken von Treuhandkonten
im Baubereich bei öffentlichen Institutionen und mögliche Prüffelder abhalten. Dies ist eine Anfrage einer
Kollegin aus einer internationalen Organisation.
Der Sommer-AK "Wirtschaftskriminalität" wird auf Einladung von Siemens Österreich am 06. Juli 2011,
von 13-17.00 in der neuen Siemens-City zu Gast sein. Teilnahme ist nur über spezielle Anmeldung von
AK-Mitgliedern via diesen zugegangenem Link möglich.
Dr. Matthias Kopetzky
AK Privatversicherer
Der AK der Privatversicherer startete mit der ersten Sitzung am 27.April in das neue Jahr; im Mittelpunkt
stand neben der Vorbereitung zur 4. Dreiländer-Konferenz der Internen Revision der Versicherungswirtschaft
(18. bis 19. Mai) in Wien, ein sehr interessanter Erfahrungsaustausch zu aktuellen Prüfungsthemen
unter den wieder zahlreich anwesenden Teilnehmern. Wir konnten dankenswerter Weise
in den Räumlichkeiten des Verbands der Versicherungsunternehmen Österreichs im Anschluss an die
Sitzung des Komitees für Interne Revision und Kontrolle tagen.
Die nächste Arbeitskreissitzung findet in bewährter Weise am Vortag – 21.09.2011 - zur Jahrestagung
im Bad Blumau statt. Neben Erfahrungsaustauschthemen werden die Ergebnisse der Unterarbeitsgruppe
„Checklistensammlung – up date“ präsentiert.
Mag. Angela Witzany, CIA
EDV-AK
Der EDV-Arbeitskreis tagt 5 mal jährlich jeweils von 10:00 bis 16:00 Uhr und wird von den Unternehmen
der Mitglieder zur Abhaltung der Veranstaltungen eingeladen. Dies nicht nur in Wien, sondern
auch in Linz, Graz und Salzburg. An dieser Stelle ein herzliches Dankeschön für das Entgegenkommen.
Für jeden Termin werden im Vorfeld ein oder mehrere Themen vorbereitet, präsentiert und im Plenum
diskutiert. Aktuelles und Wissenswertes aus den jeweiligen Prüfthemen sowie Seminarberichte und
Buchbesprechungen runden die Inhalte der Veranstaltungen ab.
Die Protokolle sowie Präsentationsunterlagen befinden sich auf der Website des Instituts und sind den
Mitgliedern des Arbeitskreises zugänglich.
Seite 16

In diesem Jahr fanden bereits 3 Arbeitskreistreffen statt, wobei der erste Termin im Jänner, quasi standardmäßig,
in Linz bei der Oberbank stattfand und schwerpunktmäßig ein Review 2010 (Ergebnis- bzw.
Erfahrungsberichte zu den Prüfthemen des Jahres 2010) sowie ein Preview 2011 (Vorstellung der einzelnen
Prüfpläne 2011 durch die Mitglieder) beinhaltete. Über die in 2010 durchgeführten Prüfungen
und deren Ergebnisse wurde diskutiert und reger Erfahrungsaustausch betrieben. Die im Jahr 2011 geplanten
Prüfungen wurden vorgestellt, teilweise andiskutiert und Parallelitäten zwischen den einzelnen
Prüfplänen gesucht. Auch ein Status Quo Bericht des Beitrags des Arbeitskreises zum 50-jährigen Jubiläum
des Instituts - ein Artikels zum Thema "IT-Revision - Eine Herausforderung für die Interne Revision
oder warum IT-Audits keine Wirkung zeigen" (Autor: Manfred Scholz) war Bestandteil der Tagesordnung.
Am 22.März 2011 war der Arbeitskreis erstmals bei der Fa. Novomatic AG zu Gast. Nach einer Werksführung
widmeten wir uns nach eindrucksvoller Präsentation von Rene Schametz dem Thema „Soziale
Medien aus Sicht der Revision“. Ein Zwischenbericht über bisherige Prüfergebnisse und die Aktualisierung
der Präferenzliste zur Themenbearbeitung waren die weiteren Inhalte dieses Meetings.
Der 31.Mai 2011 bescherte uns ein Wiedersehen bei Generali Holding Vienna AG wo eine Reihe
brandaktueller Themen auf hohem Niveau behandelt wurden.
Mag. Thomas Goldstein, CISM
AK New Auditors
Der Arbeitskreis New Auditors war von Anfang an bewusst weder nach Themen noch nach Branchen
ausgerichtet und hat immer Revisoren aus allen Bereichen als Mitglieder gehabt. Der AK hat sich immer
schon mit aktuellen Themen befasst, die bei den alle zwei Monate stattfindenden Treffen behandelt
wurden.
Seit 2002 zeichnet der AK von Anfang an inhaltlich für die alle zwei Jahre stattfindende Audit Competence
verantwortlich und leistet dabei auch einen Beitrag für die organisatorische Abwicklung.
Anfang 2011 hat sich der AK basierend auf einer internen Umfrage eine überarbeitete Struktur seiner
Treffen gegeben. Daher finden ab heuer Treffen sowohl in der klassischen Form als Abendtermine (ca.
2 Std.) als auch als Nachmittagstermine (ca. 3-4 Std.) statt. Daneben wurde eine temporäre Arbeitsgruppe
ins Leben gerufen, die sich mit der Thematik Datenschutz bei Prüfungen der internen Revision
auseinandersetzt und einen Leitfaden dazu ausarbeitet.
Das nächste Treffen des Arbeitskreises findet am 1. August um 19 Uhr (Ort wird noch bekanntgegeben)
statt.
Mag. Hans-Peter Lerchner, CISA, CIA
Seite 17

Prüfleitfaden SAP ERP 6.0
Kapitel 4: Autorisierung (ABAP-Stack)
Von der deutschsprachigen SAP-Anwendergruppe
wurde ein neuer Prüfleitfaden erarbeitet,
welcher von der DSAG unter
http://www.dsag.de/ag/audit-roadmap zum allgemeinen
Download bereitgestellt wurde. Die
SAP-Arbeitsgruppe des IIA Austria befasst sich
im Rahmen einer Artikelserie mit den wichtigsten
Punkten dieses neuen Leitfadens.
Das Kapitel 4 beschäftigt sich mit der Autorisierung
im ABAP-Stack. In der Informationstechnologie
bezeichnet Autorisierung die Zuweisung
und Überprüfung von Zugriffsrechten auf
Daten und Dienste an Systemnutzer. Der SAP
NetWeaver Application Server, früher auch
SAP Web Application Server, ist Teil von SAP
NetWeaver und stellt die Basis der meisten
SAP-Produkte dar. Er unterteilt sich in einen
ABAP- (früher: SAP R/3-Basis) und einen Java
EE-Applikationsserver. Beide Teile (Stacks),
daher auch der Name ABAP-Stack, sind sowohl
einzeln als auch gemeinsam installierbar.
Im Falle einer integrierten Installation (ABAP
und Java) verwendet der Java-Stack das Benutzermanagement
des ABAP-Stacks. Außerdem
werden automatisch Kommunikationsverbindungen
zwischen den Stacks erstellt.
Bei der Berechtigungsvergabe gibt es zwei
Grundsätze:
• Die Berechtigungen nur auf diejenigen
Sichten und Funktionen beschränken, die
zur Erfüllung der Tätigkeit am Arbeitsplatz
(siehe § 14 DSG2000) benötigt werden.
(Minimalberechtigungsvergabe)
• Funktionen, die zu einer unerwünschten
Kumulierung der Rechte führen, dürfen
nicht an die gleiche Person vergeben werden.
(Funktionstrennungsgrundsatz)
Im Rahmen der Prüfung der Autorisierung im
ABAP-Stack sind die nachfolgend angeführten
Prüfungen durchzuführen:
1. Dokumentiertes Berechtigungs- und Benutzerkonzept
2. Notfallbenutzerkonzept
3. Nutzung kritischer SAP Standardprofile/-
rollen
4. Ersetzen kritischer Vorschlagswerte im
Profilgenerator
5. Ordnungsmäßige Berechtigungs- und Benutzerorganisation
6. Berechtigungen für die Benutzer- und Berechtigungsverwaltung
7. Sicherheitsmechanismen zur Aktivierung
der Prüfung von Berechtigungen
Im Folgenden werden diese Prüfungen kurz
angeschnitten. Eine detaillierte Betrachtung,
insbesondere die technische Betrachtung,
bleibt dem Prüfleitfaden SAP ERP 6.0 vorbehalten.
1 Dokumentiertes Berechtigungs- und
Benutzerkonzept
Bei Einführung eines SAP-ERP-Systems muss
das Berechtigungs- und Benutzerkonzept dokumentiert
werden.
Dies umfasst:
• die Konfiguration von Authentisierung und
Autorisierung:
o Profilparameter für die Anmeldekontrolle
o Profilparameter für die Autorisierung
o Pflichtangaben in Benutzerstammsätzen
o Berechtigungsprüfung bei eigenentwickelten
Programmen
o Nutzung des Profilgenerators
o Nutzung der zentralen Benutzerverwaltung
o Nutzung des Security Audit Logs
• die Vorgehensweise bei der Erstellung des
Berechtigungskonzepts, wobei die Zugriffselemente
(Rollen, Profile, Berechtigungen)
zu definieren sind und die Zuordnung zu definierten
Arbeitsplätzen festzulegen ist. Weiters
ist der Aufbau der Landschaft des SAP-
Systems (mit oder ohne Qualitätssystem)
festzulegen.
• die Vergabe der Berechtigungen und Benutzer
• ein ordnungsgemäßes Antragsverfahren.
IIA 07
Institut für Interne Revision
Audit Journal
Seite 18

Für Details zu einem Benutzer- und Berechtigungskonzept
hat die Arbeitsgruppe SAP ein
Musterkonzept unter
http://www.internerevision.at/aktivitaeten/ak06/u
nterlagen/ publiziert.
2 Notfallbenutzerkonzept (ABAP Stack)
Grundsätzlich ist ein Notfallbenutzer im System
SAP einzurichten, der kein bestehender Standardbenutzer
ist. Für die Verwendung dieses
Users sind der Grund, der Zeitraum, die Person,
die den Notfalluser nutzt und die Tätigkeit
selbst zu dokumentieren.
Die Verwendung des Notfallusers ist im Security
Audit Log zu protokollieren und nach Ansicht
der SAP Arbeitsgruppe durch eine ‚unabhängige’
Stelle zu kontrollieren, weiters ist das
Kennwort nach Benutzung zu ändern.
3 Nutzung kritischer SAP Standardprofile/-rollen
Profil: SAP_ALL
Die SAP empfiehlt dieses Sammelprofil nicht zu
vergeben, sondern die Funktionen auf unterschiedliche
Kennungen zu verteilen.
Profil: SAP_NEW
Dieses Sammelprofil enthält alle Profile ab Release
2.1, die mit einem Release neu hinzukommen.
SAP empfiehlt diesen User vor Einführung
des Berechtigungskonzeptes zu löschen
und die enthaltenen Funktionen zu verteilen
und ihre Berechtigungswerte zu pflegen.
Weitere Standardprofile
Dazu zählen u. a. S_A.SYSTEM,
S_A.DEVELOP, S_CTS_ALL; F_BUCH_ALL.
Für diese SAP Standardprofile sind die SAP
Vorgaben einzuhalten bzw. analoge Inhalte in
den übrigen Profilen zu überprüfen (beispielsweise
mit der Transaktion SUIM).
4 Ersetzen kritischer Vorschlagswerte im
Profilgenerator
Folgende Vorschlagswerte sind nach dem
Sicherheitsleitfaden ERP 6.0 zu überprüfen:
Kritische Vorschlagswerte befinden sich bei
besonderen Berechtigungen u. a. bei
S_DEVELOP, S_ADMI_FCD, S_PRO_AUTH,
S_ADRESS1, P_TCODE. Diese Vorschlagswerte
sind entsprechend dem Berechtigungskonzept
zu ändern.
Bei der Tabellenpflege S_TABU_DIS dürfen
bei den Berechtigungsgruppen ALE0 und SS
(Systemtabellen) nur die Aktivität 03 „Anzeigen“
bzw. bei der Berechtigungsgruppe SUSR nur
die Aktivitäten 02 „Ändern“ und 03 „Anzeigen“
ausgeprägt werden.
Der Zugriff auf IDOCS darf in den Berechtigungsobjekten
S_IDOCCTRL und
S_IDOCMONI nur die Aktivität 03 „Anzeigen“
beinhalten.
Das Intermediate Document (IDoc) ist ein Behälter
für den Austausch von Daten zwischen
R/3-, R/2- und Fremdsystemen.
In der Berechtigungsverwaltung ist die Verteilung
der Rollen (Anlegen, Zuordnen, Löschen)
entsprechend dem Berechtigungskonzept in
den Berechtigungen zu hinterlegen. Dazu sind
die Berechtigungen S_USER_AGR,
S_USER_AUT, S_HIERACH, S_USR_GRP,
S_USER_PRO und S_USER_SAS,
S_USER_SYS, S_USER_TCD, S_USER_VAL
entsprechend zu setzen.
5 Ordnungsmäßige Berechtigungs- und
Benutzerorganisation
Die Organisation der Benutzer- und Berechtigungsverwaltung
besteht aus folgenden Funktionen:
1. Benutzer verwalten (Benutzerverwalter)
2. Berechtigungen pflegen (Berechtigungsdatenverwalter:
Pflege von Rollen, Anzeige
von Benutzern, Anzeige von Profilen, keine
Berechtigung für Aktivierung von Profilen
und Benutzung des Change- und Transportsystems)
3. Berechtigungsprofile generieren (Berechtigungsprofilverwalter:
Anzeige von Rollen
und Profilen, Anzeige von Benutzern, Generierung
von Profilen; keine Berechtigung
für Änderung von Profilen, Änderungen
von Benutzern, Zuordnung von Profilen
und Benutzung des Change- und Transportsystems)
Daraus ergeben sich folgenden Szenarien:
• 4-Augen-Prinzip
• 6-Augen-Prinzip
Seite 19

• 6-Augen-Prinzip, dezentrale Benutzerverwaltung
im Produktivsystem
Das im Prüfleitfaden angeführte 4- bzw. 6-
Augenprinzip entspricht in unserem Sprachgebrauch
einer Funktionstrennung auf 2- bzw. 3
Funktionen.
Szenario 1: 4-Augen-Prinzip
Funktion 1: zentrale Benutzerverwaltung mit allen
Funktionen
Dabei gibt es eine zentrale Benutzerverwaltung
für alle Benutzer und unbegrenzte Berechtigungen
für alle Benutzerverwaltungsaufgaben.
Die zentrale Pflege von Rollen und Profilen erfolgt
mit der Rolle des Berechtigungsdatenverwalters
bzw. des Berechtigungsprofilverwalters.
Szenario.2: 6-Augen-Prinzip
Dabei gibt es eine dezentrale Benutzerverwaltung
pro Anwendungsbereich (FI, MM,…). Diese
berechtigt, eine bestimmte Benutzergruppe
zu pflegen und eine bestimmte Menge von Rollen/Profilen
zuzuordnen. Die zentrale Pflege
von Rollen und Profilen haben getrennte Zuständigkeiten
für Berechtigungsdatenverwalter
und Berechtigungsprofilverwalter.
Anmerkung: Dies ist aus Sicht der SAP Arbeitsgruppe
ein eher theoretischer Ansatz,
insbesonders bei kleineren SAP-Gruppen.
Szenario 3: 6-Augen-Prinzip, dezentrale Benutzerverwaltung
im Produktivsystem
entsprechenden Userkennungen zuzuordnen.
Dabei ergeben sich folgende Fragestellungen
(in Klammer sind die Berechtigungsobjekte angeführt):
• Wer kann Benutzer anlegen/ändern?
(S_USER_GRP)
• Wer kann Benutzer sperren oder löschen?
(S_USER_GRP)
• Wer kann Benutzereigenschaften ändern?
(S_USER_SYS)
• Wer kann Rollen anlegen/ändern?
(S_USR_AGR)
• Wer kann Transaktionen in Rollen anlegen/ändern?
(S_USER_TCD)
• Wer darf Rollen inhaltlich verändern?
(S_USR_VAL)
• Wer kann Profile anlegen/ändern?
(S_USER_PRO)
• Wer kann Profile/Rollen Benutzern zuordnen?
(S_USER_GRP, S_USER_PRO)
7 Sicherheitsmechanismen zur Aktivierung
der Prüfung von Berechtigungen
In der Benutzerverwaltung sind folgende Aspekte
zu prüfen:
• Wer kann Berechtigungsobjekte deaktivieren?
• Ist der Profilgenerator aktiviert?
• Wer kann Vorschlagswerte des Profilgenerators
pflegen?
• Werden indirekte Transaktionsaufrufe einer
Berechtigungsprüfung unterzogen?
IIA 07
Institut für Interne Revision
Audit Journal
Die Benutzer werden zentral angelegt und gelöscht.
Die dezentrale Benutzerverwaltung pro
Anwendungsbereich ist berechtigt, bestimmte
Benutzergruppen zu pflegen (Ändern, Sperren/Entsperren
und Kennwort zurücksetzen)
und bestimmte Menge von Rollen/Profilen zuzuordnen.
Die zentrale Pflege von Rollen und Profilen erfolgt
mit der Rolle des Berechtigungsdatenverwalters
bzw. des Berechtigungsprofilverwalters.
6 Berechtigungen für die Benutzer- und
Berechtigungsverwaltung
Die Berechtigungen zur Benutzer- und Berechtigungsverwaltung
sind entsprechend dem
Konzept der Organisation einzurichten und den
Anhang: Begriffe nach Wikipedia
ABAP-Stack
Der SAP NetWeaver Application Server, früher
auch SAP Web Application Server, ist Teil
von SAP NetWeaver und stellt die Basis der
meisten SAP-Produkte dar. Er unterteilt sich in
einen ABAP- (früher: SAP R/3-Basis) und einen
Java EE-Applikationsserver. Beide Teile
(Stacks) sind sowohl einzeln als auch gemeinsam
installierbar. Im Falle einer integrierten Installation
(ABAP und Java) verwendet der Java-Stack
das Benutzermanagement des ABAP-
Stacks. Außerdem werden automatisch Kommunikationsverbindungen
zwischen den Stacks
erstellt.
Seite 20

Benutzermanagement
Benutzerverwaltung bezeichnet die Arbeiten,
die ein Administrator eines EDV-Systems erledigen
muss, damit die Benutzer des von ihm
betreuten Systems genau die Arbeiten erledigen
können, die sie machen sollen und alles
andere nicht machen können.
Diese Tätigkeiten können auch als Provisioning
bezeichnet werden, werden allerdings oft nur
als Tagesarbeit des Helpdesks oder des System-Administrators
betrachtet.
Die Kernaufgaben umfassen u.a.:
Benutzernamen vergeben
Benutzerkonto eröffnen
Initiales Passwort vergeben, und möglichst
geheim dem Benutzer mitteilen
Rechte auf die Anwendungen zu vergeben,
die der Benutzer benötigt
Änderungen vorzunehmen
Stilllegen des Benutzerkontos
Löschen des Benutzerkontos
Autorisierung
In der Informationstechnologie bezeichnet sie
die Zuweisung und Überprüfung von Zugriffsrechten
auf Daten und Dienste an Systemnutzer.
Die Autorisierung erfolgt meist nach einer
erfolgreichen Authentifizierung.
Authentifizierung
Authentifizierung (gr. αυθεντικός authentikós
„echt“, „Anführer“; Stammform verbunden mit
lat. facere = machen) ist der Nachweis
(Verifizierung) einer behaupteten Eigenschaft
einer Partei (beispielsweise eines Rechts: Anm.
des Autors), die beispielsweise ein Mensch, ein
Gerät, ein Dokument oder eine Information sein
kann, und die dabei durch ihren Beitrag ihre
Authentisierung durchführt.
Autoren (inkl. Überarbeiter): SAP-Arbeitsgruppe
(W. Böhm, O.Erbert, U. Knödlstorfer-Ross, C.
Koch, G. Pregartner, B. Schütter, G. Schwan,
R. Wieland, T. Winkler)
Als Benutzerverwaltung kann auch der ganze
Komplex dieser Administration bezeichnet werden,
wobei die Betrachtung als Prozess zum
Identitätsmanagement führt.
Seite 21

KPMG WIEN
Maßgeschneiderte
Lösungen
KPMG Alpen-Treuhand GmbH
Wirtschaftsprüfungs- und
Steuerberatungsgesellschaft
Porzellangasse 51
1090 Wien
Tel: +43 (1) 313 32-0
E-Mail: atw@kpmg.at
kpmg.at
Seite 22

Buchbesprechungen:
Revision der Beschaffung – Prüfungsfragen für die Praxis,
Deutsches Institut Interne Revision, 4. Auflage 2011, 130 Seiten
Im Abschnitt „Maschinelle Auswertungen von
Lieferantenstamm- und Bestelldaten“ wird auf
die Beachtung der Datenschutzgesetze hingewiesen.
Hier könnte ein Verweis auf die Broschüre
„Datenauswertungen und personenbezogene
Datenanalyse“ des dIIR ergänzt werden.
Diese enthält z.B. konkrete Empfehlungen
für die Vorgehensweise beim (Maßen) Datenabgleich
von Mitarbeiter- und Lieferantendaten
und ähnliche datenschutzrelevante Themen.
Im Abschnitt „Controlling“ werden einige sinnvolle
Kennzahlen zur Messung des Beschaffungserfolges
vorgestellt, um nicht in die Falle
einer kurzsichtigen reinen Preis-Betrachtung zu
tappen.
Das Buch ist eine komplett überarbeitete Neufassung,
nachdem die letzte Auflage bereits
aus 1996 datiert. Autoren sind Revisionsexperten
aus namhaften deutschen Unternehmen
wie Audi, VW, Thyssen Krupp, Commerzbank,
Beiersdorf etc. Die Neuauflage berücksichtigt
u.a. auch aktuelle Entwicklungen auf den Beschaffungsmärkten.
Das Werk besteht aus 15 Abschnitten. Nach
den Zielen & Aufgaben des Buches werden
Beschaffungsgrundsätze (Strategie, Lieferantenauswahl,
Ethische Grundsätze in der Beschaffung
etc.) sowie organisatorische Fragestellungen
(Strukturen, IT Systeme/Kontrollen/
Schnittstellen, Richtlinien & Regelungen) behandelt.
In weiterer Folge werden die einzelnen Teilprozesse
aus Einkauf und Beschaffungslogistik
behandelt.
Jeder Abschnitt besteht aus einer kurzen theoretischen
Darstellung der Themen, anschließend
folgen die entsprechenden Prüfungsfragen.
Der Abschnitt „eProcurement“ behandelt nicht
die technischen Aspekte solcher Systeme (Zugriffsschutz,
Ausfallsicherheit, Audit Trails etc.)
- hierfür wird auf andere Leitfäden des dIIR sowie
des Bundesamt für Sicherheit (BSI) verwiesen.
Betrachtet werden vielmehr die kaufmännischen,
organisatorischen und ablauftechnischen
Aspekte solcher Systeme, wobei auch
nicht auf Fragen zur Schulung der Mitarbeiter
vergessen wurde.
Im Bereich „Dienstleistungsbeschaffung“ werden
auch die Sonderfälle Materialbeistellung,
Arbeitnehmerüberlassung (im Unterschied zu
Werk- oder Dienstverträgen) sowie das Thema
Scheinselbständigkeit behandelt.
Den potentiellen dolosen Handlungen wird breiter
Raum eingeräumt. Einleitend wird – neben
einigen Beispielen unternehmensschädigender
bzw. krimineller Fälle der jüngsten Vergangenheit
– vor allem eine Übersicht über die (nach
deutschem Recht) relevanten strafrechtlichen
Bestimmungen gegeben. Anschließend werden
begünstigende Faktoren für wirtschaftskriminelle
Handlungen aufgezeigt sowie die Motivation
und Rechtfertigung der Täter beleuchtet. Es
folgt eine Liste von etwa 25 „red flags“, die Indikatoren
für Fehlverhalten im Beschaffungsbereich
sein könnten. Letztlich werden einige
konkrete Maßnahmen zur Verhinderung bzw.
Aufdeckung doloser Handlungen zusammengefasst.
Resümee:
Insgesamt wird in diesem Werk das breite
Spektrum des Beschaffungswesens in ausreichender
Detaillierung in einen praxisbezogenen
Audit-Leitfaden überführt. Gerade für (nach ös-
Seite 23

terreichischen Maßstäben) mittlere und große
Unternehmen werden alle wesentlichen Aspekte
berücksichtigt. In kleineren Unternehmen
wird man sicherlich nicht alle Themen in vollem
Umfang vorfinden. Letztlich kommt man aber
um eine auf das eigene Unternehmen zugeschnittene
Auswahl und kritische Würdigung
der hier zusammengestellten Fragestellungen
sowieso nicht herum.
Das Werk wird dem eigenen Anspruch, einen
Best Practice Ansatz für die vollständige Beschaffungsprozesskette
vorzulegen, vollauf gerecht.
Oliver Fiedler, CIA, CISA
Zumtobel AG
IIA 07
Institut für Interne Revision
Audit Journal
Jahrbuch Beihilferecht
bei der Ausgestaltung von Rechtsakten und
Rechtsbeziehungen dar.
Das fünfte JB Beihilferecht versteht sich als
kombiniertes Informations- und Diskussionsmedium,
das aktuelle Entwicklungen im Beihilferecht
auf breiter Basis und für einen weiten
Kreis an Nutzern aus Wissenschaft und Praxis
dokumentiert und aufbereitet. Daher wird im
Jahrbuch Beihilferecht auch besonderer Wert
auf eine klare Gliederung, leitende Benutzungshinweise
sowie ein detailliertes Stichwortverzeichnis
zu geben.
Es verbindet daher zwei Methoden: Ein Überblicksteil
informiert über sämtliche wesentliche
Legislativakte, Urteile, neu anhängig gemachten
Rechtssachen und besonders interessante
Entscheidungen der Kommission. Im Beitragsteil
werden sodann zahlreiche ausgewählte
Problembereiche diskutiert und analysiert.
Das EU-Beihilfeverbot steckt den Rahmen ab,
in dem wirtschaftslenkende Eingriffe der öffentlichen
Hand zugunsten von Wirtschaftstreibenden
zulässig sind. Egal, ob es sich um allgemein-abstrakte
Eingriffe wie Gesetze oder
Verordnungen oder um konkret begünstigende
Rechtsakte wie Verträge oder Bescheide handelt:
Das Beihilfeverbot stellt für Politik und Unternehmen
gleichermaßen eine wichtige Entscheidungs-
und Verhaltensdeterminante
Seite 24

Handbuch Interne Kontrollsysteme (IKS)
Wenn etwas Unvorhergesehenes passiert ist,
läuft die Suche nach Verantwortung und Schuld
stets auf die Bestimmung des nach dem Stand
der Technik und Wissenschaft gerade noch
vertretbaren Restrisikos hinaus, also auf die
Frage, was in punkto Systemsicherheit "state of
the art" ist. Die einschlägige Fachliteratur ist
hier eine wichtige Orientierungshilfe für Führungskräfte
und ist auch laufend zu beobachten,
da sich die Anforderungen an Risikobewusstsein
und Systemsicherheit mit jedem öffentlich
wahrgenommenen oder vor Gerichten
abgehandelten Fraud-and-Error-Fall weiter erhöhen.
Das vorliegende Buch leistet für die Einschätzung
über den Stand der Lehre einen wertvollen
Beitrag: es gibt dem interessierten Leser
zunächst einen übersichtlichen Einstieg in
Rechtsgrundlagen, Konzepte und Grundideen.
Im Herzstück des Buches werden auf beinahe
dreihundert Seiten die typischen Kernprozesse
von Unternehmen aus mehreren Perspektiven
analysiert: pro Prozess werden erstens Organisationsthemen
abgehandelt, zweitens werden
pro Prozess tabellarische Risikomatrizen dargestellt,
drittens werden Fraud-Indikatoren prozessweise
abgearbeitet und schließlich noch
betriebswirtschaftliche Kennzahlen für die Beurteilung
der Prozesseffizienz angeboten. Am
Ende des Buches gibt der Autor noch einige
Hinweise für das Projektmanagement zur Einrichtung
eines IKS sowie zur ganzheitlichen
Sicht auf ein Enterprise Risk Management.
Wer Abhandlungen über "Risk-Management"
und "Interne Kontrollsysteme" schreibt, hat ein
für Leser attraktives Themengebiet gewählt -
jeder nämlich, der in Organisationen Verantwortung
trägt, muss sich stets fragen, was alles
schief gehen kann und welche Vorkehrungen
zu treffen sind, um nicht am Ende des Tages
für Organisationsversagen einstehen zu müssen.
Die Bandbreite der Ursachen für Systemversagen
ist denkbar groß: sie reicht von Vorsatz
über alle Grade der Fahrlässigkeit bis hin
zum schlichten Pech.
Das Buch ist meiner Einschätzung nach vor allem
für Nichtspezialisten nützlich, also für Führungskräfte
anderer Fachgebiete und Generalisten,
die einen systematischen Einstieg in die
Grundlagen und Methoden finden wollen. Auch
Mitgliedern von Aufsichtsorganen, insbesondere
von Prüfungsausschüssen, ist die Lektüre zu
empfehlen, um dem Management gezielt die
richtigen Fragen stellen zu können. Besonders
hervor zu heben, weil für Praktiker interessant,
sind die Aufzählungen von Fraud-Indikatoren
im Mittelteil des Buches.
Für Spezialisten (Verantwortliche im Risikomanagement
und der Internen Revision) kann das
Werk insofern nützlich sein, als es zur kritischen
Selbstreflexion in dieser vielschichtigen
Querschnittsmaterie inspiriert.
Dr. Günter Riegler
Stadtrechnungshof, Abteilungsvorstand
Seite 25

Termine des Institutes
08.09.2011
Let´s talk Audit SPECIAL / Hotel Sacher Wien
Vormittagsveranstaltung / Thema folgt
22. – 23.09.2011
31. Jahrestagung
Therme Rogner - Bad Blumau
IIA 07
Institut für Interne Revision
Audit Journal
17.11.2011
24.11.2011
17.11.2011: ERFA
Don Bosco Haus, 1130 Wien
Let´s talk Audit / Salzburg
Themenschwerpunkt Compliance
26. - 27.01.2012 Audit Competence - Konferenz für MitarbeiterInnen der Internen Revision
Die Termine der Arbeitskreise sowie sonstige Termine entnehmen Sie bitte unserer Homepage
www.internerevision.at/aktivitaeten/termine
INTERNAL AUDITING EUROPEAN CONFERENCE
Madrid 2011, 19. – 21. Oktober 2011
Seite 26

Neue Mitglieder
Das Institut für Interne Revision Österreich – IIA Austria begrüßt folgende neue Mitglieder:
• Mag. Michael Wittenburg, MBA
• NABUCCO Gas Pipeline International GmbH
• Muki VvaG
• Wiesenthal & Co AG
• Harald Friessnegg
• Duropack GmbH
• Carina Bauer
• Kristina Filova
• Andreas Öttl
• Moore Stephens City Treuhand GmbH
Wir freuen uns auf eine gute Zusammenarbeit!
Mag. Eva Weiszgerber
Seite 27

Neue Mitglieder stellen sich vor:
Nabucco Gas Pipeline International GmbH
Nabucco Gas Pipeline International GmbH
(NIC) mit Sitz in Wien wurde am 24. Juni 2004
gegründet. Das Unternehmen steht im Eigentum
von sechs Nabucco-Anteilseignern und ist
für die Entwicklung, den Bau und den Betrieb
der Pipeline sowie für die Vermarktung der
Pipeline-Kapazität verantwortlich. Die Anteilseigner
sind: RWE (Deutschland), OMV (Österreich),
MOL (Ungarn), Transgaz (Rumänien),
Bulgarian Energy Holding (Bulgarien) und
Botas (Türkei). Alle Anteilseigner sind mit dem
gleichen Anteil von 16,67 % beteiligt.
• Entwicklung der Finanzierungsstruktur für
den Bau der Pipeline und Finanzierung
des Nabucco-Gaspipeline-Projekts und der
nationalen Tochterunternehmen.
• Durchführung sämtlicher Aufgaben, die
von einem Fernleitungsnetzbetreiber auszuführen
sind.
IIA 07
Institut für Interne Revision
Audit Journal
OMV MOL TG BGH Botas RWE
Nabucco
Gas Pipeline
International GmbH
Nabucco
Austria
Nabucco
Hungary
Nabucco
Romania
Nabucco
Bulgaria
Nabucco
Turkey
Anteilseigner- und Unternehmensstruktur von NIC
NIC wird in direktem Kontakt mit den Transportkunden
stehen und als selbstständiges Unternehmen
nach dem one–stop-shop-Prinzip
agieren. Die Pipeline wird auf Basis des europäischen
Energierechts und den Richtlinien der
internationalen Finanzinstitute entwickelt, gebaut
und betrieben werden. Dies wird auch
durch das Zwischenstaatliche Abkommen garantiert,
das von den Nabucco-Transitländern
Türkei, Bulgarien, Rumänien, Ungarn und Österreich
am 13. Juli 2009 in Ankara unterzeichnet
wurde.
Die Nabucco Gas Pipeline International GmbH
ist verantwortlich für:
• Koordinierung und Management aller Phasen
im Nabucco-Gaspipeline-Projekt von
der Entwicklungsphase über die Marketingphase,
die Bauphase bis zur Betriebsphase.
• Verhandeln und Abschließen von Transportverträgen
auf der Grundlage des Zwischenstaatlichen
Abkommens.
Mag. Kevin Töpfer studierte in Graz Rechtswissenschaften
und absolvierte das Gerichtsjahr
im OLG Sprengel Graz.
Die berufliche Laufbahn von Herrn Mag. Töpfer
startete in einer renommierten Grazer Anwaltskanzlei
als Konzipient.
Von September 2006 bis März 2009 war er für
die OMV Refining & Marketing GmbH als
Rechtsexperte tätig, bevor er im April 2009 in
die Konzernrevision der OMV AG wechselte.
Seit März 2011 ist Herr Mag. Kevin Töpfer Leiter
der Internen Revision der NABUCCO Gas
Pipeline International GmbH.
Seine Verantwortlichkeiten beinhalten den Aufbau
und die Etablierung einer Revision, die Erstellung
eines Prüfplans, die Analyse von Geschäftsprozessen
und die Beurteilung der
Funktionsfähigkeit und Effizienz des internen
Kontrollsystems und Risk Managements.
Seite 28

Michael Eckel, CISA, IT-Consultant
Zu den Schwerpunkten seiner Tätigkeiten zählen
die Durchführung von IT – Audits, insbesondere
die Prüfung von SAP R/3 – Systemen
und die darauf basierende Erstellung von Maßnahmenkatalogen
hinsichtlich SAP – spezifischer
Einstellungen und Prozessabläufe.
Der Fokus liegt dabei auf den Modulen Basis,
Finanzbuchhaltung/Controlling, Materialwirtschaft
und Vertrieb.
Mag. Michael Eckel, CISA; IT-Consultant
Siemens IT Solutions and Services GmbH
Weiters zählen zu seinen Themenbereichen
der Aufbau eines internen Kontrollsystems und
Durchführung von IT-Migrationsaudits.
Seite 29

Die Akademie Interne Revision informiert:
Seminar-Tipps
„Revisionsprüfung im Umfeld des Bundesvergabegesetzes 2006 (BVergG 2006)“
Dieses Seminar soll einerseits die Grundzüge des BVergG2006 vorstellen und anderseits mögliche Prüfungsansätze
für eine Revisionsprüfung aufzeigen.
Termin: 29.09.2011
Referent(en): Mag. Thomas MITSCHA, MBA, CIA
Mitglieder: € 430,00 / Nicht-Mitglieder: € 540,00
„Prüfung der Sicherheitsorganisation“
Das Seminar bietet einen Überblick über die betriebliche Sicherheitsorganisation bzw. das betriebliche
Sicherheitsmanagement, konkrete Teilbereiche und die möglichen Prüfungstätigkeiten..
Termin: 29. – 30.09.2011
Referent(en): Thomas STAUDACHER, Bakk., CIA
Mitglieder: € 590,00 / Nicht-Mitglieder: € 750,00
„Beratungs- und Verhandlungstechnik für Revisoren, Teil II“
Basierend auf dem Wissensstand des 1. Teils vertiefen und ergänzen Absolventen das bereits Erlernte und erweitern
ihren Wissensstand durch neue, ergänzende Inhalte zur Weiterentwicklung ihres Beratungs- und
Verhandlungsgeschicks.
Termin: 03. – 04.10.2011
Referent(en): Dkfm. Peter H. HALEK
Mitglieder: € 870,00 / Nicht-Mitglieder: € 1.020,00
„Die COSO Modelle in der Praxis“
Die COSO Modelle gelten als international anerkannte Best Practice für die Gestaltung und Prüfung von Internen
Kontrollsystemen und Risikomanagementsystemen. Aber wer kennt sie wirklich, diese COSO Modelle?
Termin: 05. - 06.10.2011
Referent(en): Dietmar GRABHER, CIA, CISA
Mitglieder: € 820,00 / Nicht-Mitglieder: € 970,00
„Konflikthandling für Revisoren“
Erkennen der eigenen Denk- und Handlungsmuster in Konflikten im Rahmen der Tätigkeit als Revisor bzw. in der
Revision.
Termin: 19. – 20.10.2011
Referent(en): Dr. Günter ZÖRWEG
Mitglieder: € 870,00 / Nicht-Mitglieder: € 1.020,00
„Prüfung von Tochter- & Beteiligungsunternehmen“
Das Seminar vermittelt die theoretischen und praktischen Grundlagen für die Prüfung von in- und ausländischen
Beteiligungsgesellschaften durch die Konzernrevision/Interne Revision.
Termin: 25.10.2011
Referent(en): Peter SCHWINGENSCHLÖGL
Mitglieder: € 430,00 / Nicht-Mitglieder: € 540,00
„Quality Assessment – Qualitätsüberprüfung in der Internen Revision“
3-tägiges Intensivseminar mit abschließender Zulassung zum weltweit anerkannten Quality Assessor / Validator.
Termin: 07. – 09.11.2011
Referent(en): Mag. Norbert WAGNER
Mitglieder: € 1.260,00 / Nicht-Mitglieder: € 1.470,00
„Vernehmungstechnik für Revisoren“
Erlernen von Befragungen, vom Vorgespräch über die förmliche Vernehmung bis zur beweistauglichen
Dokumentation vor Gericht
Termin: 14. – 15.11.2011
Referent(en): Mag. Bernhard FROMM / Prof.(FH) Mag. Dr. Helmut SALOMON
Mitglieder: € 780,00 / Nicht-Mitglieder: € 930,00
Mehr Informationen und Anmeldung unter www.internerevision.at/akademie

Audit Journal
Zeitschrift des Instituts für
Interne Revision Österreich -
IIA Austria
Impressum
Verleger, Hersteller und Herausgeber
Institut für Interne Revision Österreich - IIA Austria
Schönbrunner Strasse 218 - 220
U4 Center, Stiege B, 3. OG
A - 1120 Wien
Für den Inhalt verantwortlich:
Mag. Eva Weiszgerber
Hinweis: Die namentlich gekennzeichneten Beiträge müssen
nicht die Meinung des Herausgebers wiedergeben.
www.internerevision.at
2
2 2