Ausgabe 02_2011 [PDF, 3.4 MB] - Institut für Interne Revision ...
Ausgabe 02_2011 [PDF, 3.4 MB] - Institut für Interne Revision ...
Ausgabe 02_2011 [PDF, 3.4 MB] - Institut für Interne Revision ...
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Audit Journal<br />
Zeitschrift des <strong>Institut</strong>s für<br />
<strong>Interne</strong> <strong>Revision</strong> Österreich - IIA Austria<br />
• VON Mitgliedern FÜR Mitglieder –<br />
50 Jahre <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
• IIA Global Council in Wien vom 01. bis 04. Mai <strong>2011</strong><br />
• 6. CEE (Central and Eastern Europe) Konferenz in Wien<br />
• Public-Sector-Session der 6. CEE Konferenz<br />
• Let´s talk Audit<br />
Nachhaltigkeit / CSR prüfen?<br />
• 30. Mitgliederversammlung am 9. Juni <strong>2011</strong><br />
• News aus den Arbeitskreisen<br />
• Prüfleitfaden SAP ERP 6.0<br />
Kapitel 4: Autorisierung (ABAP-Stack)<br />
• Buchbesprechung:<br />
<strong>Revision</strong> der Beschaffung – Prüfungsfragen für die Praxis,<br />
(DIIR, 4. Auflage <strong>2011</strong>)<br />
• Buchbesprechung:<br />
Handbuch <strong>Interne</strong> Kontrollsysteme (IKS)<br />
(Oliver Bungartz)<br />
• Kommende Veranstaltungen<br />
• Neue Mitglieder<br />
Heft 2 / Juni <strong>2011</strong>
VON Mitgliedern FÜR Mitglieder –<br />
50 Jahre <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Konstantin Klien. Peter Hauser<br />
Ronald Barazon<br />
Angela Witzany, Günter Meggeneder
Zwischen der Gründung der Arbeitsgemeinschaft<br />
für <strong>Interne</strong> <strong>Revision</strong> (ARGE IR) im Jahr<br />
1961 bis zum <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong> Österreich<br />
– IIA Austria im Jahr <strong>2011</strong> liegen 50 erfolgreiche<br />
Jahre, auf die das heutige <strong>Institut</strong> für<br />
<strong>Interne</strong> <strong>Revision</strong> und die Akademie <strong>Interne</strong> <strong>Revision</strong><br />
mit einer stetig wachsenden Anzahl an<br />
Mitgliedern, den über die Jahre ehrenamtlich<br />
tätigen Kolleginnen und Kollegen des Vorstands<br />
sowie der Geschäftsführung und den<br />
Mitarbeiterinnen im Back Office–Bereich stolz<br />
zurückblicken.<br />
Dieses 50-jährige Jubiläum wurde zum Anlass<br />
genommen, die Vertretung des Berufsstandes<br />
der <strong>Interne</strong>n <strong>Revision</strong> in Österreich, das IIA<br />
Austria, am 03. Mai <strong>2011</strong> auf Einladung der<br />
Uniqa Versicherungen AG im Beisein zahlreicher<br />
Mitglieder und internationaler Gäste zu<br />
feiern.<br />
Generaldirektor Dr. Konstantin Klien, Vorsitzender<br />
des Vorstands der UNIQA Versicherungen<br />
AG, begrüßte in den Räumlichkeiten des<br />
Uniqa-Towers 290 Gäste aus rund 70 Ländern.<br />
Neben Mitgliedern des IIA Austria nahmen<br />
auch internationale Vertreter des in dieser Woche<br />
erstmalig in Wien tagenden IIA Global<br />
Council teil. In seiner Ansprache betonte Dr.<br />
Klien die Bedeutung der <strong>Interne</strong>n <strong>Revision</strong> für<br />
das Top-Management und sah die Einladung in<br />
den Räumlichkeiten der UNIQA Versicherungen<br />
AG als Dankeschön an die <strong>Interne</strong> <strong>Revision</strong><br />
für viele wertvolle Empfehlungen an.<br />
Mag. Angela Witzany, Vorstandsvorsitzende<br />
des IIA Austria, hieß neben dem Hausherren<br />
auch Ehrenmitglieder und ehemalige Vorstandsmitglieder<br />
willkommen und nutzte die<br />
Gelegenheit, dem Sponsor und insbesondere<br />
Herrn Prof. Dr. Hauser sowie allen aktiven und<br />
ehemaligen Akteuren des IIA Austria für ihren<br />
Einsatz und ihr Engagement zu danken. Im<br />
Rahmen einer beeindruckenden Leistungsbilanz<br />
wurde dargelegt, dass sowohl das IIA Austria<br />
als auch die Akademie <strong>Interne</strong> <strong>Revision</strong> mit<br />
ihren Themen am Puls der Zeit sind. Der Ausblick<br />
auf die Arbeitsschwerpunkte der Zukunft,<br />
wie die weitere Unterstützung der Mitglieder in<br />
ihrer <strong>Revision</strong>sarbeit, die Öffentlichkeitsarbeit,<br />
Aktivitäten zur Intensivierung des Zugangs zu<br />
den Universitäten und die internationale Zusammenarbeit<br />
sollen auch in Zukunft sicherstellen,<br />
dass „VON Mitglieder FÜR Mitglieder“ als<br />
Herausforderung gesehen wird.<br />
Grußbotschaften von Günter Meggeneder,<br />
Chairman des IIA, Richard Chambers, IIA Präsident<br />
und CEO, sowie von Phil Tarling, Präsident<br />
des ECIIA verwiesen auf die Erfolge des<br />
IIA Austria, das mit seinem großen Engagement<br />
auch Vorbild für die <strong>Revision</strong>sinstitute anderer<br />
Länder ist. Bernd Schartmann, Sprecher<br />
des Vorstands des Deutschen <strong>Institut</strong>s für <strong>Interne</strong><br />
<strong>Revision</strong>, und Stephan Eggenberg, Präsident<br />
des schweizerischen Verbands für <strong>Interne</strong><br />
<strong>Revision</strong>, verwiesen auf die jahrelange gute<br />
Zusammenarbeit, wie aktuell die Enquete <strong>2011</strong>,<br />
eine gemeinsame Befragung der deutschsprachigen<br />
<strong>Institut</strong>e zu revisionsspezifischen Themenstellungen<br />
sowie zu aktuellen Entwicklungen<br />
in der <strong>Interne</strong>n <strong>Revision</strong> bzw. die gemeinsamen<br />
Tagungen in der Vergangenheit und<br />
Zukunft. Die aktuellen Veranstaltungen in Wien,<br />
das Global Council sowie die CEE-Conference,<br />
wurden als Höhepunkt der erfolgreichen Aktivitäten<br />
des IIA Austria hervorgehoben und wurde<br />
Wien für diese Woche zur „Hauptstadt der <strong>Interne</strong>n<br />
Revisoren“ gekürt. Die Grußworte endeten<br />
in der Botschaft „Bewahren Sie den<br />
Schwung und Elan und tragen Sie ihn in die<br />
Zukunft.“<br />
Den Festvortrag im Form eines Dinner Speech<br />
hielt der Journalist Ronald Barazon, der dem<br />
IIA Austria bereits in der Vergangenheit als<br />
wertvoller Partner bei Veranstaltungen zur Seite<br />
stand und sich als Anhänger der Berufsgruppe<br />
der <strong>Interne</strong>n Revisoren outete. Mit viel Elan<br />
und auf seine bekannt humorvolle Art betonte<br />
er die steigende Bedeutung der <strong>Interne</strong>n <strong>Revision</strong><br />
in den letzten Jahren, legte aber auch ihre<br />
Rolle im Unternehmen dar. Insbesondere hob<br />
er die Aktivitäten der <strong>Revision</strong>sinstitute in Sachen<br />
Advocacy hervor, die aus seiner Sicht ein<br />
wesentlicher Erfolgsfaktor für die Zukunft sind.<br />
Stilvoll begleitet wurde die Veranstaltung durch<br />
die Darbietungen des Streichquartetts der Jungen<br />
Philharmonie, die den prachtvollen Rahmen,<br />
die Festansprachen, das gelungene Menu<br />
und die Möglichkeiten zum Austausch zwischen<br />
Mitgliedern, ehemaligen Vorstandsmitgliedern<br />
und Kollegen sowie den internationalen Gästen<br />
abrundeten.<br />
Die vielen positiven Rückmeldungen, auch von<br />
den internationalen Gästen, bestätigten den<br />
Eindruck einer gelungenen Veranstaltung und<br />
motivieren sowohl den Vorstand als auch die<br />
Geschäftsführung und Mitarbeiterinnen des <strong>Institut</strong>s<br />
und der Akademie in ihrem Engagement<br />
fortzufahren.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Mag. Birgit Fahrnberger<br />
Seite 2
IIA Global Council in Wien vom 1. bis 4. Mai <strong>2011</strong><br />
Mehr als 125 IIA Mitglieder und Mitarbeiter aus<br />
knapp 70 Ländern weltweit nahmen am Global<br />
Council in Wien teil. Anwesend waren Mitglieder<br />
des IIA Exekutiv-Komitees, die Vorsitzenden<br />
bzw. Mitglieder der nationalen Vorstände,<br />
des IIA, Geschäftsführer und IIA Mitarbeiter.<br />
Den Teilnehmern wurden Statusberichte von<br />
Mitgliedern des IIS Exektuiv-Komitees und dem<br />
Präsidenten und CEO über CBOK (Global<br />
Internal Audit Survey), den Strategieplan sowie<br />
ein Update zu den Themen des letztjährigen<br />
Global Council in Atlanta mit den zu treffenden<br />
Maßnahmen gegeben. Direkt in Verbindung zur<br />
Veranstaltung des letzen Jahres stehen:<br />
• Value Proposition of Internal Auditors –<br />
wurde weiter entwickelt zu Artikel und Broschüren<br />
sowie übersetzt in dzt. mindestens<br />
vier Sprachen<br />
• ein neues Licensing and Regulations Whitepaper<br />
wurde zur Verwendung für die <strong>Institut</strong>e<br />
weiterentwickelt<br />
• das PCB (Professional Certification Board)<br />
arbeitet an neuen mehrstufigen Zertifizierungen<br />
• und Advocacy-Aussendungen für die nächsten<br />
Monate wurden entworfen.<br />
Im Rahmen des Global Council in Wien standen<br />
Vorträge und vor allem intensive Diskussionsrunden<br />
zu den folgenden vier Themen am<br />
Programm:<br />
1. Die Rolle der <strong>Interne</strong>n <strong>Revision</strong> in<br />
Governance, Risk und Compliance<br />
2. Identifizieren von aktuellen Themen und<br />
Herausforderungen für die <strong>Interne</strong> <strong>Revision</strong><br />
3. Entwicklung und Verbreitung globaler<br />
Advocacy Aussagen<br />
4. Nutzung und Verbreitung von Informationen<br />
und Wissen<br />
Im Rahmen des Global Council in Wien wurden<br />
noch keine Schlussfolgerungen gezogen, aus<br />
den Diskussionsrunden konnten jedoch bereits<br />
einige gemeinsame Themen erkannt werden.<br />
1. Die Rolle der <strong>Interne</strong>n <strong>Revision</strong> in<br />
Governance, Risk und Compliance<br />
a. Die <strong>Interne</strong> <strong>Revision</strong> spielt eine Rolle, aber<br />
diese ist nicht ausreichend definiert und es<br />
gibt große Unterschiede zwischen den Ländern,<br />
öffentlichem und privatem Bereich,<br />
Größe und Entwicklungsgrad der Organisation.<br />
b. Man sollte vorsichtig sein, bei dem was wir<br />
versprechen! Nicht alle internen Revisoren<br />
haben die Fähigkeiten und Kompetenzen,<br />
ordnungsgemäße Arbeit zu erbringen. Das<br />
IIA muss sowohl den <strong>Interne</strong>n Revisoren als<br />
auch den Vorständen Unterstützung bieten,<br />
vor allem in der Rolle der <strong>Interne</strong>n <strong>Revision</strong><br />
in der Governance.<br />
c. das IIA muss die Rolle der <strong>Interne</strong>n <strong>Revision</strong><br />
rasch definieren und versuchen, diese den<br />
Stakeholdern zu vermitteln, um einen Sitz am<br />
Tisch zu halten.<br />
d. das IIA (und die nationalen <strong>Institut</strong>e) sollten<br />
mit anderen Fachleuten (und Berufsverbänden)<br />
in den Bereichen Risikomanagement<br />
und Compliance zusammen arbeiten.<br />
2. Identifizieren von aktuellen Themen und<br />
Herausforderungen für die <strong>Interne</strong> <strong>Revision</strong><br />
Folgende Themen wurden als prioritär eingestuft:<br />
a. die Rolle der <strong>Interne</strong>n <strong>Revision</strong> in<br />
Governance und Risikomanagement<br />
b. Prüfung strategischer Initiativen und Prozesse<br />
c. Talent Management – Zurverfügungstellung<br />
der <strong>Interne</strong>n <strong>Revision</strong>stätigkeit, der Rekrutierung<br />
und Bindung qualifizierter Prüfer<br />
d. Erstellung von Prüfvermerken über Kontrollen<br />
3. Entwicklung und Verbreitung globaler<br />
Advocacy Aussagen<br />
a. Den Teilnehmern gefiel die Idee globaler<br />
Advocacy Aussagen, wollen aber sicherstellen,<br />
dass sie auf lokaler Ebene angepasst<br />
und umgesetzt werden können,<br />
Seite 3
. Mehrere Vorschläge wurden gemacht, um<br />
die vorgesehenen Advocacy Aussagen zu<br />
ändern / überarbeiten.<br />
c. Das Three Lines of Defense Model zeitigte<br />
großes Interesse und führte zu intensiven<br />
Diskussionen<br />
d. Das IIA sollte fortfahren in der Entwicklung,<br />
der Kommunikation und der Suche nach weiteren<br />
Unterstützern für Advocacy.<br />
4. Nutzung und Verbreitung von Informationen<br />
und Wissen<br />
a. Die meisten <strong>Institut</strong>e erarbeiten keine eigenen<br />
Grundsätze und Publikationen; für alle<br />
jene, die dies tun ist eine sog. Zwei-Wege-<br />
Kommunikation erforderlich. Die IIA Research<br />
Foundation kann hier als eine Art<br />
Clearingstelle für jene <strong>Institut</strong>e, die Forschungstätigkeit<br />
durchführen, dienen.<br />
b. Finanzierung und Übersetzung sind zentrale<br />
Herausforderungen der <strong>Institut</strong>e bei der Arbeit<br />
an gemeinsamen Forschungspriojekten.<br />
c. Eine Website-Datenbank der Prioritäten, aktueller<br />
Projekte und globaler, regionaler und<br />
lokaler Forschungsaktivitäten wäre wichtig<br />
und würde helfen, die Beteiligung zu intensivieren.<br />
Viele wertvolle Anregungen wurden beim Global<br />
Council in Wien gesammelt und werden an<br />
die zuständigen Ausschüsse oder Gruppen zur<br />
Prüfung und weiteren Bearbeitung übergeben.<br />
Über die Ergebnisse der weiteren Beratungen<br />
und Entscheidungen wird auf dem nächstjährigen<br />
Global Council berichtet werden bzw. in die<br />
laufenden Aktivitäten des IIA und der nationalen<br />
<strong>Institut</strong>e einfließen.<br />
Das Global Council <strong>2011</strong> begann mit einer Führung<br />
durch das Obere Belvedere und einem<br />
gemütlichen Abend im Salm-Bräu und endete<br />
mit einer Tour zum Stift Melk und einem entspannten<br />
Mittagessen in der Wachau.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Zum Abschluss einige Kommentare, die uns nach Ende des Global Council erreichten:<br />
Denny Beran (IIA Senior Vice Chairman, Nachfolger von Günther Meggeneder als Chairman des IIA<br />
ab Juli <strong>2011</strong>):<br />
I would like to thank you once again for making our visit to your Country such a wonderful experience.<br />
Your hospitality was incredible. We experienced a wonderful culture where people<br />
were so friendly and helpful.<br />
We especially appreciated the effort both of you put into making each of your guests feel so very<br />
much at home. We had such a GREAT time not only meeting and spending time with the delegates<br />
who were attending our Global Council but also talking with the citizens on Austria.<br />
Were so glad to be part of celebrating Austria's 50th anniversary as part of The IIA. You know<br />
how much we all value being part of the Global IIA. By spending several days with our Global<br />
leaders, it made us appreciate it even more.<br />
As I mentioned as part of my presentation, I value the exceptional leaders that are part of our<br />
Global organization. Looking out at the audience when I was speaking was such an awesome<br />
feeling because I realized that I was talking with a group of professionals who were making such<br />
a difference and were focused on doing all that they could for our profession.<br />
We will remember our visit to your GREAT Country as one that we will always treasure and cherish<br />
for the rest of our lives. Thanks again to both of you for your outstanding hospitality.<br />
Denny<br />
Seite 4
Richard Chambers (CEO and President of the IIA):<br />
Just a quick note to say thank you to for an extraordinary week of meetings and hospitality. The<br />
CSO meetings, Global Council and CEE Conference were well organized and the logistics support<br />
was flawless. The CEE Conference well produced with an impressive attendance. Finally,<br />
the evening events and networking day of local touring were first class! You should both be very<br />
proud of the outstanding manner in which the week flowed. I commend both of you and the entire<br />
IIA Austria team on a job well done!<br />
Finally, I want to reiterate congratulations on behalf of the Global Body on the occasion of the<br />
50th anniversary of IIA Austria. Yours is clearly one of the premier institutes in the global organization,<br />
and IIA Austria’s members are fortunate to have leaders of your caliber at the helm of the<br />
organization.<br />
Richard F. Chambers CIA, CGAP, CCSA<br />
Sylvia Gonner (IIA Vice President, Global Relations & Development)<br />
I want to echo Richard’s message of congratulation and gratitude to you. I want to thank you for<br />
your wonderful hospitality and support. This event and the city of Vienna will remain one of my<br />
fondest memories in my IIA career.<br />
Vielen Dank!<br />
Sylvia Gonner<br />
Seite 5
6. CEE (Central and Eastern Europe) Konferenz in Wien<br />
Das <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong> Österreich richtete<br />
im Mai <strong>2011</strong> die 6. internationale CEE-<br />
Konferenz in Wien aus.<br />
Die CEE-Konferenz hat als sechste derartige<br />
Konferenz – diesmal in Wien - stattgefunden.<br />
Die bisherigen – sehr erfolgreichen – fünf Konferenzen<br />
wurden in Budapest, Bratislava, Prag,<br />
Bukarest und Opatija abgehalten.<br />
Knapp 300 Teilnehmer aus 32 Ländern nützten<br />
die Gelegenheit, absolute Top-Referenten auf<br />
dem Gebiet der <strong>Interne</strong>n <strong>Revision</strong> im Arcotel<br />
Wimberger in Wien zu einem konkurrenzlosen<br />
Preis zu sehen und zu hören. Etwa die Hälfte<br />
der Teilnehmer kam aus Österreich, die zweite<br />
Hälfte aus den anderen 31 Ländern.<br />
Es ist auch gelungen, absolute Top-Referenten<br />
aus 16 Ländern für diese Veranstaltung gewinnen<br />
zu können: Belgien, Bosnien & Hercegowina,<br />
Deutschland, Großbritannien, Kroatien,<br />
Lettland, Montenegro, Polen, Russland, Serbien,<br />
Slowakei, Schweiz, Tschechische Republik,<br />
Ungarn, USA und Österreich.<br />
Am ersten Tag fanden Plenarsitzungen mit Vorträgen<br />
vom Chairman des IIA, dem Präsidenten<br />
und CEO des IIA, dem Chairman der ECIIA,<br />
dem Generaldirektor des <strong>Interne</strong>n <strong>Revision</strong>sdienstes<br />
der Europäischen Kommission, einem<br />
Vertreter der INTOSAI und Top-Experten für<br />
Advocacy und Korruptionsbekämpfung statt.<br />
Beide Tage dieser Konferenz boten allen Teilnehmern<br />
ein breites Spektrum an aktuellen<br />
Themen zur <strong>Interne</strong>n <strong>Revision</strong>. Darüber hinaus<br />
hatten sie eine ausgezeichnete Gelegenheit aktuelle<br />
Probleme und Entwicklungen mit den Referenten<br />
und Kollegen aus dem CEE-Raum<br />
während der Tagung oder beim Gala-Dinner<br />
(Donnerstagabend) zu diskutieren und neue<br />
Kontakte zu knüpfen oder bisherige zu vertiefen.<br />
Die Vorträge wurden in Deutsch oder Englisch<br />
gehalten, wobei für alle Vorträge Simultanübersetzungen<br />
(Deutsch-Englisch, Englisch-<br />
Deutsch) angeboten wurden.<br />
Nach der Eröffnung<br />
durch die<br />
Vorsitzende des<br />
österreichischen<br />
<strong>Institut</strong>s, Angela<br />
Witzany, stellte<br />
der IIA Chairman,<br />
Günther Meggeneder,<br />
gemäß<br />
dem Motto seines<br />
Vorsitzes „Shape<br />
the Future“ die<br />
Rolle der <strong>Interne</strong>n<br />
<strong>Revision</strong> in einer sich stark verändernden<br />
Landschaft vor und was die <strong>Interne</strong> <strong>Revision</strong><br />
dazu beitragen kann.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Am zweiten Tag wurde die Konferenz in vier<br />
parallelen Tracks fortgesetzt: Fraud, öffentlicher<br />
Sektor, Finanzen und Governance/Risiko.<br />
Phil Tarling, ECIIA President, referierte über<br />
die 8. EU Richtlinie und ihre Auswirkungen auf<br />
die <strong>Interne</strong> <strong>Revision</strong>. Als Schlussfolgerung hielt<br />
er fest, dass das Audit Committee Pläne haben<br />
muss, um das <strong>Interne</strong> Kontrollsystem, das Risiko<br />
Management und die <strong>Interne</strong> <strong>Revision</strong> zu<br />
überwachen. Das Audit Committee kann die <strong>Interne</strong><br />
<strong>Revision</strong> dazu einsetzen, das <strong>Interne</strong><br />
Kontrollsystem und das Risiko Management zu<br />
überwachen. Das Audit Committee braucht eine<br />
klare Ansicht darüber, wie es die Arbeit der<br />
<strong>Interne</strong>n <strong>Revision</strong> überwacht. Die <strong>Interne</strong> Revi-<br />
Seite 6
sion könnte dabei assistieren, indem sie den<br />
Qualitätsprüfungsprozess unterstützt.<br />
Richard Chambers, IIA President and CEO,<br />
setzte fort mit einem sehr interessanten Vortrag<br />
über die „Eigenschaften eines höchst erfolgreichen<br />
<strong>Revision</strong>sleiters“. Ein Vortrag mit Aussagen,<br />
den eigentlich niemand missen sollte.<br />
Helmut Berger, Österreichischer RH, hielt ein<br />
Referat über die INTOSAI-Plattform zur Erarbeitung<br />
internationaler Standards und zum<br />
Wissensaustausch.<br />
Themen waren der Strategische Plan und die<br />
Strategischen Ziele der INTOSAI, das Regelwerk<br />
der INTOSAI, das Unterkomitee für die <strong>Interne</strong><br />
Kontrolle, die INTOSAI–Richtlinien mit<br />
Bezug zur <strong>Interne</strong>n <strong>Revision</strong>, <strong>Interne</strong> Kontrollnormen<br />
im öffentlichen Sektor und die Unabhängigkeit<br />
der <strong>Interne</strong>n <strong>Revision</strong> im öffentlichen<br />
Sektor, etc.<br />
• Abschaffung bzw. deutliche Einschränkung<br />
des Bankgeheimnisses (gegen hartnäckigen<br />
Widerstand von Österreich und Liechtenstein)<br />
• Offenlegung von Parteispenden (in Europa<br />
praktisch Standard, nicht in Österreich)<br />
• Offenlegung von Politikervermögen und –<br />
einkommen in Spanien<br />
• Maßnahmen gegen offshore Unternehmen?<br />
• Maßnahmen gegen Consulter-Vereinbarungen?<br />
• Meldepflicht für Wirtschaftsprüfer und <strong>Revision</strong>sunternehmen?<br />
Brian Gray, Director General, Internal Audit<br />
Service of the European Commission, erläuterte<br />
die “First Overall Opinion of the Internal Auditor<br />
of the European Commission“.<br />
Martin Kreutner, Leiter der Internationalen Anti-Korruptions<br />
Akademie, informierte über die<br />
internationale Anti-Korruptions Sommer Akademie.<br />
Sergey Martynov, (President of the Russia<br />
Chapter of the ACFE - Association of Certified<br />
Fraud Examiners) hielt einen Vortrag über<br />
Vermeidung und Bekämpfung von Wirtschaftskriminalität<br />
in großen russischen Unternehmen.<br />
Walter Geyer, Leiter der Zentralen Staatsanwaltschaft<br />
zur Bekämpfung von Wirtschaftsstrafsachen<br />
und Korruption, referierte über die<br />
Aufgaben und künftigen Entwicklungsstrukturen<br />
der Zentralen Staatsanwaltschaft zur Verfolgung<br />
von Wirtschaftsstrafsachen und Korruption.<br />
Als internationale Strategien zur Korruptionsbekämpfung<br />
nannte er:<br />
Transparenz ist das wirksamste Mittel zur Korruptionsbekämpfung<br />
• Abschaffung anonymer Sparkonten (in Österreich<br />
gegen hartnäckigen Widerstand seit<br />
November 2000)<br />
Der Tag klang aus mit einem exzellenten Buffet<br />
und Musik in gemütlicher Atmosphäre.<br />
Der zweite Tag brachte themenbezogene Vorträge<br />
in vier parallelen Vortragsreihen.<br />
Fraud<br />
• Gert WEIDINGER, Österreich<br />
Die zentralen Elemente eines Anti-Fraud-<br />
Management-Systems und ihre Umsetzung<br />
• Stanko TOKIC, Kroatien<br />
Systeme der <strong>Interne</strong>n Kontrolle und Wirtschaftskriminalität<br />
• Helmut SALOMON, Österreich<br />
Effektivere Bearbeitung von betrügerischen<br />
Handlungen mittels Interviewtechnik<br />
• Ana GOSPODINOVIC, Kroatien / Jörg<br />
JOHANNSEN, Österreich<br />
Die Rolle der <strong>Interne</strong>n <strong>Revision</strong> im Aufspüren<br />
und Bekämpfen von Wirtschaftskriminalität<br />
• Peter ZAWILLA, Deutschland<br />
Die Vielfältigkeit der Motivlagen und Formen<br />
von Wirtschaftskriminalität durch Mitarbeiter<br />
Seite 7
• Kaspars LEBEDEVS, Lettland<br />
Wirtschaftskriminalität in der Telecom Industrie<br />
• Matthias KOPETZKY, Österreich<br />
Vorschläge zur Vermeidung von Korruption<br />
– unbequeme Einsichten<br />
• Viliam KACERIAK, Slowakei<br />
Wissen Sie, was in Ihren Zweigniederlassungen<br />
geschieht?<br />
Public Sector<br />
• Grzegorz PIATAK, Polen<br />
Wie wird Effektivität in der öffentlichen Verwaltung<br />
verstanden und bewertet?<br />
• Paul JAUERNIG, Österreich<br />
<strong>Interne</strong> Kontrollsysteme im Magistrat der<br />
Stadt Wien - ein Beratungsprojekt der <strong>Interne</strong>n<br />
<strong>Revision</strong><br />
• Esther STERN, OSCE, Österreich/Kanada<br />
Praktische Erfahrungen mit Audit<br />
Committees in internationalen Organisationen<br />
• Edith GOLDEBAND, Österreich<br />
Subsidiarität in der staatlichen Finanzkontrolle<br />
- Positionierung des NÖ LRH<br />
• Nata LASMANE, Lettland<br />
Optimierung interner <strong>Revision</strong>ssysteme<br />
• Alexandra FINZ, Österreich<br />
Die Bundesbudgetreform und ihre Auswirkungen<br />
auf die <strong>Interne</strong> <strong>Revision</strong><br />
• Joanna MROWICKA, Polen<br />
Erstellung neuer Managementsysteme im<br />
öffentlichen Bereich in Europa<br />
• Hannes SCHUH, Österreich<br />
Risikoorientierung als Grundlage einer modernen<br />
und wirksamen <strong>Interne</strong>n <strong>Revision</strong><br />
Finance<br />
• Katarina DJULIC, Serbien<br />
Beurteilung von Corporate Governance<br />
Praktiken<br />
• Ulrike HORNER, Österreich<br />
Das <strong>Interne</strong> Kontrollsystem im Finanzsektor<br />
• Vincent SANTAMARIA, Tschechische Republik<br />
Optimierung operativer Risiken in Banken<br />
• Birgit STEIGER, Österreich<br />
ICAAP - Gesamtbankrisikosteuerung (Internal<br />
Capital Adequacy Assessment<br />
Procress)<br />
• David BICHLER, Österreich<br />
Internal Audit Reporting<br />
• Amir SOFTIC, Bosnien und Hercegovina<br />
Entwicklung von Front-End-Systemen als<br />
wichtiges Werkzeug effizienter Kreditprozesse<br />
in Finanzinstitutionen<br />
• Grazyna P. WOJCIK, Polen<br />
Erstellung neuer Managementsysteme im<br />
öffentlichen Bereich in Europa<br />
• Slavko RAKOCEVIC, Montenegro<br />
<strong>Interne</strong> <strong>Revision</strong> und Compliance – unterschiedliche<br />
Kontrollstufen<br />
Governance & Risk<br />
• Olga ANTIC, Serbien<br />
Ethische Konflikte und Verhaltenskodex<br />
• Michael VERTNEG, Österreich<br />
Corporate Governance und <strong>Interne</strong> <strong>Revision</strong><br />
• Peter GALA<strong>MB</strong>OS, Ungarn<br />
Fragen, die in jeder Prüfung gestellt werden<br />
sollten<br />
• Flemming RUUD, Schweiz<br />
Risk Control Assurance<br />
• Aslan MILLA, Österreich<br />
<strong>Interne</strong> <strong>Revision</strong> und Wirtschaftsprüfung -<br />
Konkurrenten oder Partner?<br />
• Margit KUPFERSCHMIDT / Rosa ZEHNER,<br />
Österreich<br />
Corporate Social Responsibility und Nachhaltigkeitsmanagement<br />
• Pavel VACHA, Tschechische Republik<br />
Technologie in der Praxis der <strong>Interne</strong>n <strong>Revision</strong><br />
– ein möglicher Ansatz um der Effektivität<br />
der <strong>Interne</strong>n <strong>Revision</strong> einen Schub zu<br />
verleihen<br />
• Kurt BERTHOLD; Österreich<br />
Risiko Management mit Fokus auf EuroSOX<br />
Insgesamt war die 6. CEE Konferenz ein voller<br />
Erfolg für das österreichische <strong>Institut</strong>, begeisternde<br />
Zuschriften – vor allem auch von ausländischen<br />
Teilnehmern – bestätigen dies sehr<br />
eindrücklich.<br />
Die 7. CEE Konferenz ist für den 10. und 11.<br />
Mai 2012 in Sarajewo, Bosnien und Hercegovina,<br />
geplant.<br />
Mag. Norbert Wagner<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Seite 8
Public-Sector-Session der 6. CEE-Konferenz<br />
Die acht Vorträge von Vertreterinnen und Vertretern<br />
einer internationalen Organisation und<br />
von drei Nationen zeigten einmal mehr die Dynamik<br />
und Themenvielfalt des öffentlichen Sektors<br />
auf. Drei Vorträge mit den Themen Effektivität<br />
und Qualität, wirkungsorientierte Budgets<br />
und neue Managementsysteme unterstrichen<br />
die strategische Ausrichtung der Verwaltungen.<br />
Der Kontext der <strong>Interne</strong>n <strong>Revision</strong>en wurde<br />
durch Vorträge über Audit Committees und die<br />
Subsidiarität der staatlichen Finanzkontrolle<br />
näher untersucht und letztlich wurden Kernthemen<br />
der <strong>Revision</strong>, wie <strong>Interne</strong> Kontrollsysteme<br />
in einer Stadtverwaltung, Optimierung <strong>Interne</strong>r<br />
<strong>Revision</strong>ssysteme sowie Risikoorientierung<br />
angesprochen. Wobei diese Vorträge wieder<br />
zur strategischen Ausrichtung verwiesen<br />
und somit den logischen Kreis schlossen.<br />
Die Vorträge können der Reihenfolge des Tagungsprogrammes<br />
entsprechend wie folgt skizziert<br />
werden:<br />
Grzregorz Piatak, Polen, Revisor des Voivod<br />
Employment Office in Zielona Gora, sprach<br />
über das Thema " Wie wird Effektivität in der öffentlichen<br />
Verwaltung verstanden und bewertet?".<br />
Er legte dar, dass gesetzliche Bestimmungen<br />
oft auch Verpflichtungen zu Effizienz<br />
und Effektivität enthalten und knüpfte daran die<br />
Fragen der Evaluierung und des Feedbacks an<br />
die Gesetzgeber, die er über die Verpflichtung<br />
gegenüber der Öffentlichkeit (teilweise) beantwortete.<br />
Den Fokus legte er dabei auf die Qualität<br />
in der Prüfung wie auch auf die Prüfung der<br />
Qualität und vertiefte sich in den Bereich des<br />
Quality Assessment Frameworks.<br />
Dr. Paul Jauernigg, Österreich, Leiter der <strong>Interne</strong>n<br />
<strong>Revision</strong> der Wiener Magistratsdirektion<br />
und stellvertretender Magistratsdirektor für Personal<br />
und <strong>Revision</strong>, stellte "<strong>Interne</strong> Kontrollsysteme<br />
im Magistrat der Stadt Wien - ein Beratungsprojekt<br />
der <strong>Interne</strong>n <strong>Revision</strong>" vor. Nach<br />
einer überblicksweisen Vorstellung von Wien in<br />
seiner komplexen Vielfalt, mit seinen 60.000<br />
Planstellen (ohne Stadtwerke) und einem Budget<br />
von 11 Milliarden Euro, hob er die immer<br />
stärker werdende Bedeutung internen Kontrollsysteme<br />
im Rahmen der Managementfunktion<br />
hervor. 2008 bis 2009 wurden die IKS flächendeckend<br />
dargestellt und von der <strong>Interne</strong>n <strong>Revision</strong><br />
auf Schlüssigkeit und Qualität geprüft und<br />
mit Anmerkungen und Empfehlungen abgenommen.<br />
Durch die näher ausgeführte Arbeit<br />
der IR haben sich die Dienststellen intensiv und<br />
systematisch mit den IKS auseinander gesetzt,<br />
wurden in der Praxis Mindeststandards eingeführt,<br />
Kontrolllücken geschlossen und bestehende<br />
Systeme weiterentwickelt. Das nächste<br />
Etappenziel (2012) besteht in der Sicherung<br />
der <strong>Interne</strong>n Kontrollsysteme und in der Erhöhung<br />
ihres Reifegrades.<br />
Esther Stern, OSCE, Direktorin des Office of<br />
Internal Oversight, berichtete über praktische<br />
Erfahrungen mit Audit Committees in internationalen<br />
Organisationen. Die OSCE umfasst 56<br />
Mitgliedstaaten und 12 Kooperationspartner,<br />
hat 2.500 Mitarbeiter und verfolgt die Ziele Stabilität,<br />
Wohlstand und Demokratie. Nach der<br />
Einrichtung professioneller und unabhängiger<br />
<strong>Interne</strong>r <strong>Revision</strong>en Mitte der 1990er wurden<br />
vor ungefähr einem Jahrzehnt erstmals Audit<br />
Committees eingerichtet. Obwohl es einen<br />
deutlichen Fortschritt in der Entwicklung der<br />
Prüffunktionen gegeben hat, ist dennoch eine<br />
Verbesserung im Bereich des internal audit und<br />
des external audit möglich. Viele <strong>Revision</strong>en<br />
sind mittlerweile in Oversight Committees integriert.<br />
Sie umfassen Prüf-, Evaluierungs- und<br />
Nachforschungsfunktionen. Bei anderen Internationalen<br />
Organisationen wiederum gibt es<br />
noch gar keine Audit Committees. Obwohl Herausforderungen<br />
der ACs u.a. im politischen<br />
Kontext, der Positionierung und der quantitativen<br />
und qualitativen Zusammensetzung bestehen,<br />
gibt es auch eine Reihe positiver Effekte.<br />
2008 hat RIAS (Representatives of Internal Audit<br />
Services of the UN and Multilateral <strong>Institut</strong>ions)<br />
ein Positionspapier allgemein anerkannten<br />
AC-Grundsätzen und Good Practices veröffentlicht.<br />
Letztlich wurden noch Ergebnisse eines<br />
Benchmarks mit dem IIA-Instrument "GAINS"<br />
vorgestellt.<br />
Dr. Edith Goldeband, Österreich, Direktorin<br />
des Niederösterreichischen Landesrechnungshofes,<br />
erörterte die Subsidiarität in der staatlichen<br />
Finanzkontrolle anhand der Positionierung<br />
des Niederösterreichischen Landesrechnungshofes.<br />
Nach einer kurzen Vorstellung des Nö.<br />
LRH sprach sie die aktuellen Herausforderungen<br />
an, die sich aus den Folgen der Finanzund<br />
Wirtschaftskrise, dem österr. Stabilitätsprogramm<br />
2010-2014 und aus Europa 2<strong>02</strong>0 (intelligentes,<br />
nachhaltiges und integratives Wachstum)<br />
ergeben. Sie skizzierte die vielfältige, viele<br />
Seite 9
Ebenen umfassende Kontrolllandschaft von der<br />
EU bis zur <strong>Interne</strong>n <strong>Revision</strong>, die letztlich über<br />
einen Kontrollverbund und die Prinzipien Subsidiarität<br />
und Proportionalität (z.T.) lösbar ist.<br />
Der Kontrollverbund umfasst eine verstärkte<br />
Zusammenarbeit einerseits interner und externer<br />
Finanzkontrollen, andererseits aber auch<br />
nationaler und internationaler Prüfeinheiten.<br />
Nata Lasmane, Lettland, <strong>Revision</strong>sleiterin des<br />
Finanzministeriums, erörterte die Optimierung<br />
<strong>Interne</strong>r <strong>Revision</strong>ssysteme. Die <strong>Interne</strong> <strong>Revision</strong><br />
ist direkt unter der politischen Ebene des<br />
Ministeriums angesiedelt und beinhaltet auch<br />
die Prüfung der EU-Fonds. Nach einer Kurzdarstellung<br />
der nationalen Verwaltungsstruktur<br />
wurden die Verantwortlichkeiten und Ziele der<br />
Central Harmonization Unit und jene der internen<br />
<strong>Revision</strong> dargestellt. In der Folge wurde<br />
das Glaubwürdigkeitsproblem von Prüfungen in<br />
Zusammenhang mit der Finanzkrise anhand<br />
von 6 Vorurteilen angesprochen und mit Gegenpositionen<br />
widerlegt oder zumindest wesentlich<br />
entschärft. Als Schwachstellen wurde<br />
eine geringe (Personal-)Kapazität angesprochen,<br />
weiters, dass ein Großteil der Hochrisikobereiche<br />
nicht geprüft werden konnte und<br />
50% der Empfehlungen nicht umgesetzt wurden.<br />
Dem steht aber eine positive Entwicklung<br />
im Bereich IT-Projekte, Schulungen, Empfehlungen,<br />
Überwachung nachgeordneter Dienststellen,<br />
Präventivmaßnahmen etc. gegenüber.<br />
Abschließend wurde der Weg zu einer Gesamtbeurteilung<br />
des Budgets aufgezeigt.<br />
Mag. Alexandra Finz, Österreich, Leiterin der<br />
Abteilung EU-Finanzkontrolle und <strong>Interne</strong> <strong>Revision</strong><br />
im Lebensministerium, stellte die Bundesbudgetreform<br />
und ihre Auswirkungen auf die <strong>Interne</strong><br />
<strong>Revision</strong> vor. Nach einer Kurzdarstellung<br />
der Aufgaben, Leistungen und des Rollenverständnisses<br />
ihrer Abteilung skizzierte sie die<br />
Verwaltungsentwicklungen seit den 1960ern<br />
um dann auf die erste und zweite Etappe der<br />
Haushaltsreform des Bundes einzugehen. Diese<br />
zeichnet sich durch eine Integration von<br />
Wirkung und Leistung in das Budget, Einführung<br />
eines neuen Rechnungswesens, Anreize<br />
zur effizienten Mittelverwaltung, Aufzeigen geschlechterspezifischer<br />
Auswirkungen u.a. aus.<br />
Zentrale Steuerungselemente sind der Strategiebericht<br />
des BMF, Globalbudgets auf Ressortebene<br />
und ressortinterne Steuerungen in<br />
Form von Ressourcen-, Ziel und Leistungsplänen.<br />
Für die <strong>Revision</strong> ergeben sich dadurch<br />
neue Prüffelder (Instrument des neuen Haushaltsregimes,<br />
Umsetzung, neue Erfassungssysteme,<br />
...) und eine Chance zur Stärkung ihrer<br />
Rolle durch Beratung und Wissenstransfer.<br />
Insgesamt bedeutet die Haushaltsreform für alle<br />
einen Kulturwandel.<br />
Joanna Mrowicka, Polen, Leiterin des Departments<br />
für <strong>Revision</strong> und <strong>Interne</strong> Kontrolle<br />
der Poznan University of Technology sprach<br />
über die Erstellung neuer Managementsysteme<br />
im öffentlichen Bereich in Europa. Nach einem<br />
Vergleich der Audit Trails im öffentlichen und<br />
privaten Bereich hob sie Best-Practice-<br />
Beispiele der EU hervor, .z.B. Internal Control<br />
Standards der Europäischen Kommission, Public<br />
Internal Finance Control, EUROSAI-Guide<br />
über Audit Quality, u.a.) und führte das systemische<br />
Zusammenspiel der Prüfkörper näher<br />
aus. Inter alia spielen dabei das Self<br />
Assessment, Peer Reviews und interne wie externe<br />
Kommunikation wichtige Rollen.<br />
Dr. Hannes Schuh, Österreich, Leiter der <strong>Interne</strong>n<br />
<strong>Revision</strong> des BMF, betrachtete die Risikoorientierung<br />
als Grundlage einer modernen<br />
und wirksamen <strong>Interne</strong>n <strong>Revision</strong>. Ausgehend<br />
von einer dynamischen Verwaltungsentwicklung<br />
skizzierte er die strategische Ausrichtung<br />
der <strong>Revision</strong> im Verhältnis zu den Zielen der<br />
Verwaltung um dann zwei Beispiele herauszugreifen.<br />
Zum einen wurde risikoorientierte Ansatz<br />
in einem Prüfprozess skizziert und anhand<br />
des Themas Berichtswesen/Kommunikation mit<br />
Beispielen dargestellt, zum anderen wurde die<br />
Prüfung der Risikoorientierung selbst näher untersucht<br />
und anhand von Prüfungsfragen dargestellt.<br />
Eine Grundaussage war dabei, dass<br />
das Risikoverständnis der Verwaltung von seiner<br />
Positionierung im Rahmen der allgemeinen<br />
Verwaltungsentwicklung abhängt und die <strong>Revision</strong><br />
auf diesen Umstand ebenso Rücksicht<br />
nehmen muss, wie auf die allgemein anerkannten<br />
Risikomanagementstandards und die aktuellen<br />
Erkenntnisse der Scientific Communitiy.<br />
Dr. Hannes Schuh<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Seite 10
Let´s talk Audit – Nachhaltigkeit / CSR prüfen?<br />
Unter dem Titel „CSR / Nachhaltigkeit auf dem<br />
Prüfungsplan der internen <strong>Revision</strong>? – Luxus<br />
oder Notwendigkeit“ fanden am 17. März (in<br />
Graz) und am 4. Mai <strong>2011</strong> (in Wien) zwei weitere<br />
Veranstaltungen aus der Reihe „Let’s talk<br />
Audit“ statt. Gemeinsam organisiert wurden<br />
auch diese Veranstaltungen von dem <strong>Institut</strong> für<br />
<strong>Interne</strong> <strong>Revision</strong> und von Ernst & Young.<br />
Zur Wiener Veranstaltung:<br />
Frau Mag. Habereder, Projektleiterin bei<br />
respACT – austrian business council for sustainable<br />
development, die führende Unternehmensplattform<br />
für Corporate Social Responsibility<br />
(CSR) und Nachhaltigkeit in Österreich, leitete<br />
die Diskussion mit einem Impulsreferat<br />
zum Thema „CSR und die Rolle der internen<br />
<strong>Revision</strong>“ ein. Sie stellte die Aktivitäten und<br />
Schwerpunkte von respACT vor und erläuterte<br />
die Inhalte des CSR-Leitbildes welches unter<br />
Einbindung verschiedenster Stakeholder im<br />
Jahr 2009 erarbeitet wurde und sich an alle österreichischen<br />
Unternehmen richtet. Es zeigt,<br />
welche Aspekte die Begriffe Nachhaltigkeit und<br />
CSR umfassen und dient als Anleitung, wie<br />
diese im Unternehmen umgesetzt werden können.<br />
Das Leitbild ist in fünf Handlungsfelder<br />
gegliedert: Führung und Gestaltung, Markt,<br />
MitarbeiterInnen, Umwelt, Gesellschaft.<br />
Veranschaulicht wurden die Inhalte anhand von<br />
österreichischen Best-Practice Beispielen.<br />
So wurde für das Handlungsfeld „Führung und<br />
Gestaltung“ aufgezeigt, wie Nachhaltigkeit/CSR<br />
strategisch auf Führungsebene umgesetzt und<br />
so das Vertrauen in die Firma gestärkt werden<br />
kann. Im Bereich „Markt“ wurde demonstriert,<br />
wie durch eine nachhaltige Produktgestaltung<br />
neue Märkte erschlossen werden können. Dass<br />
Unternehmen die Mitarbeitermotivation und ihre<br />
Reputation am Arbeitsmarkt im Rahmen ihres<br />
Nachhaltigkeit/CSR-Managements steigern<br />
können, wurde im Handlungsfeld „MitarbeiterInnen“<br />
aufgezeigt. Wie ein gezieltes Umweltmanagementsystem<br />
auch Kosteneinsparungen<br />
mit sich bringen kann, wurde unter dem Aspekt<br />
„Umwelt“ vorgestellt. Durch die Verbindung des<br />
Kerngeschäfts mit einer sozialen Problemstellung<br />
können und sollen Unternehmen auch im<br />
Bereich „Gesellschaft“ Verantwortung übernehmen.<br />
Frau Mag. Habereder betonte, dass der Leitfaden<br />
nur eine Hilfestellung für Unternehmen<br />
darstelle und nicht „prüfbar“ sei. Dafür gäbe es<br />
andere Standards, wie beispielsweise der Berichtstandard<br />
für gesellschaftliche, ökologische<br />
und ökonomische Performance der Global Reporting<br />
Initiative, welcher geeignete Prüfkriterien<br />
und Indikatoren bietet.<br />
Authentisch wirke ein Unternehmen, welches<br />
sich CSR/Nachhaltigkeit an die Fahne hefte nur<br />
dann, wenn es diesen Aspekt umfassend in<br />
seine Management- und Berichtsysteme integriert<br />
habe. Dabei käme der <strong>Interne</strong>n <strong>Revision</strong><br />
eine bedeutende Rolle zu. Die Prüfung von sozio-ökologischen<br />
Kennzahlen und Einhaltung<br />
relevanter Standards, sowie die Sicherstellung<br />
der Umsetzung notwendiger Prozesse im Unternehmen,<br />
können als Beispiele genannt werden.<br />
Weiters könne die <strong>Interne</strong> <strong>Revision</strong> die Implementierung<br />
von CSR/Nachhaltigkeit in den Unternehmen<br />
unterstützen, indem die geprüften<br />
Einheiten durch das Aufzeigen möglicher Risiken<br />
zum Thema sensibilisiert werden. Viele Unternehmen<br />
seien sich gar nicht bewusst, dass<br />
Nachhaltigkeit/CSR ein Thema für sie sei, so<br />
ein Diskutant.<br />
Problematisiert wurde auch inwiefern sensible<br />
Prüfbereiche, wie beispielsweise Mitarbeiterdaten<br />
im Gesundheitsbereich, geprüft werden<br />
sollten. Dies könne auch kontraproduktiv für ein<br />
Unternehmen sein.<br />
Zusammenfassend kann festgehalten werden,<br />
dass ein zielführendes Nachhaltigkeit-/CSR-<br />
Management von „oben“, sprich der Geschäftsführung<br />
strategisch implementiert werden<br />
muss, da sonst die Gefahr besteht, dass nur<br />
punktuell Aspekte umgesetzt werden. Ein<br />
nachhaltig ausgerichtetes Unternehmen muss<br />
Prozesse und Berichtssysteme implementieren,<br />
die das Thema Nachhaltigkeit und CSR messbar<br />
und somit steuerbar machen. Dabei sollte<br />
die interne <strong>Revision</strong> die Überwachung dieser<br />
Prozesse und Systeme übernehmen und sicher<br />
stellen, dass die wichtigen Risiken adressiert<br />
werden.<br />
Jörg Johannsen<br />
Ernst & Young<br />
Seite 11
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Fotos: Veranstaltung Let’s talk Audit am<br />
17.3.<strong>2011</strong> in Graz, Impulsreferat durch Hrn.<br />
Dr. Peter Winkler, Faircheck Schadensservice<br />
GmbH.<br />
-> siehe auch Artikel im Audit Journal, Heft 1 /<br />
April <strong>2011</strong>.<br />
Das <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong> hat für alle Teilnehmerinnen und Teilnehmer an den Veranstaltungen<br />
• 50-Jahr-Feier<br />
• CEE – Conference<br />
• 4. Dreiländer-Konferenz der IR in der Versicherungswirtschaft<br />
• ERFA Graz<br />
zur Erinnerung und für alle anderen als kleine Impression Fotogalerien auf unsere Homepage<br />
www.internerevision.at gestellt.<br />
Seite 12
30. Mitgliederversammlung am 9. Juni <strong>2011</strong><br />
Auch bei der Mitgliederversammlung des <strong>Institut</strong>s<br />
für <strong>Interne</strong> <strong>Revision</strong> gab es heuer eine<br />
„runde“ Zahl. Bereits zum 30. Mal fand eine<br />
MGV statt, bei der Vereinsmitglieder die Gelegenheit<br />
hatten, sich einerseits über die aktuelle<br />
Lage und die Entwicklung des <strong>Institut</strong>s zu informieren<br />
und andererseits einen Ausblick auf<br />
die geplanten Aktivitäten zu erhalten. Vielen<br />
Dank an dieser Stelle an alle, die an der MGV<br />
teilgenommen haben für Ihr Interesse!<br />
Nach Erledigung einiger formaler, aber vereinsrechtlich<br />
notwendiger Punkte, führte Mag. Angela<br />
Witzany als Vorsitzende des IIRÖ durch<br />
das Programm. Anhand einer Präsentation gab<br />
sie einleitend einen Überblick über die Highlights<br />
des 2010/<strong>2011</strong>. Hier sind jedenfalls die<br />
Veranstaltungen anzuführen: Die Jahrestagung<br />
im September 2010 stand unter dem Titel „Corporate<br />
Social Responsibility“ und fand im Tiroler<br />
Dorf Alpbach statt. Das IIRÖ gab begleitend<br />
eine gleichnamige Broschüre heraus. Erfas<br />
fanden zu den Themen „Wirtschaftskriminalität<br />
– Sonderuntersuchung“ und „<strong>Interne</strong> <strong>Revision</strong><br />
zwischen Vorstand und Aufsichtsrat. Wie entwickeln<br />
sich die Überwachungsstrukturen in<br />
Österreich? Was hat das URÄG 2008 gebracht“<br />
statt. Das letzt genannte wurde aufgrund der<br />
großen Nachfrage sogar wiederholt.<br />
Die 50-Jahr-Feier des <strong>Institut</strong>s für <strong>Interne</strong> <strong>Revision</strong><br />
fand in einem sehr schönen Rahmen statt.<br />
Aus diesem Anlass wurde auch eine Festschrift<br />
– ein Exemplar wurde bereits jedem Mitglied<br />
übersendet – erstellt.<br />
Mit besonderem Stolz konnte auch über die im<br />
Mai in Wien stattgefundenen internationalen<br />
Konferenzen,<br />
• Global Council <strong>2011</strong> in Wien unter Beteilung<br />
von knapp 70 Ländern weltweit<br />
• Global Executive Leader Team Meeting<br />
und Professional Certification Board Meeting<br />
• 6. CEE Konferenz mit knapp 300 Teilnehmern<br />
aus mehr als 30 Ländern<br />
• Dreiländer Versicherungstagung in Wien<br />
berichtet werden.<br />
Sehr erfreulich ist, dass sich weiterhin viele Revisorinnen<br />
und Revisoren in den eingerichteten<br />
10 Arbeitskreisen (Privatversicherer, Banken,<br />
Public Sector, New Auditors, CIA, EDV, SAP,<br />
Universitäten, Energiewirtschaft, Wirtschaftskriminalität)<br />
engagieren.<br />
Dr. Matthias Kopetzky informierte über die Bereiche<br />
Öffentlichkeitsarbeit und Bildung und<br />
Forschung und beschrieb das geplante Forschungsprojekt<br />
„Gender & Corruption“ an. Zu<br />
den Aktionsfeldern Homepage und Zusammenarbeit<br />
mit Universitäten stellte er die ambitionierten<br />
Zielsetzungen des IIRÖ vor und ersuchte<br />
gleichzeitig um tatkräftige Unterstützung<br />
der Anwesenden, sei es durch Inputs oder<br />
durch Herstellung von Kontakten.<br />
Der finanzielle Status des IIRÖ ist weiterhin<br />
sehr stabil, wenn auch durch vermehrte Aktivitäten<br />
höhere <strong>Ausgabe</strong>n entstanden sind. Gleiches<br />
gilt auch für die Akademie <strong>Interne</strong> <strong>Revision</strong><br />
GmbH, die sich seit ihrer Gründung unter<br />
der Leitung von Mag. Norbert Wagner sehr gut<br />
etabliert hat.<br />
Der aktuelle Mitgliederstand beträgt 450 Mitglieder,<br />
wobei die Firmenmitgliedschaften mit<br />
340 den weitaus größten Anteil darstellen. Wir<br />
freuen uns über eine weitere positive Entwicklung:<br />
<strong>2011</strong> sind bereits 34 Beitritte vermerkt<br />
worden.<br />
Die internationalen Beziehungen sind ganz<br />
hervorragend und schlagen sich in Kontakten,<br />
im Austausch und in gemeinsamen Projekten<br />
nieder. So ist Mag. Angela Witzany Mitglied im<br />
Professional Certifications Board des <strong>Institut</strong>e<br />
of Internal Auditors (IIA), Mag. Norbert Wagner<br />
Mitglied des Audit Committees der European<br />
Confederation of <strong>Institut</strong>es of Internal Auditing<br />
(ECIIA) sowie Mitglied bei GELT (Global Executive<br />
Leader Team) und Chairman European<br />
Executive Leader Team. Es gibt bei den CEE<br />
eine enge Kooperation mit Bosnien/<br />
Hercegovina, Bulgarien, Kroatien, Lettland, Litauen,<br />
Montenegro, Rumänien, Russland, Serbien,<br />
Slowakei, Tschech. Republik, Ungarn sowie<br />
ein Mentor-Programm – Bosnien/Hercegovina<br />
und Serbien.<br />
Die Beziehungen zum Deutschen <strong>Institut</strong> für <strong>Interne</strong><br />
<strong>Revision</strong> und zum Schweizerischen Verband<br />
für <strong>Interne</strong> <strong>Revision</strong> bestehen seit vielen<br />
Jahren und sind traditionell gut.<br />
Seite 13
Der Bericht des Vorstands endete mit einem<br />
Ausblick auf Kommendes. Sowohl die geplanten<br />
Veranstaltungen (Jahrestagung im September,<br />
Erfa im November <strong>2011</strong> und Audit<br />
Competence Conference im Jänner 2012) als<br />
auch die Projekte Enquete <strong>2011</strong>, Auswertung<br />
und Publikation der CBOK-Umfrage und die<br />
weitere Verbesserung der Website sind bereits<br />
in Vorbereitung.<br />
Nach der Präsentation berichtete Herr Mag.<br />
Schuster in seiner Funktion als Rechnungsprüfer<br />
des IIRÖ und der AIR über die gemeinsam<br />
mit Fr. Mag Rossgatterer durchgeführten Überprüfungen,<br />
die ein sehr positives Ergebnis erbracht<br />
haben und stellte anschließend den Antrag<br />
auf Entlastung des Vorstandes. Diesem<br />
Antrag folgten die Mitglieder einstimmig.<br />
Direktor Wolfgang Zotter ist auf eigenem<br />
Wunsch aus dem Vorstand des IIRÖ ausgeschieden.<br />
Als sein Nachfolger wurde entsprechend<br />
dem vorgelegten Wahlvorschlag Ing. Otto<br />
Mayerhofer gewählt, der sich davor vorstellte<br />
und einen kurzen Überblick über seinen beruflichen<br />
Werdegang gab.<br />
Abschließend dankte Mag. Witzany ihren Vorstandskollegen<br />
sowie Mag. Wagner für ihr Engagement<br />
und die Unterstützung. Gleiches gilt<br />
für Monika Herrloss, die die administrativen<br />
Angelegenheiten des IIRÖ ausgezeichnet managt<br />
sowie Tanja Rautner und Tanya Sharma,<br />
die die IIRÖ-Veranstaltungen sowie die AIR<br />
hervorragend organisieren bzw. betreuen.<br />
Nach einigen Nachfragen und Kommentaren<br />
wurde der erste Teil der MGV geschlossen. Es<br />
folgte der nächste Programmpunkt „Datenschutz<br />
und Wikileaks aus Sicht der vierten Säule“<br />
von Ulla Schmid, einer sehr profilierten Innenpolitikredakteurin<br />
des Profils. Sie gab uns in<br />
klar nachvollziehbarer Weise durch ihren Impulsvortrag<br />
einen Einblick in den investigativen<br />
Journalismus und informierte die Zuhörerinnen<br />
und Zuhörer über die Grundprinzipien jeder<br />
„Geschichte“, die erforderlichen <strong>Interne</strong>t- und<br />
Papierrecherchen zum Thema und über die<br />
Netzwerke, die für Abstimmungen, Erklärungen<br />
und Gegenchecks notwendig sind und letztlich,<br />
dass auch manchmal ein Quäntchen Glück<br />
notwendig ist.<br />
Fr. Schmid zeigte anhand von Beispielen aus<br />
der jüngeren österreichischen Politik in spannender<br />
Schilderung den Weg vom Erhalt von<br />
Informationen oder Hinweisen von Informanten<br />
bis zur fertigen Story im Profil auf.<br />
In der Diskussion bestand Gelegenheit zu<br />
Nachfragen und zu weiteren Statements zu relevanten<br />
Punkten der Aufklärungsarbeit, die<br />
manchmal ähnlich der <strong>Revision</strong>stätigkeit ist und<br />
oftmals ganz gegenteilige Intentionen hat.<br />
Mag. Eva Weiszgerber<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Seite 14
News aus den Arbeitskreisen<br />
An dieser Stelle wollen wir Ihnen regelmäßig, kurz und bündig allerlei Interessantes aus den einzelnen<br />
Arbeitskreisen des <strong>Institut</strong>s für <strong>Interne</strong> <strong>Revision</strong> Österreich berichten. Sie sollen dadurch einen Eindruck<br />
bekommen, was Thema in den AK war oder aktuell ist bzw. womit sich die TeilnehmerInnen dieser AK<br />
befassen werden. Vielleicht wird dadurch auch Ihr Interesse geweckt, selbst etwas beizutragen, sei es<br />
durch Ihre Teilnahme, durch Ihren Input oder auf eine sonstige Weise.<br />
Mag. Eva Weiszgerber<br />
AK Public Sector<br />
Der Arbeitskreis Public Sector setzte in letzter Zeit folgende Initiativen:<br />
• Eine temporäre Arbeitsgruppe unter der Leitung von Mag. Alexandra Finz <strong>MB</strong>A, Leiterin der <strong>Interne</strong>n<br />
<strong>Revision</strong> des Lebensministeriums, beschäftigte sich mit der Frage der Relevanz der Haushaltsrechtsreform<br />
für die Revisorinnen und Revisoren. Das Ergebnis wurde in der 50-Jahr-<br />
Festschrift des <strong>Institut</strong>es <strong>Interne</strong> <strong>Revision</strong> Österreich publiziert und auf der Zentral- und Osteuropa-<br />
Konferenz präsentiert.<br />
• Auf Initiative und unter der Leitung von Mag. Ines Wilflingseder und Mag. Brigitte Juen hat sich eine<br />
– mittlerweile recht erfolgreiche - Plattform "WIFO-Wissensforum" gebildet. Ihr Ziel ist der Wissensund<br />
Erfahrungsaustausch zwischen <strong>Interne</strong>n <strong>Revision</strong>en des Public Sectors mit einer kleinen Mitarbeiterzahl.<br />
• Das <strong>Institut</strong> IIRÖ und PwC geben gemeinsam ein Buch mit dem (wahrscheinlichen) Titel "<strong>Interne</strong><br />
<strong>Revision</strong> - Positionen und Praxisbeispiele aus dem öffentlichen Sektor" heraus. Die Beiträge<br />
stammen von IIRÖ-Mitgliedern des Public Sectors und PwC. Derzeit laufen die allerletzten Finalisierungsarbeiten.<br />
Erscheinungstermin: demnächst.<br />
Dr. Hannes Schuh<br />
AK Universitäten<br />
Am 7.6.<strong>2011</strong> fand bereits das 15. Arbeitskreistreffen seit der Gründung im Oktober 2006 an der Medizinischen<br />
Universität Wien statt. Ein Schwerpunkt dieses Treffen war der Vortrag des Leiters Rechtsabteilung<br />
der Medizinischen Universität Wien zum Thema Forschungsförderung und Auftragsforschung an<br />
Universitäten. Weitere Punkte waren die Themen Corporate Governance und IR an Universitäten sowie<br />
Prüfung der Prozesse der Investitionsprogramme.<br />
Ing. Otto Mayerhofer, Mag. Markus Künzel, <strong>MB</strong>A<br />
Seite 15
AK Wirtschaftskriminalität<br />
Wie auf der letzten Veranstaltung in Graz angekündigt wird diesmal ein Spezialunternehmen, Scalaries,<br />
zu Gast sein. Ein Vortrag zur den Möglichkeiten legaler Informationsbeschaffung durch Spezialagenturen<br />
(zB beim Preemployment-Screening, Lieferantenchecks, oder eben laufende Untersuchungen in einem<br />
Fall). Das Unternehmen Scalaris wird zu den Do´s und Don´ts im Bereich der Datenbeschaffung -<br />
insbesondere im CEE-Raum - Stellung beziehen und auch unsere kritischen Fragen (zB Datenschutz)<br />
beantworten.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Über besonderen Wunsch wird Dr. Kopetzky eine kurze Präsentation zu Täter-Typologien auf Basis<br />
psychologischer Analysen (Forschungsarbeit der Universität Leipzig) vorstellen, wobei ergänzender Input<br />
aus dem AK sehr erwünscht ist.<br />
Abschließend werden wir ein kurzes Brainstorming zur Abschätzung von Risiken von Treuhandkonten<br />
im Baubereich bei öffentlichen <strong>Institut</strong>ionen und mögliche Prüffelder abhalten. Dies ist eine Anfrage einer<br />
Kollegin aus einer internationalen Organisation.<br />
Der Sommer-AK "Wirtschaftskriminalität" wird auf Einladung von Siemens Österreich am 06. Juli <strong>2011</strong>,<br />
von 13-17.00 in der neuen Siemens-City zu Gast sein. Teilnahme ist nur über spezielle Anmeldung von<br />
AK-Mitgliedern via diesen zugegangenem Link möglich.<br />
Dr. Matthias Kopetzky<br />
AK Privatversicherer<br />
Der AK der Privatversicherer startete mit der ersten Sitzung am 27.April in das neue Jahr; im Mittelpunkt<br />
stand neben der Vorbereitung zur 4. Dreiländer-Konferenz der <strong>Interne</strong>n <strong>Revision</strong> der Versicherungswirtschaft<br />
(18. bis 19. Mai) in Wien, ein sehr interessanter Erfahrungsaustausch zu aktuellen Prüfungsthemen<br />
unter den wieder zahlreich anwesenden Teilnehmern. Wir konnten dankenswerter Weise<br />
in den Räumlichkeiten des Verbands der Versicherungsunternehmen Österreichs im Anschluss an die<br />
Sitzung des Komitees für <strong>Interne</strong> <strong>Revision</strong> und Kontrolle tagen.<br />
Die nächste Arbeitskreissitzung findet in bewährter Weise am Vortag – 21.09.<strong>2011</strong> - zur Jahrestagung<br />
im Bad Blumau statt. Neben Erfahrungsaustauschthemen werden die Ergebnisse der Unterarbeitsgruppe<br />
„Checklistensammlung – up date“ präsentiert.<br />
Mag. Angela Witzany, CIA<br />
EDV-AK<br />
Der EDV-Arbeitskreis tagt 5 mal jährlich jeweils von 10:00 bis 16:00 Uhr und wird von den Unternehmen<br />
der Mitglieder zur Abhaltung der Veranstaltungen eingeladen. Dies nicht nur in Wien, sondern<br />
auch in Linz, Graz und Salzburg. An dieser Stelle ein herzliches Dankeschön für das Entgegenkommen.<br />
Für jeden Termin werden im Vorfeld ein oder mehrere Themen vorbereitet, präsentiert und im Plenum<br />
diskutiert. Aktuelles und Wissenswertes aus den jeweiligen Prüfthemen sowie Seminarberichte und<br />
Buchbesprechungen runden die Inhalte der Veranstaltungen ab.<br />
Die Protokolle sowie Präsentationsunterlagen befinden sich auf der Website des <strong>Institut</strong>s und sind den<br />
Mitgliedern des Arbeitskreises zugänglich.<br />
Seite 16
In diesem Jahr fanden bereits 3 Arbeitskreistreffen statt, wobei der erste Termin im Jänner, quasi standardmäßig,<br />
in Linz bei der Oberbank stattfand und schwerpunktmäßig ein Review 2010 (Ergebnis- bzw.<br />
Erfahrungsberichte zu den Prüfthemen des Jahres 2010) sowie ein Preview <strong>2011</strong> (Vorstellung der einzelnen<br />
Prüfpläne <strong>2011</strong> durch die Mitglieder) beinhaltete. Über die in 2010 durchgeführten Prüfungen<br />
und deren Ergebnisse wurde diskutiert und reger Erfahrungsaustausch betrieben. Die im Jahr <strong>2011</strong> geplanten<br />
Prüfungen wurden vorgestellt, teilweise andiskutiert und Parallelitäten zwischen den einzelnen<br />
Prüfplänen gesucht. Auch ein Status Quo Bericht des Beitrags des Arbeitskreises zum 50-jährigen Jubiläum<br />
des <strong>Institut</strong>s - ein Artikels zum Thema "IT-<strong>Revision</strong> - Eine Herausforderung für die <strong>Interne</strong> <strong>Revision</strong><br />
oder warum IT-Audits keine Wirkung zeigen" (Autor: Manfred Scholz) war Bestandteil der Tagesordnung.<br />
Am 22.März <strong>2011</strong> war der Arbeitskreis erstmals bei der Fa. Novomatic AG zu Gast. Nach einer Werksführung<br />
widmeten wir uns nach eindrucksvoller Präsentation von Rene Schametz dem Thema „Soziale<br />
Medien aus Sicht der <strong>Revision</strong>“. Ein Zwischenbericht über bisherige Prüfergebnisse und die Aktualisierung<br />
der Präferenzliste zur Themenbearbeitung waren die weiteren Inhalte dieses Meetings.<br />
Der 31.Mai <strong>2011</strong> bescherte uns ein Wiedersehen bei Generali Holding Vienna AG wo eine Reihe<br />
brandaktueller Themen auf hohem Niveau behandelt wurden.<br />
Mag. Thomas Goldstein, CISM<br />
AK New Auditors<br />
Der Arbeitskreis New Auditors war von Anfang an bewusst weder nach Themen noch nach Branchen<br />
ausgerichtet und hat immer Revisoren aus allen Bereichen als Mitglieder gehabt. Der AK hat sich immer<br />
schon mit aktuellen Themen befasst, die bei den alle zwei Monate stattfindenden Treffen behandelt<br />
wurden.<br />
Seit 20<strong>02</strong> zeichnet der AK von Anfang an inhaltlich für die alle zwei Jahre stattfindende Audit Competence<br />
verantwortlich und leistet dabei auch einen Beitrag für die organisatorische Abwicklung.<br />
Anfang <strong>2011</strong> hat sich der AK basierend auf einer internen Umfrage eine überarbeitete Struktur seiner<br />
Treffen gegeben. Daher finden ab heuer Treffen sowohl in der klassischen Form als Abendtermine (ca.<br />
2 Std.) als auch als Nachmittagstermine (ca. 3-4 Std.) statt. Daneben wurde eine temporäre Arbeitsgruppe<br />
ins Leben gerufen, die sich mit der Thematik Datenschutz bei Prüfungen der internen <strong>Revision</strong><br />
auseinandersetzt und einen Leitfaden dazu ausarbeitet.<br />
Das nächste Treffen des Arbeitskreises findet am 1. August um 19 Uhr (Ort wird noch bekanntgegeben)<br />
statt.<br />
Mag. Hans-Peter Lerchner, CISA, CIA<br />
Seite 17
Prüfleitfaden SAP ERP 6.0<br />
Kapitel 4: Autorisierung (ABAP-Stack)<br />
Von der deutschsprachigen SAP-Anwendergruppe<br />
wurde ein neuer Prüfleitfaden erarbeitet,<br />
welcher von der DSAG unter<br />
http://www.dsag.de/ag/audit-roadmap zum allgemeinen<br />
Download bereitgestellt wurde. Die<br />
SAP-Arbeitsgruppe des IIA Austria befasst sich<br />
im Rahmen einer Artikelserie mit den wichtigsten<br />
Punkten dieses neuen Leitfadens.<br />
Das Kapitel 4 beschäftigt sich mit der Autorisierung<br />
im ABAP-Stack. In der Informationstechnologie<br />
bezeichnet Autorisierung die Zuweisung<br />
und Überprüfung von Zugriffsrechten auf<br />
Daten und Dienste an Systemnutzer. Der SAP<br />
NetWeaver Application Server, früher auch<br />
SAP Web Application Server, ist Teil von SAP<br />
NetWeaver und stellt die Basis der meisten<br />
SAP-Produkte dar. Er unterteilt sich in einen<br />
ABAP- (früher: SAP R/3-Basis) und einen Java<br />
EE-Applikationsserver. Beide Teile (Stacks),<br />
daher auch der Name ABAP-Stack, sind sowohl<br />
einzeln als auch gemeinsam installierbar.<br />
Im Falle einer integrierten Installation (ABAP<br />
und Java) verwendet der Java-Stack das Benutzermanagement<br />
des ABAP-Stacks. Außerdem<br />
werden automatisch Kommunikationsverbindungen<br />
zwischen den Stacks erstellt.<br />
Bei der Berechtigungsvergabe gibt es zwei<br />
Grundsätze:<br />
• Die Berechtigungen nur auf diejenigen<br />
Sichten und Funktionen beschränken, die<br />
zur Erfüllung der Tätigkeit am Arbeitsplatz<br />
(siehe § 14 DSG2000) benötigt werden.<br />
(Minimalberechtigungsvergabe)<br />
• Funktionen, die zu einer unerwünschten<br />
Kumulierung der Rechte führen, dürfen<br />
nicht an die gleiche Person vergeben werden.<br />
(Funktionstrennungsgrundsatz)<br />
Im Rahmen der Prüfung der Autorisierung im<br />
ABAP-Stack sind die nachfolgend angeführten<br />
Prüfungen durchzuführen:<br />
1. Dokumentiertes Berechtigungs- und Benutzerkonzept<br />
2. Notfallbenutzerkonzept<br />
3. Nutzung kritischer SAP Standardprofile/-<br />
rollen<br />
4. Ersetzen kritischer Vorschlagswerte im<br />
Profilgenerator<br />
5. Ordnungsmäßige Berechtigungs- und Benutzerorganisation<br />
6. Berechtigungen für die Benutzer- und Berechtigungsverwaltung<br />
7. Sicherheitsmechanismen zur Aktivierung<br />
der Prüfung von Berechtigungen<br />
Im Folgenden werden diese Prüfungen kurz<br />
angeschnitten. Eine detaillierte Betrachtung,<br />
insbesondere die technische Betrachtung,<br />
bleibt dem Prüfleitfaden SAP ERP 6.0 vorbehalten.<br />
1 Dokumentiertes Berechtigungs- und<br />
Benutzerkonzept<br />
Bei Einführung eines SAP-ERP-Systems muss<br />
das Berechtigungs- und Benutzerkonzept dokumentiert<br />
werden.<br />
Dies umfasst:<br />
• die Konfiguration von Authentisierung und<br />
Autorisierung:<br />
o Profilparameter für die Anmeldekontrolle<br />
o Profilparameter für die Autorisierung<br />
o Pflichtangaben in Benutzerstammsätzen<br />
o Berechtigungsprüfung bei eigenentwickelten<br />
Programmen<br />
o Nutzung des Profilgenerators<br />
o Nutzung der zentralen Benutzerverwaltung<br />
o Nutzung des Security Audit Logs<br />
• die Vorgehensweise bei der Erstellung des<br />
Berechtigungskonzepts, wobei die Zugriffselemente<br />
(Rollen, Profile, Berechtigungen)<br />
zu definieren sind und die Zuordnung zu definierten<br />
Arbeitsplätzen festzulegen ist. Weiters<br />
ist der Aufbau der Landschaft des SAP-<br />
Systems (mit oder ohne Qualitätssystem)<br />
festzulegen.<br />
• die Vergabe der Berechtigungen und Benutzer<br />
• ein ordnungsgemäßes Antragsverfahren.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Seite 18
Für Details zu einem Benutzer- und Berechtigungskonzept<br />
hat die Arbeitsgruppe SAP ein<br />
Musterkonzept unter<br />
http://www.internerevision.at/aktivitaeten/ak06/u<br />
nterlagen/ publiziert.<br />
2 Notfallbenutzerkonzept (ABAP Stack)<br />
Grundsätzlich ist ein Notfallbenutzer im System<br />
SAP einzurichten, der kein bestehender Standardbenutzer<br />
ist. Für die Verwendung dieses<br />
Users sind der Grund, der Zeitraum, die Person,<br />
die den Notfalluser nutzt und die Tätigkeit<br />
selbst zu dokumentieren.<br />
Die Verwendung des Notfallusers ist im Security<br />
Audit Log zu protokollieren und nach Ansicht<br />
der SAP Arbeitsgruppe durch eine ‚unabhängige’<br />
Stelle zu kontrollieren, weiters ist das<br />
Kennwort nach Benutzung zu ändern.<br />
3 Nutzung kritischer SAP Standardprofile/-rollen<br />
Profil: SAP_ALL<br />
Die SAP empfiehlt dieses Sammelprofil nicht zu<br />
vergeben, sondern die Funktionen auf unterschiedliche<br />
Kennungen zu verteilen.<br />
Profil: SAP_NEW<br />
Dieses Sammelprofil enthält alle Profile ab Release<br />
2.1, die mit einem Release neu hinzukommen.<br />
SAP empfiehlt diesen User vor Einführung<br />
des Berechtigungskonzeptes zu löschen<br />
und die enthaltenen Funktionen zu verteilen<br />
und ihre Berechtigungswerte zu pflegen.<br />
Weitere Standardprofile<br />
Dazu zählen u. a. S_A.SYSTEM,<br />
S_A.DEVELOP, S_CTS_ALL; F_BUCH_ALL.<br />
Für diese SAP Standardprofile sind die SAP<br />
Vorgaben einzuhalten bzw. analoge Inhalte in<br />
den übrigen Profilen zu überprüfen (beispielsweise<br />
mit der Transaktion SUIM).<br />
4 Ersetzen kritischer Vorschlagswerte im<br />
Profilgenerator<br />
Folgende Vorschlagswerte sind nach dem<br />
Sicherheitsleitfaden ERP 6.0 zu überprüfen:<br />
Kritische Vorschlagswerte befinden sich bei<br />
besonderen Berechtigungen u. a. bei<br />
S_DEVELOP, S_ADMI_FCD, S_PRO_AUTH,<br />
S_ADRESS1, P_TCODE. Diese Vorschlagswerte<br />
sind entsprechend dem Berechtigungskonzept<br />
zu ändern.<br />
Bei der Tabellenpflege S_TABU_DIS dürfen<br />
bei den Berechtigungsgruppen ALE0 und SS<br />
(Systemtabellen) nur die Aktivität 03 „Anzeigen“<br />
bzw. bei der Berechtigungsgruppe SUSR nur<br />
die Aktivitäten <strong>02</strong> „Ändern“ und 03 „Anzeigen“<br />
ausgeprägt werden.<br />
Der Zugriff auf IDOCS darf in den Berechtigungsobjekten<br />
S_IDOCCTRL und<br />
S_IDOCMONI nur die Aktivität 03 „Anzeigen“<br />
beinhalten.<br />
Das Intermediate Document (IDoc) ist ein Behälter<br />
für den Austausch von Daten zwischen<br />
R/3-, R/2- und Fremdsystemen.<br />
In der Berechtigungsverwaltung ist die Verteilung<br />
der Rollen (Anlegen, Zuordnen, Löschen)<br />
entsprechend dem Berechtigungskonzept in<br />
den Berechtigungen zu hinterlegen. Dazu sind<br />
die Berechtigungen S_USER_AGR,<br />
S_USER_AUT, S_HIERACH, S_USR_GRP,<br />
S_USER_PRO und S_USER_SAS,<br />
S_USER_SYS, S_USER_TCD, S_USER_VAL<br />
entsprechend zu setzen.<br />
5 Ordnungsmäßige Berechtigungs- und<br />
Benutzerorganisation<br />
Die Organisation der Benutzer- und Berechtigungsverwaltung<br />
besteht aus folgenden Funktionen:<br />
1. Benutzer verwalten (Benutzerverwalter)<br />
2. Berechtigungen pflegen (Berechtigungsdatenverwalter:<br />
Pflege von Rollen, Anzeige<br />
von Benutzern, Anzeige von Profilen, keine<br />
Berechtigung für Aktivierung von Profilen<br />
und Benutzung des Change- und Transportsystems)<br />
3. Berechtigungsprofile generieren (Berechtigungsprofilverwalter:<br />
Anzeige von Rollen<br />
und Profilen, Anzeige von Benutzern, Generierung<br />
von Profilen; keine Berechtigung<br />
für Änderung von Profilen, Änderungen<br />
von Benutzern, Zuordnung von Profilen<br />
und Benutzung des Change- und Transportsystems)<br />
Daraus ergeben sich folgenden Szenarien:<br />
• 4-Augen-Prinzip<br />
• 6-Augen-Prinzip<br />
Seite 19
• 6-Augen-Prinzip, dezentrale Benutzerverwaltung<br />
im Produktivsystem<br />
Das im Prüfleitfaden angeführte 4- bzw. 6-<br />
Augenprinzip entspricht in unserem Sprachgebrauch<br />
einer Funktionstrennung auf 2- bzw. 3<br />
Funktionen.<br />
Szenario 1: 4-Augen-Prinzip<br />
Funktion 1: zentrale Benutzerverwaltung mit allen<br />
Funktionen<br />
Dabei gibt es eine zentrale Benutzerverwaltung<br />
für alle Benutzer und unbegrenzte Berechtigungen<br />
für alle Benutzerverwaltungsaufgaben.<br />
Die zentrale Pflege von Rollen und Profilen erfolgt<br />
mit der Rolle des Berechtigungsdatenverwalters<br />
bzw. des Berechtigungsprofilverwalters.<br />
Szenario.2: 6-Augen-Prinzip<br />
Dabei gibt es eine dezentrale Benutzerverwaltung<br />
pro Anwendungsbereich (FI, MM,…). Diese<br />
berechtigt, eine bestimmte Benutzergruppe<br />
zu pflegen und eine bestimmte Menge von Rollen/Profilen<br />
zuzuordnen. Die zentrale Pflege<br />
von Rollen und Profilen haben getrennte Zuständigkeiten<br />
für Berechtigungsdatenverwalter<br />
und Berechtigungsprofilverwalter.<br />
Anmerkung: Dies ist aus Sicht der SAP Arbeitsgruppe<br />
ein eher theoretischer Ansatz,<br />
insbesonders bei kleineren SAP-Gruppen.<br />
Szenario 3: 6-Augen-Prinzip, dezentrale Benutzerverwaltung<br />
im Produktivsystem<br />
entsprechenden Userkennungen zuzuordnen.<br />
Dabei ergeben sich folgende Fragestellungen<br />
(in Klammer sind die Berechtigungsobjekte angeführt):<br />
• Wer kann Benutzer anlegen/ändern?<br />
(S_USER_GRP)<br />
• Wer kann Benutzer sperren oder löschen?<br />
(S_USER_GRP)<br />
• Wer kann Benutzereigenschaften ändern?<br />
(S_USER_SYS)<br />
• Wer kann Rollen anlegen/ändern?<br />
(S_USR_AGR)<br />
• Wer kann Transaktionen in Rollen anlegen/ändern?<br />
(S_USER_TCD)<br />
• Wer darf Rollen inhaltlich verändern?<br />
(S_USR_VAL)<br />
• Wer kann Profile anlegen/ändern?<br />
(S_USER_PRO)<br />
• Wer kann Profile/Rollen Benutzern zuordnen?<br />
(S_USER_GRP, S_USER_PRO)<br />
7 Sicherheitsmechanismen zur Aktivierung<br />
der Prüfung von Berechtigungen<br />
In der Benutzerverwaltung sind folgende Aspekte<br />
zu prüfen:<br />
• Wer kann Berechtigungsobjekte deaktivieren?<br />
• Ist der Profilgenerator aktiviert?<br />
• Wer kann Vorschlagswerte des Profilgenerators<br />
pflegen?<br />
• Werden indirekte Transaktionsaufrufe einer<br />
Berechtigungsprüfung unterzogen?<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Die Benutzer werden zentral angelegt und gelöscht.<br />
Die dezentrale Benutzerverwaltung pro<br />
Anwendungsbereich ist berechtigt, bestimmte<br />
Benutzergruppen zu pflegen (Ändern, Sperren/Entsperren<br />
und Kennwort zurücksetzen)<br />
und bestimmte Menge von Rollen/Profilen zuzuordnen.<br />
Die zentrale Pflege von Rollen und Profilen erfolgt<br />
mit der Rolle des Berechtigungsdatenverwalters<br />
bzw. des Berechtigungsprofilverwalters.<br />
6 Berechtigungen für die Benutzer- und<br />
Berechtigungsverwaltung<br />
Die Berechtigungen zur Benutzer- und Berechtigungsverwaltung<br />
sind entsprechend dem<br />
Konzept der Organisation einzurichten und den<br />
Anhang: Begriffe nach Wikipedia<br />
ABAP-Stack<br />
Der SAP NetWeaver Application Server, früher<br />
auch SAP Web Application Server, ist Teil<br />
von SAP NetWeaver und stellt die Basis der<br />
meisten SAP-Produkte dar. Er unterteilt sich in<br />
einen ABAP- (früher: SAP R/3-Basis) und einen<br />
Java EE-Applikationsserver. Beide Teile<br />
(Stacks) sind sowohl einzeln als auch gemeinsam<br />
installierbar. Im Falle einer integrierten Installation<br />
(ABAP und Java) verwendet der Java-Stack<br />
das Benutzermanagement des ABAP-<br />
Stacks. Außerdem werden automatisch Kommunikationsverbindungen<br />
zwischen den Stacks<br />
erstellt.<br />
Seite 20
Benutzermanagement<br />
Benutzerverwaltung bezeichnet die Arbeiten,<br />
die ein Administrator eines EDV-Systems erledigen<br />
muss, damit die Benutzer des von ihm<br />
betreuten Systems genau die Arbeiten erledigen<br />
können, die sie machen sollen und alles<br />
andere nicht machen können.<br />
Diese Tätigkeiten können auch als Provisioning<br />
bezeichnet werden, werden allerdings oft nur<br />
als Tagesarbeit des Helpdesks oder des System-Administrators<br />
betrachtet.<br />
Die Kernaufgaben umfassen u.a.:<br />
Benutzernamen vergeben<br />
Benutzerkonto eröffnen<br />
Initiales Passwort vergeben, und möglichst<br />
geheim dem Benutzer mitteilen<br />
Rechte auf die Anwendungen zu vergeben,<br />
die der Benutzer benötigt<br />
Änderungen vorzunehmen<br />
Stilllegen des Benutzerkontos<br />
Löschen des Benutzerkontos<br />
Autorisierung<br />
In der Informationstechnologie bezeichnet sie<br />
die Zuweisung und Überprüfung von Zugriffsrechten<br />
auf Daten und Dienste an Systemnutzer.<br />
Die Autorisierung erfolgt meist nach einer<br />
erfolgreichen Authentifizierung.<br />
Authentifizierung<br />
Authentifizierung (gr. αυθεντικός authentikós<br />
„echt“, „Anführer“; Stammform verbunden mit<br />
lat. facere = machen) ist der Nachweis<br />
(Verifizierung) einer behaupteten Eigenschaft<br />
einer Partei (beispielsweise eines Rechts: Anm.<br />
des Autors), die beispielsweise ein Mensch, ein<br />
Gerät, ein Dokument oder eine Information sein<br />
kann, und die dabei durch ihren Beitrag ihre<br />
Authentisierung durchführt.<br />
Autoren (inkl. Überarbeiter): SAP-Arbeitsgruppe<br />
(W. Böhm, O.Erbert, U. Knödlstorfer-Ross, C.<br />
Koch, G. Pregartner, B. Schütter, G. Schwan,<br />
R. Wieland, T. Winkler)<br />
Als Benutzerverwaltung kann auch der ganze<br />
Komplex dieser Administration bezeichnet werden,<br />
wobei die Betrachtung als Prozess zum<br />
Identitätsmanagement führt.<br />
Seite 21
KPMG WIEN<br />
Maßgeschneiderte<br />
Lösungen<br />
KPMG Alpen-Treuhand GmbH<br />
Wirtschaftsprüfungs- und<br />
Steuerberatungsgesellschaft<br />
Porzellangasse 51<br />
1090 Wien<br />
Tel: +43 (1) 313 32-0<br />
E-Mail: atw@kpmg.at<br />
kpmg.at<br />
Seite 22
Buchbesprechungen:<br />
<strong>Revision</strong> der Beschaffung – Prüfungsfragen für die Praxis,<br />
Deutsches <strong>Institut</strong> <strong>Interne</strong> <strong>Revision</strong>, 4. Auflage <strong>2011</strong>, 130 Seiten<br />
Im Abschnitt „Maschinelle Auswertungen von<br />
Lieferantenstamm- und Bestelldaten“ wird auf<br />
die Beachtung der Datenschutzgesetze hingewiesen.<br />
Hier könnte ein Verweis auf die Broschüre<br />
„Datenauswertungen und personenbezogene<br />
Datenanalyse“ des dIIR ergänzt werden.<br />
Diese enthält z.B. konkrete Empfehlungen<br />
für die Vorgehensweise beim (Maßen) Datenabgleich<br />
von Mitarbeiter- und Lieferantendaten<br />
und ähnliche datenschutzrelevante Themen.<br />
Im Abschnitt „Controlling“ werden einige sinnvolle<br />
Kennzahlen zur Messung des Beschaffungserfolges<br />
vorgestellt, um nicht in die Falle<br />
einer kurzsichtigen reinen Preis-Betrachtung zu<br />
tappen.<br />
Das Buch ist eine komplett überarbeitete Neufassung,<br />
nachdem die letzte Auflage bereits<br />
aus 1996 datiert. Autoren sind <strong>Revision</strong>sexperten<br />
aus namhaften deutschen Unternehmen<br />
wie Audi, VW, Thyssen Krupp, Commerzbank,<br />
Beiersdorf etc. Die Neuauflage berücksichtigt<br />
u.a. auch aktuelle Entwicklungen auf den Beschaffungsmärkten.<br />
Das Werk besteht aus 15 Abschnitten. Nach<br />
den Zielen & Aufgaben des Buches werden<br />
Beschaffungsgrundsätze (Strategie, Lieferantenauswahl,<br />
Ethische Grundsätze in der Beschaffung<br />
etc.) sowie organisatorische Fragestellungen<br />
(Strukturen, IT Systeme/Kontrollen/<br />
Schnittstellen, Richtlinien & Regelungen) behandelt.<br />
In weiterer Folge werden die einzelnen Teilprozesse<br />
aus Einkauf und Beschaffungslogistik<br />
behandelt.<br />
Jeder Abschnitt besteht aus einer kurzen theoretischen<br />
Darstellung der Themen, anschließend<br />
folgen die entsprechenden Prüfungsfragen.<br />
Der Abschnitt „eProcurement“ behandelt nicht<br />
die technischen Aspekte solcher Systeme (Zugriffsschutz,<br />
Ausfallsicherheit, Audit Trails etc.)<br />
- hierfür wird auf andere Leitfäden des dIIR sowie<br />
des Bundesamt für Sicherheit (BSI) verwiesen.<br />
Betrachtet werden vielmehr die kaufmännischen,<br />
organisatorischen und ablauftechnischen<br />
Aspekte solcher Systeme, wobei auch<br />
nicht auf Fragen zur Schulung der Mitarbeiter<br />
vergessen wurde.<br />
Im Bereich „Dienstleistungsbeschaffung“ werden<br />
auch die Sonderfälle Materialbeistellung,<br />
Arbeitnehmerüberlassung (im Unterschied zu<br />
Werk- oder Dienstverträgen) sowie das Thema<br />
Scheinselbständigkeit behandelt.<br />
Den potentiellen dolosen Handlungen wird breiter<br />
Raum eingeräumt. Einleitend wird – neben<br />
einigen Beispielen unternehmensschädigender<br />
bzw. krimineller Fälle der jüngsten Vergangenheit<br />
– vor allem eine Übersicht über die (nach<br />
deutschem Recht) relevanten strafrechtlichen<br />
Bestimmungen gegeben. Anschließend werden<br />
begünstigende Faktoren für wirtschaftskriminelle<br />
Handlungen aufgezeigt sowie die Motivation<br />
und Rechtfertigung der Täter beleuchtet. Es<br />
folgt eine Liste von etwa 25 „red flags“, die Indikatoren<br />
für Fehlverhalten im Beschaffungsbereich<br />
sein könnten. Letztlich werden einige<br />
konkrete Maßnahmen zur Verhinderung bzw.<br />
Aufdeckung doloser Handlungen zusammengefasst.<br />
Resümee:<br />
Insgesamt wird in diesem Werk das breite<br />
Spektrum des Beschaffungswesens in ausreichender<br />
Detaillierung in einen praxisbezogenen<br />
Audit-Leitfaden überführt. Gerade für (nach ös-<br />
Seite 23
terreichischen Maßstäben) mittlere und große<br />
Unternehmen werden alle wesentlichen Aspekte<br />
berücksichtigt. In kleineren Unternehmen<br />
wird man sicherlich nicht alle Themen in vollem<br />
Umfang vorfinden. Letztlich kommt man aber<br />
um eine auf das eigene Unternehmen zugeschnittene<br />
Auswahl und kritische Würdigung<br />
der hier zusammengestellten Fragestellungen<br />
sowieso nicht herum.<br />
Das Werk wird dem eigenen Anspruch, einen<br />
Best Practice Ansatz für die vollständige Beschaffungsprozesskette<br />
vorzulegen, vollauf gerecht.<br />
Oliver Fiedler, CIA, CISA<br />
Zumtobel AG<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
Jahrbuch Beihilferecht<br />
bei der Ausgestaltung von Rechtsakten und<br />
Rechtsbeziehungen dar.<br />
Das fünfte JB Beihilferecht versteht sich als<br />
kombiniertes Informations- und Diskussionsmedium,<br />
das aktuelle Entwicklungen im Beihilferecht<br />
auf breiter Basis und für einen weiten<br />
Kreis an Nutzern aus Wissenschaft und Praxis<br />
dokumentiert und aufbereitet. Daher wird im<br />
Jahrbuch Beihilferecht auch besonderer Wert<br />
auf eine klare Gliederung, leitende Benutzungshinweise<br />
sowie ein detailliertes Stichwortverzeichnis<br />
zu geben.<br />
Es verbindet daher zwei Methoden: Ein Überblicksteil<br />
informiert über sämtliche wesentliche<br />
Legislativakte, Urteile, neu anhängig gemachten<br />
Rechtssachen und besonders interessante<br />
Entscheidungen der Kommission. Im Beitragsteil<br />
werden sodann zahlreiche ausgewählte<br />
Problembereiche diskutiert und analysiert.<br />
Das EU-Beihilfeverbot steckt den Rahmen ab,<br />
in dem wirtschaftslenkende Eingriffe der öffentlichen<br />
Hand zugunsten von Wirtschaftstreibenden<br />
zulässig sind. Egal, ob es sich um allgemein-abstrakte<br />
Eingriffe wie Gesetze oder<br />
Verordnungen oder um konkret begünstigende<br />
Rechtsakte wie Verträge oder Bescheide handelt:<br />
Das Beihilfeverbot stellt für Politik und Unternehmen<br />
gleichermaßen eine wichtige Entscheidungs-<br />
und Verhaltensdeterminante<br />
Seite 24
Handbuch <strong>Interne</strong> Kontrollsysteme (IKS)<br />
Wenn etwas Unvorhergesehenes passiert ist,<br />
läuft die Suche nach Verantwortung und Schuld<br />
stets auf die Bestimmung des nach dem Stand<br />
der Technik und Wissenschaft gerade noch<br />
vertretbaren Restrisikos hinaus, also auf die<br />
Frage, was in punkto Systemsicherheit "state of<br />
the art" ist. Die einschlägige Fachliteratur ist<br />
hier eine wichtige Orientierungshilfe für Führungskräfte<br />
und ist auch laufend zu beobachten,<br />
da sich die Anforderungen an Risikobewusstsein<br />
und Systemsicherheit mit jedem öffentlich<br />
wahrgenommenen oder vor Gerichten<br />
abgehandelten Fraud-and-Error-Fall weiter erhöhen.<br />
Das vorliegende Buch leistet für die Einschätzung<br />
über den Stand der Lehre einen wertvollen<br />
Beitrag: es gibt dem interessierten Leser<br />
zunächst einen übersichtlichen Einstieg in<br />
Rechtsgrundlagen, Konzepte und Grundideen.<br />
Im Herzstück des Buches werden auf beinahe<br />
dreihundert Seiten die typischen Kernprozesse<br />
von Unternehmen aus mehreren Perspektiven<br />
analysiert: pro Prozess werden erstens Organisationsthemen<br />
abgehandelt, zweitens werden<br />
pro Prozess tabellarische Risikomatrizen dargestellt,<br />
drittens werden Fraud-Indikatoren prozessweise<br />
abgearbeitet und schließlich noch<br />
betriebswirtschaftliche Kennzahlen für die Beurteilung<br />
der Prozesseffizienz angeboten. Am<br />
Ende des Buches gibt der Autor noch einige<br />
Hinweise für das Projektmanagement zur Einrichtung<br />
eines IKS sowie zur ganzheitlichen<br />
Sicht auf ein Enterprise Risk Management.<br />
Wer Abhandlungen über "Risk-Management"<br />
und "<strong>Interne</strong> Kontrollsysteme" schreibt, hat ein<br />
für Leser attraktives Themengebiet gewählt -<br />
jeder nämlich, der in Organisationen Verantwortung<br />
trägt, muss sich stets fragen, was alles<br />
schief gehen kann und welche Vorkehrungen<br />
zu treffen sind, um nicht am Ende des Tages<br />
für Organisationsversagen einstehen zu müssen.<br />
Die Bandbreite der Ursachen für Systemversagen<br />
ist denkbar groß: sie reicht von Vorsatz<br />
über alle Grade der Fahrlässigkeit bis hin<br />
zum schlichten Pech.<br />
Das Buch ist meiner Einschätzung nach vor allem<br />
für Nichtspezialisten nützlich, also für Führungskräfte<br />
anderer Fachgebiete und Generalisten,<br />
die einen systematischen Einstieg in die<br />
Grundlagen und Methoden finden wollen. Auch<br />
Mitgliedern von Aufsichtsorganen, insbesondere<br />
von Prüfungsausschüssen, ist die Lektüre zu<br />
empfehlen, um dem Management gezielt die<br />
richtigen Fragen stellen zu können. Besonders<br />
hervor zu heben, weil für Praktiker interessant,<br />
sind die Aufzählungen von Fraud-Indikatoren<br />
im Mittelteil des Buches.<br />
Für Spezialisten (Verantwortliche im Risikomanagement<br />
und der <strong>Interne</strong>n <strong>Revision</strong>) kann das<br />
Werk insofern nützlich sein, als es zur kritischen<br />
Selbstreflexion in dieser vielschichtigen<br />
Querschnittsmaterie inspiriert.<br />
Dr. Günter Riegler<br />
Stadtrechnungshof, Abteilungsvorstand<br />
Seite 25
Termine des <strong>Institut</strong>es<br />
08.09.<strong>2011</strong><br />
Let´s talk Audit SPECIAL / Hotel Sacher Wien<br />
Vormittagsveranstaltung / Thema folgt<br />
22. – 23.09.<strong>2011</strong><br />
31. Jahrestagung<br />
Therme Rogner - Bad Blumau<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
17.11.<strong>2011</strong><br />
24.11.<strong>2011</strong><br />
17.11.<strong>2011</strong>: ERFA<br />
Don Bosco Haus, 1130 Wien<br />
Let´s talk Audit / Salzburg<br />
Themenschwerpunkt Compliance<br />
26. - 27.01.2012 Audit Competence - Konferenz für MitarbeiterInnen der <strong>Interne</strong>n <strong>Revision</strong><br />
Die Termine der Arbeitskreise sowie sonstige Termine entnehmen Sie bitte unserer Homepage<br />
www.internerevision.at/aktivitaeten/termine<br />
INTERNAL AUDITING EUROPEAN CONFERENCE<br />
Madrid <strong>2011</strong>, 19. – 21. Oktober <strong>2011</strong><br />
Seite 26
Neue Mitglieder<br />
Das <strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong> Österreich – IIA Austria begrüßt folgende neue Mitglieder:<br />
• Mag. Michael Wittenburg, <strong>MB</strong>A<br />
• NABUCCO Gas Pipeline International GmbH<br />
• Muki VvaG<br />
• Wiesenthal & Co AG<br />
• Harald Friessnegg<br />
• Duropack GmbH<br />
• Carina Bauer<br />
• Kristina Filova<br />
• Andreas Öttl<br />
• Moore Stephens City Treuhand GmbH<br />
Wir freuen uns auf eine gute Zusammenarbeit!<br />
Mag. Eva Weiszgerber<br />
Seite 27
Neue Mitglieder stellen sich vor:<br />
Nabucco Gas Pipeline International GmbH<br />
Nabucco Gas Pipeline International GmbH<br />
(NIC) mit Sitz in Wien wurde am 24. Juni 2004<br />
gegründet. Das Unternehmen steht im Eigentum<br />
von sechs Nabucco-Anteilseignern und ist<br />
für die Entwicklung, den Bau und den Betrieb<br />
der Pipeline sowie für die Vermarktung der<br />
Pipeline-Kapazität verantwortlich. Die Anteilseigner<br />
sind: RWE (Deutschland), OMV (Österreich),<br />
MOL (Ungarn), Transgaz (Rumänien),<br />
Bulgarian Energy Holding (Bulgarien) und<br />
Botas (Türkei). Alle Anteilseigner sind mit dem<br />
gleichen Anteil von 16,67 % beteiligt.<br />
• Entwicklung der Finanzierungsstruktur für<br />
den Bau der Pipeline und Finanzierung<br />
des Nabucco-Gaspipeline-Projekts und der<br />
nationalen Tochterunternehmen.<br />
• Durchführung sämtlicher Aufgaben, die<br />
von einem Fernleitungsnetzbetreiber auszuführen<br />
sind.<br />
IIA 07<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong><br />
Audit Journal<br />
OMV MOL TG BGH Botas RWE<br />
Nabucco<br />
Gas Pipeline<br />
International GmbH<br />
Nabucco<br />
Austria<br />
Nabucco<br />
Hungary<br />
Nabucco<br />
Romania<br />
Nabucco<br />
Bulgaria<br />
Nabucco<br />
Turkey<br />
Anteilseigner- und Unternehmensstruktur von NIC<br />
NIC wird in direktem Kontakt mit den Transportkunden<br />
stehen und als selbstständiges Unternehmen<br />
nach dem one–stop-shop-Prinzip<br />
agieren. Die Pipeline wird auf Basis des europäischen<br />
Energierechts und den Richtlinien der<br />
internationalen Finanzinstitute entwickelt, gebaut<br />
und betrieben werden. Dies wird auch<br />
durch das Zwischenstaatliche Abkommen garantiert,<br />
das von den Nabucco-Transitländern<br />
Türkei, Bulgarien, Rumänien, Ungarn und Österreich<br />
am 13. Juli 2009 in Ankara unterzeichnet<br />
wurde.<br />
Die Nabucco Gas Pipeline International GmbH<br />
ist verantwortlich für:<br />
• Koordinierung und Management aller Phasen<br />
im Nabucco-Gaspipeline-Projekt von<br />
der Entwicklungsphase über die Marketingphase,<br />
die Bauphase bis zur Betriebsphase.<br />
• Verhandeln und Abschließen von Transportverträgen<br />
auf der Grundlage des Zwischenstaatlichen<br />
Abkommens.<br />
Mag. Kevin Töpfer studierte in Graz Rechtswissenschaften<br />
und absolvierte das Gerichtsjahr<br />
im OLG Sprengel Graz.<br />
Die berufliche Laufbahn von Herrn Mag. Töpfer<br />
startete in einer renommierten Grazer Anwaltskanzlei<br />
als Konzipient.<br />
Von September 2006 bis März 2009 war er für<br />
die OMV Refining & Marketing GmbH als<br />
Rechtsexperte tätig, bevor er im April 2009 in<br />
die Konzernrevision der OMV AG wechselte.<br />
Seit März <strong>2011</strong> ist Herr Mag. Kevin Töpfer Leiter<br />
der <strong>Interne</strong>n <strong>Revision</strong> der NABUCCO Gas<br />
Pipeline International GmbH.<br />
Seine Verantwortlichkeiten beinhalten den Aufbau<br />
und die Etablierung einer <strong>Revision</strong>, die Erstellung<br />
eines Prüfplans, die Analyse von Geschäftsprozessen<br />
und die Beurteilung der<br />
Funktionsfähigkeit und Effizienz des internen<br />
Kontrollsystems und Risk Managements.<br />
Seite 28
Michael Eckel, CISA, IT-Consultant<br />
Zu den Schwerpunkten seiner Tätigkeiten zählen<br />
die Durchführung von IT – Audits, insbesondere<br />
die Prüfung von SAP R/3 – Systemen<br />
und die darauf basierende Erstellung von Maßnahmenkatalogen<br />
hinsichtlich SAP – spezifischer<br />
Einstellungen und Prozessabläufe.<br />
Der Fokus liegt dabei auf den Modulen Basis,<br />
Finanzbuchhaltung/Controlling, Materialwirtschaft<br />
und Vertrieb.<br />
Mag. Michael Eckel, CISA; IT-Consultant<br />
Siemens IT Solutions and Services GmbH<br />
Weiters zählen zu seinen Themenbereichen<br />
der Aufbau eines internen Kontrollsystems und<br />
Durchführung von IT-Migrationsaudits.<br />
Seite 29
Die Akademie <strong>Interne</strong> <strong>Revision</strong> informiert:<br />
Seminar-Tipps<br />
„<strong>Revision</strong>sprüfung im Umfeld des Bundesvergabegesetzes 2006 (BVergG 2006)“<br />
Dieses Seminar soll einerseits die Grundzüge des BVergG2006 vorstellen und anderseits mögliche Prüfungsansätze<br />
für eine <strong>Revision</strong>sprüfung aufzeigen.<br />
Termin: 29.09.<strong>2011</strong><br />
Referent(en): Mag. Thomas MITSCHA, <strong>MB</strong>A, CIA<br />
Mitglieder: € 430,00 / Nicht-Mitglieder: € 540,00<br />
„Prüfung der Sicherheitsorganisation“<br />
Das Seminar bietet einen Überblick über die betriebliche Sicherheitsorganisation bzw. das betriebliche<br />
Sicherheitsmanagement, konkrete Teilbereiche und die möglichen Prüfungstätigkeiten..<br />
Termin: 29. – 30.09.<strong>2011</strong><br />
Referent(en): Thomas STAUDACHER, Bakk., CIA<br />
Mitglieder: € 590,00 / Nicht-Mitglieder: € 750,00<br />
„Beratungs- und Verhandlungstechnik für Revisoren, Teil II“<br />
Basierend auf dem Wissensstand des 1. Teils vertiefen und ergänzen Absolventen das bereits Erlernte und erweitern<br />
ihren Wissensstand durch neue, ergänzende Inhalte zur Weiterentwicklung ihres Beratungs- und<br />
Verhandlungsgeschicks.<br />
Termin: 03. – 04.10.<strong>2011</strong><br />
Referent(en): Dkfm. Peter H. HALEK<br />
Mitglieder: € 870,00 / Nicht-Mitglieder: € 1.<strong>02</strong>0,00<br />
„Die COSO Modelle in der Praxis“<br />
Die COSO Modelle gelten als international anerkannte Best Practice für die Gestaltung und Prüfung von <strong>Interne</strong>n<br />
Kontrollsystemen und Risikomanagementsystemen. Aber wer kennt sie wirklich, diese COSO Modelle?<br />
Termin: 05. - 06.10.<strong>2011</strong><br />
Referent(en): Dietmar GRABHER, CIA, CISA<br />
Mitglieder: € 820,00 / Nicht-Mitglieder: € 970,00<br />
„Konflikthandling für Revisoren“<br />
Erkennen der eigenen Denk- und Handlungsmuster in Konflikten im Rahmen der Tätigkeit als Revisor bzw. in der<br />
<strong>Revision</strong>.<br />
Termin: 19. – 20.10.<strong>2011</strong><br />
Referent(en): Dr. Günter ZÖRWEG<br />
Mitglieder: € 870,00 / Nicht-Mitglieder: € 1.<strong>02</strong>0,00<br />
„Prüfung von Tochter- & Beteiligungsunternehmen“<br />
Das Seminar vermittelt die theoretischen und praktischen Grundlagen für die Prüfung von in- und ausländischen<br />
Beteiligungsgesellschaften durch die Konzernrevision/<strong>Interne</strong> <strong>Revision</strong>.<br />
Termin: 25.10.<strong>2011</strong><br />
Referent(en): Peter SCHWINGENSCHLÖGL<br />
Mitglieder: € 430,00 / Nicht-Mitglieder: € 540,00<br />
„Quality Assessment – Qualitätsüberprüfung in der <strong>Interne</strong>n <strong>Revision</strong>“<br />
3-tägiges Intensivseminar mit abschließender Zulassung zum weltweit anerkannten Quality Assessor / Validator.<br />
Termin: 07. – 09.11.<strong>2011</strong><br />
Referent(en): Mag. Norbert WAGNER<br />
Mitglieder: € 1.260,00 / Nicht-Mitglieder: € 1.470,00<br />
„Vernehmungstechnik für Revisoren“<br />
Erlernen von Befragungen, vom Vorgespräch über die förmliche Vernehmung bis zur beweistauglichen<br />
Dokumentation vor Gericht<br />
Termin: 14. – 15.11.<strong>2011</strong><br />
Referent(en): Mag. Bernhard FROMM / Prof.(FH) Mag. Dr. Helmut SALOMON<br />
Mitglieder: € 780,00 / Nicht-Mitglieder: € 930,00<br />
Mehr Informationen und Anmeldung unter www.internerevision.at/akademie
Audit Journal<br />
Zeitschrift des <strong>Institut</strong>s für<br />
<strong>Interne</strong> <strong>Revision</strong> Österreich -<br />
IIA Austria<br />
Impressum<br />
Verleger, Hersteller und Herausgeber<br />
<strong>Institut</strong> für <strong>Interne</strong> <strong>Revision</strong> Österreich - IIA Austria<br />
Schönbrunner Strasse 218 - 220<br />
U4 Center, Stiege B, 3. OG<br />
A - 1120 Wien<br />
Für den Inhalt verantwortlich:<br />
Mag. Eva Weiszgerber<br />
Hinweis: Die namentlich gekennzeichneten Beiträge müssen<br />
nicht die Meinung des Herausgebers wiedergeben.<br />
www.internerevision.at<br />
2<br />
2 2