Aufgrund der Wirtschaftsskandale von Enron und Worldcom wie auch Parmalat und zahlreichen weiteren Unternehmen bestand Handlungsbedarf zur Sicherung einer ordnungsgemäßen Finanzberichterstattung. Deshalb wurde in verschiedenen nationalen und internationalen Gesetzen ein internes Kontrollsystem (IKS) vorgeschrieben. Das interne Kontrollsystem sieht prozessbezogene Steuerungs- und Überwachungsmaßnahmen in einem Unternehmen vor. Die Identifizierung der Risiken, die Etablierung der entgegenwirkenden Kontrollen und die Verknüpfung mit den betroffenen Geschäftsprozessen stellen einen wesentlichen Bestandteil des internen Kontrollsystems dar. Eine sorgfältige IKS-Prozess-Dokumentation leistet sowohl zur Transparenz und Nachvollziehbarkeit des IKS als auch zum Nachweis der Wirksamkeit einen wesentlichen Beitrag. Infolge steigender Komplexität der Geschäftsprozesse bei gleichzeitiger Anforderung an die Flexibilität liegt die Notwendigkeit einer Standardisierung bei der Geschäftsprozessmodellierung. In der vorliegenden Studie wird das Fehlen einer detaillierten Regelung der Berücksichtigung von Risiken und Kontrollen in den Geschäftsprozessen der internen Kontrollsysteme aufgezeigt und zudem eine generische Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen entwickelt.

Textprobe: Kapitel 5.1, Risikomanagement ONR 4900f: Ein Risikomanagement behandelt systematisch mögliche Ereignisse, welche sich negativ auf ein Unternehmen auswirken können. Dabei werden laufend in Form eines Lebenszyklus, die möglichen Risiken erfasst, bewertet, priorisiert und Maßnahmen geplant, um den Risiken vorbeugend entgegenwirken zu können. Obwohl das IKS ebenso eine sogfältige Behandlung von Risiken beinhaltet, werden das IKS und das Risikomanagement oft als zwei eigenständige Managementsysteme behandelt. Schwerpunktmäßig kann man dem Risikomanagement eine strategische Orientierung zusprechen und dem IKS eine operativ, prozessorientierte. Dabei stehen beim Risikomanagement die Risikopolitik, ein Früherkennungssystem und die Risikomanagement-Maßnahmen im Vordergrund. Im Gegensatz dazu, stellen im IKS die Compliance Regelungen/Richtlinien, die Kontrollmechanismen und die Geschäftsprozesse für die Finanzberichterstattung samt Prozessverantwortlichkeiten, den Kern dar. Es wird in dieser Arbeit nicht im Detail auf das Risikomanagementsystem eingegangen, aber es sollen die Anhaltspunkte und Grundlagen zur Ableitung für das IKS geprüft werden. ONR 49000: ‘Das Risikomanagement wird in vielen Anwendungsgebieten als Methode und Führungsinstrument eingesetzt, um Sicherheitsanforderungen umzusetzen und die Zielerreichung von Organisationen und Systemen abzusichern.’ In der Norm wird das Risikomanagement als methodischer Rahmen dargestellt, um Risiken beurteilen, bewältigen und überwachen zu können. Zudem wird festgehalten, wie das Risikomanagement in ein Managementsystem eingebettet oder als eigenständiges Managementsystem etabliert werden kann. Die ÖNORM 4900f des österreichischen Normungsinstitutes umfasst: - ONR 49000: Begriffe und Grundlagen. - ONR49001: Elemente des Risikomanagement-Systems. - ONR 49002-1: Leitfaden für das Risikomanagement. - ONR 49002-2: Leitfaden für die Einbettung des Risikomanagements in das Managementsystem. - ONR 49003: Anforderungen an die Qualifikation des Risikomanagers. In der ONR 49000 wird angeführt, dass das Risikomanagement in Wechselwirkung mit anderen Führungsinstrumenten steht, insbesondere mit dem internen Kontrollsystem. Zudem wird festgehalten, dass das IKS eine Steuerungs- und Koordinationsfunktion beinhaltet, ‘um die Planung und die Informationsversorgung aufeinander abzustimmen, die Ergebnisse mit dem Vorhaben zu vergleichen und korrigierend einzugreifen. Grundlagen des internen Kontrollsystems sind das Verhalten der Mitarbeiter und die klar definierten Funktionen und Verantwortungen. Es werden Kontrollpunkte, -tätigkeiten und -prozesse definiert und schließlich wird die Wirksamkeit der internen Kontrollen sichergestellt.’ Die Schnittstelle des IKS zum Risikomanagement wird in der ÖNORM insofern definiert, dass das Frühwarnsystem des Risikomanagement, als Instrument zur Feststellung der Abweichung von den Plänen und den Zielen genutzt und die Risikosteuerung, Risikobewältigung und Risikoüberwachung im Risikomanagement durchgeführt werden kann, wobei als Voraussetzung eine Quantifizierung der Risikolage notwendig ist. Aus Sicht des IKS kann die ONR 4900f vielleicht als etwas unzureichend empfunden werden, da außer den bereits angeführten Punkten, keine weiteren oder detaillierteren Beschreibungen über das Naheverhältnis enthalten sind. Zudem wird weder in der ONR 49002-1 noch in der 49002-2 das IKS erwähnt, wo es sich doch um die Etablierung des Risikomanagementsystems und die Einbettung in das bestehende Managementsystem handelt. Auch aus Sicht der IMS (integrierten Managementsysteme) kann dies ein wenig irritieren, da die beiden Managementsysteme (IKS und Risikomanagementsystem) im weitesten Sinn nicht als getrennte Systeme betrachten werden können, da Risikobewältigung, Risikovermeidung, Risikoverminderung, Risikobeurteilung, Risikoüberwachung, Risikoanalyse, Risikobewertung usw. den gemeinsamen Nenner darstellen.

• Prozessmanagement

• Risikomanagement

• Prozessdokumentation

• Finanzberichterstattung

Franz Ringswirth, MBA, MSc, wurde 1968 in Wien geboren. Im Zuge der sechszehnjährigen Erfahrung im Umfeld des Prozessmanagements erkannte er den Bedarf einer Standardisierung in der Geschäftsprozessmodellierung von IKS-Informationen. Aktuell ist der Autor als Chief Process Officer in einem der größten Unternehmen Österreichs tätig.