Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen (IKS)

Systematische Darstellung als Orientierung für die praktische Anwendung


Masterarbeit, 2012

177 Seiten, Note: Auszeichnung


Leseprobe


Inhaltsverzeichnis

1 Vorwort

2 Einleitung
2.1 Ausgangssituation
2.2 Forschungsgegenstand
2.3 Problemstellung
2.3.1 Fehlen einer Standardisierung der Geschäftsprozessmodellierung
2.3.2 Fehlen der Berücksichtigung von Risiken im Prozessmanagement
2.3.3 Fehlen der Definitionen über die Dokumentationsform trotz gesetzlicher Bestimmungen
2.3.4 Forschungsfrage
2.3.5 Abgrenzung

3 Theoretische Grundlagen
3.1 Zentrale Begriffserklärungen rund um den Forschungsgegenstand
3.1.1 Methoden zur IKS-Geschäftsprozessmodellierung
3.1.1.1 Definition Methode
3.1.1.2 Bestehende Methoden zur IKS-Geschäftsprozessmodellierung
3.1.2 Geschäftsprozessmodellierung
3.1.2.1 Definition Geschäftsprozessmodellierung
3.1.2.2 Definition Prozessmodell
3.1.2.3 Detaillierungsgrade bei der Geschäftsprozessmodellierung
3.1.2.4 Definition Standardisierung von Geschäftsprozessen
3.1.3 Internes Kontrollsystem (IKS)
3.1.3.1 Definition und Ziel des IKS
3.1.3.2 Allgemeine IKS-Dokumentation
3.1.3.3 Detaillierungsgrad dieser prozessbezogenen IKS-Dokumentation
3.1.3.4 Standardisierung von IKS-Dokumentationen
3.1.3.5 Bestehende Studien über die umgesetzte Praxis des IKS
3.1.4 Risikomanagement und dessen Abgrenzung zum IKS
3.1.4.1 Definition und Ziel des Risikomanagements
3.1.4.2 Differenzierung von Risikomanagement und IKS

4 Gesetzliche Rahmenbedingungen
4.1 IKS in Österreich
4.1.1 Aktiengesetz
4.1.2 GmbH-Gesetz
4.1.3 Unternehmensgesetzbuch
4.1.4 Corporate Governance Kodex
4.1.5 IT-Kontrollumfeld des IKS
4.1.6 Sonstige und branchenspezifische gesetzliche Regelungen
4.2 IKS in der Schweiz
4.3 IKS in Deutschland
4.3.1 Aktiengesetz
4.3.2 Kreditwesengesetz
4.3.3 IT-Kontrollumfeld des IKS
4.3.4 Mindestanforderungen an das Risikomanagement
4.3.5 Artikelgesetz KontraG
4.4 IKS in UK
4.5 IKS in der Europäische Union (EU)
4.5.1 8. EU-Richtlinie
4.5.2 Basel II & III
4.5.3 Solvency II
4.6 IKS in den USA (SOX)
4.7 IKS in Japan
4.8 IKS in weiteren Staaten
4.9 Zusammenfassung der nationalen und internationalen gesetzlichen Rahmenbedingungen

5 Normen und Standards zum IKS
5.1 Risikomanagement ONR 4900f
5.2 COSO-Regelwerk
5.2.1 COSO in Österreich
5.2.2 COSO in der Schweiz
5.2.3 COSO in Deutschland
5.2.4 COSO in den USA
5.3 CobiT
5.4 ITIL

6 Empirischer Teil - Forschungsdesign
6.1 Datenerhebung und Vorgehen
6.1.1 Vorbereitung
6.1.2 Berücksichtigung bereits erfolgter Experteninterviews
6.1.3 Leitfragenkatalog
6.1.4 Durchführung
6.1.5 Nachbereitung
6.2 Auswertungskonzept
6.2.1 Kategorienschema für die qualitative Inhaltsanalyse der Experteninterviews
6.2.2 Auswahl der Experten
6.2.3 Vorgehen der Datenauswertung der Experteninterviews

7 Empirische Studie über den Status Quo
7.1 Standardisierung der Geschäftsprozessmodellierung
7.2 Standardisierung der Geschäftsprozessmodellierung anhand eines Prozessebenenmodells
7.3 Methoden und Standards in internen Kontrollsystemen (IKS)
7.4 Abgrenzung zwischen IKS und Risikomanagement
7.5 Geschäftsprozessmodellierung von prozessbezogenen IKS-Informationen
7.6 Einbindung von prozessbezogenen IKS-Informationen in ein Prozessebenenmodells zur standardisierten Geschäftsprozessmodellierung
7.7 Zusammenfassung der Expertenaussagen

8 Grundlegendes zur neu entwickelten Methode
8.1 Anforderungen und Ziele der neu entwickelten Methode
8.1.1 Generischer Methodenansatz
8.1.2 Einheitlicher Dokumentationsstandard
8.1.3 Fokussierung auf die Geschäftsprozessmodellierung
8.1.4 Konzentration auf die Dokumentation prozessbezogener Risiken und Kontrollen
8.1.5 Allgemeiner Einsatz
8.2 Standardisierte Geschäftsprozessmodellierung anhand des Prozessebenenmodells (PrEMo)
8.2.1 Anforderungen an ein Prozessebenenmodell
8.2.2 Aufbau und Einordnung
8.2.3 Verknüpfung der Unternehmensstrategie mit den Geschäftsprozessen
8.2.4 Geschäftsprozessebene
8.2.4.1 Prozesslandkarte
8.2.4.2 Detaillierungsstufen der Geschäftsprozessebene
8.2.4.3 Prozessbausteine
8.2.5 Standardisierungsebene
8.2.6 Detailprozessebene
8.2.6.1 Prozessvarianten
8.2.6.2 Prozesskategorien
8.2.6.3 Prozesszustände
8.2.6.4 Beispiel einer Prozessmatrix
8.2.6.5 Detaillierung
8.2.7 Business Service Ebene
8.2.7.1 Business Service, Service-orientierte Architektur (SOA)
8.2.7.2 Standardisierte Prozessautomatisierung
8.2.7.3 Standardisierte IT-Dokumentation

9 Darstellung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung
9.1 Identifizierung der IKS-Prozesse
9.2 IKS-Kernprozesse
9.2.1 Herstellung einer Beziehung zwischen den IKS-Kernprozessen und den Unternehmensprozessen
9.2.2 Vermeidung doppelter Prozessdefinitionen
9.3 Identifizierung der Risiken
9.4 Identifizierung der Kontrollziele und Kontrollen
9.5 Kontrollarten
9.5.1 Manuelle Kontrollen
9.5.2 IT-Kontrollen
9.5.3 Managementkontrollen
9.5.4 Überwachungskontrollen
9.5.5 Namenskonventionen für Risiken und Kontrollen
9.6 Dokumentation der Risiken, Kontrollen und deren Verbindung
9.6.1 Risiko-Kontrollmatrix
9.6.2 Integration der Risiken und Kontrollen in die Prozesse
9.6.3 Integration von IKS-Informationen in bestehende Prozessdokumentationen
9.6.3.1 Einbettung der Risiko-Kontrollmatrix und der IKS-Kernprozesssicht in die Unternehmensprozesse
9.6.3.2 Herstellung der Gesamtzusammenhänge definierter IKS-Informationen
9.7 Darstellung der IKS-Kernprozesssicht und Geschäftsprozesssicht
9.7.1 IKS-Kernprozesssicht
9.7.2 Zusammenfassende Gegenüberstellung der IKS-Kernprozess- und Geschäftsprozesssicht
9.8 Darstellung der Bilanzdatenflüsse
9.9 Darstellung der generellen IT-Kontrollen (ITGC)
9.10 Integration der Konten in die Prozessdokumentation
9.11 Darstellung des IKS-Change Management Prozesses
9.12 Zusammenfassung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung
9.13 Zusätzliche Standardisierungsmöglichkeiten von IKS-Prozessinformationen durch Anwendung des Prozessebenenmodells
9.13.1 Standardisierung mittels Prozessbausteine
9.13.2 Standardisierung mittels Musterprozesse
9.13.3 Standardisierung mittels IT- Services
9.14 Zusammenfassung der Standardisierungsmöglichkeiten zur IKS-Geschäftsprozessmodellierung
9.15 Gegenüberstellung der entwickelten Methode mit den gesetzlichen Mindestanforderungen
9.16 Nutzen der neu entwickelten Methode
9.17 Evaluierung der neu entwickelten Methode zur standardisierten IKS-Geschäftsprozessmodellierung

10 Zusammenfassung der Ergebnisse
10.1 Konsolidierung der verschiedenen Ergebnisse
10.2 Beantwortung der Forschungsfrage
10.3 Ausblick

11 Literaturverzeichnis

12 Abbildungsverzeichnis

13 Tabellenverzeichnis

14 Abkürzungsverzeichnis

1 Vorwort

Aufgrund der Erfahrungen des Autors dieser Arbeit, welcher sich bereits sechszehn Jahre im Prozessmanagement-Umfeld bewegt und derzeit als Chief Process Officer in einem der größten Unternehmen Österreichs tätig ist, wurde der Bedarf einer Standardisierung in der Geschäftsprozessmodellierung von IKS-Informationen erkannt. In diesem Zusammenhang wurde dieses Thema in Form einer Forschungsfrage aufgegriffen und eine generische Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen bezogen auf interne Kontrollsysteme entwickelt.

Der IKS unabhängige Teilaspekt „standardisierte Geschäftsprozessmodellierung“ behandelt der Autor im parallel stattfindenden Studium „Prozessmanagement - Master of Science“ an der Donau Universität Krems. Im Rahmen der damit verbundenen Master Thesis wird bewiesen, dass es zwischen der Strategie und technologiegestützten Maßnahmen kein detailliert beschriebenes und standardisiertes Prozessebenenmodell gibt. In diesem Zusammenhang wurde ein dementsprechendes Prozessebenenmodell entwickelt, welches zusätzlich von Experten evaluiert wurde.

Zwei persönliche Beweggründe, ergänzen die Relevanz der Forschungsfrage dieser Arbeit. Einerseits will der Autor durch den zeitgleichen Abschluss beider Master Thesen, einem Aufgreifen der Erweiterung des entwickelten Standards für die Geschäftsprozessmodellierung anhand eines Prozessebenenmodells um die IKS-Thematik durch andere Absolventen, zuvor kommen. Andererseits wurden bereits Grundelemente der neu entwickelten Methode, in meiner damaligen Funktion als Leiter Process Engineering für die Telekom Austria, konzipiert und in diversen Tagungen, Communitys und Kongressen wie z.B. in der European GRC Conference 2008 in Wien präsentiert. Dieser neue Ansatz wurde als sehr innovativ empfunden. Diese Grundelemente betrafen eine Methode zur standardisierten Geschäftsprozessmodellierung reduziert auf das IKS nach Sarbanes-Oxley Act (SOX). Im Zuge eines großen internationalen Kongresses zum Geschäftsprozessmanagement in Berlin (13. bis 15. Juni 2007) wurden diese Grundelemente zudem für den Business Process Excellence Award 2007 in der Kategorie Controlling nominiert, wo letztendlich der 2. Platz erreicht werden konnte. Diese Grundelemente wurden im Rahmen dieser Arbeit um die allgemeine Gültigkeit und Nutzbarkeit aller internen Kontrollsystemausprägungen erweitert, für den wissenschaftlich gesicherten Rahmen aufbereitet und erforscht (empirisch hinterfragt).

2 Einleitung

2.1 Ausgangssituation

Für ein Unternehmen ist es von großer Bedeutung, auf die Bedürfnisse des Kapitalmarktes ausgerichtet zu sein. Dazu gehört aufgrund erfolgter Finanzskandale, dass die veröffentlichten Zahlen die Realität widerspiegeln. Die Integrität der Finanzberichterstattung ist daher fester Bestandteil einer Corporate Governance. Dieses stellt bei der Erfüllung der Organisations- und Aufsichtspflichten im Unternehmen für die Aufsichtsgremien und Führungskräfte eine wichtige Herausforderung dar. Die Einhaltung der geltenden nationalen und internationalen Gesetzen und Vorschriften (Compliance), der permanent wachsende Wettbewerb und die steigenden Anforderungen der Kunden erfordern die Kommunikation, die Optimierung und die ordnungsgemäße Dokumentation der Geschäftsprozesse, welche zugleich ein wesentliches Qualitätskriterium darstellt.[1]

Zudem schreiben die nationalen und internationalen gesetzlichen Vorgaben eine Einführung und Überwachung eines internen Kontrollsystems vor. Bei der Umsetzung gibt es jedoch Grauzonen. So wird oftmals angeführt, wichtige Merkmale des internen Kontrollsystems der Gesellschaft in Hinblick auf den Rechnungslegungsprozess zu definieren. Eine genauere Definition wird zumeist nicht geführt.[2] Aus diesem Grund gibt es unklare Auffassungen in Bezug auf z.B. den Umfang, die Komplexität und die Form der Dokumentation von Risiken und Kontrollen in Verbindung mit den Geschäftsprozessen.

Das hat zur Folge, dass stark uneinheitliche, lückenhafte oder übermäßig aufwendige Dokumentationen zum internen Kontrollsystem entstehen. Dabei soll eine effiziente Dokumentation die transparente Darstellung von Geschäftsprozessen ermöglichen. Eine Standardisierung mit transparenten Strukturen und eine Harmonisierung der Prozesse, schaffen einen nachhaltigen Mehrwert für das Unternehmen. Durch eine verstärkte Standardisierung kann eine Optimierung der Dokumentation und der Zahl der Prozesse samt Kontrollen erzielt werden.[3]

Eine allgemein anwendbare Methode zur standardisierten Geschäftsprozessmodellierung von IKS-Prozessinformationen würde den oben angeführten Problemen entgegenwirken. Aus diesem Grund wird dieser Bedarf als Forschungsgegenstand aufgegriffen, tiefgründig hinterfragt und eine Antwort auf vorherrschende Probleme gefunden.

2.2 Forschungsgegenstand

Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von Internen Kontrollsystemen (IKS ).

Systematische Darstellung als Orientierung für die praktische Anwendung

Jedes Managementsystem tendiert dazu, ein in sich geschlossenes System zu sein. Damit keine losgelösten Sub-Managementsysteme in Unternehmen entstehen, ist das Hauptaugenmerk auf die Integration der einzelnen Managementsystem zu legen.[4]

Angestoßen durch den Universitätslehrgang „integrierte Managementsysteme MBA“ wird im Rahmen dieser Master Thesis versucht, einen integrativen Beitrag der beiden Management-systeme „Prozessmanagement“ und „interne Kontrollsysteme (IKS)“ zu leisten. Da das Managementsystem Risikomanagement ebenfalls mit dem IKS eng verbunden ist, ist das Risikomanagement zwar Nutznießer der generischen Methode zur standardisierten Geschäftsprozessmodellierung, wird aber nicht vordergründig bzw. vertieft behandelt.

2.3 Problemstellung

2.3.1 Fehlen einer Standardisierung der Geschäftsprozessmodellierung

Eine erste Problemstellung beinhaltet das Fehlen bzw. die Notwendigkeit einer Standardisierung der Geschäftsprozessmodellierung. Um diese Materie behandeln zu können, muss zunächst auf die Herausforderungen mit dem Umgang umfangreicher Geschäftsprozesse eingegangen werden. In Unternehmen, welche sich mit Prozessmanagement beschäftigten, fehlt es oft an einheitlicher Prozessmanagementstruktur. Je mehr Prozessmanager in unterschiedlichsten Prozessmanagementeinheiten eine Vielzahl an Prozessen dokumentieren, welche zusätzlich noch unterschiedliche Detaillierungsgrade und Sichtweisen aufweisen (z.B. produktorientierte-, kundenorientierte- oder IT-system-orientierte Prozesse), desto weniger Übersicht, einheitliche Granularität, inhaltliche Zusammenhänge und einheitliche Informationsbasis entsteht. Diese Entwicklung kann man mit einheitlichen Konventionen für Prozessmodellierung (mit welchen Symbolen wird im welchem Tool dokumentiert), Schulungen und einheitlichen Prozessmanagementmethoden entgegenwirken. Im Idealfall wird dieses durch eine zentrale organisatorische Prozessmanagementeinheit entwickelt und gegenüber allen dezentralen Prozessmanagern in den verschiedensten Fachabteilungen verantwortet. Ein wesentlicher Teil dieser Prozessmanagementmethoden betrifft das Prozessebenenmodell. Hier ist definiert, welche Art von Prozess mit welchem Detaillierungsgrad und Ausrichtung (Kernaussage) welcher Prozessebene zuzuordnen ist. Zumeist werden hier nur die klassischen Ebenen wie: Prozesslandkarte, Hauptprozessebene, Teilprozessebene und Detailprozessebene definiert, welche in der Vielzahl an Prozessmanagement Literatur zu finden ist und somit eher einen großen Spielraum für unstrukturierte Geschäftsprozessmodellierungen zulassen. Weiterführend sind diese Modelle zumeist starr und wenig an der aktuellen Unternehmensstrategie ausgerichtet. Das heißt, bei jeder Änderung der Unternehmensstrategie mit Auswirkung auf die Prozesse, müsste ein starres Prozessebenenmodell angepasst, eine Vielzahl an Prozessen neu zugeordnet und sämtliche abhängige Informationsempfänger und Prozessmanager darüber informiert oder neu geschult werden.

Menzies führt an, dass als Hilfsmittel bei der Identifizierung der IKS-relevanten Prozesse, ein generisches Prozessmodell dienlich sein kann.[5]

Im parallel stattfindenden Studium des Autors auf der Donau Universität, wurde der Lehrgang Master of Science (MSc) für Prozessmanagement absolviert. In der MSc Master Thesis, welche zeitgleich mit dieser MBA Master Thesis abgeschlossen wird, wird einerseits bewiesen, dass es kein detailliert beschriebenes und standardisiertes Prozessebenenmodell, zwischen Strategie und technologiegestützten Maßnahmen gibt und andererseits Eines entwickelt, welches zudem, ausgewählten, Experten zur Evaluierung präsentiert wurde.

Dieses neu entwickelte Prozessebenenmodell ist ein allgemeingültiges Modell. Das Prozessebenenmodell kann in Unternehmen mit umfangreichen Organisationsformen in vollem Ausmaß zum Einsatz kommen. Der große Mehrwert liegt genau dort, wo eine Vielzahl an Prozessmanagern, Abteilungen, Prozessen und Informationsträger vorhanden sind. Zumeist ist dieses Gefüge in Großunternehmen vorzufinden. In Kleine und mittlere Unternehmen kann der Einsatz auch in minimierter Form erfolgen. Das bedeutet, dass Unternehmen kleinerer Dimension, dieses Prozessebenenmodell als Referenz heranziehen und somit nur die relevanten Strukturen anwenden können, jedoch nicht strikt alle Ebenen davon in Gebrauch nehmen müssen. Somit ist das generische Prozessebenenmodell variabel einsetzbar, welches eher von der Zielsetzung und Unternehmenskomplexität abhängt, als von der Unternehmensgröße.

Die Idee liegt nun darin, diesen entwickelten Standard zur standardisierten Geschäftsprozessmodellierung anhand eines Prozessebenenmodells, um die Methode der standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen der internen Kontrollsysteme, zu erweitern. Somit würde der Gesamtnutzen einer standardisierten und durchgängigen Geschäftsprozessmodellierung um eine Finanz- bzw. Risikoperspektive erweitert werden und für die Managementsysteme: Prozessmanagement, Projektmanagement, Informationstechnologie, Finanzmanagement (Controlling, Rechnungswesen, Revenue Assurance, Treasury etc.), Risikomanagement, IKS, Qualitätsmanagement, Wissensmanagement etc. als zentrale, strukturierte Informationsplattform für Geschäftsprozesse, Risiken und Kontrollen dienen.

2.3.2 Fehlen der Berücksichtigung von Risiken im Prozessmanagement

Eine zweite Problemstellung stellt das Fehlen bzw. die Notwendigkeit der Berücksichtigung von Risiken im Prozessmanagement dar. Das interne Kontrollsystem und das Risikomanagement behandeln die Erfassung und den Umgang mit Risiken. Das Prozessmanagement befasst sich mit den Geschäftsprozessen. Im Allgemeinen fand bisher keine Berücksichtigung von Risiken im Prozessmanagement statt. Eine umfangreiche Literaturrecherche von Trambo, Müller, Regele und Sontheim ergab, dass Risiken nur selten im Prozessmanagement berücksichtigt werden, obwohl eine Notwendigkeit gegeben ist.

Die Verwendung von Prozessmodellen ist eine Möglichkeit, Risiken im Prozess grafisch darzustellen. Somit kann einerseits ein effizienteres Risikomanagement und andererseits ein effizienteres internes Kontrollsystem geschaffen werden. Die Forschungsarbeit mit dem Titel „Identifikation und Analyse von Prozessrisiken“ aus dem Jahre 2010 von Trambo, Müller, Regele und Sontheim beschreibt den Stand der Forschung, wie in einigen vorgestellten Modellen, Risiken berücksichtigt werden können. Es wurde aber festgestellt, dass keines der Modelle alle Anforderungen einer Standardisierung in sich vereint. Da in der Praxis keine fertig entwickelten Konzepte und Vorgehensweisen gefunden wurden, so wird die Aufforderung in der Forschungsarbeit angeführt, sich diesbezüglich weiter zu betätigen.[6] Durch die Erstellung dieser Master Thesis und dem damit verbundenen Ergebnis kommt man dieser Aufforderung nach.

2.3.3 Fehlen der Definitionen über die Dokumentationsform trotz gesetzlicher Bestimmungen

Die dritte Problemstellung besteht darin, dass es verschiedenste nationale und internationale gesetzliche Bestimmungen gibt, die auf das interne Kontrollsystem hinweisen. Des Weiteren wird in den seltensten Fällen näher beschrieben wie z.B. eine Dokumentation von prozessbezogenen IKS-Informationen erfolgen soll.[7]

2.3.4 Forschungsfrage

Genau diese drei angeführten Problemstellungen, geben den Anlass, mittels Forschung einen weiteren Beweis zu liefern, dass es keine detailliert beschriebene Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen der internen Kontrollsysteme (IKS) gibt und sich gleichzeitig, die Forschungsfrage zu stellen, wie eine solche Methode aussehen muss.

Forschungsfrage: Wie muss eine generische Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen der internen Kontrollsysteme gestaltet sein?

2.3.5 Abgrenzung

In dieser Arbeit wird explizit nicht auf Prozessinhalte, auf die Prozessmanagementmethoden (z.B. Prozesskostenrechnung, Simulation etc.), auf das Prozessmanagement als System, auf die Überwachung des IKS, die Kontrollaktivitäten eines IKS und die inhaltliche Finanzberichterstattung eingegangen. Alle dargestellten Prozesse in Abbildungen, sind als schemen- und symbolhafte Beispiele aufzufassen und erheben keinen Anspruch auf inhaltliche Vollständigkeit oder Richtigkeit.

Es gibt grundsätzlich unterschiedliche Formen der Darstellung von Geschäftsprozessen, Risiken und Kontrollen (Notation). Diese können in verschiedenen, am Markt angebotenen Modellierungswerkzeugen dargestellt werden. Diese Arbeit wird in einem darstellungsneutralen- und toolunabhängigen Kontext behandelt. Daraus ergibt sich auch, dass auf keine Hersteller von Tools und bestimmten Notationen im Rahmen der Arbeit verwiesen wird.

„Eine Notation für die grafische Geschäftsprozessmodellierung legt unter anderem fest, mit welchen Symbolen die verschiedenen Elemente von Prozessen dargestellt werden, was sie genau bedeuten und wie sie miteinander kombiniert werden können. Eine solche Notation ist also eine einheitliche Sprache zur Beschreibung von Geschäftsprozessen. Jeder, der diese Sprache beherrscht, ist in der Lage, die von anderen erstellten Modelle zu verstehen.“[8]

Wie bereits im Vorwort erwähnt, wird in der zeitgleich abgeschlossen MSc Master Thesis speziell auf die standardisierte Geschäftsprozessmodellierung eingegangen und ein Prozessebenenmodell entwickelt. Sowohl die entwickelte Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen der internen Kontrollsysteme als auch der Leitfragenkatalog der Experteninterviews für die aktuelle MBA Master Thesis bauen darauf auf. Es wird explizit nicht mehr ein generisches Prozessebenenmodell als Standard für die Geschäftsprozessmodellierung in Frage gestellt.

PrEMo als Wort, wird in dieser Arbeit als Abkürzung für das Pr ozess e benen mo dell verwendet.

Die Inhalte sprechen Frauen und Männer gleichermaßen an. Zur besseren Lesbarkeit wird nur die männliche Sprachform verwendet.

3 Theoretische Grundlagen

Damit sich die Arbeit im gesicherten Rahmen der Literatur befindet, müssen grundlegende Begriffsdefinitionen und theoretische Grundlagen dargestellt werden.

Im Normalfall ist das interne Kontrollsystem und das Rechnungswesen eng mit der Gesamtorganisation verzahnt. Dabei muss die Effektivität und die Effizienz dieser Verzahnung sichergestellt werden.[9] Einen wesentlichen Beitrag zur Effektivität und Effizienz kann hierbei auch das Prozessmanagement liefern.

Das Prozessmanagement ist ein systematischer Ansatz und bedeutet, die Prozesse effektiv auf die Unternehmensziele und Kundeninteressen auszurichten, sowie sie effizient im betrieblichen Alltag zu operationalisieren.[10] Somit stellt das Prozessmanagement ein weiteres Glied dieser Verzahnung dar und kann mit der Verknüpfung von Prozessen zu Risiken und Kontrollen einen wesentlichen Wertbeitrag leisten. Diese Verknüpfung wird mittels der Geschäftsprozessmodellierung hergestellt.

„Ein Managementsystem ist (…) die Summe aller Werkzeuge, Instrumente und Abläufe, die die Unternehmensleitung in die Lage versetzen, das Unternehmen im Markt zum Erfolg zu führen. Es ist der Oberbegriff für alle Systeme, die im Unternehmen die Qualität der Leistung sicherstellen soll.“[11] Auch beschreibt ein Managementsystem Maßnahmen, die dazu beitragen, den Hauptzweck sowie die Rahmenbedingungen des Unternehmens sicher und effizient umzusetzen.[12]

Die verschiedenen Managementsysteme erfordern eine weitest mögliche Bündelung und Integration der einzelnen Systeme, um die wachsenden Anforderungen am besten zu erfüllen, den Arbeitsaufwand zu minimieren und dauerhaft Synergien nutzen zu können. Dabei dürfen Aspekte der Kommunikation, Information und Nachvollziehbarkeit, sowie die Einbeziehung der Mitarbeiter nicht vernachlässigt werden. Hierfür ist die grundlegende Ausrichtung der Managementsystem-Strukturen an den eigentlichen Unternehmenstätigkeiten, nämlich den Geschäftsprozessen, erforderlich. Anders ausgedrückt, kann die Geschäftsprozessbasis als Integrationsplattform für alle Anforderungen der jeweiligen Managementsysteme wie z.B. für:

- Qualitätsmanagement
- Umweltmanagement
- Arbeitnehmerschutz
- Notfallmanagement
- Informationssicherheitsmanagement
- Supply Chain Management
- Projektmanagement
- Personalmanagement
- Lean Management
- Sicherheitsmanagement
- Beanstandungsmanagement
- Wissensmanagement
- Risikomanagement
- Finanzmanagement
- Interne Kontrollsystem usw.

genutzt werden (Prozesse als Plattform des Managementsystems).[13]

Geschäftsprozesse stellen somit eine Basis integrierter Managementsysteme dar, da die Leistung eines Unternehmens in den Prozessen erbracht wird. Die ISO 9000:2000 definiert einen Prozess, als einen Satz von Wechselbeziehungen oder in Wechselwirkung stehenden Tätigkeiten, die Eingaben in Ergebnisse umwandelt. Das Management dieser Prozesse wird im Prozessmanagement erfüllt. Prozessmanagement ist ein generischer Ansatz, der sich in vielen Managementkonzepten wiederfindet z.B. Business Excellence Modell der European Foundation for Quality Management (EFQM), in der Balanced Scorecard (BSC), im Business (Re)Engineering etc.[14]

„Man kann nicht managen, was man nicht messen kann, und man kann nicht messen, was man nicht beschreiben kann.“[15]

„Auch die Dokumentation der Managementsysteme als Führungssystem im Unternehmen erfolgt auf Grundlage der Prozessdokumentation.“[16]

Die Prozessdokumentation lässt sich bei der Entwicklung und Beschreibung von integrierten Managementsystemen verwenden. Hier gibt es zu den einzelnen Managementsystemen innerhalb der Norm, eindeutige Forderungen hinsichtlich einer klaren und verständlichen Dokumentation.[17] Eine Prozessdokumentation als Ergebnis, wird mit einer Geschäftsprozessmodellierung erreicht.

Als Geschäftsprozessmodellierung kann eine Prozessvisualisierung, also eine graphische Darstellung von Prozessen, verstanden werden. In Abhängigkeit der Zielsetzung werden die Prozesse unterschiedlich detailliert dargestellt, von den groben Überblicksprozessen bis zu den einzelnen Datenflussprozessen. Je mehr Prozesse dokumentiert werden, umso notwendiger ist eine zuordenbare hierarchische Prozessstruktur. Damit Prozesse stimmig nach Abhängigkeiten, Zusammenhängen, Detaillierungsgrad und Schwerpunkten zugeordnet werden können, ist eine Prozessstruktur idealerweise nach einem allgemein gültigen Prozessebenenmodell auszurichten.

Gerade in Unternehmen mit umfangreichen Organisationsformen, einer Vielzahl an komplexen Prozessabläufen und Prozessmanagern, verteilt in diversen Abteilungen, ist eine einheitliche Methode und Struktur (Standards) für die Geschäftsprozessmodellierung unumgänglich.[18] Zumeist gibt es einen einheitlichen Dokumentationsstandard, welcher in Konventionen für die Prozessmodellierung zentral vorgegeben wird.

Um generell einen Standardisierungsgrad in einem Unternehmen erhöhen zu können, würde eine Handhabung einer, und ein Referenzieren zu einer, allgemein gültigen (generischen) Methode zur standardisierten Geschäftsprozessmodellierung helfen.

Als Methode wird das systematisierte Verfahren zur Gewinnung von Erkenntnissen bezeichnet.

Die Standardisierung und Vereinheitlichung der Dokumentationswerkzeuge und eine unternehmensweite Dokumentationsrichtlinie zur Compliance-konformen Dokumentation (Gesetze und Vorschriften), tragen zur Qualität der über die Jahre entstehenden Dokumentation bei.[19]

Damit eine standardisierte Geschäftsprozessmodellierung von internen Kontrollsystemen behandelt werden kann, soll vorab Klarheit darüber geschaffen werden, was überhaupt unter einem internen Kontrollsystem verstanden wird.

„Das interne Kontrollsystem (IKS) umfasst alle im Unternehmen planvoll gesetzten Methoden und Maßnahmen,

- die das Vermögen des Unternehmens sichern,
- die betriebliche Effizienz und somit die Wirtschaftlichkeit steigern,
- die Zuverlässigkeit des Rechnungs- und Berichtswesens gewährleisten ,
- die Einhaltung der vorgeschriebenen Geschäftsrichtlinien und gesetzlichen Vorschriften sicherstellen.“[20]

Dabei werden Prozesskontrollen eingeführt „(…) um sicherzustellen, dass gesetzliche, betriebliche und finanzielle Vorgaben, Regelungen und Verpflichtungen eingehalten werden.“[21]

Von einer ordnungsgemäßen IKS-Dokumentation kann erst dann gesprochen werden, wenn sie den gesetzlichen und unternehmensinternen Bestimmungen entspricht und gleichzeitig die tatsächlichen Sachverhalte wahrheitsgetreu, exakt und lückenlos wiedergibt. Dabei besteht die zentrale Anforderung an die Dokumentation aus der Transparenz, Nachvollziehbarkeit und des Nachweises der Wirksamkeit. Inhaltlich muss die Dokumentation unter anderem aus einer genauen Beschreibung der IKS-Geschäftsprozesse und der zusammenhängenden Risiken inklusive deren Kontrollen bestehen.[22]

Unter Unternehmensrisiken werden alle negativen Ereignisse eingeordnet, die die Erreichung der Unternehmensziele verhindern, die Leistungserstellung (Wertschöpfung) mindern und die bestehenden Unternehmenswerte reduzieren können. Neben der Identifikation und Bewertung der Risiken ist eine Unterscheidung, Zuordnung und Dokumentation der Unternehmensrisiken und prozessbezogenen Risiken notwendig. Einem Geschäftsprozess kann ein oder mehrere prozessbezogene Risiken zugeordnet werden.[23]

„Interne Kontrollen stellen sicher, dass die Ziele hinsichtlich der Effektivität und der Effizienz der Geschäftstätigkeit, Ordnungsmäßigkeit und Verlässigkeit der Finanzberichterstattung, und der Einhaltung von maßgeblichen Gesetzen und Vorschriften erreicht werden.“[24] Einem Geschäftsprozess kann eine oder mehrere Kontrollen zugeordnet werden.[25]

Damit der Gegenstand einer standardisierten Geschäftsprozessmodellierung von Internen Kontrollsystemen (IKS) nun behandelt werden kann, muss noch auf die Unterschiede der einzelnen Systeme eingegangen werden.

Grundsätzlich erfüllen alle internen Kontrollsysteme den gleichen Zweck.

Die „Sicherheit, Ordnungsmäßigkeit und Wirtschaftlichkeit aller Abläufe sollen durch das IKS gewährleistet werden.“[26] Die einzelnen internen Kontrollsysteme unterliegen lediglich aufgrund unterschiedlicher nationaler und internationaler Gesetze und Vorschriften unterschiedlicher Rahmenbedingungen.

Die Einhaltung der geltenden nationalen und internationalen Gesetzen und Vorschriften (Compliance) durch die Gestaltung und Umsetzung einer effektiven Corporate Governance stellen dabei eine wesentliche Herausforderung dar, wobei wiederum einheitlich angeführt wird, dass die Dokumentation eine besondere Rolle spielt.[27]

Der Begriff Compliance bedeutet im Allgemeinen, das Handeln im Einklang mit dem geltenden Recht. In diesem Sinne bezwecken die Compliance Richtlinien als innerbetriebliche Vorschrift die Umsetzung von rechtlichen Bestimmungen. Compliance Richtlinien können die Vermeidung von missbräuchlicher Verwendung oder Weitergabe von Insiderinformationen, explizite Sperrfristen vor Veröffentlichung des Jahresabschlusses- und der Quartalsabschlüsse sowie organisatorische Maßnahmen im Bereich der IT Security (Dokumentation und Weitergabe sensibler Daten) beinhalten.

Als Corporate Governance wird die Idee von einer Gesamtheit aller Grundsätze und Vorgehensweisen für eine verantwortungsvolle Unternehmensführung verstanden. National und international geltende Gesetze fordern den Nachweis dieser verantwortungsvollen Unternehmensführung.[28]

Konkret erfährt ein IKS in der EU (als übergeordnete Instanz der Euroländer), in Deutschland, Österreich, Schweiz, USA (SOX) und in Großbritannien (Bribery Act) unterschiedliche gesetzliche Vorgaben. Dieses wird im Kapitel 4 vertiefend behandelt.

Im Anschluss wird auf die theoretischen Grundlagen, Konzepte und Begriffsdefinitionen rund um das Thema des Forschungsgegenstandes und der Forschungsfrage eingegangen. Danach werden im Kapitel 4 die nationalen und internationalen gesetzlichen Rahmenbedingungen dargestellt. Den Abschluss bilden die Normen und Standards zum IKS im Kapitel 5.

3.1 Zentrale Begriffserklärungen rund um den Forschungsgegenstand

3.1.1 Methoden zur IKS-Geschäftsprozessmodellierung

3.1.1.1 Definition Methode

Shoshak definiert eine Methode folgendermaßen: „Eine Methode ist ein ziel- und zweckorientiertes planmäßiges (methodisches) Verfahren, das zu technischer Fertigkeit bei der Lösung theoretischer und praktischer Aufgaben führt. Im Vergleich zum Vorgehensmodell steht bei einer Methode die Darstellung der Lösung einer Aufgabe im Vordergrund. Die Anwendung von Methoden dient als generelles Charakteristikum für Verfahrensweisen wissenschaftlicher Disziplinen und damit zur Kennzeichnung ihrer Wissenschaftlichkeit. (…) Der Begriff Methode wird als Oberbegriff von Konzepten, Notationen und methodischer Vorgehensweisen verstanden. Die Vorgehensweise beschreibt eine Anzahl von methodischen Schritten und Regeln.“[29]

3.1.1.2 Bestehende Methoden zur IKS-Geschäftsprozessmodellierung

Es konnten keine bestehende Konzepte über detailliert beschriebene Methode zur standardisierten Geschäftsprozessmodellierung von prozessbezogenen Risiken und Kontrollen der internen Kontrollsysteme (IKS) gefunden werden.

Dies wird auch durch eine erfolgte Forschungsarbeit von Trambo, Müller, Regele und Sontheim mit dem Titel „Identifikation und Analyse von Prozessrisiken“ unterstrichen. In dieser Forschung wurden Modelle vorgestellt, wie Risiken in den Geschäftsprozessen berücksichtigt werden können. Es wurde festgestellt, dass keines der Modelle alle Anforderungen einer Standardisierung in sich vereint. Zusätzlich wurde festgehalten, dass Risiken nur selten im Prozessmanagement berücksichtigt werden, obwohl eine Notwendigkeit gegeben ist und in der Praxis keine fertig entwickelten Konzepte und Vorgehensweisen gefunden wurden (siehe auch Kapitel 2.3.2).[30]

3.1.2 Geschäftsprozessmodellierung

Mit der Geschäftsprozessmodellierung wird ein Prozess mit der für den jeweiligen Zweck angemessenen Exaktheit beschrieben. Dabei liegt der Vorteil in der Visualisierung von Prozessen. Sie fördert die Kommunikation über die Prozesse, erleichtert das Prozessverständnis und hilft bei der Entwicklung einer gemeinsamen Prozesssicht.[31]

3.1.2.1 Definition Geschäftsprozessmodellierung

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 1: Definitionen über die Geschäftsprozessmodellierung

Quelle: eigene Darstellung

Die Definitionen der Geschäftsprozessmodellierung der verschiedenen Autoren unterscheiden sich nicht im Wesentlichen. Die Kernaussagen beinhalten das Definieren und die Darstellung der Prozesse.

3.1.2.2 Definition Prozessmodell

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 2: Definitionen über das Prozessmodell

Quelle: eigene Darstellung

Bei der Geschäftsprozessmodellierung wird ein Prozess anhand eines Prozessmodells beschrieben bzw. visualisiert. Dabei verständigen sich viele Autoren darin, dass ein Modell ein Abbild der Realität darstellt. Lediglich die DIN EN ISO 9001 legt sich bei der Definition eines Prozessmodell inhaltlich fest, indem es einen Prozess mit Operationen und einem definierten Ergebnis beinhaltet.

3.1.2.3 Detaillierungsgrade bei der Geschäftsprozessmodellierung

Schmelzer und Sesselmann legen zur optimalen Detaillierung von Prozessen bzw. Prozessebenen fest: „Der Detaillierungsgrad der Prozessstruktur bzw. die Tiefe der Prozesshierarchie hängt von der Komplexität und Durchführungshäufigkeit des Geschäftsprozesses sowie der Arbeitsorganisation ab. Steuern die Mitarbeiter den Prozess selbst, besteht keine Notwendigkeit, den Geschäftsprozess bis auf die einzelne Aktivität zu zerlegen. (...) Der Einsatz von Workflow-Management-Systemen erfordert dagegen eine tiefere Strukturierung.“[42] Die Geschäftsprozesse auf oberster Ebene sind in vielen Unternehmen ähnlich, aber sehr unterschiedlich auf den unteren Prozessebenen.[43]

Fischermanns verfolgt das Themengebiet der Detaillierung mit einem generalistischen Ansatz. „Grundsätzlich ist ein Teilprozess eine Untermenge eines darüber liegenden Prozesses, unabhängig auf welcher Ebene der Prozessgliederung.“[44]

Oder auch, die Anzahl der Detaillierungsebenen ist abhängig vom Umfang des jeweiligen Prozesses. Laut Gareis und Stummer kann eine generelle Regelung für die Anzahl der Detaillierungsebenen daher nicht aufgestellt werden.[45]

Ebenso allgemein wird die Detaillierungstiefe von Jochem, Mertins und Knothe angeführt: „Die Detaillierungstiefe sollte so gering wie möglich, aber so tief wie nötig gewählt werden.“[46]

Paschke formuliert die Detaillierungsgrade von Prozessebenen nachstehend: „Ein Prozess kann in einen oder mehrere Teilprozesse (Subprozess) unterteilt werden. Die Unterteilung kann in mehreren Ebenen erfolgen. Eine nicht mehr teilbare Prozesseinheit ist eine Aufgabe. Die Aufgabe kann, muss jedoch nicht, durch eine Arbeitsanweisung exakt definiert werden.“[47]

Bräkling und Oidtmann führen diesen variablen Ansatz weiter. „Bei der Abstufung der Prozessebenen und der damit verbundenen Detaillierung der Prozessbeschreibungen empfiehlt sich eine Orientierung an den Hierarchieebenen des Unternehmens.“[48] „Die unterschiedlichen Aggregierungsstufen sind für eine zielgerichtete und präzise Navigation im Prozesssystem hilfreich. (…) Die derart beschriebenen Einzelprozesse sind nun zu einem zusammenhängenden Prozessmodell zu vernetzen, das einen strukturierten Überblick über die Ablauforganisation des gesamten Unternehmens bringt.“[49]

Etwas konkreter wird es schon laut Wagner und Käfer. Ausgehend von der Prozesslandkarte, welche auf oberster Ebene das Zusammenwirken der (Haupt-)Prozesse zeigt, können viele Detaillierungsebenen verwendet werden, um die Hauptprozesse, die Prozesse sowie die Prozessdetails aufzuzeigen.[50]

Eine Empfehlung wird von Bergsmann ausgesprochen. „Generell sollte man versuchen, mit insgesamt maximal fünf Detaillierungsebenen auszukommen. Alle Prozesse sollten dabei zumindest auf die Ebene zwei, eventuell drei heruntergebrochen werden. Ob sie darüber hinaus noch weiter detailliert werden, hängt von der verfolgten Zielsetzung ab.“[51]

Wenn über Detaillierungsgrade bei der Geschäftsprozessmodellierung recherchiert wird, tritt man automatisch mit der „Durchgängigkeit“ und dem „Top-down“ Ansatz in Berührung. Aus diesem Grund wurde für das gemeinsame Verständnis, der „Top-down“ Ansatz folgend ausgearbeitet.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 3: Definitionen über den „Top-down“ Ansatz

Quelle: eigene Darstellung

Die Definitionen des „Top-down“ Ansatzes der Autoren beschreiben im Wesentlichen den Weg des Detaillierungsgrades, vom Groben zum Feinen und von der obersten bis zur untersten Ebene.

3.1.2.4 Definition Standardisierung von Geschäftsprozessen

Bei der Geschäftsprozessmodellierung komplexer Abläufe besteht der Bedarf einer Standardisierung. Aus diesem Grund werden Definitionen über die Standardisierung von Geschäftsprozessen angeführt.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 4: Definitionen über die Standardisierung von Geschäftsprozessen

Quelle: eigene Darstellung

Aus den Definitionen der Autoren über die Standardisierung von Geschäftsprozessen lässt sich eine aggregierte Regelung von einheitlichen oder immer wiederkehrenden Abläufen interpretieren.

3.1.3 Internes Kontrollsystem (IKS)

3.1.3.1 Definition und Ziel des IKS

Es gibt zahlreiche Definitionen, was ein internes Kontrollsystem ist und beinhaltet. Anbei werden einige Definitionen aufgelistet.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 5: Definitionen über das interne Kontrollsystem

Quelle: eigene Darstellung

Laut Paschke gibt es keine einheitliche Definition eines internen Kontrollsystems.[68] Jedoch kann aus den vielen verschiedenen Definitionen die prozessbezogenen Überwachungsmaßnahmen einer Organisation zur ordnungsgemäßen Berichterstattung aufgefasst werden.

3.1.3.2 Allgemeine IKS-Dokumentation

Die Dokumentation ist für jede Art von Prüfung erforderlich. Bei der Gestaltung und Realisierung der geforderten Dokumentation sollte auf eine gleichbleibende Qualität der Dokumentation, auf deren Kenntnis und Verständnis, auf die abteilungsübergreifende Betrachtung, auf die Fortführung und Pflege der Dokumentation in Form eines etablierten Lebenszyklus und einer Publikation für die Mitarbeiter geachtet werden. Die Dokumentation beinhaltet eine Sammlung von Prozessen, die gegenüber allen beteiligten organisatorischen Einheiten eine Gültigkeit besitzt und eine laufende Dokumentationspflicht verlangt. Für die Überwachung und dem Erkennen von Optimierungspotenzialen der Geschäftsprozesse und deren Kontrollen, eignet sich eine Etablierung eines Lebenszyklus nach Deming (auch als Deming-Kreis oder auch als PDCA Zyklus bekannt - P lan- D o- C hek- A ct).[69]

Das interne Kontrollsystem ist ein integraler Bestandteil der Geschäftsprozesse. Dabei ist, als Voraussetzung für ein wirksames Kontrollsystem, eine angemessene Dokumentation der Prozesse und Systeme notwendig. Eine Beurteilung eines IKS kann nur mit einem Prozessbezug erfolgen. Die Zusammenhänge zwischen den risikorelevanten Prozessen und den kompensierenden Kontrollen sind Bestandteil der Prozessdokumentation.[70]

Bei einem internen Kontrollsystem, speziell nach den gesetzlichen Rahmenbedingungen des Sarbanes-Oxley Act’s nach Section 404, wird der größte Arbeitsaufwand in der Dokumentation und Bewertung gesehen. Dabei wird unter einer ausreichenden Dokumentation, die genaue Beschreibung der zu kontrollierenden Daten, sowie deren Entstehung und Erfassung verstanden. Zudem soll bei der Dokumentation, die genaue Reihenfolge des Datenflusses hervorgehen.[71]

Für einen Abschlussprüfer muss feststehen, welche Risiken auf den Prozessebenen bestehen. Dabei sind die Unternehmensziele, Prozesse, Risiken und Prüfungsrisiken in Zusammenhang zu bringen. Bei einer Prüfung ist festzustellen, ob die Geschäftsprozesse einer realen Abwicklung im Unternehmen entsprechen.[72]

Die Literaturrecherche zeigt, dass die Dokumentation von Risiken und Kontrollen in Verbindung mit den Geschäftsprozessen notwendig und zugleich ein integraler Bestandteil des internen Kontrollsystems ist.

3.1.3.3 Detaillierungsgrad dieser prozessbezogenen IKS-Dokumentation

Es gibt viele allgemeine Aussagen über die Detaillierungsgrade einer IKS-Dokumentation, wobei weder konkret darauf eingegangen wird, noch wie genau eine Strukturierung- Detaillierungsebene- oder Hierarchieebene aussehen könnte.

Die Dokumentationstiefe und der steigende Detaillierungsgrad der dokumentierten Sachverhalte erhöhen den laufenden Aufwand und damit die Anzahl der mitwirkenden Mitarbeiter.[73]

Anhand des Top-down Ansatzes, werden ausgehend der höchsten Aggregationsstufe, die Prozesse mit zunehmendem Detaillierungsgrad in seine Sub-Prozesse zerlegt. Dabei ist eine Strukturierung nach Management- Kern- und Unterstützungsprozessen vorteilhaft. Die so entstehenden Hierarchiestufen, sollen dabei bis auf den notwendigen Grad konkretisiert werden. Der Detaillierungsgrad eines Prozesses hängt auch von seiner Signifikanz für das Ziel ab. Die Signifikanz selbst ist wiederum durch das jeweilige Risiko bestimmt.[74]

Grundsätzlich ist ein hoher Dokumentationsgrad ein Erfolgsfaktor für ein effektives und effizientes IKS. Der optimale Dokumentationsgrad richtet sich nach den jeweiligen Anforderungen. Wenn der Fokus ausschließlich auf eine hohe Qualität in der Dokumentation gelegt wird, führt dies zu unnötigem Mehraufwand und Mehrkosten.[75]

Die Gestaltung der internen Kontrollen ergibt sich aus den unterschiedlichen Anforderungen, welche abhängig der Unternehmensgröße und -komplexität ist.[76]

Aus der durchgeführten Literaturrecherche kann ausgesagt werden, dass viele allgemeine Aussagen über die Detaillierungsgrade einer IKS-Dokumentation vorherrschen. Jedoch wird weder konkret darauf eingegangen, noch beschrieben, wie genau eine Strukturierungs- Detaillierungsebene- oder Hierarchieebene aussehen könnte.

3.1.3.4 Standardisierung von IKS-Dokumentationen

Innerhalb des internen Kontrollsystems bedarf es einer einheitlichen Dokumentation der wesentlichen Prozesse und Kontrollen. Hierzu ist ein Definieren eines Standards unumgänglich.[77]

Stark uneinheitliche, lückenhafte oder übermäßig aufwendige Dokumentationen, führen häufig auf den Umfang und die Komplexität einer Dokumentation samt der Verwendung von ungeeigneter Software zurück. Dabei soll eine effiziente Dokumentation die transparente Darstellung von Prozessen ermöglichen. Eine Standardisierung mit transparenten Strukturen und eine Harmonisierung der Prozesse schaffen einen nachhaltigen Mehrwert für das Unternehmen. Durch eine verstärkte Standardisierung kann eine Optimierung der Dokumentation, Zahl der Prozesse und Kontrollen erzielt werden.[78]

3.1.3.5 Bestehende Studien über die umgesetzte Praxis des IKS

Drei Studien klären über die umgesetzte Praxis in Österreich, Deutschland und der Schweiz auf, worüber Schlüsse über die angewandten Standards und Methoden zur IKS-Dokumentation gezogen werden können.

1. IKS - Interne Kontrollsysteme nach der 8. EU-Richtlinie [79]
2. Interne Kontrolle in der Schweizer Praxis [80]
3. Interne Kontrollsysteme in Österreich, Studie über den Ist-Zustand und die Entwicklungsschwerpunkte von internen Kontrollsystemen (IKS) in österreichischen Unternehmen [81]

3.1.3.5.1 Interne Kontrollsysteme in Österreich, Studie über den Ist-Zustand und die Entwicklungsschwerpunkte von internen Kontrollsystemen (IKS) in österreichischen Unternehmen

In dieser Studie der PricewaterhouseCoppers, wurden 38 österreichische Top-Unternehmen mit einem jährlichen Umsatz von mindestens 50 Mio. Euro zur aktuellen Ausgestaltung eines IKS befragt. Die Studie besagt, dass ein großes Optimierungspotenzial im IKS für Prozessverständnis von Mitarbeitern und Führungskräften gibt (37%). Um diese Situation verbessern zu können, eignet sich am besten eine übersichtliche Dokumentation von Prozessen, zusammen mit Risiken und Kontrollen zur Förderung des Prozessverständnisses. Eine weitere Aussage betrifft das fehlende, systematische Vorgehen bei der Identifizierung und Zuordnung aller Risiken und Kontrollen (66%) und eine fehlende angemessene IKS-Dokumentation (55%). 60% der befragten Unternehmen besitzen keinen Prozess zur regelmäßigen Analyse und Aktualisierung ihrer Risiko- und Prozessbewertung. Ein ungenügender Zustand betrifft auch die Dokumentation von Prozessen. Ein festgelegtes Vorgehen zur Dokumentation von Prozessen und Kontrollen ist entweder nicht oder lediglich in einem solchen Ausmaß vorhanden, dass die Genauigkeit der Dokumentation im Verhältnis zum inhärenten Risiko und zu Compliance-Anforderungen unzureichend ist (55%). Bei knapp drei Viertel der befragten Unternehmen erfolgt keine standardisierte Aktualisierung der Dokumentation aufgrund von Änderungen.[82]

3.1.3.5.2 Interne Kontrolle in der Schweizer Praxis

In dieser Studie der KPMG, haben 292 Schweizer Unternehmen an einer Umfrage teilgenommen. Als Basis zur Identifikation der Untersuchungsobjekte dienten die 1000 umsatzstärksten Unternehmen in der Schweiz. Die Studie besagt unter anderem, dass in vielen Unternehmen eine Änderung der Dokumentation (interne Kontrolle, Geschäftsprozess) erfahrungsgemäß reaktiv und nicht standardisiert erfolgt (39%). Dabei wird eine Optimierung der Geschäftsprozesse als ein wichtiger Grund zur Schwachstellenbekämpfung betrachtet (88%). In zusammengefassten 35% der befragten Unternehmen herrscht eine mangelnde Transparenz über Kontrollaktivitäten vor. Grundsätzlich wird als konkreter Handlungsbedarf angemerkt, dass innerhalb der Unternehmen die Prozesse und Kontrollen besser dokumentiert werden sollen.[83]

3.1.3.5.3 IKS - Interne Kontrollsysteme nach der 8. EU-Richtlinie

In dieser Studie der Detecon, wurden 20 ausgewählte Unternehmen aus sechs verschiedenen Branchen in Deutschland und Österreich in Form von persönlichen Interviews befragt. Deutliche Schwächen zeigen sich bei dem Dokumentationsgrad. Es verfügen 29% der Unternehmen über einen hohen Dokumentationsgrad. Darüber hinaus werden oft keine Standards für die Dokumentation definiert. Nur wenige Unternehmen haben die Prozesse konzernweit harmonisiert und standardisiert. Somit ist die Dokumentation in den meisten Unternehmen uneinheitlich bzw. der Standardisierungsgrad relativ gering. Zusammenfassend gibt es große Optimierungspotenziale bei der Harmonisierung und Standardisierung der Prozesse mit deren Dokumentation. Die Studie zeigt auch, dass ein hoher Dokumentationsgrad ein Erfolgsfaktor für ein effektives und effizientes IKS ist.[84]

3.1.3.5.4 Zusammenfassung der Studien zur umgesetzten Praxis in Österreich, Deutschland und der Schweiz

Zusammenfassend kann folgendes aus den Studien festgehalten werden. Alle drei Studien zeigen ein ähnliches Bild auf, indem Mängel im Vorgehen und der standardisierten Dokumentation von Prozessen und Kontrollen vorherrschen.

Jedes Unternehmen besitzt interne Kontroll- und Steuerungsmaßnahmen, jedoch verfügen nur einige über ein systemisches, dokumentiertes IKS. Wo doch das IKS zu den wichtigsten Führungsinstrumenten eines Unternehmens gehört. Prozesse, Risiken und Kontrollen müssen ausreichend dokumentiert, beurteilt und nachhaltig umgesetzt werden. Alle drei Studien zeigen inhaltlich gleichbedeutend einen klaren Handlungsbedarf auf. Dabei gibt es deutliche Schwächen im Dokumentationsgrad, bei der Bestimmung der Verantwortlichkeiten, bei der Definition von klaren Standards und Richtlinien für die Dokumentation, bei der konzerneinheitlichen Standardisierung und Harmonisierung der Geschäftsprozesse und im erforderlichen Prozessverständnis von Mitarbeitern und Führungskräften. Speziell bei der Genauigkeit der Dokumentation im Verhältnis zu inhärenten Risiken und zu Compliance Anforderungen, wird ein ungenügender Zustand festgestellt. Ebenso zeigt eine standardisierte Steuerung und Aktualisierung der Dokumentation, mit Auswirkung auf die Risiko- und Kontrolllandschaft, Potenziale zur Verbesserung auf.[85]

3.1.4 Risikomanagement und dessen Abgrenzung zum IKS

3.1.4.1 Definition und Ziel des Risikomanagements

Was das Risikomanagement beinhaltet und wie grundsätzlich mit Risiken umgegangen werden soll, wird nachstehend erläutert.

Abbildung in dieser Leseprobe nicht enthalten

Tabelle 6: Definitionen über das Risikomanagement

Quelle: eigene Darstellung

Zusammenfassend lassen sich die Auslegungen der Autoren über das Risikomanagement auf den Umgang mit Unternehmensrisiken beschreiben.

3.1.4.2 Differenzierung von Risikomanagement und IKS

Der Kern des Risikomanagements ist zwangsläufig die Unsicherheit bzw. der Zufall. Das Risiko kann ohne mathematisch -statistische Methoden nicht seriös beschrieben und analysiert werden. Hierfür dienen verschiedene quantitativen Methoden zur Steuerung von Risiken. Das Risikomanagement ermöglicht, eine rational begründete Entscheidung zum Umgang mit Risiken zu treffen.[91]

Eine eindeutige Abgrenzung zwischen dem IKS und dem Risikomanagement ist aufgrund fehlender einheitlicher Definition der Begriffe nicht möglich. Im Rahmen der beiden Managementsysteme gibt es inhaltliche Überschneidungen und Wechselbeziehungen. Dem Risikomanagement kann man schwerpunktmäßig eine strategische Orientierung zusprechen und dem IKS eine operativ, prozessorientierte. Dabei stehen beim Risikomanagement die Risikopolitik, ein Früherkennungssystem und die Risikomanagement-Maßnahmen im Vordergrund. Im Gegensatz dazu, stellen im IKS die Regelungen/Richtlinien, die Kontrollmechanismen und die Geschäftsprozesse samt Prozessverantwortlichkeiten, den Kern dar. Das Risikomanagement wird oft dem Controlling zugeordnet und das IKS dem Rechnungswesen.[92]

Eine weitere Differenzierung bzw. Beschreibung der Schnittstellen dieser beiden Managementsysteme sieht die ÖNORM 49000 für das Risikomanagement vor. Darüber wird im Kapitel 5.1 näher eingegangen.

4 Gesetzliche Rahmenbedingungen

Im Laufe der Jahre entstanden sukzessive Normen und gesetzliche Regelungen zum Themenumfeld Risikomanagement und IKS. Gerade nach Finanzskandalen in verschiedenen zeitlichen Abständen, reagierten die Staaten mit verschärften gesetzlichen Vorschriften.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 1: Entwicklung von Gesetzen, Normen und Standards

Quelle: Spatzierer[93]

In dieser Abbildung wird sehr gut dargestellt, welche gesetzliche Rahmenbedingung und Normen als Reaktion der Wirtschaftsskandale geschaffen wurden. Als eines der einflussreichsten Reaktionen kann der amerikanische Gesetzesbeschluss des Sarbanes-Oxley Acts (SOX) aufgrund des Enron und Worldcom Skandales betrachtet werden. Auch kann der Grafik entnommen werden, dass stetig neue Rahmenbedingungen geschaffen wurden, aber keine Vorschrift komplett entfiel oder zumindest mehrere Vorschriften auf eine neue konsolidiert wurde.

In diesem Kapitel wird speziell auf die gesetzlichen Rahmenbedingungen eingegangen. Zum Teil werden direkte Gesetzestexte zitiert um zu begründen, dass eine Etablierung eines internen Kontrollsystems in Unternehmen vorzusehen ist.

Die grundlegenden Normen und Standards rund um das IKS werden im weiterführenden Kapitel 5 beschrieben.

4.1 IKS in Österreich

Durch die Implementierung eines internen Kontrollsystems wird die Effektivität und Effizienz im Unternehmen nachhaltig gesteigert. Diese Compliance-Anforderungen sind im Unternehmensrechtsänderungsgesetzes 2008 (URÄG) verankert.[94]

Die ausdrückliche Verpflichtung zur Führung eines IKS sind im Gesellschaftsrecht § 82 Aktiengesetz und § 22 GmbH-Gesetz zu finden. Vormals war dies im Insolvenzrechtsänderungsgesetz (IRÄG) von 1997 etabliert.[95]

Die Aufgabe der gesetzlichen Verpflichtung besteht

- in der Sicherung und im Schutz des vorhandenen Vermögens,
- in der Gewinnung genauer, zeitnaher und aussagekräftiger Aufzeichnungen,
- in der darauf aufbauenden Förderung der betrieblichen Effizienz,
- in der Unterstützung der Unternehmenspolitik und Zielerreichung.[96]

In der Folge werden unterschiedliche österreichische Gesetzesquellen genauer dargestellt.

4.1.1 Aktiengesetz

Im Aktiengesetz (AktG) finden sich zum IKS folgende gesetzliche Regelungen:

§ 82 sieht vor, dass der Vorstand dafür zu sorgen hat, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen.[97]

§ 92 Abs. 4a schreibt vor, dass ein börsennotiertes Unternehmen die Verpflichtung hat einen Prüfungssauschuss einzurichten. Zu den Aufgaben des Prüfungsausschusses gehören:

- die Überwachung des Rechnungslegungsprozesses,
- die Überwachung der Wirksamkeit des internen Kontrollsystems, gegebenenfalls des internen Revisionssystems, und des Risikomanagementsystems der Gesellschaft,
- die Überwachung der Abschlussprüfung und der Konzernabschlussprüfung.[98]

4.1.2 GmbH-Gesetz

Im GmbH-Gesetz (GmbHG) sind folgende gesetzliche Regelungen festgeschrieben:

§ 22 (1) hält fest, dass die Geschäftsführung dafür zu sorgen hat, dass ein Rechnungswesen und ein internes Kontrollsystem geführt werden, die den Anforderungen des Unternehmens entsprechen.[99]

4.1.3 Unternehmensgesetzbuch

Im Unternehmensgesetzbuch (UGB) ist das IKS folgend geregelt:

§ 243a Abs. 2: „Eine Gesellschaft, deren Aktien oder andere von ihr ausgegebene Wertpapiere zum Handel auf einem geregelten Markt im Sinne des § 1 Abs. 2 BörseG zugelassen sind, hat im Lagebericht darüber hinaus die wichtigsten Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben.“[100]

§ 273 Abs. 2: „Stellt der Abschlussprüfer bei Wahrnehmung seiner Aufgaben Tatsachen fest, die den Bestand des geprüften Unternehmens oder Konzerns gefährden oder seine Entwicklung wesentlich beeinträchtigen können oder die schwerwiegende Verstöße der gesetzlichen Vertreter oder von Arbeitnehmern gegen Gesetz, Gesellschaftsvertrag oder Satzung erkennen lassen, so hat er darüber unverzüglich zu berichten.“[101]

4.1.4 Corporate Governance Kodex

Der österreichische Corporate Governance Kodex beinhaltet im Wesentlichen die

- Einrichtung einer internen Revisionsstelle
- Prüfung der Risikomanagement-, Überwachungs- und Kontrollsysteme
- jährliche Berichterstattung an den Bilanzausschuss
- Risikoberichterstattung
- Anforderung: im Anhang zum Jahresabschluss
- Risiken der Finanzinstrumente im Anhang zum Jahresabschluss
- Prüfung des Risikomanagements
- Qualitätskontrolle zur Wirtschaftsprüferleistung[102]

4.1.5 IT-Kontrollumfeld des IKS

Die Kammer der Wirtschaftstreuhänder beschreibt in der KFS-DV1 über die ordnungsmäßige IT-Buchführung. Darin wird die Etablierung eines angemessenen internen Kontrollsystems (IKS) verlangt. Dabei wird auf die entsprechenden Regelungen des § 82 AktG bzw. § 22 Abs. 1 GmbHG sowie das Fachgutachten KFS/PG 1 „Durchführung von Abschlussprüfungen“ verwiesen. Dazu zählen:

- IT-Kontrollumfeld: Die IT muss im Kontrollumfeld berücksichtigt werden, indem ausgestaltete Kontrollmaßnahmen als Voraussetzung für eine ordnungsmäßige IT-Buchführung sind.
- Generelle IT-Kontrollen: Kontrollen bezüglich der ordnungsmäßigen Verwendung einer IT-Buchführung.
- Anwendungskontrollen: automatisierte Kontrollen in den Geschäftsprozessen.[103]

4.1.6 Sonstige und branchenspezifische gesetzliche Regelungen

Im Privatisierungsgesetz (§ 28 Abs. 3 Bundesstatistikgesetz, § 8 Buchhaltungsagenturgesetz) wird eine Führung eines IKS durch die zur Besorgung der Geschäfte berufenen organschaftlichen Vertreter geregelt. Im Bankwesengesetz (BWG) § 39 Abs. 2, im Investmentfondgesetz (InvFG) § 2 Abs. 12 Z 1, im Versicherungsaufsichtsgesetz (VAG) §17b Abs. 4, im Wertpapieraufsichtsgesetz (WAG) §§ 16 Z 3 und 18, im Wirtschaftstreuhänderberufgesetz § 171 Abs. 2 wird ebenso geregelt, dass grundsätzlich ein Kontrollverfahren einzurichten ist.[104]

4.2 IKS in der Schweiz

Das interne Kontrollsystem ist für den öffentlichen Sektor im Schweizer eidgenössischen Finanzhaushaltsgesetz FHG (SR 611.0) verankert. Im Art. 12 werden der Bundesrat und die Verwaltung angehalten, mit dem Bundeshaushalt nach den Grundsätzen der Gesetzmäßigkeit, der Dringlichkeit und der Sparsamkeit umzugehen. Im Art. 39 wird die interne Kontrolle verankert, indem der Schutz des Vermögens, die zweckmäßige Verwendung der Mittel, die ordnungsgemäße Rechnungsführung und -legung gewährleistet werden muss. Die Weisungen und Verantwortlichkeiten werden gesondert in der Finanzhaushaltsverordnung (SR 611.01) festgehalten. So werden im Risikomanagement Art. 50 (Konnex zum Art. 39 FHG) die Risiken von den Departementen und der Bundeskanzlei in ihren Zuständigkeitsbereichen nach den Weisungen des Bundesrates bewirtschaftet. Ebenso wird das interne Kontrollsystem Art. 36 (Konnex zum Art. 39 FHG) von den Direktoren und Direktorinnen der Verwaltungseinheiten für die Einführung, den Einsatz und die Überwachung des Kontrollsystems in ihrem Zuständigkeitsbereichen verantwortet.[105]

Im Obligationenrecht OR 728a wird festgehalten, dass ein Existieren eines IKS durch die Wirtschaftsprüfer überprüft werden muss (seit Jahresrechnung 2008). Die Corporate Governance Richtlinie (RLCG) der SWX verpflichtet den Verwaltungsrat einer Einrichtung von Informations- und Kontrollinstrumenten zur internen Kontrolle. Der Verwaltungsrat entspricht im österreichischen und deutschen Verständnis einem Aufsichtsrat. Der „Swiss Code of Best Practice for Corporate Governance“ (SCBP) beinhaltet Empfehlungen über diverse gestaltende und überwachende Aufgaben samt Verantwortlichkeiten hinsichtlich der internen Kontrolle. Die gesetzliche Vorgabe zur Einrichtung eines Risikomanagement- und Überwachungssystems besteht derzeit nur für Banken, Effektenhändlern und teilweise für Versicherungen. Der Swiss Code empfiehlt hingegen die Einrichtung dessen für alle Publikumsgesellschaften (Aktiengesellschaften und Gesellschaften mit beschränkter Haftung).[106]

4.3 IKS in Deutschland

Eine Reihe von handels- und steuerrechtlichen, branchenspezifischen und gesonderten Vorschriften regelt ein IKS. Dazu zählen u.a. HGB, AktG, GmbHG, KontraG, BilMoG, TransPuG, MaRisk usw. Ähnlich der österreichischen Regelung KFS-DV1 über die IT-Buchführung, wird eine ordnungsgemäße DV-gestützte Buchführung in der GoBS (Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme) festgelegt.[107]

4.3.1 Aktiengesetz

Im Aktiengesetz (AktG) ist im § 91 Abs. 2 ein Überwachungssystem, welches gefährdende Entwicklungen erkennen kann, vorgeschrieben.

4.3.2 Kreditwesengesetz

Im Kreditwesengesetz (KWG) ist im § 25a das interne Kontrollsystem für Kreditinstitute und im § 1 für Finanzdienstleistungsinstitute verankert, welches u.a. Verantwortlichkeiten und Prozesse zur Identifizierung, Beurteilung, Steuerung, sowie Überwachung und Kommunikation der Risiken vorgibt.

4.3.3 IT-Kontrollumfeld des IKS

In der GoBS wird die Ausgestaltung ordnungsgemäßer DV-gestützter Buchführung behandelt.

4.3.4 Mindestanforderungen an das Risikomanagement

Mit der MaRisk werden Mindestanforderungen an das Risikomanagement mittels Rundschreiben von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) an Institutionen wie Banken, Versicherungsgesellschaften und Investmentgesellschaften gerichtet, in dieser auch Vorgaben zum IKS enthalten sind.

4.3.5 Artikelgesetz KontraG

Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG) wurde als eigenständiges Gesetzeswerk vom deutschen Bundestag 1998 erlassen. Es beinhaltet ein Corporate Governance, indem Vorstand, Aufsichtsrat und Wirtschaftsprüfer eine Haftung übernehmen. Zudem wird eine Risikodarstellung im Lagebericht und die Etablierung eines Früherkennungssystems für Risiken vorgeschrieben (§ 91 Abs. 2 AktG).[108]

4.4 IKS in UK

Am 1. Juli 2011 ist mit dem UK Bribery Act (UKBA) ein neues Antikorruptionsgesetz in Kraft getreten. Im Wesentlichen sollen dadurch Bestechung und Bestechlichkeit verhindert werden. Diese gesetzliche Maßnahme gilt für alle Unternehmen, welche in Großbritannien geschäftlich tätig sind. Bei einem Verstoß können die Sanktionen von Geldstrafen in unbegrenzter Höhe bis zu Haftstrafen reichen.

Im Turnbull-Report on Internal Control der London Stock Exchange wird ähnlich ein IKS hervorgehoben. Hierbei werden nicht nur Anforderungen an das Unternehmen sondern auch die Verantwortlichkeiten geregelt.

4.5 IKS in der Europäische Union (EU)

4.5.1 8. EU-Richtlinie

Als Antwort auf den im Jahr 2002 in den USA verabschiedeten Sarbanes-Oxley Acts, reagierte die EU 4 Jahre später mit Reformierungen der EU-Richtlinien. In der 4., 7. und 8. EU-Richtlinie wurden umfangreiche Corporate Governance- und Compliance Auflagen erlassen. Speziell die, seit 1984 gültige, 8. EU-Richtlinie (Abschlussprüferrichtlinie) erfuhr durch die Reformierung wesentliche Verbesserungen. Diese beinhalten eine verstärkte Überwachung und Wirksamkeit interner Kontroll-, Revisions- und Risikomanagementsysteme. Im Rahmen der Umsetzung müssen Instrumente eines eingerichteten Audit Committee, ein Enterprise Risk Management System, eine transparente Berichterstattung und ein funktionierendes IKS eingesetzt werden. Die EU-Richtlinien erschaffen damit europaweit einheitliche Systeme vergleichbarer Wirksamkeit. Die EU-Richtlinien werden in Deutschland im Rahmen des Bilanzmodernisierungsgesetzes 2009 (BilMoG) und in Österreich durch das Unternehmensrechtsänderungsgesetzes 2008 (URÄG) umgesetzt.[109]

Die Maßnahmen der 8. EU-Richtlinie in Bezug auf die Stärkung der Abschlussprüfung beinhalten: Anwendung internationaler Prüfungsgrundsätze, öffentliche Aufsicht über den Abschlussprüferberuf, Corporate Governance hinsichtlich der Abschlussprüfung und die Unabhängigkeit des Abschlussprüfers. Die Maßnahmen der 8. EU-Richtlinie in Bezug auf die Corporate Governance-Initiativen betreffen: Einführung einer jährlichen Corporate Governance-Erklärung, Schaffung eines gesetzlichen Rahmens zur Stärkung der Aktionärsrechte, Förderung der Rolle (unabhängiger) nicht geschäftsführender Vorstandsmitglieder bzw. Aufsichtsräte, Erhöhung der Transparenz für Aktionäre und die Einrichtung eines europäischen Corporate Governance-Forums.[110]

In folgender Abbildung werden die wesentlichen Einflüsse der 8. EU-Richtlinie in die deutsche und österreichische Gesetzgebung gegenübergestellt.

Abbildung in dieser Leseprobe nicht enthalten

Abbildung 2: Eckpunkte der 8. EU-Richtlinie in Österreich und Deutschland

Quelle: Detecon Consulting[111]

Schlussfolgernd lässt sich darstellen, dass sich die von der 8. EU-Richtlinie ableitenden Maßnahmen in der österreichischen und deutschen Gesetzgebung mit der Definition des Kontroll- und Risikomanagements und der Unabhängigkeit des Wirtschaftsprüfers decken. Lediglich wird in Deutschland die Verantwortlichkeiten des Aufsichtsrates geregelt, wo hingegen in Österreich die Zuständigkeit des Prüfungsausschusses festgehalten werden. Einzig wird im österreichischen Gesetz eine Darstellung von Geschäftstätigkeiten mit nahestehenden Unternehmen/Personen und die Darstellung der Aufwendungen für den Abschlussprüfer verlangt.

Der Nutzen dieser 8. EU-Richtlinie liegt grundsätzlich darin, die Transparenz der Unternehmen zu erhöhen, um das Vertrauen der Anleger sicherzustellen.

Dies wird durch die Forderung eines unabhängigen Prüfungsausschuss und durch die Etablierung eines neutralen Qualitätssicherungssystems unterstrichen.[112]

4.5.2 Basel II & III

In der Verordnung Basel II und weiterführend in Basel III werden Regeln für alle Kreditinstitute und Finanzdienstleistungsinstitute innerhalb der EU vorgeschrieben. Dabei wird festgelegt, wie Finanzinstitute zukünftig ihre Risiken mit Eigenkapital hinterlegen sollen. Es wird nach Kredit-, Markt- und operationellen Risiken unterschieden.[113]

4.5.3 Solvency II

Solvency beinhaltet die grundlegende Reform des Versicherungsaufsichtsrechts für Europa. Im Wesentlichen werden Solvabilitätsvorschriften der Eigenmittelausstattung für Versicherungsunternehmen behandelt.[114]

4.6 IKS in den USA (SOX)

Im Juli 2002 wurde als Reaktion auf die Finanzskandale bei Enron und Worldcom vom US Kongress der Sarbanes-Oxley Act (SOX) verabschiedet. Mit Hilfe von SOX soll das Vertrauen der Anleger und der Öffentlichkeit in die Finanzberichterstattung und Rechnungslegung wiederhergestellt, eine Transparenz in den Bilanzierungsvorgang geschaffen und das Corporate Governance System reformiert werden. Jedes Unternehmen, welches direkt oder indirekt an der New York Stock Exchange Börse notiert, unterliegt diesem Gesetz. Dieses Reglement trifft auch alle Beteiligungen und Tochtergesellschaften, deren Muttergesellschaft an der New York Stock Exchange Börse notiert. Die Einrichtung eines Audit Committees und eines Code of Ethics sind Bestandteil der SOX-Vorschriften.[115]

Als Audit Committee wird eine ausreichende Überwachung des Managements durch einen kompetenten, informierten, aktiven Aufsichtsrat bzw. eines Audit Committees zur Überwachung der Führung und Prüfung eines effektiven IKS verstanden.

[...]


[1] Vgl. Paschke, Krzysztof (2011, S. 257).

[2] Vgl. Detecon (2010, S. 6).

[3] Vgl. Detecon (2010, S. 4f).

[4] Vgl. Wagner Karl W., Patzak Gerold (2007, S. 357).

[5] Vgl. Menzies, Christof (2004, S. 153).

[6] Vgl. Trambo Uwe, Müller Martina, Regele Verena, Sontheim Thomas (2010, S. 5f, 24).

[7] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 11).

[8] Allweyer, Thomas (2009, S. 8).

[9] Vgl. Menzies, Christof (2004, S. VI).

[10] Vgl. Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 10, 53).

[11] Schulze Heuling, Birgit und Michael (2004, S. 58).

[12] Vgl. Ministerium für Umwelt und Verkehr Baden-Württemberg (2000, S. 9).

[13] Vgl. Jochem Roland, Mertins Kai, Knothe Thomas (2010, S. 16, 27, 121). Vgl. Ministerium für Umwelt und Verkehr Baden-Württemberg (2000, S. 5ff). Vgl. Wagner Karl Werner, Käfer Roman (2010, S. 125f).

[14] Vgl. Lenz, Günter (2008, S. 17f). Vgl. Jochem Roland, Mertins Kai, Knothe Thomas (2010, S. 575f).

[15] Kaplan Robert S., Norton David P. (2004, S. 359).

[16] Binner, Hartmut F. (2010, S. 380).

[17] Vgl. Binner, Hartmut F. (2010, S. 383).

[18] Vgl. Ahlrichs Frank, Knuppertz Thilo (2010, S. 55).

[19] Vgl. Paschke, Krzysztof (2011, S. 244).

[20] Klinger Michael A., Klinger Oskar (2011, S. 19).

[21] European Association of Business Process Management, (2009, S. 104).

[22] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 38f).

[23] Vgl. Paschke, Krzysztof (2011, S. 137).

[24] Menzies, Christof (2004, S. 126).

[25] Vgl. Paschke, Krzysztof (2011, S. 180).

[26] Klinger Michael A., Klinger Oskar (2000, S. 5).

[27] Vgl. Paschke, Krzysztof (2011, S. 5).

[28] Vgl. Huber, Bernhard M. (2009, S. 1).

[29] Shoshak, Azita (2008, S. 17f).

[30] Vgl. Trambo Uwe, Müller Martina, Regele Verena, Sontheim Thomas (2010, S. 5f, 24).

[31] Vgl. European Association of Business Process Management, (2009, S. 59).

[32] European Association of Business Process Management, (2009, S. 46, 57).

[33] Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 416).

[34] Wagner Karl W., Patzak Gerold (2007, S. 287).

[35] Garimella Karin, Lees Michael, Williams Bruce (2008, S. 13).

[36] Scheer Wilhelm, Jost Wolfram (2002, S. 16).

[37] Shoshak, Azita (2008, S. 1).

[38] Volck, Stefan (1997, S. 66).

[39] Karer, Albert (2007, S. 21).

[40] Steinbuch, Pitter A. (2000, S. 38).

[41] Binner, Hartmut F. (2010, S. 118).

[42] Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 133f).

[43] Vgl. Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 212).

[44] Fischermanns, Guido (2010, S. 92).

[45] Vgl. Gareis Roland, Stummer Michael (2007, S. 117).

[46] Jochem Roland, Mertins Kai, Knothe Thomas (2010, S. 235).

[47] Paschke, Krzysztof (2011, S. 104).

[48] Bräkling Elmar, Oidtmann Klaus (2006, S. 58).

[49] Bräkling Elmar, Oidtmann Klaus (2006, S. 62).

[50] Vgl. Wagner Karl Werner, Käfer Roman (2010, S. 53).

[51] Bergsmann, Stefan (2012, S. 98).

[52] Karer, Albert (2007, S. 42).

[53] Wagner Karl W., Patzak Gerold (2007, S. 17).

[54] Becker Jörg, Kugeler Martin, Rosemann Michael (2008, S. 198).

[55] Josuttis, Nicolai (2009, S. 106).

[56] Paschke, Krzysztof (2011, S. 122).

[57] Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 198).

[58] Osterloh Margit, Frost Jetta (2003, S. 188).

[59] Ahlrichs Frank, Knuppertz Thilo (2010, S. 61).

[60] Vgl. Helfrich, Christian (2001, S. 107).

[61] IIA, Institut für Interne Revision Österreich (2004, S. 18).

[62] Menzies, Christof (2004, S. 74).

[63] Paschke, Krzysztof (2011, S. 17).

[64] Klinger Michael A., Klinger Oskar (2011, S. 17, 25).

[65] Vgl. Schmidt, Felix (2008, S. 14).

[66] Detecon (2010, S. 4).

[67] Vgl. Braunschweiler, Markus (17/11/2011, S. 24).

[68] Vgl. Paschke, Krzysztof (2011, S. 17).

[69] Vgl. Paschke, Krzysztof (2011, S. 39, 41f, 47, 59).

[70] Vgl. Menzies, Christof (2004, S. 78, 107, 165f).

[71] Vgl. Schmidt, Felix (2008, S. 7).

[72] Vgl. Üstündag-Suchanow, Irina (2005, S. 5).

[73] Vgl. Paschke, Krzysztof (2011, S. 49).

[74] Vgl. Menzies, Christof (2004, S. 153f, 211, 213).

[75] Vgl. Detecon (2010, S. 5,18).

[76] Vgl. KPMG, Universität Zürich, KPMG Audit Committee Institute (2005, S. 39).

[77] Vgl. Menzies, Christof (2004, S. 47, 161).

[78] Vgl. Detecon (2010, S. 4f).

[79] Detecon (2010).

[80] KPMG, Universität Zürich, KPMG Audit Committee Institute (2005).

[81] PwC PricewaterhouseCoppers - FH Campus 02 (2009).

[82] Vgl. PwC PricewaterhouseCoppers - FH Campus 02 (2009, S. 9, 17f, 21ff, 25).

[83] Vgl. KPMG, Universität Zürich, KPMG Audit Committee Institute (2005, S. 5, 64f, 75).

[84] Vgl. Detecon (2010, S. 6, 12, 17f, 29).

[85] Vgl. Detecon (2010, S. 12, 17). Vgl. PwC PricewaterhouseCoppers - FH Campus 02 (2009, S. 6f, 23, 25). Vgl. KPMG, Universität Zürich, KPMG Audit Committee Institute (2005, S. 10, 64f, 75).

[86] Finke, Robert (2005, S. 23).

[87] Schmelzer Hermann J., Sesselmann Wolfgang (2010, S. 352).

[88] Ahlrichs Frank, Knuppertz Thilo (2010, S. 99).

[89] Schulze Heuling, Birgit und Michael (2004, S. 235).

[90] IIA, Institut für Interne Revision Österreich (2004, S. 23).

[91] Vgl. Finke, Robert (2005, S. 14).

[92] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 19f).

[93] Spatzierer, Klaus (2012, S. 10).

[94] Vgl. PwC PricewaterhouseCoppers - FH Campus 02 (2009, S. 6). Vgl. Klinger Michael A., Klinger Oskar (2011, S. 15f).

[95] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 11).

[96] Vgl. Klinger Michael A., Klinger Oskar (2000, S. 18).

[97] Vgl. Bundeskanzleramt, (2012, S. AktG § 82 ). Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 11).

[98] Vgl. Bundeskanzleramt, (2012, S. AktG § 92 Abs. 4a ).

[99] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 11).

[100] Bundeskanzleramt, (2012, S. UGB § 243a Abs. 2).

[101] Bundeskanzleramt, (2012, S. UGB § 273 Abs. 2).

[102] Vgl. Österreichischer Arbeitskreis für Corporate Governance (01/2012, S. 20ff).

[103] Vgl. Fachsenat für Datenverarbeitung der Kammer der Wirtschaftstreuhänder (2011, S. 9f).

[104] Vgl. IIA, Institut für Interne Revision Österreich (2004, S. 11f).

[105] Vgl. Eidgenössische schweizer Finanzkontrolle (2007, S. 4ff).

[106] Vgl. KPMG (2009, S. 10, 29, 68f).

[107] Vgl. Paschke, Krzysztof (2011, S. 17, 20f).

[108] Vgl. Menzies, Christof (2004, S. 39). Vgl. Gietl Gerhard, Lobinger Werner (2006, S. 11f). Vgl. Zinner, Carsten (2000, S. 3f).

[109] Vgl. Detecon (2010, S. 9).

[110] Vgl. Menzies, Christof (2004, S. 28f).

[111] Detecon (2010, S. 9).

[112] Vgl. Yildiz, Alper (2006, S. 4f).

[113] Vgl. Spatzierer, Klaus (2012, S. 17).

[114] Vgl. Spatzierer, Klaus (2012, S. 16).

[115] Vgl. Karer, Albert (2007, S. 2). Vgl. Scheer Wilhelm, Kruppke Helmut, Jost Wolfram, Kindermann Herbert (2006, S. 147). Vgl. European Association of Business Process Management, (2009, S. 143). Vgl. Gietl Gerhard, Lobinger Werner (2006, S. 14). Vgl. Ahlrichs Frank, Knuppertz Thilo (2010, S. 55, 83). Vgl. Paschke, Krzysztof (2011, S. 23f).

Ende der Leseprobe aus 177 Seiten

Details

Titel
Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen (IKS)
Untertitel
Systematische Darstellung als Orientierung für die praktische Anwendung
Hochschule
Donau-Universität Krems - Universität für Weiterbildung
Veranstaltung
integrierte Managementsysteme
Note
Auszeichnung
Autor
Jahr
2012
Seiten
177
Katalognummer
V210253
ISBN (eBook)
9783656377955
ISBN (Buch)
9783656380047
Dateigröße
3771 KB
Sprache
Deutsch
Anmerkungen
Feedback vom Betreuer des Lehrganges: + Sehr, sehr gute und interessante Arbeit + sehr, sehr guter und logischer Aufbau mit schlüssigem Gesamtkonzept! + und eine relevante Forschungsfrage mit + einem genialen „Premo“ Modell mit allen Inhalten als Antwort Ich gratuliere Ihnen zu dieser Arbeit!!
Schlagworte
IKS, IMS, integrierte Managementsysteme Prozesse, Prozessmanagement, Prozessdokumentation Methode, Standard, Prozess Ebenenmodell, Modellierung
Arbeit zitieren
MBA, MSc Franz Ringswirth (Autor:in), 2012, Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen (IKS), München, GRIN Verlag, https://www.grin.com/document/210253

Kommentare

  • Noch keine Kommentare.
Blick ins Buch
Titel: Entwicklung einer generischen Methode zur standardisierten Geschäftsprozessmodellierung von internen Kontrollsystemen (IKS)



Ihre Arbeit hochladen

Ihre Hausarbeit / Abschlussarbeit:

- Publikation als eBook und Buch
- Hohes Honorar auf die Verkäufe
- Für Sie komplett kostenlos – mit ISBN
- Es dauert nur 5 Minuten
- Jede Arbeit findet Leser

Kostenlos Autor werden