Hier finden Sie Dokumente zum Thema Risk Management (RM) im öffentlichen Sektor.

Risikomanagement im öffentlichen Sektor

Hier finden Sie Dokumente zum Thema interne Kontrollsysteme.

Übersicht Interne Kontrollsysteme
Hier finden Sie weitere Studien und Dokumente zu den Themen Risk Management und interne Kontrollsysteme

Hier finden sie Standars und Grundlagenpapiere rund um die Themen Risk Management und interne Kontrollsysteme.

Risikoorientierung, Risikodenken und vor allem Risiken erkennen, wird im öffentlichen Sektor je länger je wichtiger.

Gleichzeitig sind der Aufbau von internen Kontrollsystemen (IKS) und Prozessüberprüfungen aktuelle Themen, die innerhalb der Verwaltung diskutiert und bearbeitet werden. Zudem stellen sich beim Bund Fragen mit der Einführung des neuen Rechnungsmodells (NRM), aber auch bei den Kantonen mit der Überarbeitung des jetzigen Rechnungsmodells (HRM 2). Ziel der Veranstaltung ist es, den Verantwortlichen aus Politik und Verwaltung, sei es auf Bundes-, Kantons- oder Gemeindeebene Lösungswege aufzuzeigen und konkrete Beispiele aus der Privatwirtschaft und dem öffentlichen Sektor zu präsentieren und zu diskutieren.

Dokumente zur SGVW Jahrestagung am 20. Juni 2007  im Kursaal Allegro in Bern

 —

Hier finden sie nützliche Links zum Thema Risk Management und interne Kontrollsysteme

Schweiz
Weiterbildung
Internationale Organisationen

Das Risikomanagement deckt nach meinem Verständnis die Risiken auf Organisations- oder Unternehmensebene ab. Das sind dann eher strategische, übergeordnete Risiken.

Herr Pfyffer, Sie beschäftigen sich schon seit einiger Zeit mit internen Kontrollsystemen und Risikomanagement. Welches sind die häufigsten Fehler, die Ihnen begegnet sind?

Wir stellen oft fest, dass Organisationen ihre Prozesse dokumentieren und Kontrollen beschreiben, ohne zuerst ein klares Konzept zu entwickeln. Dabei besteht die Gefahr, dass die Komplexität unterschätzt wird. In einer späteren Phase wird dann festgestellt, dass klare Rahmenbedingungen fehlen und auch die Nachhaltigkeit nicht gewährleistet ist. Es ist deshalb wichtig, methodisch richtig vorzugehen. Zu einer ersten Phase gehört eine Ist-Analyse der bestehenden Systeme, anschliessend die Festlegung eines Rahmenkonzeptes (z.B. COSO Standard) und dann auch die Identifikation der wichtigsten Einheiten und Prozesse (so genanntes Auswahlverfahren). Die Erkenntnisse dieser ersten Phase muss in einem Konzeptpapier zusammengefasst und durch die Leitungsgremien genehmigt werden. Nur dadurch kann die Unterstützung der Leitung gewährleistet werden. Leider ist das auch ein häufig festgestellter Fehler. Ein nur durch eine Fachabteilung unterstütztes Projekt wird fehlschlagen. Es braucht die Unterstützung von ganz oben.

Was ist Ihr Verständnis von Risikomanagement und wie grenzt es sich vom internen Kontrollsystem ab? 

Das Risikomanagement deckt nach meinem Verständnis die Risiken auf Organisations- oder Unternehmensebene ab. Das sind dann eher strategische, übergeordnete Risiken. Das interne Kontrollsystem geht eher in die Tiefe und umfasst die betrieblichen Systeme und Prozesse.

In der Praxis herrscht jedoch vielfach ein Vermischung von Begriffsdefinitionen. Enterprise Risk Management, operatives Riskmanagement, Financial Riskmanagement etc. werden vielfach synonym wenn nicht falsch verwendet. Sinnvollerweise hält man sich an die internationale Definitionen, wie sie im COSO ERM Standard festgehalten werden. Dabei beinhaltet ERM die folgenden Phasen:

  • Analyse internes Umfeld
  • Ziele setzen
  • Ereignis-Identifizierung
  • Risikobeurteilung
  • Reaktion auf Risiken
  • Kontrollmassnahmen
  • Information & Kommunikation
  • Systemüberwachung

Die Interne Kontrolle ist dabei ein Subsystem vom Risikomanagement, setzt bei der Phase „Reaktion auf Risiken“ ein und beinhaltet die Phasen bis zur Systemüberwachung. Die von COSO ERM vorgesehene Integration von Risikomanagement und interner Kontrolle ist aus theoretischer Sicht einleuchtend, führt jedoch in der Praxis in der Regel zu einer (zu) hohen Komplexität. Wir empfehlen deshalb in der Regel, Risikomanagement und Interne Kontrolle als separate Systeme zu betreiben. Jedoch muss trotzdem sichergestellt sein, dass klare Schnittstellen bestehen. Festgestellte Risiken sollten auf jeden Fall in das System „Interne Kontrolle“ einfliessen und entsprechend behandelt werden.

Welche Rahmenbedingungen haben sich verändert, so dass das Thema Risikomanagement zurzeit in aller Munde ist?

Sowohl Risikomanagement wie auch Interne Kontrolle sind nicht Erfindungen dieses Jahrzehnts. Der COSO-Standard für interne Kontrolle gibt es beispielsweise bereits seit 1992. Er wurde aber nicht stark beachtet und fand deshalb kaum Akzeptanz. Im Jahre 2001 gab es in den USA Aufsehen erregende Unternehmenszusammenbrüche – Enron, Worldcom und Tyco sind hierzu die Stichworte. Der amerikanische Gesetzgeber hat dann relativ schnell den Sarbanes-Oxley Act geschaffen, der den Unternehmen eine verstärkte Corporate Governance auferlegt. Ein wesentlicher Bestandteil dieses strafrechtlich relevanten Gesetzes ist die Verpflichtung, dass die Unternehmen ihre Interne Kontrolle standardisieren und dokumentieren müssen. Der Druck der amerikanischen Gesetzgebung einerseits, die Zunahme von Finanzskandalen in Europa und auch in der Schweiz (Parmalat, Ahold, Erb-Gruppe etc) hat dann auch den Gesetzgeber in Europa und in der Schweiz veranlasst, mehr Gewicht auf das Risikomanagement und die Interne Kontrolle zu legen. Ab nächstem Jahr müssen nun die externen Revisionsstellen die Existenz eines Internen Kontrollsystems bestätigen. Parallel zur Entwicklung in der Privatwirtschaft ist das Thema auch im öffentlichen Sektor verstärkt fokussiert worden.

Konkret ist in Artikel 39 des Bundesgesetz über den eidgenössischen Finanzhaushalt die Interne Kontrolle geregelt. 

Wo sehen Sie Schwächen im Risikomanagement des öffentlichen Sektors?

Ich möchte nicht von Schwächen sprechen. Es ist bei allen Organisationen schwierig, ein Risikomanagement einzuführen. Man bearbeitet lieber Visionen, Strategien, Ziele und möchte mögliche negative Ereignisse lieber verdrängen. Es ist deshalb wichtig, dass ein klares Bekenntnis und auch entsprechende Unterstützung der obersten Leitung vorhanden ist. Das heisst konkret, ein Sponsor muss verfügbar sein. Im öffentlichen Sektor sind mir vor allem zwei Punkte aufgefallen: Es fehlt der Wille, Departement übergreifend über Risiken zu sprechen. Diese fehlende Offenheit ist vielleicht politisch bedingt. Im weiteren ist mir aufgefallen, dass Risikomanagement über Anweisungen oder Verordnungen eingeführt wird. Es braucht aber pragmatische Überzeugungsarbeit und gute Kommunikation. Vielfach besteht die Gefahr, dass nach einer ersten erfolgreichen Einführungsphase die Motivation in den folgenden Jahren etwas nachlässt. Da braucht es einen guten Motivator, der auch bei Rückschlägen nicht klein beigibt.

Worin bestehen die Schwierigkeiten, ein funktionierendes internes Kontrollsystem aufzubauen?

Es ist aufwändig, die Prozesse und die Kontrollen zu beschreiben. Gleichzeitig verändern sich Organisationen relativ schnell. So ein System muss deshalb nachhaltig aufgebaut sein. Die Pflege und die Weiterentwicklung ist ein wichtiges Thema und da müssen die Verantwortungen klar zugeordnet werden. Auch der Ausbildungsbedarf ist hoch. Es wird bereits heute viel kontrolliert, jedoch fehlen vielfach die theoretischen Grundlagen. Um das interne Kontrollsystem am Leben zu halten, muss die Funktionsfähigkeit permanent überprüft werden. Eine wichtige Rolle hat hier die Interne Revision.

Wo ist der Nutzen von interner Revision am grössten? Welche Risiken verlangen nach Instrumenten der internen Revision?

Die Interne Revision sollte dort prüfen, wo die Risiken am grössten sind. Eine risikoorientierte Prüfplanung ist deshalb heute unabdingbar. Je nach Organisation kann der Schwerpunkt bei IT-Systemen, Sicherheitsthemen, finanzielle Berichterstattung oder andere Geschäftsprozesse liegen. Eine Interne Revision ist von der Aufgabe her eher betriebswirtschaftlich ausgerichtet und ist deshalb nicht in der Lage, sämtliche Risiken abzudecken. Dafür gibt es jedoch andere Funktionen, die eine ähnliche „Assurance“-Funktion wahrnehmen. Das kann beispielsweise ein Umweltschutzstelle oder auch eine Qualitätskontrolle sein. Wichtig ist es, dass sämtliche Risiken durch eine „Assurance“-Funktion abgedeckt werden.

Woran müssen sich interne Kontrollsysteme orientieren?

Die Struktur von internen Kontrollsystemen sollten sich an einem allgemein akzeptieren Standard ausrichten. Das erlaubt einen einheitlichen Aufbau. Empfehlenswert ist dabei der weltweit bekannte COSO-Standard, der als INTOSAI Internal Control Standard  in einer speziellen Form für den öffentlichen Sektor verfügbar ist. Bei allen Standards ist die Struktur vergleichbar. Auch der Grundsatz „Es muss nur da kontrolliert werden, wo ein Risiko besteht“ ist allgemein gültig. Und Risiken bedingen immer auch ein Ziel. Der Regelkreis Ziele – Risiken – Kontrolle ist das Grundmuster aller internen Kontrollsysteme. Dadurch wird auch die Effizienz sicherstellt und nicht unnötig kontrolliert, was zu unnötigem Ressourcenverbrauch führt.

Was können verschieden Verwaltungen im Bezug auf Risikomanagement und internes Kontrollsystem voneinander lernen?

Der Erfahrungsaustausch zwischen der Verwaltungen ist wichtig. Der methodische Ansatz kann überall angewendet werden. Jede Organisation hat Ziele, die entsprechenden Risiken unterliegen. Risiken sollten kontrolliert werden. Verwaltungen können Best Practices untereinander austauschen. Das kann sein bezüglich Projektmanagement, Form der Kontrollbeschreibungen, Risikokataloge etc. Ein allfällig beigezogener Berater hat die gleiche Funktion. Er stellt sicher, dass Erfahrungen weitergegeben werden. Das Rad muss nicht überall neu erfunden werden!

Welche Unterschiede sehen Sie bezüglich des Risikomanagements und internen Kontrollsystem zwischen privaten und öffentlichen Unternehmen?

Methodisch können die gleichen Konzepte eingesetzt werden. Da sehe ich grundsätzlich keine Unterschiede. Im Moment unterliegen die privaten Unternehmen einem höheren Druck, da die externe Revisionsstelle die Existenz eines internen Kontrollsystems bestätigen muss und implizit über Artikel 663 OR auch ein Risikomanagement beurteilt. Daneben sind aber natürlich die Ziele, Risiken und dadurch auch die Kontrollen nicht die gleichen. Ich habe auch festgestellt, dass private Unternehmen innert kurzer Zeit mehr Ressourcen mobilisieren können. Das können interne oder auch externe Ressourcen sein. Der öffentliche Bereich ist da etwas weniger flexibel. Hier empfiehlt es sich, dass diese Projekte über eine längere Frist geplant werden.

Worin bestehen die Gefahren, wenn öffentliche Verwaltungen auf ein durchdachtes, internes Kontrollsystem verzichten?

Jede Organisation hat und hatte schon immer ein internes Kontrollsystem. Es war aber vielfach nicht strukturiert und dokumentiert. Es geht jetzt grundsätzlich darum, den nächsten Entwicklungsschritt mitzumachen. Wenn darauf verzichtet wird, akzeptiert man das erhöhte Risiko falscher Darstellungen der Jahresrechnungen, Anfälligkeit für Wirtschaftskriminalität oder ineffiziente Prozesse. Auch ein durchdachtes, internes Kontrollsystem gibt keine abschliessende Garantie, dass dies nicht passiert. Aber die Wahrscheinlichkeit von unerwünschten Vorkommnissen wird sicher vermindert.

Vielen Dank, Herr Pfyffer, für die interessanten Ausführungen.

Interview mit:

Hans-Ulrich Pfyffer, Partner Internal Audit Service, KPMG AG

Interview durchgeführt von:

Aline Stoll, Webmasterin SGVW-Wissensportal