ICG - AT

Risikomanagement und IKS für Gemeinden

Risikomanagement und Interne Kontrollsysteme (IKS) sind gerade für die öffentliche Verwaltung wichtige Themen, da öffentliche Gelder im Einsatz sind. Daher sollen Transparenz und Sorgfalt oberste Prinzipien sein. Das klingt zwar selbstverständlich, ist aber aufgrund steigender Komplexität und knapper werdender finanzieller und personeller Ressourcen in der Praxis nicht immer einfach umzusetzen. Eine interne Kontrolle für Gemeinden ist im Grundsatz nichts Neues und wird seit jeher angewendet. Allerdings wird sie oft nur informell und wenig systematisch betrieben und kaum dokumentiert. Risikomanagement hingegen, also die systematische Erfassung, Bewertung, Steuerung und Überwachung der wichtigsten Risiken, ist in vielen Gemeinden noch weitgehend unbekannt. Nicht zuletzt aufgrund vieler Negativschlagzeilen in den letzten Jahren ist der Einsatz geeigneter Instrumente zur Risikosteuerung und Risikovermeidung auch in Gemeinden, unabhängig von Größe und Einwohnerzahl, in den Fokus gerückt.

Was bedeutet IKS für Gemeinden?

Definition und Erläuterung

Die interne Kontrolle ist ein in die Arbeits- und Betriebsabläufe einer Gemeinde eingebetteter Prozess, der von den Führungskräften und den Mitarbeitern durchgeführt wird, um

• bestehende Risiken zu erfassen,
• zu steuern und
• mit ausreichender Gewähr sicherstellen zu können,
  dass die Gemeinde im Rahmen der Erfüllung ihrer
  Aufgabenstellung ihre Ziele erreicht.

Sicherzustellende Ziele sind hier va:

• Sicherung der Vermögenswerte vor Verlust, Missbrauch und Schaden;
• Erreichung der Organisationsziele;
• Sicherstellung ordnungsgemäßer, ethischer, wirtschaftlicher, effizienter und wirksamer Abläufe;
• Zuverlässigkeit von betrieblichen Informationen; insb Zuverlässigkeit des Rechnungswesens;
• Einhaltung der Gesetze und Vorschriften;
• Erfüllung der Rechenschaftspflicht.

Risikomanagement und IKS gehören somit zusammen. Mit IKS soll sichergestellt sein, dass Organisationsziele erreicht werden und nicht durch interne und externe Risiken gefährdet werden. Um die Qualität und Aktualität eines IKS beurteilen zu können, ist die Kenntnis der Risiken der geprüften Organisation unabdingbar. Damit ist das Risikomanagement eine Grundvoraussetzung und Basis eines wirksamen IKS. Ändern sich die Risiken oder kommen neue Risiken hinzu, so ist das IKS anzupassen.

Abgrenzung zu Compliance-Management und Interner Revision

Compliance-Management und IKS überschneiden sich hinsichtlich der Zielsetzungen und Maßnahmen (zB Einhaltung externer und interner Vorgaben). Der Fokus von Compliance-Management liegt insb in der Vermeidung von Risiken mit zivilrechtlichen oder strafrechtlichen Konsequenzen infolge Nicht-Einhaltung von Normen. In beiden Konzepten gilt es aber, sich systematisch mit der Gestaltung von Prozessen und Kontrollschritten auseinanderzusetzen.

Die Interne Revision im Gegensatz dazu ist ua zuständig für die Prüfung des IKS. Vor diesem Hintergrund wird die Interne Revision oftmals als außerhalb des IKS stehend angesehen. Andere Autoren gehen von einem weiteren IKS-Begriff aus und beziehen darin sowohl prozessintegrierte Überwachungsmaßnahmen als auch prozessunabhängige (wie etwa Prüfungen durch die Interne Revision) ein. Sie verstehen die Interne Revision damit einerseits als zur Prüfung des IKS zuständige Institution, gleichzeitig aber auch als
integralen Bestandteil des IKS.

Praxisrelevante Gesichtspunkte und Nutzen eines IKS

Interne Kontrollsysteme und Korruptionspräventionssysteme haben in den letzten Jahren auch in der Prüftätigkeit des Rechnungshofs immer mehr an Bedeutung gewonnen. Teilweise wurden im Zuge der Prüfungen auf Gemeindeebene erhebliche Mängel festgestellt. Zur Unterstützung und Weiterentwicklung von IKS wurde vom österr Rechnungshof ein Leitfaden veröffentlicht, der als Anleitung zur Installierung, Evaluierung bzw Verbesserung von IKS herangezogen werden kann. Es zeigten sich folgende Grundelemente und Mindestanforderungen eines IKS:

• Prozessbeschreibungen, die für die Hauptprozesse standardisierte Abläufe und klare Verantwortungen definieren;
• die Dokumentation der Prozesse und Kontrollen, um das Handeln nachvollziehbar und überprüfbar zu machen;
• Funktionstrennungen, die für relevante und risikogeneigte Maßnahmen gewährleisten, dass Entscheidung, Ausführung und Kontrolle nicht ausschließlich in der Hand einer Person bzw einer Sub-Organisationseinheit liegen; das Vier-Augen-Prinzip für sensible, insb gebarungsrelevante Vorgänge; sowie Befangenheits- und Unvereinbarkeitsregelungen.

Erforderlich ist ein IKS-Konzept, das alle Organisationsbereiche (angepasst an ihr Risikopotenzial) mitumfasst und die Kontrollen in die Verwaltungsführung der Organisation integriert. Interne Kontrollen sind dabei nicht als ein den Arbeits- und Betriebsabläufen einer Organisation im Sinne eines „Add-Ons“ hinzugefügter Baustein zu begreifen, sondern als integrativer Bestandteil einer professionellen Verwaltungsführung in die Gesamtstruktur einzubetten.

Die Vorgehensweise zur Einführung eines IKS in Gemeinden ist sehr ähnlich wie für privatwirtschaftliche Organisationen. Unterschiede lassen sich aber bei den Zielinhalten ausmachen, die mit einem IKS verfolgt werden. Das Gemeinwesen finanziert sich durch öffentliche Gelder; deren Einsatz steht im Interesse der Allgemeinheit und muss besonders aufmerksam verfolgt werden. Dem Vermögensschutz kommt also eine noch bedeutsamere Rolle zu als in der Privatwirtschaft. Demgegenüber ist die ordnungsgemäße, wahrheitsgetreue finanzielle Berichterstattung zwar auch wichtig, aber weniger zentral als in privatwirtschaftlichen Unternehmen.

Umsetzungsanleitung von IKS-Projekten in 6 Schritten

Das im Folgenden im Detail beschriebene 6 Schritte-Vorgehen kann als Vorlage für IKS-Implementierungsprojekte in Gemeinden herangezogen werden. Es ist mehrfach in österr Städten und Gemeinden unterschiedlichster Größe und Einwohnerzahl zum Einsatz gekommen.

1. Projektvorbereitung

Im Rahmen einer professionellen Projektvorbereitung geht es um die Klärung des Projektauftrags und Projektumfangs, Definition der Projektziele und Zeitplanung sowie Festlegung der Projektorganisation.

Damit Risikomanagement und IKS erfolgreich eingeführt und betrieben werden kann, braucht es ein gemeinsames Bekenntnis von Politik und Verwaltung. Daher ist anzuraten, das Projekt gemeinsam auszuhandeln und formal im Gemeinderat zu beschließen. Somit wird auch sichergestellt, dass bereits vor Beginn des Projekts eine gründliche Diskussion stattfindet und Erwartungen offen ausgetauscht werden. Wichtig ist va eine frühestmögliche Einbeziehung und Information aller betroffenen Mitarbeiter und eine Argumentation zum Nutzen des Instrumentariums. Der erste Schritt endet mit einer Projekt-Kickoff-Veranstaltung, nach welcher ein adäquat besetztes Projektteam arbeitsfähig ist.

Erhebung Ist-Prozesse, Grobanalyse und Prozesslandkarte

Um mit den Prozess- und IKS-Analysen starten zu können, sind die zu analysierenden Abläufe zu definieren und abzugrenzen. In der Regel ist vieles schon vorhanden, aber meist nicht systematisch schriftlich festgehalten, nicht aktuell und lückenhaft. Empfehlenswert ist das Zusammenführen aller relevanten Unterlagen zu einem Risikomanagement und IKS-Handbuch.

Die IKS-Prinzipien werden zu Beginn gemeinsam definiert und bilden einen Gesamtrahmen für die Risiko und IKS-Politik der Gemeinde. Aus den vereinbarten IKS-Prinzipien ergeben sich die Prüffelder (zB Funktionstrennung, Kontrollautomatik, organisatorische Vorkehrungen, Verhinderung von unbefugtem Zugriff/Zutritt) für die Durchführung der Kontrollaktivitäten.

Ein Grundelement für das IKS ist gelebtes Prozessmanagement mit klaren Abläufen und Verantwortungen sowie einheitlich vorhandenen Prozessbeschreibungen und Rollen. Je Prozess und damit auch für sämtliche IKS-Schlüsselprozesse sind die Rollen des Prozesseigners und des Prozessmanagers zu vereinbaren. Der Prozesseigner ist der strategische Gesamtverantwortliche für einen Prozess. Er legt Prozessumfang und Grenzen fest und ist zugleich auch Risiko- und IKSVerantwortlicher. Der operative Prozessmanager steuert und optimiert die ihm zugeschriebenen Prozesse und ist damit zuständig für die Einhaltung der vereinbarten IKS-Maßnahmen.

Die Darstellung der Prozesslandkarte als strukturierte Gesamt-Übersicht über alle vorhandenen Haupt und Teilprozesse der Organisation sowie die Eingrenzung der IKS-Schlüsselprozesse mit Risikolandkarte ist das letzte Arbeitspaket in der Grobanalyse.

Detailanalyse, Risikolandkarte und Auswertung der Ist-Prozesse

Im Zuge der Detailanalyse werden die Detailerhebungen und Dokumentationen der definierten IKS-Prozesse durchgeführt. Neben Erhebungen von Mengendaten und Prozesskennzahlen (zB Verhältnis Anzahl Eingangsrechnungen zu Anzahl Mahnungen pro Jahr) werden im Zuge von Ersterhebungen teilweise auch Ressourcenanalysen durchgeführt.

Wichtig ist, dass die Dokumentation der Detailabläufe (zB mit MS Visio oder ARIS) in grafischer Form über alle Schnittstellen und Verantwortungen hinweg erfolgt. Parallel dazu findet die Risikoidentifizierung und -bewertung statt. Zu jedem Risiko sind Kontrollaktivitäten zu vereinbaren und in den Ablauf zu integrieren.

Je umfassender die Analysen im Projekt angelegt werden, desto besser (detaillierter) können damit konkrete Optimierungspotenziale bzw Veränderungsmaßnahmen erarbeitet werden. Große Chancen bestehen hier in der Digitalisierung und Automatisierung von Kontrollaktivitäten.

Wichtig in dieser Phase ist die gemeinsame Interpretation der Ist-Situation und Potenzialeinschätzung – nur mit einer gemeinsamen Sichtweise wird die Organisation handlungsfähig für die Umsetzung von Sollprozessen und Optimierungsmaßnahmen.

Gestaltung Soll-Prozesse, IKS-Konzeption und IKS-Schlüsselprozesse

Auf Basis der bewerteten Analyseergebnisse und IKS Prüfprotokolle werden die künftigen Soll-Prozesse im Detail modelliert und vereinbart. Ziel ist es, historisch gewachsene Prozessvarianten auf einige wenige Standardprozesse zu reduzieren.

Je Soll-Prozess werden die IKS-Risiken identifiziert, Eintrittswahrscheinlichkeiten bewertet und IKS-Kontrollaktivitäten zugewiesen. Die Kontrollen sind hinsichtlich Hilfsmittel, Periodizität und Kontrollwirksamkeit zu beschreiben. IKS ist jedenfalls unter Kosten-Nutzen-Aspekten auszugestalten, die Dichte der Prozessvorgaben und Kontrollaktivitäten
ist an den Kriterien Risiko, drohendes Schadensausmaß und Zweckmäßigkeit auszurichten.

Hingewiesen sei an dieser Stelle auf die Möglichkeit des Einsatzes automatischer Prüfsoftware (zB IDEA, ACL): Hier werden Daten aus dem Rechnungswesen gezogen und automatisiert  nach Prüfroutinen auf Auffälligkeiten und Unregelmäßigkeiten (zB Doppelüberweisungen, periodische Auffälligkeiten, Durchgängigkeit der Nummernkreise, Namen der Kontoinhaber und Auffälligkeiten dazu) überprüft.

Die Grundkonzeption des IKS, wie auch die Sicherstellung seiner Funktionsfähigkeit ist eine klare, nicht übertragbare Verantwortung der obersten Führungsebene. Dem Commitment der Führungskräfte und der Vorbildwirkung bei der Einhaltung der Regeln kommt daher auch im Echtbetrieb wesentliche Bedeutung zu.

Abschluss und Umsetzungsplanung

Aus der Lücke zwischen Ist- und Sollprozessen ergeben sich die konkreten Veränderungs- und Optimierungsmaßnahmen (Wege vom Ist- zum künftigen Sollprozess). Wichtig ist eine gemeinsame Planung der Maßnahmen und auch die Diskussion und Vereinbarung der technischen, personellen und organisatorischen Umsetzungsvoraussetzungen. Professionelles Projektmanagement mit realistischen Zeitplänen und wirksames Umsetzungscontrolling sind zentrale Elemente dieser Phase. Ergebnis ist ein Detailumsetzungskonzept mit Maßnahmenplan sowie das finalisierte IKS und Risiko-Handbuch, welches durch den Auftraggeber (zB Gemeinderat) freizugeben ist.

Das heutige Umfeld einer Gemeinde wandelt sich rasch und damit verändern sich auch die Rahmenbedingungen, unter denen die Gemeindeziele angestrebt werden. Das führt wiederum zu laufend neuen oder anderen Risiken, welche die Zielerreichung beeinflussen. Daher ist es unabdingbar, dass die Risikoidentifikation und die Beurteilung der Wirksamkeit von Maßnahmen periodisch neu erfolgen muss – in der Regel einmal jährlich.

Information und Schulung der Mitarbeiter

Damit IKS und Risikomanagement als Führungs- und Steuerungsinstrument genutzt und gelebt werden kann, muss am Ende des Projekts nach innen und außen professionell informiert werden. Sämtliche Akteure müssen über ihre Rollen und Verantwortlichkeiten Bescheid wissen, daher sind die Mitarbeiter auch entsprechend zu schulen.

„Die intensive Beschäftigung mit unseren Prozessen half uns, eine Reihe von Schwachstellen zu erkennen und zu beheben“, so eine häufige Rückmeldung aus unseren IKS-Projekten, welche wir in den letzten Jahren in zahlreichen österr Städten und Gemeinden begleitet haben. Überdies konnte mit der konsequenten Risikobetrachtung auch so manche Chance erkannt und genutzt werden.

Erfolgsfaktoren bei der Einführung

1. Verständnis schaffen bei den Mitarbeitern

Die Einführung eines IKS stößt häufig auf Unverständnis bei den Mitarbeitern, da die auferlegte Kontrolle und Einschränkung der Befugnisse als Vertrauensverlust verstanden werden.  Daher müssen betroffene Mitarbeiter frühzeitig über das Projektziel informiert und in das Projekt eingebunden werden.

2. Aufbau von Prozessmanagement-Know-how

Unabdingbare Voraussetzungen für ein wirksames IKS sind dokumentierte Prozesse und gelebtes Prozessmanagement mit standardisierten Abläufen. Hier fehlt es in Gemeinden oft an grundsätzlichem Know-how, Ressourcen und einfachen Instrumenten zur Prozessdokumentation und Prozessanalyse. Abhilfe können hier einfache Leitfäden und Checklisten sowie Standards zum Prozessmanagement schaffen.

3. Unterstützung von oben

Die Schaffung von Standardprozessen und -regelungen ist zwangsweise mit mehr Transparenz und Einheitlichkeit verbunden – das kann auch auf Kritik stoßen. Von zentraler Bedeutung ist daher die Unterstützungund Vorbildfunktion durch Führungskräfte, Amtsleitung und Bürgermeister.

4. Abnahme des IKS

Zur Bestätigung und Sicherung der Projektergebnisse erfolgt die Abnahme des IKS durch den Gemeinderat. Dieser verabschiedet als neutrale Instanz die Funktionsfähigkeit und Wirksamkeit der eingeführten Überwachungsmechanismen und beurteilt die Projektergebnisse.

5. Professionelles Projektmanagement

Es gelten die generellen Erfolgsfaktoren für ein funktionierendes Projektmanagement wie klares Projektziel, klare Aufgabenfestlegung und konsequentes Projektcontrolling.