Internes Kontrollsystem
Allgemeine Erklärung
Unter IKS versteht man blablabla

Erkennt man das Risikomanagement als umfassendes System an, das jegliche Risiken identifiziert, bewertet und steuert, ist das Interne Kontrollsystem Teil des Risikomanagements. Versteht man es im klassischen Sinne dagegen als strategisches Instrument, das die „bestandsgefährdenden“ Risiken identifiziert und steuert, ergänzt das Interne Kontrollsystem das Risikomanagement auf der Prozessebene. Das IKS identifiziert und steuert in diesem Verständnis die operativen Risiken. Anschaulich wird dies damit beschrieben, dass die „Flughöhe“ beider Führungsinstrumente unterschiedlich sei (Prof. Hunziker, IKS-Leitfaden, 2012, S. 31).

Sowohl das Risikomanagement, als auch das Interne Kontrollsystem stellen damit die Erreichung von Zielen sicher. Nur die Art der Ziele ist unterschiedlich. Während es im klassischen Risikomanagement um „bestandsrelevante“ Ziele (Finanzen, Image etc.) geht, geht es im Internen Kontrollsystem darum, ordnungsgemäßes Verwaltungshandeln auf der Prozessebene zu sichern.

In Übereinstimmung mit internationalen Standards (vgl. KGSt-Bericht 8/2014, S. 11 ff. mwN)  sind folgende Prozessziele anerkannt:

- Wirtschaftlichkeit und Wirksamkeit des Prozesses (Effizienz und Effektivität),

- Schutz des Vermögens (Betrugsvorbeugung),

- Verlässlichkeit der (finanziellen) Berichterstattung (Transparenz),

- Einhaltung der maßgeblichen rechtlichen Vorgaben (Compliance).

Das Interne Kontrollsystem stellt damit die Gesamtheit aller Maßnahmen und Regelungen dar, die dazu bestimmt sind, gesetzte Ziele wirtschaftlich und rechtmäßig umzusetzen und das vorhandene Vermögen zu schützen.  Anders als der Begriff nahelegt, geht es dabei nicht nur um Kontrollen, sondern auch um eine Vielzahl von aufbau- und ablauforganisatorischen Maßnahmen:

1. Wirtschaftlichkeit und Wirksamkeit des Prozesses

1. Wirtschaftlichkeit und Wirksamkeit des Prozesses

Definierte und dokumentierte Prozesse sind eine Maßnahme der Ablauforganisation und bilden die Basis des Internen Kontrollsystems. Nur durch eine ausreichende Dokumentation lassen sich anhand der einzelnen Prozessschritte Prozessrisiken systematisch erkennen.

In der Verwaltungspraxis folgt dem Schritt der Darstellung des Ist-Prozesses häufig der Schritt der Prozessoptimierung. Eine auffällige Häufung von Schnittstellen zu einer anderen Organisationseinheit legt nahe darüber nachzudenken, den Prozess umzustellen. Im Rahmen der Digitalisierung werden Prozessaktivitäten, die sich mit der manuellen Eingabe von Daten befassen, hinterfragt und lange Reaktionszeiten durch die Parallelisierung von Prozessschritten verkürzt.

Diese Anpassungen führen zu einem wirtschaftlicheren und effektiveren Prozess und stellen damit bereits eine wichtige Maßnahme im Rahmen des Internen Kontrollsystems dar. Gleichzeitig sichert die Prozessdokumentation als vorgegebener Standard das Erreichen des Prozessziels und damit die Wirksamkeit des Prozesses.

2. „Schutz des Vermögens“

Das Vermögen bildet neben dem Personal die wichtigste Basis für die Erfüllung der öffentlichen Aufgaben. Beim Schutz dieses Vermögens geht es aber nicht darum, Beschäftigten ein rechtswidriges Verhalten zu unterstellen, sondern darum, im Rahmen der Fürsorgepflicht keine Gelegenheiten zu eröffnen. IKS-Maßnahmen der Aufbauorganisation sind beispielsweise eine Trennung der Funktionen und die klare Zuordnung von Rollen und Verantwortlichkeiten.

Fraud_Dreieck.png

3. Verlässlichkeit der (finanziellen) Berichterstattung (Transparenz)

Die Steuerung der Verwaltung setzt nicht nur bestimmte Angaben für Finanzplanung und -controlling voraus, sondern auch Informationen zu Prozessrisiken, zur Einhaltung von Steuerungsmaßnahmen und zur Entwicklung wichtiger Kennzahlen.

Oftmals wird aber verkannt, dass Transparenz nicht nur der Verwaltungssteuerung dient, sondern überhaupt erst Politik und Bürgerschaft in die Lage versetzt, ihre demokratischen (Kontroll-)Rechte wahrnehmen zu können.

4. Einhaltung der maßgeblichen rechtlichen Vorgaben (Compliance).

Dieses Ziel meint nicht die Einhaltung aller rechtlichen Vorgaben, sondern besonderer Regelungen, etwa im Umgang mit Bargeld oder der Einhaltung bestimmter sicherheitsrelevanter (etwa arbeitssicherheitsrechtlicher) Vorgaben.  Hierfür sind in der Ablauforganisation Richtlinien und Dienstanweisungen klar zu formulieren und verständlich zu kommunizieren.

Das Interne Kontrollsystem wird also durch aufbau- und arbeitsorganisatorische Maßnahmen und Regelungen in die Arbeitsabläufe der Verwaltung integriert. Auch notwendige Überwachungsmaßnahmen sind in den Prozess integriert, wie etwa das Erfordernis einer Unterschrift durch den Vorgesetzten oder die Abgabe des Bargeldbestandes an einen Hauptkassierer.

Aufgrund der unterschiedlichen Zielsetzungen bestehen neben den vielen Gemeinsamkeiten einige wenige Unterschiede zum Risikomanagement: Externe Risiken, die von außen die Behörde bedrohen, werden zum Beispiel aufgrund der Fokussierung des IKS auf die internen Verwaltungsprozesse nicht erfasst. Solche Risiken sind Bestandteile des Risikomanagements. Aufgrund der hohen Dynamik externer Rahmenbedingungen sollten die Risiken aus dem Risikomanagement damit auch häufiger aktualisiert werden, als Prozessrisiken. Ein weiterer Unterschied besteht in der Rechtsverbindlichkeit der Einführung. Während derzeit im öffentlichen Sektor noch keine Verpflichtung zur Einführung eines Risikomanagementsystems besteht, sind die Rechnungsprüfer aufgerufen, die Strukturen und die Wirksamkeit des Internen Kontrollsystems zu überprüfen (IDR Prüfungsleitlinie 200).