Internes Kontrollsystem

Der Schlüssel zur Sicherheit in einem verschärften Risikoumfelds

| Autor / Redakteur: Daniel Klein / Manfred Klein

(Foto: Pugstudio, Frankreich - fotolia.de)

Spektakuläre Betrugsfälle in der Privatwirtschaft, wie bei der Sociét­é Générale oder der UBS, haben in den vergangenen Jahren eine breit­e Medienberichterstattung erfahren. Aber auch die Öffentliche Verwaltung ist betroffen: Allein 2011 wurde nach Ermittlungen der OLAF (Europäisches Amt für Betrugsbekämpfung) die Rekordsumme von 691 Millionen Euro an den EU-Haushalt zurückgezahlt..

Das kriminelle Fehlverhalten äußert sich in unterschiedlichen Formen: Korruption, Informationslecks, Veruntreuung, Doppelfakturierung von Leistungen, ungerechtfertigte Rückerstattung oder auch Schmuggel.

Diese Risikoquellen sind in den letzten Jahren mit der steigenden Komplexität von IT-Systemen, Cloud Computing und kurzfristigen Einsparungsdruck stetig gestiegen. Die hohen Geldsummen im Öffentlichen Sektor, durch dessen Finanzsysteme etwa 40 Prozent des Bruttosozialprodukts fließen, sowie heterogene IT-Systeme verschärfen das Risiko zusätzlich.

Zeit für einen Blick auf das interne Kontrollsystem

Zur Eindämmung von Risiken ist die Organisatio­n interner Kontrollen entscheidend, wobei Risiko­management und internes Kontrollsystem in Behör­den oftmals getrennten Bereichen angehören. Zur optimalen Abstimmung empfiehlt es sich, gemeinsam für die im Risikomanagement identifizierten, quantifizierten und priorisierten Risiken eine passende Eindämmungsstrategie zu bestimmen. Aufgrund der im Risikomanagement identifizierten, quantifizierten und priorisierten Risiken kann eine passende Eindämmungsstrategie bestimmt werden. So ist es möglich, nach einer Kosten-/Nutzenanalyse das Risiko an eine Versicherungsgesellschaft zu transferieren oder auch zu akzeptieren. In vielen Fällen wird aber das Risiko durch eine Kontrolle gemindert, die in das interne Kontrollsystem aufgenommen wird.

Ausgewählte Kontrolloptionen sind wie folgt:

» Funktionstrennung mit organisatorischen Konsequenzen,

» eingeschränkte Berechtigungsvergabe im IT-System,

» zusätzliche Autorisierungsschritte bei kritischen Transaktionen,

» nachgelagerte Kontrollen zur Plausibilisierung von Ergebnissen und Tätigkeiten.

Unabhängig von der gewählten Option ist für die Behördenleitung ein zeitnahes, ausreichend konsolidiertes Reporting wichtig, damit die Nettorisiken, also die Höhe der Risiken nach risikoreduzierenden Maßnahmen, transparent werden. Mit diesem Wissen kann gegen Betrugs- und Korruptionsfällen im eigenen Organisationsbereich vorgebeugt werden.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 37750180 / Ministerialkongress 2012)