10. Risikomanagement
In diesem Kapitel wird der Begriff „Risikomanagement“ erläutert, der in der Empfehlung des Rates der OECD zu Integrität im öffentlichen Leben als ein wichtiger Grundsatz verankert wurde. Im Kern geht es darum, wie es öffentlichen Einrichtungen durch maßgeschneiderte Richtlinien und Verfahren gelingt, Integritätsrisiken wirksam zu bewältigen, verlässliche Risikoabschätzungen durchzuführen und eine Kontrollumgebung zu schaffen, die entscheidend zur Integritätssicherung beiträgt. Diese Frage wird sowohl aus ressortübergreifender als auch aus institutioneller Perspektive beleuchtet. Besonderes Augenmerk liegt dabei auf der Notwendigkeit einheitlicher Verfahren, um angemessen auf mutmaßliche Betrugs- und Korruptionsfälle reagieren zu können, z. B. mithilfe von Protokollen für die Meldung, Weiterverfolgung und Untersuchung der Fälle. Außerdem wird auf die große Bedeutung der Innenrevision bei der Überprüfung der Führungskräfte eingegangen, wobei vor allem der Mehrwert dieser Funktion als ein unabhängiger und objektiver Garant für eine wirksame interne Kontrolle und ein wirksames Integritätsrisikomanagement hervorgehoben wird. Abschließend werden zentrale Herausforderungen und Verfahren zu ihrer Bewältigung vorgestellt, z. B. die Festlegung einer wertebasierten Innenrevisionspolitik, die Durchführung regelmäßiger, an Zielvorgaben geknüpfter Risikoabschätzungen und die Einrichtung von Feedback-Schleifen zur Beobachtung und Evaluierung der Tätigkeiten.
Zu jeder Integritätsstrategie für den öffentlichen Dienst gehören ein Innenrevisionssystem und ein Rahmen für das Risikomanagement. Wirksame Strategien und Verfahren für die Innenrevision und das Risikomanagement dienen als Schutzschild gegen Betrug und Korruption und stellen gleichzeitig sicher, dass die öffentliche Verwaltung optimal funktioniert, damit Programme mit größtmöglichem Nutzen für die Bürger*innen umgesetzt werden können. Darüber hinaus sorgen solche Strategien und Verfahren für ein besseres Kosten-Nutzen-Verhältnis und erleichtern die Entscheidungsfindung. Durch fest etablierte Verfahren fällt es leichter, einen Mittelweg zwischen durchsetzungsorientierten Modellen und präventiveren, risikobasierten Ansätzen zu finden.
Innenrevision und Risikomanagement umfassen eine ganze Reihe von Maßnahmen, die dazu dienen, Betrug und Korruption zu vermeiden, aufzudecken und zu bekämpfen. Insbesondere gehören dazu Strategien, Praktiken und Verfahren, an denen sich Führungskräfte und Mitarbeiter*innen orientieren können, um Risiken angemessen zu bewerten und risikobasierte Kontrollverfahren zu entwickeln. Mechanismen für den Umgang mit Korruption und Integritätsverletzungen sind für ein integriertes Innenrevisionssystem dabei ebenfalls sehr wichtig.
In ihrer Empfehlung zu Integrität im öffentlichen Leben fordert die OECD deshalb alle Länder auf, „zum Schutz der Integrität in Organisationen des öffentlichen Sektors einen internen Rahmen für Kontrolle und Risikomanagement an[zu]wenden, insbesondere indem sie
a) für eine Kontrollumgebung mit klaren Zielen sorgen, die das Bekenntnis der Führungskräfte zu Integrität im öffentlichen Leben und den Werten des öffentlichen Dienstes widerspiegeln, und die in vernünftigem Maße eine Organisation im Hinblick auf ihre Effizienz, Leistung und die Einhaltung von Gesetzen und Praktiken bewertet,
b) für einen strategischen Ansatz in Bezug auf das Risikomanagement sorgen, der auch die Bewertung von Risiken für Integrität im öffentlichen Leben, den Umgang mit Schwachstellen der Kontrolle (auch Einbindung von Warnsignalen in kritische Prozesse) sowie den Aufbau eines effizienten Kontroll- und Qualitätssicherungsmechanismus für das Risikomanagementsystem umfasst,
c) sicherstellen, dass die Kontrollmechanismen kohärent sind und klare Verfahren für die Vorgehensweise bei einem hinreichenden Verdacht auf Verstöße gegen Gesetze und Vorschriften enthalten, und die Meldung an die zuständigen Behörden ohne Angst vor Vergeltungsmaßnahmen erleichtern“ (OECD, 2017[1]).
Innenrevision und Risikomanagement sind zwei wichtige Instrumente, die öffentlichen Einrichtungen dabei helfen, politische Ziele zu erreichen. In der OECD-Empfehlung zu Integrität im öffentlichen Leben sind unter dem Stichwort „Risikomanagement“ verschiedene Aspekte der Innenrevision und des Risikomanagements im Zusammenhang mit Integrität und der Bekämpfung von Korruption im öffentlichen Sektor zusammengefasst. Je nach seinem rechtlichen, regulatorischen und kulturellen Kontext muss dabei jedes Land den Ansatz finden, der seinen Anforderungen gerecht wird. Zum einen bedeutet das, dass Integritätsziele in die bestehenden Richtlinien und Verfahren für Innenrevision und Risikomanagement eingebunden werden müssen. Zum anderen müssen internationale Standards und Konzepte, die in den Bereichen Innenrevision und Risikomanagement formuliert wurden, an die lokalen Gegebenheiten und die Erfordernisse des öffentlichen Dienstes angepasst werden. Zu diesen Standards und Konzepten gehören z. B. die Standards und Leitlinien des Committee of Sponsoring Organizations of the Treadway Commission (COSO), der Internationalen Organisation für Normung (ISO), des Institute of Internal Auditors (z. B. das Modell der drei Verteidigungslinien) und der International Organisation of Supreme Audit Institutions (INTOSAI).
Die Innenrevision ist ein fester Bestandteil der internen Abläufe einer öffentlichen Organisation. Im Hinblick auf die Integritätssicherung geht es bei Innenrevision und Risikomanagement um Strategien, Verfahren und Maßnahmen für den Umgang mit Betrugs-, Korruptions- und Missbrauchsgefahren (nachstehend zusammen als Integritätsrisiken bezeichnet). Ein Innenrevisionssystem, das auf den Schutz der Integrität ausgelegt ist, besteht im Wesentlichen aus folgenden Elementen:
wirksame Kontrollumgebung1 und wirksames Integritätsrisikomanagement
maßgeschneiderter Ansatz für das Risikomanagement und die Bewertung von Integritätsrisiken
Monitoring- und Evaluierung des Integritätsrisikomanagements
einheitliche und zügige Verfahren innerhalb des Innenrevisions- und Risikomanagementrahmens
Innenrevisionsfunktion, die das Integritätsrisikomanagement und die Innenrevision durch unabhängige und objektive Prüfung und Beratung unterstützt
Die wirksame Umsetzung dieser Elemente hängt von verschiedenen Akteuren auf gesamtstaatlicher, institutioneller und individueller Ebene ab. So können die für die Aufstellung der Standards öffentlicher Einrichtungen zuständigen übergeordneten Akteure beispielsweise sicherstellen, dass die Innenrevisions- und Risikomanagementrichtlinien ressortübergreifend einheitlich und harmonisiert sind, wie nachstehend beschrieben. Auf institutioneller Ebene bieten die Richtlinien und Prozesse für Innenrevision und Risikomanagement den Führungskräften ein gewisses Maß an Sicherheit, dass ihre Einrichtung die Integritätsziele erreicht und die Integritätsrisiken wirksam bewältigt. Auch die individuelle Ebene spielt bei der Innenrevision und dem Risikomanagement eine wichtige Rolle, denn viele Standards fordern von den Bediensteten einen persönlichen Einsatz für Integrität sowie die Einhaltung von Verhaltenskodizes.
10.2.1. Wirksame Kontrollumgebung und wirksames Integritätsrisikomanagement
Die Kontrollumgebung einer öffentlichen Einrichtung dient verschiedenen finanziellen, haushalterischen und leistungsbezogenen Zielen. Sie besteht aus Standards, Verfahren und Strukturen, die für die gesamte Einrichtung gelten (COSO, 2013[2]). Die Kontrollumgebung und die dazugehörigen Prozesse sorgen für die Einhaltung von Rechtsvorschriften, Normen und anderen Vorgaben, unterstützen die gute Regierungs- und Verwaltungsführung und helfen öffentlichen Einrichtungen dabei, wirksam und effizient Lösungen mit hohem Nutzen für die Bürger*innen zu erarbeiten. Im Kontext des Risikomanagementgrundsatzes ist unter der Kontrollumgebung die Gesamtheit der Ziele, Strategien und Personen zu verstehen, die zur Institutionalisierung eines Systems der Integrität, der ethischen Entscheidungsfindung und des Risikomanagements beitragen.
Ressortübergreifende integritätsorientierte Kontrollumgebung
Für die ressortübergreifende Umsetzung der Innenrevision und des Risikomanagements sind verschiedene Einrichtungen des öffentlichen Sektors verantwortlich. Dies sind u. a. das Regierungszentrum, die Rechnungskontrollbehörden, zentral für die Harmonisierung der geltenden Regeln zuständige Stellen und Antikorruptionsbehörden. Zu ihren Aufgaben gehören insbesondere: 1. die Festlegung und Harmonisierung von Standards und Grundsätzen für die Innenrevision, 2. die Bereitstellung von Leitlinien und Instrumenten, 3. die Evaluierung ressortübergreifender Maßnahmen zur Integritätssicherung und 4. die Koordinierung und Standardisierung ressortübergreifender Praktiken in Verbindung mit der Meldung und dem Umgang mit mutmaßlichen Integritätsverletzungen. In den Vereinigten Staaten ist z. B. die oberste Rechnungskontrollbehörde, das Government Accountability Office (GAO), federführend für die Festlegung der Innenrevisions- und Risikomanagementstandards zuständig, wobei sie von einem Sachverständigenrat unterstützt wird. Sie ist Herausgeberin der Standards for Internal Control in the Federal Government (GAO, 2014[3]) und hat ein Rahmenkonzept für das Betrugsrisikomanagement im öffentlichen Dienst veröffentlicht (GAO, 2015[4]). Das Office of Management and Budget (OMB) ergänzt die Arbeit des GAO mit entsprechenden Maßnahmen und Leitlinien für die Umsetzung. Dazu gehört u. a. ein Rundschreiben (OMB Circular No. A-123), in dem die Verantwortlichkeiten und Aufgaben der Führungskräfte in Bezug auf die Innenrevision und das Risikomanagement im öffentlichen Dienst dargelegt sind und in dem ausdrücklich auf Betrugsrisikobewertung eingegangen wird (OMB, 2016[5]). In Frankreich sind alle öffentlichen Einrichtungen (zentralstaatliche Behörden, Kommunen, öffentliche Einrichtungen und halböffentliche Unternehmen) unabhängig von ihrer Größe dazu verpflichtet, Risikoabschätzungen durchzuführen. Sie müssen dabei alle Abläufe, die mit der Ausübung ihrer Tätigkeiten zusammenhängen, von der Einstellung neuer Mitarbeiter*innen bis hin zur öffentlichen Auftragsvergabe, erfassen und auf Integritätsrisiken hin bewerten (Kasten 10.1).
Die Standards für die Innenrevision öffentlicher Einrichtungen in der EU richten sich nach zwei wichtigen Grundsätzen: 1. Die Innenrevision öffentlicher Verwaltungen beruht auf dem Rahmenkonzept des Committee of Sponsoring Organisations of the Treadway Commission (COSO) und der International Organisation of Supreme Audit Institutions (INTOSAI) und 2. alle Mitgliedstaaten sollten innerhalb der öffentlichen Verwaltung eine eigene Funktion einrichten, die für die Koordinierung und Harmonisierung der internen Revision und Rechnungsprüfung aller öffentlichen Einrichtungen zuständig ist. So verfügen die einzelnen Mitgliedstaaten zwar über verschiedene Systeme für die Innenrevision, doch es gibt in allen Ländern eine staatliche Stelle, die für die zentrale Harmonisierung der Kontrolltätigkeiten zuständig ist.
Darüber hinaus halten sich die Mitgliedstaaten und ihre öffentlichen Institutionen an einheitliche Standards, die auf den gleichen internationalen Innenrevisions- und Risikomanagementpraktiken beruhen. Diese Standards enthalten ausdrückliche Bestimmungen für die Innenrevision und das Risikomanagement zur Betrugsbekämpfung bei der Verwaltung von EU-Mitteln.
Quelle: Europäische Kommission (2015[6]).
Wird auf zentraler Ebene nicht eindeutig vorgegeben, wie die Innenrevision und das Risikomanagement institutionalisiert werden sollen, kann der Eindruck entstehen, dass die Integritätsziele bzw. die zu ihrer Verwirklichung beitragenden Innenrevisions- und Risikomanagementtätigkeiten von den anderen strategischen und operativen Zielen losgelöst sind. Das Regierungszentrum und andere Stellen mit ressortübergreifenden Zuständigkeiten können diesem Eindruck durch einheitliche Standards, Maßnahmen und Leitlinien wesentlich entgegenwirken. Darüber hinaus können sie das Bewusstsein dafür schärfen, dass Innenrevision und Risikomanagement Entscheidungsprozesse erleichtern und die Verwirklichung institutioneller Ziele beschleunigen können.
Integritätsorientierte Kontrollumgebung auf institutioneller und individueller Ebene
In der Regel sind Bedienstete auf allen Ebenen mit Aufgaben und Zuständigkeiten für die Bewältigung von Betrugs- und Korruptionsrisiken betraut (COSO, 2016[7]). Dies kann in von den betreffenden Einrichtungen aufgestellten Grundsätzen, Verfahren oder Leitlinien für die Innenrevision und das Risikomanagement oder auch in einer gesonderten Integritätsstrategie festgelegt sein. Ganz gleich welche Form diese Instrumente haben, gilt jedoch, dass sie nicht nur als Checkliste zur Einhaltung von Mindeststandards dienen sollten. Sie sollten die Thematik vielmehr umfassend behandeln, auf die Anforderungen der einzelnen Einrichtungen abgestimmt sein und sowohl für bereits bestehende als auch für mögliche neue Risiken relevant sein. Wichtige Elemente einer Richtlinie zur Förderung einer wirksamen Kontrollumgebung in öffentlichen Einrichtungen können sein:
Verweis auf die Werte und Grundsätze der Integrität sowie auf die Standards, die für das persönliche Verhalten der Einrichtung gelten, und Darlegung ihrer Bedeutung für die Praxis
Erklärung der Ziele der Einrichtung in Bezug auf Betrugs- und Korruptionsbekämpfung, wobei explizit dargestellt werden sollte, wie die Tätigkeiten der Innenrevision und des Risikomanagements zu diesen Zielen beitragen
Darlegung der Übereinstimmung der Integritätsziele der Einrichtung mit ihren übrigen Richtlinien und Instrumenten (d. h. dem Verhaltens- oder Ethikkodex)
Definition von Betrug und Korruption mit konkreten Beispielen von Handlungen, die als korrupt oder betrügerisch gelten
Angabe der Mitarbeiter*innen, die von der Richtlinie betroffen sind, unter Berücksichtigung befristet Beschäftigter und ehrenamtlicher Helfer*innen
eindeutig definierte Rollen und Zuständigkeiten für die Innenrevision und das Risikomanagement in Bezug auf Betrug, Korruption, Verschwendung und Missbrauch
Aufklärung der Bediensteten über die Meldeverfahren bei mutmaßlichem Fehlverhalten und die entsprechenden internen und externen Meldewege
Angabe möglicher Durchsetzungsmaßnahmen und Beschreibung der Abläufe zur Untersuchung mutmaßlicher Fälle von Fehlverhalten
Für die Einrichtung und Aufrechterhaltung einer Kontrollumgebung, in der Integrität eine wichtige Rolle spielt und in der eine positive Grundstimmung herrscht, ist in erster Linie das Führungsteam verantwortlich. Das Engagement hochrangig Bediensteter für diese Fragen kann dabei dazu beitragen, das Bewusstsein für Integritätsrisiken zu schärfen und die Umsetzung der Kontrollen zu vereinfachen. Zum Führungsteam können Führungskräfte oder bestimmte Gruppen von Einzelpersonen (z. B. Gremien oder Ausschüsse) gehören, die für die Konzeption, die Umsetzung und das Monitoring der Richtlinien und Praktiken im Bereich Innenrevision und Risikomanagement zuständig sind. Darüber hinaus sollte das Führungsteam seinen persönlichen Einsatz für Integrität sichtbar machen (vgl. Kapitel 1 und 6). Verhaltens- und Ethikkodizes sind gut dafür geeignet, die Erwartungen hinsichtlich integrem Verhalten zum Ausdruck bringen und die institutionellen Werte zu vermitteln, anhand derer die Mitarbeiter*innen ihr ethisches Verhalten unter Beweis stellen. In Verhaltens- oder Ethikkodizes sind die grundlegenden Verhaltensnormen für öffentlich Bedienstete festgelegt. Sie können daher als Grundlage für die Evaluierung von ethischem Verhalten und für die Durchsetzung von Disziplinarmaßnahmen dienen (vgl. Kapitel 4).
Manche öffentlichen Einrichtungen betrauen eine eigene Stelle mit dem Management von Integritätsrisiken. Je nach Bedarf kann dies ein Ausschuss, eine Arbeitsgruppe oder eine Einzelperson sein. So gibt es in manchen Einrichtungen z. B. einen Ausschuss, der die Aufsicht, die Koordinierung, das Monitoring und die Evaluierung des Risikomanagements innerhalb der Organisation unterstützt. Andere Einrichtungen ernennen Integritätsrisikobeauftragte oder eine eigene Taskforce, die für die Integritätsziele innerhalb der Kontrollumgebung zuständig ist. Ob die Einrichtung einer solchen eigenen Stelle sinnvoll ist, kann vom Auftrag und der Größe der Einrichtung (einschließlich der Zahl der Programme und Mitarbeiter*innen sowie der verfügbaren Ressourcen) sowie der Komplexität der Risiken abhängen. In jedem Fall muss sichergestellt werden, dass die betreffende Funktion oder Stelle sich direkt an die obere Führungsebene wenden kann, da die Gesamtverantwortung für das Integritätsrisikomanagement auf dieser Ebene angesiedelt ist.
10.2.2. Maßgeschneiderter Ansatz für das Risikomanagement und die Bewertung von Integritätsrisiken
Ein maßgeschneiderter Ansatz bedeutet, dass das Risikomanagement an die speziellen Gegebenheiten einer bestimmten öffentlichen Einrichtung angepasst wird, damit sachdienliche Risikoabschätzungen und Kontrollen durchgeführt werden. Die Integritätsrisiken sind je nach Sektor und Organisation unterschiedlich gelagert, sodass öffentliche Einrichtungen ihre Leitlinien, Instrumente und Ansätze an ihre spezifischen Ziele, ihr Umfeld und ihren jeweiligen Kontext anpassen müssen. Da viele Verwaltungen Innenrevisions- und Risikomanagementstandards übernommen haben, die ursprünglich für den Privatsektor entwickelt wurden, ist dieser Punkt von wesentlicher Bedeutung. Das Regierungszentrum, die Fachministerien und die einzelnen Mitarbeiter*innen, die für das Risikomanagement zuständig sind, spielen bei diesem Anpassungsprozess eine wichtige Rolle, was nachstehend aus ressortübergreifender und institutioneller Sicht beleuchtet wird.
Gezielte ressortübergreifende Unterstützung des Integritätsrisikomanagements und der Integritätsrisikoabschätzungen
Gezielte Leitlinien und Instrumente können dabei helfen, die Innenrevisions- und Risikomanagementtätigkeiten auf Integritätsrisiken auszurichten. Dazu müssen diese Tätigkeiten mit größeren Programmzielen verknüpft werden. Außerdem können die Leitlinien und Instrumente verschiedene Kommunikationsstrategien unterstützen, die vermitteln, dass es bei der Innenrevision und dem Risikomanagement um mehr geht als nur um Finanzkontrolle und Compliance. Das kanadische Treasury Board Secretariat erarbeitete 2010 z. B. einen Risikomanagementrahmen, um die stellvertretenden Leiter*innen der Ministerien dabei zu unterstützen, auf allen Ebenen ihrer Einrichtung geeignete Risikomanagementpraktiken einzuführen. In Frankreich veröffentlichte die Antikorruptionsbehörde (AFA) mehrere Leitlinien, um öffentlichen und privaten Einrichtungen dabei zu helfen, u. a. mithilfe von Risikoabschätzungen verschiedene Antikorruptions- und Integritätsanforderungen zu erfüllen. Die Behörde erarbeitete außerdem mehrere Fachleitfäden zu dieser Thematik, z. B. für Bedienstete mit Verantwortung für die öffentliche Auftragsvergabe. Neben der Herausgabe allgemeiner Leitlinien bietet die AFA maßgeschneiderte Hilfe für öffentliche und private Akteure, die ihre Verfahren im Bereich des Integritätsrisikomanagements straffen möchten. Sektorspezifische Unterstützungsangebote, ein Fokus auf besonders risikoträchtige Arbeitsgebiete (wie öffentliche Auftragsvergabe und Gesundheitsversorgung) sowie relevante Koordinierungsmechanismen und Meldeverfahren können dabei helfen, Kapazitätslücken zu schließen (Kasten 10.2).
In der Antikorruptionsstrategie der estnischen Regierung für den Zeitraum 2013-2020 wird gezielt auf Mängel bei der Korruptionsbekämpfung und Risikominderung in bestimmten Bereichen eingegangen. Als Abhilfemaßnahmen sieht sie z. B. vor, das für ein bestimmtes Ressort (z. B. Gesundheit oder Umwelt) zuständige Ministerium gleichzeitig mit der Umsetzung ressortspezifischer Antikorruptionsmaßnahmen zu betrauen. Um die Korruption in besonders gefährdeten Bereichen zu bekämpfen, wurden bereichsspezifische Antikorruptionsnetzwerke aufgebaut. Jedes Ministerium verfügt über einen*eine Korruptionspräventionskoordinator*in, der*die die Umsetzung der Antikorruptionspolitik im betreffenden Ministerium und im entsprechenden Fachbereich verwaltet. Die Koordinator*innen sind Teil des Antikorruptionsnetzwerks, das vier- bis fünfmal im Jahr zusammenkommt. Zu dem Netzwerk gehören auch Vertreter*innen der Polizei, der Zivilgesellschaft, des Parlaments und des Staatsamtes für Rechnungsprüfung sowie andere Akteure, die je nach Thema eingeladen werden. Parallel dazu gibt es ein Netzwerk für Gesundheitsbehörden zum Austausch über aktuelle Entwicklungen und Probleme.
Quelle: Justiitsministeerium (2013[8]).
Integritätsrisikomanagement und -abschätzung auf institutioneller Ebene
Die Richtlinien, Verfahren und Instrumente zur Durchführung von Integritätsrisikoabschätzungen sind je nach Organisation unterschiedlich und hängen von der Größe der Einrichtung, ihrer Mittelausstattung und von der Risikogefährdung des jeweiligen Sektors ab (z. B. Gesundheit oder Infrastruktur). So kann sich eine öffentliche Einrichtung beispielsweise für eine gesonderte Integritätsrisikoabschätzung entscheiden oder aber ihre Integritätsziele aus Effizienzgründen in bestehende organisationsweite Risikoabschätzungen integrieren. In jedem Fall dürfte es bei den Richtlinien für das Risikomanagement und den Risikobewertungsverfahren innerhalb einer Einrichtung bestimmte Gemeinsamkeiten geben. Die Risikomanagementrichtlinien sollten an Ziele geknüpft sein und u. a. Vorschläge zum Umgang mit Risiken sowie eine Beschreibung der Ressourcenanforderungen, Zuständigkeiten und Messwerte sowie Angaben zur Berichterstattung und zum Monitoring enthalten (Crime and Corruption Commission, 2018[9]). Wie nachstehend erläutert, bestehen das Risikomanagement und die Risikoabschätzungen grundsätzlich aus einem mehrstufigen, iterativen Prozess. Dabei geht es darum, zunächst den Kontext zu bestimmen, anschließend die Risiken zu bewerten und zu behandeln und schließlich ein kontinuierliches Monitoring, eine kontinuierliche Kommunikation und eine kontinuierliche Konsultation sicherzustellen (ISO, 2018[10]).
Bestimmung des Kontexts für das Integritätsrisikomanagement
Um zu bewerten, was die Verwirklichung von Integritätszielen fördert bzw. hemmt, muss zunächst der interne und externe Kontext der jeweiligen Einrichtung genau verstanden werden. Zum internen Kontext gehören z. B. die strategischen Ziele, die Governance-Struktur, die Aufgaben, die Kompetenzen der Mitarbeiter*innen, die operativen Werkzeuge (z. B. Daten- und Informationssysteme), die Kultur und die internen Leitlinien einer Organisation. Der externe Kontext wird demgegenüber von den geltenden rechtlichen und politischen Rahmenbedingungen, von externen Akteuren und den politischen, sozialen und wirtschaftlichen Umständen bestimmt, die spezifischen Arten von Integritätsrisiken oder Risikomanagementmechanismen zugrunde liegen. Da weder die internen noch die externen Gegebenheiten statisch sind, muss bei der Festlegung der Richtlinien, Strategien und Ziele für das Management und die Bewertung der Integritätsrisiken immer der Gesamtkontext berücksichtigt werden.
Um den Kontext zu evaluieren und den Umfang der Risikoabschätzung abzustecken, können verschiedene strategische Planungsinstrumente hilfreich sein. Entscheidungsbäume und Ursache-Wirkungs-Diagramme, Ablauf- und Einflussdiagramme sowie die sogenannte PESTLE-Methode zur Bewertung politischer, wirtschaftlicher, sozialer, technologischer, rechtlicher und ökologischer Faktoren können den Analyseprozess vereinfachen und gleichzeitig betroffene Akteure zur Mitarbeit bewegen. Ressortübergreifende oder ressortspezifische Risikoregister können für die Kontextbestimmung ebenfalls nützlich sein, wie in Kasten 10.3 erläutert.
Zur Kontextbestimmung gehört auch die Festlegung von Aufgaben und Zuständigkeiten sowie die Einrichtung eines Teams, das sich um die Bewertung der Integritätsrisiken innerhalb der gesamten Organisation kümmert. In öffentlichen Einrichtungen sind zwar im Allgemeinen bestimmte Stellen oder Personen für das Management von Integritätsrisiken zuständig, ein erfolgreiches Risikomanagement erfordert jedoch die Beteiligung verschiedener Akteure. Die obere Führungsebene, Risikobeauftragte und Innenrevisor*innen (d. h. die erste, die zweite und die dritte Verteidigungslinie2) spielen z. B. eine entscheidende Rolle dabei, das Risikomanagement und die Innenrevision so aufzubauen, dass die Einrichtung ihre Ziele erreichen kann.
Wichtig ist, dass während des gesamten Prozesses geeignete Mechanismen vorhanden sind, um alle relevanten Informationen zu erfassen und die Ergebnisse zu kommunizieren. So kann das Risikomanagement besser in die Abläufe der Organisation integriert und die Eigenverantwortung für die Bewertung der Risiken gefördert werden. Das Antikorruptionsgesetz in Litauen sieht für die Analyse von Korruptionsrisiken z. B. eine Methode vor, bei der eine ganze Reihe verschiedener Quellen konsultiert werden muss, darunter Rechnungsprüfungsberichte, Mitarbeiter*innenumfragen und Sozialerhebungen (OECD, 2015[11]).
Die Verwaltung des irischen Gesundheitsdienstes (Health Service Executive – HSE) setzt zur Bewältigung der Risiken in ihrem Zuständigkeitsbereich auf Risikoregister. Diese ermöglichen einen aussagekräftigen Überblick über den Risikostatus der Dienste zu einem bestimmten Zeitpunkt und sind ein wirkvolles Mittel zur Risikoerfassung, da sie das Risikosystem als Ganzes abbilden und den Status der Risikominderungsmaßnahmen angeben.
Jede Führungskraft ist für den Aufbau eines Risikoregisters in ihrem Zuständigkeitsbereich verantwortlich. Das fertige Register wird anschließend in einer leicht verständlichen Form unter Berücksichtigung des Wissens- und Erfahrungsstands der Mitarbeiter*innen an alle Beschäftigten weitergeleitet. Das wichtigste Element des Risikoregisters ist der Aktionsplan: Er gibt Auskunft über die zusätzlichen Kontrollmaßnahmen, die erforderlich sind, um das Risiko auf ein vertretbares Niveau zu senken. Kann eine Maßnahme von einem bestimmten Dienst nicht ergriffen werden, wird sie auf die nächsthöhere Verwaltungsebene übertragen.
Da nicht jedes Risiko ausgeräumt werden kann, besteht in jeder Phase des Prozesses die Option, ein bestimmtes Risiko zu akzeptieren. Jedes Risiko, das nicht gänzlich ausgeräumt werden kann, muss im Risikoregister entsprechend gekennzeichnet werden, gefolgt von einer Liste von Kontrollmaßnahmen, mit denen das Risiko auf ein vertretbares Niveau verringert werden soll. Diese Risiken werden dann regelmäßig überwacht. Wichtige Voraussetzungen für ein zuverlässiges Risikoregister sind die folgenden vier Elemente:
1. Risikoexpertise – Die beteiligten Mitarbeiter*innen müssen angemessen geschult und ausgebildet sein.
2. Verwendung gebilligter Begleitmaterialien und Werkzeuge – Um die Einheitlichkeit des Prozesses sicherzustellen, sollten beim Aufbau der Register geprüfte und gebilligte Dokumente und Werkzeuge zum Einsatz kommen.
3. Engagement und Verantwortungsgefühl – Es braucht das sichtbare Engagement hoher Führungskräfte; so kann der Rückhalt bei den betroffenen Akteuren gesteigert werden, was zu einer höheren Qualität und Nachhaltigkeit führt.
4. Unterstützung vor Ort – Für das Organisieren von Workshops und die allgemeine Koordinierung braucht es administrative Unterstützung.
Da eine Risikoabschätzung immer ein dynamischer Prozess ist, sollten die Risiken und ihre Kontrollmaßnahmen kontinuierlich überprüft, überwacht und bei Bedarf angepasst werden.
Quelle: Health Service Executive (2018[12]).
Eine weitere entscheidende Frage im Zusammenhang mit dem internen Kontext ist, wie tief das Risikomanagement in die Organisationsstruktur eingebunden ist. Die Richtlinien und Praktiken der Innenrevision und des Risikomanagements sind am effektivsten, wenn sie als Teil der Gesamtstrategie in die Abläufe der Einrichtung eingebunden und damit auf konkrete Ziele ausgerichtet sind. Wie genau diese Einbindung aussieht, ist von Einrichtung zu Einrichtung unterschiedlich. In jedem Fall ist es sinnvoll, das Risikomanagement mit den Richtlinien und Prozessen für strategische Planung, Monitoring und Evaluierung zu verknüpfen. Im Vereinigten Königreich nutzt HM Revenue and Customs z. B. den monatlichen Performance-Report, um seine Fortschritte bei bestimmten Zielen zu messen und Bereiche zu ermitteln, in denen weitere Maßnahmen erforderlich sind. Innerhalb eines Performance-Committee und sogenannter Performance-Hubs werden relevante Daten anschließend besprochen und die wichtigsten Risiken bei der Verwirklichung der Ziele erörtert. Insbesondere werden dabei die Risikoregister verschiedener Ministerien geprüft und die Evaluierungsberichte zur aktuellen Leistung mit risikobezogenen Informationen und Erkenntnissen unterfüttert (National Audit Office, 2011[13]).
Ermittlung und Analyse von Integritätsrisiken
Eine Risikoabschätzung ist ein iterativer Prozess, mit dessen Hilfe eine Organisation erkennen kann, welche Faktoren sie näher an ihr Ziel bringen bzw. welche sie von ihren Zielen abhalten. Dazu muss sie die inhärenten Risiken3 und die Restrisiken4 ermitteln, die sich ihr in den Weg stellen. Eine klare Verknüpfung der Risikoabschätzung mit den Zielen ist essentiell, denn nur so kann sichergestellt werden, dass der Umfang der Risikoabschätzung richtig abgesteckt wird und der Prozess selbst sowie die Risikoregister nicht mit Informationen überladen werden. Am Ende geht es bei einer Risikoabschätzung darum, Entscheidungen zu erleichtern. Indem spezifische Ziele an Risiken geknüpft werden (und nicht umgekehrt), kann sich eine Einrichtung auf die Risiken konzentrieren, die wirklich wichtig sind. Korruptions- und Betrugsrisikoabschätzungen können gesondert durchgeführt werden oder in die allgemeine Risikoabschätzungstätigkeit einer Organisation eingebettet werden. Wichtig ist dabei, dass die Zusammenhänge zwischen den verschiedenen Risikokategorien (z. B. strategische, operative, finanzielle, Compliance- und reputationsbezogene Risiken) berücksichtigt werden.5
Für die Durchführung einer Integritätsrisikoabschätzung gibt es kein Patentrezept – sie muss individuell an die Bedürfnisse einer Organisation angepasst werden. Bewertet werden können spezifische Risiken, bestimmte Risikofaktoren6 oder beides zusammen. Korruptions- und Betrugssysteme, die sich auf die Ziele einer Organisation auswirken können, stellen z. B. ein spezifisches Risiko dar. Wie solche Risiken bewertet werden können, wird nachstehend näher erläutert. Risikofaktoren sind ebenfalls mit Zielen verknüpft, sie beziehen sich jedoch auf die Eigenschaften der Richtlinien, Verfahren und Tätigkeiten, die bei einer Beurteilung und zahlenmäßigen Bewertung besonders risikoträchtiger Arbeitsbereiche offenlegen und es der Einrichtung so ermöglichen, Prioritäten zu setzen. Wenn ein Verfahren besonders komplex ist, kann das z. B. ein Risikofaktor sein, der es einer Organisation erschwert, einen wirksamen Aufsichtsmechanismus durchzusetzen oder Betrug und Korruption zu vermeiden.
Ein weiteres Beispiel für einen Risikofaktor ist der Grad der Abhängigkeit eines Auftragnehmers von Subunternehmen oder Dritten, da viele Behörden regelmäßig Auftragnehmer mit der Beschaffung von Waren und Dienstleistungen beauftragen. Je nach den Prioritäten der Organisation können die Risikofaktoren gewichtet und/oder nach festen Kriterien bewertet werden. So kann eine Organisation den Risikofaktor der Abhängigkeit von Dritten etwa wie in Tabelle 10.1 bewerten. Auch für andere Risikofaktoren – z. B. das Haushaltsvolumen, die Auswirkung eines Programms auf die betroffenen Akteure, die Betrugsanfälligkeit oder die Zahl und Art der Empfehlungen der Rechnungsprüfer*innen – können Kriterien aufgestellt werden.
Im Gegensatz zu Risikofaktoren wird bei der Bewertung spezifischer Risiken zwischen inhärenten und Restrisiken unterschieden. Zunächst erfolgt die Bewertung der inhärenten Risiken, d. h. der Risiken, die ohne bzw. vor Anwendung von Kontrollmaßnahmen bestehen. Ein Beispiel: Zunächst könnte bewertet werden, wie wahrscheinlich es im Zusammenhang mit der Nutzung von Tickets für öffentliche Verkehrsmittel oder Kreditkarten, die den Mitarbeiter*innen von ihrem Arbeitgeber zur Verfügung gestellt werden, zu Betrug kommt und welche Auswirkungen ein solcher Betrug haben kann. Zur Bewertung der Wahrscheinlichkeit und der Auswirkungen würde sich entweder ein zahlenmäßiger Wert (z. B. auf einer Skala von 1 bis 5) oder eine Einstufung nach Klassen anbieten (z. B. gering, mittel und hoch). Um die Bewertung zu erleichtern, könnten die Wahrscheinlichkeits- bzw. Auswirkungswerte an spezifische Kriterien geknüpft werden. So könnte sich eine Organisation, die Risiken im Vergabewesen bewerten möchte, z. B. am Auftragswert oder der Auftragshäufigkeit orientieren, um die Auswirkungen eines möglichen Betrugs zu bewerten, und eine Abstufung von einem sehr hohen Risiko (Risikowert 5) bis zu einem sehr geringen Risiko (Risikowert 1) vornehmen. Auch Restrisiken werden im Rahmen der Risikoabschätzung nach diesem Schema bewertet.
Das Restrisiko ist das Risiko, das bleibt, nachdem Maßnahmen zur Risikominderung umgesetzt wurden. Im obigen Beispiel würde nach der Erstbewertung der inhärenten Risiken eine zweite Analyse folgen, bei der die Wahrscheinlichkeit und die Auswirkungen von Betrug nach der Einführung von Kontrollmaßnahmen (z. B. von Verfügungslimits bei Kreditkarten) nochmal neu bewertet werden. Wie im nächsten Abschnitt erläutert, würde die Organisation das so ermittelte Restrisiko danach in Relation zu den Risikokriterien setzen, um (anhand der sich daraus ergebenden Toleranzen7) dann zu entscheiden, ob die Kontrollmaßnahmen angepasst werden sollten oder nicht. Sowohl bei den inhärenten als auch bei den Restrisiken gilt es bei der Analyse einen häufigen Fehler zu vermeiden, der darin besteht, statt der Risiken, die die Verwirklichung der Ziele verhindern könnten, die Kontrollmaßnahmen und deren Folgen zu untersuchen.
Um für eine qualitativ hochwertige Risikoanalyse zu sorgen, kann eine Organisation verschiedene Quellen heranziehen. Rechnungsprüfungsberichte, Mitarbeiter*innenumfragen, Beurteilungen des Kontrollrisikos und die Durchführung von SWOT-Analysen (Strengths, Weaknesses, Opportunities, Threats) sind beliebte Methoden zur Ermittlung potenzieller Risiken. Das organisationseigene oder nationale Risikoregister einzusehen (falls es ein solches gibt) ist eine weitere Möglichkeit, um Trends oder Systeme zu erkennen, die auf Betrug oder Korruption hinweisen. Darüber hinaus sind Risikoabschätzungen immer auch eine Gemeinschaftsaufgabe. Durch die Einbeziehung von Mitarbeiter*innen aus unterschiedlichen Abteilungen können verschiedene Sichtweisen eingebracht und die Ergebnisse validiert werden. Führungskräfte und Bedienstete, die an vorderster Front für funktionierende Abläufe oder die Erbringung von Leistungen sorgen, wie z. B. Vertragsmanager*innen, die direkt mit Zulieferern verhandeln, oder im Gesundheitsbereich tätige Bedienstete, die in direktem Kontakt mit Leistungsempfänger*innen stehen, nehmen die Wahrscheinlichkeit und die Auswirkungen bestimmter Risiken möglicherweise ganz anders wahr. So können Bedienstete mit direktem Bürger*innenkontakt neue Risiken möglicherweise schneller erkennen als Führungskräfte.
In einigen Bereichen, in denen in der Regel zuverlässige und valide Daten erhoben werden, können quantitative Methoden und Datenanalysen die Aufdeckung potenzieller Betrugs- und Korruptionsfälle erleichtern. Solche Bereiche sind z. B. öffentliche Bauvorhaben, die öffentliche Auftragsvergabe, Löhne und Gehälter, Sozialdienste, Krankenversicherungsleistungen und die öffentliche Arbeitsverwaltung. Quantitative Ansätze können allerdings ressourcenintensiv sein und erfordern häufig Fachkompetenzen und Investitionen in IT-Infrastruktur, Software und Schulungen. Bevor große Investitionssummen in quantitative oder datengestützte Risikoabschätzungsmethoden gesteckt werden, kann es daher sinnvoll sein, zunächst Kosten-Nutzen-Analysen und Pilotprojekte durchzuführen.
Der Schlüssel zu einer erfolgreichen Risikoabschätzung liegt für viele Organisationen darin, die Prozesse an den eigenen Kontext anzupassen und die Abschätzungen regelmäßig durchzuführen, wobei die Häufigkeit je nach Einrichtung variiert. Kasten 10.4 zeigt, wie slowakische Behörden bei der Analyse von Betrugs- und Korruptionsrisiken vorgehen.
Die slowakischen Behörden, die für die Umsetzung operationeller Programme (OP) aus den ESI-Fonds zuständig sind, arbeiten nach eigenen Risikomanagementverfahren, auf die sich ihre Risikoabschätzungen stützen. Danach besteht das Risikomanagement aus fünf verknüpften Phasen, zu denen auch die Risikoabschätzung gehört (vgl. Abbildung 10.1). Ein Schlüsselelement des Prozesses ist die Feedback-Schleife, die den iterativen Charakter von Risikoabschätzungen verdeutlicht und zeigt, dass durch Monitoring ein kontinuierlicher Lernprozess ermöglicht wird.
In der ersten Phase geht es darum, potenzielle Risiken zu erkennen, die das Erreichen der OP-Ziele beeinträchtigen könnten. Diese Risiken werden entweder in einen allgemeinen oder einen spezifischen Risikokatalog aufgenommen und umfassen Betrugs- und Korruptionsrisiken. Danach folgt eine Analyse und Evaluierung der Risiken entsprechend ihrer Signifikanz und Eintrittswahrscheinlichkeit, wobei Risikomatrizen verwendet werden, die bei der Bestimmung des Gesamtrisikos helfen. Betrugs- und Korruptionsrisiken mit einem Gesamtrisikowert %3E 4 werden von den Risikoanalysebeauftragten als signifikant und kritisch eingestuft. Im Anschluss werden die Risiken in ihren jeweiligen Risikokatalog eingeordnet, für den dann eine eigene Liste besonders kritischer Risiken erstellt wird. Wie die ermittelten und bewerteten Risiken zu behandeln sind, ist in den Risikomanagementverfahren für die einzelnen OP vorgegeben.
Quelle: Vortrag von Vertreter*innen des Umweltministeriums der Slowakischen Republik, Bratislava im Februar 2019.
Risikoevaluierung und Risikominderungsstrategie
Nachdem die inhärenten und Restrisiken für Integrität ermittelt und bewertet wurden, ist im nächsten Schritt zu bestimmen, ob und wie auf diese Risiken reagiert werden soll. In dieser Phase geht es darum, die Ergebnisse aus der Risikoanalyse anhand spezifischer Risikokriterien zu evaluieren (d. h. die Risikotoleranzen zu bestimmen) und die Risikominderungsstrategie der Organisation zu verfeinern. Der Begriff „Risikokriterien“ bezieht sich auf den Risikograd, den eine Organisation bereit ist einzugehen. In der Praxis handelt es sich um Toleranzen, die als Grenzwerte dienen und als solche Entscheidungen erleichtern und dafür sorgen, dass die eingeleiteten Kontrollmaßnahmen wirksam und verhältnismäßig sind.
Führungskräfte sollten diese Kriterien vorab festlegen, noch bevor mit den Risikoabschätzungen begonnen wird. Um sicherzustellen, dass die Risikokriterien möglichst objektiv sind und den Richtlinien, Vorschriften und Zielen der Organisation entsprechen, können neben den Führungskräften auch verschiedene Gremien und Rechnungsprüfungsausschüsse in deren Festlegung einbezogen werden. „Null Toleranz“ gegenüber Korruption und Betrug ist kein hilfreiches Risikokriterium. Sie kann zwar ein hilfreiches Motto sein, um das Risikobewusstsein der Mitarbeiter*innen zu schärfen. Den Risikoabschätzungsprozess kann sie jedoch – neben sonstigen unbeabsichtigten Nebeneffekten – behindern, z. B. wenn sie Führungskräfte davon abhält, offen über wahrgenommene Risiken in ihrem Zuständigkeitsbereich zu sprechen. Im Gegensatz zu Nulltoleranzerklärungen wirken sich kontextspezifische Risikokriterien tatsächlich auf die Bewertung und Anpassung der Kontrollmaßnahmen aus.
Der Anspruch, alle Betrugs- und Korruptionsrisiken zu ermitteln und gegen sie vorzugehen, ist unrealistisch. Die Risikokriterien (bzw. Risikotoleranzen) sollten deshalb dort gezogen werden, wo die Organisation das betreffende Problem umfassend untersuchen und für entsprechende Gegenmaßnahmen sorgen will bzw. kann (Fountain, 2015[15]). Risikokriterien helfen Führungskräften bei der Entscheidung, ob sie ein Risiko eingehen, vermeiden, verringern oder streuen wollen. Kann durch Kontrollmaßnahmen gewährleistet werden, dass das Risiko den mithilfe der Risikokriterien festgelegten Grenzwert nicht überschreitet, kann es am effektivsten und ressourceneffizientesten sein, das Restrisiko einfach zu akzeptieren (z. B. bei Vorgängen, bei denen das interne Betrugsrisiko unterhalb eines bestimmten Betrags liegt). Stellt sich heraus, dass sich ein Risiko trotz Kontrollmaßnahmen nicht auf ein annehmbares Niveau verringern lässt, muss entschieden werden, ob das Risiko vermieden, verringert oder gestreut werden soll.
Ein Risiko zu vermeiden bedeutet, die betreffende Politik oder die damit verbundenen Tätigkeiten einzustellen. So kann eine Einrichtung z. B. festlegen, dass grundsätzlich keine Geschenke von Projektpartner*innen angenommen werden dürfen, oder sie kann beschließen, die Beziehung mit einem risikoträchtigen Lieferanten zu beenden, um das Risiko so vollständig auszuräumen. Daneben gibt es auch unvermeidliche Risiken, wie z. B. das Risiko falscher Krankmeldungen oder die versuchte Erschleichung öffentlicher Leistungen. Um solche Risiken zu mindern, müssen die Verfahren und Kontrollmaßnahmen so angepasst werden, dass die Wahrscheinlichkeit und die Auswirkungen eines Risikoeintritts verringert werden. Das Prinzip der Risikostreuung ist zwar eher aus der Wirtschaft bekannt, es lässt sich jedoch auch auf den öffentlichen Sektor anwenden. In der Regel wird das Risiko dabei an eine Drittpartei wie beispielsweise eine Versicherungsgesellschaft übertragen, die Verluste im Fall eines Risikoeintritts deckt.
Risikomatrizen, Risikoregister oder auch einfache Excel-Tabellen können dabei helfen, die Ergebnisse einer Risikoabschätzung zu dokumentieren und Zusammenhänge zwischen Risiken und Kontrollmaßnahmen zu erkennen. Abbildung 10.2 veranschaulicht, wie Risikowerte kategorisiert und die erforderlichen Maßnahmen sowie die Funktionen und Zuständigkeiten der einzelnen Risikoverantwortlichen kommuniziert werden können. Unabhängig davon, wie genau die Ergebnisse der Risikoabschätzungen dokumentiert werden, müssen sie unbedingt den annehmbaren Risikograd anzeigen, der anhand fester Kriterien vorab zu bestimmen ist. Sogenannte Heatmaps8 und andere Instrumente, die zwar die Wahrscheinlichkeit und die Auswirkungen eines Risikos anzeigen, nicht aber den annehmbaren Risikograd, sind für Entscheidungen oder die Anpassung der Minderungsmaßnahmen nur bedingt hilfreich.
Eine Risikomatrix ist eine Möglichkeit, eine relative Risikoeinstufung vorzunehmen. Eine absolute Einstufung, d. h. die Priorisierung der Risiken nach ihrem jeweiligen nummerischen Risikowert, ist ebenfalls möglich. Für welchen Ansatz eine Organisation sich auch entscheidet: wichtig ist, dass sie sich der Verzerrungseffekte (biases) bewusst ist, die bei der Einstufung der Risiken entstehen können, und dass sie den Risikoabschätzungsprozess einer Qualitätsprüfung unterwirft. Es kann nämlich z. B. sein, dass Führungskräfte den Eindruck vermeiden wollen, dass es in ihrem Zuständigkeitsbereich bestimmte Korruptions- oder Betrugsrisiken gibt. Umgekehrt kann es aber auch sein, dass bestehende Risiken übertrieben werden, um mehr Geld für Kontrollmaßnahmen, Hilfsmittel, Schulungen oder andere Ressourcen zu rechtfertigen. Durch Validierungsprozesse, die in die Risikoabschätzung integriert sind, können solche Verzerrungseffekte gezielt minimiert werden.
Wie die Ergebnisse einer Risikoabschätzung dokumentiert und kommuniziert werden, ist je nach Organisation unterschiedlich. Dennoch gibt es eine Reihe von Überlegungen, die unabhängig vom Kontext für alle Einrichtungen relevant sein dürften. Erstens können Risikoregister und ähnliche Instrumente eine Organisation dabei unterstützen, Risiken über längere Zeiträume zu erfassen, den Risikoabschätzungsprozess zu optimieren und ihre Integritätsstrategien zu verbessern. Webbasierte Dashboards, die eine visuelle und animierte Darstellung der Risiken ermöglichen, können die Entscheidung über Minderungsmaßnahmen ebenfalls erleichtern. Zweitens sind gründliche Risikoabschätzungen nicht nur für Führungskräfte und Rechnungsprüfer*innen hilfreich, sondern können im Zusammenhang mit der Bewertung von Integritätsrisiken auch dazu genutzt werden, vertrauliche Informationen über die Betrugs- und Korruptionsanfälligkeit einer Organisation zusammenzufassen. Bei der Planung des Risikoabschätzungsprozesses kann sich eine Organisation genau überlegen und klar kommunizieren, wie der Prozess kontrolliert werden soll und welche Richtlinien und Verfahren im Hinblick auf die Informationssicherheit, die Anonymität der beteiligten Akteure und die Verwendung der Ergebnisse gelten. So kann bei den Beteiligten für eine stärkere Vertrautheit mit dem Prozess und eine regere Beteiligung gesorgt werden.
10.2.3. Monitoring und Evaluierung des Integritätsrisikomanagements
Ein wichtiger Bestandteil des Gesamtrahmens für das Risikomanagement ist der Monitoring- und Evaluierungsprozess. Er kann dabei helfen, die Richtlinien und Praktiken für den Umgang mit Integritätsrisiken zu bewerten und bei Bedarf erforderliche Änderungen anzustoßen. Das Monitoring und die Evaluierung können dabei ressortübergreifend stattfinden, um systemische Fragen aufzugreifen, oder sich auf eine bestimmte Einrichtung beschränken, um das Risikomanagement auf institutioneller Ebene zu optimieren.
Monitoring und Evaluierung auf Systemebene
Eine wichtige Aufgabe von Einrichtungen mit ressortübergreifender Verantwortung ist es, die systemweiten Standards, Richtlinien und Verfahren für die Innenrevision und das Risikomanagement zu evaluieren. Diese Prüfungen werden häufig von internen und externen Rechnungskontrollstellen, Antikorruptionsbehörden und Regulierungsbehörden durchgeführt, wobei die Federführung je nach Land von anderen Einrichtungen übernommen werden kann. Im Rahmen einer unabhängigen und umfassenden externen Evaluierung können wichtige Aspekte der Innenrevisions- und Risikomanagementpolitik beurteilt werden. Dabei wird u. a. geprüft, inwieweit die bestehenden Standards, Richtlinien und Verfahren dazu beitragen, Integritätsrisiken in Schach zu halten, ob die Vorgaben aufeinander abgestimmt sind und wie klar die Rollen und Zuständigkeiten in der Kontrollumgebung für das Integritätsrisikomanagement verteilt sind. So prüft der Rechnungshof Österreich beispielsweise die Korruptionspräventionssysteme öffentlicher Einrichtungen und untersucht dabei auch, ob ausreichende Bestimmungen zur Abfederung der Integritätsrisiken vorliegen. Solche Prüfungen können systemweite Mängel aufdecken, wodurch der Staat die Rahmenbedingungen für die Innenrevision und das Risikomanagement durch einen koordinierten und ressortübergreifenden Ansatz verbessern kann.
Einrichtungsspezifisches Monitoring und Feedback
Die Wirksamkeit der Kontrollmaßnahmen gegen Betrugs- und Korruptionsrisiken hängt von operativen, regulatorischen, technischen und zahlreichen anderen Faktoren ab. Einzelne Innenrevisionsmaßnahmen, Risikomanagementmaßnahmen und das Innenrevisionssystem als Ganzes sollten deshalb regelmäßig überwacht werden, um sicherzustellen, dass der Rahmen funktioniert und die Kontrollmaßnahmen optimal auf die Bedürfnisse zugeschnitten sind. Mithilfe von Monitoring kann jede Einrichtung ihr Risikomanagement und ihre Revisionsprozesse kontinuierlich verbessern. Werden im Rahmen des Monitorings Mängel aufgedeckt, kann die Führung zügig Verbesserungen und Korrekturen einleiten und diese überwachen (COSO, 2016[7]). Ein aktives Monitoring des Innenrevisions- und Risikomanagementrahmens kann im Zusammenhang mit der Integritätssicherung dabei helfen, die Prävention und die Aufdeckung potenzieller oder mutmaßlicher Betrugs-, Korruptions- oder Missbrauchsfälle zu verbessern.
In welcher Form und wie häufig das Monitoring stattfinden soll, kann jede Organisation entsprechend der Rechtslage bzw. den geltenden Richtlinien selbst festlegen. Kontinuierliche Evaluierungen laufen als routinemäßige Prozesse ab, bei denen die Revisionstätigkeiten in Echtzeit überwacht werden. Daneben können interne Rechnungsprüfer*innen oder externe Dritte regelmäßig gesonderte Bewertungen durchführen. In den Risikoregistern erfasste Informationen über bekannte Betrugs- und Korruptionsvorgänge sowie über besonders risikoträchtige Bereiche können in einem risikobasierten Evaluierungsansatz als Grundlage für ein gezieltes Monitoring dienen.
Jede Einrichtung sollte in ihren Richtlinien für das Integritätsrisikomanagement alle Monitoring- und Evaluierungsmaßnahmen einschließlich der entsprechenden Funktionen und Zuständigkeiten klar darlegen. In den Niederlanden entwickelten das Amt für die Förderung der Integrität im öffentlichen Sektor (BIOS), die Integritätsstelle der Stadt Amsterdam und der niederländische Rechnungshof gemeinsam ein Instrument zur Integritätsselbstbeurteilung: Mit IntoSAINT können Organisationen ihre Anfälligkeit und Widerstandsfähigkeit gegen Integritätsverletzungen evaluieren und erhalten Empfehlungen zur Verbesserung ihres Integritätsmanagements. Nach einer Bestandsaufnahme der wichtigsten und der begleitenden Verfahren in der betreffenden Einrichtung wählen die Teilnehmer*innen die risikoanfälligsten Verfahren aus und ermitteln, welche Integritätsrisiken am größten sind. Die Ergebnisse werden anschließend mit kulturellen Faktoren (z. B. Sensibilisierungsmaßnahmen und Rolle der Führungsebene) und der Angemessenheit der Systemmaßnahmen (d. h. der Maßnahmen zur Einbindung und Festigung der Integritätspolitik) kombiniert. Die in einem Bericht zusammengefassten Ergebnisse geben Aufschluss darüber, wie gut das bestehende Integritätssystem funktioniert. Die Einrichtungen können anhand der Daten ihre bestehende Integritätspolitik aktualisieren oder sie als Ausgangspunkt für eine fundiertere Analyse nehmen. In Anlehnung an IntoSAINT entwickelte Polen ein ähnliches Instrument zur Selbstbeurteilung in Integritätsfragen, das an alle Fachministerien verteilt wurde.
Ein weiteres Beispiel liefern die Richtlinien für Betrugs- und Korruptionsbekämpfung des Department of Justice and Attorney-General (DJAG) im australischen Queensland. Hier wird ein*e Fraud Control Officer (FCO) aus der Corporate Governance Unit des Ministeriums gezielt damit beauftragt, die Rahmenbedingungen für das Betrugs- und Korruptionsrisikomanagement zu verbessern. Der*die FCO hält den Vorsitz über die Fraud Risk Operational Group, die u. a. dafür zuständig ist, die Prüfung bestimmter Politikbereiche, Rechnungsprüfungsfragen, Beschwerden, Schulungen und Konformitätsfragen zu beaufsichtigen und dafür zu sorgen, dass die Rahmenbedingungen für die Betrugs- und Korruptionsbekämpfung alle zwei Jahre oder bei Bedarf auch öfter geprüft werden (Department of Justice and Attorney-General, 2017[16]).
10.2.4. Einheitliche und zügige Verfahren innerhalb des Innenrevisions- und Risikomanagementrahmens
Zur Innenrevision einer öffentlichen Einrichtung gehören klare Verfahren für den Umgang mit mutmaßlichen Verstößen gegen Gesetze, Abläufe oder Integritätsstandards. Welche Maßnahmen im Einzelnen nötig sind, kann von der Größe und Funktion der Einrichtung sowie von den jeweiligen Governance-Regelungen abhängen. Der Staat kann jedoch eine wichtige Rolle dabei spielen, die Meldung von Verdachtsfällen und die Reaktionen darauf ressortübergreifend zu koordinieren.
Sicherstellung eines einheitlichen Vorgehens im Umgang mit Integritätsverletzungen
Zur Sicherung der Einheitlichkeit ist es sinnvoll, Standardprotokolle und Mechanismen für die Meldung und den Umgang mit mutmaßlichen Integritätsverletzungen an zentraler Stelle festzulegen. Dadurch steht allen öffentlichen Einrichtungen ein ausreichender Katalog an Bestimmungen für den Umgang mit Korruption und Integritätsverletzungen zur Verfügung, die sie in ihre Gesamtintegritätsstrategie einbinden können. Außerdem werden durch einen zentralisierten Ansatz Doppelungen vermieden und Lücken in den Rahmenbedingungen für die Innenrevision und das Risikomanagement minimiert. Das Regierungszentrum oder eine andere zuständige Stelle können dafür sorgen, dass gemeinsame Verfahren und Kriterien angewandt werden, damit alle Bediensteten und auch die Bürger*innen mutmaßliche Integritätsverletzungen ohne Angst vor Repressalien melden können. So kann das Regierungszentrum etwa festlegen, dass öffentliche Einrichtungen eigene Hotlines oder andere Kommunikationskanäle einrichten. Klare Meldewege und ein einheitliches Meldesystem sind für ein wirksames Innenrevisionssystem von wesentlicher Bedeutung.
Umgang mit Integritätsverletzungen innerhalb einer Organisation
Vom Regierungszentrum vorgegebene Richtlinien und Orientierungshilfen sorgen zwar für Einheitlichkeit, doch sie spiegeln nicht immer den institutionellen Kontext der einzelnen Einrichtungen wider. Klare Mechanismen können hier helfen, angemessen auf potenzielle Integritätsverletzungen oder Gesetzesverstöße zu reagieren.
Sehr häufig sind es die Mitarbeiter*innen, die potenzielle Integritätsverletzungen oder Rechtsbrüche erkennen. Deshalb sollten öffentliche Einrichtungen eine Kultur schaffen, in der die Mitarbeiter*innen sich sicher dabei fühlen, Verdachtsfälle zu melden (vgl. Kapitel 9). Dafür braucht es klare interne und externe Meldewege und die Bediensteten müssen ausreichend geschützt werden, wenn sie einen mutmaßlichen Korruptions- oder Betrugsfall melden. Jede Einrichtung sollte über Richtlinien verfügen, in denen festgelegt wird, welche Verfahren bei der Meldung eines Fehlverhaltens zu befolgen sind und welche Optionen den Meldenden zur Verfügung stehen. Die Bediensteten können Verdachtsfälle ihren Vorgesetzten, der Personalabteilung, der Innenrevisionsabteilung oder einer anderen dafür vorgesehenen Person innerhalb der Einrichtung melden. In vielen öffentlichen Einrichtungen gibt es Hotlines, um auch anonyme Meldungen zu ermöglichen. Um die Umsetzung des Meldemechanismus zu vereinfachen, sollte unabhängig von der Meldeform klar kommuniziert werden, wie eine Meldung erfolgen kann.
Tritt innerhalb einer Organisation ein Betrugs- oder Korruptionsverdacht auf, braucht es angemessene Verfahren, um richtig darauf reagieren zu können. Die Verfahren hängen dabei von der Art und Schwere des mutmaßlichen Fehlverhaltens ab. So können Kleinvergehen unmittelbar von der Führung geregelt werden, wohingegen schwerwiegendere Fälle insbesondere bei Verdacht auf strafrechtliche Relevanz möglicherweise ein umfassendes Untersuchungsverfahren erfordern. Der Zweck einer Untersuchung muss in der Integritätspolitik klar dargelegt sein und sollte während des gesamten Untersuchungsprozesses berücksichtigt werden. Darüber hinaus ist bei den Untersuchungen auf die Einhaltung der geltenden gesetzlichen Bestimmungen (insbesondere des Straf- und Arbeitsrechts) sowie der Vorgaben für Ermittlungsverfahren zu achten.
Nach Abschluss der Untersuchung sollten die Ergebnisse der Führung vorgelegt werden. Danach muss die Einrichtung entscheiden, wie darauf reagiert werden soll. Hat tatsächlich Betrug oder Korruption stattgefunden, sind von Disziplinarmaßnahmen bis hin zu Strafanzeigen verschiedene Maßnahmen möglich. In Bezug auf Verstöße mit strafrechtlicher Relevanz sollten alle Meldepflichten gegenüber externen Stellen in den Integritätsrichtlinien der Einrichtung dargelegt werden. Darüber hinaus kann es für die Führung hilfreich sein, die gewonnenen Erkenntnisse nach Abschluss der Untersuchung festzuhalten, um entsprechende Lehren daraus zu ziehen.
10.2.5. Innenrevisionsfunktion zur Unterstützung des Integritätsrisikomanagements und der Innenrevision durch unabhängige und objektive Prüfung und Beratung
Mehrwert der Innenrevision
Die Aufgabe einer Innenrevisionsfunktion ist es zu prüfen, ob die Innenrevisionssysteme, die Verfahren, die Governance-Regelungen und die Risikomanagementprozesse einer öffentlichen Einrichtung angemessen und wirksam sind und ob die betreffende Einrichtung leistungsfähig ist (The Institute of Internal Auditors, 2016[17]). Die Rolle der Innenrevision geht demnach über die complianceorientierte und rein regelbasierte Prüfung von Kontrollmaßnahmen hinaus. Der Mehrwert, den diese Funktion einer öffentlichen Einrichtung bietet, ist nach heutiger Auffassung also breiter gefächert. So geht es bei der Innenrevision nicht nur um Finanzziele und Ressourcenkontrolle, sondern auch um bessere Entscheidungen und ein besseres Risikomanagement, um letztlich die Gesamtstrategie und die operativen Ziele der Einrichtung zu unterstützen.
Die Innenrevisor*innen öffentlicher Einrichtungen spielen eine wichtige Rolle dabei, unabhängig und objektiv zu prüfen, ob öffentliche Gelder wirksam dafür eingesetzt werden, ein beabsichtigtes Ergebnis zu erreichen. Durch ihre objektiven und werteorientierten Ergebnisse und Informationen können sie öffentlichen Einrichtungen dabei helfen, Integritätsrisiken genauer abzuschätzen und besser mit ihnen umzugehen. Zu ihren Aufgaben gehört es, das Betrugspotenzial und den Umgang einer Einrichtung mit Betrugsrisiken zu bewerten (The Institute of Internal Auditors, 2016[17]). In der Praxis bedeutet das, dass sie Integritätsrisikofaktoren ermitteln und dann bewerten, ob diese Risiken wirksam behandelt werden, auch wenn die betreffende Einrichtung möglicherweise über kein formelles Integritätsrisikomanagementprogramm verfügt. So können Innenrevisor*innen u. a. auf Bereiche mit besonders hohem Integritätsrisiko hinweisen, z. B. Beziehungen mit Drittparteien, ausgelagerte Tätigkeiten oder die Auftragsvergabe. Die Empfehlungen der Revisor*innen zur Verbesserung der Kontrollumgebung in diesen risikoträchtigen Arbeitsbereichen können die Arbeit der Einrichtung zur Vermeidung und Aufdeckung von Betrug und Korruption enorm weiterbringen.
Eine investigative Funktion wird von den Innenrevisor*innen nicht erwartet. Laut den genannten Standards sollten Innenrevisor*innen zwar genug wissen, um die Betrugsrisikofaktoren und das Betrugsrisikomanagement einer Einrichtung evaluieren zu können; das nötige Wissen und die Expertise für eine investigative Rolle wird allerdings nicht verlangt. Inwieweit sie sich an der Untersuchung mutmaßlicher Integritätsverletzungen beteiligen, hängt von der Größe der Einrichtung, ihren Ressourcen und anderen Faktoren ab. Die Government Internal Audit Agency (GIAA) im Vereinigten Königreich hat z. B. eine eigene Service-Hotline eingerichtet, die öffentliche Einrichtungen zu Betrugsbekämpfungsstrategien berät und ihnen Auskunft darüber gibt, wie sie mutmaßliche interne Betrugsfälle oder Lieferantenbetrug aufklären können. Dieser spezialisierte Dienst wird zusätzlich zu den Kernaufgaben der GIAA (Innenrevision und Prüfung) angeboten. Laut GIAA-Jahresbericht 2018-2019 konnte die Betrugsbekämpfungs- und Untersuchungseinheit unter allen Einrichtungen, die den Dienst in Anspruch nahmen, insgesamt eine Betrugssumme von 1 Mio. GBP aufdecken und zusätzlich 1 Mio. GBP an Verlusten vermeiden.
Eine weitere Aufgabe der Innenrevision besteht darin, die Wirksamkeit der Ziele und Tätigkeiten der Einrichtung in Bezug auf ethische Fragen zu evaluieren und die Verfahren zu bewerten, mit denen die Einrichtung ethisches Verhalten und Werte fördern will. Dazu kann z. B. bewertet werden, inwieweit die Governance-Struktur zur Förderung einer Integritätskultur beiträgt oder welche Verfahren es für Whistleblower*innen gibt. Durch die regelmäßige und risikobasierte Prüfung der Integritätsrisikofaktoren können Bereiche ermittelt werden, die eine größere Integritätsrisikogefährdung aufweisen, damit die Führung zügig Gegenmaßnahmen ergreifen kann. In ihrer Erhebung über die Vermeidung von Korruption in Kommunen wies die französische Antikorruptionsbehörde (AFA) 2018 darauf hin, dass der Auftrag der Innenrevisionsfunktion in einigen Einrichtungen ausdrücklich auch Korruptionsbekämpfung umfasst.
Neben der Evaluierung von Integritätsrisikofaktoren spielen Innenrevisor*innen auch eine wichtige Rolle dabei, die Wirksamkeit und Effizienz interner Kontrollmaßnahmen für Integritätsrisiken zu bewerten und mögliche Verbesserungspotenziale aufzuzeigen. Dies kann z. B. in Form einer Prüfung oder Evaluierung der Wirksamkeit einzelner Bestandteile des Integritätsrisikomanagements erfolgen (z. B. von Betrugs- oder Korruptionsbekämpfungsprogrammen), oder indem bewertet wird, wie gut diese Bestandteile ineinandergreifen. Eine risikobasierte Auswahl der Prüfpunkte kann den Revisor*innen dabei helfen zu bestimmen, wie ermittelt werden soll, welche Risiken für die Ziele der Einrichtung am relevantesten sind, und was auf der Grundlage vorab definierter Risikokriterien genau geprüft werden soll. Anders als bei zyklischen oder ereignisorientierten Prüfungen können so die Fallstricke vieler complianceorientierter Methoden umgangen werden und die Führungskräfte werden nicht mit Prüfungen und Revisionen überladen.
Mit ihren Tätigkeiten kann die Innenrevision die Führungskräfte also dabei unterstützen, die Prozesse und Kontrollmaßnahmen des Integritätsrisikomanagements auf die Ziele der Einrichtung auszurichten, damit diese Prozesse die Verwirklichung strategischer Ziele fördern und eine solide Entscheidungsgrundlage bilden. Im Internet gibt es kostenlose ebenso wie zahlungspflichtige Regelwerke und Leitlinien, die Revisor*innen dabei unterstützen, Integritätsmaßnahmen oder Betrugsbekämpfungsprogramme zu evaluieren. Sie enthalten hilfreiche Empfehlungen dazu, wie „harte“ Kontrollmaßnahmen (Richtlinien, Verfahren, Strukturen usw.) und zunehmend auch „weiche“ Kontrollmaßnahmen (Kultur, Verhalten von Führungskräften, Ton an der Spitze usw.) verbessert werden können, ohne aus dem Blick zu verlieren, dass die Revisor*innen auch das persönliche Verhalten, die Motivation und die Einstellung der Betroffenen berücksichtigen müssen.
Darüber hinaus können Innenrevisor*innen noch andere wichtige Rollen im Zusammenhang mit der Integritätssicherung übernehmen. So können sie z. B. eine unabhängige, objektive Sichtweise auf interne und externe strategische, operative und reputationsbezogene Risiken einbringen, um die persönlichen Risikoeinschätzungen der Führungskräfte zu schärfen. Außerdem können Innenrevisor*innen aus Sicht der Führungskräfte wichtige Verbündete beim Aufbau der Integritätskultur sein, z. B. indem sie sich an der Risikosensibilisierung der Mitarbeiter*innen beteiligen, Unterstützung beim Kapazitätsaufbau leisten (z. B. durch Schulungen und Workshops) oder wertebasierte Botschaften über Integrität und gute Regierungsführung vermitteln.
Abgrenzung zwischen Innenrevision und Risikomanagement
Innenrevisor*innen müssen darauf achten, dass sie gegenüber den anderen Verteidigungslinien – nämlich Führungskräften (erste Linie) und Risikomanager*innen (zweite Linie) – unabhängig bleiben. Im Integritätsrisikomanagement verwischen diese Grenzen oft, was teilweise darauf zurückzuführen ist, dass die erwähnten Standards den Innenrevisor*innen explizit eine Rolle bei der Integritätsrisikobewertung zuweisen. Die Innenrevision sollte jedoch niemals alleine für das Integritätsrisikomanagement verantwortlich sein. Führungskräfte der sogenannten zweiten Verteidigungslinie, die in den Funktionen Finanzkontrolle, Qualitätssicherung, Compliance oder auch in der Inspektion tätig sind, spielen ebenfalls eine wichtige Rolle. Durch Data-Mining, Matching-Software und andere fortgeschrittene Analysetechniken können Risikomanager*innen auffällige Finanztransaktionen überwachen, die möglicherweise auf eine Integritätsverletzung hinweisen. Tabelle 10.2 liefert einige Beispiele, wie sich die spezifischen Aufgaben und Zuständigkeiten von Innenrevisor*innen genau abstecken lassen, um Doppelarbeit und Überschneidungen mit anderen Verteidigungslinien zu vermeiden.
Die konkreten Aufgaben der Innenrevision im Rahmen des Risikomanagements oder generell in der Betrugs- und Korruptionsprävention hängen vom jeweiligen Kontext ab. Tabelle 10.2 enthält bereits einige Leitlinien für die Formulierung von Standards und Good Practices. Die Gesetze und Richtlinien über die Aufgaben der Innenrevision sind in manchen Ländern wenig aussagekräftig oder definieren gar eine Rolle, die im Widerspruch zu internationalen Standards und bewährten Verfahren zu stehen scheint. Dies kann auf Einrichtungsebene teilweise korrigiert werden. Die Rolle der Innenrevision in der Betrugs- und Korruptionsprävention bzw. im Integritätsrisikomanagement muss klar festgelegt sein, in Richtlinien, Strategiepapieren oder in anderen Leitlinien wie z. B. einer Revisionscharta. In einem solchen Grundsatzpapier können die Aufgaben der Innenrevision in Bezug auf die Vorbeugung und Aufdeckung von Betrug und Korruption klar festgelegt werden, einschließlich der Aufgaben in Bezug auf die Bewertung und Behandlung von Integritätsrisiken, Sensibilisierung, die Untersuchung von Fällen und die Berichterstattung gegenüber der oberen Führungsebene. Da das Mandat der Innenrevision in der Regel alle Prozesse und Verfahren einer Einrichtung berührt, sind Innenrevisor*innen gut positioniert, einen Gesamtüberblick über das Integritätsrisikomanagement in der Einrichtung in Form von konsolidierten Berichten zu erstellen.
Da die personelle und sonstige Mittelausstattung der Innenrevisionsfunktion in öffentlichen Einrichtungen meistens relativ begrenzt ist, ist die Zusammenarbeit mit anderen Prüfungsfunktionen im Integritätsrisikomanagement von wesentlicher Bedeutung. So können die Revisor*innen z. B. an die Arbeit der zweiten Verteidigungslinie (z. B. der Finanzkontrolle oder der Inspektion) anknüpfen oder die Daten der obersten Rechnungskontrollbehörden, von Regulierungsbehörden, Ombudsstellen oder ähnlichen Behörden heranziehen, die ebenso an der Bewertung der Wirksamkeit von Integritätsrisikomanagementpraktiken beteiligt sind. Diese Zusammenarbeit kann in Form eines informellen Austauschs erfolgen oder z. B. durch die zeitliche Koordinierung bestimmter Tätigkeiten, um den zu prüfenden Arbeitsbereich möglichst nicht zu beeinträchtigen. Darüber hinaus können auch formelle Kriterien für die Nutzung der Daten des jeweils anderen Kooperationspartners definiert werden. Ein gesamtstaatlich koordinierter Ansatz bei der Berichterstattung im Integritätsrisikomanagement kann dabei helfen, Silostrukturen aufzubrechen, eine einheitliche Linie bei den Risikominderungsmaßnahmen zu finden und die Governance von Integritätsrisiken insgesamt zu verbessern.
Was die Umsetzung von Innenrevisions- und Risikomanagementrahmen für Integrität anbelangt, können die Länder und öffentlichen Einrichtungen vor unterschiedlichen Herausforderungen stehen. Je nach Reifegrad des Integritätssystems sind andere Probleme zu bewältigen. Dennoch gibt es einige Herausforderungen, die länderübergreifend zu beobachten sind. Im folgenden Abschnitt sind einige davon zusammen mit möglichen Lösungsansätzen zusammengefasst. Drei Aspekte stehen dabei im Vordergrund:
Vermeidung von Umsetzungslücken durch ein umfassendes Risikomanagement, das über einen Checklisten-Ansatz hinausgeht
Anpassung von Risikoabschätzungen und Kontrollmaßnahmen an sich verändernde Umstände
Wirksame Abstimmung mit Strafverfolgungs- und Ermittlungsbehörden zur Verbesserung von Feedback-Schleifen und Risikoabschätzungen
10.3.1. Vermeidung von Umsetzungslücken durch ein umfassendes Risikomanagement, das über einen Checklisten-Ansatz hinausgeht
Ein systematischer Ansatz – d. h. ein Ansatz, bei dem das Risikomanagement klar mit den Zielen der Einrichtung verknüpft ist, in bestehende Prozesse integriert ist und regelmäßig durchgeführt wird – ist für die wirksame Governance von Integritätsrisiken in der öffentlichen Verwaltung von wesentlicher Bedeutung. Dazu braucht es einen soliden Rechtsrahmen, begleitet von Standards und politischen Richtlinien. Gemeinsam bilden sie die Grundlage für die Innenrevision und das Risikomanagement. In vielen Ländern gibt es zwar entsprechende Bestimmungen, doch bei der Umsetzung der Risikomanagementprozesse durch die Regierungen und öffentlichen Stellen kommt es häufig zu Lücken. Nicht selten wird die Risikoabschätzung als ein complianceorientierter Vorgang bzw. als ein Prozess gesehen, bei dem es um das Abhaken einer Checkliste geht. Das führt dazu, dass die Risikobewertungen ad hoc durchgeführt werden. Hohe Führungskräfte und andere Bedienstete betrachten das Integritätsrisikomanagement möglicherweise nicht als ihre Aufgabe und verweisen stattdessen auf die Innenrevision. Folgende Maßnahmen können helfen, diese Herausforderungen zu meistern und die Innenrevisions- und Risikomanagementpraktiken in der gesamten öffentlichen Verwaltung zu stärken:
Verteilung klarer Zuständigkeiten – Die Zuständigkeiten für das Korruptionsrisikomanagement können in speziellen Integritätsrichtlinien festgelegt oder als Teil der Kontrollumgebung in bestehende Risikomanagementrichtlinien eingebunden werden. Nach internationalen Standards und Modellen (z. B. dem Modell der drei Verteidigungslinien des Institute of Internal Auditors) ist für die Ermittlung und Behandlung von Risiken zwar die Führungsebene zuständig, ein erfolgreiches Risikomanagement setzt jedoch die Mitarbeit aller Beschäftigten voraus. Neben den Risikomanagementfunktionen sind auch die Führungskräfte dafür verantwortlich, Betrugs- und Korruptionsrisiken im Alltag zu bewältigen (u. a. indem sie für funktionierende interne Kontrollmaßnahmen sorgen), ihnen generell vorzubeugen und sie aufzudecken.
Kapazitätsaufbau durch Schulungen – Formalisierte, regelmäßige und kontinuierliche Schulungsprogramme sorgen dafür, dass ständig neue Kompetenzen und Fähigkeiten zum Thema Risikomanagement aufgebaut werden. Stehen nur begrenzt Mittel zur Verfügung, sollten zunächst die Mitarbeiter*innen geschult werden, die unmittelbar für die Ermittlung und Minderung von Betrugs- und Korruptionsrisiken verantwortlich sind. Den Schulungsbedarf können die Referent*innen beispielsweise über Mitarbeiter*innenumfragen, international anerkannte Standards oder Beratungsgruppen ermitteln. Darüber hinaus tragen regelmäßige Schulungsbewertungen dazu bei, dass in den Schulungen tatsächlich die konkreten Betrugs- und Korruptionsrisiken behandelt werden, die in den einzelnen Einrichtungen anzutreffen sind. Nähere Informationen dazu finden sich in Kapitel 8.
10.3.2. Anpassung von Risikoabschätzungen und Kontrollmaßnahmen an sich verändernde Umstände
Systemische Integritätsrisiken können sich mit der Zeit verstärken, wenn sie nicht regelmäßig bewertet werden, denn Kontrollmaßnahmen können angesichts eines dynamischen Risikoumfelds schnell an Wirkung verlieren. Korruptions- und Betrugsmethoden verändern sich ständig – häufig gerade auch wegen neuer Kontrollbestimmungen. Außerdem kommt es vor, dass Führungskräfte sich über Kontrollmaßnahmen und Aufdeckungsinstrumente hinwegsetzen und Integritätsrisiken dann ad hoc bewertet und behandelt werden. Es ist deshalb sehr wichtig, dass die Richtlinien und Rahmen für die Evaluierung von Integritätsrisiken regelmäßige Bewertungen vorsehen, um das aktuelle Risikoprofil der Einrichtung sowie die Wirksamkeit der Kontrollmaßnahmen umfassend zu erfassen.
Insbesondere in Bereichen mit höheren Risiken müssen öffentliche Einrichtungen ausgewählte Kontrollmaßnahmen kontinuierlich überwachen und testen. Nur so kann gewährleistet werden, dass die Maßnahmen wirken und im Hinblick auf die ermittelten Risiken verhältnismäßig sind. Da immer mehrere Personen und Abteilungen an den Risikominderungsmaßnahmen beteiligt sind, muss in den einschlägigen Verfahren und Leitlinien klar kommuniziert werden, wie genau die Wirksamkeit der Kontrollmaßnahmen bewertet werden soll. Durch die qualitative Prüfung der Kontrollmaßnahmen lässt sich belegen, wie die Risiken durch die Kontrollmechanismen gemindert werden. Dieser Nachweis sollte an alle Risikoverantwortlichen weitergeleitet werden.
10.3.3. Wirksame Abstimmung mit Strafverfolgungs- und Ermittlungsbehörden zur Verbesserung von Feedback-Schleifen und Risikoabschätzungen
Die Koordination zwischen verschiedenen Referaten, Abteilungen und Ministerien ist unerlässlich, damit mutmaßliche Betrugs- und Korruptionsfälle an die Strafverfolgungsbehörden oder andere relevante Stellen weitergeleitet werden können. Liegen die Fälle jedoch einmal dort zur Bearbeitung, werden sie von den meldenden Einrichtungen häufig nicht weiterverfolgt. Die mangelhafte Kommunikation über strafverfolgte Fälle ist ein wesentliches Problem für die Prüfung der Kontrollmaßnahmen und das Ergreifen der richtigen Korrekturmaßnahmen.
Werden die Feedback-Schleifen in Bezug auf die Verfolgung der Fälle und die Korrektur der Maßnahmen verbessert, kann das zu genaueren Risikoabschätzungen und einer stärkeren Abschreckung von Betrug und Korruption führen; die Einrichtungen können etwaige Schwachstellen in ihren Kontrollmechanismen effektiver beheben und dadurch das Risiko senken, dass sich ähnliche Fälle in Zukunft wiederholen. Besonders sinnvoll sind hier gemeinsame Workshops zum Informationsaustausch mit den Strafverfolgungs- und Ermittlungsbehörden, die den Einrichtungen dabei helfen, neue Betrugs- und Korruptionsmuster, Trends und Vorgehensweisen zu erkennen.
Literaturverzeichnis
[7] COSO (2016), “Fraud Risk Management Guide”, Committee of Sponsoring Organizations of the Treadway Commission, https://www.coso.org/Pages/Purchase-Guide.aspx (Abruf: 17. Februar 2020).
[2] COSO (2013), “Internal Control – Integrated Framework”, Committee of Sponsoring Organizations of the Treadway Commission, https://www.coso.org/Pages/ic.aspx (Abruf: 17. Februar 2020).
[9] Crime and Corruption Commission (2018), Fraud and Corruption Control – Best Practice Guide, State of Queensland, https://www.ccc.qld.gov.au/sites/default/files/2019-08/Fraud-and-Corruption-Control-Best-Practice-Guide-2018.pdf.
[16] Department of Justice and Attorney-General (2017), Fraud and corruption control policy, https://www.justice.qld.gov.au/__data/assets/pdf_file/0020/534350/fraud-and-corruption-control-policy.pdf.
[6] Europäische Kommission (2015), “Public Internal Control Systems in the European Union – Principles of Public Internal Control”, Positionspapier, No. 1, Ref. 2015-1, https://ec.europa.eu/budget/pic/lib/docs/2015/CD02PrinciplesofPIC-PositionPaper.pdf.
[15] Fountain, L. (2015), Raise the Red Flag: An Internal Auditor’s Guide to Detect and Prevent Fraud, The Institute of Internal Auditors Research Foundation.
[4] GAO (2015), A Framework for Managing Fraud Risks in Federal Programs, U.S. Government Accountability Office, Washington, D.C., https://www.gao.gov/assets/680/671664.pdf.
[3] GAO (2014), Standards for Internal Control in the Federal Government, U.S. Government Accountability Office, Washington, D.C., https://www.gao.gov/assets/670/665712.pdf.
[12] Health Service Executive (2018), “Risk Management Support Tools”, Quality Assurance and Verification Division, https://www.hse.ie/eng/about/qavd/riskmanagement/risk-management-documentation/risk%20management%20support%20tools%20.html (Abruf: 17. Februar 2020).
[10] ISO (2018), ISO 31000:2018, Risk Management – Guidelines, Internationale Organisation für Normung, Genf, https://www.iso.org/standard/65694.html.
[8] Justiitsministeerium (2013), Anti-Corruption Strategy 2013-2020, https://www.korruptsioon.ee/sites/www.korruptsioon.ee/files/elfinder/dokumendid/estonian_anti-corruption_strategy_2013-2020.pdf.
[13] National Audit Office (2011), Managing risks in government, https://www.nao.org.uk/wp-content/uploads/2011/06/managing_risks_in_government.pdf.
[1] OECD (2017), OECD-Empfehlung des Rats zu Integrität im öffentlichen Leben, OECD, Paris, https://www.oecd.org/gov/ethics/recommendation-public-integrity.
[11] OECD (2015), Prevention of Corruption in the Public Sector in Eastern Europe and Central Asia, OECD Anti-Corruption Network for Eastern Europe and Central Asia, OECD, Paris, http://www.oecd.org/investment/anti-bribery/ACN-Prevention-Corruption-Report.pdf.
[5] OMB (2016), OMB Circular No. A-123, Management’s Responsibility for Enterprise Risk, U.S. Office of Management of Budget, Washington, D.C., https://www.whitehouse.gov/sites/whitehouse.gov/files/omb/memoranda/2016/m-16-17.pdf.
[17] The Institute of Internal Auditors (2016), “International Professional Practices Framework (IPPF) – Standards and Guidance”, https://na.theiia.org/standards-guidance/Pages/Standards-and-Guidance-IPPF.aspx.
[18] The Institute of Internal Auditors (2009), “The Role of Internal Auditing in Enterprise-Wide Risk Management”, Positionspapier, https://na.theiia.org/standards-guidance/Public%20Documents/PP%20The%20Role%20of%20Internal%20Auditing%20in%20Enterprise%20Risk%20Management.pdf.
[14] Wright Jr., R. (2013), The Internal Auditors’ Guide to Risk Assessment, The Institute of Internal Auditors Research Foundation.
Anmerkungen
← 1. Die Kontrollumgebung besteht aus den Standards, Verfahren und Strukturen, die der Durchführung der Innenrevision in den einzelnen Organisationsbereichen zugrunde liegen.
← 2. Nach dem Modell der drei Verteidigungslinien stellen die operativen Führungskräfte, die für die Risiken und ihre Bewältigung verantwortlich sind, die erste Verteidigungslinie dar. Die zweite Verteidigungslinie besteht aus den Funktionen, die für die Risikoüberwachung zuständig sind. In der Regel sind das Risikomanagement- und Compliance-Funktionen. Die dritte Verteidigungslinie sind schließlich Innenrevisionsfunktionen, die von unabhängiger Seite gewährleisten, dass die Risikomanagementprozesse wirksam sind.
← 3. Inhärente Risiken sind Risiken, die vor der Anwendung von Kontrollmaßnahmen festgestellt werden.
← 4. Das Restrisiko ist das Risiko, das bleibt, nachdem Minderungsmaßnahmen angewandt wurden.
← 5. Ein strategisches Risiko bezieht sich auf die Möglichkeit des Eintritts von etwas, das die Fähigkeit einer Organisation zur Erzielung der angestrebten Effekte beeinträchtigen könnte. Ein operatives Risiko bezieht sich darauf, dass etwas eintreten könnte, das die Fähigkeit einer Organisation zur Verwirklichung ihrer Ziele und Erbringung ihrer Leistungen beeinträchtigt. Ein reputationsbezogenes Risiko bezieht sich auf die Gefahr einer negativen Wahrnehmung in der Öffentlichkeit sowie den Eintritt von Ereignissen, die sich dem Einfluss der Organisation entziehen, aber rufschädigend wirken.
← 6. Risikofaktoren sind Merkmale des Umfelds, der Politik, der Verfahren oder Tätigkeiten einer Organisation, die mit einem hohen Risiko verbunden sind.
← 7. Unter Risikotoleranz versteht man den Risikograd, den die Führungskräfte nach der Umsetzung der Kontrollmaßnahmen bereit sind einzugehen. Durch die Festlegung einer Risikotoleranz fällt es den Bediensteten leichter zu entscheiden, ob ein bestimmtes Risiko angenommen, gemindert, vermieden oder gestreut werden soll.
← 8. Eine Heatmap ist eine visuelle Darstellung der qualitativen und quantitativen Bewertung der Wahrscheinlichkeit eines Risikoeintritts sowie von dessen Auswirkungen auf die Organisation.