Jedes interne Kontrollsystem benötigt eine definierte Basis, die unter anderem grundlegende Punkte wie Ziele, Zweck und Prinzipien regelt. Die Prozessgruppen wurden im Wesentlichen durch die Mindeststandards des Ministeriums vorgegeben, können aber nach Bedarf erweitert werden. In dieser neuen Version wurde großen Wert auf klar definierte Verantwortlichkeiten gelegt. So wurde für jede Funktion der Aufgabenbereich samt Freigabestufen festgelegt.
- bestehende Risiken zu erfassen,
- zu steuern und mit ausreichender Gewähr sicherstellen zu können,
- dass die betreffende Organisation im Rahmen der Erfüllung ihrer Aufgabenstellung ihre Ziele erreicht.
- die Erreichung der Organisationsziele aus den Leitbildern der TU Wien „Technik für Menschen“ „Wissenschaftliche Exzellenz entwickeln“, „umfassende Kompetenz vermitteln“,
- die Sicherung der Vermögenswerte vor Finanzbetrug, Verlust und Schaden,
- die Sicherstellung der Zuverlässigkeit der Finanzberichterstattung und der betrieblichen Informationen,
- die Sicherstellung ordnungsgemäßer, ethischer, wirtschaftlicher, effizienter und wirksamer Abläufe,
- die Einhaltung der Corporate Governance,
- die Erfüllung der Berichtspflichten.
Dokumentationsprinzip
- Klare, detaillierte und transparente Regelung der Arbeitsabläufe in schriftlicher Form.
- Grundsatz der Nachvollziehbarkeit: Unterlagen und Abläufe sind nachvollziehbar zu dokumentieren.
Vier-Augen-Prinzip und Kontrollautomatik
- Systematischer Einbau von Kontrollen im Arbeitsablauf.
- IT-gestützt (automatisierte Systemkontrollen) oder Implementierung des Vier-Augen-Prinzips.
- Key Control: Mit finanziellem Risiko behafteter Kontrollschritt. Die Risiken werden in der Risiko-Kontroll-Matrix erfasst und bewertet.
Trennungsprinzip und Funktionstrennung
- Verhinderung, dass wichtige Entscheidungen nur von einer einzelnen Person getroffen werden.
- Konsequente Trennung von entscheidender, ausführender und kontrollierender Funktion.
Äquivalenzprinzip
- Alle Leistungen und Gegenleistungen müssen in einem angemessenen Verhältnis zueinanderstehen und somit dem Drittvergleich standhalten.
Genehmigungsprinzip
- Das Genehmigungsprinzip erfordert die strikte Offenlegung aller Zuwendungen, Leistungen,
- Dienstleistungen oder anderer Details, die Mitarbeiter_innen der TU Wien entgegennehmen.
Prinzip der „Mindestinformation“ – Aufgaben und verantwortungsadäquate Informationsbereitstellung
- Bereitstellung jener Informationen an den_die Mitarbeiter_in, die zur Erfüllung der Aufgaben notwendig sind.
Prinzip der „minimalen Rechte“ – Aufgaben- und verantwortungsadäquate Zugangs- und Zugriffsberechtigungen
- Zugangs- und Zugriffsberechtigungen (z.B.: zu IT-Systemen) müssen adäquat beschränkt sein.
- Der_die Unmittelbare Vorgesetzte hat dafür zu sorgen, dass die Mitarbeiter_innen nur über jene Berechtigungen verfügen, die zur Erfüllung der Aufgaben unbedingt erforderlich sind.
- Die Weitergabe des TU-Wien Passworts ist streng untersagt, ebenso die Verwendung eines fremden Passworts. Ein Missbrauch ist persönlich zu verantworten.
Prinzip der „Regelmäßigkeit – IKS als rollierender Prozess
- Regelmäßige und systematische Überprüfung des IKS auf seine Funktionsfähigkeit, Wirksamkeit und Aktualität.
- Sicherstellung, dass die internen Kontrollen dauerhaft und nachhaltig wirksam sind.
- IKS-Kreislauf mit jährlicher Aktualisierung der bestehenden Prozesse und Überprüfung der Bereiche auf Vollständigkeit und in weiterer Folge Neuerstellung von Prozessen.
- Bei Änderung der Rahmenbedingungen sind die Prozesse | Key Controls entsprechend anzupassen → Zeitnahe Kontaktaufnahme mit IKS-Beauftragte_n um Aktualisierung durchzuführen.
Prinzip der „Wirtschaftlichkeit“ – Grundsatz der Kosten-Nutzen-Abwägung – Finanzintegrität
- Der mit Kontrollen verbundene Aufwand und Ressourceneinsatz muss in einem angemessenen Verhältnis zum vermeidbaren Risiko (Schadensausmaß und Eintrittswahrscheinlichkeit) stehen.
Corporate Governance bezeichnet alle internen Regeln, Prozesse und Gesetze (Unternehmensverfassung), nach denen ein Unternehmen geführt oder betrieben wird. Demnach handelt es sich bei der Corporate Governance der TU Wien um den faktischen und rechtlichen Ordnungsrahmen für die Leitung und Überwachung der Universität. Zu den wesentlichen Instrumenten der Corporate Governance gehören das Risiko- und das Compliance-Management-System, das interne Kontrollsystem (IKS) und schließlich die Interne Revision. Die entsprechenden Instrumente verbessern die Führungs- und Überwachungsstrukturen der TU Wien und zielen auf die Sicherstellung einer nachhaltigen Entwicklung der TU Wien ab.
Compliance
Compliance umfasst einerseits die Einhaltung von universitätsinternen Regelungen (wie Satzungsteile, Verordnungen, Richtlinien und Policies) sowie von (Geschäfts-)Prozessen (Sicherstellung Regelkonformität) sowie andererseits die Evaluierung von möglichen Risikofeldern (Evaluierung von Risiken) zur Verhinderung von Rechtsverstößen. Das Compliance Management System ist der Prozess, der es erlaubt, spezifische Risiken strukturiert zu identifizieren, darauf zu reagieren, diese zu mitigieren und in weiterer Folge zu steuern und zu überwachen.
Internes Kontrollsystem
Das IKS hat seinen Fokus auf rein finanzrelevante Risiken, die durch die Durchführung der Key Controls im Zuge operativer Tätigkeiten minimiert bzw. eliminiert werden sollen. Die Ausrichtung des IKS ist deshalb prozessorientiert, wobei eine der zentralen Aufgaben, die Sicherstellung korrekter interner Abläufe darstellt.
Risikomanagement
Unter einem Risikomanagement-System wird die Gesamtheit der Grundsätze, Verfahren und vorgegebenen Maßnahmen verstanden, die einen strukturieren Umgang mit Risiken – unabhängig ob finanzrelevante oder nicht-finanzrelevante Risiken – managt. Das Risikomanagement nimmt eine strategische und zukunftsorientierte Ausrichtung ein. Das Risikomanagement gliedert sich in die Teilbereiche (i) Identifizierung von Risiken (Risikoanalyse), (ii) Risikobewertung (Risikobeurteilung), (iii) Risikosteuerung und (iv) Risikocontrolling.
Das Risikomanagement inkludiert in den Top 20+ Risiken die beiden finanzrelevanten Risiken, „Finanzbetrug/Fraud“ und „Fehlerhafter Jahresabschluss“. Die Aufgabe des IKS besteht darin, diese beiden Risiken durch aufgesetzte Prozesse und definierte Key Controls zu minimieren bzw. im Idealfall auszuschließen.
Interne Revision
Die Aufgabe der Internen Revision besteht darin, interne Arbeitsprozesse auf deren Richtigkeit, Ordnungsmäßigkeit, Zweckmäßigkeit und Wirtschaftlichkeit zu prüfen und zu überwachen. Das Kontrollziel ist die Effizienzsteigerung und Risikominimierung und das Aufzeigen von Optimierungsbedarf gegenüber dem Rektorat und dem Universitätsrat.
1. Ebene Rektorat
- Auf oberster Ebene (Leitungsebene) agieren die Rektoratsmitglieder als Kollektiv.
- Zweite (oberste) Eskalationsstufe bei Meldungsverzögerungen der zu aktualisierenden Prozesse.
2. Ebene Prozessgruppenverantwortliche
- Die darunterliegende Führungsebene (Lenkungsebene) agieren die Rektoratsmitglieder in ihren Ressorts.
- Erste Eskalationsstufe bei Meldungsverzögerungen der zu aktualisierenden Prozesse.
- Dritte Freigabestufe.
3. Ebene Prozessverantwortliche
- Prozessverantwortliche bilden unter der Führungsebene die Operative Ebene.
- Erste Prozessfreigabestufe.
4. Ebene Mitarbeiter_innen
- Operative Mitarbeit.
- Einbringen von identifizierten Risiken.
Rektorat
Die Aufgaben des Rektorats im Zusammenhang mit dem Internen Kontrollsystem umfassen:
- Gesamtverantwortung für das IKS in Bezug auf Umsetzung, Rollenverteilung, Aufrechterhaltung, Reporting.
- Einbeziehung sämtlicher Bereiche der TU Wien in das IKS.
- Festlegung der Ziele des IKS in Abstimmung mit den Zielen der TU Wien über die Richtlinie zum Internen Kontrollsystem.
- Die regelmäßige Beurteilung der Wirksamkeit des IKS sowie die Überwachung der Umsetzungen von Verbesserung und notwendiger Maßnahmen.
- Bereitstellung von adäquaten Ressourcen zur Sicherstellung der Funktionsfähigkeit des IKS.
- Commitment und Vorbildwirkung bei der Einhaltung der IKS-Regeln („tone at the top“).
Prozessgruppenverantwortliche_r
- Prozessgruppenverantwortliche sind die Mitglieder des Rektorats und der CFO.
- Die Aufteilung der Prozessgruppen erfolgt gemäß Geschäftsordnung des Rektorats. Die Prozesse der Abteilung Finanzen werden dem CFO zugeordnet.
- Die Rolle der Prozessgruppenverantwortlichen ist nicht übertragbar.
Zum Verantwortungsbereich der Prozessgruppenverantwortlichen gehört Folgendes:
- Ernennung von Prozessverantwortliche_n (nur eine Person pro Prozess).
- Dritte und finale Prozessfreigabestufe.
- Erste Eskalationsstufe bei Meldungsverzögerungen der zu aktualisierenden Prozesse.
Prozessverantwortliche_r
- Die Ernennung von Prozessverantwortlichen erfolgt durch den zuständigen Prozessgruppenverantwortlichen.
- Zum Prozessverantwortlichen können nur Leiter_innen iSd Struktur und Governance der TU Wien ernannt werden.
- Die Rolle der Prozessverantwortlichen ist nicht übertragbar.
- Im Anlassfall ist die Rolle der Prozessverantwortlichen vom zuständigen Prozessgruppenverantwortlichen abzuerkennen.
- Die Prozessverantwortlichen übernehmen die zentralste Rolle im IKS.
Zum Verantwortungsbereich der Prozessverantwortlichen gehört Folgendes:
- Verpflichtende Absolvierung der IKS-Schulungen:
- Allgemeine Schulung über Ziele, Prinzipien, Abläufe des IKS und Abgrenzung zum Risikomanagement.
- Spezielle Schulung zur Erstellung von IKS Prozessen.
- Spezielle Schulung zur Risikobewertung.
- Ausschließliche Übernahme der Funktion des_der Prozessverantwortlichen durch Leiter_innen iSd Struktur und Governance der TU Wien.
- Verantwortung für die Vollständigkeit des IKS in seinem_ihrem Bereich in Abstimmung mit der_dem zuständigen Prozessgruppenverantwortlichen.
- Definition neuer Prozesse und Meldung an Prozessgruppenverantwortlichen sowie an den IKS-Beauftragte_n (auch unterjährig - Die Freigabeschritte der jährlichen Aktualisierung kommen auch unterjährig zur Anwendung).
- Jährliche Prüfung bestehender Prozesse auf Aktualität.
- Regelkonformes Agieren sowie die Einhaltung von Gesetzen und Richtlinien.
- Risikoidentifikation und Risikobewertung: KeyControls der Prozesse definieren und umsetzen.
- Erste Prozessfreigabestufe.
- Einholung der Prozessfreigabe des Prozessgruppenverantwortlichen.
- Dokumentation der Kontrollschritte und deren Kontrolle auf Einhaltung.
- Ansprechpartner_in für den_die Prozessgruppenverantwortliche_n, den_die IKS Beauftragte_n und Interne Revision.
- Erstellung notwendiger begleitender Unterlagen.
- Kommunikation an alle in den Prozess involvierten Personen.
Mitarbeiter_in
Die Mitarbeiter_innen sind durch ihre aktive Mitarbeit ebenfalls ein wichtiger Teil des IKS mit folgenden Aufgaben:
- Umsetzung und Mitarbeit in den Prozessen.
- Meldung von erkannten, noch nicht erfassten Risiken an die_den Prozessverantwortliche_n.
- Identifikation von möglichen neuen Prozessen und Meldung an die_den Prozessverantwortliche_n.
IKS Beauftragte_r
- Die_der IKS Beauftragte_r wird vom gemäß Geschäftsordnung des Rektorats zuständigen Rektoratsmitglied bestellt.
- Direkte Unterstellung unter dem zuständigen Rektoratsmitglieds.
- Im Anlassfall ist die Rolle des IKS Beauftragten vom zuständigen Rektoratsmitglied abzuerkennen.
Zu ihrem_seinem Verantwortungsbereich zählt Folgendes:
- Koordination, Verwaltung, Dokumentation und Weitergabe der IKS-Informationen an das Rektorat.
- Unterstützung und Hilfestellung bei Fragen zur Aufbau- und Ablauforganisation des IKS.
- Empfehlungen an das Rektorat betreffend strategische und strukturelle Weiterentwicklung des IKS.
- Initiierung von Maßnahmen zur Verbesserung des IKS.
- Durchführung der jährlichen Stichproben der Key Controls.
- Zentrale Verwaltung und Archivierung der Risiko-Kontroll-Matrix und Prozess-Darstellungen.
- Hilfestellung bei der Erarbeitung und bei der Aktualisierung von Prozessen.
- Zweite Prozessfreigabestufe (Qualitätskontrolle: Prüfung der angewandten Standards auf Richtigkeit).
- Erstellung eines jährlichen IKS-Berichts an das Rektorat (inklusive Meldung von Risiken in Zusammenhang mit der Umsetzung des IKS).
Prozessgruppe Beschaffung
Unter Beschaffung werden alle Prozesse abgebildet, die sich mit der Anschaffung von Anlagen befassen.
Prozessgruppe Finanzen
Die finanzrelevanten Prozesse dienen dazu, die Zuverlässigkeit des Rechnungsabschlusses der TU Wien zu maximieren. Hier findet sich eine kurze Beschreibung der in diesen Kategorien erfassten Prozesse.
- Budgetierung
- Berichtswesen
- Rechnungslegung
- Steuerung
- Veranlagung
- Beteiligungen
Prozessgruppe Corporate Governance
Hier werden jene Prozesse angeführt, die sich mit der Vergabe und dem Widerruf von Vollmachten und Strukturänderungen beschäftigen.
Prozessgruppe Fundraising
Beim Fundraising wurde der Schwerpunkt auf die Abwicklung von Spenden gelegt.
Prozessgruppe Forschung
Alle Prozesse die mit der Durchführung von Drittmittelprojekten zusammenhängen, werden hier abgebildet.
Prozessgruppe IT Nutzung
Die PG IT Nutzung beinhaltet alle Prozesse, die sich mit der Datenschutzgrundverordnung beschäftigen.
Prozessgruppe Infrastruktur
Unter PG Infrastruktur werden finanzrelevante Prozesse rundum Gebäude und Technik erfasst.
Prozessgruppe Personaladministration
Alle finanzrelevanten Personalprozesse wie Eintritt, Verlängerung oder Austritt von Mitarbeiter_innen, werden hier, neben der Lohnverrechnung und der Abwicklung von Reisen, dargestellt.
Prozessgruppe Lehre
Hier werden jene Prozesse angeführt, die sich mit der Durchführung von Lehre beschäftigen.
Auf der Website von E018 Datenschutz und Dokumentenmanagement werden Verordnungen und Richtlinien zur Verfügung gestellt.