27.05.2020
Stefan Wenig
Autor: Stefan Wenig
Auf Xing vernetzen
Auf LinkedIn vernetzen
Zur Blog-Übersicht

Integrierte GRC Plattformen – Audit Management (Teil 1 von 3)

In einem ersten Blogpost über GRC Plattformen mit dem Titel „GRC und Governance Plattformen – Einführung“ haben wir das Thema aus der Vogelperspektive beleuchtet. Nun möchte ich die Artikelreihe mit dem Thema „Audit Management“ fortführen, welches aus drei aufeinanderfolgenden Artikeln bestehen wird. Die folgenden Themenbereiche werde ich dabei ansprechen:

  1. Herausforderungen: Womit hat man im Tagesgeschäft zu Kämpfen?
    a) Inhaltliche Herausforderungen
    b) Technische Herausforderungen
  2. Funktionalitäten: Was soll die Lösung abdecken?
    a) Planung von Audits
    b) Durchführung von Audits
    c) Follow-Up
    d) Datenschutz
    e) Allgemeine Anforderungen
  3. Anwendungsbeispiele

Natürlich gibt es zum Teil inhaltliche Überschneidungen zwischen den Kapiteln Herausforderungen und Funktionalitäten, da sich letztere aus erstgenannten ableiten lassen.

1. Herausforderungen

Viele der im Folgenden gelisteten Herausforderungen sind nicht neu; manche erhalten aber eine zusätzliche Tiefe durch sich verändernde Technologien, zunehmender Globalisierung und der Forderung nach schlankeren, effizienteren Prozessen. Aus diesem Grund unterscheiden wir hier zwischen inhaltlichen und eher technischen Aspekten.

1.1 Inhaltliche Herausforderungen

Es gibt viele inhaltliche Aspekte der Revisionsarbeit, die durchaus Herausforderungen darstellen. Dies beginnt beim Ressourcenmanagement, erstreckt sich über die Entscheidung, wie oft bestimmte Sachverhalte geprüft werden, und beschäftigt sich mit der Frage, ob die Prüfung vor Ort stattfinden muss.

Risikoorientierte Ressourcenallokation

Das Geschäftsleben wird immer schnelllebiger. Das bedeutet, wo früher die Revision vielleicht im Schnitt alle 3-5 Jahre eine Einheit geprüft hat, um die Wirksamkeit des Internen Kontrollsystems zu testen, ist das aktuell nicht mehr zeitgemäß. Andererseits ist in Zeiten globalisierter Lieferketten zu hinterfragen, ob die Anforderung der kürzeren Revisionszyklen in Einklang mit langwierigen Vor-Ort-Audits gebracht werden kann. Auch wenn im Idealfall genug Ressourcen zur Verfügung stehen sollten, müssen diese doch in Form einer risikobasierten Prüfungsplanung zielgerichtet eingesetzt werden.

Prüfungsplanung vs. Planung einer Prüfung

Revisionsarbeit besteht zu einem nicht geringen Anteil aus Planung. Zum einen die Prüfungsplanung auf Metaebene: Welche Einheiten sollen geprüft werden und welche Themen stehen im Vordergrund; ist es ein General Audit oder soll ein spezieller Prozess näher beleuchtet werden? Die dann folgende Prüfung ist ein Projekt mit einem klar definierten Start- und Endtermin und den Phasen der Vorbereitung, Durchführung, Dokumentation und Nachbereitung. Abstrahiert betrachtet erfordert die Prüfungsdurchführung nichts anderes als solides Projektmanagement.

Die Vorbereitung umfasst ein internes Briefing, welches unter anderem die folgenden Fragestellungen klären soll:

  • Gab es schon früher Revisionen der entsprechenden Einheit, was waren die Ergebnisse?
  • Was sind relevante Zusatzinformationen zur Entsprechenden Entität?
  • Gibt es Wissenswertes oder Besonderheiten bezüglich der Prüfthemen oder der Prüfmethodik?

Diese genannten Fragestellungen sind einzelne Aspekte des Wissensmanagements und Know-How Transfers.

Externe Schnittstellen & Einbindung von Ansprechpartnern

Die Vorbereitung eines Audits bedarf jedoch auch externer Personen, die nicht der eigenen Revision angehören. Somit müssen Möglichkeiten geschaffen werden diese anzubinden. So wird die Prüfung in der Regel formell angekündigt (Announcement), es gibt Anforderungen von Unterlagen, die bestenfalls im Vorfeld bereitgestellt werden sollen (Information Request) und Personen der auditierten Einheit, die von Anfang an am Revisionsprojekt mitwirken, seien es Gastauditoren, Ansprechpartner oder Verantwortliche aus der auditierten Einheit.

Durchführung

Bei der eigentlichen Durchführung soll strukturiert vorgegangen werden. Prüfthemen werden innerhalb des Teams aufgeteilt, effizient abgearbeitet und die Ergebnisse nachvollziehbar dokumentiert. Hier ist zum einen Datenanalyse nicht mehr wegzudenken, andererseits macht diese selten 100% einer Prüfung aus. Ergebnisnotizen aus Interviews, Excel-Dateien, Word-Dokumente, Scans und Fotos gehören ebenso zu einer Prüfung wie (teil)automatisierte Prüfungshandlungen basierend auf Daten aus ERP Systemen, wie zum Beispiel SAP.

Berichtserstellung

Einer der zeitaufwändigsten Arbeitsschritte, ist zumeist das Konsolidieren der Ergebnisse der einzelnen Revisionsmitarbeiter in Form eines Abschlussberichts. Die Findings, die je Prüfthema verzeichnet wurden, sind zusammen mit den zugehörigen Maßnahmenempfehlung aufzuführen. Diese sind zwischen dem verantwortlichen Revisor und dem Revisionsprojektleiters abzustimmen, zusammenzufassen und mit einer Einschätzung, die häufig einer Klassifizierung entspricht, zu versehen. Auch wenn es mittlerweile einfacher geworden ist gemeinsam an z.B. einem Revisionsbericht in Form eines Worddokuments zu arbeiten, so ist es damit nicht getan., da auch die Referenzen zu den Findings (Evidence) entsprechend vorhanden sein sollten. Zudem muss der Bericht mit dem geprüften Bereich abgestimmt werden, da hier die Verantwortung für die Maßnahmenumsetzung liegt.

Follow-Up Prozesse

Zu einer realistischen Planung gehört auch das Wissen, dass die Prüfung in der Regel nicht mit dem Abschlussbericht vollständig abgehakt werden kann. Die Maßnahmenverfolgung, beziehungsweise das Follow-Up können aufgrund von entsprechenden Fristen durchaus einige Zeit in Anspruch nehmen und Abstimmungsbedarf in diesem Zeitraum erfordern.

Management Reporting

Wenn wir nun wieder eine Ebene höher blicken, so ist aus der Vogelperspektive ein zielführendes Management Reporting über alle Revisionsprojekte hinweg wichtig. Wie viele Audits wurden im Betrachtungszeitraum gemacht? Wie viele Findings in den jeweiligen Kategorien sind hieraus resultiert? Welches sind die Themengebiete, in denen die meisten Schwachstellen identifiziert wurden? Wie viele der vorgeschlagenen Maßnahmen sind bereits abgearbeitet, wie viele noch offen? Das ist auch ein Aspekt, der für die Zusammenarbeit mit dem Wirtschaftsprüfer eine wichtige Rolle spielt.

1.2 Technologische Herausforderungen

Egal ob ERP, CRM oder GRC Plattformen, neben den inhaltlichen Aspekten spielen natürlich auch technologische Gesichtspunkte eine wichtige Rolle.

Cloud-readyness

Nicht erst im Zuge der COVID-19 Pandemie ist die Cloud essentieller Bestandteil einer gesunden Unternehmensstrategie. Tatsächlich kann eine cloud-basierte Plattform viele Probleme lösen, die im Folgenden aufgezählt werden.

Einfache Anpassbarkeit von Prozess und Begrifflichkeiten

Revisionsprozesse weisen einen gewissen Standardisierungsgrad auf, auch geprägt durch das Institut der Internen Revision, Global information systems association ISACA und The Institute of Internal Auditors (IIA). Trotzdem muss eine GRC Plattform, die den Bereich Auditmanagement unterstützt, an unternehmenseigene Prozesse angepasst werden. Als weiterer Aspekt sind es auch oft einfach nur Begrifflichkeiten, die historisch gewachsen in Unternehmen seit Jahren verwendet werden, und die sich auch in einer Auditmanagement Plattform wiederfinden sollten. So werden beispielsweise die Begriffe Finding, Issue und Feststellung als Synonym verwendet, aber innerhalb der Plattform und auch im Abschlussbericht sollte ein einheitlicher Begriff verwendet werden, der im Unternehmen möglicherweise seit Jahren gelebt wird und unter dem alle Beteiligten dasselbe verstehen. Ein aufwändiges Customizing, also der möglicherweise sogar quellcodeseitigen Anpassung einer Software an anwenderspezifische Bedürfnisse, ist heutzutage nicht mehr zeitgemäß, und dies auch abseits von den entstehenden Kosten und der Beeinträchtigung im Zuge von späteren Updates und Upgrades der Plattform. Manchmal wird das auch mit dem Ausdruck “Configuration over Customization“ beschrieben. Moderne Plattformen sollten dementsprechend Möglichkeiten der Konfiguration bieten, die eine Anpassung an das jeweilige Einsatzszenario sicherstellen und aufwändiges Customizing obsolet werden lassen.

Zugänglichkeit über den Webbrowser

Die Zugänglichkeit über den Webbrowser ist zwingend mit dem Cloud-Aspekt einhergehend, wird aber dadurch in der Regel abgedeckt. An Stelle der Installation umfangreicher Programme („Fat Clients“) steht der Webbrowser. Webtechnologie bietet mittlerweile viele Möglichkeiten Bedienoberflächen responsive, das heißt optimiert für mobile Endgeräte und ohne viel zusätzlichen Entwicklungsaufwand, und interaktiv, also dynamisch, wie beispielsweise Drag & Drop, zu gestalten. Dagegen wirken herkömmliche Programme oft träge und altbacken. An Stelle komplexer administrativer Prozesse erhält der Benutzer der GRC Plattform einfach einen Link und kann sich – entsprechende Berechtigung vorausgesetzt- sofort an der Plattform anmelden. Doch Zugänglichkeit bedeutet auch, dass die Plattform von verschiedenen Endgeräten aus genutztwerden kann, ohne die Daten redundant halten oder kopieren , oder aufwändig eine Verbindung zu einer dezidierten Datenbank herstellen zu müssen.

Teamwork und Kollaboration

Bei den inhaltlichen Aspekten haben wir bereits die Notwendigkeit interner und externer Schnittstellen beleuchtet. Intern im Revisionsteam müssen verschiedene Mitarbeiter eng zusammenarbeiten. Aber auch externe Ansprechpartner, wie Gastauditoren, Wirtschaftsprüfer, Kollegen aus Fachbereichen, müssen problemlos eingebunden werden. Dies sollte mittels eines geeigneten Berechtigungskonzeptes auf einfache Art und Weise möglich sein, ohne hier zu viel administrativen Overhead bei der Einrichtung zu generieren. Auch die Zusammenarbeit sollte technisch zeitgemäß unterstützt werden, etwa indem die gemeinsame Arbeit an einem Dokument wie dem Abschlussbericht ermöglicht wird, ohne Versionskonflikte zu generieren, oder indem Informationen einfach und transparent innerhalb des Teams geteilt werden. vergleichbar mit der Sharing Information Economy innerhalb der Plattform. Für Teammitglieder, die nicht regelmäßig mit der Auditmanagement Lösung arbeiten, etwa den Ansprechpartnern aus den Fachbereichen, soll das Benutzerinterface entsprechend einfach und intuitiv gestaltet sein.

Nahtlose Integration von Daten und Datenanalysen

Die enge Verbindung von Interner Revision und Datenanalyse ist nicht mehr wegzudenken. Das betrifft nicht nur Bereiche wie Continuous Auditing, sondern auch die Unterstützung bei Standardrevisionen. Datenanalysen unterstützen dabei, die Prüfungen effizienter zu machen und Mehrwert zu stiften. Hier lassen sich auch verschiedene Ebenen identifizieren: Für einzelne Fragestellungen werden kritische Transaktionen (Findings) ermittelt, etwa Rechnungen ohne Bestellbezug, welche eigentlich einen Bezug aufweisen müssten, CpD Buchungen deren Betrag laut Richtlinie überschritten wurde, oder Verletzungen des Vier-Augen-Prinzips bei der Freigabe von Transaktionen. Darüber hinaus gibt es die Möglichkeit KPIs beziehungsweise KRIs zu ermitteln, um bestimmte Sachverhalte messbar zu machen und gegebenenfalls auf höheren Reportingebenen zu kommunizieren. Doch insbesondere hier zeigt sich die Anforderung des Drilldowns, also vom jeweiligen KRI auf die Einzeltransaktionen zu gelangen. Technisch ergibt es Sinn, dass die Datenanalyse-Informationen aus dem Datenanalyse-System verknüpft werden können, um Redundanzen zu vermeiden. Technisch gelöst ist es in der Regel so, dass die Datenanalysekomponenten auch Teil der GRC Plattform sind, um eine nahtlose Integration zu ermöglichen. Eine GRC Plattform, die auch das Thema Auditmanagement abdeckt, muss diese inhaltliche Selbstverständlichkeit auch technologisch abbilden.

Skalierbarkeit

Gerade wenn es um die Anbindung der Fachbereiche geht ist Skalierbarkeit ein zentraler Punkt. Dies gilt sowohl im Bereich Audit, aber noch im größeren Umfang im Bereich IKS, insbesondere, wenn Control Performer Ihre Kontrollen direkt im System arbeiten sollen. Die Lösung sollte in der Lage sein, kleinere zentrale Teams ebenso zu unterstützen, wie bei einem global agierenden Konzern mit tausenden Kollegen innerhalb der gesamten Organisation. Nur so kann der Plattform-Ansatz gelebt werden. Dieser Punkt hängt indirekt mit der Cloud-readyness zusammen, da Skalierbarkeit bei diesen Lösungen oft einfacher handhabbar ist als bei lokal installierten Client Server Lösungen, bei denen weitere Hardware, wie beispielsweise Speicherplatz benötigt wird, um die Software weiter auszurollen.

Zwischenfazit

Die gerade dargelegten Aspekte sollen Ihnen einen Überblick über die inhaltlichen und technischen Herausforderungen im Bereich Revision und Auditmanagement geben. Ich hoffe, die Informationen waren hilfreich. Bei Fragen wenden Sie sich jederzeit gerne an uns. Sollte das Thema interessant für Sie sein, dürfen Sie sich auf die weiteren Blogartikel hierzu freuen. Wir werden im Wochenrhythmus die weiteren Blogposts veröffentliche. Ich freue mich, wenn Sie auch bei den nachfolgenden Artikeln wieder mit dabei sind!

Kommentare (0)
Sei der erste, der diesen Blog-Beitrag kommentiert.
Blog Anmeldung

Sie sind nicht angemeldet. Bitte melden Sie sich an um diesen Blogbeitrag zu kommentieren.

anmelden