Integrierte GRC Plattformen – Audit Management (Teil 2 von 3)
Im ersten der drei Artikel, die sich mit dem Thema GRC Plattformen befassen, habe ich inhaltliche und technische Herausforderungen im Bereich Revision und Audit Management beschrieben.
Im heutigen zweiten Teil beschäftigen wir uns mit Funktionalitäten, welche Audit Management Plattformen aufweisen sollten. Einige dieser Funktionalitäten finden sich in diesem Blogpost. Diese stellen jedoch keinen kompletten Katalog dar, sondern sind lediglich ein Auszug ohne Anspruch auf Vollständigkeit.
2. Funktionalitäten
Die im ersten Artikel beschriebenen inhaltlichen Herausforderungen lassen sich mit der hier aufgeführten Anforderung nach bestimmten Funktionalitäten verbinden. Thematisch unterteilt ist es nach
- Planung von Audits
- Durchführung von Audits
- Follow-Up
- Datenschutz
- Allgemeine Anforderungen
2.1 Planung
Die Planung soll fundiert und zuverlässig sein, auf objektiven Kriterien basieren, es ermöglichen Risiken zu vermindern und die Erreichung strategischer Ziele zu unterstützen.
Abbildung des Audit Universe
Die Lösung muss geeignet sein, das bestehende Audit Universe abzubilden. Dazu gehören unter anderem die relevanten Organisationseinheiten sowie die entsprechenden Geschäftsprozesse, die für die jeweilige Organisationseinheit relevant sind. Anders formuliert, sollte man Entitäts- und Prozessstrukturen im Auditmanagement Tool sowohl abbilden als auch den jeweiligen Audits zuordnen können.
Risikokatalog
Zur risikoorientierten Prüfung gehört auch das Hinterlegen eines entsprechenden Risikokataloges, gegebenenfalls erweitert um Aspekte wie einem Risk Scoring, und Funktionalitäten zur Sondierung und Bewertung von Risiken, sogenannten Self-Assessments. Idealerweise lassen sich entsprechende Kontrollen bereits zuordnen, und als RCM (Risk Control Matrix / Risiko-Kontroll-Matrix hinterlegen).
Jahres- & Mehrjahresplan in Verbindung mit strategischen Zielen
Wünschenswert wäre, dass sich neben abzumindernden Risiken auch strategische Ziele im Rahmen der Planung formulieren lassen, an denen man eine Mehrjahresplanung ausrichten kann. Die konkrete Jahresplanung dagegen sollte zumindest die notwendigen Funktionalitäten im Bereich Ressourcenmanagement in Hinblick auf die verfügbaren Mitarbeiter mitbringen, um eine realistische Planung auf die Zeitachse für das aktuelle Jahr legen zu können.
2.2 Durchführung von Audits
Die Durchführung der Audits sollte Teamarbeit effizient unterstützen. Der Status des Audits sollte sich allen Teammitgliedern transparent erschließen, die zugehörige Dokumentation sollte nach Möglichkeit weitgehend automatisiert erstellt werden.
Vorlagen
Für viele wiederkehrende Aspekte (z.B. die Ankündigung von Audits, Standard-Anforderungskataloge etc.) kann idealerweise ein Repository an Vorlagen angelegt werden, auf das alle relevanten Teammitglieder Zugriff haben. Im Falle von Updates der Vorlagen sollten diese versioniert erfolgen, idealerweise können auch Verantwortliche für bestimmte Bereiche auf der Plattform selbst definiert werden.
Checklisten
Auch wenn der Begriff nicht immer positiv belegt ist – ohne gute Checklisten kommt keine Revision aus. Es ergibt Sinn, bestimmte Fragestellungen für Bereiche und/oder Prozess als „mandatory“, also verpflichtend zu definieren. Nur wenn die Fragestellungen einen gewissen Standardisierungsgrad aufweisen, lassen sich auch Vergleiche anstellen und Synergieeffekte schöpfen. Prüft man beispielsweise bei einer globalen Organisation den Einkauf in 10 verschiedenen Tochtergesellschaften, werden sich die relevanten Themen vermutlich über alle Tochtergesellschaften hinweg ähneln. Ähnlich wie die oben aufgeführten Vorlagen sollte es möglich sein, diese Checklisten an zentraler Stelle zu hinterlegen um sie dann komplett oder teilweise einzelnen Audits zuordnen und abarbeiten zu können.
Arbeitspakete einteilen & Sign Off Prozesse
Werden Audits in Teams durchgeführt, sollten sich die Arbeitspakete für die einzelnen Teammitglieder toolseitig gut abgrenzen lassen. Hier könnte man so vorgehen, dass zum Beispiel die Fragestellungen der Checkliste je Fragestellung einzelnen Kolleginnen und Kollegen zugewiesen werden. Eine weitere Möglichkeit der Arbeitsteilung ist die Differenzierung über zu auditierende Organisationseinheiten oder Prozessschritte., Hierbei weist man diese einem Teammitglied zu, die jeweilig relevanten Fragstellungen sind dann automatisch in der Verantwortung des jeweiligen Mitarbeiters. Natürlich sind auch Sign-Off-Prozesse denkbar, die ein Vier-Augen-Prinzip bei der Durchführung des Audits ermöglichen.
Arbeitspapiere erstellen
Die Erstellung eines klassischen Audit Reports stellt oft eine große Herausforderung dar. Wenn keine Auditmanagementsoftware im Einsatz ist, wird in der Praxis zumeist ein klassisches Word-Dokument erstellt, welches manuell erstellte Berichtsteile von den verschiedenen Teammitgliedern enthält. Hier sind Abweichungen im Schreibstil noch das kleinste Problem: Oft ist es einfach die operative Herausforderung, ein zentrales Dokument zu erstellen, an dem gleichzeitig viele Personen arbeiten. Die Auditmanagement-Plattform soll hier ermöglichen, den Abschlussbericht auf Knopfdruck zu erstellen. Inhaltlich sollte dies möglich sein, da alle notwendigen Informationen, angefangen von Planungsinformationen, über das Audit Universe und die Findings, unterstützende Dokumente als Anlagen bis hin zu den Empfehlungen, bereits auf der Plattform selbst gepflegt wurden und vorhanden sind. Das Erstellen des Abschlussberichtes sollte demnach nur noch ein automatisierter, technischer Vorgang sein.
2.3 Follow UP
Im Follow-Up-Prozess sind entscheidende Punkte, dass zentrale Elemente, wie Empfehlungen oder Fristen nahtlos mit den einzubeziehenden Ansprechpartnern ausgetauscht werden. Darüber hinaus sollen die Ansprechpartner auch mit der Lösung interagieren beziehungswiese kommunizieren können.
Empfehlungen aussprechen und Actions zuweisen
In der Regel werden Empfehlungen (Recommendations) beziehungsweise Aktionen (Actions) für einzelne Feststellungen durch die Revision vorgegeben. Dies beinhaltet Aspekte, wie sich bestimmte Risiken abmildern lassen oder Schwächen behoben werden können. Hier ist es ideal, wenn diese bereits über die Auditmanagement-Plattform mit den auditierten Kollegen aus den Fachbereichen geteilt werden können. Da solche Maßnahmen oft zunächst interner Abstimmung bedürfen bevor sie publiziert werden, ist eine Freischaltungsfunktionalität in der Software sinnvoll.
Einfache Bedienbarkeit & Zugänglichkeit
Nicht jeder Anwender arbeitet täglich mit der Plattform. Gerade im Follow-Up-Prozess und bei der Maßnahmenverfolgung werden Ansprechpartner aus den Fachbereichen nur unregelmäßig mit der Plattform arbeiten, etwa um auf Empfehlungen der Revisoren zu antworten, Maßnahmen zu dokumentieren oder definierte Actions und To-dos umzusetzen. Dies muss intuitiv möglich sein, ohne umfangreiche Dokumentationen und Anleitungen zu lesen. Eine intuitive Bedienung steigert die Akzeptanz beim Rollout einer Audit-Management-Lösung enorm. Idealerweise ist die Zugänglichkeit auch ohne Installationsaufwand möglich, wie bei browserbasierten Lösungen mit SSO (Single Sign On) Funktionalität.
Fälligkeiten, Fristen und Erinnerungen
Einher mit den Maßnahmen gehen oft auch die Fristen, die für die einzelnen umzusetzenden Empfehlungen gelten. Diese sind je nach Schweregrad oder Kategorie des Findings beziehungsweise nach Umfang der durchzuführenden Aktionen einer Feststellung unterschiedlich. Fristen können über das Tool gesetzt und kommuniziert und nachgehalten werden. In diesem Zusammenhang ergibt auch eine automatische Erinnerungsfunktion Sinn, die im Falle von Inaktivität in bestimmten Intervallen, oder definierten Zeiten vor Ablauf der Frist sowohl die damit beauftragten Kollegen aus dem Fachbereich benachrichtigt, als auch die Teammitglieder aus der Revision, die diese nachhalten müssen.
Protokollierung
Sowohl innerhalb des Teams als auch in der Zusammenarbeit mit den Fachbereichen ist es sinnvoll, dass Änderungen an einzelnen Elementen sowie Arbeitsfortschritte und entsprechende Status von der Plattform protokolliert werden. Gerade bei kollaborativen Tools entsteht hier eine Transparenz, die – gerade im Bereich der Revision im Hinblick auf das Auditprotokoll – essentiell ist.
2.4 Datenschutz
Der Umstand, dass wir den Datenschutz erst nach den funktionalen Anforderungen aufführen, hat nichts mit der Priorisierung zu tun. Im Gegenteil, es ist in heutigen Zeiten von essentieller Bedeutung, dass datenschutzrechtliche Aspekte mit höchster Priorität behandelt werden. Es sollte großer Wert daraufgelegt werden, dass datenschutzrechtliche Anforderungen erfüllt werden. Im Folgenden listen wir Ihnen einige dafür wichtige Punkte auf:
DSGVO/GDPR Compliance
Natürlich ist es essentiell, dass den Anforderungen der Datenschutzgrundverordnung entsprochen wird. Wichtig sind bei Cloudlösungen die Standorte der Server, auf denen die Daten gespeichert werden und die Cloudbetreiber. Hier stellt sich die Frage nach Compliance Reports wie zum Beispiel dem SOC 2-Report, den EU Standard Contractual Clauses SCC, der Regelung der Auftragsdatenverarbeitung, der Verfügbarkeit der Daten und der Transparenz der Datenschutzmaßnahmen im Allgemeinen.
Rollen- und Berechtigungskonzept
Mit der Plattform sollen Mitarbeiter verschiedener Hierarchiestufen und aus verschiedenen Abteilungen und Fachbereichen in unterschiedlichem Umfang arbeiten. Darüber hinaus sind die verarbeiteten Informationen, wie beispielsweise eine Liste mit Unternehmensrisiken im Bereich Risikomanagement, Findings im Bereich Internal Audit, identifizierte Schwachstellen in Prozessen und Kontrollen im Bereich IKS, sensibel und sollten nicht jeder Person im Unternehmen zugänglich sein. Daher ist ein Berechtigungskonzept gefordert, welches – in der Regel basierend auf Rollen – eine entsprechend granulare Einstellung ermöglicht, so dass die Anforderung erfüllt wird, die Anwender ohne Hürden mit der Software arbeiten können und sensible Daten entsprechend geschützt werden und das ohne großen administrativen Aufwand.
2.5 Allgemeine Anforderungen
Mehrsprachigkeit
Da sowohl die Revisionsteams oft international besetzt sind, und auch die zu prüfenden Einheiten bei globalen Organisationen weltweit verteilt sind, ist Mehrsprachigkeit meist ein zwingendes Kriterium. Gerade für die Anbindung verschiedenster Personengruppen kann es den Zugang und die Akzeptanz verbessern, wenn in Umgebungen der eigenen Sprache gearbeitet wird.
Globaler Support 24/7
Aus dem gleichen Grund wie die eben geforderte Mehrsprachigkeit ist es auch sinnvoll, wenn der Softwarehersteller der Auditmanagementplattform globalen Support anbietet, der Zeitzonenübergreifend verfügbar ist; oder zumindest eine äquivalente, gut ausgearbeitete Onlinedokumentation und Self Service Plattform anbietet.
Migrationsmöglichkeit / Upload Funktionalität
Wird eine Auditmanagement-Lösung angeschafft, so ersetzt diese in der Regel entweder ein altes Konstrukt, welches oft als Konglomerat aus SharePoint Ansätzen und Microsoft Office Dokumenten beschrieben werden kann. Alternativ wird eine proprietäre Auditmanagementlösung abgelöst. In beiden Fällen ist es hilfreich, wenn man die Historie wie zum Beispiel die Findings der vergangenen Prüfungen in die neue Plattform integrieren könnte. Eine Upload- oder Migrationsfunktionalität für Elemente wie Findings, Risiko-Kontroll-Matrizen oder Audit Checklisten wäre wünschenswert.
Vordefinierte Auswertungen & Custom Reports
Einige Anforderungen an das interne Reporting sind vermutlich allgemeingültig, etwa die Auflistung von Findings der verschiedenen Audits. Diese sollten im Standard bereits in der Auditmanagementlösung vorhanden sein. Trotzdem sollten weitere Reporting-Möglichkeiten vorhanden sein, sodass sich erfahrene Anwender zusätzliche Auswertungen, wie etwa Findings nach Geschäftsbereichen, überfällige Maßnahmen sortiert nach Alter, Klassifizierung von Findings nach Schweregrad, oder weitere Berichte eigenständig erstellen können.
MS Office Integration & Versionierung von Office-Dokumenten
Auch wenn der Großteil der Arbeit mittlerweile direkt in der Audit Management Plattform erfolgen soll, statt in einer Vielzahl in der Gegend herumschwirrender Excel- oder Worddateien, so sind weitere Dokumente jedoch oft nicht ganz zu vermeiden. In diesen Fällen ist es wünschenswert, wenn die Plattform ein Bearbeiten der Office-Dokumente, wie Anhänge zu einem Finding, oder zur Planungsphase des Audits, im Team ermöglicht, die gemachten Änderungen versioniert werden und ähnlich zu SharePoint Lösungen ein redundanzfreies Arbeiten möglich ist. Besonders hilfreich kann es sein, wenn – etwa bei der Dokumentation von Findings – auf bestimmte Quellen in den Originaldokumenten verwiesen oder verlinkt werden kann („Zitiermodus“).
Zwischenfazit
Die gerade vorgestellten Punkte sollen Ihnen mögliche funktionale Anforderungen an eine Audit Management Plattform aufzeigen. Ich hoffe, die Informationen sind hilfreich. Bei Fragen wenden Sie sich jederzeit gerne an uns. Sollte das Thema von Interesse für Sie sein, empfehle ich Ihnen zum einen den zuletzt erschienenen Artikel über GRC Plattformen. Zudem werden wir in der kommenden Woche einen weiteren Artikel zu diesem Thema veröffentlichen!