Das Interne Kontrollsystem

Das Interne Kontrollsystem

Artikel erschienen in IT Magazine 2018/06
Seite 2

Prozesse

Um das IKS wirksam zu integrieren ist das Wissen über die Unternehmensprozesse erforderlich. Die Dokumentation ist ein entscheidendes Element. Die (visualisierte) Bestandsaufnahme erreicht, dass die beteiligten Personen das gleiche Prozessverständnis haben. Die folgenden Fragen können beim effizienten Aufzeichnen der Abläufe hilfreich sein:
• Welche Parteien sind involviert?
• Wo sind die Prozessgrenzen – Anfang und Ende?
• Was sind die Schlüsselaktivitäten?
• Wie oft und in welcher Reihenfolge werden diese durchgeführt?
• Welche IT Applikationen sind relevant?
• Wo liegen die Risiken – was kann schiefgehen?
• Welche Kontrollen sind implementiert um die Risiken zu mindern/vermeiden?
• Welche Reports werden generiert?

Auch für den Auditor ist die Kenntnis der Unternehmensvorgänge unverzichtbar.

Gemäss IIA Standard 2310 "Identifikation von Informationen", müssen Interne Revisoren zum Erreichen der Auftragsziele ausreichende, zuverlässige, relevante und konstruktive Informationen identifizieren.

Der erhaltene Überblick des Ablaufs kann mittels Flowcharts effizient visuell dargestellt werden. Entsprechende Risiken und Kontrollen vervollständigen das Bild. Das Anwenden einer gemeinsamen "Flughöhe" erreicht ein wirksameres Verständnis.

Risiken

Wie im Schaubild I dargestellt, beinhaltet die eigentliche Geschäftstätigkeit unterschiedlichen Herausforderungen.

Die Lehre des IKS kennt unterschiedliche Arten von Risiken. Folgend finden sich Beispiele aus abweichenden Blickwinkeln:
• aus der Geschäftstätigkeit
• bei der Einhaltung von Gesetzen und Vorschriften
• der Finanzberichterstattung
• der Information Technologie

Eine Risikoklassifizierung (Risk Taxonomy) unterstützt das unternehmensweite Risikomanagement. Bekannte Risikoklassifizierungen gehen auf den Basler Ausschuss für Bankenaufsicht ("Principles for the Sound Management of Operational Risk") und der Europäischen Bankenaufsichtsbehörde ("Guidelines on ICT Risk Assessment under SREP") zurück.

Die Phase der Risikoidentifikation wird als die grösste Herausforderung empfunden. Die Quantifizierung des Risikos wird mittels der Risikobewertung eingestuft. Eintrittswahrscheinlichkeit und Schadensausmass bilden dabei die Basis. Die unterschiedlichen Strategien der Risikosteuerung (Risikovermeidung, -minderung, -diversifikation und -transfer) sind der Ausgangspunkt von Kontroll­aktivitäten.

Bevor ein Auditor mit der Prüfung beginnt, sollten die wichtigsten Risiken für den Prüfbereich identifiziert und bekannt sein, was eine effektive und effiziente Prüfung der internen Kontrollen voraussetzt.
Vorherige Seite  
Seite 2 von 3
Nächste Seite

Neuen Kommentar erfassen

Kommentare werden vor der Freischaltung durch die Redaktion geprüft.
Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
NEWSLETTER ABONNIEREN
Abonnieren Sie unseren täglichen Newsletter mit den wichtigsten ICT-Meldungen
SWISS IT MAGAZINE - AUSGABE 2020/01
Schwerpunkt:
• Software-Entwicklung in der Schweiz
• Marktübersicht: Schritt für Schritt zur Individualsoftware
• Nearshoring-Varianten nahtlos anpassen
• So wird bei Abacus und Opacc gearbeitet
• Progressive Web Apps vs. native Apps
Zum Inhaltsverzeichnis
SPONSOREN & PARTNER