Vorgehensweise und Methodik der Internen Revision

Vorgehensweise und Methodik der Internen Revision

10. Dezember 2022 - Die internen Auditoren haben sich für eine Prüfung angekündigt. «Weshalb trifft es (schon wieder) meinen Bereich», fragen sich viele Auditees – «wir haben doch alles im Griff». Solche Fragen sind keine Seltenheit beim Start einer Prüfung der Internen Revision. Der folgende Artikel gibt einen Einblick in die Methodik zur adäquaten Berücksichtigung unternehmenskritischeren Bereiche wie die Informationstechnologie (IT) durch die Interne Revision.
Artikel erschienen in IT Magazine 2022/12
Die Internal Audit-Funktion eines Unternehmens, im Speziellen in der Finanzindustrie, ist verpflichtet, neben der Berücksichtigung der Risikoeinschätzung des Unternehmens, ihre unabhängige Einschätzung der höchsten Risiken vorzunehmen. Ausgehend von dieser Risikobeurteilung legt Internal Audit (IA) Prüfziele und -planung für die nächste Prüfperiode fest und lässt diese durch den Prüfausschuss, das Audit Committee, genehmigen (siehe FINMA Rundschreiben 2017/1 Corporate Governance – Banken’, Ziffer 92/93).

Die Struktur – das Audit Universum

kobeurteilung durchzuführen, muss vorgängig eine Struktur, das sogenannte «Audit Universum», etabliert werden. Es unterteilt die einzelnen Geschäftsbereiche und deren Risiken logisch in einzelne Prüfgebiete, die Audit Sektoren, und berücksichtig dabei die geografische Ausbreitung. Ein Audit Universum ist die Basis für die jährliche Beurteilung der Risken und stellt sicher, dass die Risken vollständig und transparent beurteilt werden können. Beim Aufbau und der Definition der einzelnen Prüfgebiete kann auf bestehende Elemente, wie beispielsweise die Organisationsstruktur, zurückgegriffen werden. Auf dem bestehenden Organigramm aufzubauen, scheint auf den ersten Blick die einfachste Lösung. Allerdings birgt dieser Ansatz die Gefahr, dass das Audit Universum bei jeder organisatorischen Änderung angepasst werden muss. Einen anderen Ansatz zur Strukturierung bietet die Einteilung entlang der Wertschöpfungskette. Diese orientiert sich an den Prozessen und Dienstleistungen eines Unternehmens. Der Vorteil einer solchen Struktur liegt darin, dass sie organisationunabhängig ist und seltener angepasst werden muss. Ausserdem begünstigt sie die Vergleichbarkeit der Risikoeinschätzung und der abgedeckten Prüfgebiete über mehrere Jahre hinweg.

Im Rahmen des IA-weiten Transformationsprojektes «Group Internal Audit 2020» hatten wir uns das Ziel gesetzt, unser existierendes Audit Universum von Grund auf neu zu strukturieren. Aufgrund der grossen Anzahl der bisherigen Audit Sektoren und unter Berücksichtigung der verfügbaren Ressourcen war eine adäquate Prüfabdeckung mit dem bestehenden Audit Universum nicht mehr gegeben. Angesichts des Wachstums des Unternehmens und der zahlreichen organisatorischen Veränderungen wurde entschieden, das neue Universum komplett losgelöst von der Organisation aufzubauen. Mit dieser Reform wurde gleichzeitig eine Änderung in der Methodik der Risikoeinschätzung nötig. Um eine Vergleichbarkeit der IA-Risikobeurteilung der Bank zu gewährleisten, wurden die Bewertungskriterien an die bestehende Risikotaxonomie des Finanzinstituts angelehnt.

Wie diese in der Praxis umgesetzt wurde, zeigt das Beispiel des Bereichs der IT:
 
Seite 1 von 3

Neuen Kommentar erfassen

Anti-Spam-Frage Wieviele Zwerge traf Schneewittchen im Wald?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER