Risikoorientierte Prüfungsplanung: Best Practice · Head of Audit Management bei der Deutsche Telekom AG in Bonn Juilf-Helmer Eckhard Vorstandsmitglied beim DIIR – Deutsches Institut

Deutsches Institut fürInterne Revision e.V.

Proj

ektg

rupp

e

Risikoorientierte Prüfungsplanung:Best Practice

InhaltInhaltsverzeichnis 3

Abbildungs- und Tabellenverzeichnis 4

Autorenverzeichnis 5

Vorwort 6

Motivation, Einleitung, Ziel der Veröffentlichung 7

1 Definition und Aufgaben der Internen Revision 8

2 Grundlagen einer risikoorientierten Prüfungsplanung 9

2.1 Definitorische Grundlagen, wesentliche Kriterien 9

2.2 Prüfungsplanungs-Regelkreis 11

3 Methoden der risikoorientierten Prüfungsplanung 15

3.1 Prozess- bzw. funktionsbezogene Prüfungsplanung 15

3.1.1 Identifikation der Prüfungsobjekte und Risiken 15

3.1.2 Bewertung der Prüfungsobjekte und Risiken 17

3.1.3 Einbindung des Managements 19

3.1.4 Priorisierung der Prüfungsobjekte und Risiken 20

3.1.5 Ableitung des Prüfungsprogramms 21

3.1.6 Fazit 22

3.2 Unternehmensbezogene Prüfungsplanung 23

3.2.1 Definition des Prüfungsprogramms auf Unternehmensebene 24

3.2.1.1 Identifikation der Prüfungsobjekte und Risiken 25

3.2.1.2 Bewertung der Prüfungsobjekte und Risiken 27

3.2.1.3 Priorisierung der Prüfungsobjekte und Risiken 29

3.2.1.4 Ableitung des Prüfungsprogramms 29

3.2.1.5 Fazit 30

3.2.2 Definition des Prüfungsprogramms je Unternehmen/Bereich 30

3.3 Kritische Würdigung und Gegenüberstellung der vorgestellten Prüfungsansätze 31

3.3.1 Prozess- bzw. funktionsbezogene Prüfungsplanung 32

3.3.2 Unternehmensbezogene Prüfungsplanung 32

3.3.3 Gegenüberstellung der Ansätze 33

4 Ausblick 34

3

Abbildungen

Abb. 1: Regelkreis zur risikoorientierten Prüfungsplanung 11

Abb. 2: Beispiel einer Risikomatrix 16

Abb. 3: Bewertung der identifizierten Risiken 17

Abb. 4: Beispiel einer Fokusanalyse 18

Abb. 5: Beispiel eines Befragungsschemas 19

Abb. 6: Beispiel für Priorisierungsindikatoren 21

Abb. 7: Zusammenfassung des Planungsprozesses 23

Abb. 8: Zweistufiger Prozess der unternehmensbezogenen Prüfungsplanung 24

Abb. 9: Kriterien und Vorgehen zur Risikobewertung 28

Tabellen

Tab. 1: Übersicht Prüfungsobjekte, Risikokategorien und Risikofaktoren 10

Tab. 2: Methoden zur Identifikation der Prüfungsobjekte 12

Tab. 3: Methoden der Risikobewertung 13

Tab. 4: Standardisierbare Risikokategorien/Risikofaktoren 26

Tab. 5: Risikoscoring - Beispiel 28

4

Autoren

Die vorliegende Ausarbeitung wurde von den Mitgliedern der DIIR-Projektgruppe „Risikoorientierte Prüfungsplanung“ erstellt:

Klaus-Peter BlobelWirtschaftsprüfer, bis 2007 langjähriger Leiter der Konzernrevision bei der Bertelsmann AG in Gütersloh

Henning BosseHead of Audit Management bei der Deutsche Telekom AG in Bonn

Juilf-Helmer EckhardVorstandsmitglied beim DIIR – Deutsches Institut für Interne Revision e.V. und Head of BU Group Audit bei der WestLB AG, Düsseldorf

Volker HampelGeschäftsführer des DIIR – Deutsches Institut für Interne Revision e.V. in Frankfurt am Main

Dr. Thomas KnollHead of Group Audit & Risk Management, Insurance bei der Deutsche Telekom AG in Bonn

Kay NoldenHead of Enterprise Management bei der Deutsche Telekom AG in Bonn

Dr. Michael Ribbert, CIA, CISA, QAR-ITVice President Corporate Audit & Consulting Division bei der Bertelsmann AG in Gütersloh

Carmen SeizerLeiterin Interne Revisionsprojekte bei der BSH Bosch und Siemens Hausgeräte GmbH in München

Marc SlowigFachreferent beim DIIR – Deutsches Institut für Interne Revision e.V. in Frankfurt am Main

Ingeborg SpieldienerBereichsleiterin Interne Revision bei der BSH Bosch und Siemens Hausgeräte GmbH in München

Anja UnmuthReferentin der Geschäftsführung/Assistenz Arbeitskreise beim DIIR – Deutsches Institut für Interne Revision e.V. in Frankfurt am Main

5

Vorwort

Die durch das BilMoG in nationales Recht umgesetzte 8. EU-Richtlinie verpflichtet deutsche Unternehmen zu einer höheren Transparenz hinsichtlich der eingeleiteten Maßnahmen zur frühzeitigen Risikoerkennung und damit zur Risikoreduzierung. Damit einhergehend ist die Überwachungspflicht von Aufsichtsrat und ggf. Prüfungs-ausschuss gestiegen. Zur Steigerung der Effektivität und Effizienz der Prüfungs-tätigkeiten der Internen Revision ist eine risikoorientierte Prüfungsplanung in den Unternehmen unabdingbare Voraussetzung.

Um das geplante Jahresrevisionsprogramm und ggf. auftretende Ad-hoc-Prüfungen durchführen zu können, benötigt die Interne Revision ausreichend personelle Ressourcen, die auch dem gewünschten und erforderlichen Anforderungsprofil ent-sprechen.

Die in diesem Werk entwickelten und vorgestellten „Best Practice“-Ansätze berück-sichtigen sowohl rechtliche Regelungen als auch die bestehenden berufsständischen Standards. Darüber hinaus sind die jeweiligen Unternehmensgegebenheiten in die Ansätze einzubeziehen.

Wir bedanken uns bei den Mitgliedern der Projektgruppe und den Unternehmen, die dieses Projekt unterstützt haben und wünschen Ihnen eine gewinnbringende Lektüre.

Frankfurt am Main, im Mai 2010

DIIR – Deutsches Institut für Interne Revision e.V.

Bernd Schartmann, CIA Horst PohlSprecher des Vorstandes des DIIR stellv. Sprecher des Vorstandes des DIIR

6

Motivation, Einleitung, Ziel der Veröffentlichung

Mit der Umsetzung der 8. EU-Richtlinie in nationales Recht durch das BilMoG werden deutsche Unternehmen hinsichtlich ihrer Maßnahmen zum Risikomanagement zu mehr Transparenz verpflichtet. Der Aufsichtsrat und ein ggf. neu zu schaffender Prüfungsaus-schuss (Audit Committee) müssen in kapitalmarkt orientierten Unternehmen die Wirk-samkeit ihres Internen Kontrollsystems (IKS) und ihrer Internen Revision überwachen.1 Diese verstärkte Überwachungspflicht erhöht den Stellenwert, den Vorstand und Auf-sichtsrat dem IKS und dem Umgang mit Risiken im Unternehmen beimessen müssen. Ziel dabei ist es, durch wirksame und konsistente Kontrollsysteme und Informationsabläufe Risiken zu managen, zu minimieren und Sorgfaltspflichtverletzungen der Überwachungs-organe zu vermeiden.

Der Erfolgsbeitrag unterschiedlicher betrieblicher Steuerungs- und Kontrollinstanzen wird optimiert, wenn die jeweiligen Tätigkeiten stets auf die aktuellen Strategien und Ziele des Unternehmens ausgerichtet werden. Als Bestandteil des Internen Kontrollsystems besteht ein Hauptziel der Internen Revision in der effektiven und effizienten Gestaltung von Prüfungstätigkeiten. Die Wirksamkeit der Internen Revision wird durch die Existenz notwendiger organisatorischer Strukturen und Regelungen (statische Anforderungen) sowie der Orientierung an den Standards des IIA und an einem daraus abgeleiteten Prozessmodell (kontinuierliche Anforderungen) sichergestellt.2 So muss u. a. die Aufgabe der Internen Revision in einem Geschäftsauftrag festgelegt werden und die Tätigkeit der Internen Revision alle Aktivitäten des Unternehmens umfassen. Es ist erforderlich, dass sie über ausreichende Ressourcen und qualifizierte Mitarbeiter verfügt, um das Jahres-revisionsprogramm und zusätzliche Ad-hoc-Prüfungen durchzuführen.

Die Interne Revision muss ebenso einen standardisierten, risikoorientierten Planungs-ansatz für die Jahresrevisionsprogrammplanung entwickeln,3 um durch gezielte Prüfungs-handlungen zur Risikominimierung im Unternehmen beizutragen. Die risikoorientierte Prüfungsplanung ist damit eine wesentliche Grundlage zur Erfüllung der IIA-Standards, der Sicherstellung der Funktionsfähigkeit des IKS und der Umsetzung der sich aus dem BilMoG ergebenden Anforderungen.

Da weder in der Theorie noch in der Praxis richtungsweisende Ansätze zur Aus gestaltung einer risikoorientierten Prüfungsplanung zu finden sind, wurde beim DIIR – Deutsches Institut für Interne Revision e.V. eine Projektgruppe ins Leben gerufen, um State-of-the-Art-Ansätze zu definieren. Adressiert werden damit auch berufsständische Standards, insbesondere IIA Standard 2010 – Planung, sowie rechtliche Anforderungen, wie bspw. die durch das Bilanzrechtsmodernisierungs gesetz (BilMoG) geforderte angemessene Aus-gestaltung des Internen Kontroll-, Risikomanagement- und Internen Revisionssystems (§289 (5) HGB, §107 AktG). Die Projektgruppe hat die Erfahrungen der einzelnen Mitglieder zu unterschiedlichen Vorgehensweisen der beteiligten Unternehmen berücksichtigt und weiterentwickelt. Es werden zwei Ansätze beschrieben, in deren Bandbreite praktikable Vorgehens weisen für mittelständische wie auch für Großunternehmen abgeleitet werden können. Branchenspezifika zur Prüfungsplanung, wie sie bspw. im Banken- oder Ver-sicherungsbereich gelten, sind in den Ansätzen nicht explizit berücksichtigt, da hier die methodische Beschreibung der Prüfungsansätze im Vordergrund steht. Diese können jedoch problemlos in beiden Ansätzen berücksichtigt werden.4

1Gem. § 107 (3) AktG kann der Aufsichtsrat aus seiner Mitte einen oder mehrere Ausschüsse bestellen. Er kann insbesondere einen Prüfungs-ausschuss bestellen, der sich mit der Über-wachung des Rechnungslegungsprozesses, der Wirksamkeit des Internen Kontrollsystems, des Risikomanagementsystems und des Internen Revisionssystems befasst.

2Vgl. Knoll. T., Bosse, H.: Compliance in der Internen Revision; in: Lück, W. (Hrsg): Jahr-buch 2010 Wirtschaftsprüfung, Interne Revision und Unternehmensberatung, München 2010, S. 129 ff.

3Entsprechend des IIA-Ausführungsstandards 2010 legt der Leiter der Internen Revision in der Planung die Prioritäten nach Risikokriterien und im Einklang mit den Organisationszielen fest. Eine effiziente Prüfungsplanung erfolgt grundsätzlich risikoorientiert und entsprechend der Ziele des Unternehmens.

Vgl. The Institute of Internal Auditors (IIA) (Hrsg.): Internationale Standards für die beruf-liche Praxis der Internen Revision 2009, Wien 2009, S. 35; DIIR – Deutsches Institut für Interne Revision e.V. (Hrsg.): Die Interne Revision – Bestandsaufnahme und Entwicklungsperspek-tiven, Berlin 2005, S. 168; IIA-Standard 2010. A1: „Die Prüfungsplanung der Internen Revision muss auf Basis einer dokumentierten Risikobe-urteilung erfolgen, die mindestens einmal pro Jahr durchzuführen ist. …“ (IIA 2009).

4Vgl. Bantleon, U., Horn, C. D.: Auswirkungen der überarbeiteten „MaRisk BA“ und der neuen „MaRisk VA“ auf die Interne Revision; in: Zeit-schrift Interne Revision 2010, S. 8 ff.

7

1 Definition und Aufgaben der Internen Revision

Die Interne Revision ist das wesentliche Überwachungsinstrument, mit dem sich die Unternehmensleitung von der Einhaltung der von ihr gesetzten Normen und der rechtlichen und regulatorischen Vorgaben überzeugt. Ein wichtiges Merkmal ist hier bei die prozessunabhängige Funktion der Internen Revision, die sie gegenüber anderen Unternehmensbereichen hervorhebt und unterscheidet.

Der Berufsstand der Internen Revisoren, das Institute of Internal Auditors (IIA), in Deutschland vertreten durch das DIIR – Deutsches Institut für Interne Revision e.V., definiert die Aufgaben und Ziele der Internen Revision wie folgt:

„Die Interne Revision erbringt unabhängige und objektive Prüfungs- („assurance“-) und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und ziel gerichteten Ansatz die Effekti-vität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungspro-zesse bewertet und diese verbessern hilft.“5 Wie bereits oben erläutert, ist die Basis des systematischen und zielgerichteten Ansatzes die risikoorientierte Prüfungsplanung.

5Übersetzung der Definition von „Internal Auditing“ des amerikanischen Institute of Inter-nal Auditors Inc. (IIA), Altamonte Springs, durch das DIIR – Deutsches Institut für Interne Revision e.V., Frankfurt am Main, nach neuer Abstimmung mit dem Institut für Interne Revi-sion Österreich (IIA Austria), Wien, und mit dem Schweizerischen Verband für Interne Revision (SVIR, ASAI, ASRI, SIIA), Zürich 2002.

8

2 Grundlagen einer risikoorientierten Prüfungsplanung

Im Folgenden werden zunächst die definitorischen Grundlagen gelegt, die zur ein deu-tigen Strukturierung des Problemfeldes notwendig sind und damit das Verständ nis der dargestellten Ansätze erleichtern. Im Anschluss wird ein Prüfungsplanungs regelkreis beschrieben, der als Grundlage der Beschreibung der Ansätze dient.

2.1 Definitorische Grundlagen, wesentliche Kriterien

Das Themenfeld der risikoorientierten Prüfungsplanung lässt sich im Wesentlichen an-hand weniger Begriffe strukturieren. Neben einer Definition des Begriffs „Risiko“ werden dazu im Folgenden Begriffe definiert, die zum Einen zur Strukturierung der Prüfungsge-genstände dienen, zum Anderen zur Strukturierung der Risiken. Da sich sehr umfassende Angaben zu den Themenfeldern „Risiken“ und „Risikomanagement“ bspw. in den Mindest-anforderungen an das Risikomanagement – MaRisk finden lassen,6 wurden die folgenden Definitionen insofern abgeleitet.

· Risiko = Der Begriff „Risiko“ wird in der Literatur sehr weitreichend definiert. Lück unterscheidet zwischen dem reinen Risiko und dem spekulativen Risiko. Reines Risiko beinhaltet nur Schadensgefahren, bei denen ein das Vermögen unmittelbar minderndes Ereignis eintritt (z.B. Feuer). Das reine Risiko geht davon aus, dass die Entwicklung des Unternehmens nur von seltenen, unregelmäßigen Gefahren bedroht wird. Das speku-lative Risiko umfasst im Gegensatz zum reinen Risiko diejenigen unsicheren Ereignisse, die sich durch das unternehmerische Handeln vermögensmindernd oder vermögens-mehrend auswirken.7

· Audit Universe = Prüfungslandkarte, die alle Prüfungsobjekte umfasst und definiert. Das Audit Universe umfasst damit alle Themen, Organisations einheiten, Systeme etc., die für die Planung und Durchführung der Prü fungstätigkeiten durch die Interne Revision relevant sind.

· Prüfungsobjekt = Beschreibung, was geprüft wird (auch als „Prüffelder“ be zeichnet). Beispiele zur Kategorisierung der Prüfungsobjekte sind Prozesse, Organisationsein-heiten, IT-Systeme, Produkte oder Projekte.

· Risikofaktoren = beschreiben das relevante Risiko, im konkreten Fall also das Risiko eines Prüfungsobjektes in einem bestimmten Bereich. Beispiele für Risikofaktoren sind Marktwachstumsrate, Umsatz, Anzahl an Kontroll schwächen. Zur Vergleichbarkeit verschiedener Risikofaktoren kann ein Risikoscoring eingesetzt werden. Bspw. definiert sich der Zustand des Kontrollumfeldes anhand einer geringen Anzahl an Kontroll-schwächen als 1 (sehr gut), die Bedeutung des Prüfungsobjektes anhand des im Kon-zernvergleich hohen Umsatzes als 6 (sehr hoch).

6Vgl. BaFin, MaRisk, insbesondere AT 2.2 bis AT 4.5 und BTO 1.4.

7 Vgl. Kromschröder, Bernhard: Stichwort „Risiko“. In: Lexikon der Internen Revision. Hrsg. Wolf gang Lück, München und Wien 2001, S. 282–283.

9

Risikofaktoren

Umsatz, Transaktionsvolumen, Anzahl Mitarbeiter, Value at Risk, Ergebnisbeitrag, Vermögen

Zustand IKS, Personalausstattung, Zeitraum seit letzter Prüfung, Anzahl Sonderprüfungen

Rechtssicherheit, formale Risiken, Unternehmenskultur

Komplexität der Prozesse/Produkte, IT-Durchdringung, Risikoaffinität und Kompetenz des Managements, Perso-nalfluktuation

Marktwachstum, Markteintrittsbarrieren, Wettbewerbersituation

Cash-Flow-Situation, Ausnutzungsgrad Limite, Kostenstruktur, Kreditrisiko

Risikokategorien

Bedeutung im Konzern

Fehlerrisiko

Länderrisiko

Inhärentes Risiko

Marktrisiko

Liquiditätsrisiko

Die folgenden Tabellen bieten eine Übersicht über mögliche Prüfungsobjekte, Risiko-kategorien und Risikofaktoren, ohne den Anspruch der Vollständigkeit und Über-schneidungsfreiheit zu erheben.

Tab. 1: Übersicht Prüfungsobjekte, Risikokategorien und Risikofaktoren

Quelle: Eigene Darstellung

Prüfungsobjekt

Organisationseinheiten wie Unternehmen, Bereiche, Niederlassungen, Werke

Prozesse wie Einkauf, Absatz

Funktionen wie HR, Steuern, Recht

Produkte

Projekte

10

2.2 Prüfungsplanungs-Regelkreis

Die risikoorientierte Prüfungsplanung sollte anhand eines strukturierten, in seiner Form und bezüglich der angewendeten Bewertungskriterien konstanten Prozesses erfolgen. Hier bietet sich die Ausgestaltung eines Regelkreises an, der die folgenden Schritte beinhaltet:

· Identifikation der Prüfungsobjekte, Risikokategorien und -faktoren,

· Bewertung der Risiken,

· Priorisierung der Risiken und

· Ableitung des risikoorientierten Prüfungsprogramms.

Abb. 1: Regelkreis zur risikoorientierten Prüfungsplanung


11

Informationsquelle

Konzernstruktur, Organigramme

Prozessmodelle

Verträge, Versicherungspolicen, Risikomanagementreporting

Vorstandssitzungen, Aufsichtsrats-sitzungen, Prüfungsausschusssitzungen, Jahres- und Monatsabschlusstreffen mit externen Abschlussprüfern

Methoden zur Identifikation der Prüfungsobjekte

Analyse der Aufbauorganisation

Analyse der Ablauforganisation

Analyse der Unternehmens-dokumentation

Analyse weiterer Informationsquellen

Identifikation

Grundlage einer zielgerichteten Prüfungsplanung ist die Erfassung der Gesamtheit aller Prüfungsobjekte im Audit Universe, um die Existenz revisionsfreier Räume ausschließen zu können. Die Strukturierung des Audit Universe hat risikoorientiert anhand verschie-dener Kriterien zu erfolgen, wobei sich in der Praxis Organisationseinheiten, Prozesse/ unternehmerische Funktionen und Projekte als Prüfungs objekte durchgesetzt haben.8 Mit der Bestimmung der Prüfungsobjekte geht die Definition der Risikokategorien und Risikofaktoren einher. Die Risikoanalyse dient sowohl der Definition der Prüfobjekte als auch deren späteren Bewertung. Methoden zur Bestimmung der Prüfungsobjekte werden beispielhaft in der folgenden Tabelle dargestellt:

8Vgl. Amling, T., Bantleon, U.: Handbuch der Internen Revision, Berlin 2007, S. 213.

9Vgl. IIA-Standard 2010.A1: „Die Prüfungs-planung der Internen Revision muss auf Basis einer dokumentierten Risikobeurteilung erfolgen, die mindestens einmal pro Jahr durchzuführen ist. …“ (IIA 2009).

Tab. 2: Methoden zur Identifikation der Prüfungsobjekte

Zur Identifikation der Prüfungsobjekte und der relevanten Risiken können unter-nehmensinterne wie auch unternehmensexterne Quellen herangezogen werden. Zur Nutzung interner Quellen ist anzumerken, dass durch die Interne Revision selbst generierte Informationen (Prüfungsberichte der Vergangenheit, individuelle Risiko-betrachtungen) durch Information anderer Unternehmensbereiche (Controlling, Risiko-management, Strategische Planung, Vorstandsprotokolle etc.) zu vervoll ständigen sind. Die aus einer veränderten Geschäftspolitik, angepassten Strategie oder geänderten Prozessen resultierenden Themen sollten möglichst frühzeitig und systematisch berück-sichtigt werden. Ziel ist die optimale Ausrichtung auf die risiko relevanten Themenfelder. In jedem Fall ist auf die Werthaltigkeit der erhaltenen Infor mationen zu achten, um auch den Anforderungen an die Professional Practice gerecht zu werden.

Die Definition des Audit Universe inklusive der Risikokategorien und Risiko faktoren ist mindestens einmal jährlich durchzuführen und für sachkundige Dritte nachvollziehbar zu dokumentieren.9 Hierbei ist zu beachten, dass neben einer Neu definition auch die ständige Fortschreibung des Audit Universe unter Beachtung aktueller Einflüsse möglich ist.


12

Bewertung

Anhand definierter Kriterien sind je nach Prüfungsobjekt möglichst objektive Risiko-bewertungen vorzunehmen. Auch wenn spätere Anpassungen aufgrund aktueller Ereignisse möglich sind, liefert die Risikobewertung eine wichtige Dokumentations-grundlage, mit welcher der Revisionsleiter Motivation und Gründe für das definierte Prüfungsprogramm nachweisen kann.

Für die Bewertung kommt eine Vielzahl von Methoden in Betracht. Von der Priori -sierung bspw. über Scoring-Verfahren bis hin zu komplexen analytisch-statistischen Verfahren einschließlich der Berücksichtigung von Korrelationen kommen unter schied-lichste Ansätze in Frage. Kennzahlen, qualitative und quantitative Verfahren werden in unterschiedlichen Konstellationen herangezogen. Letztlich bestimmt auch die Kapazität der Revisionsabteilung, in welchem Umfang Bewertungen vorge nommen werden (können).

Tab. 3: Methoden der Risikobewertung

Priorisierung

Ziel der Bewertung der Risiken ist eine Priorisierung der Prüfungsobjekte, um die durchzuführenden Prüfungen risikoorientiert unter Berücksichtigung der verfügbaren Ressourcen planen zu können. In der Konsequenz führt die Priorisierung zur Fest legung des Prüfungsprogramms. Es ist dabei zu beachten, das Prüfungsprogramm nicht an der vorhandenen Prüfungskapazität auszurichten. Vielmehr sollte der Treiber die Anzahl wichtiger, risikobehafteter Themen- und Prüfungsfelder sein. In jedem Fall ist die Festlegung auf die priorisierten Themen nachvollziehbar zu dokumentieren, um den Nachweis eines strukturierten und begründbaren Vorgehens erbringen zu können.

Als Vorgehensweise bei der Priorisierung kommt u. a. die strikte Priorisierung an hand der zuvor ermittelten Bewertungsergebnisse in Betracht. Die Trennlinie zwischen durch-zuführenden und zu verschiebenden Themen liegt dann bspw. in der Anzahl von Prü-fungen, die mit den bestehenden Prüfungskapazitäten abgewickelt werden können. Dabei ist gleichzeitig zu beachten, dass i. d.R. durch die verfüg baren Kapazitäten auch

Methoden zur Risikobewertung

Scoringverfahren, bspw. nach dem Ampel- oder Schulnotenprinzip, gewichtet oder ungewichtet

Monte Carlo-Simulation, Simulation verschiedener Risikofaktoren und deren Aus wirkung auf ein Portfolio von Betrachtungsgegenständen


13

(teilweise kurzfristige) Sonderprüfungen abzuwickeln sind. Der strikten Priorisierung könnte bspw. die zwingende Berücksichtigung gesetzlicher Einflüsse entgegenstehen, welche die ermittelten Prüfungsobjekte „überstrahlt“ (falls nicht schon im Bewertungs-modell berücksichtigt).

Prüfungsprogramm

Ergebnis der Priorisierung der Prüfungsobjekte ist das Prüfungsprogramm. Oft wird dies auf Jahresebene festgelegt. Denkbar sind aber auch kürzere Zeiträume. Wichtig ist es, die Einflüsse veränderter Rahmenbedingungen (spezifische, kurzfristig drohende Risiken, Anpassungen der Geschäftsstrategie) zeitnah im Prüfungs programm abbilden zu können. Letztlich resultiert hieraus die Forderung, An passungen aus der (veränderten) Bewertung von Risiken an das jeweils aktuelle Unternehmensumfeld auch unterjährig durchführen zu können (unter Sicherstellung einer angemessenen Dokumentation). Zusätzlich wird hier die Bedeutung der Verknüpfung der Revisions arbeit mit dem beste-henden Risikoreporting unterstrichen.

14

10Vgl. Buderath, H. M., Internationale Interne Revision, in Peemöller, V. H., Förschle, G.: Wirtschaftsprüfung und Interne Revision, S. 686.

11Für eine weitergehende Beschreibung vgl. Amling, T., Bantleon, U.: Handbuch der Internen Revision, Berlin 2007, S. 214.

12Vgl. hierzu auch die Ausführungen zum Modell der risikoorientierten Revisionsplanung in Ab schnitt 3.2.

3 Methoden der risikoorientierten Prüfungsplanung

Da organisatorische Einheiten derzeit das am häufigsten genutzte Strukturierungs-kriterium darstellen, wird in Abschnitt 3.2 ein Ansatz zur „unternehmensbezogenen“ Prüfungsplanung detailliert beschrieben. Daneben hat sich die Orientierung an Prozessen bzw. Funktionen eines Unternehmens zur Systematisierung des Audit Universe etabliert, da viele Einheiten heute eine Größenordnung und Komplexität aufweisen, die eine vollständige Betrachtung ganzer Unternehmensbereiche erschweren.10 Ein prozessorien-tierter Ansatz wird im folgenden Abschnitt dargestellt.

Anzumerken ist, dass beide beschriebenen Ansätze auf Praxiserfahrungen basieren und sowohl bzgl. des Umfangs der Umsetzung als auch bzgl. der inhaltlichen Ausgestaltung je nach Unternehmensbedürfnis angepasst werden können/müssen.

3.1 Prozess- bzw. funktionsbezogene Prüfungsplanung

Die prozess- bzw. funktionsbezogene Prüfungsplanung durchläuft den in Abschnitt 2.2 vorgestellten Regelkreis auf Basis zuvor identifizierter Unter nehmensprozesse bzw. festgelegter Unternehmensfunktionen. Orientierung für ein allgemeines Modell zur Identifikation der Prüfungsobjekte und Risiken kann dazu die Wertschöpfungskette nach Porter sein11, wobei es sinnvoll ist, das Modell an die Unternehmensbesonderheiten an-zupassen bzw. ein unternehmensspezifisches Modell zu nutzen. In der Praxis hat sich die Ausrichtung an vier bis maximal zehn Unternehmenskernprozessen bzw. -funktionen bewährt.

In größeren Unternehmen mit mehreren Revisionseinheiten ist es darüber hinaus sinn-voll, die auf Basis gleicher Bewertungs- und Priorisierungsverfahren abgeleiteten Risikofelder und Prüfungsthemen abzugleichen, um auch übergreifende, konzern weite Themenfelder zu adressieren.

3.1.1 Identifikation der Prüfungsobjekte und Risiken

Erster Schritt der prozess- bzw. funktionsbezogenen Prüfungsplanung ist die struktu-rierte Identifikation der Prüfungsobjekte und Risiken in einer Risikomatrix (siehe Abb. 2).12 Dazu werden z.B. die wesentlichen Unternehmensfunktionen (Produktion, Vertrieb, Finanzen, HR etc.) analysiert sowie in ihre zugehörigen Prozesse und – wenn dies aufgrund ihrer Komplexität, ihres Umfangs oder ihrer unterschiedlichen Risikostruktur erforderlich ist – ihre Subprozesse gegliedert. Eine Unterteilung nach Organisations-einheiten ist dann notwendig, wenn in diesen signifikant unterschiedliche Prozesse und

15

Risiken existieren. Prozesse, ggf. Sub prozesse und Organisationseinheiten werden in den ersten Spalten der Risikomatrix eingetragen.

Darauf aufbauend sind – individuell für jede einzelne Unternehmensfunktion – die Risikokategorien zu identifizieren, die auf diese Prozesse wirken. Dieses können interne (inkl. der unterstützenden IT-Systeme) wie auch externe Faktoren sein. Die Risiko-kategorien definieren die Spalten der Risikomatrix.

Für jede der festgelegten Unternehmensfunktionen ergibt sich dadurch eine indivi duelle Risikomatrix, welche die für diese Funktion relevanten Prozesse und Risikokategorien enthält. In jedem Feld, das sich aus der Kombination von Prüfungsobjekt und Risikokate-gorie ergibt, werden anschließend durch die Interne Revision die spezifischen Risiken erfasst (Risikofaktoren). Informationsquellen hierfür sind sowohl die Erkenntnisse aus bereits durchgeführten Prüfungen der Internen Revision und externer Prüfer als auch das interne und externe Berichtswesen des Unter nehmens sowie aktuelle Vorstands-entscheidungen, Markt- und Umfeldanalysen. Felder, in denen kein Risiko gesehen wird, und solche, über die keine Informationen vorliegen („weiße Flecken“), werden ent-sprechend markiert.

Abb. 2: Beispiel einer Risikomatrix


16

Dieser erste Schritt bindet je nach konkreter Ausgestaltung und Art des Unter nehmens umfassende Ressourcen der Internen Revision, da die Informationen i. d.R. nicht standardisiert vorliegen und individuell erarbeitet werden müssen. Es ist daher wichtig, eine exakte Terminierung dieser Planungsphase wie auch die Verfüg barkeit der ent-sprechenden personellen und informationstechnischen Ressourcen sicherzustellen.

3.1.2 Bewertung der Prüfungsobjekte und Risiken

In einem zweiten Schritt werden alle gefüllten Felder der Risikomatrix einer ersten, durch die Interne Revision durchgeführten Bewertung nach Eintrittswahrscheinlich keit und Schadensausmaß (siehe Abb. 3) unterzogen. Die Eintrittswahrschein lichkeit beschreibt dabei die Möglichkeit, dass ein identifiziertes Risiko im Planungshorizont (d.h. im Laufe des Folgejahres) eintritt. Das Schadensausmaß gibt die potenzielle Tragweite des Schadens für den Fall an, dass das Risiko tatsächlich eintritt. Die Bewertung des Schadens-ausmaßes kann sowohl quantitativ als auch qualitativ (insbesondere bei Reputations-/Imagerisiken) erfolgen.

Abb. 3: Bewertung der identifizierten Risiken


17

Dabei werden beiden Größen beispielhaft Werte von 1 (geringe Eintrittswahr scheinlich-keit bzw. geringes Schadensausmaß) bis 4 (sehr hohe Eintrittswahrschein lichkeit bzw. sehr hohes Schadensausmaß) zugeordnet. Das Produkt beider Werte führt zur Klassifizie-rung des Risikos nach der Ampel-Logik: bis einschließlich des Wertes von 4 ist das Risiko „grün“, zwischen 5 und 9 ist das Risiko „gelb“ und ab 12 ist das Risiko „rot“ zu bewerten. Ergebnis dieses Vorgehens ist eine Übersicht über besonders risikobehaftete Prozesse und Funktionen im Unternehmen, auf die im weiteren Planungsverlauf ein besonderer Fokus zu richten ist.13

Die Quantifizierung der so klassifizierten Risiken stellt den sachlogisch folgenden Schritt dar. Bspw. sollte für alle „roten“ Risiken eine exakte Quantifizierung obliga torisch sein. Hierzu kann die Methode der Fokusanalyse (siehe Abb. 4) genutzt werden, bei der die für einen Sachverhalt wesentlichen Einflussfaktoren und Wert treiber ermittelt werden. Durch eine Visualisierung der Wirkungszusammenhänge und Annahmen wird die finan-zielle Größenordnung eines Risikos für die weitere Diskussion transparent gemacht.

13Die konkrete Ausgestaltung der Risikobewer-tung (Definition der Werte, Zuordnung zu Band breiten) ist im konkreten Anwendungsfall individuell zu wählen.

Abb. 4: Beispiel einer Fokusanalyse


18

Die Fokusanalyse dient nicht nur der Fundierung der eigenen Bewertung, sondern eignet sich auch hervorragend als Diskussionsgrundlage für die Interviews mit dem Management, die im nächsten Schritt durchgeführt werden.

3.1.3 Einbindung des Managements

Die Validierung der prozess- bzw. funktionsbezogenen Risikomatrizen und ihrer durch die Interne Revision vorbewerteten Inhalte sollte durch das Management des Unter-nehmens erfolgen. In der Praxis bewährt hat sich hierbei ein zweistufiger Prozess, der sowohl eine systemgestützte Befragung des Managements (mittels des Versandes von Fragebögen oder durch eine Online-Befragung, siehe Abb. 5), als auch persönliche Interviews vorsieht. Die Bewertung der identifizierten Themen durch das Management ist von zentraler Bedeutung für die Entwicklung des Prüfungsprogramms: Zum einen werden auf diese Weise die umfangreichen Kennt nisse der für die Prozesse fachlich Verantwortlichen genutzt, zum Anderen erzeugt deren Einbindung eine hohe Akzeptanz für das spätere Prüfungsprogramm.

Abb. 5: Beispiel eines Befragungsschemas


19

Empfehlenswert ist weiterhin die Ausgestaltung der Fragen als Multiple Choice und die eingeschränkte Verwendung offener Antwortmöglichkeiten. Dadurch wird sowohl eine rasche und intuitive Beantwortung durch die Führungskraft als auch eine unproble-matische und zeitnahe Auswertung gewährleistet. Gesprächsgrundlage für die Interviews mit ausgewählten Führungskräften sollten die Resultate der Befragung und die in Ab-schnitt 3.1.2 beschriebenen Fokusanalysen sein. Auf dieser Basis ergeben sich inhaltlich qualitativ hochwertige Gespräche und Ergebnisse, wie die Praxiserfahrung zeigt.

Ergebnis dieses Prozessschritts ist die abgestimmte risikoorientierte Auflistung der Prüfungsobjekte eines Unternehmens auf Basis umfassender Informationen.

3.1.4 Priorisierung der Prüfungsobjekte und Risiken

Je nach Einschätzung der Internen Revisoren und des befragten Managements ergibt sich – abhängig von der einzelnen Unternehmensfunktion bzw. vom einzel nen Unter-nehmensprozess je Risikomatrix – die Menge von Prüfungsobjekten, deren vollständige Prüfung mit den vorhandenen Ressourcen i. d.R. nicht zu realisieren ist. Um nun die „richtigen“ Prüfungsobjekte für das Prüfungsprogramm auszuwählen, ist eine Priori-sierung anhand nachvollziehbarer Kriterien erforderlich.

Durch sog. Priorisierungsindikatoren (siehe Abb. 6) lassen sich unterschiedliche Kriterien wie der Einfluss des durch das Prüfungsobjekt abgedeckten Risikos bspw. auf das Finanzergebnis, auf die strategischen Zielsetzungen aber auch auf die Funktionsfähigkeit der SOX-Kontrollen abbilden. Weitere relevante Parameter sind die Anfälligkeit für dolose Handlungen oder die Auswirkungen auf das Image des Unternehmens, wie auch die Risiken aufgrund unklarer Verantwortlichkeiten und komplexer Organisations- und Ent-scheidungsstrukturen.

20

Abb. 6: Beispiel für Priorisierungsindikatoren

Jedes Prüfungsobjekt wird folglich anhand von Priorisierungsindikatoren bewertet, um im Falle der regelmäßig vorliegenden Kapazitätsbeschränkungen eine Auswahl vornehmen zu können.

3.1.5 Ableitung des Prüfungsprogramms

Im Sinne der vollständigen Erfassung aller Prüfungsobjekte sollte vor der Ableitung des finalen Prüfungsprogramms ein Abgleich der Prüfungsobjekte und Risiken durch den Vergleich der verschiedenen Risikokontrollmatrizen erfolgen, welche unter Umständen durch unterschiedliche Teams erstellt wurden. In Abhängigkeit von der Größe des Unter-nehmens und der Anzahl unterschiedlicher Risikomatrizen und damit der Komplexität der Planungsstruktur ist dieses als „Übergabeverfahren“ definierte Vorgehen auch bereits vor der Priorisierung sinnvoll. Die gegenseitige Übergabe der Themen zwischen den für die Risikomatrizen verantwortlichen Teams kann in Form einer Transfermatrix erfolgen.


21

14Risiken aus der Gehaltsabrechnung können u.U. mehrfach bspw. in den Bereich HR, Finanzen und IT als potenzielle Prüfungsthemen relevant sein.

15„Risk Taking“ bezeichnet die Prüfungsthemen, bei denen Risiken festgestellt worden sind, die aber aus Risikosicht und unter Kosten-Nutzen-Abwägungen nicht zu prüfen sind. Hierdurch wird auch dem IIA-Standard 2020 entsprochen: „… Außerdem muss der Leiter der Internen Revision die Folgen etwaiger Ressourcenbe-schränkungen erläutern.“ (IIA 2009).

16Vgl. IIA-Standard 2010.

Weiterhin ist für die Redundanzfreiheit der Themen zu sorgen, da einzelne Prü fungsin-halte je nach Schwerpunkt in mehreren Risikomatrizen enthalten sein können.14 Ergebnis ist eine Liste aller prüfungsrelevanten Themen mit einer Beschreibung der Prüfungs-inhalte und des damit adressierten Risikos inkl. einer Festlegung der dazu notwendigen Kapazitäten. Die Auswahl der Themen für das finale Prüfungsprogramm erfolgt auf Basis der in Abschnitt 3.1.4 beschriebenen Priorisierung und der zur Verfügung stehenden personellen Ressourcen. Zu berück sichtigen ist dabei, dass von den Netto-Kapazitäten (d.h. nach Abzug von Urlaub, Weiterbildung, Krankheit etc.) nur ca. 70 % bis 80 % verplant werden sollten, um Sonderprüfungen jederzeit annehmen und umsetzen zu können.

Sowohl nicht durchzuführende Prüfungsobjekte – das „Risk Taking“15 – als auch das finale Prüfungsprogramm werden der Geschäftsleitung und dem Prüfungsaus schuss zur Genehmigung vorgelegt.

3.1.6 Fazit

Die Identifikation der Prüfungsobjekte und Risiken erfolgt je Prozess oder Funktions-bereich unter Beachtung umfassender Informationsquellen und in Abstimmung mit dem Management anhand eines strukturierten Vorgehensmodells: die Interne Revision bestimmt die Eintrittswahrscheinlichkeiten und das Risikoausmaß, das Management validiert das so festgelegte Risikopotenzial. Die Risikobewertung und -priorisierung ist aufgrund definierter Kriterien eindeutig nachvollziehbar.

Ergebnis des beschriebenen Ansatzes (siehe Abb. 7) ist daher ein risikoorientiertes Prüfungsprogramm, das mit relativ hoher Wahrscheinlichkeit alle für das Unter nehmen bestehenden wesentlichen Risiken abdeckt und damit den Anforderungen der Berufs-standards entspricht.16 Ergänzend ist darauf hinzuweisen, dass die priorisierten und in das Prüfungsprogramm aufgenommenen Prüfungsobjekte regelmäßig mit dem Audit Universe abzugleichen sind, um durch die stark risikoorientierte Ausrichtung Bereiche mit für das Unternehmen weniger relevanten Risiken nicht dauerhaft ungeprüft zu lassen. Revisionsfreie Räume können nur durch diesen Ab gleich wirkungsvoll verhin-dert werden.

22

Abb. 7: Zusammenfassung des Planungsprozesses

Die konkrete Ausgestaltung des oben beschriebenen Ansatzes ist vor dem Hinter grund der unterschiedlichen Anforderungen und Rahmenbedingungen eines jeden Unter-nehmens individuell in Art und Umfang festzulegen. Zu beachten ist, dass die konkrete Ausgestaltung die dargestellten wesentlichen Stärken des Ansatzes unter stützt.

3.2 Unternehmensbezogene Prüfungsplanung

Die unternehmensbezogene Prüfungsplanung durchläuft das bereits vorgestellte Vorgehensmodell auf zwei Ebenen (siehe Abb. 8):


23

Abb. 8: Zweistufiger Prozess der unternehmensbezogenen Prüfungsplanung

Auf erster Ebene erfolgt die Ableitung des Prüfungsprogramms auf Unternehmens-/ Bereichslevel. Darauf aufbauend erfolgt die Planung des in den jeweiligen Unternehmen/ Bereichen umzusetzenden Prüfungsprogramms. Das Vorgehen wird im Folgenden detailliert erläutert.

3.2.1 Definition des Prüfungsprogramms auf Unternehmensebene

Die Definition des Prüfungsprogramms auf Unternehmensebene ermöglicht im ersten Schritt eine Planung unter Sicherstellung einer strukturierten Berücksichtigung von Informationen. Ziel ist neben der Komplexitätsbeherrschung eine mögliche Automati-sierung des ersten Planungsschrittes.

Identifizierte Unternehmen

A

B

C

D

…


24

3.2.1.1 Identifikation der Prüfungsobjekte und Risiken

Auf Unternehmensebene definieren sich die Prüfungsobjekte als die Firmen/Ein heiten des Konzerns/Unternehmens. Als untergeordnete Gliederungsebene können weitere Unterteilungen wie Hauptprozesse, Produktlinien, IT-Systeme etc. gewählt werden. Die Vollständigkeit des Audit Universe ist auf der obersten Ebene einfach sicherzustellen, da als Informationsquelle in jedem Konzern/Unternehmen zu Konsolidierungszwecken, aber auch aus Managementsicht eine vollständige Über sicht der zum Konzern/Unternehmen gehörigen Firmen vorzuliegen hat. Weiterhin sind die Risikokategorien und daraus abgeleitet die Risikofaktoren zu definieren, die für die spätere Bewertung und Priorisie-rung der Unternehmensliste heran gezogen werden sollen. Bei der Auswahl der konkreten Risikokategorien und Risiko faktoren ist auf die konzern-/unternehmensindividuellen Belange einzugehen.

Prinzipiell sind zwei Arten zu unterscheiden:

· Risikofaktoren mit standardisierbaren Ausprägungen (bspw. anhand von Unternehmens-/Prüfungsdaten)

· Risikofaktoren mit nicht-standardisierbaren Ausprägungen (bspw. Ad-hoc-Meldungen, Informationen aus dem Prüfungsausschuss etc.)

Als sinnvoll erscheint dabei die sequentielle Verarbeitung der Faktoren: So kann im ersten Schritt die Jahres-Prüfungsplanung auf Basis der standardisierten Risiko faktoren weitgehend automatisiert erfolgen, um im zweiten Schritt die nicht-standardisierbaren Informationen manuell und unterjährig zu ergänzen.

25

Risikokategorie

Länderrisiko/geografisches Risiko

Bedeutung im Konzern/Unternehmen

Fehlerrisiko

Inhärentes Risiko

Ausprägung

bspw. Deutschland/China

Umsatz, Bilanzsumme

Anzahl der Sonderprüfungen, Zeitraum seit letzter Prüfung

Quantifiziertes Risiko im Risiko-management system, Risikoeinschätzung durch die Interne Revision

Risikofaktor

Die Ansässigkeit einer Unternehmung in einem Land/das Arbeiten in einer be-stimmten Kultur ist mit besonderen Risiken verbunden (bspw. Effizienz, Betrug, Behör-denwillkür)

Eine hohe Bedeutung eines Unternehmens bedeutet auch eine hohe Sensibilität beiFehlern (bspw. Prozessrisiken bei hoch repetitiven Vorgängen, Fehler im Jahres-abschluss)

Die Erfahrungen der letzten Prüfungen und aus der Prüfungshistorie geben Aufschluss über das Unternehmensrisko (bspw. Risikoaffinität/Kompetenz des Managements/Komplexität der Prozesse)

Unternehmensspezifische Risiken, die durch das Geschäftsmodell, die Unterneh-mensstruktur, den Unternehmensstandort etc. begründet sind

Als standardisierbare Risikokategorien/Risikofaktoren sind denkbar:

Tab. 4: Standardisierbare Risikokategorien/Risikofaktoren

Als Informationsquellen dienen i. d.R. das interne und/oder externe Berichtswesen sowie die Ergebnisse der durch die Interne Revision oder durch externe Prüfer durchgeführten Prüfungen.

Die nicht-standardisierbaren Risikofaktoren sind nicht automatisiert auswertbar bzw. im Rahmen der standardisierbaren Prüfungsplanung (bspw. aus zeitlichen Gründen) nicht verfügbar.


26

Beispiele und Informationsquellen sind:

· Konkrete Geschäfts-, Management- oder Marktrisiken, die in der Geschäfts führung oder Eigentümerversammlung, im Vorstand, Aufsichtsrat oder Prüfungsausschuss aufgrund aktueller Entwicklungen als relevant definiert wurden.

· Identifizierte Betrugsfälle, die über ein Hinweisgeber-System oder über andere Wege bekannt geworden sind.

· Zum Zeitpunkt der Prüfungsplanung nicht identifizierte Risiken eines Unter nehmens (Schwächen im IKS, operative Risiken durch Prozessänderungen, etc.), die bspw. durch das lokale Management oder im Rahmen des Risikomanagements unterjährig gemeldet werden.

· Spezielle Prüfungsfeststellung, die innerhalb der Internen Revision oder auch durch externe Prüfer aufgedeckt wurden und zum Zeitpunkt der Prüfungsplanung nicht bekannt waren.

Zur Sicherstellung einer vollständigen und zeitgerechten Informationsverarbeitung sollten die für den jeweiligen Konzern/das jeweilige Unternehmen relevanten Infor-mationen und Informationsquellen klar definiert und die für die zeitnahe Verarbeitung relevanten Termine dokumentiert werden.

3.2.1.2 Bewertung der Prüfungsobjekte und Risiken

Für die Bewertung der standardisierbaren Risikofaktoren bietet es sich an, quantifizierte Risikoeinschätzungen heranzuziehen, um die Risiken für die weitere Verarbeitung automatisiert nutzbar zu machen.17 Die Bewertung des Risikos je Risikofaktor/Ausprägung ist dabei über die verschiedenen Kategorien einheitlich zu gestalten, um die unterschied-lichen Risiken vergleichbar zu machen. Bspw. kann die Bedeutung des Unternehmens/der Einheit anhand des Umsatzes, der Bilanzsumme oder des Cash-Flows im Verhältnis zum Konzern/Gesamtunternehmen berechnet werden, wobei die Prozentzahlen mit einem Risikoscoring nach dem Schulnoten prinzip verknüpft sind. Ebenso ist die Konzern-/Unternehmenszugehörigkeit des betrachteten Unternehmens/der betrachteten Einheit anhand von Schulnoten zu bewerten:

17Ein anerkannter Index für Länderrisiken ist bspw. der CPI von Transparency International, vgl. http://www.transparency.de/Corruption-Perceptions-Index-2.1234.0.html

27

Risikofaktor

Länderzugehörigkeit

Bedeutung im Konzern

Sonderprüfungen

Prüfungsfreie Zeit

Unternehmens- spezifische Risiken

…

…

…

Risikogesamt-score

∑ 42

Gewichtung

niedrig 1

gering 2

mittel 3

hoch 4

Risikoscoring

niedrig 1

gering 2

mittel 3

hoch 4

sehr hoch 5

Prüfungsobjekt

Unternehmen A

Unternehmen B

Unternehmen C

…

…

…

Risikoscoring

1

2

3

4

5

6

Umsatz im Verhältnis zum Gesamtumsatz in %

< 5

5 = < x < 10

10 = < x < 20

20 = < x < 30

30 = < x < 40

> = 40

Zugehörigkeit zum Konzern in Jahren

> 15

10 < x = < 15

5 < x = < 10

3 < x = < 5

1 < x = < 3

= < 1

Tab. 5: Risikoscoring – Beispiel

Abb. 9: Kriterien und Vorgehen zur Risikobewertung

Falls die definierten Risiken für das Unternehmen nicht die gleiche Bedeutung besitzen, kann dies über eine Gewichtung der Risiken berücksichtigt werden. Die Bewertung der Unternehmen/ Bereiche ergibt sich anhand einer Risiko-Gesamtbewertung.

Die folgende Abbildung stellt die Methodik der Risikobewertung der Unternehmen anhand standardisierter Risikofaktoren zusammenfassend dar.



28

Je nach Definition der Prüfungsobjekte ist es möglich, Risiko-Gesamtbewertungen auf Unternehmensebene oder bspw. je Unternehmen und Geschäftsprozess getrennt für IT- und kaufmännische Prüfungen vorzunehmen.

3.2.1.3 Priorisierung der Prüfungsobjekte und Risiken

Die Priorisierung der Prüfungsobjekte erfolgt im ersten Schritt anhand des Risiko-Ge-samtscores. Darüber hinaus müssen die Informationen über die nicht-standardisierbaren Risikofaktoren berücksichtigt werden, deren Bewertung und Einbettung in die bestehende Priorisierung der Prüfungsobjekte subjektiv durch den Prüfungsplaner erfolgen muss.

3.2.1.4 Ableitung des Prüfungsprogramms

Das Prüfungsprogramm ergibt sich anhand der priorisierten Prüfungsobjekte unter Berücksichtigung der Ressourcen. Hierbei sind neben zeitlichen Ressourcen bspw. auch fachliche Aspekte zu berücksichtigen, was die Definition des Prüfungsprogramms zu einem komplexeren Problem werden lassen kann. Darüber hinaus sind Ressourcen bspw. für Sonderprüfungen oder nicht nach dem beschriebenen Vorgehen zu planende Prüfungen zu blockieren.

Wie bereits erwähnt, erfolgt die Bestimmung des Prüfungsplans i. d.R. auf Jahres- oder auch auf Halbjahresbasis. Anpassungen innerhalb dieser Zeiträume werden bei neuer Informationslage zu den Prüfungsobjekten, Risikofaktoren oder Ressourcen notwendig, was bspw. in nicht eingeplanten Sonderprüfungen oder Programm anpassungen aufgrund von Ressourcenänderungen münden kann.

29

3.2.1.5 Fazit

Ergebnis des vorgestellten Vorgehens ist ein strukturierter Prozess, mit dessen Hilfe ein Prüfungsprogramm unter Beachtung aller relevanten Informationen definiert wird. Die Bestimmung des Prüfungsprogramms erfolgt risikoorientiert und erfüllt die Anforde-rungen der Berufsstandards.18 Die hier vorgestellte Definition der Prüfungsobjekte sowie die Differenzierung zwischen standardisierbaren und nicht-standardisierbaren Risiko-faktoren dienen der Komplexitätsbeherrschung. Die dargestellte beispielhafte Umsetzung kann u. U. bei kleineren Unternehmen nicht umsetzbar (bspw. falls eine mehrjährige Prüfungshistorie nicht vorhanden ist), bei größeren Unternehmen deutlich differenzierter anzuwenden sein. Alternative Vorgehen sind denkbar, in jedem Fall sollte das gewählte Vorgehen klar nachvollziehbar sein und den Prüfungsplan anhand der Konstrukte „Prüfungsobjekte“ sowie „Risikokategorien und -faktoren“ logisch herleiten.

3.2.2 Definition des Prüfungsprogramms je Unternehmen/Bereich

In Abhängigkeit vom Detaillierungsgrad des Prüfungsobjektes (Unternehmen/Bereich, Geschäftsprozess, IT- oder kaufmännische Prüfung, etc.) muss das Prü fungsteam einen konkreten Prüfungsplan aufstellen, was in zwei zeitlich aufeinan derfolgenden Schritten erfolgt:

· Definition des Prüfungsprogramms vor (Beginn) der Prüfung

· Anpassung des Prüfungsprogramms durch Erkenntniszuwachs mit fortschrei tender Prüfung

Zur Definition des Prüfungsprogramms vor (Beginn) der Prüfung können die zu analy-sierenden Prüfungsobjekte anhand von Risikokategorien und -faktoren im Vorfeld in einem standardisierten Vorgehen bspw. jährlich oder halbjährlich bestimmt werden. Denkbar sind bspw. die Priorisierung von Prüfungsobjekten wie die Angebotseinholung im Einkaufsprozess oder das Debitorenmanagement im Verkaufsprozess. Hierzu sind Werkzeuge wie Managementbefragungen oder Expertenrunden nutzbar. Weitere, stan-dardisierende Vorgehen sind bspw. die Definition von branchenorientierten Standard-prüfungsprogrammen oder die Nutzung von Wissensdatenbanken.

18Vgl. IIA-Standard 2010.

30

Auch wenn keine jährliche oder halbjährliche Definition des Prüfungsprogramms etabliert wurde, sind prüfungsrelevante Informationen aus diesen und anderen Quellen zur Definition der Prüfungsobjekte zu beachten, wobei die jeweiligen Unternehmensspezifika, die beispielhaft im Folgenden aufgeführt werden, zu berücksichtigen sind:

· Branche

· Gesellschafterstruktur laut Handelsregister, Einbettung in die Unternehmens - organisation

· Aufbau- und Ablauforganisation, soweit vor Prüfungsbeginn durch das Unternehmen/ die Einheit bzw. weiterer Informationsquellen wie Prüfungsberichten etc. erkennbar Daten und Kennzahlen des Rechnungswesens wie Umsatz, RoS, Cash Flow, Bilanz- summe etc.

· Analytische Prüfungshandlungen (Abweichungen der Bilanz- und GuV-Werte zu Vorjahren, Bedeutung bspw. der Beschaffungs- und Absatzprozesse, etc.)

· Risiken laut Risikobericht

· Existierende Prüfungsberichte

· Weitere interne und externe Quellen wie Intranet, Pressemitteilungen etc.

Der auf dieser Basis definierte Prüfungsplan ist als Ausgangspunkt der konkreten Prü-fungsdurchführung zu nutzen (Schritt zwei), wobei spätestens im Rahmen der Prüfungs-eröffnung eine erste Diskussion der relevanten Prüfungsobjekte mit den verantwortlichen Mitarbeitern des Unternehmens erfolgen sollte. Darüber hinaus sind die wesentlichen Prozesse im Rahmen eines Prozessdurchlaufs aufzunehmen und zu analysieren, um einen neutralen und aktuellen Eindruck über die Abläufe sowie über das Interne Kontroll system zu gewinnen. Auf dieser Basis sind die Risikofaktoren, -kategorien und Prüfungsobjekte erneut zu hinterfragen, zu bewerten und zu priorisieren und das Prüfungsprogramm ggf. anzupassen. Dieses iterative Vorgehen ist auch im weiteren Prüfungsfortschritt anzu-wenden, um eine dem wachsenden Kenntnisstand entsprechende Prüfungsdurchführung zu erreichen.

3.3 Kritische Würdigung und Gegenüberstellung der vorgestellten Prüfungsansätze

Die beiden vorgestellten Ansätze zur Vorgehensweise bei der risikoorientierten Prü-fungsplanung stellen zwei differierende Verfahren dar, die grundsätzlich gleicher maßen zur risikoorientierten Prüfungsplanung geeignet sind. Um eine Auswahl des bevorzugten Verfahrens für das jeweilige Unternehmen zu unterstützen, werden im Folgenden nochmals wesentliche Parameter dargelegt.

31

3.3.1 Prozess- bzw. funktionsbezogene Prüfungsplanung

Die prozess- bzw. funktionsbezogene Prüfungsplanung leitet die Risiken zur späteren Priorisierung der Prüfungsobjekte stringent aus den Unternehmens prozessen/-funktionen ab und ist weitestgehend stabil gegenüber Veränderungen in der Aufbauorganisation des Konzerns/der Unternehmung. Die Risikofelder eines Unternehmens können somit über einen längeren Zeitraum aus dem gleichen Blick winkel betrachtet und sowohl die Reak-tionen des Unternehmens als auch die Wirkung der von der Internen Revision veranlassten Maßnahmen besser beurteilt werden.

Das Planungsverfahren erfordert jedes Jahr/zu jedem Planungszyklus eine inten sive Auseinandersetzung der Revisoren mit den durch sie zu prüfenden Prozessen bzw. Funktionen. Neben dem Wissenstransfer innerhalb der Teams, die für die Erstellung der Risikomatrizen verantwortlich sind, erfolgt durch die gegenseitige Übergabe der Risiko-matrizen und ggf. durch die Nutzung der Transfermatrix ein teamübergreifender Wissens-transfer. Es wird sichergestellt, dass das gesamte Revisionssystem konzernweit über die aktuellen Risiken Kenntnis erhält und dass Themen weder doppelt geprüft werden noch unbewusst unberücksichtigt bleiben, da nicht berücksichtigte Prüfungsfelder trans-parent sind. Durch die klare inhaltliche Aus richtung wird eine optimale Vorbereitung der späteren Prüfungsdurchführung ermöglicht, was die Prüfungsbelastung der geprüften Bereiche optimiert, ohne dabei die inhaltliche Qualität zu gefährden.

Die umfassende Einbindung des Managements im Rahmen des Risk Assessment führt zu einem intensiven Austausch zwischen Management und Interner Revision mit positiven Effekten für beide Seiten: Das Management kann relevante Prüfungsobjekte adressieren und erhält durch die Interne Revision gleichsam eine prozessübergreifende Risikoanalyse. Die Interne Revision kann im Gegenzug ein um fassendes und gleichzeitig detailliertes Bild der Unternehmenswirklichkeit gewinnen und in den Gesprächen Berührungsängste abbauen.19 Insbesondere gut recher chierte und aufbereitete Fokusanalysen tragen wesent-lich dazu bei, eine fundierte Gesprächsgrundlage zu entwickeln und fachliche Kompetenz zu vermitteln.

Nicht zu vernachlässigen ist insbesondere der personelle Aufwand, der dieser Planungs-methode immanent ist. Die hohe Planungsqualität, die sehr weitgehende Einbindung des Managements und der umfassende Wissenstransfer bereits in der Planungsphase sind nur durch einen entsprechenden zeitlichen Einsatz der personellen Ressourcen realisierbar.20

3.3.2 Unternehmensbezogene Prüfungsplanung

Durch das zweistufige Vorgehen gelingt es, die Komplexität einer risikoorientierten Prüfungsplanung handhabbar zu machen. Durch die Priorisierung auf Unternehmensbasis gelingt im ersten Schritt eine Bewertung der Unternehmen, die auch weitgehend auto-matisiert erfolgen kann und als Grundlage zur weiteren Planung dient. Die Qualität steht und fällt dabei mit der Definition der Kriterien, deren Gewichtung und letztendlich auch ihrer konkreten Risikoeinschätzung. Die so definierte Liste muss durch die Berücksich-

19Die Interne Revision der Deutschen Telekom kalkuliert z. B. allein 400 Std. Interviewzeit für das Risk Assessment.

20Die Interne Revision der Deutschen Telekom berücksichtigt im Planungszeitraum August-November einen Ressourcenbedarf von ca. 10 % der Revisionskapazität.

32

tigung von bspw. Ad-hoc-Ereignissen und weiterer Informationsquellen manuell an-gepasst werden und führt letztendlich zum Prüfungsplan auf Unternehmens-/Bereichs-ebene. Die effektive Kanalisierung sowie die vollständige und korrekte Berücksichtigung aller Informationen spielt hierbei eine zentrale Rolle.

Im zweiten Schritt erfolgt die Festlegung der im Unternehmen/Bereich durchzufüh-renden Prüfungshandlungen. Je nach Ausgestaltung des Prozesses handelt es sich um ein schlankes, aber wenig standardisiertes Vorgehen. Es besteht die Gefahr, dass die Definition der Prüfungsobjekte wesentlich durch die Qualifikationen und Erfahrungen des Prüfungsteams beeinflusst werden. Daraus ergeben sich beson dere Dokumentations-anforderungen zur Prüfung und Definition des Prüfungsprogramms, da eine effektive Prüfungsdurchführung individuell begründet und verstärkt durch die Leitung des Prü-fungsteams überprüft werden muss.

3.3.3 Gegenüberstellung der Ansätze

Beide Ansätze bieten in der Praxis anerkannte Methoden für eine risikoorientierte Prüfungsplanung und stellen transparente und strukturierte Vorgehensweisen dar. Durch die Sicherstellung der vollständigen Nutzung der verschiedenen relevanten Informations-quellen gelingt eine effektive risikoorientierte Definition der Prüfungsobjekte.

Der prozess-/funktionsbezogene Ansatz stellt ein Vorgehen dar, welches in einem standardisierten Prozess die relevanten Informationsquellen unter Einbezug des gesam-ten Revisionssystems und des Managements berücksichtigt. Die Prüfungsobjekte werden inhaltlich definiert und konzern- und unternehmens übergreifend geprüft. Dieser Ansatz ist dann zielführend, wenn Unternehmensrisiken nicht per se im Unternehmen liegen, sondern im Wesentlichen aus der unterneh mensspezifischen Abwicklung von Prozessen (unter zu berücksichtigenden Umwelt bedingungen) resultieren. Der erhöhte Planungsauf-wand erzeugt eine Planungs qualität, die einen geringen unterjährigen Nachsteuerungs-bedarf und eine effiziente Prüfungsdurchführung nach sich zieht. Die Praxiserfahrung in einem großen Unter nehmen zeigt, dass dieser Effekt den erhöhten Planungsaufwand überkompensiert. Dennoch wird diese Planungsmethode auch künftig eher bei großen Unternehmen (und Revisionsabteilungen) Anwendung finden, die ein nicht allzu hetero-genes Geschäftsfeld vorweisen, da die Anzahl der Risikomatrizen mit der Anzahl unter-schiedlicher Geschäftsfelder wächst.

Der unternehmensbezogene Ansatz ermöglicht eine teilweise Automatisierung der Prüfungsplanung und stellt im ersten Planungsschritt auf unternehmensbezogene Risiken ab. Die Berücksichtigung weiteren Risikofaktoren und Informationsquellen erfolgt durch die für die Planung verantwortlichen Mitarbeiter, die Erstellung des Prüfungsprogramms erfolgt je Unternehmen/Branche durch die Prüfungsleiter. Es handelt sich folglich um einen vergleichsweise schlanken und flexiblen Ansatz ohne kostenintensive vorbereitende Interaktionen, der zur Sicherstellung der Prüfungsqualität tendenziell eine erhöhte Kommunikation und Überprüfung des Prüfungsprogramms sowohl auf Unternehmens-/ Bereichsebene als auch je Unternehmen/Bereich erfordert.

33

Die beiden vorgestellten Ansätze bieten Strukturen, die in der Praxis individuell genutzt und an die unternehmensspezifischen Anforderungen angepasst werden können. So sind in der Realisierung Mischformen denkbar. Im Einzelfall sind bei der Ausgestaltung des Ansatzes Kriterien wie die Unternehmensstruktur, die verfügbaren Ressourcen, die Unterneh mensgröße etc. zu berücksichtigen. Im prozess-/funktionsbezogenen Ansatz kann in diesem Sinne bspw. der Umfang der Einbindung des Managements variiert werden. In jedem Fall sind die Strukturen und Kriterien, die im Rahmen der risikoorien-tierten Prüfungsplanung genutzt werden, klar darzustellen und zu kommuni zieren, damit bspw. der Aufsichtsrat seinen Aufsichtspflichten nachkommen kann und bzgl. der Methode der risikoorientierten Prüfungsplanung aussagefähig ist.

4 Ausblick

Zur Minimierung von Risiken, die durch Fehlsteuerung oder Missbrauch entstehen, ist die Interne Revision seit vielen Jahrzehnten das führende Instrument der Unternehmens-leitung. Das 2009 in Kraft getretene BilMoG verdeutlicht den nochmals erhöhten Stellen-wert von Risikomanagement-, Internem Kontroll- und Revisionssystem. Der Prüfungs-ausschuss/Aufsichtsrat hat die Wirksamkeit des Internen Kontrollsystems (wie auch des Risikomanagementsystems) zu prüfen. Hierbei kann er sich auf die Interne Revision stützen. Wesentlich ist daher, dass die Interne Revision angemessen ausgestattet ist, um wirksam zu funktionieren.

Hierbei wird es künftig noch wichtiger werden, dass die Interne Revision mit anderen, teils regulatorisch (z.B. im Finanzdienstleistungsbereich oder aufgrund spezifischer Börsengesetze) geforderten betrieblichen Steuerungs- und Kontrollinstanzen (wie z.B. Controlling, Risikomanagement, Recht, Konzernsicherheit, Compliance etc.) wirkungsvoll zusammenarbeitet und vorhandene Synergien nutzt (z.B. bei Risikoermittlung und –bewertung). Aufgabenfelder können in gemeinsamer Abstimmung gegenseitig ergän-zend und redundanzfrei definiert werden (z.B. Richtliniengebung, prozessunabhängige Prüfung der Richtlinieneinhaltung und konkrete Ermittlung im Einzelfall durch unter-schiedliche Einheiten). Schließlich kann durch die Konsolidierung aller Erkenntnisse unter Federführung der Internen Revision ein umfassender Risikoüberblick für den Vorstand und die Aufsichtsgremien eines Unternehmens generiert werden. Im globalen Wett-bewerb wird es dabei wichtig sein, Aufgabenbereiche aus Effizienzgründen zu bündeln, gleichzeitig jedoch ein ausgewogenes System der „Checks and Balances“ sicher zu stellen.

Mit der in diesem Beitrag vorgestellten risikoorientierten Prüfungsplanung verfügt die Interne Revision über ein in Jahrzehnten gewachsenes und global funktionsfähiges Instrument, das als Plattform dienen kann. Durch eine kontinuierliche Anpassung und Erweiterung ihrer risikoorientierten Planungsmodelle kann die Interne Revision auf die zusätzlichen Ansprüche reagieren und damit die Grundlage für ein wirkungsvolles Zusammenwirken mit den anderen Unternehmenseinheiten schaffen.

34

Deutsches Institut für Interne Revision e.V.

Ohmstraße 5960486 Frankfurt am MainTelefon (069) 713769-0Fax (069) [email protected]

ISBN 978-3-9813706-0-7

Documents

Risikoorientierte Prüfungsplanung: Best Practice · Head of Audit Management bei der Deutsche Telekom AG in Bonn Juilf-Helmer Eckhard Vorstandsmitglied beim DIIR – Deutsches Institut