| Continuous Auditing |
|
Effektive Verbesserung des Kontrollniveaus Definition Continuous Auditing Das CA trägt der Forderung nach kontinuierlicher Prüfungshandlung Rechnung, indem die Prozesse dem wachsenden Bedarf nach gesicherten Ergebnissen einer systemorientierten und kontinuierlichen Prüfung mit Hilfe von IT-Unterstützung unterzogen werden. Zwischenzeitlich wird der Begriff CA jedoch deutlich weiter gefasst. Neben der ur¬sprünglichen Anforderung an die Überwachung der Rechnungslegung wird nunmehr auch die Beurteilung und Prüfung der wesentlichen und risikorelevanten Prozesse und Kontrollen im Unternehmen sowie des Risikomanagementsystems unter CA gefasst. CA gewinnt somit auch für die Prozessverantwortlichen und die Interne Revision zunehmend stärker an Bedeutung. Aufsichtsrecht Dieser Standard verfolgt neben der Risikobeurteilung innerhalb des Kontrollumfelds die Implementierung von Kontrollaktivitäten sowie eine ständige und laufende Überwachung inkl. laufender Kommunikation der Ergebnisse. Dieser Sachverhalt ist auch in entsprechenden Rundschreiben der Aufsichtsbehörde für Finanzdienstleistungen verankert; so u. a. in den Mindestanforderungen an das Risikomanagement für Banken, MaRisk BA, als auch in den MaRisk VA. Letzteres fordert die Unternehmen explizit auf, ein IKS einzurichten, das die Funktionsfähigkeit des Risikomanagementsystems sicherstellt. Die Funktionsfähigkeit der Kontrollen ist mindestens jährlich zu überwachen. Kontrollschwächen sind zu beurteilen und zeitnah zu beseitigen. Die somit branchenübergreifende geforderte risikoorientierte Prüfungsplanung und gleichzeitige Umsetzung einer kontinuierlichen und zeitnahen Prüfung stellen die Unternehmen vor große Herausforderungen, die in der Vergangenheit oft an fehlenden Prüfungsmethoden und Werkzeugen scheiterten. Ziele und Nutzen des CA Ein weiterer wichtiger Aspekt des CA ist die Vermeidung von dolosen Handlungen, welche durch den Aufbau eines integrierten Fraud Prevention Management Systems realisiert werden kann. Das 3 Phasen Modell Die strukturierte Vorgehensweise zur Einführung des CA-Ansatzes durch die Interne Revision kann auf drei wesentliche Phasen heruntergebrochen werden:
In Phase 1 werden die Risiken und Schwachstellen in wesentliche und risikorelevante Prozesse unterteilt. Danach werden in Phase 2 - auf Basis der gewonnenen Erkenntnisse - Indikatoren, Messgrößen und Dateninformationen aus den Systemen abgeleitet und anhand von eindeutigen Datenanforderungen konkretisiert. Abschließend werden in Phase 3 die erhaltenen Daten mit Hilfe eines Datenanalyse Werkzeuges ausgewertet und die entsprechenden Indikatoren programmiert bzw. systemtechnisch abgebildet. Leistungen durch agens Die Gefährdungsanalyse ist der Ausgangspunkt eines CA-Ansatzes und damit laufend auf die aktuellen Gegebenheiten und Prozessveränderungen anzupassen. Für die Durchführung eignen sich sowohl die gängigen Office-Anwendungen als auch Tools aus dem Bereich der Governance Risk und Compliance - kurz „GRC“-Anwendungen.
Abb.1 : Beispiel für eine Excel-Lösung Auf Basis der vorhandenen Risiken bzw. Kontrollen gilt es nun, Indikatoren zu entwickeln, die entsprechende Ausprägungen laufend kontrollieren. Die Indikatoren sind dann auf Datenfelder bzw. benötigte Daten herunterzubrechen. Diese können sowohl mittels entsprechender Extrakte von der IT laufend zur Verfügung gestellt werden, als auch durch entsprechende Schnittstellen direkt angezapft und für die einzelne Auswertung abgezogen werden. Als nächstes müssen die Daten gemäß den definierten Indikatoren ausgewertet werden. Zu den bekanntesten Anwendungen für die Analyse von Massendaten zählen ACLTM und IDEATM. Der Vorteil dieser Tools liegt in dem großen Verbreitungsgrad und der leichten Anwendbarkeit. Potenzielle Risiken liegen hier in der Güte bzw. Risikosensitivität der ursprünglich definierten Indikatoren und der Korrektheit der technischen Umsetzung. In neueren Ansätzen wird darüber hinaus versucht, die Qualität der Ergebnisse unabhängiger von der vorhandenen Datenqualität zu machen. Hierbei kommen Neuronale Netze zum Einsatz, die z. B. innerhalb des Tools RayQ implementiert sind.
Abb. 2. Analyse mit einem neuronalen Netz Durch die Anregung der Neuronen können neue und seither unbekannte Tendenzen aufgezeigt und im Folgenden analysiert werden. Abschließend sind die Ergebnisse entsprechend auszuwerten und in ein berichtstaugliches Format zu überführen.
Abb. 3: Beispiel für ein Reporting in einem GRC-Tool Fazit Ansätze zum CA helfen gezielt, das Kontrollniveau in den Prozessen zu verbessern und sicherzustellen, dass besonders risikobehaftete Bereiche einer laufenden und nicht nur stichtagbezogenen Prüfung zugeführt werden. Nicht unterschlagen werden sollte aber auch, dass die Implementierung einen spürbaren Einmalaufwand verursacht, der sich erst im Laufe der Zeit amortisiert, dann aber zu einer deutlichen Reduzierung von Aufwänden und damit zu einer enormen Effizienzsteigerung führt. Durch den Einsatz moderner Tools und Werkzeuge kann der Prozess dann langfristig im hohen Maße automatisiert und transparent gemacht werden.
|
