Der vom Internal Audit abzudeckende Bereich ist so groß und komplex, dass eine systematische Zusammenfassung der Inhalte in einen Fragenkatalog notwendig ist. Dieser gliedert sich wie der Prüfungsumfang in die Prüfungsbereiche, die Teilbereiche und die Funktionen.
Fragestellung
Die Fragestellung hängt ab von der Tiefe, mit der die Vorgaben des Konzerns umgesetzt werden sollen. Wird im Audit nach den Ergebnissen der Arbeit gefragt, besteht zunächst kein Interesse an den Abläufen. Wird nach den spezifischen Maßnahmen gefragt, die letztlich zum Ergebnis führen, ist das Interesse an den einzelnen Abläufen vorhanden.
Unterschiedliche Fragen nach der Sicherheit eingehender Schecks
Wird der Weg eingehender Schecks von der Posteingangsstelle bis zur Abgabe an die Bank überwacht?
Diese Frage zielt nur auf die generelle Sicherheit ab, der Weg dahin ist nicht wichtig. Anders die folgende Frage, die auch einen speziellen Weg zum Ziel enthält:
Werden eingehende Schecks in eine Scheckeingangsliste eingetragen und wird diese mit den Scheckeinreichern abgeglichen?
Antworten
Jede der Fragen im Katalog des Internal Audit kann in drei immer gleichen Varianten beantwortet werden:
- Wird die gefragte Situation so gelöst, wie vom Auditor gewünscht, kann die Frage mit einem klaren Ja beantwortet werden.
Unterschiedliche Antworten zur Sicherheit eingehender Schecks
Auf die Frage: Wird der Weg eingehender Schecks von der Posteingangsstelle bis zur Abgabe an die Bank überwacht? kann es unterschiedliche Antworten geben:
- Ja
- Nein
- Nein. Da der Posteingang in der Buchhaltung erfolgt und die Schecks von dort sofort zur Bank gehen, ist das Risiko minimiert.
Bewertung
Für eine abschließende Beurteilung müssen die Antworten bewertet werden. Dazu werden nur die klaren Nein-Antworten und die Alternativ-Antworten herangezogen, die dem Auditor nicht ausreichend erscheinen. Die Bewertung erfolgt in drei Kategorien:
- Grün: Die Anforderungen sind zwar nicht erfüllt, das stellt jedoch kein großes Risiko dar. Es besteht kein aktueller Handlungsbedarf.
- Gelb: Die Situation stellt ein akutes Risiko dar, die Gefahr eines aktuellen Schadens ist gering. Es besteht Handlungsbedarf, der in absehbarer Zeit abgearbeitet werden muss.
- Rot: Die Abweichung von den Vorgaben ist nicht akzeptabel. Das Risiko ist hoch, die Bedrohung akut. Es besteht sofortiger Handlungsbedarf.
Vor der Bewertung kann das Management des geprüften Unternehmens einen Kommentar zu den nicht zufriedenstellend beantworteten Fragen abgeben. Ziel ist die Erklärung der Situation, die eine Beurteilung von Alternativen ermöglicht.