Als Ergebnis liefert das Internal Audit eine Gesamteinschätzung des Risikos, das die Tochtergesellschaft für den Gesamtkonzern darstellt. Gleichzeitig werden einzelne Risiken identifiziert und bewertet. Die Praxis zeigt, dass sich viele Gesellschaften dieser Risiken nicht bewusst waren. Nach dem Audit werden Maßnahmen durchgeführt, um die erkannten Risiken zu minimieren.
5.1 Ergebniskategorien mit Gewichtung
Wann gibt es Risiken?
Die Risikobewertung beurteilt jede Antwort. Ist eine Abweichung zu gewünschten Zustand vorhanden, muss ein Risiko bestimmt werden. Risiken bestehen, wenn
- rechtliche Vorschriften nicht eingehalten werden,
- Probleme in den Abläufen drohen und
- finanzielle Einbußen drohen.
Die Risikoeinschätzung muss standardisiert sein, damit unterschiedliche Prüfer auch zu den gleichen Ergebnissen kommen. Dabei können Checklisten für Abläufe mit finanzieller Bedrohung, helfen:
Wie hoch ist das drohende finanzielle Risiko einzuschätzen? Je mehr Tatbestände mit "Ja" beantwortet werden können, desto geringer ist das Risiko. |
Situation |
Antwort |
Die Höhe der Geldbeträge, die in Summe über diesen Ablauf verarbeitet werden, ist gering? |
|
Die Einzelbeträge, die verarbeitet werden, sind niedrig? |
|
Eine Manipulation an den Daten wird innerhalb von Tagen entdeckt? |
|
Für die erfolgreiche Manipulation des Ablaufs sind externe Helfer notwendig? |
|
Es ist notwendig, Gewalt anzuwenden oder fremde Daten zu beschaffen, um den Ablauf für einen Betrug verwenden zu können? |
|
Der Ablauf ist bewährt und hat bisher noch nicht zu Problemen geführt? |
|
Tab. 4: Checkliste zur Risikoeinschätzung (Beispiel – Auszug)
Die Gesamtbewertung aller Abläufe in der geprüften Tochtergesellschaft gibt alle Risikoeinschätzungen an. Sie könnte z. B. so aussehen:
Anzahl Fragen insgesamt |
347 |
Anzahl Inhalte ohne Abweichungen |
303 (87,3 %) |
Anzahl Abweichungen ohne Risiken (Stufe 1) |
27 (7,8 %) |
Anzahl Abweichungen mit geringen Risiken (Stufe 2) |
14 (4,0 %) |
Anzahl Abweichungen mit hohem Risiko (Stufe 3) |
3 (0,9 %) |
Welche Verteilung von den letztlich verantwortlichen Konzernmanagern akzeptiert wird, hängt vom individuellen Grad der Risikobereitschaft ab. Hohe Risiken der Stufe 3 sollten eliminiert werden.
5.2 Maßnahmenplanung
Die im Audit festgestellten Mängel müssen abgestellt werden. Dazu sind Maßnahmen erforderlich, die in Abläufe eingreifen und erhebliche Kosten verursachen können. Sinnvoll sind sie nur, wenn sie wirklich geeignet sind, die festgestellten Abweichungen zu beseitigen. Damit dies gewährleistet ist, muss der Revisor zumindest bei der Maßnahmeplanung einbezogen sein.
- Das Ziel der Maßnahme leitet sich aus der Abweichung zwischen der gewünschten Situation und dem Istzustand ab. Auf die Beseitigung der Differenz muss die Maßnahme ausgerichtet werden.
- Die Verantwortung für die Maßnahme wird einer Person übertragen.
- Die Kosten der Maßnahme werden ermittelt. Es kann durchaus vorkommen, dass die Maßnahme durch zu hohe Kosten unwirtschaftlich wird und unterbleibt. Dann muss der Revisor die Abweichung akzeptieren.
- Das Verfahren und der Ablauf der Maßnahme werden festgelegt. Dabei wird der Auditor nur selten tätig.
- Im Zeitplan wird vor allem das Abschlussdatum festgehalten. Das wiederum wird in die Dokumentation des Internal Audit übernommen.
- Bei Maßnahmen zur Reduzierung von erheblichen Risiken der Stufe 3 und sonst wichtigen Abläufen wird vereinbart, dass der Prüfer bei erfolgreichem Abschluss informiert wird. Der Erfolg anderer Maßnahmen wird im Wiederholungsaudit festgestellt.
5.3 Wiederholungsaudit
Inhalte des Wiederholungsaudit
Die internen Prüfungen werden in unregelmäßigen Abständen wiederholt. Wie lang die zeitlichen Abstände sind, hängt ab vom Ergebnis früherer Audits. Je geringer die erkannten Risiken sind, desto größer können die Abstände zwischen den Audits sein.
- Im Wiederholungsaudit wird geprüft, ob die vereinbarten Maßnahmen durchgeführt wurden und die gewünschten Ergebnisse gebracht haben.
- Da die Schwerpunkte in verschiedenen Audits unterschiedlich gesetzt werden (z. B. zunächst die Zahlungsvorgänge, dann die IT-Abläufe), gibt es unterschiedliche Audits, in denen keine Wiederholung der Fragen vorkommt.
Wiederholungsaudits haben durchaus ihre Berechtigung. Sie finden i. d. R. mit einem geringeren Aufwand statt als bei einer ersten Prüfung. Beide Seiten sind entsprechend vorbereitet. Die Ergebnisse werden dadurch wesentlich verbessert.