Der kleine Revisor – Transparenz sichern Lösungen forcieren

Präambel

Die interne Revision unterstützt das oberste Management des Unternehmens, insbesondere die Geschäftsführung bei der Wahrnehmung seiner wesentlichen Kontroll- und Überwachungsaufgaben, der Sicherstellung von Qualität, Innovation, Effizienz und Effektivität sowie der Einhaltung sämtlicher gesetzlichen Vorschriften und Regelungen der Länder und Regionen, in denen das Unternehmen aktiv ist.

Die Revision wird von der Geschäftsführung als Steuerungsinstrument eingesetzt und leistet einen aktiven Wertbeitrag. Die Revision garantiert Transparenz und forciert Lösungen.

Inhalt

Dieses Buch ist für Berufseinsteiger gleichermaßen wie für erfahrene Revisoren gedacht. Es soll einen kurzen und schnellen Überblick über die Tätigkeiten und die Arbeitswelt des Revisors geben, neue Ideen fördern und im mittelständischen Unternehmen zur Kreativität inspirieren.

Bitte beachten Sie, dass aus Gründen der leichteren Lesbarkeit auf eine geschlechtsspezifische Differenzierung, wie z.B. Revisor/in, verzichtet wird. Entsprechende Begriffe gelten im Sinne der Gleichbehandlung für beide Geschlechter.

Autor

Dr.h.c. Mike Peter Harijan wurde 1964 in Berlin geboren, nach seinem Abschluss, als Diplom Betriebswirt an der Fachhochschule Rheinlandpfalz in Ludwigshafen suchte sich Herr Harijan eine Herausforderung im Bereich Management und Rechnungswesen. Zahlreiche Projekte im In- und Ausland prägten die Berufserfahrung von Herrn Harijan, bis er 2006 als Abteilungsleiter Finanzrevision seine Berufung gefunden hat.

Imprint

Der kleine Revisor – Transparenz sichern Lösungen forcieren

Dr.h.c. Mike Peter Harijan

published by: epubli GmbH, Berlin, www.epubli.de

Copyright: © 2013 Dr.h.c. Mike Peter Harijan

Dr.h.c. Mike Peter Harijan

ISBN 978-3-8442-7489-9

Inhaltsverzeichnis

1 Entwicklung und Stand der internen Revision

1.1 Aufgaben der internen Revision

1.2 Entwicklungsstufen der internen Revision

1.3 Interne Revision im Wandel der Zeit

1.4 Ethikkodex und Standard

2 Wichtige Schnittstellen der Revision

2.1 Internal Audit – Sicherheit

2.1.1 Datensicherheit, Informationssicherheit

2.1.2 IT-Sicherheitsmanagement

2.1.3 IT-Notfallmanagement und IT-Notfallplan

2.1.4 Mögliche Prüfungsthemen auf Basis des COBIT Modells

2.2 Internal Audit – Risikomanagement

2.2.1 IT-Risikomanagement

2.3 Internal Audit – Compliance

2.3.1 Internes Kontrollsystem (IKS)

2.3.2 IT-Compliance

2.4 Internal Audit – Datenschutz

3 Zielsetzung und Grundsätze der modernen Revision

3.1 Prüfung der Ordnungsmäßigkeit und Sicherheit

3.1.1 Grundsätze der Ordnungsmäßigkeit

3.1.2 Begriffsklärung

3.1.3 Prüfungsarten

3.1.4 Prüfung der Effizienz und Wirtschaftlichkeit einer Organisation

3.1.5 Financial Audits

4. Die personelle Seite der internen Revision im Unternehmen

4.1. Wo steht die Revision in der Unternehmenshirachie?

4.2. Generalist oder Spezialist?

4.2.1 Klassischer Revisor

4.2.2 IT-Revisor

4.2.3 Technischer Revisor

4.3. Abgrenzung der internen Revision gegenüber anderer Kontrollinstanzen

4.3.1 Rechnungprüfungsstelle

4.3.2 Controllingbereich

4.3.3 Informatikbereich und Revision

4.3.4 Qualitätsüberwachungsstelle

4.3.5 Datenschutzstelle

4.3.6 Externe Wirtschaftsprüfung

5. Wichtige Arbeitstechniken der internen Revision

5.1. Informationsbeschaffungstechniken

5.1.1 Grundsätze und Regeln der Interviewführung

5.1.2 Lüge oder Wahrheit

5.1.3 Der Fragebogen als Hilfsmittel der internen Revision

5.2 Anschauliche Darstellungs- und Diagrammtechniken der internen Revision

5.3 Was gehört zur Dokumentation der Revision?

5.3.1 Organisation der Revisionsdokumentation

5.3.2 Ablage der Prüfungsdokumente

6 Die Prüfungsarten der Revision

6.1 Definitionen

6.2 Einzelfallprüfungen zur Überwachung der Ordnungsmäßigkeit

6.3 Systemprüfung

6.4 Geschäftsabwicklungsprüfung

6.5 Ex-ante-Prüfungen

6.6 Sonderprüfungen und Spezialeinsätze

6.7 Self-Auditing

6.8 Systematische vs. Fallbezogene Prüfungsstrategie

7. Der Revisionsprozess

7.1. Das Revisionsmanagement

7.1.1 Revisionshandbuch

7.1.2 Unterteilung des Unternehmens in Prüfungsbereiche

7.2. Die Planung

7.2.1 Risikoanalyse als Basis der Planung

7.2.2 Die Mittelfristplanung

7.2.3 Planung des Jahresrevisionsprogramms

7.2.4 Leitsätze für den Aufbau des Jahresprogramms

7.2.5 Die Prüfungsplanung

7.3 Vorbereitung

7.3.1 Prüfungsankündigung

7.3.2 Prüfprogramm

7.4. Durchführung

7.4.1 Prüfungshandlungen

7.4.2 Arbeitspapiere

7.5. Berichtslegung

7.5.1 Entwurf/Abstimmung/finaler Bericht

7.5.2 Berichtsablage

7.6. Follow-up

7.6.1 Maßnahmenverfolgung

7.6.2 Nachprüfung

7.7. Qualitätssicherung

8 Abkürzungsverzeichnis

9 Literaturverzeichnis

10 Weblinks

1 Entwicklung und Stand der internen Revision
1.1 Aufgaben der internen Revision

Die interne Revision ist das wesentliche Überwachungsinstrument, mit dem sich die Unternehmensleitung von der Einhaltung der von ihr gesetzten Normen und der rechtlichen und regulatorischen Vorgaben überzeugt. Ein wichtiges Merkmal ist hierbei die prozessunabhängige Funktion der Internen Revision, die sie gegenüber anderen Unternehmensbereichen hervorhebt und unterscheidet.

Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. Wie bereits oben erläutert, ist die Basis des systematischen und zielgerichteten Ansatzes die risikoorientierte Prüfungsplanung.

1.2 Entwicklungsstufen der internen Revision

Der Stand der Entwicklung der Revision hängt vom Unternehmen ab:

von den von der Unternehmensleitung gewünschten Zielsetzung und dem Leistungsspektrum der Revision,

von den Kompetenzen und der Qualität der Prüfer,

von der Akzeptanz der Revision bei den geprüften Stellen,

von der Qualität anderer Prüfungsinstanzen im Unternehmen, zum Beispiel dem Controlling und der Qualitätskontrolle.

Eine Verschlankung der Unternehmensstrukturen im Allgemeinen führte auch zu einem Abbau bei der Revision. In diesem Zusammenhang wurde Revisionsfunktionen auf andere Prüfungsstellen im Unternehmen übertragen. Eine ausgebaute Revision ist heute nur in den Wirtschaftszweigen anzutreffen, wo es gesetzlich vorgeschrieben ist oder ein erhebliches Risiko- oder Deliktpotential besteht.

Prüferische Kernaufgaben der Revision:

eine erfolgreiche Deliktvorbeugung, die auch die hochsensiblen Telekommunikations- und Internetprozesse umfasst,

die Mitwirkung bei der Vereinfachung und Verbesserung der Geschäftsprozesse und

die Beratung der Geschäftsleitung und der Fachbereiche in allen Fragen der Kontrollsicherheit und der höchstmöglichen Geschäftsabwicklungseffizienz.

Die Revision muss durch ein kompetentes Auftreten und belegbare Ergebnisnachweise den Eindruck vermitteln, dass die Revisionsmitarbeiter „ihr Geld wert sind“ und die Sicherheit des Unternehmens ohne die Revision nicht gewährleistet ist.

1.3 Interne Revision im Wandel der Zeit

Über einen risikoorientierten Prüfungsansatz wird das mittelfristige und das jährliche Prüfungsprogramm von der Internen Revision ermittelt. Die Revisionsdurchführung, also das abarbeiten des jährlichen Prüfungsprogramms, führt zu Feststellungen und Maßnahmen, die im Revisionsbericht fixiert werden. Durch die Maßnahmenverfolgung und der Maßnahmenumsetzung werden signifikante Risiken abgebaut und eine höhere Unternehmenssicherheit erreicht.

1.4 Ethikkodex und Standard

Der Ethikkodex beschreibt die Prinzipien für und Erwartungen an Einzelpersonen und Organisationen bei der Durchführung von Revisionsaufträgen. Der Ethikkodex beschreibt die Minimalanforderungen an das Verhalten; es enthält eher Verhaltenserwartungen als spezifische Handlungen.

Die Standards als Rahmenwerk stellen den Strukturplan für das Zusammenführen einer Erkenntnisbasis und eines Regelwerks dar. Das Rahmenwerk ermöglicht konsistente Entwicklung, Auslegung und Anwendung von Konzepten, Methoden und Techniken zur Nutzung durch eine Tätigkeit oder einen Berufsstand. Die Struktur der Standards umfasst Attribut-, Ausführungs- und Umsetzungsstandards und die Standards bestehen aus folgenden Komponenten:

Festlegungen grundlegender Anforderungen an die Berufsausübung der internen Revision und zur Beurteilung der Wirksamkeit ihrer Ausübung, die international sowohl von Einzelpersonen als auch von Organisationen anwendbar sind.

Erläuterungen, die in den Festlegungen enthaltene Begriffe oder Konzepte verdeutlichen.

Die Standards dienen folgenden Zwecken:

Darstellen der verbindlichen Grundprinzipien der Berufsausübung der Internen Revision.

Bereitstellen eines Rahmenwerks für Ausführung und Förderung eines breiten Spektrums wertschöpfender Aktivitäten der Internen Revision.

Schaffung einer Basis für die Beurteilung der Leistung der Internen Revision.

Fördern von verbesserten Prozessen und Ergebnissen einer Organisation.

Grundsätze der internen Revision:

Rechtschaffenheit

Objektivität

Vertraulichkeit

Fachkompetenz

Wenn interne Revisoren oder Revisionsfunktion auf Grund von Gesetzen und Vorschriften Teile der Standards nicht einhalten können, ist es notwendig, dass die Abweichung kommuniziert und die darüber hinaus gehenden Standards eingehalten werden.

2 Wichtige Schnittstellen der Revision
2.1 Internal Audit – Sicherheit
2.1.1 Datensicherheit, Informationssicherheit

Als Mindeststandard soll folgendes IT-Grundschutz-Set dienen, was auch in ähnlicher Form unter dem IT-Sicherheitsmanagementaspekt in Teilen wiederholt wird:

Verantwortlichkeiten:

Festlegung der Verantwortlichkeiten rund um die Informationssicherheit?

Wer ist der zentrale Ansprechpartner?

Wer führt die Datensicherung durch?

Mitarbeiter müssen sich zur Verschwiegenheit gegenüber Außenstehenden verpflichten.

Die nicht delegierbare Verantwortung liegt in der Geschäftsführung.

Datensicherung:

Alle relevanten Daten müssen täglich gesichert werden. Der Prozess „Datensicherung“ muss auch das wieder zurück lesen der Daten beinhalten. Eine regelmäßige Überprüfung ist unabdingbar.

Informationssicherheit

Im Mittelpunkt der Informationssicherheit steht die Frage: Wie gehe ich mit meinen Daten um?

Sind meine Daten sicher?

mein Rechner ist gegen Diebstahl gesichert (Schloss, Transportschutz, etc.)

die Daten sind gegen unbefugten Zugriff geschützt (Bios Passwort, Bildschirmschoner ist kennwortgeschützt, Sichtschutzfolien für Monitor…)

meine elektronischen Datensind gegen unberechtigte Nutzung geschützt (Verschlüsselung von Festplatten, USB-Sticks und mobilen Datenträger, CD …)

physische Daten (z.B. Prüfungsordner) sind geschützt (verschlossener Schrank, Safe, Clean Desk, …)

Weitergabe von vertraulichen Informationen erfolgt sicher (verschlossener Brief, verschlüsseltes Versenden…)

2.1.2 IT-Sicherheitsmanagement

Im IT-Sicherheitsmanagement sollen folgende Sicherheitsziele geschützt werden:

Vertraulichkeit

Gespeicherte oder übertragene Daten sind nur befugten Personen (oder Systemen) zugänglich.

Verfügbarkeit

Die Funktionen eines IT-Systems stehen zu geforderten Zeitpunkten zur Verfügung und funktionieren korrekt.

Integrität

Die Daten eines IT-Systems sind vollständig und unverändert, d.h. unbefugte Änderungen sind ausgeschlossen.

Authentizität

Bei Kommunikationsvorgängen sind Sender und Empfänger zu identifizieren und die Integrität der Inhalte nachweisbar.

Verbindlichkeit

Wenn Formvorschriften es verlangen, dann sind Änderungen von Daten eindeutig nachvollziehbar und zurechenbar (revisionssicher).

Im Rahmen des Risikomanagements werden Risiken identifiziert und bewertet, im Ergebnis werden erhebliche Schäden befürchtet. Bei Fehlverhalten muss mit Haftungsansprüchen gerechnet werden.

Folgende Brennpunkte können identifiziert werden:

IT-Systeme: … dürfen nur nach klar geregelten Benutzerrechten genutzt werden, Mitarbeiter dürfen nur über Benutzerrechte für ihre Aufgaben erforderlichen Mindestmaß verfügen;

Passwörter: … müssen geeigneten Richtlinien gehorchen und z.B. Mindestanforderungen an Aktualität, Länge und Vielfalt erfüllen; der Umgang mit Passwörtern darf ihre Wirksamkeit nicht einschränken (Weitergabe an Kollegen, etc.)

Sicherheitsrichtlinien, -maßnahmen und –vorkehrungen müssen ausreichend verbreitet und erläutert werden.

Zugangspunkte (Endgeräte, Netzknoten): … sind physikalisch und technisch zu schützen (z.B. Einbruchssicherung, Firewall).

Zugriffe auf IT-Systeme: … müssen gesichert werden, damit diese nicht unkontrolliert (über Netze wie Internet, Telekommunikation, funkbasierte Techniken) erfolgen können.

Daten und Anwendungen (Software): … sind geeignet zu sichern, damit sie nach Ausfällen möglichst rasch und vollständig wiederhergestellt werden können.

Änderungen an IT-Systemen: … sind ausschließlich gezielt und kontrolliert vorzunehmen und vor dem Einsatz zu testen; technische und organisatorische Änderungen sind zu kontrollieren und zu dokumentieren.

Notfälle sind ausreichend zu planen und vorzubereiten; Richtlinien, Maßnahmen und Vorkehrungen müssen vorbereitet, erläutert und geübt werden.

Ein systematisches IT-Sicherheitsmanagement umfasst u.a. einen Sicherheitsprozess, eine Sicherheitsstrategie, sowie Mitarbeiter und Ressourcen. Sicherheitsmanagement muss mit einem definierten Prozess geplant, organisiert und kontrolliert werden.

Sicherheitsstrategie: Die Geschäftsführung legt die Aufgaben und Zuständigkeiten im Rahmen der Bedeutung der IT-Sicherheit und einer möglichen Sicherheitsorganisation fest. Diese Grundsätze werden in Form einer Sicherheitsrichtlinie fixiert und kommuniziert. Die IT-Sicherheitsstrategie muss den Grundsätzen der Wirksamkeit und Wirtschaftlichkeit Rechnung tragen.

Mitarbeiter: Die Mitarbeiter müssen für das Thema IT-Sicherheit sensibilisiert werden. Dies erfolgt durch gezielte Maßnahmen an Hand denen den Mitarbeitern mögliche Risiken, unsichere Verhaltensweisen und mögliche Gegenmaßnahmen aufgezeigt werden.

Ressourcen: Die Unternehmensleitung muss weitere Ressourcen freigeben, soweit sie zur Umsetzung der Sicherheitsstrategie notwendig sind. Folgende Maßnahmen können zu einer wesentlichen IT-Sicherheit beitragen:

 Sicherheitsaspekte werden bei der Gestaltung von Prozessen und der Beschaffung von Software beachtet. Für die Feststellung des Schutzbedarfs sind im Rahmen der IT-Compliance relevante gesetzliche Vorgaben und Regelungen und im Rahmen des Risikomanagements Verlustrisiken (bezüglich Know-how, Betriebsgeheimnisse, Kundendaten, IT-Systemen …) zu erheben.

 Zur Abwehr von Schadprogrammen, die über Datenträger oder Netze (z.B. Internet) eingeschleppt werden, sind heute Viren-Schutzprogramme unverzichtbar, auch auf Rechnern ohne Netzanschluss. E-Mails sollten zentral auf Viren untersucht werden. Ein Berechtigungskonzept soll den Zugang zu den für IT-Systemen regeln und immer nur so weit reichen, wie sie für die zugeordnete Aufgabenstellung notwendig sind.

 Die Sicherheit von Netzen kann durch den Einsatz einer Firewall abgesichert werden. Im Unternehmen führen Sicherheitsmaßnahmen wie zum Beispiel, das Anbieten von Daten und Diensten nach außen wird auf das Mindestmaß beschränkt und das Ausführen von E-Mail-Anhängen ohne Sicherheitsvorkehrungen wird verhindert.

 Der „Faktor Mensch“ muss für das IT-Sicherheitsthema sensibilisiert werden. Zusätzlich müssen klare Regeln zur Nutzungen der IT-Infrastruktur festgelegt werden. Neben dem technischen Aspekt ist die Informationssicherheit zu beachten, wie dürfen z.B. CD-ROMs, USB-Sticks oder externe Festplatten verwendet werden. Der Zugang und Zutritt zu wichtigen Räumen, Rechnern und Systeme muss konsequent geregelt werden. Bei Wartungs- und Reparaturarbeiten muss darauf geachtet werden, dass Sicherheitsmechanismen nicht außer Kraft gesetzt werden.

 Die Sicherheitsvorkehrungen müssen immer auf Änderungen und IT-Systeme auf ihre Funktionalität und Sicherheit im Echtzeitbetrieb überprüft und getestet werden.

 Mit Passwörtern und Verschlüsslungen kann ein Mindestschutz sensibler Daten und Systeme gewährleistet werden. Wichtig zur Sicherung des Mindestschutzes ist es, das Arbeitsplatzrechner automatisch nach einer Zeit von ca. 3 Minuten im unbenutzten Zustand in den Stand-by-Modus gehen und zum weiterarbeiten ein Passwort verlangen. Das Passwort sollte nur 3 Monate gültig sein, aus mindestens 7 Stellen bestehen, mindestens 1 Sonderzeichen und eine Ziffer beinhalten. Sensible Daten sollten nur verschlüsselt abgelegt oder verschickt werden.

2.1.3 IT-Notfallmanagement und IT-Notfallplan

Die gesetzlichen Randbedingungen zum Notfallmanagement sind im Folgenden Schaubild dargestellt:

Mangelnde Notfallvorsorge kann gegenüber dem Kunden zur Haftung aus Verzug oder Nichterfüllung führen und Vertragsstrafen auslösen. Versicherungen versagen gegebenenfalls einen Vertraglich vereinbarten Versicherungsschutz, wenn unangemessene IT-Notfallplanung als Verschulden gewertet werden kann. Für Mitglieder kann sich daraus eine persönliche Haftung auf Schadenersatz ergeben.

In IT-Systemen und in der IT-Infrastruktur kann es immer mal zu Ausfällen kommen. Nicht jeder Ausfall ist eine Katastrophe. In der IT-Welt wird in erster Linie zwischen („Incidents“) Störfällen und („Disaster Recovery“) Notfälle unterschieden.

Bei Incidents funktioniert das IT-System nicht wie vorgesehen. Die entstehenden Schäden sind jedoch als gering einzuschätzen und die Behebung der Störung kann im Rahmen des Normalbetriebs erfolgen.

Notfälle wie z.B. Angriffe auf die IT-Systeme, Irrtum oder Versehen, Elementarereignisse, höhere Gewalt, technische Mängel und technisches Versagen der IT-Systeme oder Funktions- und Organisationsmängel können nicht während des Normalbetriebs behoben werden. Ein Notfall führt zum Ausfall des Normalbetriebs, muss erkannt werden, repariert werden und der eigentliche Zustand muss wiederhergestellt werden. Ziel ist es das die Wiederherstellung so wenig Zeit wie möglich in Anspruch nimmt. Neben einem potentiellen Datenverlust sollen operative Schäden (z.B. Umsatzverlust bei fehlender Verfügbarkeit der Website) verhindert oder minimiert werden.

Durch die Implementierung eines Notfallkonzept und Notfallplänen soll die Ausfallzeit im Notfall reduziert werden. Das IT-Notfallmanagement kann inhaltlich kaum vorgegeben werden. Folgende Checkliste soll den dringendsten Regelungsbedarf aufzeigen:

Krisenstab mit Zuständigkeiten

Kontaktliste (Information zu wichtigen Ansprechpartnern wie Unternehmensleitung, IT-Service-Anbieter, etc.)

Welche Ausfälle können auftreten?/Welche Schäden können verursacht werden?

Mit welchen technischen oder organisatorischen Maßnahmen können Schäden verhindert oder vermindert werden?

Welche wichtigen Prozesse und Abläufe sind gefährdet?/Wie können Prozesse und Abläufe im Rahmen eines Notbetriebs behelfsmäßig aufrechterhalten werden?

Welche Personen können im Notfallhelfen?

Wie werden Daten und IT-Systeme für den Notfall gesichert?

Wie kann die Wiederherstellung nach dem Notfall (Wiederanlauf, Disaster Recovery) unterstützt werden?

Sind die Maßnahmen der Notfallvorsorge getestet, geübt, verbessert?