Was sind interne Audits? Ein umfassender Leitfaden zur Durchführung interner Audits
By Prabh Nair · 2024-03-11
In diesem Artikel werden interne Audits und deren Schritt-für-Schritt-Prozess ausführlich behandelt. Hier erfahren Sie, wie interne Audits durchgeführt werden und wie Sie sich erfolgreich auf interne Auditprüfungen vorbereiten können.
Die Bedeutung von internen Audits
- Guten Morgen, guten Tag und herzlich willkommen zu meiner Sitzung über interne Audits.
- Heute werden wir diskutieren, was interne Audits sind und wie sie in einem Schritt-für-Schritt-Verfahren durchgeführt werden. Mit Hilfe dieses Videos können Sie sicherlich interne Auditgespräche erfolgreich bestehen und ein besseres Verständnis dafür bekommen, was interne Audits ausmacht.
- Falls Sie neu auf diesem Kanal sind, abonnieren Sie bitte meinen YouTube-Kanal und klicken Sie auf das Glockensymbol, damit Ihnen kein Video entgeht. Fangen wir mit dem ersten Teil an. Was sind also interne Audits?
- Interne Audits sind unabhängige, objektive Überprüfungs- und Beratungsaktivitäten, die darauf abzielen, einen Mehrwert zu schaffen und die betrieblichen Abläufe einer Organisation zu verbessern.
- Ein praktisches Beispiel hierfür ist die Aufteilung in drei Verteidigungslinien in jeder Organisation: die erste Linie, die zweite Linie und die dritte Linie. Interne Audits bilden die dritte Verteidigungslinie einer Organisation.
- Sie sind diejenigen, die direkt an den Vorstand berichten und als Augen und Ohren einer Organisation bezeichnet werden. Im Wesentlichen prüfen sie alle Prozesse, wie beispielsweise das Änderungsmanagement, Rechenzentren und IT-Sicherheit.
- Dabei geht es nicht nur darum, Zertifizierungen zu überprüfen. Ihr Ziel bei der Prüfung dieser Prozesse ist es, Lücken und Risiken zu identifizieren und diese proaktiv dem Vorstand mitzuteilen.
- Die Hauptziele von internen Audits sind die Sicherstellung der Wirksamkeit und Effizienz der Abläufe, die Gewährleistung der Zuverlässigkeit von Finanz- und Managementberichten sowie die Einhaltung von Gesetzen und Vorschriften.
- Zusätzlich ist die Sicherung der Vermögenswerte von großer Bedeutung. Auch der Chief Security Officer, die Informationssicherheit und das Assurance-Team werden von internen Auditoren geprüft, um sicherzustellen, dass sie gemäß ihren Geschäftszielen und im Interesse der Stakeholder arbeiten.
- Sie überprüfen also alles, was in der Organisation geschieht, vom Geschäftsbetrieb bis zur IT und stellen sicher, dass alles aus der Perspektive des Vorstands funktioniert.
- Abschließend ist anzumerken, dass Audits nicht nur zur Inspektion dienen, sondern auch dazu beitragen, ein positives Ergebnis in der Organisation zu erzielen. Sie können als Lehrer betrachtet werden, die alle Vorgänge in der Organisation überwachen und sicherstellen, dass sie im Einklang mit den Zielen des Vorstands stehen.
Die Bedeutung von internen Audits
Vorbereitung auf interne Audits: Der Prozess im Detail
- Der Prozess für die Vorbereitung auf interne Audits ist von großer Bedeutung, um sicherzustellen, dass alle notwendigen Schritte durchgeführt werden.
- Die erste wichtige Dokumentation ist der Ankündigungsbrief. In diesem Brief wird der Umfang des Audits, das Datum und die Uhrzeit des Audits sowie die Namen der beteiligten Auditoren aufgeführt.
- Nach dem Versenden des Ankündigungsbriefs wird ein Vor-Audit-Meeting und Interviews mit den Abteilungsmitgliedern geplant. Dabei werden die Auditoren zusammen mit dem Audit-Manager Details über den Auditprozess erläutern und sich ein genaues Bild von den Prozessen in der Organisation machen.
- Während des Vor-Audit-Meetings werden auch wichtige Dokumente wie Richtlinien, Standardarbeitsanweisungen, Organisationsschemata und Ziele angefordert, um einen ganzheitlichen Überblick zu erhalten.
- Es ist entscheidend, dass alle relevanten Unterlagen elektronisch angefordert werden, um eine lückenlose Datensicherheit zu gewährleisten.
- Durch diesen detaillierten Prozess wird sichergestellt, dass alle erforderlichen Schritte vor Beginn des internen Audits eingeleitet werden.
Vorbereitung auf interne Audits: Der Prozess im Detail
Interne Dokumentation und Risikobewertung
- Die Dokumentation von internen Abläufen und Risikobewertung ist von entscheidender Bedeutung, um die Arbeitsprozesse zu optimieren.
- Das interne Dokument "Audit Plan Memorandum" (APM) ist ein zentraler Bestandteil dieses Prozesses. Es dient dazu, mögliche Risiken im Zusammenhang mit Änderungsprozessen zu identifizieren und zu dokumentieren.
- Im APM werden unter anderem die gesamten Änderungsprozesse, die identifizierten Risiken sowie die Schritte für interne und externe Prüfungen erklärt. Es ist ausschließlich für interne Zwecke bestimmt und wird nicht mit der Prüfungsabteilung geteilt.
- Des Weiteren wird eine Risiko-Kontrollmatrix (RCM) erstellt, die die identifizierten Risiken, mögliche Kontrollen und Prüfschritte zur Risikoidentifizierung auflistet. Dies bildet die Grundlage für die detaillierte Prüfung.
- Ein weiterer wichtiger Schritt ist die Durchführung von Feldarbeiten, bei denen das APM als Grundlage für die Prüfung der Prozesse dient. Anhand von Stichproben werden die Änderungsanträge überprüft, um sicherzustellen, dass sie den vorgegebenen Parametern entsprechen.
Interne Dokumentation und Risikobewertung
Detailierte Überprüfung während einer internen Auditprüfung
- Während der internen Auditprüfung wird überprüft, ob das RFC gemäß dem SOP eingehalten wird.
- Eine Überprüfung des Recovery-Plans nach dem Abschluss und die Trail-Prüfung werden durchgeführt.
- Die Unterzeichnung des SOP durch die betroffene Person wird geprüft, um sicherzustellen, dass die SOP ordnungsgemäß autorisiert ist.
- Es wurde festgestellt, dass einige SOPs nicht unterzeichnet waren, was ein Governance-Risiko darstellt.
- Überprüfung, ob der Zugriff für Mitarbeiter, die die Organisation verlassen haben oder die Abteilung gewechselt haben, widerrufen wurde.
- Eine umfassende Überprüfung des Änderungsmanagementprozesses, einschließlich der Einhaltung von SOD und der Dokumentation von Änderungsmanagement-Deliverables, wird durchgeführt.
- Bei der Entdeckung eines kritischen Problems während der Prüfung wird der Auditierten unverzüglich benachrichtigt und dies parallel im Bericht dokumentiert.
- Falls die Stichprobenprüfung keine klaren Ergebnisse liefert, wird die Stichprobengröße erweitert, um zusätzliche Daten zu sammeln.
- Die Überprüfung von unbeantworteten RFCs und die Prüfung von Ausnahmen und Geschäftsgenehmigungen, bevor Ergebnisse gemeldet werden.
- Abschluss der Feldarbeit und Zusammenführung der Beweise zur Diskussion von Prüfungsergebnissen und Bedenken.
- Vorbereitung des Post-RCM und des Entwurfs des Prüfungsberichts mit Zusammenfassung der Ergebnisse, Schlussfolgerungen und Empfehlungen.
- Die erste Fassung des Prüfungsberichts wird erstellt und intern überprüft, bevor sie dem geprüften Unternehmen zur Stellungnahme vorgelegt wird.
Detailierte Überprüfung während einer internen Auditprüfung
Interne Revision: Der Ablauf eines Audits
- Der Großteil der Prüfung findet in diesem Bereich statt, dies ist der Wendepunkt, an dem Sie sie von den Ergebnissen überzeugen müssen, weil wir die Empfehlungen und alles andere erledigen müssen. Daher führen wir eine Diskussion durch, um alle Anliegen zu verstehen, debattieren über sie und wenn sie zu einem bestimmten Zeitpunkt fragen, ob Sie Beweise für dies haben, werden wir die Beweise erbringen. Dabei können wir in der Lage sein, die Dinge zu rechtfertigen, und das nennt sich unser Arbeitspapier. Beweise werden als Arbeitspapier bezeichnet, da Arbeitspapiere das entscheidende Werkzeug für den Prüfungsberuf sind. Sie stützen unsere Prüfungsmeinung.
- Sobald sie also einverstanden sind, dass dies mein Aktionsplan ist, müssen wir nach dem Zeitplan für die Aktion fragen. Angenommen, sie geben mir den Aktionsplan, dass wir diese Prüfung im nächsten Februar abschließen werden. Dem entsprechend wird die Nachprüfung diese Prüfung im Anschluss durchführen und überprüfen, ob sie die Prüfung abgeschlossen haben oder nicht. Sobald sie jedoch zustimmen, veröffentlichen wir den Abschlussbericht, entweder von mir oder meinem Manager. Wir werden auch eine Kopie an mein Prüfungsmanagement senden, sie werden die Prüfungsarbeitspapiere ebenfalls eingehend prüfen. Wenn sie irgendwelche Diskussionen haben, können sie Diskussionen führen, und danach veröffentlichen wir den Abschlussbericht an die Leitung des Änderungsmanagements, deren Gegenstück und alle. Wir haben auch monatliche Sitzungen und alle Vorstandssitzungen, auf denen wir unsere Berichte zu den Ergebnissen präsentieren. So läuft im Grunde die gesamte Prüfung ab.
- Sobald die Prüfung gemäß dem Zeitplan im Februar abgeschlossen ist, werde ich meine Prüfung nachverfolgen und im Grunde fragen, ob dieser Befund geschlossen wurde oder nicht. Er wird mir sagen, ja, der Befund ist geschlossen, aber wir können nicht einfach so vertrauen, wir brauchen Beweise, wir brauchen eine Rechtfertigung, und dann werde ich den Befund in meiner Liste markieren und als erledigt kennzeichnen.
- Die interne Revision bezieht sich nicht nur darauf, was wir prüfen, sondern wir haben auch einige administrative Aufgaben. Was auch immer wir geprüft haben, müssen wir Nachprüfungen durchführen, um sicherzustellen, dass diese Befunde mit angemessenen Beweisen geschlossen wurden. So funktioniert das also. Zusammenfassend lässt sich sagen, dass das erste Dokument als Prüfungsankündigungsschreiben bezeichnet wird, das von der internen Revision veröffentlicht wird. Dann machen wir das Kick-off-Meeting, bei dem wir versuchen, eine weitere wichtige Sache zu klären. Im Engagement-Letter ist der Umfang der Auditierung aufgeführt, wer an der Prüfung teilnehmen wird und das Datum der Prüfung. Anschließend findet die Durchführungssitzung statt, bei der wir eine Vorprüfungsplanungssitzung abhalten. Dort gehen mein Manager, mein Kollege und ich hin, um alles zu besprechen, den Prozess zu verstehen und dann eine E-Mail zur Prüfungsplanungsmemorandum-Checkliste zu senden, mit der wir die Dokumente zu Vorschriften und Standardarbeitsanweisungen sammeln. Wir überprüfen diese gründlich und bereiten dann das PAM vor, das intern in der Organisation ist und den Umfang, den Prozess, mögliche Risiken und den Namen des Prüfers enthält. Anschließend erstellen wir die Risikokontrollmatrix. Die Risikokontrollmatrix umfasst mögliche Risiken, mögliche Kontrollen und die Prüfschritte, die wir ergreifen werden, um diese bestimmte Bewertung durchzuführen. Dann beginnen wir mit der Durchführung der Feldarbeit, bei der wir die Meetings abhalten, basierend auf den identifizierten Möglichkeiten verstehen, zusammenfassen und im Falle einer kritischen Entdeckung benachrichtigen. Dann erstellen wir den Entwurf des Berichts. Der Entwurf des Berichts wird einen PRI haben. Ich spreche mit meinem Management, spreche mit meinem Prüfungsmanagement, verstehe alles und teile dann die erste Version eines Berichts mit meinem Prüfer. Er oder sie wird frustriert sein und dann ihre Meinungen und Aktionspläne zu den Empfehlungen teilen. Als Prüfer werden wir auch Empfehlungen geben, z.B. wenn wir feststellen, dass eine Standardarbeitsanweisung nicht genehmigt wurde, fordern wir die Genehmigung ein. Dann liefern sie mir einen Aktionsplan mit dem Zeitplan. Wenn wir die Prüfung abgeschlossen haben, müssen wir das durchgeführte Follow-up zu dieser bestimmten Feststellung durchführen. Sobald wir das grüne Licht von der Prüfung über die Empfehlungen und den Aktionsplan erhalten, reichen wir dies bei unserem Prüfungsmanagement ein. Sie prüfen dies eingehend und veröffentlichen dann einen Abschlussbericht an mein Team, an unser geprüftes Team, ihre Gegenstücke, Direktoren, Vorstandsdirektoren und alle. Bei den wöchentlichen wie monatlichen Sitzungen, die wir haben, werden wir über diese Art von Feststellungen und Prozessen informieren.
- Die Rolle einer internen Prüfung ist sehr wichtig, da der Vorstand je nach unseren Funktionen entscheidet. Unser Ziel ist es sicherzustellen, dass das, was in der Organisation geschieht, den gesetzlichen und behördlichen Anforderungen entspricht.
Interne Revision: Der Ablauf eines Audits
Conclusion:
Interne Audits spielen eine wichtige Rolle bei der Verbesserung der betrieblichen Abläufe und der Gewährleistung der Einhaltung von Gesetzen und Vorschriften. Mit dem detaillierten Verständnis der internen Auditprüfungen können Sie sicherstellen, dass Ihr Unternehmen den höchsten Qualitätsstandards entspricht.