Absicherung über interne Kontrollen demonstrieren

Die primäre Funktion der Prüfer besteht aus der Bereitstellung von Absicherung, d. h. Gewissheit, zur Effektivität des Risikomanagements und der Stärke der Kontrollumgebung innerhalb einer Organisation. Durch die Zentralisierung und Automatisierung von Teilen des Audit-Programms kann die Audit-Abteilung das Management interner Kontrollen vereinfachen und die übergreifende Zusammenarbeit innerhalb der Organisation fördern. Dieser Artikel beschreibt, wie Sie Kontrollen unter Verwendung der Projekte-App testen können.

Dieser Artikel beschreibt, wie Sie Kontrollen mit Hilfe der Projektvorlage Internes Kontroll-Framework gegen Bestechung und Korruption testen, das nützlich für kleine bis mittlere Prüfungsfunktionen und -teams ist. Der in diesem Artikel beschriebene Workflow ist für komplexere Prüfungen geeignet, bei denen Schilderungen definiert, exemplarische Vorgehensweisen zur Verifizierung des Konzepts der Kontrollen ausgeführt und Tests durchgeführt werden, um die betriebliche Effektivität der Kontrollen zu verifizieren. Dies ist ein Konzept, aber Sie können dieselben oder ähnliche Ziele mit anderen Projektvorlagen realisieren.

Was bedeutet es, Kontrollen zu testen?

Das Testen von Kontrollen ist ein Prozess, der aus den folgenden Teilen besteht:

  • Bestimmen, bei welchen Kontrollen es sich um Schlüsselkontrollen handelt und welchen nicht
  • Identifizieren, welche Kontrollen getestet werden
  • Bewerten jeder Schlüsselkontrolle auf Grundlage des Designs und der betrieblichen Wirksamkeit

Wenn der Test darauf hindeutet, dass eine Kontrolle nicht wie erwartet funktioniert, wird eine Ausnahme von der Prüfungsfunktion notiert und die Prüfer arbeiten mit dem Unternehmen zusammen, um einen Beilegungsplan zu verwalten.

Wo werden Kontrollen getestet?

Sie können mit Hilfe der Projekte-App Kontrollen testen.

Der umfassende Überblick

  • Projekte werden verwendet, um Ziele, Risiken und Kontrollen zu dokumentieren, das Design und die Wirksamkeit der Kontrollen zu testen und Probleme zu erfassen.
  • Bewertungen werden verwendet, um die Auswertungen des Designs und der betrieblichen Wirksamkeit der Kontrollen dokumentieren.

Letztendlich können die Testergebnisse in einem Projekt in die Einstufung Absicherung einfließen, bei der es sich um eine Echtzeitdarstellung dessen handelt, wie gut Ihre Organisation ein Risiko beilegt.

Schritte

Bereit für eine Tour?

Beschäftigen wir uns ein wenig genauer mit den Funktionen m Kontext.

1. Projekt erstellen

Der erste Schritt besteht aus dem Verständnis, welches Verfahren am besten geeignet ist, Daten in dem System einzurichten, sodass Sie angemessene Berichte erstellen können. Sie können Projekte erstellen, um Ziele, Risiken und Kontrollen zu definieren, das Design und die betriebliche Wirksamkeit von Kontrollen bewerten und Informationen, um Berichte zu erstellen, zu erfassen. Projekte können von Grund auf, über eine Vorlage oder aus einem bestehenden Projekt erstellt werden.

Tipp

Die Projekte-App bietet mehrere Risiko- und Kontrollbibliotheken (Projektvorlagen), die vorab ausgefüllte Inhalte für spezifische Workflows enthalten. Es gibt eine Vielzahl von Projektvorlagen, die normalerweise zum schnellen Start von Prüfungen und zum Erstellen wiederverwendbarer Vorlagen verwendet werden. Dies beinhaltet:

  • Interne Prüfungsvorlagen (operativ)
  • SOC/SSAE 16/ISAE 3402 Prüfungsvorlagen
  • Interne Prüfungsvorlagen (Finanz- & Interne Kontrolle)
  • Sarbanes-Oxley (SOX) Audit-Vorlage (COSO 2013 Framework)

Projekt einrichten

Sie haben die Auswahl zwischen zwei Arten von Projekt-Workflows, abhängig davon, ob Ihre Prüfungen betrieblich oder umfassender sind (wie SOX- oder ICFR-Reviews). Nachdem Sie ein Projekt eingerichtet haben, setzt die Projekte-App einen einfachen Workflow in der Prüfung durch. Das hilft Ihnen bei der Identifikation relevanter Prüfungsverfahren und bei der Verwaltung von Problemen.

Tipp

Frameworks sind hilfreich für die Reduzierung des manuellen Aufwands beim Einrichten von Projekten, und können verwendet werden, um zentral Informationen verwalten, indem Sie regulatorische oder geschäftliche Umgebungen einbeziehen.

Beispiel

Szenario

Sie sind ein Compliance-Experte, der für die Durchführung einer internen Kontrollprüfung zum Thema Bestechungsschutz und Anti-Korruption.

Prozess

Hilfethemen

Als Ausgangspunkt für die Definition Ihres Projekts erstellen Sie ein Projekt mit der Projektvorlage Internes Kontroll-Framework gegen Bestechung und Korruption.

Aktivieren Sie innerhalb des Projekts die Einstellung Absicherung, um sicherzustellen, dass die Testergebnisse automatisch zusammengefasst werden, um Berichte erstellen zu können, und legen Sie als Anzahl der Testrunden 1 fest.

Ergebnis

Das Projekt wird mit einer Reihe von Zielen ausgefüllt, die jeweils Risiken und Kontrollen enthalten.

Ziele dokumentieren

Ziele bilden die Grundlage eines Projekts und werden ebenfalls als Entitätsstruktur für Arbeiten eingesetzt, die im Rahmen eines Projekts durchgeführt werden. Jedes Ziel beschreibt den untersuchten Gegenstand und wie die Leistung bewertet wird. Ziele können so definiert werden, dass die Arbeit in überschaubare Aufgaben unterteilt werden kann, die die Mitglieder des Prüfungsteams durchführen können.

Beispiel

Szenario

Zu den Bestechungsschutzmaßnahmen der Organisation gehören die Richtlinien für Reisekosten und Spesen (R&S), die im Rahmen der Prüfung getestet werden müssen. Sie müssen das Ziel R&S Ihrem Projekt hinzufügen, um den zu untersuchende Gebiet zu definieren.

Prozess

Hilfethema Ziele definieren

Sie definieren das Ziel wie folgt:

  • Titel Reise- und Bewirtungskosten
  • Beschreibung Sicherstellen, dass die entsprechenden präventiven und untersuchenden Kontrollen als Gegenmaßnahme für das Bestechungsschutz- und Korruptionsrisiko im Rahmen des Prozesses zu Reise- und Bewirtungskosten (inkl. Einkaufskarte) vorhanden sind.
  • Referenz R&B
  • Geschäftsbereich/Abteilung Finanzen
  • Zugeordneter Benutzer IhrName

Ergebnis

Das Ziel wird definiert.

Schilderungen dokumentieren

Die Schilderungen bieten eine Möglichkeit, zu verstehen, wie die internen Kontrollen Ihres Unternehmens in einen Geschäftsprozess passen. In vielen Organisationen werden Flussdiagramme als primäre Methode zur Darstellung eines detaillierten Workflows innerhalb eines bestimmten Bereichs verwendet. Inhalte, sowohl Audio als auch visuelle Inhalte, können als Unterstützung einer Schilderung angehängt werden, und Sie können Kontrollen als Referenz verbinden.

Beispiel

Szenario

Nun konstruieren Sie eine Schilderung, die sich auf das Ziel R&B bezieht.

In der Schilderung planen Sie den PGeschäftsprozess zu definieren und hängen eine Zusammenfassung der Risiken und primären Kontrollen im Zusammenhang mit dem Prozess an. Während Sie weitere Informationen erfassen, beabsichtigen Sie, die Schilderung entsprechend zu aktualisieren.

Prozess

Hilfethema Schilderungen definieren

Sie navigieren im Projekt zur Registerkarte Schilderungen und fügen eine neue Schilderung mit der Bezeichnung Prozessschilderung R&S.

Sie beginnen die Definition der Schilderung wie folgt:

Prozessübersicht: Die Richtlinien zu Reise- und Bewirtungskosten umfassen die Reisekosten, die bei offiziellen Geschäftsreisen außerhalb des Heimatorts anfallen und enthalten die Kosten für Transport, Unterbringung, Mahlzeiten und verschiedene Ausgaben. Diese Ausgaben müssen angemessen und notwendig sein, um Geschäfte auszuführen, und sie müssen direkt zurechenbar sein.

Schließlich hängen Sie ein Word-Dokument mit einer Zusammenfassung der Risiken und Schlüsselkontrollen im Zusammenhang mit dem Prozess R&B an.

Ergebnis

Der Entwurf für den ersten Teil der Schilderung steht, und das Word-Dokument wird als unterstützende Anlage angehängt.

Risiken und Kontrollen dokumentieren

Das Ergebnis der Dokumentation von Risiken und Kontrollen führt zur Produktion der Risikokontrollmatrix (RCM). Eine RCM ist eine Kombination aus identifizierten Risiken und dazugehörigen Kontrollen (die Aktionen oder Handlungsoptionen, wie das Risiko beigelegt wird).

Hinweis

Abhängig von der Organisation und der Größe der Prüfungsabteilung sind für die Bewertung des inhärenten und Restrisikos verschiedene Teams verantwortlich. Größere Organisationen nutzt in der Regel Bewertungen des operativen Risikos oder des Compliance-Risikos, um die Arbeit der Prüfer zu unterstützen.

Tipp

Nachdem Risiken und Kontrollen dokumentiert wurden, können Eigentümer von Prozessen in der Projekte-App einen Ablaufplan einrichten, um sicherzustellen, dass Kontrollaktivitäten einheitlich durchgeführt werden.

Beispiel

Szenario

Ihre Organisation hat einen ausgereiften und verfeinerten Risikobewertungsprozess und bewertet das Risiko über zwei Dimensionen (Auswirkung und Wahrscheinlichkeit) anhand einer 3-Punkte-Skala:

Sie müssen die inhärente Risikoeinstufung bewerten, um das unbearbeitete Risiko für die Organisation zu ermitteln, wenn keine Kontrollen oder andere beilegende Kontrollen eingesetzt wurden. Sie sollten auch Ihren Schlüsselkontrollen eine Wirksamkeitseinstufung zuweisen, sodass später, während der Tests, alle fehlgeschlagenen Kontrollen eine Restrisikoeinstufung bereitstellen.

Prozess

Hilfethemen

Als erstes führen Sie einen Massen-Upload von Risiken und Kontrollen durch und weisen jedem Risiko eine Bewertung auf Grundlage von Wahrscheinlichkeit und Auswirkung zu.

Dann verbinden Sie Risiken und Kontrollen und weisen jeder Kontrolle eine Wirksamkeitseinstufung zu, um die Signifikanz der Kontrolle widergibt, die dann von Bedeutung ist, wenn die Sicherungsberichte erstellt werden.

Ergebnis

Die inhärente Risikobewertung ist abgeschlossen, und die Risiken und Kontrollen werden dokumentiert:

2. Konzept und Wirksamkeit der Kontrolle bewerten

Viele der Prüfungsfunktionen verlangen von dem Unternehmen, Verantwortlichkeiten in Bezug auf die Bewertung des Konzepts und der Wirksamkeit der Kontrollen zu übernehmen. Einfache Aufgaben wie zum Beispiel die Aktualisierung einer exemplarischen Vorgehensweise für eine Kontrolle und die Wirksamkeit der Kontrollen dokumentieren, lassen sich direkt von den Verantwortlichen durchführen. Somit liegt die Verantwortung der Beurteilung dieser Kontrollen tatsächlich im Unternehmen.

Kontrollkonzept bewerten

Die Prüfer können auch mit den Eigentürmer von Kontrollen zusammenarbeiten, um das Design einer Kontrolle über die Attestierung und/oder das Beifügen von Beweisen zu bewerten. Sie definieren Aktionspläne, um die fehlenden Kontrollen zu implementieren oder um zu erklären, warum eine Kontrolle nicht erforderlich ist.

Tipp

Mitarbeiter im Kundenverkehr können außerhalb der Projekte-App über die App „Kontrollzentrum” die Kontrollen, auf die sie Zugriff haben, verwalten. Kontrollzentrum ist eine App, die Kontrollinformationen aus der Projekte-App auf einer vereinfachten und zentralisierten Ansicht darstellt.

Beispiel

Szenario

Nun, da Sie das inhärente Risiko bewertet haben, müssen Sie eine exemplarische Vorgehensweise durchführen, um das Design jeder Kontrolle zu bewerten.

Prozess

Hilfethema Verfahren ausführen und Kontrollen testen

Sie navigieren zur exemplarischen Vorgehensweise, die mit jeder Kontrolle verbunden ist, und bewerten das Design der R&B-Kontrolle in Bezug auf den Prozess, der in der Schilderung beschrieben wird.

Sie bestimmen, dass alle Kontrolle angemessen entworfen wurden. Nachdem Sie die Bewertung des Designs der Kontrollen abgeschlossen haben, zeichnen Sie das Dokument ab und legen Sie Ihren Manager als nächsten Kontrollprüfer zur Genehmigung Ihrer Arbeit fest.

Ergebnis

Die exemplarische Vorgehensweise für jede Kontrolle wird erfasst:

Testplan definieren

Testpläne identifizieren wie Sie die Kontrolle testen werden. Sie können Testpläne definieren, um die Testmethode, die Gesamtstichprobengröße (aufgeteilt auf die Anzahl der Testrunden) und die Testschritte, die durchgeführt werden müssen, um die Kontrolle zu testen, anzugeben.

Tipp

Inspirationen, ein Katalog aus Risikoszenarien und Tests, die von Diligent-Initiativen weltweit gesammelt werden, bieten eine Reihe von Ideen für analytische Tests nach Prozess. Weitere Informationen finden Sie unter Tools und Vorlagen.

Beispiel

Szenario

Nach der Durchführung der exemplarischen Vorgehensweisen haben Sie ein besseres Verständnis dafür, wie die Kontrolle entworfen wurde, um jedes Risiko beizulegen. Bevor Sie damit beginnen, die Wirksamkeit der Kontrolle zu testen, müssen Sie einen Testplan vorbereiten, der identifiziert, wie Sie jede Kontrolle testen werden.

Prozess

Hilfethema Verfahren ausführen und Kontrollen testen

Sie beginnen mit der Definition eines Testplans für die folgende Kontrolle:

R&B-04 - Schwellenwert für die Einkaufskarte: Einkaufskarten haben monatliche und individuelle Grenzwerte. Einkäufe, die diese Grenzwerte überschreiten, sollten zurückgewiesen werden. Das Management sollte rechtzeitig Ausnahmen prüfen und beilegen.

  • Testmethode Observation
  • Gesamtstichprobengröße 1
  • Testschritte/Testattribute
    1. Die erforderlichen Daten werden durch Tests erhalten:
      • Die Daten zu den Mitarbeitern, die Einkaufskarten haben, gehören monatliche Translationslimits für jede Karte
      • Die Einkaufskarten-Transaktionsdaten für den Prüfzeitraum
    2. Vergleichen Sie die Transaktionsbeträge aus den Transaktionsdaten der Einkaufskarten mit den Transaktionslimits aus den Daten der Mitarbeiter, die Einkaufskarten haben.
    3. Erstellen Sie eine Zwischensumme der Transaktionsbeträge nach Monat und Karte und vergleichen Sie diese Werte mit den monatlichen Limits aus den Daten der Mitarbeiter, die Einkaufskarten haben.

Ergebnis

Der Testplan für R&B-04 ist erfasst.

Wirksamkeit der Kontrolle bewerten

Die Bewertung der Wirksamkeit der Kontrolle umfasst die Dokumentation der detaillierten Testergebnisse und die Angabe, ob die Kontrolle bestanden hat oder durchgefallen ist. Sobald Sie die Bewertung der Wirksamkeit der Kontrolle abgeschlossen haben, können Sie Textstellen markieren und Belege verknüpfen, wie z.B. Richtlinien- oder Verfahrenshandbücher, Bestimmungen, SLAs/SLSs und Verträge.

Tipp

Um die manuell Einstufung der Wirksamkeit von Kontrollen zu vermeiden, können Sie Bewertungsfaktoren einsetzen, um verschiedene Kontrollbewertungen zu automatisieren. Sie können eine in der Ergebnisse-App erstellte Metrik mit einer Kontrollbewertung in der Projekte-App verknüpfen und die inhärenten Risikoeinstufungen auf Grundlage von vordefinierten Metrikbereichen automatisch ausfüllen.

Beispiel

Szenario

Nun, da Sie das Kontrollkonzept bewertet und einen Testplan vorbereitet haben, der definiert, wie Sie R&B-04 testen werden, müssen Sie die Wirksamkeit der Kontrolle bewerten, um das Restrisiko zu ermitteln, also wie viel Risiko verbleibt, nachdem die Kontrollen eingeführt wurden.

Prozess

Hilfethema Verfahren ausführen und Kontrollen testen

Sie navigieren zur Testrunde im Zusammenhang mit jeder Kontrolle und Testen die Effektivität jeder Kontrolle.

Sie bestimmen, dass alle Kontrollen effektiv funktionieren, nicht jedoch die Kontrolle R&B-04. Während die Transaktionslimits respektiert und die Transaktion bei einem Kauf an der Kasse zurückgewiesen wird, trifft dies nicht auf die monatlichen Limits zu, und viele Karten überschreiten ihr monatliches Limit in beträchtlicher Höhe.

Ergebnis

Eine Bewertung in Form eines Tests für jede Kontrolle wird erfasst. An diesen Punkt erstellen Sie auch ein Problem, sodass Sie einen Beilegungsplan für das Problem verwalten und Aktionen den für die Beziehungen mit dem Einkaufskartenunternehmen verantwortlichen Mitarbeitern zuweisen können.

3. Absicherung demonstrieren

Über Projekte ist es möglich, die Risikoeinschätzungen, Testergebnisse und Probleme über das gesamte Projekt in einer Sicherungsmetrik (Prozentsatz) automatisch zusammenzufassen, die zum Erstellen von Berichten verwendet werden kann. Wenn exemplarische Vorgehensweisen und Tests bestanden werden, erhöht sich die Absicherung.

Tipp

Wenn Sie einen Top-Down-Ansatz durchführen und die strategischen Risiken Ihrer Organisation in der Strategie-App verwalten, können Sie eine Absicherung nachweisen, indem Sie die Testergebnisse aus Projekten, die zur Beilegung oder Verwaltung von strategischen Risiken eingesetzt werden, zusammenfassen.

Beispiel

Szenario

Nachdem die Tests für das Ziel R&B abgeschlossen sind, möchten Sie eine Benchmark-Analyse durchführen, um festzustellen, wie gut eine Organisation Risiken beilegt, sodass Ressourcen entsprechend zugeteilt werden können.

Prozess

Hilfethema Erste Schritte bei der Absicherung von Risiken

Sie navigieren zum Prozessbereich und zeigen die Einstufungen für das inhärente Risiko und das Restrisiko sowie die Sicherungseinstufung für das Ziel Reise- und Bewirtungskosten an:

Sie navigieren dann zum Bereich Ergebnisse und zeigen die allgemeine Absicherungseinstufung für die Prüfung an:

Ergebnis

Sie können einen Bericht zur Sicherungseinstufung im Zusammenhang mit dem Ziel Reise- und Bewirtungskosten und der allgemeinen Absicherungseinstufung für die Prüfung als Ganzes erstellen.

Wie geht's weiter?

Fortschritt der SOX-Programme überwachen

Den Fortschritt Ihrer SOX-Programme können Sie über Storyboards überwachen. Die Installation des vorkonfigurierten SOX-Storyboard-Toolkits und das Auffüllen Ihrer Storyboards mit Daten dauert nur wenige Minuten. Weitere Informationen finden Sie unter SOX-Storyboard-Toolkit.