Grevenmacher, 29.07.2024 (PresseBox) –
Audit Management und Tracking
Auditzyklus
Die Routine im Prüfgeschehen – egal, ob intern oder extern – folgt der Logik eines Kreislaufs:
Dieser wird durch eine Reihe von separaten und eigenständig nutzbaren Modulen der co_suite abgebildet, die untereinander per Schnittstellen verknüpft sind. Die relevanten Eigenschaften, Bewertungen und Zugriffsrechte der Informationsobjekte (wie z.B. Risiko, Prüfgegenstand, Auditbericht, Feststellung, oder Korrekturmaßnahme) werden so an die Folgemodule, übergeben (vererbt), dass alle Aufgaben kontinuierlich und flexibel, transparent und revisionssicher abgearbeitet werden können und der Kontext nicht verloren geht.
Risikoanalyse
Aufgrund i.d.R. begrenzter Prüfungskapazitäten und des Gebots der Wirtschaftlichkeit muss das Prüfungsgeschehen eigene Schwerpunkte setzen. Im risikoorientierten Prüfungsansatz[1] werden diese knappen Ressourcen nach Effizienzgesichtspunkten allokiert. Dort, wo das größte Gesamtrisiko – zusammengesetzt aus inhärentem und Prüfungsrisiko – droht, werden die Prüfungsumfänge und die erforderliche Kompetenz konzentriert.
Somit ist diese Risikoorientierung der Ausgangspunkt der weiteren strategischen und praktischen Überlegungen und Schritte, um insbesondere existenzkritische Risiken im Katalog befinden.
Die co_suite unterstützt hier durch Bewertungstools und flexible Bewertungskriterien per Tagging.
Die Einschätzungen und Priorisierungen werden – wie in allen Bereichen und Modulen der co_suite – revisionssicher festgehalten.
Auditmanagement
Die Einsatzplanung je nach Verfügbarkeit und Kompetenz der Auditoren ist der nächste logische Schritt. Die im Personenstamm individuell definierbaren Eignungskriterien können dem Prüfbedarf zugeordnet werden, so dass ein Auditplan für die Prüfperiode entsteht.
Die zeitlichen und inhaltlichen Plandaten müssen nun mit den zu prüfenden Einheiten/Risikoobjekten, Gebieten, Verantwortlichen vereinbart werden – es sei denn eine Zufalls- bzw. Überraschungskomponente soll hinzutreten.
Prüfprogramm oder Questionnaire (auch für Self-Audits) werden aus allgemeinen Vorlagen bereitgestellt. Dank integrierter Spreadsheet-Technik können die Prüfergebnisse revisionssicher in der zentralen und geschützten Datenbank abgelegt werden. Arbeitspapiere und Evidenz werden als Anlagen gespeichert. Auch eine interaktive Erfassung der Feststellungen, Beobachtungen, Evidenz und Arbeitspapiere ist gestalt- und realisierbar.
Natürlich können auch gemeinsam genutzte Einheiten, Anlagen, Prozesse oder Einrichtungen in Unternehmensgruppen effizient und einmalig auditiert werden. Textuelle Auditberichte können auch anhand eines festgelegten Regelwerks importiert werden.
Per generativer Künstlicher Intelligenz können die Texte auch aus den getaggten Feststellungen erzeugt werden.
Prüfergebnis und Bericht
Der Auditbericht kann im Format anhand von Vorlagen frei gestaltet werden und dann unter mehreren Beteiligten (Auditor, Co-Auditor, Auditmanager, …) abgestimmt, geprüft und freigegeben und an alle Empfänger verteilt werden.
Mit Hilfe der besagten integrierten Spreadsheet-Technik im Browser können auch die Bewertungen strukturiert zu den Prüfergebnissen per Vorlage erfolgen und mit der Berichtsversion zusammen revisionssicher zentral abgelegt werden.
Maßnahmenabstimmung
Es hat sich in vielen Fällen bewährt auf die Sachkenntnis und besondere Lage der geprüften Einheit zurückzugreifen, um die bestmögliche Lösung bzw. Risikostrategie zu finden. Deshalb können die von den Prüfern empfohlenen Maßnahmen mit der betroffenen Organisationseinheit zeitlich und inhaltlich dokumentiert abgestimmt und dann mit festen Fristen vereinbart werden.
Das Trackingmodul verfolgt diese vereinbarten präventiven oder aufdeckenden Maßnahmen (CAPA) und erinnert an die in diesem Zuge anstehenden Aufgaben.
Verfolgung
Nicht immer bleibt es im Laufe der Zeit nach Ende des Audits sinnvoll, an den anfänglich vereinbarten Maßnahmen festzuhalten. Neue Entwicklungen oder äußere Umstände legen die Implementierung abweichender Maßnahmen nahe. Außerdem benötigt der Prüfer bzw. die Prüferin Nachweise oder Anhaltspunkte über den Fortschrittsgrad oder die Fertigstellung. In der co_issues werden die Zuordnung zur Prüfungsfeststellung, empfohlene, vereinbarte und implementierte Maßnahmen werden deshalb separat erfasst und mit Kommentaren und Evidenz dokumentiert.
Für die Risikoeinschätzung des nächsten Auditzyklus oder Nachschauprüfungen stehen die Vorergebnisse dann bereits aufbereitet zur Verfügung und bei nachhaltigen Korrekturmaßnahmen sinkt das Nettorisiko der Organisation.
Ausblick
Mit Künstlicher Intelligenz lassen sich Prüfungen einerseits neutraler und unbestechlicher, andererseits effizienter und automatisierter durchführen. Auch die Feststellungen werden objektiver bewertet. Ab einer Samplegröße von ca. 100 Berichten/Feststellungen können anhand der Selbstlernprozess bzw. der Large Language Modelle textuelle Prüfberichte und Feststellungen inkl. Der
Es bleibt spannend und C.O.S bleibt für Sie dran…
Handlungsbedarf
Wenn Sie Ihre Organisation auf regelmäßige Prüfungssituationen systematisch vorbereiten wollen, sorgen Sie für ein strukturiertes Compliance-Umfeld auf Grundlage modernster und bald KI-gestützter Technologie. Bringen Sie Ihre Informationsschätze in Sicherheit in der co_suite von C.O.S.
Hilfe
C.O.S unterstützt und berät seine Kunden bei der Analyse von Risiken und passenden IT-Anwendungen im Auditmanagement.
Sprechen Sie uns an info@cos.lu .Wir freuen uns auf Ihre Kontaktaufnahme.
[1] Vgl. Institut der Wirtschaftsprüfer Prüfungsstandard 261