Automatisierte Überwachung von Risiken

Das Konzept des Continuous Auditing ist kein neues in der Wirtschaftsprüfung. Schon lange werden die Möglichkeiten der kontinuierlichen und automatisierten Überwachung von risikobehafteten Geschäftsprozessen diskutiert. Doch heute sind wir in der Zukunft angekommen, die technologischen Voraussetzungen für eine automatisierte Überwachung von Risiken in Echtzeit sind vorhanden und werden bereits genutzt. Nichts desto trotz stehen wir noch ganz am Anfang bei der Einführung von automatisierten Prüfprozessen.

Das „Three-Lines-of-Defense-Modell“ zur Risikoüberwachung

Aus Sicht des „Three-Lines-of-Defense-Modells“ hat der technologische Schub zur systematischen Überwachung von Risiken schon vor längerem begonnen. Dazu gehört die Automatisierung der operativen Einheiten, der sogenannten „1st level of defense“. Auch bei der „2nd level of defense“, den Bereichen Controlling, Risikomanagement und Compliance, haben sich automatisierte Prozesse bereits etabliert. Am Ende dieser Kette steht die „3rd level of defense“, also die interne Revision, bei welcher die Technologisierung noch am Anfang steht. Das gilt auch für die externe Revision, welche im „Three-Lines-of-Defense Modell“ nicht explizit erwähnt ist, aber für die Automatisierung ein ebenso grosses Potential bietet.

Die Technologisierung hat bis heute bereits vieles zur Vereinfachung von Überwachungsprozessen beigetragen. Beispielsweise kann der Datenzugriff im Unternehmensnetzwerk nach dem „need-to-know“-Prinzip eingeschränkt werden. Die operativen Einheiten haben die Möglichkeit via Rollen und Zugriffsrechte die Einsicht der Daten zu verwalten. Diejenigen Einheiten (2nd level of defense), welche die Zugriffe auf die Daten im Netzwerk des Unternehmens überwachen müssen, begannen nach den vielen Datendiebstählen, die Kanäle gegen aussen vollständig zu schliessen. Dies hatte aber zur Folge, dass auch erlaubte Transaktionen gegen aussen gesperrt wurden. Niemand war mit dieser Lösung so richtig glücklich. Heute ist man aber so weit, dass man die Kanäle soweit offen lassen kann, so dass erlaubte Transaktionen gegen aussen möglich bleiben und nur diejenigen Transaktionen gestoppt werden, die dem Unternehmen schaden könnten. Dafür haben die Unternehmen Software im Einsatz, die in sekundenbruchteilen die Inhalte prüfen bevor diese nach draussen gehen (z.B. E-Mail-Filter). Der Filter erkennt eine Anomalie und löst einen Report bei der entsprechenden Stelle aus, was eine schnelle Reaktion ermöglicht.

Erhöhte Prüfqualität und präventive Wirkung durch Continuous Auditing

Das Auditing kann diese Technologie ebenfalls nutzen, wenn auch in einem anderen Kontext als die „2nd level of defense“-Einheiten. Bspw. könnten anhand von festgestellten und rapportierten Anomalien die Risikoeinschätzungen der Revision überarbeitet und dadurch Risiken aufgedeckt werden, die bis anhin noch gar nicht im Fokus der Revision waren. Die Revision kann gezielt das Interne Kontrollsystem (IKS) überprüfen, so dass Risiken minimiert und sogar verhindert werden.

Durch die automatisierte Überwachung definierter Geschäftsprozesse, vor allem derjenigen mit grossen Datenmengen und einem hohen Automatisierungsgrad in der Verarbeitung, wie der Zahlungsverkehr oder der Wertschriften- und Devisenhandel bei Banken, wird weiter die Möglichkeit für den Prüfer geschaffen, sich beim Audit nicht nur auf eine begrenzte Anzahl von Stichproben abzustützen, sondern vollständige Datensätze kontinuierlich in den Prüfungsprozess einzubeziehen. Das erhöht die Prüfsicherheit sowie die Qualität der Prüfung, da Anomalien und ungewöhnliche Aktivitäten schneller ausfindig gemacht werden können. Continuous Auditing hat auch eine präventive Wirkung im Unternehmen, denn jedes Mal wenn das System eine Anomalie entdeckt, wird ein Reporting erstellt. Aus rechtlichen Gründen müssen solche Prozesse den Mitarbeitenden mitgeteilt werden, was sich mit grosser Wahrscheinlichkeit bereits präventiv auswirkt und Angriffe reduziert. Der erfahrene Revisor mit einem guten Prozessverständnis hat dann die Aufgabe, die automatisch festgestellte Anomalie zu beurteilen. Allenfalls muss er oder sie noch weitere Abklärungen treffen, um ein gesamtheitliches Bild zu erhalten und zu beurteilen, ob die Anomalie wirklich ein Risiko für das Unternehmen darstellt.

Abgrenzung und Unabhängigkeit als grosse Herausforderungen

Neben den Vorteilen gibt es aber auch einige Herausforderungen zu meistern. Eine Revision muss sich klar abgrenzen, damit sie nicht zur „2nd level of defense“-Einheit wird, also zu der Einheit, welche die Überwachung einer Aktivität übernimmt. Dadurch wäre die Unabhängigkeit der Revision gefährdet. Es ist auch wichtig, dass die für die Revision generierten Daten der permanenten Überwachung nicht nur dazu dienen einen Bereich, eine Aktivität oder einen Prozess zu analysieren, sondern dass diese auch für die detaillierte Prüfungsplanung genutzt werden. Im Weiteren ist es wichtig, dass die Prozesse richtig verstanden werden. In der grossen Anzahl von Daten kann man die Übersicht schnell verlieren, was zu falschen Interpretationen und Ineffizienzen führen kann.

Eine weitere Herausforderung bieten die IT-Systeme, welche das zu revidierende Unternehmen in Betrieb hat. Bei Systemen, welche von verschiedenen Bereichen genutzt werden, muss die Revision die volle Kontrolle über die Einstellungen in den Tools haben, ansonsten ist auch hier die Unabhängigkeit des Revisors gefährdet. Sofern ein Unternehmen für die Revision eigene Tools anschafft, ist ein eingespielter Evaluierungsprozess zentral. Ebenfalls muss die Revision bereits im Vorfeld genau wissen, welche Daten sie Heute und idealerweise in der Zukunft dem Konzept des Continuous Auditings unterstellen möchte.

Grenzen des Continuous Auditing

Obwohl die Möglichkeiten des Continuous Auditing zahlreich sind, sind dem Konzept auch Grenzen gesetzt. Das Konzept wird die Revisoren-Tätigkeit nicht ersetzen, denn es braucht immer noch die menschliche Erfahrung und Kenntnisse, die Daten richtig zu interpretieren und die richtigen Schlussfolgerungen daraus abzuleiten. Vielmehr ist es ein Hilfsmittel, welches die Tätigkeit der traditionellen Revision in der Zukunft stark verändern wird, vor allem bei Risikoanalysen oder in der Bearbeitung von Stichproben. Stark ändern wird sich demnach auch das Anforderungsprofil des Revisors. Das Informatikwissen muss gestärkt werden, jedoch dürfen die Kenntnisse und die Erfahrungen über die Prozesse nicht weniger werden.