audit universe
Das Prüfungsuniversum bzw. audit universe stellt die Prüfungsbereiche einer Internen Revision dar. Letztlich hat sie alle Prüfungsbereiche zu umfassen. Dürfen einzelne Bereiche durch die Interne Revision nicht geprüft werden kann dies als bedenklich angesehen werden. Ein Grund wäre ein möglicher Interessenskonflikt. Dann müsse dieser Bereich durch eine andere unabhängige Revisionsinstanz geprüft werden. Trotzdem müsste das Prüfungsfeld Teil des audit universe sein.
Prüfungsplanung
Der Mehrjahresplan und der Jahresplan erläutern die zeitliche Komponente der Prüfungen. Unter Berücksichtigung der Kernprozesse der IR sollte es sich um einen dynamisch risikoorientierten Prüfungsplan handeln Der Plan wird ggfls. fortgeschrieben bzw. in einer Prozessprüfungslandkarte ergänzt. Ziel ist hierbei unter Berücksichtigung der laufenden Erkenntnisse aus begleiteten Projekten, durchgeführten Beratungen und des Informationstransfers an die IR, eine dynamische Prüfungstätigkeit zu gewährleisten, die sicherstellt, dass die Interne Revision immer zeitlich und inhaltlich risikoorientiert prüfen kann.
Entsprechend des vom Vorstand erlassenen Prüfungsplanes erfolgen die Prüfungen. Aus dem dynamisch risikoorientierten Mehrjahresprüfungsplan wird ein Prüfungszeitplan erstellt.
Daneben erfolgen unterjährig nach Bedarf Sonderprüfungen. Diese können vom Vorstand oder dem Revisionsleiter angeordnet werden. Im letzten Fall ist eine weitere Genehmigung durch die Geschäftsleitung nicht notwendig.
Der Prüfungsplan sollte prozessorientiert aufgebaut sein.
Prozessprüfungslandkarte
Eine Prozessprüfungslandkarte kann aus dem Jahresplan erstellt werden.
Hierzu gibt es keine einheitliche Methodik. Die Prozessprüfungslandkarte,
die prozessorientiert aufgebaut ist, sollte wesentliche Aspekte der Prüfungsfelder in Bezug auf
Risikomanagement und Internes Kontrollsystem enthalten. Im genossenschaftlichen Bereich könnte der Aufbau wie
folgt dargestellt sein:
- Prüfungsbereich, z.B. Steuerungsrevision, - Prüfungsfeld, z.B. IT-Management, - Betroffene Risikoarten, z.B. operationelle Risiken,
- Verantwortlicher Bereich, z.B. IT Abteilung, - Regelungen nach AT 5 der MaRisk
- Schnittstellen, -Auslagerungsmanagement, -Datenschutzmanagement
- BCM, - Kontrollprozesse in der first line of defense, z.B. Kontrollplan Netzwerksicherheit ,- Kontrollziele,
- Kontrollarten, - Kontrollprozesse in der second line of defense,z.B. ISM,- Berichtswesen, - Genutzte IT-Systeme in den Prozesen, z.B. Admintools,
- Datenquellen im Rahmen der Prüfung, - Aktuelle Anpassungsprozesse,
-Künftige neue Prüfungsfelder
Die Prozessprüfungslandkarte wird laufend fortgeschrieben und enthält wesentliche Aussagen,
die im Rahmen einer Prüfung nur noch auf Aktualität zu validieren sind.
Der Prüfungsprozess wird dadurch erleichtert.
Nachfolgend Informationen zu einzelnen Prüfungsfeldern: