Prüfungsuniversum

Aktuelles01.10.2020

Die Seite wurde neu gestaltet. Unter diesem Punkt wird künftig auf Neuerungen verwiesen.

audit universe

Das Prüfungsuniversum bzw. audit universe stellt die Prüfungsbereiche einer Internen Revision dar. Letztlich hat sie alle Prüfungsbereiche zu umfassen. Dürfen einzelne Bereiche durch die Interne Revision nicht geprüft werden kann dies als bedenklich angesehen werden. Ein Grund wäre ein möglicher Interessenskonflikt. Dann müsse dieser Bereich durch eine andere unabhängige Revisionsinstanz geprüft werden. Trotzdem müsste das Prüfungsfeld Teil des audit universe sein.

Prüfungsplanung

Der Mehrjahresplan und der Jahresplan erläutern die zeitliche Komponente der Prüfungen. Unter Berücksichtigung der Kernprozesse der IR sollte es sich um einen dynamisch risikoorientierten Prüfungsplan handeln Der Plan wird ggfls. fortgeschrieben bzw. in einer Prozessprüfungslandkarte ergänzt. Ziel ist hierbei unter Berücksichtigung der laufenden Erkenntnisse aus begleiteten Projekten, durchgeführten Beratungen und des Informationstransfers an die IR, eine dynamische Prüfungstätigkeit zu gewährleisten, die sicherstellt, dass die Interne Revision immer zeitlich und inhaltlich risikoorientiert prüfen kann. Entsprechend des vom Vorstand erlassenen Prüfungsplanes erfolgen die Prüfungen. Aus dem dynamisch risikoorientierten Mehrjahresprüfungsplan wird ein Prüfungszeitplan erstellt. Daneben erfolgen unterjährig nach Bedarf Sonderprüfungen. Diese können vom Vorstand oder dem Revisionsleiter angeordnet werden. Im letzten Fall ist eine weitere Genehmigung durch die Geschäftsleitung nicht notwendig. Der Prüfungsplan sollte prozessorientiert aufgebaut sein.

Prozessprüfungslandkarte

Eine Prozessprüfungslandkarte kann aus dem Jahresplan erstellt werden. Hierzu gibt es keine einheitliche Methodik. Die Prozessprüfungslandkarte, die prozessorientiert aufgebaut ist, sollte wesentliche Aspekte der Prüfungsfelder in Bezug auf Risikomanagement und Internes Kontrollsystem enthalten. Im genossenschaftlichen Bereich könnte der Aufbau wie folgt dargestellt sein:

- Prüfungsbereich, z.B. Steuerungsrevision
- Prüfungsfeld, z.B. IT-Management
- Betroffene Risikoarten, z.B. operationelle Risiken
- Verantwortlicher Bereich, z.B. IT Abteilung
- Regelungen nach AT 5 der MaRisk
- Schnittstellen
-Auslagerungsmanagement
-Datenschutzmanagement
- BCM - Kontrollprozesse in der first line of defense, z.B. Kontrollplan Netzwerksicherheit
- Kontrollziele
- Kontrollarten
- Kontrollproze
sse in der second line of defense,z.B. ISM
- Berichtswesen - Genutzte IT-Systeme in den Prozesen, z.B. Admintools
- Datenquellen im Rahmen der Prüfung
- Aktuelle Anpassungsprozesse
-Künftige neue Prüfungsfelder

Die Prozessprüfungslandkarte wird laufend fortgeschrieben und enthält wesentliche Aussagen, die im Rahmen einer Prüfung nur noch auf Aktualität zu validieren sind. Der Prüfungsprozess wird dadurch erleichtert.