Professionelle Auditbegleitung sichert vorhersehbare Prüfergebnisse ohne Überraschungen
Ob BaFin- oder SOX-Prüfer, Wirtschaftsprüfer, interne Revisoren oder Prüfer für Zertifizierungen und Rezertifizierungen – sie alle haben vermeintlich eines gemeinsam: sie suchen systematisch und strukturiert nach Fehlern, um das Unternehmen dann gnadenlos damit zu konfrontieren. Und das unter Umständen mit wesentlichen Konsequenzen für Börsenbewertung oder Kreditvergabe.
„Das raubt uns nur Zeit.“ „Wir haben doch keine Erfahrung mit den Fragestellungen der Prüfer.“ „Was wurde denn bereits in den Vorjahren geprüft und abgeliefert?“, schießt es vielen Verantwortlichen durch den Kopf, wenn eine Prüfung angekündigt wird. Und Prüfungen gibt es viele – manchmal sogar mehrere gleichzeitig zu denselben Themen.
Dabei muss eine Prüfung kein solches Schreckgespenst sein! Prüfer analysieren lediglich vorangekündigte Prozesse anhand strukturierter Fragen, eruieren unterstützende Dokumente und prüfen somit, ob die Prozesse den Anforderungen einer regulatorischen Compliance ebenso genügen wie den von Unternehmensseite vorgegebenen internen Kontrollen oder, sollte es keinen Vergleichspunkt geben, einer allgemein anerkannten Best Practice.
Häufig sind es genau diese Vergleiche der Ist-Zustände mit Best-Practice Ansätzen, welche einerseits schwer objektivierbare Mängel herausstellen, anderseits aber auch die Prüfer in den Konflikt zwischen Prüfung und Beratung bringen. Die Grenze zwischen Prüfung und Beratung ist hier fließend, denn das Einbringen von Best-Practice Ansätzen für die Prozessgestaltung ist keine Prüfung mehr, sondern eine Beratung. Eine Gratwanderung, die nur allzu oft Diskussionen nach sich zieht.
Auch eine unklare Governance mit einem nicht ausgereiften internen Kontrollsystem erschwert die Situation sowohl für die Geprüften als auch für die Prüfer unnötig.
Die Folgen: Stress, Kostenexplosionen und langwierige Diskussionen.
Best Practices für eine effiziente Auditbegleitung
Eine professionelle Prüfungsvorbereitung und -durchführung hilft, diese Hürden zu umgehen und den Prüfprozess für alle Beteiligten reibungslos zu gestalten.
Auditvorbereitung
In der Vorbereitung auf die Prüfung hilft es enorm, die zu prüfenden Themen klar abzugrenzen. Entscheidend ist: Die Prozesshoheit und die Hoheit über das Control Framework liegen beim Unternehmen, nicht bei den Prüfern.
Achten Sie zudem auf eine klare Kommunikation bezüglich der Termine und erwünschten Gesprächspartner: Lassen sich die gestellten Fragen ausschließlich businesseitig beantworten? Oder ist eine Unterstützung durch die IT sinnvoll oder sogar zwingend notwendig? Sollten möglicherweise für die Prüfungszeit gemeinsame Teams aus IT und Business gebildet werden?
Sind die IT-Systeme transparent und die dazugehörigen Informationen vorhanden und zugänglich? Oder sind die Systeme outgesourced und die Verantwortlichkeiten und Outsourcing-Modalitäten müssen erst geklärt werden? Bedenken Sie an dieser Stelle die Schnittstelle zu den Outsourcing-Anforderungen der MaRisk.
Je nach Art der Prüfung kann es sinnvoll sein, die entsprechenden Fragen bereits vorzubereiten, die entsprechenden Dokumente zu sammeln und für die Prüfer bereitzustellen. Auch die Form der Bereitstellung ist hier zu klären. Elektronisch in einer Cloud? Elektronisch, aber lokal gespeichert?
Brauchen die Dokumente einen Datumsstempel? Welchen Stichtag oder Zeitraum prüfen die Prüfer?
Auditdurchführung
Stellen Sie sicher, dass intern ein einheitliches Verständnis darüber herrscht, was den Prüfern offengelegt werden muss, wie man sich bei Fragen der Prüfer und insbesondere im Falle identifizierter Schwachstellen verhält.
Pro Team, welches mit den Prüfern zusammensitzt, sollte mindestens eine Person ein solches strukturiertes Briefing erhalten haben, welches ihn im Umgang mit solchen Fragen unterstützt. Das Erarbeiten eines unternehmensinternen Kommunikationsflyers hat sich dabei als sehr hilfreich erwiesen.
Eine proaktive Herangehensweise hilft, den Stress während der Gespräche zu reduzieren. Zur Erinnerung: Prüfer sind nicht dazu da, Fehler zu suchen, sondern die Richtigkeit Ihrer Prozesse zu prüfen und zu bestätigen. Eine proaktive Zusammenarbeit in der Darstellung der gewählten Prozesse und deren Richtigkeit erleichtert auch die Arbeit und das Verständnis der Prüfer und trägt so dazu bei, Missverständnisse zu vermeiden.
Auch, dass die Fragen der Prüfer für die Nicht-Prüfer unverständlich sind, ist keine Seltenheit. Oft erschweren unterschiedliche Denk- und Herangehensweisen an ein und dasselbe Thema die Kommunikation und Missverständnisse entstehen. Häufig erhält der Prüfer in dem Versuch, die relevanten Sachverhalte möglichst gut zu erklären, Informationen, die er gar nicht benötigt und welche nicht zur Klärung des gestellten Sachverhalts beitragen. Eine Übersetzung durch einen Experten, welcher sowohl die Business- als auch die IT- und auch die Prüfungsseite kennt, schafft hier Klarheit und Effizienz.
Kommunikation
Immer wieder erweist es sich als sinnvoll, zu jedem Thema bereits während der Prüfung die Ergebnisse, vorgefundene Schwierigkeiten, die Verfügbarkeit der notwendigen Information und andere auflaufende Fragestellungen regelmäßig zu besprechen. Je nach Kritikalität und Dauer der Prüfung kann eine solche Besprechung wöchentlich oder auch täglich eingeplant werden.
Fragestellungen, Impediments und Schwierigkeiten können so zeitnah aufgegriffen und behoben werden, aber auch positive Ergebnisse und problemlos abgeschlossene Teilprüfungen können auf diesem Weg kommuniziert werden. Es ist wichtig, dass von den Prüfern getroffene Feststellungen durch diese klar dargestellt und mit Evidenzen belegt werden. Dies gibt der geprüften Stelle die Sicherheit, dass das Richtige geprüft wurde und bildet gleichzeitig eine Basis für die Umsetzung der Verbesserungen oder notwendigen Maßnahmen.
Werden die Feststellungen nicht klar kommuniziert, ist nicht selten erst eine Analyse auf Basis der Feststellungen erforderlich, die die tatsächlichen Schwachstellen identifiziert. Durch eine klar dokumentierte Kommunikation seitens des Prüfers wird eine solche Analyse obsolet. So werden die Kosten und die Belastung der Abteilung gemindert und eine saubere Basis für die Umsetzung geschaffen.
Dadurch kann sichergestellt werden, dass Schlussbesprechungen innerhalb des geplanten Zeitrahmens abgehalten werden, bereits ein grundlegendes Einverständnis bezüglich der Feststellungen besteht und keine größeren Überraschungen auftreten.
Fazit
Auch wenn das Hinzuziehen eines externen Experten zur Auditvorbereitung und -begleitung im ersten Moment als finanzieller Mehraufwand erscheint, lassen sich dadurch letztendlich die Aufwände für die Kommunikation sowie die Umsetzung von Optimierungspotenzialen deutlich senken und böse Überraschungen im Verlauf des Audits vermeiden.