In diesem Beitrag sollen die Herausforderungen, die dieses unsichere Umfeld für die organisatorischen Kontrollumgebungen mit sich bringt, thematisiert sowie die neu definierte Rolle der Internen Revision im Zusammenhang mit der Agenda der Informationstechnologie (IT) in Unternehmen vorgestellt werden.
Das IT-Management reagiert täglich auf Forderungen und außerplanmäßige Ereignisse innerhalb des Unternehmens, was die Risikowahrscheinlichkeit erhöhen kann. Hierfür gibt es folgende Beispiele:
- IT-Abteilungen setzen neue Kollaborationstools umgehend ein, wodurch internen Kontrollen möglicherweise ausgewichen wird
- Ungeplante Änderungen werden oft durch einen Notfall-Änderungsprozess umgesetzt, um deren Freigabe zu beschleunigen
- Organisationen suchen nach systematischen Wegen zur Durchführung manueller Kontrollen, die nicht aus der Ferne durchgeführt werden können
- Mitarbeiter arbeiten möglicherweise so, dass Datenschutzstandards und -Vorschriften gefährdet sein könnten (z. B. Drucken sensibler Daten, Weiterleitung von Firmendaten an persönliche E-Mails)
- Regeln zur Beschaffung von Software (z. B. SAAS-Lösungen) und Hardware (z. B. Monitore, Laptop, Peripheriegeräte) können gelockert werden
- IT-Teams konzentrieren sich größtenteils auf die Bereitstellung der Systemverfügbarkeit und die Unterstützung der neuen Arbeitsumgebung, sodass die Kontrollausführung möglicherweise an Priorität verliert
- Strategische Projekte werden pausiert, da sich IT-Teams auf die Unterstützung der Belegschaft und die Umsetzung von Telearbeit konzentrieren
- Kleine Änderungen, wie beispielsweise das Ersetzen physischer Unterschriften durch digitale, schaffen zusätzliche Herausforderungen und erhöhen das Risiko eines Kontrollversagens
- Zugriffsberechtigungen müssen möglicherweise häufiger geändert werden; da es sein kann, dass ein zusätzlicher Zugang vorübergehend gewährt werden muss, um ungeplante Prozesse unterstützen zu können
Auch wenn die Risiken grundsätzlich nicht neu sind, so manifestieren sie sich doch sowohl auf unterschiedliche Weise, als auch mit erhöhter Geschwindigkeit und bewirken Veränderungen im Risikoprofil der Organisation:
- Ein erhöhtes Risiko durch den Einsatz von Tools und Technologien, die nicht auf die Sicherheitsstandards der Organisation abgestimmt sind
- Das Cyberrisiko wird erhöht, da Cyberkriminelle in der Zeit aktiver sein können, in der interne Kontrollsysteme möglicherweise geschwächt sind
- Datenverlust und/oder Datenschutzrisiken können zunehmen
- Kontrollen können umgangen oder gelockert werden, um neuen Arbeitsweisen zu ermöglichen
- Die Ausführung der Kontrolle könnte an Priorität verlieren, da sich IT-Teams auf die Systemverfügbarkeit und die Unterstützung der neuen Arbeitsumgebung konzentrieren
- Das Betrugsrisiko kann mit der Lockerung der Kontrollen zunehmen und sich weiter ausbreiten
- Prüfungsaktivitäten werden nachrangig behandelt, was die betrieblichen und finanziellen Risiken erhöht.
Dieses sich rasch verändernde Umfeld stellt eine große Herausforderung für die Interne Revision dar. Führungskräfte in Schlüsselpositionen sind mit der Unterstützung des laufenden Geschäftsbetriebs beschäftigt, was bedeutet, dass weniger Zeit für die Steuerung der Audit-Tätigkeiten zur Verfügung steht. Die Interne Revision muss in diesen unsicheren Zeiten weiterhin Sicherheit gewährleisten, sodass Risiken definiert werden können und Kontrollen wirksam bleiben.
Die Interne Revision sollte folgende Aktivitäten in Betracht ziehen, um in diesen Zeiten wirksam und relevant zu bleiben:
- Tägliche Zusammenarbeit mit dem Management, um aktuelle Prioritäten und Maßnahmen zu diskutieren und zu verstehen
- Bereitschaft, weniger traditionelle Aktivitäten für Revisionsressourcen in Betracht zu ziehen, um Geschäftsvorgänge zu unterstützen und Aufgaben auszuführen, die normalerweise von anderen Services übernommen werden
- Bieten Sie bei größeren Änderungen und Abweichungen von Plänen praktische Lösungen für das IT-Management an und formulieren Sie Möglichkeiten zur Einbettung von Kontrollen in neue Prozesse. Berücksichtigen Sie kurzfristige, vor- und nachgelagerte Evaluierungen der Releases bedeutender Änderungen
- Stärkere Konzentration auf Hochrisikobereiche, einschließlich Bereiche mit erhöhtem Betrugsrisiko und regulatorischen Risiken (Zahlungen, Abhängigkeit von Dienstleistern, Datenschutz, Lieferantenmanagement, privilegierte Zugänge)
- Bereitstellung neuer Arbeitsmethoden, Einsatz von Werkzeugen zur Zusammenarbeit, kürzere Bearbeitungszeiten bei Dokumentationsanfragen
- Analysieren und verstehen Sie, wie die Organisation eine effektive Sicherheitshaltung aufrechterhalten kann und welche Schlüsseländerungen an der bisherigen Strategie vorgenommen werden
- Nehmen Sie eine überblickende und reflektierende Perspektive ein. Während viele Führungskräfte ihren Fokus daraufsetzen müssen, das Geschäft am Laufen zu halten, können die Internen Revisoren einen Schritt zurücktreten und und das Funktionieren des Unternehmens aus einer objektiven Position betrachten
- Protokollierung aller an den IT-Kontrollen vorgenommenen Änderungen, sodass die aktuelle Kontrollumgebung unter COVID-19 bewertet wird und für interne und externe Interessengruppen nachvollziehbar ist, damit der Übergang zurück zum "Business as usual" so nahtlos wie möglich erfolgt.
Wie das Unternehmen muss auch die Interne Revision ihre Zusammenarbeit mit dem Management abstimmen und sich gleichzeitig auf ihre Aufgabe konzentrieren, dem Prüfungsausschuss und dem Management unabhängige und objektive Sicherheit zu gewährleisten. In vielerlei Hinsicht kann die Interne Revision in diesen Zeiten wirkungsvoller denn je sein, um das Unternehmen zu unterstützen und ihre Rolle als strategische Funktion, als Partner des Managements und als entscheidend für den Betrieb des Unternehmens zu demonstrieren.
Einige oder alle der hier beschriebenen Dienstleistungen sind für KPMG-Prüfungskunden und ihre Tochtergesellschaften oder verbundene Unternehmen möglicherweise nicht zutreffend.
Ihre Ansprechperson
Luisa v. Esterházy
Partner, Risk & Compliance Services
KPMG AG Wirtschaftsprüfungsgesellschaft
So kontaktieren Sie uns
- KPMG-Standorte finden kpmg.findOfficeLocations
- kpmg.emailUs
- Social Media @ KPMG kpmg.socialMedia