Digitalisierung der Internen Revision 12. DIIR-IT-Tagung, Frankfurt am Main, 23. Mai 2016 Fachgruppe Datenanalyse | Johannes Martin Wagner, Henning Lieder 21.09.2018

Agenda ISACA Fachgruppe Datenanalyse Herausforderung Digitalisierung Continuous Auditing: Datenanalyse weitergedacht Anwendungsbeispiele Ausblick 21.09.2018

ISACA Fachgruppe Datenanalyse 21.09.2018

1) ISACA Fachgruppe Datenanalyse Die FG Datenanalyse erarbeitet Empfehlungen zum effektiven und effizienten Einsatz der Datenanalyse Allgemeine Grundsätze und Herausforderungen der Datenanalyse Spezifische Einsatzgebiete der Datenanalyse im Prüfungsprozess Techniken und Werkzeuge der Datenanalyse Schwerpunkt: Datenanalyse im Prüfungsprozess Mitarbeit Die FG tagt 4-5 mal pro Jahr (2 mal „physisch“, 3 mal Telko) Die Mitglieder der FG sind deutschlandweit in den Bereichen IR, WP und Beratung tätig Fragen / Interesse: FG-Datenanalyse@isaca.org 21.09.2018

Herausforderung Digitalisierung 21.09.2018

2) Herausforderung Digitalisierung für die IR Herausforderungen Weitergehende Automatisierung der Prozesse und Kontrollen Stark steigendes Datenvolumen Heterogene Daten / Big Data Steigender Kostendruck Verkürzung der Prüfzyklen Steigende Qualitätsansprüche an Ergebnisse der internen Revision Zunehmende Verknüpfung zwischen interner Revision und Wirtschaftsprüfung (IDW EPS 321 Interne Revision und Abschlussprüfung) Reaktion Effizienzsteigerung der Prüfungstätigkeit Starke Nutzung von Tools für organisatorische Zwecke Automatisierung von Prüfungshandlungen Datenanalyse Continuous Auditing 21.09.2018

Continuous Auditing: Datenanalyse weitergedacht 21.09.2018

3) Continuous Auditing: Datenanalyse weitergedacht Merkmale klassischer Datenanalyse IT-gestützte Prüfungsmethodik Gewinnung und Verarbeitung prüfungsrelevanter Informationen Nutzung von Analysetechniken / Datenoperationen wie z.B. Gruppierung, Filterung, Abgleich Einmalige / regelmäßige Analyse von Daten Zeitlich verzögerte, rückwirkende Betrachtung von Prüfungsperioden (z. B. 1 Jahr) Beispiel: Analyse von Parametrisierungs-, Stamm- und Bewegungsdaten, Journal Entry Testing 21.09.2018

3) Continuous Auditing: Datenanalyse weitergedacht Was ist Continuous Auditing? Fortlaufende, oder zumindest hoch frequentierte Durchführung von Prüfungsaktivitäten durch die interne Revision Kein Tool, keine sporadische Datenanalyse, sondern: methodisches Prüfungsvorgehen Identifikation von Anomalien bzw. Abweichungen von zuvor definierten Sollzuständen mittels KPIs/KRIs Risiko-orientierte Fokussierung Vollprüfung des Prüfungsgegenstands, keine Stichproben Ermöglicht dem Prüfer ein Prüfungsurteil zu einem beliebigen Prüfungsgegenstand simultan zu oder kurz nach einem den Prüfungsgegenstand betreffenden Ereignis zu fällen Basis für weiterer Prüfungshandlungen Klare Abgrenzung von Continuous Monitoring 21.09.2018

3) Continuous Auditing: Datenanalyse weitergedacht Reifegradmodell der IR Traditional Emerging Maturing Fully Continuous Spontane Einzelprüfungen Risiko-orientierte Einzelprüfungen Risiko-orientierte Prüfungen mit gelegentl. Toolunterstützung Fortlaufende Überwachung risikobehafteter Prüfungsgebiete mit weitreichender Toolunterstützung Prüfungsumfang Stichprobe Vollprüfung Prüfungszeitpunkt Periodisch Fortlaufend Datenzugriff Auf Anfrage Fortlaufend Gering Grad der Automatisierung Hoch Zusammenarbeit zwischen IR und Management Nicht vorhanden Hohe Integration Risiko-orientierte Verknüpfung div. Prüfungsgebiete Fokussierung auf Finanzthemen Diversität 21.09.2018

3) Continuous Auditing: Datenanalyse weitergedacht Unterbereiche von Continuous Auditing Continuous Controls Monitoring Fortlaufende Prüfung von Kontrollmaßnahmen Kontrollen des internen Kontrollsystems (IKS), aber auch solche, die der Überwachung und Steuerung anderer Unternehmensfunktionen nützlich sind Continuous Risk Management and Assessment Fortlaufende Prüfungsaktivitäten, die zur Identifikation von Risiken bzw. Änderungen in der Risikowahrscheinlichkeit, -auswirkung, -intensität oder -volatilität verwendet werden Verwendung von Key Risk Indicators zur Identifikation und Bewertung von Auffälligkeiten in zu überwachenden Bereichen, Prozessen oder Systemen Continuous Data Assurance Fortlaufende Prüfung von sonstigen Daten Prüfung erfolgt primär auf Transaktions- oder Kontenebene, kann aber auch höher aggregierte Daten umfassen 21.09.2018

Anwendungsbeispiele 21.09.2018

Entwicklung und Einführung einer Continuous Data Assurance-Lösung 4) Anwendungsbeispiel: CA zur Datenqualität Projektgegenstand Entwicklung und Einführung einer Continuous Data Assurance-Lösung Standardisierte Einkaufsprozesse mit grunds. hohem Kontrollniveau Dezentrale Bereiche mit schwächerem IKS Ziel: Fortlaufende Überwachung auffälliger Vorgänge 21.09.2018

4) Anwendungsbeispiel: CA zur Datenqualität Ausgangssituation Vor Einführung CA Regelmäßige Durchführung von umfangreichen Datenanalysen (Fraud-Scan) Vorbereitung von Vor-Ort-Prüfungen durch sog. „Kreditoren-Scans“ Bedingungen für Einführung von CA Einsatz von bestehenden „Boardmitteln“ (IDEA, Excel) Keine starken Eingriffe in SAP-Umgebung (keine Installation von Komponenten) Vermeidung zusätzlicher Lizenzkosten Volle Anpassbarkeit der CA-Lösung 21.09.2018

4) Anwendungsbeispiel: CA zur Datenqualität Problemstellung Zielsetzung Dezentrale Kreditorenbuchhaltung mit niedrigerem IKS-Niveau Keine Ressourcen für weitere Kontrollhandlungen in den Fachbereichen Wiederholte Feststellungen von auffälligen Buchungen Regelmäßige Datenanalyse häufig zu spät (z.B. vierteljährlicher Rhythmus) Automatisierung der Datenbereitstellung und Datenaufbereitung Standardisierung der Analyseergebnisse Kriterienbasierte Meldung von Auffälligkeiten (Ampelsystem) Echtzeitüberwachung der Datenqualität im Einkaufsbereich 21.09.2018

4) Anwendungsbeispiel: CA zur Datenqualität Designphase Aufbau auf vorhandenem regelmäßigen Kreditorencheck Fokussierung auf Top-Risiken Identifikation und Standardisierung der Datenbasis Definition der KPI und zugehöriger Schwellwerte Festlegung von Informations- und Eskalationspfaden Auswahl des IDEA basierten Data and Risk Analytics System (DaRAS) als Analyseplattform 21.09.2018

4) Anwendungsbeispiel: CA zur Datenqualität Implementierung Automatisierung der Datenbereitstellung aus SAP mittels ABAP (Daten, Formate, Speicherorte, Frequenz) Automatisierung der Datenanalyse Automatisierung der Verdichtung von Analyseergebnissen (KPI) Template-Erstellung zur Reportaufbereitung Implementierung der Informations- und Eskalationspfade (Ticket-System) Festlegung von Frequenz und Scope 21.09.2018

4) Anwendungsbeispiel: CA zur Datenqualität Fortlaufende Überwachung Datenbereitstellung aus SAP Datenanalyse Verdichtung von Analyseergebnissen Reporterstellung und Weiterleitung Auswertung 21.09.2018

Entwicklung und Einführung einer Continuous Controls Monitoring-Lösung 4) Anwendungsbeispiel: CA zur IKS-Überwachung Projektgegenstand Entwicklung und Einführung einer Continuous Controls Monitoring-Lösung 2-Step Approach Konzeption: Definition geeigneter Kennzahlen zur Überwachung der Kontrolldurchführung Technischer Umsetzung: Digitale Abbildung zuvor definierter Kennzahlen Wesentliche Kontrollen des IT-Bereichs Change Management User Management Problem & Incident Management 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Ausgangssituation Ca. 5 Jahre vor Einbindung: Erstellung von Beschreibungen für wesentliche Geschäfts- und IT-Prozesse Einrichtung eines IKS zur Sicherstellung der Ordnungsmäßigkeit der Finanzberichterstattung Folgejahre: Reaktive Anpassung bestehender Kontrollen Einrichtung weiterer Kontrollen nach Bedarf Keine aktive Weiterentwicklung des IKSs Situation unmittelbar vor Einbindung: Geringer Reifegrad des IKSs mit vielen, zum Teil überlappenden Detailkontrollen Statisches Prüfungsvorgehen der internen Revision 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Problemstellung Zielsetzung Vielzahl ähnlicher Kontrollen (gleiche Kontrollziele, gleiches adressiertes Risiko) Hoher zeitlicher Aufwand für Kontrolldurchführung aufgrund von Vielzahl an Kontrollen und hoher Anteil analoger Tätigkeiten (z.B. Ausdrucken von Dokumenten) Zeitliche Verzug zwischen Kontrolldurchführung und Management Testing bzw. Prüfung der internen Revision Reduzierung der Kontrollanzahl, Fokussierung auf Key Controls Automatisierung von Kontrolldurchführung, Digitalisierung der Kontrolldokumentation, Stärkung des IKS-Reifegrads/Formalisierung des IKSs Echtzeitüberwachung der Kontrolldurchführung durch Management und interne Revision 21.09.2018

Incident & Problem Management 4) Anwendungsbeispiel: CA zur IKS-Überwachung 1. Konzeption KPI KPI KPI Optimierung IKS auf Basis justierter Kontrollziele, Fokussierung auf Key Controls Definition KPIs Definition von Sollwerten, (Toleranzwerten), Messintervallen, Follow-Up Maßnahmen Definition von Informationsanforderungen zur KPI-Messung Festlegung verantwortlicher Mitarbeiter und deren Tätigkeiten KPI KPI KPI KPI KPI KPI KPI C2 C4 C6 C8 C1 C3 C5 C7 C9 Change Management User Management Incident & Problem Management 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung 2. Technische Umsetzung Auswahl Plattform Stammdatenpflege (Prozesse, Risiken und Kontrollen) Technische Abbildung automatisierter Kontrollen Technische Abbildung zuvor definierter Sachverhalte für CCM (KPIs, Schwellenwerte, etc.) Durchführung Schulungen für Kontrolldurchführende, Kontrollverantwortliche, Management und Revisoren Feinjustierung von KPIs und Schwellenwerten Dashboard KPI KPI KPI KPI Control Journal Manuelle Kontrollen Automatische Kontrollen Control Manager Process Manager Risk Manager 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Control Manager 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Automatische Kontrolldurchführung 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Manuelle Kontrolldurchführung 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Control Journal 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Dashboard I 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Dashboard II 21.09.2018

4) Anwendungsbeispiel: CA zur IKS-Überwachung Ergebnisse Effizientere Gestaltung des IKS durch Verschlankung und Formalisierung Verstärkte Risikoorientierung durch Fokussierung auf Key Controls Transparenz über wesentliche Prozesse, Risiken, Kontrollen und Kontrolldurchführungen mittels digitaler Abbildung Fortlaufende Überwachungsmöglichkeiten zum Stand der Kontrolldurchführung und der Risikoabdeckung durch Management und interne Revision Fortlaufende Bereitstellung von Informationen zur flexiblen Prüfungsplanung 21.09.2018

Fazit & Ausblick 21.09.2018

5) Fazit und Ausblick Continuous Auditing lohnt sich durch Effizienteres Prüfungsvorgehen Verstärkte Risikoorientierung Erhöhte Transparenz über Prüfungsgegenstände mittels digitaler Abbildung Fortlaufende Informationsbereitstellung zur flexiblen Prüfungsplanung Einführung von Continuous Auditing Anwendung von Datenanalyse und Continuous Auditing in ausgewählten (weit entwickelten) Anwendungsgebieten Fokussierung auf Kosten-Nutzen-Aspekte Nicht nur ein Tool – sondern ein Gesamtansatz 21.09.2018

Kontaktdaten Henning Lieder Johannes Martin Wagner Diplom Wirtschaftsmathematiker CIA • CISA • CISM Geschäftsführer Tel.: +49 40 288 01-3140 Mobil: +49 151 20 333 139 Fax: +49 40 288 01-111 Email: henning.lieder@mazars.de Roever Broenner Susat Mazars GmbH & Co. KG Domstraße 15 20095 Hamburg www.mazars.de Leiter der ISACA-Fachgruppe „Datenanalyse” Mitglied des IDW FAIT M.Sc. in International Business CIA • CISA • CISM • CRMA Geschäftsführer Tel.: +49 211 749510802 Mobil: +49 175 3822320 Fax: +49 211 749510809 Email: jmwagner@businessbrothers.de Business Brothers GmbH Heresbachstr. 32 D-40223 Düsseldorf www.businessbrothers.de Mitglied der ISACA-Fachgruppe „Datenanalyse” Mitglied des DIIR-Arbeitskreises „Continuous Auditing“ 21.09.2018

Vielen Dank!