Inhaltsverzeichnis
Im heutigen digitalen Zeitalter werden externe Compliance-Audits und Zertifizierungen Dritter (z. B. SOC 2) für B2B-Kaufentscheidungen immer wichtiger. Sie bieten nicht nur eine objektive Überprüfung der Sicherheits- / Compliance-Haltung eines Anbieters durch Dritte, sondern Audits liefern auch nützliche Informationen über die Schwachstellen oder Schwächen in der internen Kontrollumgebung eines Unternehmens. Mit anderen Worten, die Ergebnisse einer formellen Prüfung können als Rezept zur Risikominderung dienen.
Obwohl formelle externe Audits ihren Platz haben, sollten sie nicht als einziges Mittel herangezogen werden, um mehr über die Sicherheitslücken Ihres Unternehmens zu erfahren. In der heutigen sich schnell entwickelnden Risikoumgebung benötigen Unternehmen eine Kombination von Methoden, um sich angemessen zu schützen. Zusätzlich zu den geplanten formellen Audits sollten Unternehmen kontinuierlich interne Audits durchführen, um Schwachstellen zu identifizieren und ihre Compliance- und Sicherheitslage zu verstehen.
Risiken nicht kontinuierlich anzugehen, ist eine gefährliche Praxis, da Organisationen fortlaufend Risiken und Bedrohungen ausgesetzt sind.
Angesichts sich schnell entwickelnder Risikoumgebungen benötigen Unternehmen eine Kombination von Methoden, um sich angemessen zu schützen. Zusätzlich zu den geplanten formellen Audits sollten Unternehmen interne Audits durchführen, um Schwachstellen zu identifizieren und ihre Compliance- und Sicherheitslage kontinuierlich zu verstehen.
Eine von Globalscape und dem Ponemon Institute durchgeführte Umfrage ergab, dass Unternehmen, die häufig Compliance-Audits durchführen, ihre Compliance-Kosten um durchschnittlich 2,86 Millionen US-Dollar senken. Auf der anderen Seite ergab die Umfrage, dass Unternehmen, die überhaupt keine Compliance-Audits durchführen, die höchsten Compliance-Kosten haben.
Die Durchführung interner Audits ermöglicht es Ihrem Unternehmen, die Lücken / Schwachstellen in Ihrer internen Kontrollumgebung zu verstehen — so können Sie diese Lücken schließen, bevor externe Auditoren in Ihrem Büro erscheinen, und haben die Gewissheit, dass Sie diese externe Prüfung bestehen werden.
In diesem Artikel besprechen wir die kritischen Unterschiede zwischen internen und externen Audits, was interne Auditoren tun, die verschiedenen Arten von internen Audits, die Ihre Organisation durchführen kann, sowie die wichtigsten Schritte zur Durchführung einer erfolgreichen internen Revision.
- Rolle der internen Revision
- Interne vs. externe Audits
- Rolle des internen Auditors & Verantwortlichkeiten
- Evaluierung der Kontrollen
- Bewertung von Risiken
- Betrieb analysieren
- Zusammenarbeit mit anderen Assurance-Anbietern
- 5 Arten von internen Audits
- IT-Compliance-Audit
- IT-Audit
- Finanzprüfung
- Betriebsprüfung
- Investigatives Audit
- Wie ein internes Audit durchgeführt wird
- Planung
- Feldarbeit (auch bekannt als „Beweiserhebung und -prüfung“)
- Berichterstattung
- Follow-up
- Was die interne Revision nicht tun sollte
- Hyperproof macht interne & Externe Audits effizienter
Rolle der internen Revision
Mitarbeiter des Unternehmens führen interne Audits durch, um die Gesamtrisiken für Compliance und Sicherheit zu ermitteln und festzustellen, ob das Unternehmen die internen Richtlinien befolgt. Interne Audits sollten das ganze Jahr über stattfinden. Managementteams können die aus internen Audits generierten Berichte verwenden, um Bereiche zu identifizieren, die verbessert werden müssen. Interne Audits messen Unternehmensziele gegen Output und strategische Risiken.
Interne vs. externe Audits
Interne und externe Audits haben unterschiedliche Zwecke, aber letztendlich dienen sie beide demselben Zweck: Stellen Sie sicher, dass Ihr Unternehmen Vorschriften sowie interne / externe Standards einhält, damit Sie Geschäftsunterbrechungen und Bußgelder, Strafen oder Reputationsschäden vermeiden können, die auf Compliance-Verstöße zurückzuführen sind.
Externe Audits sind formelle Audits, die von einem unabhängigen Dritten durchgeführt werden. Ein externes Audit misst die Prozesse und Kontrollen des Unternehmens zu einem bestimmten Zeitpunkt anhand externer Standards wie ISO 27001 oder NIST 800-53. Sie können aber auch obligatorisch sein, wenn ein Unternehmen eine Datenschutzverletzung oder ein anderes Sicherheitsereignis hat, das die Nichteinhaltung eines gesetzlich vorgeschriebenen Standards darstellt.
Andererseits werden interne Audits von geschulten Mitarbeitern innerhalb Ihrer Organisation durchgeführt. Der Umfang einer internen Revision kann ziemlich eng oder relativ breit sein.
Rolle des internen Auditors & Verantwortlichkeiten
Interne Auditoren haben eine einzigartige Rolle: sie müssen absolut objektiv über die Prozesse und Teams sein, die sie bewerten, und sie können nicht direkt mit den Abteilungen verbunden sein, die sie auditieren. Interne Auditoren berichten in der Regel direkt an die Geschäftsleitung oder Vorstandsmitglieder. Ihre Aufgabe ist es, Abteilungen oder Geschäftsfunktionen objektiv zu bewerten und zu beurteilen, wie sie die festgelegten Standards erfüllen. Es ist wichtig, sich daran zu erinnern, dass die Aufgabe eines Auditors letztendlich darin besteht, dem Unternehmen zu helfen, und sein Feedback informiert darüber, wie ein stärkeres Unternehmen aufgebaut werden kann.
Das Institute of Internal Auditors (IIA) ist die größte und anerkannteste Vereinigung, die Standards für interne Auditoren setzt. Sie bieten Zertifizierungen in verschiedenen Bereichen der internen Revision an und haben die Standards & Guidance – International Professional Practices Framework entwickelt, die internen Auditoren obligatorische und empfohlene Anleitungen zu ihrer Rolle und der Mission interner Auditoren geben.
Die Art der Aktivitäten, die ein Auditor ausführt, hängt etwas davon ab, welche Art von Audit er durchführt. Dennoch gibt es einige Aktivitäten, die für jede Art von interner Revision von entscheidender Bedeutung sind.
Evaluierung der Kontrollen
Unabhängig davon, ob ein Wirtschaftsprüfer den Prozess der Rechnungslegung für Jahresabschlussfinanzen oder die Einhaltung der CCPA durch die Marketingabteilung bewertet, überprüft und bewertet er die vorhandenen Kontrollen, die Risiken mindern und unerwünschte Vorfälle verhindern sollen. Fast jeder Geschäftsprozess muss eine Art Kontrolle und Rechenschaftspflicht haben, um sicherzustellen, dass es keine Möglichkeiten gibt, Ecken zu schneiden oder Probleme zu verursachen. Auditoren betrachten sowohl die dokumentierten Kontrollen als auch die tatsächlich implementierten Kontrollen, um sicherzustellen, dass sie ausgeführt werden und wie beabsichtigt funktionieren.
Bewertung von Risiken
Während das Management auf jeder Ebene sein einzigartiges Wissen nutzen muss, um die Risiken für sein Team und die größere Organisation zu identifizieren, ist es die Aufgabe eines Auditors, diese Risiken zu bewerten, zukünftige Probleme mit diesen Risiken zu antizipieren und Wege zu finden, diese Risiken für die Organisation zu kontrollieren oder zu beseitigen.
Betrieb analysieren
Interne Auditoren müssen die strategischen Ziele eines Unternehmens und die Funktionsweise auf taktischer Ebene verstehen. Sie arbeiten mit Managern auf niedrigeren Ebenen zusammen, analysieren Operationen und bestimmen, ob diese Operationen in die strategischen Ziele des Unternehmens passen.
Zusammenarbeit mit anderen Assurance-Anbietern
Interne Auditoren arbeiten mit Risikomanagement-Experten, Compliance-Beauftragten und anderen zusammen, um Führungskräften in ihrem Unternehmen zu versichern, dass Risiken effektiv und effizient gemanagt werden. Während viele andere Assurance-Provider-Rollen Prozesse implementieren und Kontrollen entwickeln, um Risiken zu mindern, bewerten interne Auditoren diese Kontrollen und Prozesse, um sicherzustellen, dass sie funktionieren und die Standards erfüllen, die sie benötigen, unabhängig davon, ob diese intern oder extern festgelegt sind.
5 Arten von internen Audits
Es gibt verschiedene Arten von internen Audits, von denen jede einen Mehrwert bietet. Wenn Sie gerade erst mit der Entwicklung Ihrer internen Auditfunktion beginnen, müssen Sie nicht alle auf einmal ausführen. Es ist jedoch eine gute Idee, diese Art von internen Audits im Auge zu behalten, da Sie jeweils einen anderen Teil Ihrer Geschäftsabläufe optimieren können.
IT-Compliance-Audit
Ein internes IT-Compliance-Audit überprüft die Datensicherheitspraktiken eines Unternehmens, um festzustellen, ob sie den erforderlichen oder ausgewählten Datensicherheitsrahmen und -standards sowie den gesetzlichen Anforderungen eines Unternehmens in Bezug auf Datensicherheit und Datenschutz entsprechen. Ein internes Audit kann als Testlauf verwendet werden, um zu sehen, wie sich das Unternehmen in einem formellen externen Audit verhalten würde. Da die Folgen eines Verstoßes gegen die Compliance für ein Unternehmen kostspielig sein können, sollten Compliance-Audits häufig durchgeführt werden. Weniger risikobehaftete, weniger komplexe Prozesse können ein- oder zweimal jährlich auditiert werden, während kompliziertere und risikoreichere Prozesse häufiger (z. B. wöchentlich) auditiert werden sollten.
IT-Audit
Ein IT-Audit konzentriert sich auf informationstechnische Kontrollen und Prozesse. Dies hat zwar einige Überschneidungen mit einem Compliance-Audit, Es gibt jedoch einige IT-Funktionen, die nicht in Compliance-Audits enthalten sind und dennoch bewertet werden sollten. Neben der Sicherstellung, dass die vorhandenen IT-Kontrollen Informationen schützen, überprüft ein internes IT-Audit auch, ob IT-Prozesse und -Assets (Hardware und Software) effizient arbeiten. Im Gegensatz zu einem Compliance-Audit werden IT-Prozesse in einem IT-Audit nicht mit einem externen Standard verglichen. Stattdessen wird geprüft, ob sie ihren Zweck erfüllen und dem Unternehmen helfen, seine Ziele zu erreichen.
Finanzprüfung
Eine Finanzprüfung untersucht die Finanzen eines Unternehmens, um sicherzustellen, dass die Finanzaktivitäten korrekt erfasst und die richtigen Buchhaltungspraktiken angewendet werden. Es ist zwingend notwendig, dass diese Art von Audits von jemandem unparteiisch und getrennt von den Buchhaltungs- und Finanzfunktionen des Unternehmens durchgeführt werden; Wenn sie etwas Illegales oder Betrügerisches finden, müssen sie in der Lage sein, mit ihren Bedenken sofort zum Management zu gehen.
Betriebsprüfung
Eine Betriebsprüfung konzentriert sich auf die Leistung einer Abteilung oder Geschäftsfunktion. Der Auditor wird die Prozesse und Ergebnisse der Abteilung betrachten und bewerten, wie sie zu den wichtigsten Zielen des Unternehmens beitragen. Der Prüfer wird das Personal, die Verwaltung der Vermögenswerte in der Abteilung, die Ergebnisse, die Produktivität und die Organisationsstruktur berücksichtigen.
Investigatives Audit
Ein investigatives Audit erfolgt als Reaktion auf einen Bericht oder eine Beschwerde über verdächtiges Verhalten eines Mitarbeiters oder Teams innerhalb des Unternehmens. In diesem Fall würde die Prüfung die Ausgabe eines Mitarbeiters oder einer Abteilung umfassen. Dann, wenn der Bericht glaubwürdig ist, würden sie das Ausmaß der Verluste bewerten, bestimmen, welche Schwächen es erlaubt haben, und Empfehlungen dafür geben, was getan werden muss, um zu verhindern, dass es in Zukunft wieder passiert.
Wie ein internes Audit durchgeführt wird
Da jedes Unternehmen anders ist und verschiedene Arten von Audits verschiedene Schritte und Überlegungen erfordern, gibt es keinen einzigen Audit-Prozess, der für jedes Audit in jedem Unternehmen funktioniert. Sie können jedoch eine grundlegende Formel für Ihre Audits befolgen, um sicherzustellen, dass Sie alle erforderlichen Informationen sammeln und das Gelernte effektiv nutzen. Dies sind die vier Phasen in jeder erfolgreichen internen Revision:
Planung
Vor Beginn einer Prüfung sollte das interne Auditteam Umfang und Ziel der Prüfung festlegen. Die Annäherung an ein Audit ohne ein klar definiertes Ziel führt zu einem Scope Creep, wenn der Umfang des Projekts weiter wächst und zusätzliche Probleme oder Prozesse umfasst, auf die das Team stößt. Wenn Sie vor Beginn entscheiden, was in den Umfang Ihres Audits fällt und was nicht, kann Ihr Team effizient arbeiten und Entscheidungen darüber treffen, was einfach aufgenommen werden soll.
In dieser Phase bestimmen Sie auch, wer die Stakeholder sind, welche Prozessverantwortlichen an der Prüfung beteiligt sein werden, legen einen Zeitplan fest und sehen sich frühere Prüfungen an (falls vorhanden), um festzustellen, ob es Probleme gibt, auf die Sie vorbereitet sein sollten. Sie sollten diese Planungsphase mit einem dokumentierten Auditplan verlassen, der Sie bei der Durchführung des Audits unterstützt.
Um einen soliden Prüfungsplan zu erstellen, sollten Sie im Allgemeinen einige Elemente berücksichtigen:
- Bestehende Regelungen: Das Verständnis der regulatorischen Anforderungen der von Ihnen zu prüfenden Bereiche ist für die Durchführung eines effektiven Audits von entscheidender Bedeutung.
- Bedenken der Mitarbeiter: Wenn Mitarbeiter zuvor Bedenken zu bestimmten Prozessen geäußert haben, sollten Sie Fragen in Ihren Prüfungsplan aufnehmen, um die Probleme zu untersuchen.
- Erforderliche Nachweise zum Testen der Kontrollen: Sie sollten überlegen, welche Arten von Nachweisen Sie sammeln müssen, um die Kontrollen im Rahmen des Audits zu testen.
Feldarbeit (auch bekannt als „Beweiserhebung und -prüfung“)
Feldarbeit umfasst normalerweise Interviews mit Prozessverantwortlichen, damit Sie den Prozess und die Kontrollen verstehen, die Prozessdokumentation überprüfen, die derzeit für den Prozess geltenden Kontrollen testen und Ihre Ergebnisse und Empfehlungen dokumentieren können.
Während dieses Schritts sollten Sie alle verfügbaren Daten über den zu prüfenden Prozess überprüfen. Daten, die vor Ihrem Audit generiert wurden, sollten Ihnen einen ungefilterten Einblick geben, wie der Prozess funktioniert und ob es Diskrepanzen zwischen dem, was der Interviewte Ihnen sagt, und der Realität gibt. Es wird Ihnen möglicherweise auch ein Backup für Ihre Empfehlungen geben, wenn Sie Änderungen präsentieren, von denen Sie glauben, dass Sie dem oberen Management vorgenommen werden sollten.
Berichterstattung
Sobald Sie Ihre Feldarbeit abgeschlossen haben, werden Sie Ihre Ergebnisse und Empfehlungen in einem Auditbericht zusammenstellen. Ein Auditbericht fasst den Auditplan zusammen, beschreibt Ihre Ergebnisse – insbesondere das, was Sie als nicht konform mit internen Standards oder externen Anforderungen befunden haben — und diskutiert Ihre Empfehlungen.
Denken Sie daran, dass das Ziel einer internen Revision darin besteht, Probleme zu identifizieren und einen Plan zur Verbesserung von Prozessen oder Funktionen zu erstellen. Im Auditbericht geht es nicht darum, Schuld zuzuweisen oder mit dem Finger zu zeigen; Es geht darum, zu identifizieren, wo Prozesse nicht funktionieren, welche Konsequenzen dies hat und wie diese Probleme behoben werden können. Identifizierte Probleme sollten ernst genommen und nicht minimiert oder erklärt werden. Der Prüfungsbericht sollte letztendlich die Stärken des Unternehmens aufzeigen und zeigen, wie diese in der Prüfung festgestellten Probleme lösen können.
Follow-up
Die letzte Phase eines Audits besteht darin, die Empfehlungen zu verfolgen, um die Umsetzung sicherzustellen und wie Probleme gelöst wurden. Diese Folgemaßnahmen sollten zusammen mit den übrigen Prüfungsinformationen aufgezeichnet werden, die bei künftigen Prüfungen zu berücksichtigen sind.
Was die interne Revision nicht tun sollte
Interne Auditoren sollten die Kontrollen — die Richtlinien, Verfahren, Prozesse und technischen Komponenten, die in ihrer Organisation eingeführt wurden – nicht entwerfen oder implementieren. Ihre Aufgabe ist es, die Kontrollen der Betriebsteams (z. B. Engineering, Vertrieb, Personal, Finanzen usw.) objektiv zu bewerten.) festgelegt haben, um festzustellen, ob die Steuerungskonzepte für das beabsichtigte Ziel der Kontrollen geeignet sind, ob die Kontrollen wirksam durchgeführt wurden und ob die Kontrollen einheitlich durchgeführt wurden.
Hyperproof macht interne & Externe Audits effizienter
Hyperproof reduziert den administrativen Aufwand in typischen Audit-Prozessen. Tatsächlich wurde die Anwendung speziell entwickelt, um internen Auditoren und Compliance-Experten dabei zu helfen, die Compliance-Nachweise zu sammeln und zu verwalten, die sie überprüfen müssen, um zu verstehen und zu überprüfen, wie gut aktuelle Prozesse funktionieren und was nicht.
Hyperproof kann als zentrales Repository für alle Compliance-Anforderungen, Risikobewertungen, Kontrollen (zusammen mit ihrer Beschreibung, ihrem Eigentümer) und Nachweise eines Unternehmens dienen. In Hyperproof ist es für einen internen Prüfer einfach, Anforderungen an Kontrollbediener und Geschäftsprozessverantwortliche in einer Organisation zu stellen, um Beweise vorzulegen, die sie testen müssen. Kontrollinhaber können direkt in Hyperproof kommen, um einen Nachweis für die Kontrollen zu erbringen, für die sie verantwortlich sind, und diese Informationen sind mit einer bestimmten Anforderung in Ihrem Prüfplan verknüpft.
Anstatt E-Mails und manuelle Kalendereinladungen an Kollegen zu senden, um sie daran zu erinnern, Beweise zu überprüfen oder neue Beweise einzureichen, können interne Prüfer Hyperproof verwenden, um Aufgaben mit Fälligkeitsterminen und Erinnerungen auszugeben. Dann werden die Kontrolleure automatisch benachrichtigt, wenn es an der Zeit ist, neue Beweise zu überprüfen und einzureichen.
Darüber hinaus können interne Auditoren Hyperproof so konfigurieren, dass aus vielen Geschäftsanwendungen und Entwicklertools (z. B. Pull Requests und Genehmigungen von GitHub) automatisch Nachweise für die Wirksamkeit bestimmter Kontrollen extrahiert werden. Auf diese Weise können sich interne Auditoren darauf konzentrieren, die Beweise zu testen, anstatt viel Zeit damit zu verbringen, nur die Daten zu sammeln.
Auch die Kollegen in den Business Units werden froh sein, dass sie nicht mehr so oft auf Audit-Anfragen reagieren müssen. Sobald ein internes Audit- oder Compliance-Team das Gefühl hat, auf ein externes Audit vorbereitet zu sein, kann es seine Arbeit direkt in Hyperproof mit dem externen Auditor „teilen“ und nur die Informationen verfügbar machen, die es teilen möchte. Um mehr über Hyperproof zu erfahren oder eine Demo aller Funktionen zu sehen, besuchen Sie Hyperproof.io heute.
