Wie genau lässt sich eine agilere, technikorientierte Auditfunktion aufbauen? Welche neuartigen Prüfungstechnologien sind hierzu erforderlich? Auf welche Weise wirken sich diese auf Prüfungspläne und Auditaktivitäten aus? Und wie ist es um die Governance in dieser schönen neuen Welt der Risikoabsicherung bestellt?

Prüfungsleiter müssen erkennen, dass bessere Analyseinstrumente, robotergesteuerte Prozessautomatisierung (RPA) und künstliche Intelligenz (KI) unverzichtbare Technologien sind. Die Revolution, die sich am Horizont abzeichnet, ist transformativ: Die Auditfunktionen werden ganz neue Aufgaben bewältigen können.

Nach dem Umsetzen dieser Innovationen in die Praxis werden die Prüfungsleiter an der Spitze von wesentlich agileren und reaktionsfähigeren Auditfunktionen stehen. Somit wird die Einführung einer hochentwickelten Risikoabsicherung unterstützt, die von Vorständen und C-Level-Führungskräften gefordert wird. Interne Auditfunktionen werden in der Lage sein, Mehrwert für das gesamte Unternehmen zu schaffen.

Wie sieht jedoch der Fahrplan aus, um eine solche technikorientierte Auditfunktion zu erreichen?

Notwendige technologische Veränderungen

Zunächst müssen sich die Auditfunktionen von den zeitaufwändigen manuellen Konzepten für SOX-Compliance und Kontrolltests verabschieden und stattdessen automatisierte Überwachung einsetzen. Aber die Forschung zeigt, dass dies nicht so einfach ist. Eine Umfrage von Protiviti unter mehr als 1.100 Audit-Führungskräften ergab, dass die Zahl der für die Einhaltung der SOX-Bestimmungen aufgewendeten Stunden im Jahr 2017 um mehr als 10% gestiegen ist.

Teilweise ist dies auf spezifische Herausforderungen bei der Finanzberichterstattung zurückzuführen, wie z.B. durch die Bilanzierungsvorschriften für den Ertragsausweis. Zu einem anderen Teil liegt das an organisatorischen Schwierigkeiten wie der Integration bei Fusionen oder ausgelagerten Geschäftsprozessen. Eine weitere Ursache sind Prüfungsgesellschaften, die unter Druck stehen, kritisch zu prüfen und daher zusätzliche Daten verlangen.

Die erforderlichen Technologien – robotergesteuerte Prozessautomatisierung (RPA), modernste Analysen, Datenvisualisierungen, maschinelles Lernen – sind definitiv keine Geheimnisse mehr. Ihre Annahmekurve ist jedoch immer noch relativ niedrig. Laut der Umfrage von Protiviti verwenden 11% der Befragten RPA, 8% setzen modernste Analysen und Datenvisualisierung ein und lediglich 2% nutzen maschinelles Lernen.

Das bedeutet, es besteht enormes künftiges Potenzial für interne Auditfunktionen, ihre Fähigkeiten im Hinblick auf die Risikoabsicherung zu transformieren. Tatsächlich ist aber noch eine Menge Vorarbeit zu leisten, um die Grundlagen dafür zu schaffen.

Wenn wir beispielsweise eine Welt mit vielfältigen Datenanalysen aufbauen wollen, kommt einer stabilen Daten-Governance entscheidende Bedeutung zu. Prüfungsleiter müssen mit Blick auf die erste und zweite Verteidigungslinie gemeinsam mit den Geschäftsprozessverantwortlichen definieren, welche Daten in einem digitalen Geschäftsprozess erstellt werden.

Ebenso müssen Prüfungsleiter zusammen mit den einzelnen Geschäftsbereichen erarbeiten, wie sich die Extraktion und Migration von unternehmensweiten Daten aus Business-Systemen in die bevorzugten Analyse- oder RPA-Tools automatisieren lassen.

Veränderungen bei Prüfungsteams

Die Akzeptanz der neuen Technologien ist im Allgemeinen deshalb gering, weil Prüfungsteams nicht wissen, wie sie mit den Tools umgehen sollen. Die Möglichkeiten dieser Technologien sind spektakulär – aber wie können Prüfungsteams, die aus realen Menschen bestehen und reale Risiken überwachen, diese voll ausschöpfen?

Hierzu sind eine durchdachte Planung und schrittweise umzusetzende Veränderungen erforderlich. Prüfungsleiter müssen Menschen mit dem richtigen Fachwissen an einen Tisch bringen: Datenanalysten, Benutzer von Geschäftsprozessen und Cybersicherheitsexperten. Die daraus resultierenden Erkenntnisse werden dann in zuverlässige Prüfungspraktiken umgesetzt, welche die Absicherung für den Vorstand gewährleisten.

Wenn solche Anstrengungen aber überstürzt werden, können alle möglichen Fehler auftreten. Beispielsweise könnte ein Geschäftsrisiko missverstanden werden und dies zu einem automatisierten Prozess führen, der nicht die richtigen Daten generiert. Darin liegt die grundlegende Herausforderung: Diese Technologien arbeiten mit enormer Geschwindigkeit, egal, von welchem Ausgangspunkt aus man sie einsetzt. Daher ist es von entscheidender Bedeutung, die relevanten Risiken und Ziele zu identifizieren und mithilfe dieser Technologien die bestmöglichen Prüfungsverfahren zu entwickeln.

Veränderungen in der Governance

Die Frage der Zusammenführung der richtigen Talente und Technologien mit dem Ziel einer agileren Risikoabsicherung wirft die nächste Herausforderung auf, die Prüfungsleiter bedenken müssen.

Wer leitet all diese Veränderungen ein? Wer erklärt die neuen Möglichkeiten der Risikoabsicherung für zuverlässig? Das ist zurzeit noch nicht bekannt. Beispielsweise halten Funktionen wie Datenanalyse, RPA und maschinelles Lernen mehrere Vorteile für GRC-Experten bereit. Die Verbreitung dieser Technologien beginnt nun langsam. Jedoch gibt es bisher noch keine Standards, wie man Sicherheit für die Technologien selbst erlangen kann.

Auf welche Weise könnte etwa ein externer Prüfer von der Effektivität einer neuen Überwachungslösung profitieren? Wie würde er den Quellcode prüfen? Wie eigene Tests zu Lasten des Kunden durchführen? Die eigenen KI- und Visualisierungslösungen anwenden? Und was tun, wenn seine KI und die des Kunden zu unterschiedlichen Ergebnissen kommen?

Bisher hat der Berufsstand der Wirtschaftsprüfer noch keine eindeutigen Antworten auf diese Fragen. Das Public Company Accounting Oversight Board (PCAOB) untersucht, ob für solche Fälle ein Prüfungsstandard notwendig ist. Wann jedoch ein solcher Standard einsatzbereit sein könnte, ist unklar.

Daher sollten Prüfungsleiter überlegen, wie sie diese Fragen sowohl mit externen Prüfern als auch mit C-Level-Führungskräften, welche die Investitionen in neue Prüfungstechnologie genehmigen, sowie den Kollegen in den Geschäftsbereichen, die enger mit den geschaffenen Mechanismen der Risikoabsicherung arbeiten werden, klären.

Betrachten wir zwei Statistiken aus dem PWC-Bericht zum Stand der Internen Revision 2018. Hier gaben 53 % der Führungskräfte im Auditbereich an, dass sie Dashboards verwenden. 33 % sagten, dass sie Dashboards zusammen mit anderen Geschäftsfunktionen nutzen. Dieselben Befragten gaben auch an, dass der Anteil im Jahr 2020 auf 85 % bzw. 71 % ansteigen wird.

Mit anderen Worten, die interne Auditfunktionen nimmt die Technologie der nächsten Generation bereits bereitwillig an. Es gibt kein Szenario, in dem eine bessere Risikoabsicherung nicht sinnvoll wäre. Wir brauchen einfach ein klares Verständnis dafür, was dies zur Folge hat.

Erfolgreicher Aufbau einer technikorientierten Auditfunktion

Dem Vorstand ist vor allem daran gelegen, die Fähigkeit seines Unternehmens zur Wertschöpfung zu erhalten. Hierbei wird jedoch vorausgesetzt, dass die Organisation eine Bedrohung dieser Fähigkeit erkennen und entsprechend reagieren kann.

Das nennen wir Risikobewusstsein. Vorstände – ebenso wie leitende Angestellte und Geschäftsbereichsleiter – benötigen nicht nur eine Bestätigung, dass die Geschäftstätigkeit effizient und rechtskonform ist. Sie brauchen Gewissheit, dass die Organisation schnell – besser noch sofort – auf veränderte Geschäftsbedingungen reagieren kann.

Die Technologie, mit der interne Prüfungsleiter die Fähigkeit des Risikobewusstseins aufbauen können, steht bereit und die Auditfunktion selbst ist für diese Aufgabe hervorragend geeignet. Diese Anforderung setzt neue Kooperationen mit Talenten innerhalb und außerhalb des Unternehmens voraus und erfordert eine durchdachte Strategie, um sämtliche Ressourcen in eine Auditfunktion der nächsten Generation zu überführen. Hierfür sind Kompetenz und Beratung gefragt, deren Effekt durch den Einsatz von Technologie gesteigert wird. Diese Zukunft wird in jedem Fall Realität. Das ist eine Tatsache, der wir uns alle bereits bewusst sind.