Die Internal Audit-Funktion eines Unternehmens, im Speziellen in der Finanzindustrie, ist verpflichtet, neben der Berücksichtigung der Risikoeinschätzung des Unternehmens, ihre unabhängige Einschätzung der höchsten Risiken vorzunehmen. Ausgehend von dieser Risikobeurteilung legt Internal Audit (IA) Prüfziele und -planung für die nächste Prüfperiode fest und lässt diese durch den Prüfausschuss, das Audit Committee, genehmigen (siehe FINMA Rundschreiben 2017/1 Corporate Governance – Banken’, Ziffer 92/93).
Die Struktur – das Audit Universum
kobeurteilung durchzuführen, muss vorgängig eine Struktur, das sogenannte «Audit Universum», etabliert werden. Es unterteilt die einzelnen Geschäftsbereiche und deren Risiken logisch in einzelne Prüfgebiete, die Audit Sektoren, und berücksichtig dabei die geografische Ausbreitung. Ein Audit Universum ist die Basis für die jährliche Beurteilung der Risken und stellt sicher, dass die Risken vollständig und transparent beurteilt werden können. Beim Aufbau und der Definition der einzelnen Prüfgebiete kann auf bestehende Elemente, wie beispielsweise die Organisationsstruktur, zurückgegriffen werden. Auf dem bestehenden Organigramm aufzubauen, scheint auf den ersten Blick die einfachste Lösung. Allerdings birgt dieser Ansatz die Gefahr, dass das Audit Universum bei jeder organisatorischen Änderung angepasst werden muss. Einen anderen Ansatz zur Strukturierung bietet die Einteilung entlang der Wertschöpfungskette. Diese orientiert sich an den Prozessen und Dienstleistungen eines Unternehmens. Der Vorteil einer solchen Struktur liegt darin, dass sie organisationunabhängig ist und seltener angepasst werden muss. Ausserdem begünstigt sie die Vergleichbarkeit der Risikoeinschätzung und der abgedeckten Prüfgebiete über mehrere Jahre hinweg.
Im Rahmen des IA-weiten Transformationsprojektes «Group Internal Audit 2020» hatten wir uns das Ziel gesetzt, unser existierendes Audit Universum von Grund auf neu zu strukturieren. Aufgrund der grossen Anzahl der bisherigen Audit Sektoren und unter Berücksichtigung der verfügbaren Ressourcen war eine adäquate Prüfabdeckung mit dem bestehenden Audit Universum nicht mehr gegeben. Angesichts des Wachstums des Unternehmens und der zahlreichen organisatorischen Veränderungen wurde entschieden, das neue Universum komplett losgelöst von der Organisation aufzubauen. Mit dieser Reform wurde gleichzeitig eine Änderung in der Methodik der Risikoeinschätzung nötig. Um eine Vergleichbarkeit der IA-Risikobeurteilung der Bank zu gewährleisten, wurden die Bewertungskriterien an die bestehende Risikotaxonomie des Finanzinstituts angelehnt.
Wie diese in der Praxis umgesetzt wurde, zeigt das Beispiel des Bereichs der IT:
IT Audit Universum
In der IT bestehen zahlreiche Rahmenrichtlinien, die die einzelnen IT-Prozesse und Komponenten beschreiben (z.B. ITIL, Information Technology Infrastructure Library). Aus Sicht IA war wichtig, durch die neue Struktur der Audit Sektoren das gesamte Technologiespektrum abzudecken. Dennoch sollte sie auch von internen und externen Interessensgruppen wie Regulatoren ohne vertieftes IT-Wissen verstanden werden.
Um die Anzahl der Sektoren und den Detailierungsgrad des Universums zu kontrollieren, haben wir zu Beginn thematische «Blöcke» gebildet, etwa Applikationen, Infrastruktur, Prozesse, und diesen in einem zweiten Schritt einzelne Sektoren zugeordnet.
Entstanden ist ein IT Audit Universum mit 11 Audit Sektoren (siehe Bild 1):
Im Zentrum steht die IT mit der IT Management & Governance als «Dach», welches die Strategie, Governance und die (Risk-) Management Prozesse beinhaltet. Darunter wird die ganze Applikationslandschaft der Bank abgebildet mit den drei Applikations-Sektoren Business Applications, Internet- & Customer-facing Applications und Core IT Applications/Systems, gegliedert entlang der verschiedenen Applikationstypen und Risikoprofile.
Um Applikationen und deren Infrastruktur zu trennen, haben wir zwei Infrastruktur-Sektoren Data & Storage Management (z.B. Datenbanken, Operationelle Date Storage) und IT Infrastructure (incl. Network) definiert.
Zur Gruppierung aller IT-Prozesse mit Einfluss auf die Applikations- und Infrastrukturlandschaft gilt folgende Differenzierung: Prozess, die den Betrieb sicherstellen, IT Operations / Run-the-Bank), und Prozesse, die IT-Komponenten ändern oder aufbauen, IT-Design, Delivery & Transformation / Change-the-Bank).
Eine der wichtigsten Aufgaben der IT, einen kontinuierlichen Betrieb der Systeme zu gewährleisen, haben wir im Sektor Business Continuity Management (BCM) gebündelt.
Der eigenständige Bereich Information & Cyber Security, repräsentiert alle Prozesse und Schutzmassnahmen, die im Bereich Informationssicherheit und Cybersecurity aufgebaut worden sind (z.B. Security Operations). Dieser bildet logisch die Brücke zur CISO-Organisation, die im Bereich CRO alloziert ist. Der dedizierte Sektor Technology Transformation umfasst die neuen Technologien, die unserer Ansicht nach disruptives Potential aufweisen wie Cloud, Robotics oder AI. Diese Risiken sollen in einem eigenständigen Sektor beurteilt werden, der auch die logische Brücke zur (Business-)Architektur und Business Transformation-Einheit bildet.
Jährliche Risikoeinschätzung
toren dient Julius Bär seit 2020 als Basis für die jährliche IA-Risikobeurteilung. Um diese für alle Sektoren einheitlich durchzuführen, verwenden wir die bankweite Risikotaxonomie. Diese fusst auf den Auswirkungen bei Risikomaterialisierung in den Bereichen Finanzen, Reputation, regulatorische Vorschriften und Kunden. Die Resultate der Risikoeinschätzung der einzelnen Audit Sektoren für alle relevanten geografischen Standorte liefern IA eine Gesamtsicht über die Risikolandschaft der Bank. Eine Visualisierung der ermittelten Risikolandschaft wird dem Senior Management der Bank zur Validierung mit dessen Einschätzung vorgelegt. Auf Basis der validierten Resultate werden auch die Prüfschwerpunkte für die kommende Prüfperiode definiert.
Üblicherweise planen IA-Funktionen ihre Audits mittels einer vordefinierten Frequenz für jedes Prüfgebiet, die anhand der Risikobeinschätzung des Sektors berechnet wird (z.B., jährlich, jedes zweite Jahr, etc.). Damit ist sichergestellt, dass nach einem definierten Zeitraum alle Audit Sektoren mindestes einmal geprüft werden. Diesen Ansatz verfolgt Julius Bär seit Einführung der neuen Sektoren und deren Risikobeurteilung nicht mehr. Unsere jährliche Audit Planung basiert ausschliesslich auf der Risikoeinschätzung über den Sektor. Dies führt zwar initial zu einem höheren Aufwand in der jährlichen Planung, bietet jedoch die Möglichkeit mittels der Auswahl und Priorisierung der einzelnen Audits sicherzustellen, dass die verfügbaren Ressourcen der internen Revision auf die grössten Risiken fokussieren. Um dem Audit Committee transparent aufzuzeigen, wo die grössten Risiken identifiziert wurden und welchen Abdeckungsgrad wir mit dem Jahresplan erreichen (siehe Bild 2), verwenden wir eine Visualisierung in einem «Risk Cube».
Dieses Vorgehen hilft auch, die benötigten IA Ressourcen gegenüber dem Audit Committee darzulegen, da die Höhe der Auditabdeckung pro Jahresplan (Audit Assurance) messbar wird, die eng an die verfügbaren Auditressourcen gekoppelt ist. Auch die Abdeckung des externen Auditors der Bank und dessen Auditplans inklusive Jahresabschlussprüfung und regulatorischen Audits wird berücksichtigt und in unsere Abdeckungsberechnung integriert. Dem Audit Committee wird die gesamte Abdeckung von internen und externen Prüfungen vorgelegt und Überlappungen identifiziert.
Schliesslich geschieht auch die Genehmigung des jährlichen Audit Plans durch das Audit Committee nicht auf Basis einzelner Auditthemen, sondern unter Berücksichtigung der (prozentualen) Abdeckung der grössten Risiken. So erhalten wir als IA-Funktion die Flexibilität auch unterjährig die einzelnen Auditthemen frei zu gestalten und unter Berücksichtigung der genehmigten Gesamtabdeckung anzupassen.
Der Autor
Florian Müller, Head und Lead Auditor für den Bereich COO & Information Security / Deputy Head Group Internal Audit bei der Bank Julius Baer & Co Ltd.