Interne Revision News

Oktober 2014
Interne
Revision
News
Projektrisiken – Generierung von
Mehrwert durch die Interne Revision als
unabhängiger Qualitätssicherer
Risikoorientierter Ansatz oder: Die richtigen
Projekte richtig begleiten
I. Einleitung
Die Anzahl von Großprojekten mit hohen Investitionsvolumina nimmt in der
Praxis immer weiter zu. Damit zählt die erfolgreiche Umsetzung von
Projekten vor dem Hintergrund des zunehmenden Wettbewerbsdrucks zu
den wesentlichen strategischen Erfolgsfaktoren. Dies ist insbesondere durch
den beachtlichen Einfluss bedingt, den große und international angelegte
Projekte auf den Erfolg und das wirtschaftliche Ergebnis eines Unternehmens
haben können. Motive für die Durchführung von Projekten sind oft von
strategischer Natur, aber auch Kostenreduktion, Effizienzsteigerungen und
technische Modernisierung sind häufige Treiber. Insbesondere in der Bankenund Versicherungsbranche sind Projekte häufig durch neue regulatorische
Anforderungen getrieben. Projekte, Projektmanagement und ein adäquates
Projektrisikomanagement rücken daher nicht nur im Rahmen der
Prüfungstätigkeit der Internen Revision, sondern auch in der Praxis im
Allgemeinen immer mehr in den Fokus.
Innerhalb der Finanzdienstleistungs- und Versicherungsbranche zeigt auch
der Regulierer ein wachsendes Interesse an einer angemessenen Integration
von Projektrisiken in das Risikomanagementsystem und an der Würdigung
und Begleitung von Projekten durch die Interne Revision.
Beispielsweise verlangt die Bundesanstalt für Finanzdienstleistungsaufsicht
(BaFin) in den Mindestanforderungen an das Risikomanagement (MaRisk
[BA]) von der Internen Revision, bei wesentlichen Projekten unter Wahrung
ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten
begleitend tätig zu sein.i
In den InvMaRisk stellt die BaFin ähnliche Anforderungen an die Interne
Revision der Investmentgesellschaften mit dem Zusatz: „Die Wesentlichkeit
EY Interne Revision News
von Projekten ist anhand objektiver Kriterien von der Geschäftsleitung
festzulegen.“ii
Die MaRisk (VA) für Versicherungen beziehen sich nicht ausdrücklich auf
Projekte. Jedoch schließen die Mindestanforderungen indirekt Projekte mit
ein: „Die Prüfung der internen Revision hat sich auf alle wesentlichen
Aktivitäten der gesamten Geschäftsorganisation zu beziehen, insbesondere
auch das Risikomanagement.“iii
Die Interne Revision fungiert als ein unabhängiges Überwachungsorgan im
Auftrag der Geschäftsleitung. Im Rahmen der Durchführung von Projekten
kann sie, insbesondere hinsichtlich des Projekt[risiko]managements, als
unabhängiger Qualitätssicherer dienen und somit im Rahmen ihrer Aufgaben
bei der erfolgreichen Umsetzung von wesentlichen Projekten mitwirken.
Bereits in den EY Interne Revision News vom Juli 2013 wurde die
projektbegleitende Prüfung durch die Interne Revision thematisiert. Der
damalige Newsletter fokussierte sich auf die Grundlagen und die
verschiedenen Phasen der projektbegleitenden Prüfung.
Im aktuell vorliegenden Newsletter liegt der Fokus hingegen auf der
risikoorientierten Vorgehensweise der Internen Revision bei der
Projektbegleitung. Die Bestimmung der Wesentlichkeit von Projekten anhand
einer gezielten Risikoanalyse wird hierbei besonders hervorgehoben.
Unter Anwendung des risikoorientierten Ansatzes wird sichergestellt, dass
risikoreiche Projekte des Unternehmens identifiziert werden und besondere
Berücksichtigung in der Prüfungsplanung finden. Die Prüfungsintensität ist
folglich abhängig vom jeweiligen Risikogehalt des Projekts. Diese
Vorgehensweise ermöglicht es, Risiken frühzeitig aufzudecken und schon im
Rahmen des Projektaufsatzes bzw. der Planungsphase präventiv
Korrekturmöglichkeiten einzuleiten.
II. Definition, Besonderheiten und Abgrenzung von Projekten
und Projektrisiken
(i) Projekte
Für die wirkungsvolle Steuerung von Projekten im Allgemeinen und für die
Informationsgewinnung durch die Interne Revision im Besonderen ist eine
gruppenweit einheitliche Definition von Projekten unverzichtbar.
Die einschlägige Literatur definiert Projekte wie folgt: „Ein ‚Projekt‘ ist ein
komplexes Vorhaben, welches zeitlich durch einen definierten Anfangs- und
Endtermin begrenzt sowie inhaltlich durch die Einmaligkeit seiner
Bedingungen gekennzeichnet ist.“iv
Typische Merkmale von Projekten:v
► Sie sind einmalig und verfügen über eine zeitlich befristete Aufbauund
Ablauforganisation
sowie
über
eine
besondere
Managementumgebung.
► Sie verfügen über ein gesondertes Budget und über eigens
zugewiesene Ressourcen.
► Als Basis dient ein Business Case bzw. Projektauftrag.
► Anfangs- und Endzeitpunkt sowie das Endprodukt sind definiert.
2
► Es besteht eine Abgrenzung zur Linie; nach Beendigung des Projekts
erfolgt die Übergabe an die Linie.
(ii) Projektrisiken/Risikouniversum in Projekten
Die Grundlage für die Erreichung der Projektziele ist eine eindeutige
Definition des Projektauftrags, der Projektergebnisse und der Qualität der
fachlichen Anforderungen unter Berücksichtigung der gesetzlichen,
regulatorischen und internen Vorgaben. Ferner sind klare Vorgaben zu den
Projektzielen, der Rollenverteilung und der Projektplanung von Bedeutung.
Ein angemessenes Projektmanagement und Projektcontrolling sollen die
Zielerreichung sicherstellen und eine kontinuierliche Überwachung des
Projektfortschritts zum geplanten Sollzustand gewährleisten.
Die zentrale Zielsetzung eines Projekts ist es, die fachlichen Anforderungen
in der im Projektauftrag definierten Qualität innerhalb des geplanten Budgets
und der geplanten Laufzeit umzusetzen. Das Risiko eines Projekts ist
demnach, dass die zentrale Zielsetzung in den Dimensionen Qualität, Budget
und Zeit nicht erreicht wird. Das ist der Fall, wenn die fachlichen
Anforderungen in unzureichender Qualität umgesetzt werden, der IstAufwand des Projekts das geplante Budget übersteigt oder sich bei der
Überführung des Projekts in die Linie Verzögerungen ergeben.
Die eigentlichen Ursachen für die Nichterreichung der zentralen Zielsetzung
von Projekten können vielfältig sein, haben jedoch häufig einen
operationellen Hintergrund bzw. beruhen auf operationellen Risiken.vi Das
Management operationeller Risiken aus Projekten ist damit ein wesentlicher
Faktor für die erfolgreiche Umsetzung von Projekten. Denn der Erfolg von
Projekten hängt vom Einsatz der richtigen Ressourcen, der angemessenen
Integration in bestehende Arbeitsschritte bzw. der Einführung neuer
Tätigkeiten und der Abbildung der fachlichen Anforderungen in der IT- und
Prozesslandschaft ab. Externe Ereignisse wie z. B. Veränderungen der
gesetzlichen
und
regulatorischen
Anforderungen
oder
des
Wettbewerbsumfelds können die Umsetzung des Projekts zudem verzögern
und gefährden.
In der nachfolgenden Grafik sind Beispiele für operationelle Risiken
aufgeführt, die die Zielerreichung (in den Dimensionen Qualität, Budget und
Zeit) beeinträchtigen können.
3
Ferner ist zu beachten, dass Projekte auch Einfluss auf weitere Risikoarten
eines Unternehmens zur Folge haben können. Im Rahmen der Risikoanalyse
ist die Relevanz anderer wesentlicher Risikoarten für das Projekt zu
beurteilen. Neben operationellen Risiken sind die wesentlichen Risikoarten
nach den MaRisk (BA) und InvMaRisk Adressenausfallrisiken,
Marktpreisrisiken und Liquiditätsrisiken. Auch beachtliche strategische
Risiken und Konzentrationsrisiken können Projekten inhärent sein. Für
Versicherungen im Speziellen können zusätzlich versicherungstechnische
Risiken relevant sein.
Abhängig vom Themengebiet kann ein Projekt Auswirkungen auf die
verschiedenen Risikoarten haben. Dies ist der Fall, wenn das Projekt andere
wesentliche Risikoarten behandelt bzw. deren Risikomanagementprozesse
und Informationskanäle beeinflusst. Beispiele für die Relevanz dieser
Risikoarten in Projekten sind in der nachfolgenden Tabelle aufgeführt.
Risikoart
Beispiel für die Relevanz in Projekten
Adressenausfallrisiko
Projekt zur Anpassung von Ratingsystemen: Fehler bei
der Bestimmung der Parameter im Ratingsystem können
zur Unterschätzung des Kreditrisikos führen und einen
nicht risikoadäquaten Darlehenszins zur Folge haben.
Marktpreisrisiko
Projekt zur Einführung neuer Risikomessmethoden für
Marktpreisrisiken mit der Folge der Über- oder
Unterschätzung des Risikos
Operationelles Risiko
Operationelle Risiken haben eine hohe Relevanz und
können in den folgenden Kategorien auftreten:
► Personal (z. B. unzureichendes fachliches
4
Know-how)
► Prozesse (z. B. mangelhafte Planung)
► Informationstechnologie (z. B.
Schnittstellenproblematik)
► Externe Einflussfaktoren (z. B. Änderung
gesetzlicher Anforderungen)
Liquiditätsrisiko
Direkte Relevanz bei Projekten, die Auswirkungen auf die
Liquiditätssteuerung und das
Liquiditätsrisikomanagement haben.
Ein indirekter Bezug kann bei Projekten zur
Neuausrichtung des Unternehmens mit Folge einer
Schieflage bestehen. Der daraus resultierende
Vertrauensverlust der Gläubiger/Investoren kann den
Zugang zu Refinanzierungsquellen erschweren.
Reputationsrisiko
Negative Presseberichte aufgrund des Scheiterns eines
Großprojekts
Strategisches Risiko
Projekt zur Erschließung eines neuen Marktes und des
damit einhergehenden Risikos der Veränderung der
Marktbedingungen
Konzentrationsrisiko
Projekt zur Einführung eines Modells für
Konzentrationsrisiken im Kreditgeschäft: Für die
Modellierung der Abhängigkeiten zwischen privaten
Kreditnehmern sind keine Marktdaten verfügbar. Es wird
auf Daten zurückgegriffen, die für das Kreditportfolio
nicht repräsentativ sind mit der Folge der Über- bzw.
Unterschätzung des Risikos.
Versicherungstechnische
Risiken
Projekt zur Einführung eines neuen
Versicherungsprodukts: Das Zugrundelegen falscher
Statistiken für die Kalkulation der Versicherungsprämie
führt zu einem tatsächlich höheren Aufwand für Schäden
und Leistungen als ursprünglich kalkuliert und damit zu
Verlusten aus dem neuen Produkt.
III. Kriterien zur risikoorientierten Auswahl von Projekten zur
Prüfungsbegleitung
(i) Kriterien
Gemäß den MaRisk (BA), InvMaRisk und MaRisk (VA) hat sich die Tätigkeit
der Internen Revision auf der Grundlage eines risikoorientierten
Prüfungsanasatzes grundsätzlich auf alle Aktivitäten und Prozesse zu
erstrecken.vii Der risikoorientierte Prüfungsansatz lässt sich demnach auf die
Prüfung von Projekten übertragen.
Die Basis für den risikoorientierten Ansatz bei der projektbegleitenden
Prüfung durch die Interne Revision sollte daher eine intern festgelegte
Definition für wesentliche Projekte sein. Für die Bestimmung der
Wesentlichkeit sind Auswahlkriterien entscheidend, die individuell und
nachvollziehbar vom Unternehmen auszuwählen sind. Hinsichtlich der
Definition der Wesentlichkeit von Projekten besteht häufig Handlungsbedarf,
da in der Praxis häufig keine Definition der Wesentlichkeit von Projekten
aufzufinden ist.viii
5
Die Interne Revision kann eine Vielzahl von Kriterien für die risikoorientierte
Auswahl zur Projektbegleitung heranziehen. Einige davon werden
nachfolgend erläutert:ix
International
ausgerichtete
Projekte:
Solche
Projekte
sind
länderübergreifend und betreffen häufig mehrere Organisationseinheiten
einer Gruppe. Die Herausforderung bei solchen Projekten ist, dass die Risiken
aus dem Projekt oft nicht eindeutig einer Einheit zugeordnet werden können.
Dadurch entsteht häufig eine Fehleinschätzung des inhärenten Risikos des
Projekts. Insbesondere die unzureichende Analyse von Wechselwirkungen
und Abhängigkeiten innerhalb der Gruppe kann dazu führen, dass Risiken
aus dem Projekt unterschätzt werden.
Programme/Projekte, die aus mehreren Projekten/Teilprojekten bestehen:
Aus der Bündelung mehrerer (Teil-)Projekte zu einem groß angelegten
Projekt oder Programm kann regelmäßig ein wesentliches Risikopotenzial
abgeleitet werden. Programme sind dadurch gekennzeichnet, dass sie
oftmals bereichsübergreifend sind und ihre Größe daher für das
Unternehmen eine hohe Relevanz aufweist. In einem solchen Fall ist es
sinnvoll, eine projektübergreifende Risikoanalyse durchzuführen, die die
Interdependenzen der Teilprojekte untereinander berücksichtigt.
Projektgröße: Die Projektgröße orientiert sich an mehreren Messkriterien
wie Budget, Zahl der Projektmitarbeiter, Zahl der Projektprodukte und
involvierte Organisationseinheiten. Mit zunehmender Projektgröße nehmen
regelmäßig auch die fachliche und die technische Komplexität zu. Ferner
können die Abhängigkeiten von Schlüsselpersonal und anderen Projekten
steigen. Die Projektgröße kann beispielsweise am Projektbudget (monetär
oder auch in Personentagen) gemessen werden.
Strategische Relevanz: Hier handelt es sich um Projekte mit strategischer
Relevanz für die Unternehmensziele, z. B. Projekte zur Erschließung neuer
Märkte oder zur Einführung neuer Produkte, Prozessoptimierung,
Modernisierung
der
IT-Systeme
oder
zur
Generierung
von
Kostensenkungspotenzialen zur Steigerung der Wettbewerbsfähigkeit.
Aufsichtsrechtliche bzw. rechtliche Relevanz: Es ist zu beurteilen, ob durch
das Projekt aufsichtsrechtliche Anforderungen sichergestellt werden und
inwiefern folgenschwere Sanktionen durch die Aufsicht durch Nichterfüllung
dieser Anforderungen verhängt werden können (z. B. Kapitalaufschläge,
Strafzahlungen, Entzug der Banklizenz).
Relevanz für den Jahresabschluss: Hierbei handelt es sich um Projekte, die
Einfluss auf die korrekte Darstellung der Bilanzpositionen, der Aufwands- und
Ertragspositionen sowie weiterer Offenlegungspflichten im Rahmen des
Jahresabschlusses haben. Als Beispiel kann die Umsetzung neuer
Rechnungslegungsstandards genannt werden.
Öffentlichkeitswirkung: Diese Kategorie umfasst Projekte, die eine hohe
Öffentlichkeitswirkung haben und sich im besonderen Maße negativ auf die
Reputation des Unternehmens auswirken können. Als Beispiel ist ein
Arbeitsplatzabbau durch Verlagerung von Backoffice-Tätigkeiten in ein Land
mit günstiger Lohnstruktur zu nennen.
Weitere Risikoindikatoren: Der Risikogehalt kann durch entsprechende
Risikokennzahlen aus dem Projektrisikomanagement ermittelt werden.
Daten für die Kennzahlen können beispielsweise anhand einer
6
Experteneinschätzung der Fachbereiche mithilfe eines Fragebogens eruiert
werden. Ergänzend zu den bereits genannten Kriterien können weitere
Aspekte aus einem bestehenden Projekt wie die Komplexität des Projekts
(z. B. umfangreiche Änderungen an kritischen IT-Anwendungen), die
Abhängigkeit von Dritten (z. B. Dienstleistern und Lieferanten) und/oder
Rechtsrisiken im Fragebogen abgedeckt werden. Für das Projekt ist im
Rahmen der Analyse auch die Relevanz potenziell schlagend werdender
Risikoarten im Hinblick auf deren Wesentlichkeit zu beurteilen (vgl. Kapitel II).
Des Weiteren kann die Interne Revision Erfahrungen und Prüfungsergebnisse
aus ihren vergangenen Revisionsprüfungen als Kriterium heranziehen. Eine
engere Projektbegleitung durch die Interne Revision kann z. B. bei
Organisationseinheiten, die in der Vergangenheit wesentliche Feststellungen
hatten, sinnvoll sein.
Anhand der Kriterien wird deutlich, dass zur Informationsgewinnung ein
umfassender Überblick über die aktuell laufenden Projekte notwendig ist. Die
Informationsquellen, die die Interne Revision heranziehen kann, sind
vielfältig:
► Vorstandsprotokolle mit Informationen/Beschlüssen über die
Aufnahme/Genehmigung von Projekten
► Teilnahme des Leiters der Internen Revision an
Lenkungsausschüssen und Gremiensitzungen
► Berichtswesen
► Systeme, die Informationen über Projekte enthalten, z. B.
Projektdatenbanken, Projektauftragslisten und interne
Prioritätenliste der Projekte
► Regelmäßiger Austausch mit dem
Projektmanagement/Projektcontrolling
► Berichte und Auswertungen aus dem Projektcontrolling/risikomanagement und Projektportfoliomanagement
(ii) Methoden zur Bewertung der Kriterien
In der Praxis werden verschiedene Methoden zur Bewertung der definierten
Kriterien im Rahmen der Risikoanalyse verwendet.
Die Einstufung der Wesentlichkeit der Projekte erfolgt üblicherweise im
Rahmen eines Expertenverfahrens durch die Interne Revision, bei dem die
erlangten Informationen hinsichtlich der Kriterien ausgewertet werden. In
der Revisionspraxis kann aus den Kriterien ein Bewertungsmodell abgeleitet
werden. Die Projektrisiken werden anhand der Eintrittswahrscheinlichkeit
und der potenziellen Schadenshöhe bewertet, um so eine Einteilung der
Risiken in wesentliche und unwesentliche Risikoklassen durchführen zu
können.
Ein weiteres in der Praxis verbreitetes Verfahren ist die Verwendung eines
Gewichtungsfaktors, was beispielsweise über ein Punktesystem umgesetzt
werden kann. Die Projekte mit der höchsten Punktzahl können in die
Jahresplanung als wesentliche Projekte aufgenommen werden.
Weitere Methoden sind das Kriterientableau und das Ampelmodell. Im
Kriterientableau findet eine Gewichtungsskala mit den Ausprägungen
„hoch“, „mittel“ und „niedrig“ Anwendung, die den einzelnen Kriterien
zugeordnet werden. Das Ampelmodell ordnet, abhängig von
Schwellenwerten für die Ausprägung, dem Kriterium die Ampelfarben Rot,
7
Gelb und Grün zu: Grün für niedriges, Gelb für mittleres und Rot für hohes
Risiko.x
Ferner können mathematisch-statistische Methoden zur Bestimmung der
Wesentlichkeit angewendet werden, die die Wahrscheinlichkeit und
Schadenshöhe berechnen.xi
(iii) Ableitung der Prüfungsintensität
Die Prüfungsintensität der einzelnen Projekte ist abhängig vom Ergebnis der
Risikoanalyse. Neben der transparenten Darstellung der Kriterien und der
Methode für die Einstufung in wesentliche (risikorelevante) Projekte hat die
Interne Revision auch ihren Prüfungsansatz zur Projektbegleitung und die
Prüfungsintensität je nach Risikogehalt der Projekte nachvollziehbar
schriftlich zu dokumentieren.
3
4
4
2
3
4
1
2
3
<25%
Wahrscheinlichkeit
>75%
In der nachfolgenden Grafik sind vier Risikokategorien, anhand derer die
Prüfungsintensität abgeleitet werden kann, exemplarisch in einer
Risikomatrix dargestellt. In die Risikomatrix werden Projekte je nach
Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe eingetragen. Im
Anschluss wird ein möglicher Ansatz zur Ableitung der Prüfungsintensität
nach Eintrittswahrscheinlichkeit und potenzieller Schadenshöhe vorgestellt.
gering
Auswirkung auf das Projekt
(Zeit, Kosten, Qualität)
hoch
Geringes Risiko (Risikoklasse 1): Wird das Risiko eines Projekts als gering
eingestuft, erfolgt keine Projektbegleitung durch die Interne Revision.
Geringes bis mittleres Risiko (Risikoklasse 2): Die Interne Revision ist
Empfänger wesentlicher projektspezifischer Unterlagen und Dokumente, was
durch
die
Zurverfügungstellung
von
Protokollen
der
Lenkungsausschusssitzungen, Kennzahlen sowie von Projekt- und
Risikoberichten sichergestellt wird. Die Interne Revision entscheidet nach
Sichtung der relevanten Dokumente einzelfallbezogen, inwiefern ihre
Involvierung in das laufende Projekt sinnvoll erscheint. Nach Beendigung des
Projekts erfolgt die Einsichtnahme in den Abschlussbericht des Projekts.
Mittleres bis hohes Risiko (Risikoklasse 3): Bei Projekten mittleren bis
hohen Risikos wird die Interne Revision partiell in ausgewählten
Projektphasen bzw. ex post tätig. Beim Ex-post-Ansatz erfolgt eine
Rückbetrachtung des Projekts, d. h., die Prüfung erfolgt nach
Projektabschluss. Der Fokus liegt auf der Soll-Ist-Prüfung, bei der die
Umsetzung der Sollvorgaben sowie die Ordnungsmäßigkeit, Zweckmäßigkeit
und Wirtschaftlichkeit des Projekts geprüft werden.xii
8
Hohes Risiko (Risikoklasse 4): Bei Projekten mit hohem Risiko (wesentliche
Projekte) verfolgt die Interne Revision einen Ex-ante-Ansatz. Sie begleitet
das Projekt ab der Entstehungs- bzw. Planungsphase bis zum Abschluss im
Rahmen der Realisierungsphase. Damit erfolgt eine echte Projektbegleitung
während der einzelnen Projektphasen. Dies beinhaltet u. a. die Teilnahme an
Lenkungsausschüssen
und
Gremiensitzungen,
regelmäßige
und
anlassbezogene
Besprechungen
mit
der
Projektleitung
sowie
Freigabe/Abnahme von Unterlagen und Meilensteinen.
Um klare Strukturen und ein effektives Projektmanagement sicherzustellen,
sollte im Zeitraum der Projektplanung bzw. -initiierung insbesondere auch
die Angemessenheit des Business Case (u. a. eindeutige Zielsetzung, klare
Zielhierarchie, einheitliches Verständnis) in Kombination mit der Umsetzung
von angemessenen Projektmanagementmethoden im Fokus der
projektbegleitenden Prüfung stehen.
Während der Realisierungsphase des Projekts ist zudem eine Fokussierung
auf ein effizientes Projekt-Change-Management zum Abbau von Resistenzen
hinsichtlich der mit dem Projekt einhergehenden Veränderungen bei den
betroffenen Stakeholdern von essenzieller Bedeutung. Ein weiteres
Augenmerk sollte auch auf materiellen Projekt-Changes liegen, da diese die
Erreichung der drei bereits genannten Zieldimensionen (Qualität, Budget,
Zeit) signifikant beeinflussen können.
Ein Vorteil dieses Ansatzes ist, dass bereits während der Entstehungs- bzw.
Planungsphase (z. B. bei der Entwicklung von neuen Prozessen und
Produkten) Hinweise der Internen Revision aufgenommen und berücksichtigt
werden können. Dies ermöglicht ein zeitnahes und dynamisches Agieren bei
aus
Risikosicht
wesentlichen
Veränderungsprozessen.
Durch
vorausschauendes Handeln und präventive Hinweise auf Schwächen im
Projekt ist es möglich, Korrekturmaßnahmen frühzeitig einzuleiten. Dies
verdeutlicht, welch wichtige Rolle die Interne Revision als unabhängiger
Qualitätssicherer bei der Abfederung von Risiken aus wesentlichen Projekten
spielen kann. Ferner können kontinuierliche Lerneffekte während des
Projekts generiert und folglich revisionsinternes Know-how, insbesondere für
zukünftige Prüfungen in dem jeweiligen Bereich, aufgebaut und vertieft
werden.xiii
IV. Herausforderungen in der Praxis
Die Informationsbeschaffung als Grundlage für die Umsetzung des
risikoorientierten Prüfungsansatzes und die Bestimmung der Wesentlichkeit
ist in der Praxis alles andere als trivial.
Bei kleinen Unternehmen stehen häufig keine oder nur sehr wenig
Informationen über Projekte zur Verfügung. Bei großen und global
agierenden Unternehmen gibt es häufig eine Masse von Informationen, die
es zu berücksichtigen gilt. Informationen werden jedoch selten von einer
zentralen Stelle und häufig ohne Berücksichtigung einheitlicher Standards
gesammelt und ausgewertet, sodass ein strukturiertes und zentral
gesteuertes Informationssystem zu Projekten meist nicht existiert. Vielmehr
befinden sich die Informationen in unterschiedlichen Systemen und sind
innerhalb des Unternehmens bzw. innerhalb der Gruppe zerstreut vorrätig.
Zum Teil sind sie nur in Präsentationen oder Berichten vorhanden und
müssen manuell zusammengestellt und aufbereitet werden. Daher lässt sich
häufig feststellen, dass Projektdaten nicht in einer Form vorliegen, die eine
automatisierte
Auswertung
ermöglicht,
sondern
dass
die
9
Datenauswertungen vielmehr mit einem hohen manuellen Aufwand
verbunden sind. Erschwerend kommt hinzu, dass vielfach keine einheitliche
Projektdefinition innerhalb der Unternehmensgruppe angewendet wird. Die
Folge ist, dass sich die Interne Revision bei der Informationssammlung zuerst
einen Überblick über die unterschiedlichen Definitionen verschaffen und die
entsprechenden Projekte und Aufgaben in eine einheitliche Definition
überführen muss.
Zudem besteht oftmals kein zentrales Projektmanagement und
Projektrisikomanagement, weshalb Kennzahlen und Kriterien aus den
unterschiedlichsten Quellen dezentral zusammengestellt werden müssen.
Die Informationsquellen können vielfältig sein:
►
►
►
►
►
►
►
►
►
Projektcontrolling
Projektrisikomanagement
Projektportfoliomanagement
Risikomanagement
Controlling
OpRisk-Management
IT-Risikomanagement
IT-Projektmanagement
Organisationsabteilung
Ferner erfolgt die Umsetzung von Projekten häufig unter hohem Zeitdruck.
Infolgedessen werden Projektinformationen nicht systematisch gesammelt
und ausgewertet. Die Informationssammlung erfolgt lediglich neben der
Umsetzung des Projekts ohne einheitliche Standards hinsichtlich der
Datenqualität.
Die genannten Punkte haben zur Folge, dass Daten im Unternehmen in
unterschiedlichster bzw. geringer Qualität zur Verfügung stehen. Ferner
besteht bei globalen Unternehmen die Herausforderung, insbesondere
aufgrund womöglich unterschiedlicher Projektdefinitionen, der Internen
Revision einen Überblick über das gesamte Projektportfolio zu ermöglichen.
Die
Interne
Revision
muss
demnach
die
unterschiedlichen
Informationsquellen finden und deren Zuverlässigkeit und Verwertbarkeit für
die Risikoanalyse beurteilen. Sind die Informationen unstrukturiert und nur
bedingt auswertbar, ist es aus Revisionssicht angebracht, den
entsprechenden Organisationseinheiten Handlungsempfehlungen zu geben
und auf ein einheitliches Vorgehen im Unternehmen hinzuwirken.
V. Fazit
Durch einen systematischen und strukturierten Ansatz bei der Begleitung
von wesentlichen Projekten kann die Interne Revision unter Kosten-NutzenAspekten einen signifikanten Mehrwert generieren.
Ein entscheidender Aspekt der Projektbegleitung ist es, die aus
Risikogesichtspunkten wesentlichen Projekte auf der Grundlage einer
Risikoanalyse zu identifizieren, um eine risikoorientierte und zugleich
effiziente Allokation der zur Verfügung stehenden Ressourcen zu
gewährleisten. Angesichts der Änderungsdynamik in vielen Unternehmen ist
es aus unserer Sicht essenziell, dies individuell unter Berücksichtigung der
Geschäfts- und risikostrategischen Prioritäten des jeweiligen Hauses
zielgerichtet „top-down“ anzugehen. Eine systematische Verzahnung mit der
10
risikoorientierten Prüfungsplanung setzt allerdings voraus, dass einerseits
eine Evidenz über alle potenziell relevanten bestehenden und vor allem
geplanten Projekte besteht und andererseits die notwendigen Informationen
zur Bewertung des Risikogehalts anhand der individuell festgelegten
Kriterien beschafft werden können.
Je komplexer und größer ein Projekt ausgerichtet ist, desto größere
Bedeutung
kommt
den
gewählten
Schwerpunkten
der
Projektbegleitungsaktivitäten der Internen Revision zu. Einen wesentlichen
Hebel der Revisionsbewertung bildet hier sicherlich die Angemessenheit des
Business Case in Kombination mit der Umsetzung von angemessenen
Projektmanagementmethoden im Zeitraum der Projektplanung bzw. initiierung. Während des Projekts ist eine Fokussierung auf das ProjektChange-Management und die materiellen Projekt-Changes ein kritischer
Erfolgsfaktor
im
Sinne
des
effizienten
Einsatzes
knapper
Revisionsressourcen, des präventiven fachlichen Mehrwerts und nicht zuletzt
der Akzeptanz bei den relevanten Stakeholdern.
In diesem Zusammenhang kann die Interne Revision insbesondere ihre
Wahrnehmung bei (internen) Stakeholdern stärken und letztlich ihre eigene
Reputation festigen. Somit stellt sie einen aktiven Werttreiber für das
Unternehmen dar, weil Risiken oder mögliche Fehlentwicklungen aus
wesentlichen Projekten, die den Unternehmenserfolg negativ beeinflussen
oder gar gefährden könnten, frühzeitig erkannt und mögliche Mängel oder
Schäden präventiv vermindert und/oder vermieden werden können.
i
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Mindestanforderungen an das Risikomanagement
(MaRisk), Rundschreiben 10/2012 (BA) vom 14.12.2012 BT 2.1, Tz. 2.
ii
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Mindestanforderungen an das Risikomanagement für
Investmentgesellschaften ( InvMaRisk), Rundschreiben 5/2010 (WA) vom 30.06.2010, 12.2, Tz. 2.
iii
Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): Aufsichtsrechtliche Mindestanforderungen an das
Risikomanagement (MaRisk VA), Rundschreiben 3/2009, 7.4, Tz. 2.
iv
Hannemann, R.; Schneider, A.; Weigl, T.: Mindestanforderungen an das Risikomanagement (MaRisk).
Kommentar unter Berücksichtigung der Instituts-Vergütungsverordnung (InstitutsVergV), 2013, 4. Auflage,
Schäfer Pöschl, S. 1065.
v
Deutsches Institut für Interne Revision e. V. (DIIR): DIIR Prüfungsstandard Nr. 4, 2008, S. 5.
vi
Operationelle Risiken entstehen aufgrund des Versagens von Mitarbeitern, internen Prozessen,
Informationstechnologie und aufgrund externer Ereignisse.
vii
Vgl. Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin): MaRisk (BA) BT 2.1, Tz. 1; InvMaRisk, 12.2 Tz. 1;
MaRisk VA, 7.4, Tz. 2.
viii
Vgl. Berndt, M.; Becker, A.; Klein, J.: Bearbeitungs- und Prüfungsleitfaden Risikoorientierte Projektbegleitung
Interne Revision, 2011, Finanz Colloquium Heidelberg, S. 38.
ix
Zu den Kriterien vgl. Berndt, M.; Becker, A.; Klein, J.: a. a. O., S. 36 ff. und Deutsches Institut für Interne
Revision e. V. (DIIR): Leitfaden zur Prüfung von Projekten. Erläuterungen und Empfehlungen zum DIIR Standard
Nr. 4, 2010, S. 17–19.
x
Vgl. Berndt, M.; Becker, A.; Klein, J.: a. a. O., S. 43 ff.
xi
Vgl. Deutsches Institut für Interne Revision e. V. (DIIR): Leitfaden zur Prüfung von Projekten. Erläuterungen und
Empfehlungen zum DIIR Standard Nr. 4, 2010, S. 23–25.
xii
Vgl. Berndt, M.; Becker, A.; Klein, J.: a. a. O., S. 49.
xiii
Vgl. Berndt, M.; Becker, A.; Klein, J.: a. a. O., S. 25, 49 f.
11
Ansprechpartner
Herausgeber
Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft
Mergenthalerallee 3–5
65760 Eschborn
EMEIA Financial Services
Advisory
Michael Plaumann-Ewerdwalbesloh
Partner
Telefon +49 6196 996 27706
michael.plaumann @de.ey.com
Michael Berndt
Partner
Telefon +49 6196 996 27733
michael.berndt@de.ey.com
André Prossner
Senior Manager
Telefon +49 40 36132 19845
andre.prossner@de.ey.com
Christian Raspe
Manager
Telefon +49 6196 996 16601
christian.raspe@de.ey.com
Anja Bohnenkamp
Senior Consultant
Telefon +49 6196 996 24080
anja.bohnenkamp@de.ey.com
EY | Assurance | Tax | Transactions | Advisory
Die globale EY-Organisation im Überblick
Die globale EY-Organisation ist einer der Marktführer in
der Wirtschaftsprüfung, Steuerberatung,
Transaktionsberatung und Managementberatung. Mit
unserer Erfahrung, unserem Wissen und unseren
Leistungen stärken wir weltweit das Vertrauen in die
Wirtschaft und die Finanzmärkte. Dafür sind wir bestens
gerüstet: mit hervorragend ausgebildeten Mitarbeitern,
starken Teams, exzellenten Leistungen und einem
sprichwörtlichen Kundenservice. Unser Ziel ist es, Dinge
voranzubringen und entscheidend besser zu machen –
für unsere Mitarbeiter, unsere Mandanten und die
Gesellschaft, in der wir leben. Dafür steht unser
weltweiter Anspruch „Building a better working world“.
Die globale EY-Organisation besteht aus den
Mitgliedsunternehmen von Ernst & Young Global Limited
(EYG). Jedes EYG-Mitgliedsunternehmen ist rechtlich
selbstständig und unabhängig und haftet nicht für das
Handeln und Unterlassen der jeweils anderen
Mitgliedsunternehmen. Ernst & Young Global Limited ist
eine Gesellschaft mit beschränkter Haftung nach
englischem Recht und erbringt keine Leistungen für
Mandanten. Weitere Informationen finden Sie unter
www.ey.com.
In Deutschland ist EY an 22 Standorten präsent.
„EY“ und „wir“ beziehen sich in dieser Publikation
auf alle deutschen Mitgliedsunternehmen von Ernst
& Young Global Limited.
© 2014
Ernst & Young GmbH
Wirtschaftsprüfungsgesellschaft
All Rights Reserved.
JB 0414
Diese Publikation ist lediglich als allgemeine, unverbindliche Information
gedacht und kann daher nicht als Ersatz für eine detaillierte Recherche
oder eine fachkundige Beratung oder Auskunft dienen. Obwohl sie mit
größtmöglicher Sorgfalt erstellt wurde, besteht kein Anspruch auf
sachliche Richtigkeit, Vollständigkeit und/oder Aktualität; insbesondere
kann diese Publikation nicht den besonderen Umständen des Einzelfalls
Rechnung tragen. Eine Verwendung liegt damit in der eigenen
Verantwortung des Lesers. Jegliche Haftung seitens der Ernst & Young
GmbH Wirtschaftsprüfungsgesellschaft und/oder anderer
Mitgliedsunternehmen der globalen EY-Organisation wird
ausgeschlossen. Bei jedem spezifischen Anliegen sollte ein geeigneter
Berater zurate gezogen werden.
www.de.ey.com
2