Continuous Auditing – ein alter Hut im Zeitalter von RPA?

IIA-Blog_Continuous_Auditing-Teil_1

„Die Interne Revision steigert den Erfolg der Organisation, indem sie das Leitungs- und Überwachungsorgan und das Management mit der Bereitstellung objektiver Prüfungssicherheit und Beratung unterstützt.“1The Institute of Internal Auditors: Globale Standards für die Interne Revision – Entwurf 2023 zur öffentlichen Konsultation, https://www.theiia.org/globalassets/site/standards/ippf/public-comment-draft/iia-global-internal-audit-standards-public-comment-draft-german.pdf, S.10.

Wenn man diesen Anspruch aus dem aktuellen Entwurf der kommenden IIA-Standards zu Ende denkt, heißt das für unseren Berufsstand nichts anderes als eine Unterstützung des Managements mit marktgängigen Analysemethoden. Problem ist dabei nur, dass wir uns alle mittlerweile in einer Welt der Daten, der Vernetzung und des Einsatzes von neuen Methoden wie „Künstlicher Intelligenz“ bewegen. Also sollte man das Thema „Continuous Auditing“ vielleicht einmal in unserer aktuellen Revisionswelt betrachten.

1 Einleitung

1.1 Warum Sie diese Blogbeiträge lesen sollten…

Sobald man einen Artikel über „Continuous Auditing“ beginnt, muss man sich fragen, in welchen Zusammenhängen dieser Begriff genutzt wird. Fakt ist, dass wir mit diesem Artikel auch einen Mehrwert bei Ihnen erzeugen wollen. Dies gelingt aber unseres Erachtens nur dann, wenn wir dabei die Praxis im Auge behalten. Dabei sollte bei dem Praxiseinsatz immer der Kosten-Nutzen-Aspekt im Vordergrund stehen.

Als eine Art Abfallprodukt tangieren wir nebenbei ChatGPT und erlauben uns einen Blick in die kommenden IIA-Standards.

Wir werden versuchen, das Stichwort RPA auch für die Interne Revision als Chance und sofort einmal mit einem Praxisbeispiel zu erklären. Der Bogen der Artikelreihe ist dabei bewusst weit gefasst – von der Theorie aus den 1980er Jahren bis hin zu den heutigen Möglichkeiten. Auf den denkbaren Einsatz von KI in den Continuous Auditing Analysen – auch von dem aktuell in aller Munde diskutierten ChatGPT-Werkzeug – haben wir bewusst einmal verzichtet, wobei wir in unseren Analysen bereits gute Ergebnisse erzielen. Man kann über offene Schnittstellen, sog. APIs, die Bots auch entsprechend, beispielsweise in Power BI, einbinden.

Auch wenn Sie im Team vielleicht nur über geringe technische Kompetenz verfügen und somit vielleicht ein wenig die Technik scheuen, sollten Sie die Vorteile eines derartigen RPA-Einsatzes verstehen und unser Vorgehensmodell vielleicht sogar im Team nachbauen (lassen).

Profitieren Sie dabei von unseren Erfahrungen, da wir in den letzten Jahren mit geringen (Lizenz- und Einmal-)Kosten einige derartige Continuous Auditsysteme für diverse Branchen (Handel, Industrie, Nahrungsmittel, Versicherungen) gebaut haben. Unser Beispiel werden wir auf SAP aufsetzen – jedes andere ERP-System ist aber genauso denkbar.

Ihr Mehrwert im Unternehmen besteht bei  diesem Vorgehen aus einer besseren Selektion der Revisionsthemen auf strategischer Ebene bis hin zur Überwachung von Ausreißern – und Informationen erhalten Sie zeitnah mit wenig Aufwand.

1.2 BigData, Data Analytics oder Continuous Auditing

„Ist Big Data nur ein Hype?“ so lautet die plakative Überschrift einer Analyse des McKinsey Global Institute (MGI). Wenn Big Data vielleicht nur ein Hype ist, gilt das auch für Continuous Auditing seit den 1980er Jahren? Ist das nur ein Begriff für die Technikfreaks unter den Revisor:innen?

Im Gegenteil: Wir sind der Meinung, dass sich das ganze Thema Datenanalyse in der täglichen Praxis der Internen Revision viel zu träge entwickelt hat. In unserer heutigen Welt reden wir von den Möglichkeiten und den Gefahren der „Künstlichen Intelligenz“, wir reden von VUCA (Volatility, Uncertainty, Complexity und Ambiguity) und komplexen Systemen, wir reden von immer schneller werdenden Prozessen, wir reden von Prozessen, die ausnahmslos in Daten abgebildet werden.

„Kein Prozess ohne Daten“ – vielleicht einmal vom produzierenden Gewerbe abgesehen – ein Tablet am Hochofen kann man sich schlecht vorstellen.

Worauf stützen wir jetzt unsere Aussagen hinsichtlich Trägheit der Internen Revision bei diesem Thema? Schauen Sie einmal in den aktuellen Entwurf der IIA-Standards (wir werden die Aussagen entsprechend auch an das Standards-Board übermitteln):

In der aktuellen Fassung kommen genau einmal die Worte „Continuous Auditing“, „data analytics“ und „agile“ unter der Überschrift „Standard 9.5 Internal Audit Plan“ vor. Für uns drücken aber gerade diese Begriffe die tägliche Arbeit unserer Revisionsberatungen aus. Wie werden wir uns als Interne Revision in der Zukunft positionieren? Vielleicht sind wir dazu auch zu nah an diesen Themen dran und es kommen noch einige GTAGs (Global Technology Audit Guides) zu diesen Begriffen, aber uns ist das alles in den Standards zu unterrepräsentiert.

Schauen wir doch einmal, was wir im deutschsprachigen Raum in der Umsetzung finden und versuchen dies einmal objektiv zu betrachten:

Ausriss aus der Enquete 2020 (Abb. 42) der deutschsprachigen Revisionsinstitute

Wenn man davon ausgeht, dass der Reifegrad 4 und 5 einen professionellen wiederkehrenden Umgang in der Internen Revision mit Daten unterstellt, haben im Jahr 2020 rund ein Viertel aller Revisionsabteilungen dies in ihrem strategischen Portfolio auch umgesetzt. Einverstanden: Es kommt die Enquete 2023 und die wird hoffentlich bessere Ergebnisse zeigen – aber um welchen Faktor?

Müssen wir den Reifegrad von 4 und 5 nicht in mindestens 80 – 90% der Revisionsabteilungen erreichen, wenn wir uns im Jahr 2023 befinden und fast kein Prozess mehr ohne Daten stattfindet? Ok – Interne Revision hat immer eine Komponente „Re“ und eine Komponente „Vision“. Schauen wir doch einmal zurück, was Strategen den Unternehmen lange vor Corona (2016) ins Stammbuch geschrieben haben:

„Ein neuer Bericht des McKinsey Global Institute (MGI), „The age of analytics: Competing in a data-driven world“ zeigt, dass die Bandbreite der Anwendungen und Möglichkeiten gewachsen ist und weiter wachsen wird. Angesichts des rasanten technologischen Fortschritts stellt sich für Unternehmen nun die Frage, wie sie die neuen Fähigkeiten in ihre Abläufe und Strategien integrieren können – und wie sie sich in einer Welt positionieren, in der die Analytik ganze Branchen umkrempeln kann.“2https://www.mckinsey.com/de/news/presse/big-data-unternehmen-machen-zu-wenig-aus-ihrer-datenanalyse, Abruf vom 13.05.2023

Wenn Sie sich an das legendäre Interview der deutschen ehemaligen Bundeskanzlerin zur Eröffnung der Cebit 2013 nochmals anschauen wollen: „ Das Internet ist ja für uns alle Neuland…“. Und trotzdem sind wir bei der Digitalisierung in Europa in Deutschland auf dem vorletzten Platz.

Ist Continuous Audit somit für uns alle in der Internen Revision Neuland? Seit wann gibt es das eigentlich?

2 CAAT – Herleitung und Bedeutung

2.1 Bedeutung und Einsatz von CAAT in den IIA Standards 2017

Der Begriff CAAT „computerassisted audit techniques“ kommt in den neuen Standards 2023 nicht mehr vor. Wir haben trotz Recherche im Internet (die Digitalisierungsquote von Quellen vor 2000 ist sicherlich nicht optimal), und auch in Büchern, das genaue Datum der Entstehung nicht ermitteln können.

Einen Beweisansatz können wir sogar mit ChatGPT antreten – wenn Sie ein wenig mehr zu Prof. Hartmut Will (einer der Pioniere des Themas) Suchanfragen an Google stellen, finden Sie allerdings zumindest ein paar Stellen.

Anfrage an kostenfreie ChatGPT Version 3.5, OpenAI.com vom 13.05.2023

Aus meiner Vergangenheit heraus weiß ich (Hans-Willi Jackmuth), dass mir der Begriff das erste Mal Anfang der 1990er beim Umgang mit ACL bewusst geworden ist. Dies kann auch gut sein, da der Begriff ursprünglich in diversen Papieren (auch noch in den Standards 2017) in französischer Sprache dargestellt wurde, was für eine Entstehung in Kanada spricht.

Prof. Hartmut J. Will hat die ersten Schritte mit ACL (heute unter dem Namen Galvanize bekannt) an der University of British Columbia (Vancouver, Kanada) im Jahr 1972 als „Audit Command Language“ vorgestellt, Idea ist ursprünglich aus einer Initiative des kanadischen Rechnungshofes entstanden.

Wenn also schon im letzten Jahrtausend in den Standards solch klare Vorgaben existierten, warum sind wir dann heute nicht im Berufsstand weiter? In den 1990er Jahren redeten wir von Excel mit 16.384 Zeilen und ACL/Idea war nur etwas für Spezialisten. Viele „Commands“ in Form von harten Formeln in diesen Tools entsprachen dem Bedienungskomfort der damaligen Zeit, waren für das normale Revisionsgeschäft viel zu unhandlich.

Die Frage ist aber, warum wir heute in der Entwicklung von CAAT nicht weiter sind? CAAT steht synonym für den vollen Umfang von datenanalytischen Möglichkeiten mittels Tools.

2.2 CAATs Beispiele in der Begriffswelt der Wirtschaftsprüfer

Im Folgenden listen wir einmal ein paar Begriffe auf, die nach verschiedenen Quellen im Web unter den Begriff CAATs fallen. Um es klar zu sagen, bis dahin sind die Maschinen – hier ChatGPT in der Lage – Informationen zusammen zu fassen:

  1. Datenanalyse: CAATs können eingesetzt werden, um Daten aus verschiedenen Quellen zu sammeln, zu prüfen und zu analysieren. Sie können Daten auf Richtigkeit, Vollständigkeit und Konsistenz prüfen und so potenzielle Fehler und Unregelmäßigkeiten aufdecken.
  2. Stichprobenprüfung: CAATs können verwendet werden, um automatisierte Stichprobenprüfungen durchzuführen, um das Risiko von Fehlern und Unregelmäßigkeiten zu minimieren.
  3. Betrugsprüfung: CAATs können eingesetzt werden, um Daten zu prüfen und so potenzielle Betrugsfälle aufzudecken. Beispielsweise können CAATs zur Überwachung von Transaktionen und zum Erkennen von Abweichungen von erwarteten Mustern eingesetzt werden.
  4. Kontenabgleich: CAATs können verwendet werden, um Kontenabgleiche durchzuführen und so sicherzustellen, dass die Konten des Unternehmens korrekt und konsistent sind.
  5. Prozessautomatisierung: CAATs können eingesetzt werden, um manuelle Prozesse zu automatisieren und so Zeit und Ressourcen zu sparen. Beispielsweise können CAATs verwendet werden, um Buchhaltungsprozesse zu automatisieren oder um Rechnungsprüfungen zu vereinfachen.
  6. Compliance-Prüfung: CAATs können eingesetzt werden, um sicherzustellen, dass das Unternehmen den geltenden Gesetzen und Vorschriften entspricht. Beispielsweise können CAATs verwendet werden, um die Einhaltung von Steuervorschriften oder Datenschutzgesetzen zu überwachen.3Anfrage an kostenfreie ChatGPT Version 3.5, OpenAI.com vom 10.05.2023: „Schildere bitte die Anwendungsbeispiele in der Audit-Praxis für Continuous Audit“

Unser Ziel war es nicht, den Artikel durch einen ChatBot schreiben zu lassen. Wir nutzen aber gerne diese Technologie, um auszutesten, wozu die Maschinen aktuell in der Lage oder auch noch nicht in der Lage sind.

Der Text von ChatGPT ist aus einer Hubschrauber-Perspektive geschrieben, wurde nach unserer Recherche von den verschiedensten (amerikanischen) Plattformen der Big4 zusammengestellt und deckt sich aber mit unserem Erfahrungsschatz.

Das ist nicht immer so – die Ergebnisse sehen häufig flüssig im Stil aus, sind aber schlichtweg nicht auf nachvollziehbare Quellen gestützt. In vielen anderen Anfragen gilt zusätzlich noch: Die Antwort kam schnell, sie war richtig und du kannst nichts damit anfangen – vergleichbar: „Die Antwort auf die Frage aller Fragen ist 42“.

Wie Sie vielleicht wissen, wird im Roman und Film „Per Anhalter durch die Galaxis“ ein gigantischer Computer gebaut, um die Antwort auf die ultimative Frage des Universums zu finden. Nach 7,5 Millionen Jahren Rechenzeit gibt der Computer schließlich die Antwort „42“.4https://de.wikipedia.org/wiki/Per_Anhalter_durch_die_Galaxis

Die Beispiele zeigen aber trotzdem, dass CAATs eine breite Palette von Anwendungsbereichen haben und eine wertvolle Ressource – und jetzt würden wir das gerne auf unsere Tätigkeit übertragen – für Interne Revisor:innen sein können, um effektivere und effizientere Audits durchzuführen.

2.3 Zusammenhang zwischen CCM und des CA

Ein Meilenstein in der Entwicklung der heutigen Managementsysteme war die Einführung von Risikomanagement, in Deutschland erstmals durch KonTraG zum 01.05.1998 gesetzlich gefordert. Der international zu beachtende nächste Step ist der Sarbanes-Oxley-Act, der am 30. Juli 2002 vom US-Kongress verabschiedet wurde und zeitgleich in Kraft trat.

Aus diesem Vorgehen entwickelten sich Risiko-Kontroll-Matrizen, die in theoretischen Ansatz in der sauberen Unterscheidung zwischen „Control Continuous Monitoring (CCM)“, ausführende Einheit = Fachbereich IKS, und dem „Continuous Auditing (CA)“, ausführende Einheit = Interne Revision, als Begrifflichkeiten führten.

Wir nutzen heute in Seminaren eine stark vereinfachte Darstellung einer ISACA-Folie ca. aus dem Jahr 2005:

Darstellung und Abgrenzung von CCM und CA  - addResults - eigene Darstellung
Darstellung und Abgrenzung von CCM und CA  - addResults - eigene Darstellung

Dieses Schaubild soll nochmals verdeutlichen, dass in einem optimalen Fall das interne Kontrollsystem bereits in der zweiten, deutlich operativeren Linie durch CCM überwacht werden soll. Ob Sie das in einer Funktion „IKS-Abteilung“ bündeln oder dies heterogen von einer anderen Funktion mitgestaltet wird (Organisation/IT/Prozessmanagement/etc.), sei dahingestellt.

„Die Überwachung erfolgt allerdings inhaltlich mit den gleichen Methoden und Tools, die auch für die Überwachung der Internen Revision [per CA] herangezogen werden können. Die Interne Revision hat nach unserem Verständnis den Auftrag, das Kontrolldesign permanent zu überwachen und die Wirksamkeit des Gesamtsystems sicherzustellen. Bei Überprüfung des Control Designs (auch als Design Effectiveness bezeichnet) ist zu bestimmen, ob eine Kontrolle das vorgegebene Kontrollziel erfüllen und damit das verbundene Kontrollrisiko mindern bzw. ausschließen kann. Solch eine Überprüfung muss in regelmäßigen Abständen vorgenommen werden“5Vgl. Jackmuth: „Wirksamkeit fraudspezifischer Kontrollpläne unter Nutzung des Internen Kontrollsystems“, 2018, S. 685 .

Ergebnis: Man könnte sich in der Internen Revision zurücklegen und die Pflicht beim „Fachbereich IKS“ sehen und das CA als Add-On verstehen. Ein Freund hat uns gegenüber – in seiner Eigenschaft als Revisionsleiter und Kunde – einen Satz geprägt, den wir gerne zitieren: „Bevor es kein anderer umsetzt, mache ich es mit meinen Mitteln. Wir haben als Revision den Mehrwert davon und anschließend übergeben wir die geschaffenen Strukturen in die zweite Linie.“

Kommen wir zu unserer Lieblingsinterpretation: Ja, das Vorgehen produziert Aufwand, schafft aber für das Unternehmen einen deutlichen Mehrwert.

2.4 Vorteile von Control Continuous Monitoring (CCM) und Continuous Auditing (CA)

Wenn Sie in den Werbebroschüren der einzelnen Softwarehersteller stöbern, so zielt CCM darauf ab, potenzielle Schwachstellen in den Kontrollprozessen eines Unternehmens zu identifizieren und proaktiv zu beheben, bevor sie zu größeren Problemen führen.

Das Konzept basiert auf der Idee, dass Unternehmen kontinuierlich ihre Kontrollprozesse überwachen sollten, um sicherzustellen, dass sie effektiv und effizient sind. CCM umfasst die Verwendung von Datenanalyse-Tools, um Transaktionen operativ möglichst in Echtzeit zu überwachen und zu analysieren, um Abweichungen von den erwarteten Geschäftsprozessen und Kontrollen zu identifizieren.

Aufgabe der zweiten Linie muss es sein, durch die Implementierung von Kontrollen (welche gerne durch CCM maschinell abgebildet werden können), die Risiken zu minimieren und die Compliance mit internen und externen Vorschriften sicherstellen.

Dafür spricht für eine maschinelle Auslagerung der Kontrollen, die Geschwindigkeit der Verarbeitung und eine schnelle Reaktion auf erkannte potenzielle Probleme. Prävention oder proaktives Handeln sind hier die geforderten Vokabeln.

Dies kann man 1:1 auf unsere Auditsicht übertragen. Zusätzlich kommen aus unserer Sicht als weiterer Vorteil eine strategische Sicht der Internen Revision (man ist viel näher am operativen Geschehen, wenn man sich die Daten regelmäßig zieht) auf mögliche Prüfungsfelder hinzu.

Die beiden Hauptgründe für die Einführung von CA sind eine Ausreißer-Analyse bei bestimmten aus Sicht der Internen Revision unerlässlichen Kontrollen und eine schnelle, „agile“ Information zur optimalen Gestaltung der Prüfungsstrategie.

2.5 Risiken und Nachteile beim Einsatz von Continuous Auditing

„Was mache ich denn, wenn ich ein potenzielles Fraudrisiko hätte entdecken können, ich aber aus Kapazitätsgründen nicht in die Daten geschaut habe?“ Eine sehr beliebte Frage in Workshops bei uns.

Die Antwort ist relativ einfach: „Das kann Ihnen auch ohne ein datenanalytisches, regelmäßiges Vorgehen passieren. Oder prüfen Sie immer den Gesamtumfang eines Prüfungsgebietes und beschränken sich nicht auf eine zufällige Auswahl?“

Klarer Nachteil eines CA-Vorgehens sind sicherlich die Kosten. Bei der Recherche zu diesem Artikel haben wir eine Website eines typischen Anbieters gefunden, die beschrieb, dass man in allen Projekten mit Kunden – sei es im 5- oder 7-stelligem Bereich – mit der Software eine Lösung gefunden habe. Gerne würden wir einmal ein derartiges Projekt auditieren – und den ROI auch in einem Großkonzern rechnen. Das kann sich rechnen – dann muss man aber viele Wins berücksichtigen.

Aus diesem Grund möchten wir im zweiten Teil des Artikel „Low-Budget-mäßig“ beginnen – 10 USD im Monat für einen Arbeitsplatz, ggf. mal der Anzahl der Revisor:innen sollten kein Hindernis darstellen. Zusätzlich sprechen wir dann auch über Höhe Ihres Implementierungsaufwands in der Internen Revision.

3 Software – strategische Überlegungen zum Einsatz von CA

Aus unserer Sicht ist grundsätzlich jede Datenanalyse-Software geeignet, erfolgreich den Ansatz der Regelmäßigkeit umzusetzen. Die Systeme unterscheiden sich jedoch in der Art der Spezialisierung (denken Sie bitte an Processmining-Software), in der Art der Visualisierungsmöglichkeiten (Dashboards) oder auch in den grundsätzlichen verbauten Algorithmen (mathematisch-stochastisch).

Dabei kann man auf die verschiedensten Produkte zurückgreifen, sowohl vom Funktionsumfang als auch von der Preisgestaltung her. Eines ist für uns (aus strategischer Sicht) relativ klar: Wenn Sie sich einmal für ein derartiges Produkt entschieden haben, sollten Sie dieses in der gesamten Komplexitätsbreite austesten, bevor Sie das Produkt in das file-Verzeichnis Ihrer Wahl verdammen. Gründe für einen Austausch können aber beispielsweise die fehlenden grafischen Möglichkeiten sein – es macht wenig Sinn den Zahlenfriedhof in einem Tool zu erzeugen und dann die Daten per Schnittstelle weiter zu reichen. Power BI ist Markt- und Technologieführer (auch laut Gartner-Quadranten) und dabei auch noch kostenlos in der Desktop-Variante.

Sehr umfangreich in den Analysemöglichkeiten ist auch noch das OpenSource-Produkt „KNIME“ der Universität Konstanz, dass über zahlreiche, für die klassischen Softwareprodukte eher ungewöhnliche Funktionen bis hin zu neuronalen Netzen und „machine learning“ verfügt.

Mit Python als Beispiel habe ich mit einiger Hochachtung zuletzt in LinkedIn verfolgt, wie ein Wissenschaftler Code zur Voraussagung von Erdbeben veröffentlicht hat. Es dürfte klar sein, dass man derartige Algorithmen auch auf betriebswirtschaftliche Daten anwenden kann – das aber bitte als absolute:r Spezialist:in.

Aus unserer Sicht ist es zum jetzigen Zeitpunkt clever, einmal mit Bots in der Internen Revision zu beginnen. Und wie versprochen – wir zeigen Ihnen einen Weg, der das Thema schmal und mit wenigen Kosten abdeckt. Freuen Sie sich auf den zweiten Teil des Blogs – dann wird es ganz praxisnah, aber auch ein wenig technisch.

Literaturverzeichnis

DIIR, IIA Austria, IIA Switzerland. 2020. Enquete 2020. Available at IIA Austria:
Enquete-Broschuere_2020_OV_V3.pdf (internerevision.at)

Jackmuth, Hans-Willi. 2018. Wirksamkeit fraudspezifischer Kontrollpläne unter Nutzung des Internen Kontrollsystems, in Jackmuth, de Lamboy, Zawilla (Hrsg.): Fraud & Compliance Management - Trends, Entwicklungen, Perspektiven, S. 669-700

Jackmuth, de Lamboy, Zawilla. 2018. Fraud & Compliance Management - Trends, Entwicklungen, Perspektiven. Frankfurt a. M.: Frankfurt School Verlag.

McKinsey. 2016. Big Data: Unternehmen machen zu wenig aus ihrer Datenanalyse. Available at:
https://www.mckinsey.com/de/news/presse/big-data-unternehmen-machen-zu-wenig-aus-ihrer-datenanalyse

The Institute of Internal Auditors. 2023. Globale Standards für die Interne Revision – Entwurf 2023 zur öffentlichen Konsultation. Available at IIA:
https://www.theiia.org/globalassets/site/standards/ippf/public-comment-draft/iia-global-internal-audit-standards-public-comment-draft-german.pdf

Über die Autor:innen

linkedin
Inhaltbars