Continuous Auditing – Automatisierte Prüfungen in SAP®

Digitalisierung in der Internen Revision

Die alltägliche Arbeit eines Revisors wird durch die Anforderungen des Institute of Internal Auditors (IIA) bestimmt: Es gibt einen Mehrjahresplan, der alle Prüfungsobjekte beinhalten soll. Basierend darauf werden jedes Jahr nach Risikoklassifizierung die Prüfungen für das Jahr bestimmt. In zeitlichen Abständen, die häufig weit länger als ein Jahr sind, erhält die Prüfung des SAP®-Systems dort auch ihren Platz. Aber fragen Sie sich auch manchmal, ob das nicht zu wenig ist? Das SAP®-System ist in den meisten Unternehmen das Herzstück der Finanzbuchhaltung, ja des gesamten Unternehmens. Alle Zahlungen werden darüber geleitet. Sollte man das System nicht aus diesem Grund ständig prüfen, sodass Unstimmigkeiten schnell aufgelöst werden können? Aber wie soll man das als Revisor leisten, wenn es noch weitaus mehr Prüfungsobjekte gibt, denen man sich widmen muss?

Genau diesem Problem stehen viele Revisoren gegenüber, die ich in meinen Projekten kennengelernt habe. Automatisierung kann dabei helfen. Das Zauberwort, welches oft im Raum steht, nennt sich „Continuous Auditing“. Ein englischer Begriff, der viele Definitionen kennt. Aber was genau ist damit eigentlich gemeint?

Der Begriff Continuous Auditing

Continuous Auditing beschreibt die kontinuierliche und automatische Überwachung bzw. Prüfung eines Prozesses oder eines Bereiches. Dabei werden Ergebnisse in einem regelmäßigen Abstand (monatlich, quartalsweise oder auch jährlich) „just in time“ übermittelt und von der Revision ausgewertet.

Es geht vordergründig darum, dass in regelmäßigen Abständen einzelne, für das Unternehmen kritische Kontrollen geprüft werden. Es muss individuell entschieden werden, welche Risiken bestehen und davon abgeleitet, welche Prüfungsaktvitäten eingeleitet werden.

Von einer jährlichen Prüfung einzelner Bereiche zu einem kontinuierlichen Überblick

Der erste Schritt besteht also darin, kritische Prozessschritte zu erkennen und diese mit dem Zeitpunkt bzw. Ereignis innerhalb des SAP®-Systems zu verbinden. Jedes Unternehmen legt seinen Fokus auf unterschiedliche Bereiche und hat ggf. auch Customizing-Einstellungen, die die Risiken anders verteilen.

Ein Beispiel für eine kontinuierliche Überwachung ist die Überwachung der „Großen Umsatzprobe“. Dieser Report vergleicht die Salden und Belege auf allen Konten und muss monatlich nach dem Monatsabschluss von der Fachabteilung durchgeführt werden. Sollte der Report nicht „Null“ ergeben, müssen umgehend Maßnahmen ergriffen werden, um die Ursache zu identifizieren und zu beheben. Der Internen Revision steht ein Standardreport zur Verfügung, der die Historie der Abstimmanalyse beinhaltet. Dadurch kann auf einen Blick erkannt werden, wann die Abstimmung gelaufen ist und ob die Abstimmung auf Unregelmäßigkeiten gestoßen ist. Wenn diese Prüfung durch die Interne Revision nur alle zwei Jahre durchgeführt wird, werden Unregelmäßigkeiten zu spät entdeckt und können weitreichende Folgen, auch für den Jahresabschluss, haben. Daher bietet es sich offensichtlich an, diesen Report monatlich durch die Interne Revision aufrufen zu lassen. Im optimalen Fall sollte die Kontrolle dabei so automatisiert werden, dass nur noch ein Alert erfolgt, wenn Abweichungen erkannt werden.

Prüfungen die einen ähnlichen Charakter haben, wie die „Große Umsatzprobe“, sollten in das Continuous Auditing integriert werden.

Welche Möglichkeiten bietet das SAP®-System der Internen Revision?

Gerade in meinen Projekten lerne ich Revisoren kennen, die regelmäßig das SAP®-System prüfen, aber durch die kurze Prüfungsphase keine ganzheitliche Sicht auf alle Prozesse bekommen. Die Möglichkeiten, die das System für die Prüfung bereitstellt, sind in den meisten Fällen nicht bekannt und können auch nur bedingt durch Schulungen vermittelt werden.

Dabei bietet das SAP®-System eine Möglichkeit, die Standardreports für die Interne Revision in eine Prüfungsstruktur zu bringen, die einen Prüfer Schritt für Schritt durch die Prozesse leitet. Dieser sogenannte Arbeitsbereich wird durch das „Audit Information System“ geschaffen. Mittels eines strukturierten Benutzermenübaums werden der Internen Revision alle Standardreports, die von Bedeutung sein könnten, zur Verfügung gestellt.

Genau diese Reports können für das Continuous Auditing genutzt werden. Über die Möglichkeit Varianten zu definieren, die Variablen beinhalten und somit dynamisch „mit der Zeit“ gehen (Beispiel Monatsende plus ein Tag), können diese Reports in eine kontinuierliche Joblandschaft eingebaut werden. Diesen Jobs kann mitgegeben werden, in welchen Abständen und zu welcher genauen Uhrzeit sie laufen sollen. Das Ergebnis kann der Internen Revision dann über mehrere Wege „just in time“ zur Verfügung gestellt werden.

Sollten die Reports nicht den Anforderungen entsprechen bzw. nicht ausreichen, gibt es zwei Werkzeuge der SAP®, die die eigenständige Konfiguration von Reports ermöglichen. Diese beiden Werkzeuge heißen SAP Query und SAP QuickViewer. Durch die Verknüpfung von Tabellen und die Definition von Selektions- und Ausgabefeldern, können individuelle Reports erstellt werden, die - ebenfalls wie die Standardreports – mittels einer Variante in einen Job integriert werden. Weitere Details zu SAP Query und SAP QuickViewer erhalten Sie in meinem nächsten Blogbeitrag.

Fazit

Die Evaluation der Risiken und der dadurch abgeleiteten Reports kann eine Menge Zeit in Anspruch nehmen. Dennoch sind die Einsparungen an Zeit und Aufwand durch die automatisiert durchlaufenden Reports weitaus größer als der Aufwand zu Beginn. Außerdem können neue Risiken schneller entdeckt werden oder dolose Handlungen ans Tageslicht kommen. Dadurch besteht für die Interne Revision die Chance, Prüfungen auf Seiten der Qualität und Effizienz deutlich zu verbessern.