Content

Daniel Fischer, Stefan Grosch, Daniela Pawlik, Burkhard Pedell, Prüfkonzept für Geschäftseinheiten ohne Regelprüfung bei der Robert Bosch GmbH in:

Controlling, page 608 - 614

CON, Volume 25 (2013), Issue 11, ISSN: 0935-0381, ISSN online: 0935-0381, https://doi.org/10.15358/0935-0381_2013_11_608

Browse Volumes and Issues: Controlling

Bibliographic information
„Konservativ“ „Progressiv“ Ermittlung von Soll-Ist-Abweichungen Verbesserung von Sachverhalten Flächendeckende Durchführung der Prüfungen Risikoorientierte Durchführung der Prüfungen Ausschließliche Prüfung des Finanz- und Rechnungswesens Prüfung aller Unternehmensbereiche Ordnungsmäßigkeits- und Sicherheitsprüfungen Wirtschaftlichkeits-, Zweckmä- ßigkeits- und Risikoprüfungen Vergangenheitsorientierung Zukunftsorientierung Abb. 1: Entwicklung der Aufgaben der Internen Revision (in Anlehnung an Egner, 2011, S. 29) Prüfkonzept für Geschäftseinheiten ohne Regelprüfung bei der Robert Bosch GmbH Risikoorientierte Prüfungsplanung und wirtschaftlichkeitsorientierte Prüfungsdurchführung Daniel Fischer, Stefan Grosch, Daniela Pawlik und Burkhard Pedell Dipl.-Kfm. techn. Daniel Fischer ist wissenschaftlicher Mitarbeiter am Lehrstuhl Controlling der Universität Stuttgart. Dipl.-Kfm. Stefan Grosch ist Leiter der Zentralabteilung Interne Revision der Robert Bosch GmbH. Daniela Pawlik, B. Sc., studiert im Masterstudiengang Technologieund Managementorientierte BWL an der TU München. Prof. Dr. Burkhard Pedell ist Inhaber des Lehrstuhls Controlling an der Universität Stuttgart und Mitherausgeber der Zeitschrift Controlling. Er ist Senior Fellow am Risk Management and Decision Processes Center, The Wharton School, University of Pennsylvania. Stichwörter  Internes Kontrollsystem  Interne Revision  Prüfungsdurchführung  Prüfungsplanung  Scoring Modell Die grundsätzliche Ausrichtung der Internen Revision unterlag in den vergangenen Jahren einem Wandel hin zu einem Instrument für die ex ante- Bewertung risikobehafteter Sachverhalte. Um den damit verbundenen Anforderungen gerecht zu werden, entwickelte die Robert Bosch GmbH ein Prüfkonzept für Geschäftseinheiten ohne Regelprüfung, das sich durch eine risikoorientierte Prüfungsplanung sowie eine wirtschaftlichkeitsorientierte Durchführung auszeichnet und im vorliegenden Beitrag vorgestellt wird. ........................................................ 1. Wandel in der Wahrnehmung der Revisionsaufgaben ........................................................ Die Interne Revision spielt eine zentrale Rolle im Internen Kontrollsystem (IKS) eines Unternehmens und unterstützt die Geschäftsführung in ihren Überwachungsaufgaben mittels der Durchführung unabhängiger Prüfungen. Die grundsätzliche Auffassung bzw. Ausrichtung der Internen Revision unterlag in den vergangenen Jahren einem starken Wandel. Die Interne Revision wird nicht mehr allein als ex post-Kontrollfunktion gesehen. Sie entwickelte sich weiter zu einem Instrument zur ex ante-Bewertung risikobehafteter Sachverhalte, welches zu Präventionszwecken eingesetzt wird (vgl. Deutsches Institut für Interne Revision, o. J., S. 6). Dies bringt mit sich, dass die flächendeckende Vollprüfung des Unternehmens aufgrund der turnusmäßigen Prüfung aller Geschäftseinheiten durch eine verstärkt risikoorientierte Prüfungsplanung abgelöst wird, die dadurch gekennzeichnet ist, dass risikobehaftete Geschäftseinheiten in kürzeren Abständen Gegenstand einer Revisionsprüfung werden (vgl. Zaeh/Heidemann, 2012a, S. 25 f.). Abb. 1 verdeutlicht den beschriebenen Wandel, der sich in der Wahrnehmung der Revisionsaufgaben vollzogen hat. Um den beschriebenen Anforderungen gerecht werden zu können, wurde von der Robert Bosch GmbH ein erweitertes Prüfkonzept für Geschäftseinheiten ohne Regelprüfung entwickelt, welches einerseits zu einer Verbesserung der bestehenden Prüfungsplanung beitragen, andererseits den Kriterien einer wirtschaftlichen Prüfungsdurchführung Rechnung tragen soll. Hierzu war es nötig, bislang bestehende Strukturen und Überlegungen zu 608 CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Risikoorientierte Prüfungsplanung Identifikation Bewertung Priorisierung Prüfungsprogramm Abb. 2: Regelkreis zur risikoorientierten Prüfungsplanung (vgl. Deutsches Institut für Interne Revision e. V., 2010a, S. 11) Risikoeinschätzung und Größe der Geschäftseinheiten kritisch zu hinterfragen. Bislang wurden zahlreiche kleinere Standorte durch die Interne Revision der Robert Bosch GmbH nicht regelmäßig auditiert. Die Prüfungsplanung der Regelprüfungen (Sonderprüfungen ausgenommen) vollzog sich ausschließlich basierend auf einem flächendeckenden Prüfungsansatz. Für die bisher ausgeklammerten Geschäftseinheiten ohne Regelprüfung sollte daher ein risikoorientiertes Vorgehen entwickelt werden, das die von kleinen Einheiten ausgehenden Risiken für das Unternehmen reduziert. Hierfür wurde es als zweckmäßig erachtet, die kleinen Einheiten in Cluster einzuteilen und durch die Prüfung einer Stichprobe Rückschlüsse auf alle zugehörigen Einheiten des Clusters zu ziehen. Ziel des Beitrages ist es, neben der Entwicklung eines Prüfkonzeptes für Geschäftseinheiten ohne Regelprüfung auch die umfangreichen Anpassungen des Prüfungsablaufes, die zur Gewährleistung einer wirtschaftlichen Durchführung erforderlich werden, zu diskutieren. Hierfür wird in Kapitel 2 ein kurzer Überblick über die grundsätzliche Vorgehensweise einer risikoorientierten Prüfungsplanung gegeben. Kapitel 3 beschäftigt sich anschließend mit den Kriterien, die für eine risikoorientierte Bewertung der Prüfungsdringlichkeit der Geschäftseinheiten grundsätzlich anwendbar sind. Darauffolgend wird dargestellt, welche Kriterien bei der Robert Bosch GmbH eingesetzt werden und wie die risikoorientierte Auswahl der Prüfobjekte erfolgt. In Kapitel 4 werden die Modifikationen des Prüfungsablaufes beschrieben und diskutiert. Im fünften und letzten Kapitel wird ein Fazit gezogen und es werden erste Ergebnisse von bislang durchgeführten Pilotprüfungen aufgezeigt. ........................................................ 2. Systematisches Vorgehen in der risikoorientierten Prüfungsplanung ........................................................ Die Konzeption eines risikoorientierten Prüfungsansatzes wurde von der Robert Bosch GmbH in Form einer Projektarbeit durchgeführt. Dabei wurde sowohl auf bisherige Erfahrungen im Rahmen der Internen Revision als auch auf aktuelle Diskussionen in der wissenschaftlichen Literatur zurückgegriffen. Als Ausgangspunkt für eine systematische Vorgehensweise wurden die vier Schritte des Regelkreises zur risikoorientierten Prüfungsplanung herangezogen, welche vom Deutschen Institut für Interne Revision beschrieben werden (vgl. Abb. 2). Um eine fundierte risikoorientierte Auswahlentscheidung treffen zu können, bedarf es zunächst einer lückenlosen Aufstellung des Audit Universe, d. h. der Identifikation und Systematisierung sämtlicher potenzieller Prüfungsobjekte der Internen Revision. Anschließend erfolgt eine Bewertung der Prüfungsgebiete, um das Gesamtrisiko jedes zu prüfenden Bereichs abschätzen zu können. Auf diese Weise wird sichergestellt, dass bevorzugt jene Einheiten in das Prüfungsprogramm aufgenommen werden, die die höchste Prüfungsdringlichkeit aufweisen. Bevor die Prüfungsobjekte priorisiert werden, ist das Audit Universe weiter zu systematisieren. Als Abgrenzungskriterien werden hierzu u. a. aufbauorganisatorische, funktionale oder regionale Kriterien verwendet. Um das Ziel der Reduzierung der von kleinen Einheiten ausgehenden Risiken zu erreichen, sind im Anschluss daran jene Geschäftseinheiten zu einem Prüfungsprogramm zusammenzustellen, die gegenwärtig ohne Regelprüfung sind (vgl. auch Krey, 2001, S. 39–41). Da die Risikobeurteilung der Prüfungsgebiete zur Abschätzung des Gesamtrisikos eine zentrale Stellung – nicht nur in oben dargestelltem Regelkreis, sondern auch in der Prüfungsplanung der Internen Revision der Robert Bosch GmbH – einnimmt, sollen diese in dem folgenden Kapitel eingehender betrachtet werden. ........................................................ 3. Auswahl der Prüfobjekte in der risikoorientierten Prüfungsplanung ........................................................ Im Rahmen der Konzepterstellung wurde auf Empfehlungen der Literatur zur Internen Revision für die Auswahl der Prüfobjekte in einer risikoorientierten Prüfungsplanung zurückgegriffen. Für die Interne Revision der Robert Bosch GmbH stellte sich die Empfehlung, dass für die risikoorientierte Jahresprüfungsprogrammplanung ein quantitatives Modell einzuführen sei (vgl. Deutsches Institut für Interne Revision e. V., 2010a, S. 27 f.), als die praktikabelste Vorgehensweise heraus. Aus dem breiten Spektrum der zur Verfügung stehenden Möglichkeiten, welches von Scoring-Verfahren bis hin zu Monte Carlo-Simulationen reicht, wählte die Robert Bosch GmbH ein auf einer Nutzwertanalyse basierendes Scoring-Modell. Dieses dient dazu, aus mehreren Handlungs- Prüfkonzept für Geschäftseinheiten ohne Regelprüfung bei der Robert Bosch GmbH 609 25. Jahrgang 2013, Heft 11 Risikokriterien Hofmann, 1993 Berwanger/ Kullmann, 2008 Peemöller/ Kregel, 2010 Schroeder et al., 2010 Zaeh/ Heidemann, 2012a Zeitabstand zur letzten Prüfung/Prüfungshäufigkeit 9 9 9 9 9 Ergebnisse der letzten Prüfung 9 9 9 9 9 Finanzielle Bedeutung 9 9 9 9 9 (Ablauf-) organisatorische Änderungen 9 9 9 9  Fluktuation/ Managementwechsel 9  9 9 9 Soll/Ist- Abweichungen 9 9   9 Komplexität der Funktionen/ Prozesse   9 9  Strategische Bedeutung  9 9   Hinweise/ Beschwerden 9   9  Risikokriterien in der Literatur Risikokriterien bei der Robert Bosch GmbH Vertriebswege (direkt oder über Zwischenhändler) Anzahl kritischer kaufmännischer Funktionen Anzahl kritischer IT-Funktionen Komplexität der Funktionen/Prozesse Erbringung von Shared Services Finanzielle Bedeutung Umsatzanteil im Cluster Länderrisiko Angepasster Korruptionswahrnehmungsindex von Transparency International Zeitabstand zur letzten Prüfung Zeitabstand zur letzten Prüfung Prüfungsergebnisse Prüfungsergebnisse Funktion Bewertung Rechnungswesen 2 Finanzen 3 Einkauf 3 Logistik 2 Vertrieb 3 Personalwesen 1 Interne Kontrollen 0 IT 3 Abb. 3: Kriterien zur risikoorientierten Bewertung von Geschäftseinheiten Abb. 4: Risikokriterien in der Literatur und bei der Robert Bosch GmbH Abb. 5: Risikobewertung der kritischen Funktionen alternativen mithilfe diverser Indikatoren diejenigen auszuwählen, die die größten Nutzwerte aufweisen. So kann eine quantitativ fundierte Auswahlentscheidung getroffen werden, die den Beitrag mehrerer Risikokriterien zum Gesamtrisiko berücksichtigt (vgl. Zaeh/Heidemann, 2012b, S. 60). Im Folgenden wird eine Auswahl möglicher Kriterien vorgestellt, mithilfe derer Geschäftseinheiten risikoorientiert in ihrer Prüfungsdringlichkeit bewertet werden können (vgl. Abb. 3). Aus Gründen der Übersichtlichkeit beschränkt sich die Abbildung auf die Darstellung der Kriterien, die übereinstimmend von mindestens zwei der betrachteten Veröffentlichungen genannt wurden. Wie in der Tabelle zu erkennen ist, werden lediglich die branchen- und unternehmensübergreifend gültigen Kriterien „Zeitabstand zur letzten Prüfung/Prüfungshäufigkeit“, „Ergebnisse der letzten Prüfung“ und „finanzielle Bedeutung“ einheitlich von den hier aufgeführten Autoren genannt. Hinsichtlich der Relevanz der übrigen Kriterien herrscht in der Literatur keine Übereinstimmung. Vielmehr sind für die Auswahl der geeigneten Kriterien unternehmensspezifische Faktoren von entscheidender Bedeutung (vgl. Schroeder et al., 2010, S. 110). Basierend auf praktischen Überlegungen und Vergleichen der Eigenschaften unterschiedlicher Geschäftseinheiten wurde die Auswahl der für das Scoring-Modell der Robert Bosch GmbH geeigneten Kriterien vorgenommen. Dabei wurde der Schwerpunkt auf folgende Risikokriterien gelegt (vgl. Abb. 4). Als entscheidender Einflussfaktor auf die Prüfungsdringlichkeit einer Geschäftseinheit wurde von der Robert Bosch GmbH das Risikokriterium Komplexität der Funktionen/Prozesse identifiziert (vgl. dazu Abb. 3 und Abb. 4). Funktions- und Prozessrisiken wurden in mehreren Bereichen, wie beispielsweise den Vertriebswegen oder Shared Services, festgestellt, welche als Risikokriterien von der Robert Bosch GmbH übernommen werden. Ebenso wurden die Kriterien der Finanziellen Bedeutung der Geschäftseinheit, das Länderrisiko, der Zeitabstand zur letzten Prüfung sowie das Ergebnis der letzten Prüfung als wesentlich eingestuft. Die von der Robert Bosch GmbH abgeleiteten bzw. übernommenen Risikokriterien sollen im Folgenden näher beleuchtet werden. Vertriebswege: Geschäftseinheiten, die ihren Vertrieb über Zwischenhändler organisieren, weisen im Vergleich zu denjenigen Geschäftseinheiten, die ihre Waren und Dienstleistungen direkt an Dritte verkaufen, ein erhöhtes Risikopotenzial auf. Der Vertrieb über Zwischenhändler ist anfälliger für Unregelmäßigkeiten wie beispielsweise die Zahlung von nicht nachvollziehbaren Provisionen. Daher werden für das erste von der Robert Bosch GmbH verwendete Risikokriterium die Vertriebswege der Geschäftseinheiten analysiert. Anzahl kritischer kaufmännischer und IT-Funktionen: Hinsichtlich dieser beiden Kriterien wurde versucht, eine numerische Bewertung hinsichtlich der Kritikalität vorzunehmen. Als unkritisch erachtete Funktionen werden mit null bewertet. Kritische Funktionen werden mit bis zu drei Punkten bewertet. Ein beispielhaftes Bewertungsergebnis ist in Abb. 5 dargestellt. Unter den kaufmännischen Funktionen sind Finanzen, Einkauf und Vertrieb am kritischsten zu sehen, da hier die Möglichkeit von Manipulationen und das Ri- 610 CONTROLLING & INTERNE REVISION CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG Risikokriterium Gewichtung gi Umsatzanteil im Cluster 30% Vertriebswege (direkt oder über Zwischenhändler) 20% Anzahl kritischer kaufmännischer Funktionen 15% Anzahl kritischer IT-Funktionen 15% Länderrisiko 10% Erbringung von Shared Services 10% Abb. 6: Gewichtung der Risikokriterien im Scoring-Modell siko eines Kapitalverlusts am höchsten sind. Desgleichen erhält die IT eine hohe Bewertung als kritische Funktion, weil bei unzureichender Datensicherheit das Risiko von Kapital- oder Know-How- Verlust ansteigt. Außerdem bestehen erhebliche Reputationsrisiken, wenn beispielsweise Mitarbeiterdaten nicht vertraulich behandelt werden. Die internen Kontrollen wurden nicht etwa als unkritisch bewertet, weil die Robert Bosch GmbH ein Internes Kontrollsystem für unwichtig erachtete, es geht vielmehr um die Frage, ob interne Kontrollen selbst durchgeführt werden oder als Shared Service vergeben sind. Das hat demzufolge keine wesentlichen Auswirkungen auf das mit der Geschäftseinheit verbundene Risiko. Die Überwachung, ob interne Kontrollen vollständig und korrekt durchgeführt werden, liegt im Verantwortungsbereich des jeweiligen Bereichsvorstands. Erbringung von Shared Services: Dieses Kriterium bezieht sich auf die Frage, ob Shared Services für andere Geschäftseinheiten erbracht werden. Im positiven Fall wird bezüglich des Kriteriums ein erhöhtes Risiko erwartet. Umsatzanteil im Cluster: Dieses Kriterium berücksichtigt die finanzielle Bedeutung der Geschäftseinheit. Allerdings wird der von der Geschäftseinheit erwirtschaftete Umsatz mit Dritten nicht in Relation zum Gesamtumsatz des Unternehmens, sondern in Relation zum Umsatz des Clusters betrachtet. Somit sollen verstärkt die Einheiten geprüft werden, die in ihrem Cluster einen großen Umsatzanteil haben. Länderrisiko: Dieses Risikokriterium berücksichtigt externe Faktoren, die in Verbindung mit der jeweiligen Geschäftseinheit stehen und bezieht sich auf das Länderrisiko (vgl. dazu auch Zaeh/Heidemann, 2012a, S. 31). Zur Beurteilung der länderspezifischen Anfälligkeit für Korruption wird der angepasste Korruptionswahrnehmungsindex von Transparency International verwendet. Zeitabstand zur letzten Prüfung und die Prüfungsergebnisse: Zwei weitere Kriterien, die in der Literatur besonders herausgestellt werden, sind der Zeitabstand zur letzten Prüfung und deren Prüfungsergebnisse (vgl. Abb. 3). Da kleine Einheiten bisher weitestgehend nicht auditiert wurden, liegen noch nicht ausreichend Daten vor, um diese Kriterien in die Auswahlentscheidung einzubeziehen. Diese Kriterien werden demnach aus der weiteren Betrachtung ausgeschlossen. Zukünftig sollen diese beiden Kriterien jedoch bei der Auswahlentscheidung berücksichtigt werden. Nach Bestimmung der relevanten Auswahlkriterien ist die Revisionsleitung der Robert Bosch GmbH durch die Einführung des Scoring-Verfahrens in der Lage, mithilfe eines strukturierten Vorgehens eine möglichst objektive Risikobewertung durchzuführen (vgl. Deutsches Institut für Interne Revision e. V., 2010a, S. 13). Hierfür werden die numerischen Ausprägungen der Kriterien gewichtet und zu einer Risikokennzahl für jedes Prüffeld addiert (vgl. Bünis/Gossens, 2011, S. 312 f.). Dabei ist darauf zu achten, dass die vorgenommene Gewichtung mit den Vorstellungen der Unternehmensleitung in Einklang gebracht wird (vgl. Schroeder et al., 2010, S. 110). Die Risikokriterien können einerseits alle mit derselben Gewichtung versehen werden, es besteht andererseits aber auch die Möglichkeit, bedeutendere Risikokriterien stärker zu gewichten und damit deren Einfluss auf das Ergebnis zu stärken. Die zweite Variante wurde von der Internen Revision der Robert Bosch GmbH gewählt. Eine mögliche Gewichtung ist in Abb. 6 aufgezeigt. Für die Beschaffung der erforderlichen Informationen wird ein Fragebogen verwendet, mit dessen Hilfe sich unter anderem Rückschlüsse auf die Anzahl und Komplexität der durchgeführten Prozesse und auf die vorhandenen Funktionen ziehen lassen. Auch Vertriebswege und Shared Services werden abgefragt. Die Priorität Pj eines Prüfungsthemas lässt sich dann rechnerisch wie folgt bestimmen (vgl. zum Folgenden Schroeder et al., 2010, S. 111): Pj = i Σ bi,j · gi Die Priorität entspricht der Summe der gewichteten Risikokriterien, wobei bi,j die Bewertung des Prüfungsthemas j hinsichtlich des Kriteriums i ist und gi die Gewichtung des Kriteriums i darstellt. Um eine Vergleichbarkeit der Ausprägungen der sechs Risikokriterien herzustellen, sind diese beispielsweise auf Werte zwischen 0 und 10 zu normieren (vgl. Deutsches Institut für Interne Revision e.V., 2010a, S. 17). An die Ermittlung einer Risikokennziffer für jede Geschäftseinheit, die Bestandteil des betrachteten Clusters ist, schließt sich die Berücksichtigung weiterer Faktoren an, für die keine quantitative Bewertung und Inklusion in das Scoring-Modell erwünscht ist. Das DIIR empfiehlt explizit, auch subjektive Kriterien für die Beurteilung der Prüfungsobjekte mit aufzunehmen (vgl. Deutsches Institut für Interne Revision e. V., 2010a, S. 29). Durch die bewusste Auswahl einzelner Objekte kann der Prüfer seine Fachkenntnis und Berufserfahrung in die Entscheidungsfindung mit einbringen und überlässt es nicht dem Zufall, wie die Stichprobe aussieht (vgl. Marten et al., 2011, S. 314 f.). Diesen Empfehlungen folgend hat sich die Interne Revision der Robert Bosch GmbH dafür entschieden, die Auswahl der zu prüfenden Einheiten nicht allein basierend auf einer Kennziffer zu treffen, sondern Elemente der bewussten Auswahl in die Entscheidungsfindung mit einzubeziehen. Um das Ziel einer ausgewogenen Stichprobe zu erreichen, wird sichergestellt, dass eine repräsentative Stichprobe kleiner und großer Standorte innerhalb des Clusters vertreten ist. Aus diesem Grund wird der Faktor Mitarbeiterzahl nicht in das Scoring-Modell aufgenommen. Ein weiterer Faktor, der auf ähnliche Weise Berücksichtigung findet, ist die Auswahl eines repräsentativen Querschnitts der Länder, die Bestandteil des Clusters sind. Prüfkonzept für Geschäftseinheiten ohne Regelprüfung bei der Robert Bosch GmbH 611 25. Jahrgang 2013, Heft 11 Mo Di Mi Do Fr Anreise Kick-off Prüfzeit Bericht schreiben Abstimmung Interne Durchsprache der Berichte Bericht versenden Beweissicherung Durchsprache der Berichte mit der Leitung vor Ort Abreise Prüfzeit Prüfzeit Abb. 7: Verbleibende Prüfungszeit bei Anwendung des bisherigen Ansatzes Auch hier soll verhindert werden, dass lediglich Standorte in denjenigen Ländern geprüft werden, die die höchste Risikokennziffer haben. Als letztes Element werden Hinweise des oberen Managements oder Erfahrungen aus vergangenen Prüfungen einbezogen. Diese können Indizien für eine erhöhte Prüfungsdringlichkeit liefern. Die Ergebnisse der Prüfung einer Stichprobe sollen Rückschlüsse auf die Grundgesamtheit, d. h. alle zugehörigen Einheiten jedes Clusters erlauben. Eine wesentliche Zielsetzung besteht darin, auf Basis festgestellter Mängel Maßnahmen zu definieren und im gesamten Cluster umzusetzen, um damit die Prozesse in allen Geschäftseinheiten, die Bestandteil des Clusters sind, zu verbessern und zur Risikoreduzierung in allen Einheiten beizutragen. Des Weiteren können daraus möglicherweise Hinweise zur Verbesserung der zukünftigen risikoorientierten Prüfungsplanung und speziell zur Verfeinerung des Scoring-Modells gewonnen werden. ........................................................ 4. Wirtschaftlichkeitsorientierte Prüfungsdurchführung ........................................................ Aus Gründen der Wirtschaftlichkeit ist eine große Prüfung, für die in der Regel fünf Wochen vorgesehen sind, für kleine Geschäftseinheiten ohne Regelprüfung nicht realisierbar. Aufgrund dessen wurde die Prüfungsdauer auf eine Woche gekürzt, mit der Zielsetzung, statt einer großen Prüfung eines größeren Standortes in derselben Zeit mehrere kleine Geschäftseinheiten zu prüfen. Hierfür musste der bisherige standardisierte Ablauf insbesondere hinsichtlich des organisatorischen Vorgehens deutlich vereinfacht werden. Würden alle Elemente einer regulären Prüfung in die verkürzte Prüfung kleiner Geschäftseinheiten übernommen, blieben von der angesetzten Prüfungszeit von einer Woche pro Standort lediglich rund zwei Tage (ca. 40 %) effektive Prüfungszeit übrig (vgl. Abb. 7), sodass keine sinnvollen Ergebnisse zu erwarten wären. Wie bei der Determinierung der Prüfungszeit für reguläre Prüfungen galt es auch hier, zwischen folgenden beiden Aspekten abzuwägen: Je mehr Zeit für eine Prüfungsdurchführung zur Verfügung gestellt wird, desto höher ist die erzielbare Urteilssicherheit. Allerdings steigt mit einer Verlängerung der Prüfungszeit der Aufwand der Prüfungsdurchführung. Die Herausforderung bei der Planung und Festlegung der verkürzten Prüfungszeit bestand somit darin, den Prüfungsablauf so zu gestalten, dass innerhalb der verkürzten Zeit bestmögliche Ergebnisse erzielt werden können und die gewonnenen Feststellungen mit hinreichender Urteilssicherheit zu belegen sind. Als zielführend wurde eine auf einer Aufwandsplanung basierende zeitliche Planung angesehen (vgl. zu den folgenden Ausführungen auch Amling/Bantleon, 2007, S. 221). Faktoren wie die Höhe des ermittelten Risikos und der Umfang des Prüfungsauftrages finden dabei ebenso Berücksichtigung wie die zeitlichen Restriktionen der Revisionsabteilung und gegebenenfalls des zu prüfenden Bereichs. Sofern verfügbar, kann auf Erfahrungswerte aus früheren Prüfungen zurückgegriffen werden. Aufgrund der vielen parallel stattfindenden Prüfungen ist dies in der Internen Revision der Robert Bosch GmbH nicht immer uneingeschränkt möglich, sodass vorab ein zeitlicher Rahmen definiert werden muss. Die zur Verfügung stehende Zeit wird zum Zwecke der Prüfungsabwicklung in vier Phasen eingeteilt (vgl. Abb. 8). In der Phase der Prüfungsankündigung findet die offizielle Ankündigung der bevorstehenden Prüfung bei den obersten beiden Führungsebenen statt. Der Bereichsvorstand trägt seinerseits dafür Sorge, dass die Verantwortlichen der zu prüfenden Geschäftseinheiten benachrichtigt werden. Im Zuge der Prüfungsankündigung wird ebenfalls ein Fragebogen versendet, der allgemeine Angaben, wie die Anzahl der Beschäftigten am Standort oder die angebotenen Produkte und Dienstleistungen abfragt. In der Vorbereitung ist insbesondere von Interesse, welche Funktionen am Standort vorhanden sind, wie viele Mitarbeiter in diesem Bereich tätig sind sowie ob und von welcher Abteilung Funktionen als Shared Service bezogen werden. Die von den Geschäftseinheiten des Clusters ausgefüllten Fragebögen ermöglichen es dem Auditteam einerseits, sich einen Überblick über die in dem Cluster befindlichen kleinen Einheiten zu verschaffen. Andererseits dienen sie dazu, eine risikoorientierte Vorauswahl der Einheiten zu treffen, die tatsächlich geprüft werden. In einem vorbereitenden Meeting werden die Geschäftseinheiten, die im Rahmen der Prüfung eines Clusters auditiert werden, durch den Prüfungsleiter in Abstimmung mit den Abteilungsleitern der Revision endgültig festgelegt. Des Weiteren werden Schwerpunkte der Prüfung definiert. Aufgrund der verkürzten Prüfungszeit vor Ort und des verstärkten Koordinationsbedarfs zwischen den verschiedenen Prüfteams ist eine Phase intensivierter Prüfungsvorbereitung erforderlich. Im Vergleich zu regulären Prüfungen wird dem Prüfteam daher eine zusätzliche Woche Vorbereitungszeit eingeräumt, in der noch nicht vor Ort geprüft wird. Gegenstand der Prüfungsvorbereitung sind die Einarbeitung in das Prüfthema sowie 612 CONTROLLING & INTERNE REVISION CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG 1. Woche 2. Woche 3. Woche 4. Woche 5. Woche Prüfungsvorbereitung Prüfungsnachbereitung Prüfung Einheit 2 Prüfung Einheit 3 Prüfung Einheit 1 Prüfungsankündigung Prüfungsvorbereitung Prüfungsdurchführung Prüfungsnachbereitung Mo Di Mi Do Fr Anreise Prüfzeit „Lean Report“ schreiben / Beweissicherung Durchsprache der Berichte = Abstimmung Abreise Prüfzeit Prüfzeit Prüfzeit Abb. 8: Phasenmodell für die Prüfung von Einheiten ohne Regelprüfung Abb. 9: Zur Verfügung stehende Prüfungszeit zur Prüfung kleiner Geschäftseinheiten das Setzen von Prüfungsschwerpunkten, die die Grundlage für ein zielgerichtetes risikoorientiertes Vorgehen bilden. Zusätzlich werden vorbereitende Datenanalysen durchgeführt, um mittels des Zugriffs auf ERP-Daten der verschiedenen Standorte bereits vorab bestimmte Sachverhalte auszuwerten (vgl. Peemöller/Kregel, 2010, S. 230). Die strukturierte Analyse hoher Datenmengen kann aufgrund der Standardisierung und Automatisierung der Prüfungshandlungen zu Effizienzgewinnen führen (vgl. Hölzer/Arendt, 2011, S. 306 f.), um auf diese Weise die Prüfungszeit vor Ort verstärkt für Gespräche mit den Sachbearbeitern und Verantwortlichen nutzen zu können. Mit diesen Maßnahmen kann im Rahmen der begrenzten Prüfungszeit vor Ort ein optimales Prüfungsergebnis erzielt werden. Um dem zuvor beschriebenen Problem der zu kurzen Prüfungszeit begegnen zu können (vgl. Abb. 7), mussten in der Phase der Prüfungsdurchführung Anpassungen vorgenommen werden. Wie in Abb. 9 zu erkennen ist, konnte durch eine extreme Straffung des Ablaufs insgesamt eine Erhöhung der Prüfungszeit von zwei auf knappe vier Tage erreicht werden. Ein erheblicher Zeitvorteil konnte dadurch realisiert werden, dass am Ende der Woche kein regulärer Bericht angefertigt wird, der allen formalen Vorgaben zu entsprechen hat. Die abschließende Besprechung der Prüfungsfeststellungen mit der Leitung vor Ort findet am Ende der Woche auf Basis eines „Lean Reports“, d. h. eines „schlanken“ Berichts, der lediglich die wichtigsten Fakten in aggregierter Form beinhaltet, statt. Auch die Abstimmungsgespräche, die für die spätere Zustimmung zum Bericht von erheblicher Bedeutung sind, vereinfachen sich dadurch, dass die kleinen Einheiten im Vergleich zu großen Werken beispielsweise deutlich weniger Hierarchieebenen aufweisen. So kann die inhaltliche Abstimmung der Prüfungsfeststellungen zu einem großen Teil bereits während der Prüfung und in der Durchsprache mit der Leitung vor Ort erfolgen. In der Phase der Prüfungsnachbereitung (vgl. Abb. 8) erfolgt zunächst die Aggregation der einzelnen „Lean Reports“ zu einem gemeinsamen Bericht. Die festgestellten Mängel werden mit einzelnen Wertungen pro Standort geführt, je nach Wertung (normaler, erheblicher oder gravierender Mangel) aber zusammengefasst. Die Interne Revision trägt dafür Sorge, dass für die Bewertung der festgestellten Mängel unternehmensweit einheitliche Maßstäbe angelegt werden (vgl. Deutsches Institut für Interne Revision e.V., 2010b, S. 86). ........................................................ 5. Zusammenfassung und Fazit ........................................................ Der wahrzunehmende Wandel der Internen Revision hin zu einem zu Präventionszwecken eingesetzten Instrument für die ex ante-Bewertung risikobehafteter Sachverhalte veranlasste die Robert Bosch GmbH, ihr bestehendes Prüfkonzept zu erweitern und Geschäftseinheiten, die bislang ohne Regelprüfung waren, in die Prüfungsplanung zu integrie- Prüfkonzept für Geschäftseinheiten ohne Regelprüfung bei der Robert Bosch GmbH 613 25. Jahrgang 2013, Heft 11 ren. Ziel dieses Beitrags war es deshalb, ein derartiges erweitertes Prüfkonzept zu entwickeln, ohne dabei die Wirtschaftlichkeit der Prüfungsdurchführung aus den Augen zu verlieren. Nach einer grundsätzlichen Darstellung der risikoorientierten Prüfungsplanung wurden Kriterien identifiziert, die eine risikoorientierte Auswahl der zu prüfenden Einheiten erlauben. Des Weiteren wurden Anpassungen des Prüfungsablaufs und der -struktur vorgestellt, welche die geforderte wirtschaftliche Durchführung gewährleisten. Dieses in Projektarbeit entwickelte Prüfkonzept wird zurzeit in mehreren Prüfungen nach dem beschriebenen Schema ersten Tests unterzogen. Obwohl sich das in diesem Beitrag vorgestellte Konzept zur Prüfung von Geschäftseinheiten ohne Regelprüfung dabei insgesamt als zielführend und effizient erwiesen hat, mussten nachträglich mehrere Anpassungen vorgenommen werden. So hat sich beispielsweise herausgestellt, dass unter den Prüfern zum Teil voneinander abweichende Auffassungen hinsichtlich der Prüfungsinhalte und den Bewertungskriterien bestehen. Da es diese unbedingt zu vermeiden gilt, wurden mehrere korrigierende Maßnahmen ergriffen, um ein gemeinsames Verständnis und damit eine Vergleichbarkeit der Prüfungen sicherzustellen. Zum einen wurden die in diesem Beitrag erwähnten Fragebögen mit den Prüfern besprochen und auftretende Fragen geklärt. Zum anderen wurden in den oben dargestellten Standardablauf (vgl. Abb. 9) zusätzliche Telefonkonferenzen integriert, die während der Prüfungszeit täglich zwischen parallel prüfenden Teams stattfinden sollen. Auf diese Weise kann sichergestellt werden, dass die Prüfungen nicht nur inhaltlich identische Schwerpunkte aufweisen, sondern die Feststellungen zudem auch einheitlich bewertet werden und somit Rückschlüsse auf andere Geschäftseinheiten, die Bestandteil des Clusters sind, gezogen werden können. Insgesamt bestätigte sich die von der Robert Bosch GmbH gesehene Notwendigkeit, auch kleinere Standorte, welche aufgrund bisheriger Risikoüberlegungen ausgeklammert wurden, zu prüfen. Es ist davon auszugehen, dass das vorgestellte Konzept zur Risikoreduzierung beiträgt und die Prüfung kleiner Einheiten auch in Zukunft Bestandteil der Prüfungsplanung sein sollte. Keywords  Audit planning  Audit process  Internal auditing  Internal control system  Scoring model Summary Over the last years, internal auditing went through a significant change and evolved into an instrument for the ex-ante assessment of issues fraught with risk. To cope with the involved exigencies, Robert Bosch GmbH developed an auditing concept that is characterized by a risk oriented audit planning approach and by an efficient audit process. Literatur Amling, T./Bantleon, U., Handbuch der Internen Revision. Grundlagen, Standards, Berufsstand, Berlin 2007. Berwanger, J./Kullmann, S., Interne Revision. Wesen, Aufgaben und rechtliche Verankerung, Wiesbaden 2008. Bünis, M./Gossens, T., Ein praktischer Ansatz zur risikoorientierten Revisionsplanung. Der Nachweis der risikoorientierten Planung kann trotz Beschränkungen in der Prüferkapazität gelingen, in: Zeitschrift Interne Revision, 46. Jg. (2011), H. 6, S. 311–317. Deutsches Institut für Interne Revision e. V., Risikoorientierte Prüfungsplanung: Best Practice, Frankfurt am Main 2010a. Deutsches Institut für Interne Revision e. V., Zusammenarbeit der Internen Revision mit Risikocontrolling und Compliance. Empfehlungen auf Basis der MaRisk VA, Berlin 2010b. Deutsches Institut für Interne Revision e. V., Die Interne Revision im Jahre 2020: Wirtschaftliche Trends und Implikationen, o. O. o. J., http://www.diir.de/fileadmin/ fachwissen/downloads/Revision2020.pdf, Stand: 27.05.2013. Egner, T., Begriff, Zielsetzungen und Aufgaben, in: Freidank, C.-C./Peemöller, V. H. (Hrsg.), Kompendium der Internen Revision. Internal Auditing in Wissenschaft und Praxis, Berlin 2011, S. 3–32. Hofmann, R., Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, herausgegeben vom Deutschen Institut für Interne Revision (DIIR) e. V., 2. Aufl., Berlin 1993. Hölzer, D./Arendt, S., Massendatenanalysen. Nutzung des vollen Potenzials von Massendatenanalysen in der Internen Revision („Revisionsfabrik“), in: Zeitschrift Interne Revision, 46. Jg. (2011), H. 6, S. 306–310. Krey, S., Konzeption und Anwendung eines risikoorientierten Prüfungsansatzes in der Internen Revision, Berlin 2001. Marten, K.-U./Quick, R./Ruhnke, K., Wirtschaftsprüfung. Grundlagen des betriebswirtschaftlichen Prüfungswesens nach nationalen und internationalen Normen, 4. Aufl., Stuttgart 2011. Peemöller, V. H./Kregel, J., Grundlagen der Internen Revision. Standards, Aufbau und Führung, Berlin 2010. Schroeder, O./Hübner, S./Langer, A./Herzig, A., Konzepte und Instrumente zur Steuerung des Wertbeitrags der Internen Revision, in: Buderath, H. M./Herzig, A./Köhler, A. G./ Pedell, B. (Hrsg.), Wertbeitrag der Internen Revision. Messung, Steuerung und Kommunikation, Stuttgart 2010, S. 107–148. Zaeh, P. E./Heidemann, F., Risikoorientierte Jahresprüfungsprogrammplanung der Internen Revision – Teil I. Konzeption und Implementierung eines IT-gestützten Scoring-Modells, in: Zeitschrift Interne Revision, 47. Jg. (2012a), H. 1, S. 22–31. Zaeh, P. E./Heidemann, F., Risikoorientierte Jahresprüfungsprogrammplanung der Internen Revision. Konzeption und Implementierung eines IT-gestützten Scoring-Modells – Teil II, in: Zeitschrift Interne Revision, 47. Jg. (2012b), H. 2, S. 60–69. Literaturtipps aus dem Online-Archiv der CONTROLLING:  Bernd Schartmann und Frank Büchner, Interne Revision heute – ein Eckpfeiler für mehr Compliance, Ausgabe 11/2010, S. 605–610.  Hubertus Buderath und Andreas Langer, Eine kritische Perspektive zur wertorientierten Steuerung von Unternehmensbereichen am Beispiel der Internen Revision, Ausgabe 3/2007, S. 129–135.  Lorenz Zwingmann, Patrick Dieninghoff und Jörn Meyer, Performancemessung für Internal Audit mittels einer Balanced Scorecard, Ausgabe 5/2003, S. 235–244. 614 CONTROLLING & INTERNE REVISION CONTROLLING-SCHWERPUNKT CONTROLLING – ZEITSCHRIFT FÜR ERFOLGSORIENTIERTE UNTERNEHMENSSTEUERUNG

Abstract

Over the last years, internal auditing went through a significant change and evolved into an instrument for the ex-ante assessment of issues fraught with risk. To cope with the involved exigencies, Robert Bosch GmbH developed an auditing concept that is characterized by a risk oriented audit planning approach and by an efficient audit process.

Zusammenfassung

Die grundsätzliche Ausrichtung der Internen Revision unterlag in den vergangenen Jahren einem Wandel hin zu einem Instrument für die ex ante-Bewertung risikobehafteter Sachver-halte. Um den damit verbundenen Anforderungen gerecht zu werden, entwickelte die Robert Bosch GmbH ein Prüfkonzept für Geschäftseinheiten ohne Regelprüfung, das sich durch eine risikoorientierte Prüfungsplanung sowie eine wirtschaftlichkeitsorientierte Durchführung auszeichnet und im vorliegenden Beitrag vorgestellt wird.

References

Abstract

Month by month, Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung publishes peer-reviewed, applied research contributions for business management, accounting and reporting. Key elements of succesful corporate controlling are presented in an analytic, well-structured manner.

Language: German.

For more information for authors and subscribers, see www.zeitschrift-controlling.de.

Zusammenfassung

Die Controlling - Zeitschrift für erfolgsorientierte Unternehmenssteuerung liefert Monat für Monat fundierte und anwendungsorientierte Fachbeiträge für das Management sowie das Finanz- und Rechnungswesen in Unternehmen. Klar gegliedert und strukturiert werden für alle Controlling-Bereiche die Faktoren für eine erfolgreiche Unternehmenssteuerung aufgezeigt.

Weitere Informationen für Autoren und Abonnenten finden Sie unter www.zeitschrift-controlling.de.