Effizienzgewinne durch ein Continuous Auditing and Control Monitoring (CACM)

veröffentlicht am 20. Mai 2020​

Der Druck auf Unternehmen externe und interne Anforderungen einzuhalten wächst stetig und erreicht in Unternehmen mit unterschiedlichen Standorten und IT-Systemen eine herausfordernde Komplexität. Das Interne Kontrollsystem (IKS) ist ein wesentlicher Bestandteil der Unternehmensorganisation, um die Einhaltung dieser externen Anforderungen aus Gesetzen und Verordnungen und interne Anforderungen, wie z.B. die Überwachung von Systemschnittstellen und Verarbeitungsprozessen, sicherzustellen. Es umfasst dabei meist Kontrollen zur Überwachung von KPIs für kritische Geschäftsprozesse, als auch Kontrollen zur Einhaltung der definierten Abläufe z.B. Freigaben im 4-Augen-Prinzip für ausgehende Zahlungen oder die funktionsgerechte Vergabe von Berechtigungen in IT-Systemen zur Sicherstellung der Funktionstrennung.

Warum ist ein CACM sinnvoll?

Ziel des Continuous Auditing and Control Monitoring (CACM) ist es, permanent Transparenz über die Wirksamkeit von wichtigen KPIs und Kontrollen zu erreichen und Abweichungen in Echtzeit zu erkennen. Darüber hinaus kann das CACM auch prüfungsunterstützend für die Interne Revision oder externe Prüfer dienen, um Prüfungsnachweise (Audit Evidence) z.B. in Form von Log-Files bereitzustellen oder auch den Umfang von Stichprobenprüfungen für die Bewertung der Wirksamkeit von Kontrollen über den Prüfungszeitraum zu reduzieren. Fehler werden dabei durch automatisierte Kontrollen sofort erkannt und definierte Personen z.B. per E-Mail oder Ticket zur weiteren Fehlerbehandlung (Investigation) automatisch informiert.

In einer globalen Organisation mit meist heterogenen, dezentralen IT-Systemen und Einheiten unterschiedlicher Größe und Komplexität kann ein CACM einen wesentlichen Nutzen stiften, durch:

• Echtzeitdarstellung von Informationen zu wichtigen KPIs und Kontrollen aus unterschiedlichen Systemen und IT-gestützten Prozessen in verdichteter oder detaillierter Form
• Automatisierte Fehlerbenachrichtigung
• Nachweis der Wirksamkeit von Kontrollen durch Protokolle und Log-Files
• Verringerung des Aufwands für die Überwachung und Prüfung von Kontrollen z.B. durch die Linienorganisation, interne und externe Prüfer und das Management

Einsparungen von bis zu 60 Prozent der Prozess-, Überwachungs- und Audit-Kosten sind dabei keine Seltenheit und sparen manuelle Tätigkeiten zur Informations- und Datensammlung, -aufbereitung und Auswertung ein.

Was ist Voraussetzung für ein CACM?

Voraussetzung für die Umsetzung eines CACM ist, dass Kontrollen automatisiert oder IT-gestützt (manueller Eingriff am IT-System) durchgeführt werden, so dass Daten zur Auswertung des Kontrollergebnisses oder auch zur Überwachung der Kontrolle verfügbar sind. Das CACM ist dabei ein System, dass diese Daten aus unterschiedlichen Daten auswertet und das Ergebnis verdichtet oder je Kontrolle in Dashboards darstellt und weitere definierte Aktionen ergebnisbasiert auslöst.

Nachfolgend sehen Sie ein Beispiel für die Umsetzung von Kontrollen im Finanzdienstleistungsumfeld für eine weltweite, dezentrale Organisation. Die Ergebnisse werden einfach und übersichtlich in einem Dashboard angezeigt. Die Datenzulieferung erfolgt aus den dezentralen Systemen über definierte Schnittstellen. Durch Klick auf die Graphen können die Detaildaten bis auf die einzelne Transaktion per Drill-Down angezeigt werden.

Ein weiteres Anwendungsbeispiel ist der GRC Monitor, der sich auf die Überwachung von kritischen Kontrollen und Transaktionen im SAP und anderen gängigen ERP-Systemen fokussiert.

Passgenaue Konzeption und Umsetzung

Nachfolgend zeigen wir auf, welche Schritte üblicherweise mit der Einführung eines CACM einhergehen.

1. Ausgangspunkt zur Entscheidung für CACM ist der Umfang der Projekt-, Investitions- und Betriebskosten, den Einsparungen und Effizienzgewinnen die vor der Projektentscheidung in einer Wirtschaftlichkeitsbetrachtung (Business Case) gegenübergestellt werden.
2. Um den Nutzen durch ein CACM zu bewerten, muss überprüft werden, in welchem Umfang Kontrollen und KPIs in einem CACM abbildbar sind. Diese Frage können Fachabteilungen und IT-Spezialisten und Systemverantwortliche meist schnell beantworten. Hilfreich sind dabei eine Prozesslandkarte, Ablaufbeschreibungen oder Flowcharts, eine Übersicht der Systemlandschaft und die Dokumentation des bereits gelebten IKS. Sollten diese Informationen nicht aktuell vorliegen, sind die relevanten Verfahren, Systeme und Kontrollen / KPIs in Form von Prozessaufnahmen (per Walk-through) aufzunehmen. 
3. Wir empfehlen nach Projektbeginn mit einem Piloten zu starten und sich im ersten Schritt auf die Abbildung der Kontrollen / KPIs eines Prozesses oder eine Abteilung zu fokussieren, um Erfahrungen in der Vorgehensweise und den IT-technischen Sachverhalten zu sammeln.
4. Ergebnis der Analyse der Prozesse, Systeme und Kontrollen im Ist-Zustand ist eine Beschreibung des Soll-Zustands in einer fachlichen Spezifikation. Auf der Basis definiert der Lösungsanbieter oder verantwortliche IT-Bereich die technische Lösung. Zum besseren Verständnis sollte das Fachkonzept sogenannte Anwendungsfälle (Use Cases) beschreiben – wer macht was mit dem System und wozu? Die Umsetzung wird in iterativen Schleifen zwischen Fachbereich und IT bzw. Lösungsanbieter abgestimmt.
5. Herausforderung ist meist die Anbindung heterogener Systeme an das CACM. Die meisten Systeme bringen jedoch standardisierte Schnittstellen (APIs) mit, um Daten nach außen bereitzustellen.
6. Nach der Umsetzung erfolgt, wie bei Einführungsprojekten üblich, die Testphase mit Entwickler-, Integrations- und Benutzertests bis alle Anforderungen erfüllt bzw. keine kritischen Fehler die produktive Nutzung verhindern.
7. Wir empfehlen nach dem Go-Live eine Support- und Feinjustierungsphase einzuplanen und mit den Anwendern, Prozess- und Kontrolleignern Rücksprache zu halten, um die produktive Nutzung zu optimieren.
8. Nach erfolgreichem Pilotprojekt und ersten positiven Erfahrungen kann das CACM so Schritt für Schritt weiter ausgebaut werden.

Passgenaue Unterstützung

Rödl & Partner kann Sie mit IT-Audit-, Prozess- und IT-Spezialisten in allen Phasen eines derartigen Projekts begleiten. Dieses schließt auch die Lösungsauswahl und -umsetzung für das passgenaue CACM in Ihrem Unternehmen mit ein. Auch für Ihr Unternehmen eigens entwickelte Lösungen auf Basis unterschiedlicher Lösungsarchitekturen (Splunk, Python oder Java based, PowerPI etc.) sind möglich.

Das CACM kann dabei als On-Premise Lösung im eigenen Haus, gehostet beim Dienstleister oder auch als Managed Service genutzt werden.