Die Ausbreitung von COVID-19 hat große Teile des Alltagslebens und der Geschäftstätigkeit auf den Kopf gestellt – dazu gehört auch, wie Unternehmen interne Kontrollen bewerten und testen.

Da Geschäftsprozesse als Reaktion auf COVID-19 geändert werden mussten und ehemals stabile Geschäftsbereiche nun erhöhte Volatilität verzeichnen, müssen Risikobewertungen weiter gefasst werden. Gleichzeitig kann es für die Prüfer schwierig sein, Bewertungen und Tests durchzuführen, da sie im Homeoffice arbeiten, technologische Herausforderungen meistern müssen und sich unerwarteten Budgetkürzungen gegenüber sehen.

Das sind eine Menge zu bewältigender Probleme, während die Prüfungsteams mit der Bewertung, Dokumentation und Prüfung interner Kontrollen fortfahren. Wie können sie also diese Herausforderungen in den Griff bekommen?

Völlig anderer Blick auf die Risikobewertung

Durch den Einfluss von COVID-19 auf die Geschäftstätigkeit werden viele Risiken und Geschäftsabläufe, die vorher keine Aufmerksamkeit benötigten, diese jetzt erfordern. Der Umfang von Risikobewertungen wird in diesem Jahr völlig anders aussehen.

Zum Beispiel könnten Einzelhändler eine Flut von Anpassungen ihrer Mietverträge erleben. Verlage könnten beobachten, dass die Verkäufe in Einzelhandelsgeschäften zurückgehen, während der Direktabsatz in Webshops sprunghaft ansteigt. Verbraucherorientierte Unternehmen müssen möglicherweise erstmals immaterielle Anlagen oder ihren Firmenwert berichtigen.

Leasing, Umsatzrealisierung, Wertberichtigung – diese Faktoren hatten beim Testen interner Kontrollen und der Beilegung schon immer hohe Priorität. COVID-19 wirkt sich jedoch dahingehend aus, welche internen Kontrollen für diese Positionen an Bedeutung gewinnen. Geschäftsbereiche, die sich normalerweise eher ruhig verhalten, spielen eventuell plötzlich eine wesentliche Rolle und benötigen besondere Aufmerksamkeit; kleine, nicht alltägliche Transaktionen könnten umfangreicher und dringlicher werden.

Unbedingt: Die Kommunikation intensivieren

Bevor die Pandemie das globale Leben unterbrach, schickten Prüfungsteams Fragebögen zur Risikobewertung an verschiedene Abteilungen ihres Unternehmens. Diese basierten auf historischen Kenntnissen über die Risiken, mit denen die Organisation in den vorausgegangenen Jahren konfrontiert war. Bei der nun entstandenen Unsicherheit wird diese Vorgehensweise nicht unbedingt ausreichen.

Prüfungsteams müssen sich mit weiteren Abteilungen des Unternehmens beraten und ihnen Fragen stellen, um ihre Anliegen zu berücksichtigen. Der Schlüssel liegt in der Kommunikation. Hinsichtlich operativer Risiken sollten die Prüfungsteams beispielsweise mit dem Vorstand und dem Management über die dringendsten Unternehmensziele sprechen. Aus den Erkenntnissen lässt sich anschließend eine neue Risikobewertung entwickeln und die Vorgaben mit den Fakten verknüpfen, die aus anderen Bereichen des Unternehmens eingeholt werden.

Bei der Finanzberichterstattung können Prüfungsteams Hinweise von Wertpapier- oder Prüfungsaufsichtsbehörden einholen, bei denen etwa Listen mit Belangen von hoher Priorität für die Finanzberichterstattung erhältlich sind. Diese können sie dann mit dem jeweiligen Geschäftsbereich abgleichen und sicherstellen, dass sie aufeinander abgestimmt sind.

Neue und erhöhte Betrugsrisiken

COVID-19 hat einige Betrugsrisiken verstärkt und neue Risiken hervorgebracht. Zum Beispiel sind Scam-Mails nichts Neues, in denen Mitarbeiter zu Überweisungen ins Ausland aufgefordert werden – da aber ein Großteil nun von zu Hause aus arbeitet, können Betrüger auf kreativere Weise E-Mails von Führungskräften konstruieren.

Der geringer werdende Zugang zu Führungskräften erschwert es zusätzlich, Überweisungsaufträge zu überprüfen. Daher werden Richtlinien und Kontrollen, die Überweisungen bestätigen sollen, an Bedeutung gewinnen.

Oder nehmen wir einen Hersteller, der beschließt, persönliche Schutzausrüstung (PSA) zu produzieren und an Behörden zu verkaufen. PSA hat aktuell einen großen Wert, sodass das Unternehmen wirksamere Bestandskontrollen benötigen würde, um sicherzustellen, dass nicht plötzlich eine Lieferung verschwindet. Darüber hinaus würde das Unternehmen als Auftragnehmer einer Behörde nun auch Gesetzen zur Betrugsbekämpfung unterliegen, wie etwas dem False Claims Act – die Risiken für die Einhaltung gesetzlicher Bestimmungen nehmen also zu.

Unbedingt: Alles auf Anfang und die Bewertungen aktualisieren

Die interne Revision muss ihre Bewertung des Betrugsrisikos überarbeiten. Jeder Prozess, der – selbst bei geringem Risiko – betrugsanfällig sein könnte, sollte näher beleuchtet werden. Stellen Sie sich folgende Fragen: „Wie hat sich ein bestimmter Prozess aufgrund von COVID-19 verändert? Sind wir einem höheren Risiko ausgesetzt, weil eine Betrugskontrolle schwächer oder nicht vorhanden ist? Ergibt sich ein neues Risiko, weil wir ein neues Produkt oder eine neue Leistung anbieten?“

Abhängig von den Ergebnissen einer solchen Bewertung wird das Prüfungsteam auf neue Kontrollen drängen müssen, um den veränderten Risiken Rechnung zu tragen. Zum Beispiel strengere Beschränkungen für Überweisungen oder Prüfungen der Überwachungskette für den physischen Bestand. Das Prüfungsteam sollte auch Regelwerke für die Betrugsbekämpfung und Kontrollbibliotheken konsultieren, um herauszufinden, welche Maßnahmen im Hinblick auf die Risiken der Organisation sinnvoll erscheinen.

Vor allem muss es „Eigentümer“ der Programme zur Betrugsbekämpfung geben. Dies könnte die Schaffung einer neuen Rolle involvieren oder die Zuweisung von Verantwortlichkeiten an bestehende Geschäftsbereiche umfassen.

Flexible Testverfahren

Nach der Durchführung jedes internen Kontrolltests oder Beilegung steht eine tatsächliche Person – entweder um die Arbeit zu erledigen oder die eingesetzte Technologie dazu zu veranlassen. Aber wenn Mitarbeiter beurlaubt, entlassen oder krank werden, könnte ihre Abwesenheit die Tests und Beilegungen in kritischen Momenten entgleisen lassen. Daher ist die Fähigkeit, personelle Veränderungen überwachen und gegebenenfalls Beilegungspläne verschieben zu können, von entscheidender Bedeutung.

Unbedingt: Technologie einsetzen

In diesen Fällen sind Prüfungsteams am besten beraten, Technologie zu verwenden, die die Verantwortung für die Prüfung oder Verwaltung von Kontrollen bestimmten Personen zuweist.

Dies ist am effektivsten, wenn das interne Kontrollsystem auch in die Personalfunktion eingebunden ist. Somit wird das Prüfungsteam umgehend darauf aufmerksam gemacht, wenn ein Kontrolleigentümer nicht anwesend ist, und kann entsprechend die Test- oder Beilegungsverfahren ändern.

Ohne diese Integrationsfunktion bräuchten Prüfungsteams eine Warnfunktion, um erkennen zu können, in welchen Fällen Tests oder Beilegungsverfahren nicht termingerecht durchgeführt werden, um dann dem Grund nachzugehen. Dennoch müsste Ihre Planung, wie oben erwähnt, ausreichend flexibel sein, um die Neuentwicklung von Verfahren und deren Bereitstellung für neue Kontrolleigentümer zu berücksichtigen.

Änderungen zum Besseren

Die Ironie hierbei ist, dass trotz aller Turbulenzen, die Ihr internes Kontrollprogramm wegen COVID-19 aushalten muss, der Zukunftsweg voraussichtlich zwei Trends beschleunigen wird, die Prüfungsteams schon seit geraumer Zeit erleben.

1. Ausbau der Zusammenarbeit mit anderen Geschäftsbereichen

Die Prüfungsteams werden ihre Zusammenarbeit mit dem Rest der Organisation ausweiten. Sie sind diejenigen, die kurzerhand mit neuen Geschäftsprozessen improvisieren oder allgemeine wirtschaftliche Trends beobachten, die sich auf das Geschäft auswirken werden. Ob es um Fragen der Finanzberichterstattung oder der Stabilität der Lieferketten geht oder auch nur darum, wie die Büros für die räumliche Distanzierung umzugestalten sind – die Dringlichkeit einer klaren, prompten und effektiven Kommunikation mit den Teams der ersten und zweiten Verteidigungslinie ist enorm gestiegen.

2. Verstärkter Einsatz von Technologie

Prüfungsteams werden Innovation und Technologie bei der Art und Weise, wie sie interne Kontrollen bewerten, testen und beilegen, mit einbeziehen. COVID-19 zwingt die Prüfungsteams zur Improvisation, so wie alle anderen Teams auch. Die Kommunikation mit anderen, das Sammeln von Testnachweisen, die Dokumentation der Beilegungsverfahren – all dies wird frisches Denken und starke technologische Fähigkeiten erfordern. (Meine Lieblings idee: Kontrollieren von Lagerbeständen mit Drohnen. Oder praktischer: verstärkter Einsatz von robotergesteuerter Prozessautomatisierung zum Automatisieren von Tests und Überwachungsmaßnahmen. Dies kann in Zeiten von Zwangsurlaub oder Entlassungen von unschätzbarem Wert sein kann.)

Vor allem müssen Prüfungsleiter die Chancen ergreifen, die sich ihnen bieten. Die Entwicklung hin zu mehr Zusammenarbeit innerhalb der Unternehmen und zu mehr Technologieinnovationen hat lange gedauert. Nun zwingt COVID-19 Organisationen, viele dieser Fragen auf einmal zu beantworten:

• Wie kann uns die Prüfung unterstützen?
• Wer sollte an der Neugestaltung unsere Prozesse beteiligt sein?
• Wie kann die Risikobewertung erfolgreich durchgeführt werden?

Der weitere Weg wird holprig sein, und niemand hat eine klare Vorstellung davon, was die Zukunft bereithält. Demgegenüber könnte die interne Revision am Ende ihren Nutzen für die Organisation mehr denn je unter Beweis stellen.