CIA-AG Rhein-Main - Deutschen Institut für Interne Revision

CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
PROTOKOLL
Datum:
14.03.2005
Herr Baer
Heel
Zeit:
18:00 - 21:45
Herr Bahlo
Süwag Energie AG
Gastgeber:
HeidelbergCement
Herr Blechschmidt
Umicore
Protokoll:
Frau Stroh
Herr Laun
SEB AG
Frau Schade
Boehringer Ingelheim
Herr Stein
Aramark Holdings & Co KG
Frau Stroh
HeidelbergCement AG
I.
Zur heutigen Sitzung
✔
Begrüßung der Teilnehmer.
(1)
Protokollant
✔
(2)
Verschwiegenheitserklärung / Urheberschutz
✔
Informationen über Unternehmen und Personen sind vertraulich zu behandeln.
Unterlagen und Dateien sind vor unberechtigtem Zugriff zu schützen. Das Copyright
ist zu beachten.
(3)
Themenabfolge
✔
II.
Haupthema "(Internet-) Recherche-Tools für Interne Revisoren" als Diskussion
✔
(4)
Vorstellung der Yahoo-Group CIA_AG_RMi
Seit August 2004 besteht eine Yahoo-Group für die regelmäßigen Teilnehmer der CIA-AG RM.
Zugang zu dieser Yahoo-Group ist nur auf Grund von Einladungen, nicht durch SelbstAnmeldung möglich. Dateien und eine größere Anzahl von Links sind bereits eingearbeitet.
Die Diskussion führte zur Erweiterung der Links. Die vorgeschlagenen Links sind in u.a. Liste
eingearbeitet. Im Folgenden wurden für Revisoren interessante Links aufgerufen:
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 1 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
01 – Auditing Organisationen
•
Deutsches Institut für Interne Revision IIR e.V http://www.iirev.de/deutsch/default.asp
Hinweis: Standards for the Professional Practice of Internal Auditing können
downgeloaded werden: http://www.iir-ev.de/deutsch/download/IIA_Standards.pdf
•
The IIA http://www.theiia.org
Hiweis: Die Standards sind kostenlos in englischer Sprache downloadbar.
http://www.theiia.org/?doc_id=1499
•
IIA-chapter Großbritannien und Irland http://www.iia.org.uk
Hinweis: Artikel der monatlichen Zeitschrift können kostenlos downgeloaded
werden
http://www.iia.org.uk/knowledgecentre/iiamagazine/archive.cfm?EditionID=1642&ShowArticles=1
•
Association of Certified Fraud Examiners http://www.acfe.org
http://www.cfenet.com
•
Institut für Interne Revision Österreich http://www.internerevision.at
•
Schweizerischer Verband für Interne Revision http://www.svir.ch
•
Certified Public Accountants (USA) http://www.aicpa.org
•
Certified Public Accountants (USA) http://www.aicpa.org
•
COSO http://www.coso.org
03 – Zertifizierungen
•
CFE Certified Fraud Examiner http://www.acfe.org
•
CIA, CCSA, CGAP, CFSA Certified Internal Auditor, Certification in
Control Self-Assessment; Certified Government Auditing Professional;
Certified Financial Services Auditor
http://www.theiia.org/index.cfm?doc_id=12
•
CISA, CISM Certified Information Systems Auditor,
Certified Information Security Manager
http://www.isaca.org/Template.cfm?Section=Certification1&Template=/ContentManagement/ContentDisplay.cfm&ContentID=8604
•
PIIA, MIIA, QiCA Practitioner Qualification for IA, Professional
Qualification for IA, Qualification in Computer Auditing
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 2 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
http://www.iia.org.uk/qualifications/index.cfm
04 – Auditing Seminare
•
IEC Revidata AG http://www.iec-revidata.de
•
Roger Odenthal http://www.roger-odenthal.de
•
Vereinigung für die Sicherheit der Wirtschaft e.V. http://www.vswservice.de/
•
Haub Haub + Partner GmbH http://symsite.sym.de/
•
MANAGEMENTCIRCLE Anbieter unterschiedlicher Revisionsseminare
http://www.managementcircle.de/veranstaltungen/default.cfm
•
Management-Forum-Starnberg Anbieter für verschiedene Seminare
http://www.management-forum-starnberg.de/programm/index.htm
05 – Externe Revisionsdienstleistung / Wirtschaftsprüfung
•
Ernst & Young Risk Advisory Services (Projekte und Partnering im
Bereich der Internen Revision)
http://www.ey.com/GLOBAL/content.nsf/Germany/Wirtschaftspruefung__Dienstleistungen
•
IEC Revidata
Spezialisiert auf IT-Revision, aber auch externe Dienstleistung in anderen
Bereichen. Downloads von 7 kostenfreien Fallstudien eigener Deliktrevision
http://www.revidata.de
•
KPMG http://www.kpmg.de
•
PwC PricewaterhouseCoopers http://www.pwcglobal.com
•
Roger Odenthal Unternehmensberatung Checklisten/Leitfäden, Gesetze
u.v.m. http://www.roger-odenthal.de
•
agens Consulting Temporäre Prüfungsunterstützung, Outsourcing,
Entwicklung von Checklisten, IT-Revision http://www.agens.com
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 3 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
10 – Deliktrevision
•
Korruption Auditing Resources http://www.transparency.org
•
Wirtschaftskriminalität Bundeslagebild Wirtschaftskriminalität 2003 des
BKA
http://www.bka.de/lageberichte/wi/wikri_2003.pdf
•
Wirtschaftskriminalität Studie PwC
http://www.pwc.com/Extweb/pwcpublications.nsf/docid/20CFA51932C89DE285256BC100
459F49
12 – Portale
•
AuditNet http://www.auditnet.org/index.htm
Die Seite enthält eine Vielzahl von Prüfungsprogrammen, die bei der
Entwicklung eigener Prüfungsprogramme hilfreich sein können. Diskutiert
wurden die Möglichkeiten zur Einreichung eines eigenen
Prüfungsprogramms und eigener Fragen.
•
IT-Audit http://www.it-audit.de
•
Revision-Online
http://www.revision-online.de
•
Knowledgeleader
30 Tage trial, anschliessend kostenpflichtig
http://www.knowledgeleader.com/
•
Checkliste.de
Deutschsprachige Checklisten zu verschiedenen Themen
http://www.checkliste.de/unternehmen/revision-interneskontrollsystem/index.htm
•
BSI
Informationen zum Thema Informationssicherheit
http://www.BSI.de
•
Favoritenliste für die Interne Revision
Liste mit diversen, für die Interne Revision interessanten Links
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 4 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
http://www.revisiononline.com/assets/artikel/eigen/www.favoritenliste_fuer_die_IR.pdf
14 – Artikelverweise
•
IIA - Artikel über Coso, CoBit und SOA
Mapping COSO and CobiT for Sarbanes-Oxley Compliance
http://www.theiia.org/itaudit/index.cfm?fuseaction=forum&fid=5553
15 – Zeitschriften
•
Internal Auditing and Business Risk
Aktuelle Ausgabe des IIA UK
http://www.iia.org.uk/knowledgecentre/iiamagazine/currentissue.cfm
•
Der Schweizer Treuhänder
Aktuelle Ausgabe
http://www.treuhaender.ch/
20 – Universitäten
•
Friedrich-Alexander-Universität Erlangen-Nürnberg
Download Vorlesungen Kolloquia Prof. Dr. Peemöller
http://www.pw.wiso.uni-erlangen.de
•
University of California
Umfangreiche Darstellung der Audit-Aktivitäten
http://www.ucop.edu/audit/welcome.html
Über diese Seite sind Prüfungsprogramme und ein Revisionshandbuch
verfügbar
20 - Diskussionsforen
•
Auditnet.org Mailinglisten "Diskussionsforum" per Mail
http://auditnetlists.org/
•
IIA Diskussionsforen Forum mit vergleichsweise hoher Besucherfrequenz
http://www.theiia.org/index.cfm?doc_id=1202
•
IIA UK Diskussionsforum
http://www.iia.org.uk/knowledgecentre/q&a/discussion.cfm
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 5 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
•
Revision Online http://www.revision-online.de/forum.html
50 – Weitere Suchmaschinen
•
Ask Jeeves Abfrage von Definitionen möglich http://Ask.com
•
Vivisimo Clustered Search http://vivisimo.com
•
Web.de Strukturierte Suche http://web.de
Wichtig: Auf der Homepage der Yahoo-Gruppe CIA-AG-RMi befindet sich auch der
nachfolgende Disclaimer (aus technischen Gründen als Nachricht):
„Wichtiger Hinweis zu allen Links: Mit Urteil vom 12. Mai 1998 - 312 O 85/98 - "Haftung für Links" hat das
Landgericht (LG) Hamburg entschieden, dass man durch die Anbringung eines Links, die Inhalte der gelinkten
Seite ggf. mit zu verantworten hat. Dies kann - so das LG - nur dadurch verhindert werden, dass man sich
ausdrücklich von diesen Inhalten distanziert.
Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller gelinkten Seiten auf unserer Homepage und
machen uns diese Inhalte nicht zu eigen. Diese Erklärung gilt für alle auf dieser Website angebrachten Links. Für
alle diese Links gilt: "wir weisen ausdrücklich daraufhin, daß wir keinerlei Einfluß auf die Gestaltung und die
Inhalte der gelinkten Seiten haben. Die Anmeldung ist zunächst jeder Person möglich. Deshalb distanzieren wir uns
hiermit ausdrücklich von allen Inhalten aller gelinkten Seiten auf dieser gesamten Homepage inklusive aller
Unterseiten. Diese Erklärung gilt für alle auf dieser Homepage angebrachten Links und für alle Inhalte der Seiten,
zu denen Links oder Banner von uns und deren Mitglieder führen."
(5)
Weiterhin findet sich eine Ideenbörse für künftige Veranstaltungen
Hier werden die Themenvorschläge für künftige Sitzungen gesammelt.
Neue Vorschläge sind willkommen (Mitglieder der CIA-AG-RMi Yahoo-Gruppe können diese
direkt dort eingeben, andere Teilnehmer senden bitte ihre Vorschläge an die übliche emailAdresse [email protected])
•
Anwendung von COSO und COBIT im täglichen Prüfungsalltag
•
Wer ist eigentlich der Adressat unseres Prüfungsberichts?
•
Welche Merkmale bestimmen eigentlich, wie 'gut' ein Prüfungsbericht ist?
•
Bestimmt die Prüfung den späteren Prüfungsbericht oder bestimmt der spätere
Prüfungsbericht die Prüfung?
•
Welche 'Produkte' bzw. welches 'Produktportfolio' liefert die interne Revision
eigentlich?
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 6 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
•
Einsatz von Win-IDEA
•
Geldwäsche-Gesetz
•
Innenrevision als Profitcenter - Erfahrungen, Vorteile, Nachteile
•
Security und Benutzerberechtigung
III.
Erfahrungsaustausch und Fragen
(6)
Prüfung von Handykosten
✔
Ein Teilnehmer berichtete von auffällig hohen Handy-Rechnungen, verursacht durch
den Download von Klingeltönen und der Nutzung von ähnlichen Diensten. Diskutiert
wurden Kontrollroutinen, z.B. der Einzelverbindungsnachweis (wobei die letzten drei
Stellen aus Datenschutzgründen maskiert werden müssen). Ein Teilnehmer berichtete
über die Möglichkeit des Zugriffs auf den Einzelverbindungsnachweis über ein
Portal.
(7)
Behandlung von Miles and More
Die Vorgehensweise ist in den Unternehmen unterschiedlich. Vorherrschend sind
jedoch Reise-Policies, nach denen die Miles and More-Punkte dem Mitarbeiter auch
zur privaten Verwendung zu Verfügung stehen. Einigkeit bestand darin, dass durch
solche Policies eine Beeinflussung des Flugverhaltens möglich ist. Die Diskussion
ergab aber auch, dass die Prüfung dieses Bereichs durch die Interne Revision
schwierig ist.
(8)
Prüfung des Außendienstes
Ein Teilnehmer berichtete von Erfahrungen bei der Prüfung des Außendienstes.
Interessant war auch die Fragestellung bezüglich der unterschiedlichen Handhabung
der Reisekosten von Außendienst und Innendienst. Es wurde vorgeschlagen, für
diesen Bereich eine Checkliste zu entwickeln.
(9)
Zeit für Internet -Recherche
Die Internet-Recherche dient insbesondere der Prüfungsvorbereitung und
Aufbereitung besonderer Prüfungsthemen. Ansonsten ist die hierfür zur Verfügung
stehende Zeit beschränkt.
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 7 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
(10)
Informationssicherheit und Mobiltelefone mit Photofunktion
Es wurde diskutiert, inwieweit die Einbringung von Mobiltelefonen mit
Photofunktion in Firmen verboten ist. Diese Forderung wird insbesondere im
Hinblick auf die zunehmende fehlende Verfügbarkeit von Mobiltelefonen ohne
Photofunktion schwierig in der Durchsetzung. Es bestand Einigkeit darin, dass in der
Verfügbarkeit solcher Medien durchaus Risiken bestehen.
(11)
Informationssicherheit und USB-Stick
Auch hier sind erhebliche Risiken gegeben, wenn bedacht wird, dass auf einem USBStick Daten im Gigabyte-Bereich gespeichert werden können. Eine weitgehende
Einschränkung ist nur begrenzt möglich, um die Arbeitsfähigkeit der mit den Daten
arbeitenden Einheit nicht zu gefährden. Eine Zunahme dieser Risiken ist bei
ausscheidenden Mitarbeitern zu sehen. Die Diskussion ergab, dass die Kontrolle in
diesem Zusammenhang schwierig ist.
(12)
ZIR-Beitrag
Es liegt ein Vorschlag für einen Beitrag zum Thema Audit Universe und
Prüfungplanung vor. Der Entwurf wird den Mitgliedern der Arbeitsgruppe zugänglich
gemacht, um Kommentare wird gebeten.
(13)
Diskussion CPE-Anerkennung
Die Koordinatorin der Arbeitsgruppe hat einen Vorschlag zur Meldung der
Teilnahme an den Veranstaltungen der CIA-AG RM an das IIR geschickt. Die
Antwort steht noch aus.
(14)
Wann muss die Meldung der CPE erfolgen
Als grobe Regel kann hier festgehalten werden: Die erste Meldung muss exakt vier
Jahre nach der Prüfung erfolgen, danach alle zwei Jahre. Beispiel Prüfung im Mai
1999, erste Meldung im Mai 2003.
(15)
Was war das Ergebnis beim Workshop im Januar zum Thema
„Wertschöpfungskette in der Internen Revision“
Frau Schade wies daraufhin, dass die Gruppe die vertrauliche Behandlung zugesichert
hat. Fragen sollten daher direkt an Dominik Förschler
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 8 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
([email protected]) gerichtet werden.
(16)
Value Added durch die Interne Revision
Ein Teilnehmer berichtete, dass Diskussionen zu diesem Thema in seinem
Unternehmen ergaben, dass der einzige Bereich, in dem die Interne Revision ohne
Konkurrenz ist, das Thema Interne Kontrollen sind. Dies ist das „Alleinstellungsmerkmal“. Als Konsequenz wurde in dem betreffenden Unternehmen eine Änderung
der Verwendung der verfügbaren Ressourcen besprochen. In diesem Zusammenhang
fielen auch die Hinweise Internes Kontrollsystem und Unabhängigkeit der Revision.
(17)
Wie viele Prüfungen kann ein Revisor im Jahr durchführen?
Die Teilnehmer wiesen darauf hin, dass alle Angaben über eine solche Zahl
vorsichtig zu behandeln sind, wenn Umfang und Art der Prüfungen als Erläuterung
nicht mitgegeben werden. Die Angaben der Teilnehmer bezogen sich zum Teil auf
Anzahl der Prüfungen bei einer bestimmten Anzahl Prüfer. Sie bewegten sich
zwischen 7 und 11 Prüfungen je Mitarbeiter und Jahr. Ein sehr guter Schnitt liegt bei
9 bis 10 Prüfungen.
(18)
Themen für künftige Arbeitsgruppentreffen - Berichte
Herr Bahlo wird das Thema Berichterstattung in der Internen Revision aufbereiten.
Der Vortrag wird Grundlage für die anschließende Diskussion sein.
(19)
Themen für künftige Arbeitsgruppentreffen –Prüfungsprogramme
Die Arbeitsgruppe will praktische Erfahrungen zu verschiedenen Prüfungsthemen
diskutieren. Frau Stroh wird einen Vorschlag wird ein Konzept für eine
Veranstaltungsreihe entwickeln und bei der nächsten Veranstaltung vorstellen.
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 9 von 10
CIA-AG Rhein-Main
Arbeitsgruppe der Certified Internal Auditors
im Rhein-Main-Gebiet
Kontakt über: [email protected]
IV.
Nächste Sitzungen
Bitte Anmeldungen an [email protected]
(20)
11.04.2005
Hauptthema: Die Schlüssel zum kurzen Bericht - ein bewährtes Konzept aus der
Praxis
Ort: Umicore, Rodenbacher Chaussee 4, 63403 Hanau-Wolfgang
(21)
09.05.2005
Hauptthema: Reflexion der vergangenen und Ausblick auf unsere künftigen
Sitzungen
(22)
13.06.2005
Hauptthema: Prüfung des Außendienstes
20050314 CIA-AG RM HeidelbergCement Protokoll.doc
Seite 10 von 10