CIA-AG Rhein-Main - Deutschen Institut für Interne Revision
Transcrição
CIA-AG Rhein-Main - Deutschen Institut für Interne Revision
CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] PROTOKOLL Datum: 14.03.2005 Herr Baer Heel Zeit: 18:00 - 21:45 Herr Bahlo Süwag Energie AG Gastgeber: HeidelbergCement Herr Blechschmidt Umicore Protokoll: Frau Stroh Herr Laun SEB AG Frau Schade Boehringer Ingelheim Herr Stein Aramark Holdings & Co KG Frau Stroh HeidelbergCement AG I. Zur heutigen Sitzung ✔ Begrüßung der Teilnehmer. (1) Protokollant ✔ (2) Verschwiegenheitserklärung / Urheberschutz ✔ Informationen über Unternehmen und Personen sind vertraulich zu behandeln. Unterlagen und Dateien sind vor unberechtigtem Zugriff zu schützen. Das Copyright ist zu beachten. (3) Themenabfolge ✔ II. Haupthema "(Internet-) Recherche-Tools für Interne Revisoren" als Diskussion ✔ (4) Vorstellung der Yahoo-Group CIA_AG_RMi Seit August 2004 besteht eine Yahoo-Group für die regelmäßigen Teilnehmer der CIA-AG RM. Zugang zu dieser Yahoo-Group ist nur auf Grund von Einladungen, nicht durch SelbstAnmeldung möglich. Dateien und eine größere Anzahl von Links sind bereits eingearbeitet. Die Diskussion führte zur Erweiterung der Links. Die vorgeschlagenen Links sind in u.a. Liste eingearbeitet. Im Folgenden wurden für Revisoren interessante Links aufgerufen: 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 1 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] 01 – Auditing Organisationen • Deutsches Institut für Interne Revision IIR e.V http://www.iirev.de/deutsch/default.asp Hinweis: Standards for the Professional Practice of Internal Auditing können downgeloaded werden: http://www.iir-ev.de/deutsch/download/IIA_Standards.pdf • The IIA http://www.theiia.org Hiweis: Die Standards sind kostenlos in englischer Sprache downloadbar. http://www.theiia.org/?doc_id=1499 • IIA-chapter Großbritannien und Irland http://www.iia.org.uk Hinweis: Artikel der monatlichen Zeitschrift können kostenlos downgeloaded werden http://www.iia.org.uk/knowledgecentre/iiamagazine/archive.cfm?EditionID=1642&ShowArticles=1 • Association of Certified Fraud Examiners http://www.acfe.org http://www.cfenet.com • Institut für Interne Revision Österreich http://www.internerevision.at • Schweizerischer Verband für Interne Revision http://www.svir.ch • Certified Public Accountants (USA) http://www.aicpa.org • Certified Public Accountants (USA) http://www.aicpa.org • COSO http://www.coso.org 03 – Zertifizierungen • CFE Certified Fraud Examiner http://www.acfe.org • CIA, CCSA, CGAP, CFSA Certified Internal Auditor, Certification in Control Self-Assessment; Certified Government Auditing Professional; Certified Financial Services Auditor http://www.theiia.org/index.cfm?doc_id=12 • CISA, CISM Certified Information Systems Auditor, Certified Information Security Manager http://www.isaca.org/Template.cfm?Section=Certification1&Template=/ContentManagement/ContentDisplay.cfm&ContentID=8604 • PIIA, MIIA, QiCA Practitioner Qualification for IA, Professional Qualification for IA, Qualification in Computer Auditing 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 2 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] http://www.iia.org.uk/qualifications/index.cfm 04 – Auditing Seminare • IEC Revidata AG http://www.iec-revidata.de • Roger Odenthal http://www.roger-odenthal.de • Vereinigung für die Sicherheit der Wirtschaft e.V. http://www.vswservice.de/ • Haub Haub + Partner GmbH http://symsite.sym.de/ • MANAGEMENTCIRCLE Anbieter unterschiedlicher Revisionsseminare http://www.managementcircle.de/veranstaltungen/default.cfm • Management-Forum-Starnberg Anbieter für verschiedene Seminare http://www.management-forum-starnberg.de/programm/index.htm 05 – Externe Revisionsdienstleistung / Wirtschaftsprüfung • Ernst & Young Risk Advisory Services (Projekte und Partnering im Bereich der Internen Revision) http://www.ey.com/GLOBAL/content.nsf/Germany/Wirtschaftspruefung__Dienstleistungen • IEC Revidata Spezialisiert auf IT-Revision, aber auch externe Dienstleistung in anderen Bereichen. Downloads von 7 kostenfreien Fallstudien eigener Deliktrevision http://www.revidata.de • KPMG http://www.kpmg.de • PwC PricewaterhouseCoopers http://www.pwcglobal.com • Roger Odenthal Unternehmensberatung Checklisten/Leitfäden, Gesetze u.v.m. http://www.roger-odenthal.de • agens Consulting Temporäre Prüfungsunterstützung, Outsourcing, Entwicklung von Checklisten, IT-Revision http://www.agens.com 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 3 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] 10 – Deliktrevision • Korruption Auditing Resources http://www.transparency.org • Wirtschaftskriminalität Bundeslagebild Wirtschaftskriminalität 2003 des BKA http://www.bka.de/lageberichte/wi/wikri_2003.pdf • Wirtschaftskriminalität Studie PwC http://www.pwc.com/Extweb/pwcpublications.nsf/docid/20CFA51932C89DE285256BC100 459F49 12 – Portale • AuditNet http://www.auditnet.org/index.htm Die Seite enthält eine Vielzahl von Prüfungsprogrammen, die bei der Entwicklung eigener Prüfungsprogramme hilfreich sein können. Diskutiert wurden die Möglichkeiten zur Einreichung eines eigenen Prüfungsprogramms und eigener Fragen. • IT-Audit http://www.it-audit.de • Revision-Online http://www.revision-online.de • Knowledgeleader 30 Tage trial, anschliessend kostenpflichtig http://www.knowledgeleader.com/ • Checkliste.de Deutschsprachige Checklisten zu verschiedenen Themen http://www.checkliste.de/unternehmen/revision-interneskontrollsystem/index.htm • BSI Informationen zum Thema Informationssicherheit http://www.BSI.de • Favoritenliste für die Interne Revision Liste mit diversen, für die Interne Revision interessanten Links 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 4 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] http://www.revisiononline.com/assets/artikel/eigen/www.favoritenliste_fuer_die_IR.pdf 14 – Artikelverweise • IIA - Artikel über Coso, CoBit und SOA Mapping COSO and CobiT for Sarbanes-Oxley Compliance http://www.theiia.org/itaudit/index.cfm?fuseaction=forum&fid=5553 15 – Zeitschriften • Internal Auditing and Business Risk Aktuelle Ausgabe des IIA UK http://www.iia.org.uk/knowledgecentre/iiamagazine/currentissue.cfm • Der Schweizer Treuhänder Aktuelle Ausgabe http://www.treuhaender.ch/ 20 – Universitäten • Friedrich-Alexander-Universität Erlangen-Nürnberg Download Vorlesungen Kolloquia Prof. Dr. Peemöller http://www.pw.wiso.uni-erlangen.de • University of California Umfangreiche Darstellung der Audit-Aktivitäten http://www.ucop.edu/audit/welcome.html Über diese Seite sind Prüfungsprogramme und ein Revisionshandbuch verfügbar 20 - Diskussionsforen • Auditnet.org Mailinglisten "Diskussionsforum" per Mail http://auditnetlists.org/ • IIA Diskussionsforen Forum mit vergleichsweise hoher Besucherfrequenz http://www.theiia.org/index.cfm?doc_id=1202 • IIA UK Diskussionsforum http://www.iia.org.uk/knowledgecentre/q&a/discussion.cfm 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 5 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] • Revision Online http://www.revision-online.de/forum.html 50 – Weitere Suchmaschinen • Ask Jeeves Abfrage von Definitionen möglich http://Ask.com • Vivisimo Clustered Search http://vivisimo.com • Web.de Strukturierte Suche http://web.de Wichtig: Auf der Homepage der Yahoo-Gruppe CIA-AG-RMi befindet sich auch der nachfolgende Disclaimer (aus technischen Gründen als Nachricht): „Wichtiger Hinweis zu allen Links: Mit Urteil vom 12. Mai 1998 - 312 O 85/98 - "Haftung für Links" hat das Landgericht (LG) Hamburg entschieden, dass man durch die Anbringung eines Links, die Inhalte der gelinkten Seite ggf. mit zu verantworten hat. Dies kann - so das LG - nur dadurch verhindert werden, dass man sich ausdrücklich von diesen Inhalten distanziert. Hiermit distanzieren wir uns ausdrücklich von allen Inhalten aller gelinkten Seiten auf unserer Homepage und machen uns diese Inhalte nicht zu eigen. Diese Erklärung gilt für alle auf dieser Website angebrachten Links. Für alle diese Links gilt: "wir weisen ausdrücklich daraufhin, daß wir keinerlei Einfluß auf die Gestaltung und die Inhalte der gelinkten Seiten haben. Die Anmeldung ist zunächst jeder Person möglich. Deshalb distanzieren wir uns hiermit ausdrücklich von allen Inhalten aller gelinkten Seiten auf dieser gesamten Homepage inklusive aller Unterseiten. Diese Erklärung gilt für alle auf dieser Homepage angebrachten Links und für alle Inhalte der Seiten, zu denen Links oder Banner von uns und deren Mitglieder führen." (5) Weiterhin findet sich eine Ideenbörse für künftige Veranstaltungen Hier werden die Themenvorschläge für künftige Sitzungen gesammelt. Neue Vorschläge sind willkommen (Mitglieder der CIA-AG-RMi Yahoo-Gruppe können diese direkt dort eingeben, andere Teilnehmer senden bitte ihre Vorschläge an die übliche emailAdresse [email protected]) • Anwendung von COSO und COBIT im täglichen Prüfungsalltag • Wer ist eigentlich der Adressat unseres Prüfungsberichts? • Welche Merkmale bestimmen eigentlich, wie 'gut' ein Prüfungsbericht ist? • Bestimmt die Prüfung den späteren Prüfungsbericht oder bestimmt der spätere Prüfungsbericht die Prüfung? • Welche 'Produkte' bzw. welches 'Produktportfolio' liefert die interne Revision eigentlich? 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 6 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] • Einsatz von Win-IDEA • Geldwäsche-Gesetz • Innenrevision als Profitcenter - Erfahrungen, Vorteile, Nachteile • Security und Benutzerberechtigung III. Erfahrungsaustausch und Fragen (6) Prüfung von Handykosten ✔ Ein Teilnehmer berichtete von auffällig hohen Handy-Rechnungen, verursacht durch den Download von Klingeltönen und der Nutzung von ähnlichen Diensten. Diskutiert wurden Kontrollroutinen, z.B. der Einzelverbindungsnachweis (wobei die letzten drei Stellen aus Datenschutzgründen maskiert werden müssen). Ein Teilnehmer berichtete über die Möglichkeit des Zugriffs auf den Einzelverbindungsnachweis über ein Portal. (7) Behandlung von Miles and More Die Vorgehensweise ist in den Unternehmen unterschiedlich. Vorherrschend sind jedoch Reise-Policies, nach denen die Miles and More-Punkte dem Mitarbeiter auch zur privaten Verwendung zu Verfügung stehen. Einigkeit bestand darin, dass durch solche Policies eine Beeinflussung des Flugverhaltens möglich ist. Die Diskussion ergab aber auch, dass die Prüfung dieses Bereichs durch die Interne Revision schwierig ist. (8) Prüfung des Außendienstes Ein Teilnehmer berichtete von Erfahrungen bei der Prüfung des Außendienstes. Interessant war auch die Fragestellung bezüglich der unterschiedlichen Handhabung der Reisekosten von Außendienst und Innendienst. Es wurde vorgeschlagen, für diesen Bereich eine Checkliste zu entwickeln. (9) Zeit für Internet -Recherche Die Internet-Recherche dient insbesondere der Prüfungsvorbereitung und Aufbereitung besonderer Prüfungsthemen. Ansonsten ist die hierfür zur Verfügung stehende Zeit beschränkt. 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 7 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] (10) Informationssicherheit und Mobiltelefone mit Photofunktion Es wurde diskutiert, inwieweit die Einbringung von Mobiltelefonen mit Photofunktion in Firmen verboten ist. Diese Forderung wird insbesondere im Hinblick auf die zunehmende fehlende Verfügbarkeit von Mobiltelefonen ohne Photofunktion schwierig in der Durchsetzung. Es bestand Einigkeit darin, dass in der Verfügbarkeit solcher Medien durchaus Risiken bestehen. (11) Informationssicherheit und USB-Stick Auch hier sind erhebliche Risiken gegeben, wenn bedacht wird, dass auf einem USBStick Daten im Gigabyte-Bereich gespeichert werden können. Eine weitgehende Einschränkung ist nur begrenzt möglich, um die Arbeitsfähigkeit der mit den Daten arbeitenden Einheit nicht zu gefährden. Eine Zunahme dieser Risiken ist bei ausscheidenden Mitarbeitern zu sehen. Die Diskussion ergab, dass die Kontrolle in diesem Zusammenhang schwierig ist. (12) ZIR-Beitrag Es liegt ein Vorschlag für einen Beitrag zum Thema Audit Universe und Prüfungplanung vor. Der Entwurf wird den Mitgliedern der Arbeitsgruppe zugänglich gemacht, um Kommentare wird gebeten. (13) Diskussion CPE-Anerkennung Die Koordinatorin der Arbeitsgruppe hat einen Vorschlag zur Meldung der Teilnahme an den Veranstaltungen der CIA-AG RM an das IIR geschickt. Die Antwort steht noch aus. (14) Wann muss die Meldung der CPE erfolgen Als grobe Regel kann hier festgehalten werden: Die erste Meldung muss exakt vier Jahre nach der Prüfung erfolgen, danach alle zwei Jahre. Beispiel Prüfung im Mai 1999, erste Meldung im Mai 2003. (15) Was war das Ergebnis beim Workshop im Januar zum Thema „Wertschöpfungskette in der Internen Revision“ Frau Schade wies daraufhin, dass die Gruppe die vertrauliche Behandlung zugesichert hat. Fragen sollten daher direkt an Dominik Förschler 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 8 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] ([email protected]) gerichtet werden. (16) Value Added durch die Interne Revision Ein Teilnehmer berichtete, dass Diskussionen zu diesem Thema in seinem Unternehmen ergaben, dass der einzige Bereich, in dem die Interne Revision ohne Konkurrenz ist, das Thema Interne Kontrollen sind. Dies ist das „Alleinstellungsmerkmal“. Als Konsequenz wurde in dem betreffenden Unternehmen eine Änderung der Verwendung der verfügbaren Ressourcen besprochen. In diesem Zusammenhang fielen auch die Hinweise Internes Kontrollsystem und Unabhängigkeit der Revision. (17) Wie viele Prüfungen kann ein Revisor im Jahr durchführen? Die Teilnehmer wiesen darauf hin, dass alle Angaben über eine solche Zahl vorsichtig zu behandeln sind, wenn Umfang und Art der Prüfungen als Erläuterung nicht mitgegeben werden. Die Angaben der Teilnehmer bezogen sich zum Teil auf Anzahl der Prüfungen bei einer bestimmten Anzahl Prüfer. Sie bewegten sich zwischen 7 und 11 Prüfungen je Mitarbeiter und Jahr. Ein sehr guter Schnitt liegt bei 9 bis 10 Prüfungen. (18) Themen für künftige Arbeitsgruppentreffen - Berichte Herr Bahlo wird das Thema Berichterstattung in der Internen Revision aufbereiten. Der Vortrag wird Grundlage für die anschließende Diskussion sein. (19) Themen für künftige Arbeitsgruppentreffen –Prüfungsprogramme Die Arbeitsgruppe will praktische Erfahrungen zu verschiedenen Prüfungsthemen diskutieren. Frau Stroh wird einen Vorschlag wird ein Konzept für eine Veranstaltungsreihe entwickeln und bei der nächsten Veranstaltung vorstellen. 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 9 von 10 CIA-AG Rhein-Main Arbeitsgruppe der Certified Internal Auditors im Rhein-Main-Gebiet Kontakt über: [email protected] IV. Nächste Sitzungen Bitte Anmeldungen an [email protected] (20) 11.04.2005 Hauptthema: Die Schlüssel zum kurzen Bericht - ein bewährtes Konzept aus der Praxis Ort: Umicore, Rodenbacher Chaussee 4, 63403 Hanau-Wolfgang (21) 09.05.2005 Hauptthema: Reflexion der vergangenen und Ausblick auf unsere künftigen Sitzungen (22) 13.06.2005 Hauptthema: Prüfung des Außendienstes 20050314 CIA-AG RM HeidelbergCement Protokoll.doc Seite 10 von 10