Agil im Audit – Wann ist es sinnvoll und wann nicht?

Als ich neulich gemeinsam mit einem Prüfungsleiter vor der Herausforderung stand einen Prüfungsplan für das nächste Jahr aufzustellen, stellten wir uns die Frage, welche der anstehenden Prüfungen agil durchgeführt und welche nach klassischen Praktiken umgesetzt werden sollten. Vor dieser Frage stehen wir als Berater:innen in der Zusammenarbeit mit den Unternehmen immer wieder. Daher möchte ich meine Erfahrungen hierzu gern teilen. 

Klassisch oder agil – welches Verfahren passt wann? 

Bei einem klassischen Prüfungsvorgehen wird ein detaillierter Prüfungsplan verwendet, der von Anfang bis Ende abgearbeitet wird. Am Ende wird der Prüfbericht an die geprüfte Einheit übergeben. Beim agilen Auditing nähere ich mich der Prüfungssituation in Iterationen. Zu Beginn jeder Iteration wird ein kurzfristiger Plan erstellt, dieser wird durchgeführt und Ergebnisse als erster Teil des Prüfberichts übermittelt. Auf Basis der Erfahrungen wird die nächste Iteration geplant. 

So weit so gut – doch wann verwende ich welche Prüfungsmethodik? 
Vereinfacht gesagt: 

• Ein klassisches Prüfungsvorgehen eignet sich bei Standardprüfungen, die bereits häufig durchgeführt wurden und für die ein standardisierter Prüfungsplan existiert.
• Agiles Vorgehen ist hingegen bei komplexen Prüfungen geeignet, zu denen keine standardisierten Prüfungspläne existieren. Das ist bei neuen Prüfungsthemen oder Prüfungsgebieten der Fall. 

Als erste Entscheidungshilfe kann hierbei unsere Audit Stacey Matrix dienen. 

Die Einordnung erscheint logisch und sinnvoll, da es bei unbekannten Themen zu Beginn nicht möglich ist, einen detaillierten Prüfungsplan zu erstellen, der alle relevanten Risiken erkennt. Durch das iterative Vorgehen können wir Schritt für Schritt das Thema erschließen und bedarfsgerecht die Prüfung bestimmter Themen intensivieren. Diese Begründung greift aus meiner Sicht bei Entscheidung nach der Prüfungsmethodik aber zu kurz. Neben der Neuartigkeit des Prüfungsthemas ist ein weiterer Aspekt entscheidend: das Ziel bzw. der Zweck der Prüfung. 

Eine klassische Prüfung legt den Fokus auf die Vergangenheit. Es wird ein Soll-Ist-Abgleich durchgeführt, um zu überprüfen, ob in der Vergangenheit Compliance-konform gehandelt wurde. Eines der bekanntesten Beispiele ist die Jahresabschlussprüfung, bei der ein Wirtschaftsprüfer den Jahresabschluss eines Unternehmens im Hinblick auf die Einhaltung von Gesetzen oder den Grundsätzen ordnungsgemäßer Buchführung überprüft.

Bei einer agilen Prüfung ist dieser Soll-Wert unbekannt – entweder weil das Thema noch unbekannt ist, z.B. beim Prüfen der Datenschutzrisiken beim erstmaligen Einführen einer Public Cloud im Unternehmen, oder weil sich der Soll-Wert regelmäßig verändert, z.B. aufgrund von Änderungen in der Unternehmensumwelt, die sich auf die Risiken auswirken. 

Das Ziel einer agilen Prüfung kann daher kein vergangenheitsbezogener Soll-Ist-Vergleich sein. Der Fokus einer agilen Prüfung liegt vielmehr darauf, ein neues Thema zu erkunden und möglichst viel darüber zu lernen – natürlich immer noch vor dem Hintergrund, mögliche Risiken zu erkennen und Maßnahmen abzuleiten. Für viele Unternehmen ist das ein vollkommen neuer Zweck einer Prüfung. Aus der reinen Kontrollfunktion wird gemeinsam mit der geprüften Einheit ein neuartiges Themenfeld erkundet. Die Prüfer rücken daher stärker in eine beratende Funktion. Dieser erweiterte Zweck sollte jedem – insbesondere den Auftraggeber:innen und der geprüften Einheit – bewusst sein, bevor die Methodik ausgewählt wird.

Sie wollen mehr erfahren?

Wenn Sie selbst agile Audits durchführen möchten, empfehlen wir Ihnen unser Agile Audit Intro. Gerne unterstützen wir Sie auch bei der Einführung und Implementierung agiler Audit Prozesse.

Bildquelle: Fabien Bazanegue on Unsplash