Résumé - Treuhänder - Der Schweizer Treuhänder
Transcription
Résumé - Treuhänder - Der Schweizer Treuhänder
INTERNE REVISION Markus Ronner, Roger Longman, Risk Assessment and Planning A quarterly Governance Report is provided to the members of the Chairman’s Office and Audit Committee, members of the Group Executive Board and to Group Managing Board members with Finance and Risk responsibilities. The primary purpose of this report is to provide feedback on current significant audit issues as well as the resolution status of open audit issues. GIA issues a half-year and an Annual Activity report summarising the audit results of the Business Groups and Corporate Centre. While the quarterly governance reports only highlight areas of concern, the GIA Activity reports reflect both positive and negative results, with the areas requiring heightened Senior Management attention being elaborated in the Executive Sum- mary. The annual report also includes details of GIA staffing and organisational matters as well as details of internal systems and projects. The GIA Activity reports are distributed to the Board of Directors, members of the Group Executive Board, the external audit firm and the Swiss Banking Commission. ZUSAMMENFASSUNG Risikobeurteilung und Prüfungsplanung Die Verfasser beschreiben den risikogerichteten Prüfungsansatz der Internen Revision der UBS. Eine achtköpfige Geschäftsleitung führt die Interne Revision mit ihren 245 Mitarbeitern und Mitarbeiterinnen in neun Ländern, wovon 50 IT-Revisoren. Der ganze Bereich ist, entsprechend der Organisationsstruktur der Bank, gegliedert in vier Gruppen, sowie in zwei weitere Gruppen für IT-Revision und für besondere Prüfungen. Die Bank hat zur Risikobeurteilung, Prüfungsplanung und -durchführung, Berichterstattung und -auswertung ihre eigenen, IT-gestützten Systeme entwickelt. Das sogenannten «Macro Risk Assessment» von oben nach unten (topdown) beurteilt das Risikoprofil der Gesamtbank und ihrer vier Geschäftsbereiche, nämlich die Einflüsse von aussen (wirtschaftliche Aussichten, bevorstehende Änderungen im gesetzgeberischen und wirtschaftlichen Umfeld, Sicherheitsbedrohungen und dergleichen) sowie von innen (neue Geschäftsfelder, wesentliche Änderungen von Systemen und Abläufen usw.). Daraus sind die allgemeinen Prüfziele für das folgende Jahr abzuleiten. Das «Micro Risk Assessment» von unten nach oben (bottom-up) geht aus von den Prüfeinheiten («Audit Units», rund 1000), die den einzelnen Bankgeschäftsstellen mit ihren jeweiligen 158 Abteilungen entsprechen, sowie von den Prüfungsarten («Audit Types», etwa 175), die die Produkte, Geschäftsarten und besonderen Systeme der Bank abdecken. Die Prüfeinheiten werden auf folgende Risikoeinflüsse untersucht und bewertet: Organisation, Systeme und Arbeitsabläufe, interne Kontrolle und Wirksamkeit der Kontrollsysteme und -tätigkeiten, Qualitäts- und Kontrollbewusstsein, Qualifikation und Erfahrung des Managements, ferner Zeitablauf seit und Ergebnis der letzten Prüfung. Für die Prüfungsarten und ihre Risiken sind die Komplexität der Geschäftart und ihre innewohnenden Risiken, die Finanzausstattung, das Markt-, Kredit- und Liquiditätsrisiko, das Abwicklungsrisiko, ferner die vorhandenen Überwachungsverfahren und ihre IT-Unterstützung, das Risiko der Nichtentdeckung von Schwachstellen oder Mängeln, sowie die Erfahrung der Wirtschaftsprüfer zu berücksichtigen. Die durchzuführenden Einzelprüfungen (etwa 2200) werden aus den Prüfeinheiten und den Prüfungsarten hergeleitet und ins Prüfungsinventar aufgenommen. Gewisse Prüfungen lassen sich zusammenfassen oder bloss alle paar Jahre durchführen. Für jede Einzelprüfung wird eine Risikoziffer berechnet, abhängig vom Umfang und vom Risiko der zugehörigen Geschäftseinheit, vom Risiko der Prüfungsart und von der verflossenen Zeitdauer seit der letzten Prüfung. Die Risikobeurteilung und Prüfungsplanung stützt sich auf weitere IT-Systeme und Datenbanken, insbesondere auf – Projektdatenbank mit allen wesentlichen bankeigenen Projekten; – Datenbank mit besonderen Projektrisiken, mit laufender Risikobeurteilung bezüglich Investitionshöhe, Einfluss aufs Bankgeschäft, Komplexität, Projektmanagement und internes Kontrollsystem; – IT-gestützte Prüfprogramme und Arbeitspapiere; – sogenannte Hitlisten über Geschäftseinheiten und Einzelprüfungen mit Schwachstellen und Beanstandungen, mit erhöhten Risiken oder mit Prüfungsdurchführung vor mehr als drei Jahren. Nebst den vorausgeplanten Einzelprüfungen ergeben sich aus den Hitlisten, durch wesentliche neue Projekte, Systeme und Abläufe, aus bevorstehenden Gesetzesänderungen usw. und aus Wünschen von Verwaltungsrats- und Geschäftsleitungsmitgliedern weitere Prüfungen. Ausserdem sollen mögliche Risikoquellen und zukünftige ungünstige Entwicklungen durch laufende Sammlung, Analyse und Beurteilung der verschiedenartigsten Informationen und gegebenenfalls durch zusätzliche Untersuchungen frühzeitig erkannt werden. MR/RL/GGS Der Schweizer Treuhänder 3/04