Résumé - Treuhänder - Der Schweizer Treuhänder

INTERNE REVISION
Markus Ronner, Roger Longman, Risk Assessment and Planning
A quarterly Governance Report is
provided to the members of the Chairman’s Office and Audit Committee,
members of the Group Executive
Board and to Group Managing Board
members with Finance and Risk responsibilities. The primary purpose of
this report is to provide feedback on
current significant audit issues as well as
the resolution status of open audit issues.
GIA issues a half-year and an Annual
Activity report summarising the audit
results of the Business Groups and
Corporate Centre. While the quarterly
governance reports only highlight
areas of concern, the GIA Activity reports reflect both positive and negative
results, with the areas requiring heightened Senior Management attention
being elaborated in the Executive Sum-
mary. The annual report also includes
details of GIA staffing and organisational matters as well as details of internal systems and projects. The GIA
Activity reports are distributed to the
Board of Directors, members of the
Group Executive Board, the external
audit firm and the Swiss Banking Commission.
ZUSAMMENFASSUNG
Risikobeurteilung und Prüfungsplanung
Die Verfasser beschreiben den risikogerichteten Prüfungsansatz der Internen Revision der UBS. Eine achtköpfige Geschäftsleitung führt die
Interne Revision mit ihren 245 Mitarbeitern und Mitarbeiterinnen in neun
Ländern, wovon 50 IT-Revisoren. Der
ganze Bereich ist, entsprechend der
Organisationsstruktur der Bank, gegliedert in vier Gruppen, sowie in
zwei weitere Gruppen für IT-Revision
und für besondere Prüfungen. Die
Bank hat zur Risikobeurteilung, Prüfungsplanung und -durchführung, Berichterstattung und -auswertung ihre
eigenen, IT-gestützten Systeme entwickelt.
Das sogenannten «Macro Risk Assessment» von oben nach unten (topdown) beurteilt das Risikoprofil der
Gesamtbank und ihrer vier Geschäftsbereiche, nämlich die Einflüsse von
aussen (wirtschaftliche Aussichten, bevorstehende Änderungen im gesetzgeberischen und wirtschaftlichen Umfeld, Sicherheitsbedrohungen und
dergleichen) sowie von innen (neue
Geschäftsfelder, wesentliche Änderungen von Systemen und Abläufen
usw.). Daraus sind die allgemeinen
Prüfziele für das folgende Jahr abzuleiten.
Das «Micro Risk Assessment» von
unten nach oben (bottom-up) geht aus
von den Prüfeinheiten («Audit Units»,
rund 1000), die den einzelnen Bankgeschäftsstellen mit ihren jeweiligen
158
Abteilungen entsprechen, sowie von
den Prüfungsarten («Audit Types»,
etwa 175), die die Produkte, Geschäftsarten und besonderen Systeme
der Bank abdecken. Die Prüfeinheiten werden auf folgende Risikoeinflüsse untersucht und bewertet: Organisation, Systeme und Arbeitsabläufe,
interne Kontrolle und Wirksamkeit
der Kontrollsysteme und -tätigkeiten, Qualitäts- und Kontrollbewusstsein, Qualifikation und Erfahrung des
Managements, ferner Zeitablauf seit
und Ergebnis der letzten Prüfung. Für
die Prüfungsarten und ihre Risiken
sind die Komplexität der Geschäftart
und ihre innewohnenden Risiken, die
Finanzausstattung, das Markt-, Kredit- und Liquiditätsrisiko, das Abwicklungsrisiko, ferner die vorhandenen Überwachungsverfahren und ihre
IT-Unterstützung, das Risiko der Nichtentdeckung von Schwachstellen oder
Mängeln, sowie die Erfahrung der
Wirtschaftsprüfer zu berücksichtigen.
Die durchzuführenden Einzelprüfungen (etwa 2200) werden aus den Prüfeinheiten und den Prüfungsarten
hergeleitet und ins Prüfungsinventar
aufgenommen. Gewisse Prüfungen
lassen sich zusammenfassen oder
bloss alle paar Jahre durchführen. Für
jede Einzelprüfung wird eine Risikoziffer berechnet, abhängig vom Umfang und vom Risiko der zugehörigen
Geschäftseinheit, vom Risiko der Prüfungsart und von der verflossenen
Zeitdauer seit der letzten Prüfung.
Die Risikobeurteilung und Prüfungsplanung stützt sich auf weitere IT-Systeme und Datenbanken, insbesondere auf
– Projektdatenbank mit allen wesentlichen bankeigenen Projekten;
– Datenbank mit besonderen Projektrisiken, mit laufender Risikobeurteilung bezüglich Investitionshöhe,
Einfluss aufs Bankgeschäft, Komplexität, Projektmanagement und
internes Kontrollsystem;
– IT-gestützte Prüfprogramme und
Arbeitspapiere;
– sogenannte Hitlisten über Geschäftseinheiten und Einzelprüfungen mit Schwachstellen und Beanstandungen, mit erhöhten Risiken
oder mit Prüfungsdurchführung vor
mehr als drei Jahren.
Nebst den vorausgeplanten Einzelprüfungen ergeben sich aus den Hitlisten, durch wesentliche neue Projekte,
Systeme und Abläufe, aus bevorstehenden Gesetzesänderungen usw.
und aus Wünschen von Verwaltungsrats- und Geschäftsleitungsmitgliedern weitere Prüfungen. Ausserdem
sollen mögliche Risikoquellen und
zukünftige ungünstige Entwicklungen
durch laufende Sammlung, Analyse
und Beurteilung der verschiedenartigsten Informationen und gegebenenfalls durch zusätzliche Untersuchungen frühzeitig erkannt werden.
MR/RL/GGS
Der Schweizer Treuhänder 3/04