Aufbau des Prüfberichts

Prüfungsauftrag und -gegenstand

Der Auftrag zur Durchführung einer Revision wird vom Rektorat an die Interne Revision erteilt und durch diese selbständig abgewickelt.

Die durchgeführten Aktivitäten sollen eine Beurteilung nach Risikogesichtspunkten für die angeführten Bereiche im definierten Prüfungsumfang ermöglichen. Alle daraus ergehenden Empfehlungen sind durch den Umfang der Arbeit (stichprobenmäßige Einsichtnahme in Ist-Prozesse und Kontrollen) beschränkt und decken daher unter Umständen nicht alle Feststellungen ab, die sich aus einer möglichen, gezielt tiefergehenden Überprüfung einzelner Sachverhalte ergeben könnten.

Prüfumfang, Prüfungsziele und -inhalte

Prüfumfang, Prüfungsziele und -inhalte werden vorab durch den Prüfauftrag auf Basis einer Risikoeinschäzung und Wirtschaftlichkeitsüberlegung definiert und in der Startphase einer Prüfung gegebenenfalls weiter konkretisiert. Andere als die so ermittelten Prüfungsinhalte sind nicht Gegenstand der Prüfung, weshalb zu anderen als den dargestellten Themen keine Stellungnahme abgegeben wird. Würden andere als die zuvor definierten Prüfungshandlungen durchgeführt, könnten sich möglicherweise andere zu berichtende Feststellungen ergeben.

Berichterstattung

Die Berichterstattung beinhaltet:

  • Die während der Prüfung identifizierten Schwachstellen und diesbezüglichen Risiken, welche mit den geprüften Organisationseinheiten besprochen wurden sowie die
  • Darstellung von Verbesserungspotenzialen und realisierbaren Empfehlungen

Der Fokus des Berichts liegt auf der Darstellung möglicher Optimierungspotentiale bzw. Verbesserungspotentiale der bestehenden und betrachteten Prozesse, weshalb in Prüfberichten positive Feststellungen regelmäßig nicht erläutert werden.

Bewertung der Prüfungsfeststellungen

Die Bewertung der Prüfungsfeststellungen erfolgt auf Basis von drei Kategorien. Es handelt sich um eine Betrachtung von den Feststellungen  zugrundeliegenden sog. „Nettorisiken“, bei denen die zum Prüfungszeitpunkt vorhandenen internen Kontrollmaßnahmen bereits berücksichtigt sind.

   

Hoch

Die Feststellung stellt einen Sachverhalt dar, welcher eine hohe oder kritische Prozessschwäche oder Kontrollversagen aufweist. Das zugrundeliegende Risiko ist qualitativ oder quantitativ wesentlich und bereits eingetreten oder die Kontrollumgebung nicht angemessen ausgestaltet. Das Management sollte die sofortige Implementierung kompensierender Maßnahmen einleiten (0-3 Monate).

Diese Kategorie beinhaltet primär Gesetzesverstöße oder schwere interne Richtlinienverstöße mit externer Auswirkung.

Mittel

Die Feststellung stellt einen Sachverhalt dar, welcher eine mittlere Prozessschwäche oder Kontrollversagen aufweist. Das zugrundeliegende Risiko ist nicht wesentlich, bereits eingetreten oder die Kontrollumgebung schließt den Risikoeintritt nicht aus. Das Management sollte eine mittelfristige Maßnahmenumsetzung einleiten (3-6 Monate).

Diese Kategorie beinhaltet primär interne Richtlinienverstöße.

Gering

Die Feststellung stellt einen Sachverhalt dar, welcher als gering oder geringfügig einzustufen ist. Eine Maßnahmenumsetzung sollte dennoch erfolgen. Die Kontrollumgebung ist zwar gut ausgestaltet, ein Risikoeintritt kann jedoch nicht gänzlich ausgeschlossen werden (6-12 Monate).

Diese Kategorie beinhaltet primär Verbesserungsvorschläge.

 

Es liegt in der alleinigen Verantwortung des Rektorates, die Arbeitsergebnisse zu beurteilen, Entscheidungen bezüglich der Umsetzung von im Rahmen der vorliegenden Revision empfohlener Maßnahmen zu treffen sowie zu bestimmen, welche Konsequenzen bezüglich sonstiger adressierter Sachverhalte zu ziehen sind.