Das Risk Management als Grundlage für die Revisions

INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder
Das Risk Management als
Grundlage für die Revisionsplanung der Internen Revision
Fallbeispiel Schweizerische Post
Beim Thema Risk Management und Interne Revision
ging es bis anhin um Fragen der Abgrenzung sowie
der Revision des Risk Managements [1]. Bei der Einführung des Risk Managements bei der Schweizerischen Post [2] war von Anfang an vorgesehen, dass
das Risk Management (unter anderem) die Basis für
die Revisionsplanung bildet. Dabei stellen sich zwei
grundsätzliche Fragen: Wie werden Revisionsthemen
aus dem Risk Management abgeleitet und wie wird
weiterhin die Unabhängigkeit der Internen Revision
gewährleistet.
1. Einleitung
Die Schweizerische Post ist in acht Geschäfts- und fünf Servicebereichen organisiert. Jeder Bereich ist für sein Risk
Management selber verantwortlich. Zusätzliche Organisationseinheiten sind
gemäss Abbildung 1 mit Risikofragen
und -überwachung beschäftigt. Nicht
dargestellt sind alle weiteren Stellen,
die sich mit Kontrollaufgaben innerhalb der einzelnen Bereiche befassen.
Mit der Aufgabenteilung gemäss Abbildung 1 wird sichergestellt, dass keine
Schnittstellenprobleme in Bezug auf
Aufgaben und Kompetenzen entstehen.
Innerhalb des Risk Managements wurden die Phasen gemäss Abbildung 2 definiert, um eine klare Abgrenzung der
Aufgaben und Verantwortlichkeiten zu
gewährleisten. Dabei beziehen sich die
ersten drei Phasen auf das Projekt
«Einführung Risk Management»; die
Der Schweizer Treuhänder 3/02
nachfolgenden Phasen sind das eigentliche, operative Risk Management. Die
Rolle der Internen Revision ändert
sich dabei.
Stefan Baeriswyl, Leiter Informatikrevision, Die Post, Bern
[email protected]
1.1 Die Definition des Institute
of Internal Auditors (IIA) für
die Interne Revision
Gemäss der Definition des IIA ist «die
Interne Revision eine unabhängige, objektive Tätigkeit. Sie trägt dazu bei, dass
für die Unternehmung ein Mehrwert geschaffen wird, indem Vertrauen und Gewissheit in die Geschäftsprozesse erhöht
und diese durch Beratung verbessert
werden. Die Interne Revision trägt zur
Zielerreichung bei, indem sie ein systematisches und professionelles Vorgehen
für die Beurteilung und Verbesserung
des Risikomanagements, der Kontrollen
und der Führungsprozesse anwendet
[3].»
Diese Definition umfasst zwei Aspekte
unter Risikogesichtspunkten.
• Die zu überprüfenden Prozesse sind
nach ihrem Risikogehalt auszuwählen. Dies entspricht dem schon länger
praktizierten risikoorientierten Revisionsansatz der Internen Revision.
• Das Risk Management ist auf dessen
Funktionsfähigkeit zu überprüfen.
Damit stellt sich unmittelbar die
Frage, ob die Resultate des Risk
Managements als Basis für die Revisionsplanung dienen können. Diese
Differenzierung wird in der Praxis
gemäss unseren Erfahrungen nicht
vorgenommen, d.h. Revisionsplanung
und Risk Management laufen teilweise unabhängig voneinander ab.
Das Risk Management ist ein Prüffeld, wobei ein gutes Resultat analog
zu IKS Prüfungen den Umfang von
Einhalte- und Ergebnisprüfungen
sowie den Prüfrhythmus reduziert.
149
INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder, Das Risk Management als Grundlage für die Revisionsplanung der Internen Revision
Abbildung 1
Organisationseinheiten mit Risk Management- und Überwachungsaufgaben bei
der Schweizerischen Post
Auftragnehmer
Auftraggeber
Auftrag
Externe Revision
Bundesrat
Prüfung der Jahresrechnung.
Interne Revision
Verwaltungsrat
Prüfung von Prozessen, die eine ordnungsgemässe
Geschäftsführung und Rechnungslegung, eine wirksame
und effiziente Geschäftstätigkeit und die Einhaltung von
Gesetzen sicherstellen.
Konzern-Risk Management
Konzernleitung
Pflege des Risk Management Systems und Unterstützung
der Geschäftsbereiche.
Unternehmenssicherheit
und IT-Security
Konzernleitung
Verantwortlich für die Gewährleistung eines einheitlichen
und integralen Sicherheitsmanagements der Post. Unterstützt,
koordiniert und kontrolliert die Sicherheitsmassnahmen der
Bereiche auf dem Gebiet der Safety und Security.
Versicherungsmanagement
Konzernleitung
Prüfung und Überprüfung der zu versichernden Risiken;
Absicherung vor Schadenfällen durch adäquate Massnahmen.
Controlling
Bereichsleitungen
Planungs- und Steuerungsinstrument zur Aufbereitung von
entscheidungsrelevanten Informationen.
Projekt Controlling
Konzernleitung
Prüfung und Berichterstattung zu strategischen Projekten.
1.2 Entwicklung der Internen
Revision Post
Generell verschiebt sich in der Internen Revision der Schwerpunkt vom financial zum operational audit [4].
Prozesse möglichst vollständig und
top-down geprüft werden.
2. Risikoorientierte
Revisionsplanung
Bei der Internen Revision Post verläuft
die Entwicklung gemäss Abbildung 3.
2.1 «Traditionelle» risikoorientierte Revisionsplanung
Aufgrund dieser Feststellungen lassen
sich folgende Tendenzen ableiten:
Bis zur Einführung des Risk Managements bei der Post wurde die risiko-
• Starke Abnahme Financial Audit.
• Zunahme Operational Audit.
• Compliance Audit wird Bestandteil
von Operational audit.
• IT Audit wird teilweise integriert in
Operational Audit und Projektbegleitenden Revisionen.
• Projektbegleitende Revisionen nehmen zu.
• Strategierevisionen nehmen zu, d.h.
die Überprüfung der Strategieumsetzung.
orientierte Revisionsplanung der Internen Revision in den in Abbildung 4
dargelegten (vereinfachten) Stufen
durchgeführt.
Obwohl die Kommunikation mit Linie,
Konzernleitung und Verwaltungsrat intensiv geführt wurde und sich gemäss
Abbildung 3 eine sinnvolle Verlagerung der Revisionsansätze aufzeigt,
gibt es Kritikpunkte bzw. Mängel bei
der Erhebung der Revisionsthemen.
Der Fokus ist revisions- statt geschäftsmässig ausgerichtet. Der starke Einfluss von vergangenen Revisionen verkennt die Dynamik des heutigen Geschäftsumfeldes. Und vor allem ergibt
sich eine zu punktuelle Betrachtungsweise, die Gesamtzusammenhänge vernachlässigt sowie einzelne Vorfälle und
Schwachstellen tendenziell zu stark gewichtet.
2.2 Aus dem Risk Management
abgeleitete Revisionsplanung
Und ganz wichtig:
• Die Anzahl der Revisionen nimmt
ab. Diese werden umfangreicher und
komplexer, da je länger je mehr die
150
Martina Zehnder, Leiterin Interne
Revision, Die Post, Bern
[email protected]
Mit der Einführung des Risk Managements bei der Schweizerischen Post
wurde unter anderem die Basis für die
Revisionsplanung gelegt. Mit dem neuDer Schweizer Treuhänder 3/02
INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder, Das Risk Management als Grundlage für die Revisionsplanung der Internen Revision
en Instrument wird erreicht, dass die
Geschäftsbereiche und die Interne Revision die gleiche Sprache sprechen.
Zudem besteht Einigkeit über die Relevanz der geplanten Revisionen, d.h.
Einigkeit über den Risikogehalt. Das
Risk Management gewährleistet weiter
die Berücksichtigung der Gesamtzusammenhänge. Sämtliche Risiken sind
integriert und werden mit den gleichen
Kriterien bewertet.
Das Kernelement der für die Post entwickelten Methode des Risk Managements ist die Risikoanalyse, die als self
assessement durch die Linie durchgeführt wird. Sie setzt sich aus drei Schritten zusammen:
Dieser Ansatz hat mehrere Vorteile:
• Basis ist das von der Linie als hoch
eingestufte Geschäftsrisiko.
• Mit der Überprüfung der Wirksamkeit der Massnahmen wird der Linie
die Sicherheit gegeben, dass die Massnahmen tatsächlich dem self assessment entsprechen. Dadurch wird das
Vertrauen in die Geschäftsprozesse
erhöht, wie es die Definition des IIA
vorsieht. Die Interne Revision kann
sich zudem überzeugen, dass die Bewertung des Restrisikos korrekt ist.
• Mit der Überprüfung der Wirksamkeit der Massnahmen wird gleichzeitig das Risk Management geprüft,
eine weitere Anforderung des IIA.
Revisionen zu nennen, da die Basis für
die Revisionsplanung die Selbstbeurteilung der Linie ist. Bei der Durchführung der Risikoanalyse hat sich allerdings gezeigt, dass die Bruttorisiken
generell hoch eingeschätzt werden, so
dass sich eher zuviele Revisionsthemen
ergeben und die Interne Revision ihre
eigenen Schwerpunkte setzen kann.
Zusätzlich muss aber die Interne Revision sämtliche «tiefen» Bruttorisiken
kritisch hinterfragen und, falls sie zu
einer höheren Bewertung kommt, das
jeweilige Risiko als Revisionsthema
aufnehmen. Ein weiterer Nachteil ist,
dass viele hohe Risiken nicht unmittelbar zu Revisionsthemen führen, da der
Fokus des Risk Managements auf die
Abbildung 2
Die Phasen innerhalb des Risk Managements und die Verantwortungsträger
Phasen Risk Management
Verantwortung
1. Definition Methodik
Projektteam (Versicherungsmanagement, Unternehmenssicherheit, Interne Revision)
2. Entwicklung Instrument für die Risiko-Identifikation
Projektteam
3. Entwicklung Instrument für Risiko-Messung und
-Gewichtung
Projektteam
4. Bestimmung Risikotoleranz und Risikostrategie
Konzernleitung, Verwaltungsrat
5. Risiko-Bewirtschaftung
Linie
6. Risiko-Kontrolle, Beurteilung Massnahmen und IKS
Linie, Interne Revision, Unternehmenssicherheit,
Versicherungsmanagement, externe Revision
7. Rückkoppelung der Ergebnisse aus der Risikokontrolle
Linie
8. Anpassung des Risk Management Prozesses
Konzern-Risk-Management
1. Bewertung Bruttorisiko
2. Beurteilung, Beschreibung und Dokumentation der Massnahmen
3. Bewertung Restrisiko
Ein hohes Bruttorisiko gibt Aufschluss
über das inhärente Geschäftsrisiko und
ist deshalb bei der Revisionsplanung
zu berücksichtigen. Eine schlechte Beurteilung der Massnahmen sowie eine
hohe Bewertung des Restrisikos zeigen,
dass die Linie bereits selber realisiert
hat, dass ein Handlungsbedarf besteht.
Damit ergibt sich die Regel, dass die
Prüfthemen gemäss hohem Bruttorisiko und tiefem Restrisiko ausgewählt
werden.
Der Schweizer Treuhänder 3/02
• Die «Produktepalette» der Internen
Revision wird erweitert, indem für
die hohen Restrisiken (Problem/Risiko durch die Linie erkannt, aber
noch keine geeignete Massnahme
definiert) Beratungen oder Analysen für die Linie durchgeführt werden können, ebenfalls ganz im Sinne
des IIA.
• Die Risikoanalyse bildet eine ausgezeichnete Grundlage für Gespräche
mit der Linie, der Konzernleitung
und dem Verwaltungsrat.
Diesen Vorteilen stehen allerdings
auch Nachteile gegenüber. Zuerst ist
dabei die Unabhängigkeit der Internen
Geschäftsprozesse und nicht auf die
Revision gerichtet ist.
2.3 Neue Schwerpunkte
in der Internen Revision
Die in Abbildung 3 gezeigten Revisionsschwerpunkte können durch die
Risikoanalyse ergänzt werden, wobei
die Aussagen bezüglich Revisionsarten
gültig bleiben, wie z.B. Verschiebung
vom financial zum operational audit.
Aus Abbildung 5 sind die diesbezüglichen Tendenzen erkennbar. Für die
Linie sind die Hauptrisiken strategi151
INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder, Das Risk Management als Grundlage für die Revisionsplanung der Internen Revision
Abbildung 3
Entwicklung der verschiedenen Revisionsarten
1999
%
2000
%
2001
%
Financial
50
29
26
Operational
19
34
32
Compliance
20
25
14
0
6
11
11
6
11
0
(6)*
6
Projektbegleitung
IT
Strategie
Total Anzahl Revisionen
40
35
32
*Strategieaspekte als Prüfpunkt von Operational Audit berücksichtigt.
scher Natur sowie der Erfolg am Markt
und gegen die Konkurrenz. Neue Revisionsthemen sind demzufolge z.B.:
• Geschäftsbereich XY: Prüfung der
– Prozesse bezüglich Einhaltung der
Vorgaben für die Erarbeitung der
Business Pläne für die Geschäftsfelder A, B und C.
– Kriterien und Kennzahlen zur
Überprüfung der Wirksamkeit der
Massnahmen in den Business Plänen sowie bezüglich der quantitativen und qualitativen Fortschrittskontrolle.
• Geschäftsbereich Z: Prüfen, wie die
Strategien Z in den Regionen umgesetzt werden und wie die regionalen
Besonderheiten in den regionalen
Strategien berücksichtigt werden.
In anderen Bereichen ändern sich die
Revisionsziele. Beispiele sind:
management, wie Personalbedarfsplanung oder Umsetzung der Personalzufriedenheitsmassnahmen.
3. Produkte der
Internen Revision
Die Revision trägt damit verstärkt dem
Gedanke «assurance» aus der IIA-Definition Rechnung. Die Interne Revision überprüft die Wirksamkeit der
durch die Linie als gut beurteilten
Massnahmen und gibt ihr somit Sicherheit (assurance), dass die Einschätzung
stimmt oder stellt fest, dass das Restrisiko höher ist als angenommen. Bei den
Analysen wird die Risikosituation
eines als hoch eingestuften Risikobereiches analysiert und Empfehlungen
abgegeben, ob Massnahmen zu ergreifen sind. Bei der Beratung wird die
Linie zur Verbesserung von bereits vorhandenen Massnahmen unterstützt.
Damit kann auch der in der IIA-Definition erwähnte Mehrwert konkretisiert werden:
• Der Linie wird durch Revisionen die
Sicherheit gegeben, dass das Self Assessment zutreffend ist.
• Die Linie wird vor negativen Überraschungen gewarnt, falls sich herausstellt, dass die vorgesehenen Massnahmen zuwenig Wirkung zeigen.
• Die Interne Revision trägt zur Verbesserung der von der Linie als relevant eingestuften Prozesse bei.
Wie bereits erwähnt, eignet sich die Risikoanalyse auch zur Weiterentwicklung der Produktepalette der Internen
Revision im Sinne der IIA-Standards.
Die Interne Revision Post hat drei Produkte definiert: Revisionen, Analysen
und Beratung (siehe Abbildung 6).
4. Unabhängigkeit der
Internen Revision
Wie bereits dargestellt, werden diejenigen Bereiche revidiert, die ein hohes
Brutto- und tiefes Restrisiko haben.
• Organisatorisch ist die Interne Revision dem Verwaltungsrat unterstellt
und hat kein Weisungsrecht.
Die Unabhängigkeit wird in mehrfacher
Hinsicht gewährleistet:
Abbildung 4
Ablauf risikoorientierte Revisionsplanung
• Bei Revisionen in der Leistungserbringung steht nicht mehr die Effizienz der Prozesse und das IKS innerhalb eines Geschäftsbereiches im
Vordergrund, sondern die bereichsübergreifenden Prozesse und IKS
sowie die Optimierung von Schnittstellen zwischen den Bereichen und
das Partnermanagement, d.h. die
Optimierung von Schnittstellen nach
aussen.
• Im Bereich Personal ergibt sich die
Verschiebung von der Lohnadministration zum eigentlichen Personal152
1. Bedeutung des Revisionsthemas
• Wertmässig
• Strategisch
– > 1. Risikoindikator
2. Schwachstellen im IKS
(z. B. Erkenntnisse aus früheren
Revisionen, Reorganisationen, etc.)
– > 2. Risikoindikator
3. Zeitpunkt der letzten Revision
– > 3. Risikoindikator
4. Diskussion mit Konzernleitung und
Verwaltungsrat
5. Genehmigung durch Verwaltungsrat
Der Schweizer Treuhänder 3/02
INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder, Das Risk Management als Grundlage für die Revisionsplanung der Internen Revision
Abbildung 5
Ausrichtung der Internen Revision basierend auf der Risikoanalyse der Unternehmung
Gefahrenkatalog Post
Strategie und Umwelt
Nicht beeinflussbare Umweltrisiken (z.B. Konjunktur, Liberalisierung)
sowie Risiken aus der Strategie und deren Umsetzung
Kunden/ Markt
Risiken durch ungenügende Markt- und Kundennähe
Leistungserbringung
Nicht kundengerechte oder ineffiziente Leistungserbringung
Preispolitik
Nicht kostendeckende oder nicht konkurrenzfähige Preise
Projekte/externe
Dienstleistungen
Projektrisiken und Risiken aus Dienstleistungen externer Lieferanten
Reporting/Controlling
Informationen sind nicht relevant, nicht zeit-, risiko- und strategiegerecht
aufbereitet oder nicht an die richtigen Stellen adressiert
Sicherheit
Beeinträchtigung der Dienstleistungserbringung, der Mitarbeitenden, der
Infrastruktur und Sachwerte durch aktive und passive Gefahren
Human Resources
Risiken aus der Personalpolitik, der -beschaffung, -planung und -betreuung
IT
Risiken aus ungenügender oder unsicherer IT
Finanzen
Ungenügende Überwachung finanzieller Risiken
Corporate Governance
Führungssysteme und Kultur zur Erreichung der Unternehmensziele
Rechtliche Aspekte
Gesetzliche Rahmenbedingungen werden nicht eingehalten und überwacht
Kommunikation/Image
Imagerisiken aus ungenügender Kommunikation
• Bei der Revisionsplanung werden
die Ergebnisse der in den Bereichen
durchgeführten Risikoanalysen aufgrund der bisherigen Revisionstätigkeit und der Erfahrung der Revisoren hinterfragt.
• Die auf Stufe Konzernleitung durchgeführte Risikoanalyse ergänzt und
plausibilisiert die Resultate in den
einzelnen Bereichen.
• Bei der Beratung wird die Linie von
der Internen Revision beim Erarbeiten (Methodik, Fachwissen) neuer
Lösungen unterstützt. Die Verantwortung und die Freigabe der Ergebnisse liegt jedoch immer bei der
Linie.
aussetzung gegeben, dass die Wirksamkeit der Internen Revision erhöht wird,
d.h. es wird einfacher, den durch die
Revision geschaffenen Mehrwert auf-
zuzeigen. Durch die Fokussierung auf
die Geschäftsrisiken ergibt sich eine
Verlagerung zu marketing- und strategieorientierten Themen. Der neue An-
Abbildung 6
Produktepalette
Revisionen
Kernaufgabe IR
Auftraggeber/
Adressat VR
Studien und
Analysen
Beratung und
Coaching
Auftraggeber
Linienmanagement
oder VR
Auftraggeber/
Adressat
Linienmanagement
Adressat vereinbart
risikoorientiert
5. Zusammenfassung
Soll/Ist Vergleich
Einführung neuer
Prozesse
Optimierung
bestehender
Prozesse
Durch die Verschiebung des Fokus von
den Revisions- zu den Geschäftsrisiken
wird gewährleistet, dass Linie und Interne Revision die gleiche Sprache
sprechen und von den gleichen Grundsätzen ausgehen. Damit ist eine VorDer Schweizer Treuhänder 3/02
153
INTERNE REVISION
Stefan Baeriswyl, Martina Zehnder, Das Risk Management als Grundlage für die Revisionsplanung der Internen Revision
nicht Inhalte, sondern Lösungsprozesse
geprüft werden.
Abbildung 7
Vor- und Nachteile des neuen Ansatzes für die Revisionsplanung
Vorteile
Für die gesamte Post erfolgt Risk Management nach der gleichen Methode, d.h.
sämtliche Stellen, die sich mit Risiko befassen, sprechen die gleiche Sprache.
In Abbildung 7 befindet sich eine detaillierte Auflistung der Vor- und Nachteile des beschriebenen Ansatzes für
die Revisionsplanung.
Fokussiert wird auf Geschäfts- und nicht Revisionsrisiken.
Die punktuelle Sichtweise weicht einer Gesamtbetrachtung.
Grundlage für die Revisionsplanung sind die durch die Linie bewerteten Massnahmen, womit gewährleistet wird, dass Einigkeit über den Handlungsbedarf
besteht.
Die IIA-Definition wird vollumfänglich umgesetzt.
Die Kernkompetenzen der Internen Revision können erweitert und die Kundenbedürfnisse besser erfüllt werden.
Anmerkungen
1 Zum Beispiel: Bumbacher Jan, Hodel Beat:
Risk Management und Interne Revision,
ST 10/00; Dietrich Dörner, Peter Horvath,
Henning Kagermann (Hrsg.): Praxis des Risikomanagements, S. 134ff.
2 Siehe ST 6–7/01: Risk Management bei der
Schweizerischen Post.
Der durch die Revision geschaffene Mehrwert kann konkretisiert werden und
entspricht den Bedürfnissen der Kunden.
3 Eigene Übersetzung der englischen Definition, die sich leicht von der deutschen Version
(www.svir.ch) unterscheidet.
Durch die verstärkte Ausrichtung der Revisionen auf strategische Aspekte
werden im speziellen die Bedürfnisse des Verwaltungsrates abgedeckt [5].
4 Flemming T. Ruud, Jan Marc Bodenmann,
Matthias Kienast: Entwicklungen in der Internen Revision, ST 10/00.
Nachteile
Das Risiko der Abhängigkeit der Internen Revision von der Linie erhöht sich.
Die Ausrichtung auf die Geschäftsrisiken erfordert ein Umdenken der Revisoren.
Der Aufwand für das Erarbeiten und Ändern von Revisionsprogrammen nimmt zu.
satz eignet sich ebenfalls, um die IIADefinition umzusetzen, indem der Gedanke von «assurance and consulting»
konkretisiert wird. Auf der anderen
Seite ist zu beachten, dass die Unabhängigkeit nicht gefährdet ist. Dies
wird mit einem strikt prozessorientierten Revisionsansatz erreicht, bei dem
5 Edwin Somm in der Berner Zeitung vom
25. August 2001: «Für mich gibt es in der Unternehmensführung drei Prozesse, in die der
Verwaltungsrat, das oberste Kontrollorgan,
voll und ganz involviert sein muss. Der wichtigste Prozess ist die Strategieerarbeitung.
Der Verwaltungsrat muss sich mit der vom
Management vorgeschlagenen Strategie auseinander setzen. Das bedeutet nicht, sie einfach abzuhaken, sondern zu analysieren, was
ihre Chancen und Risiken sind. Zwar: Wer
nichts riskiert, gewinnt nichts. Aber die Umsetzung der Strategie muss man überwachen.
Für das Erarbeiten einer Strategie braucht
man 10 Prozent der Zeit, für die Umsetzung
hingegen 90 Prozent. Das Umsetzen ist der
wichtigste Prozess in einem Unternehmen.»
RESUME
La gestion des risques comme base
de la planification des travaux de l’audit interne
Le thème «gestion des risques et audit
interne» soulève des questions de délimitation et d’audit de la gestion des
risques. L’introduction de la gestion
des risques à la Poste suisse a jeté les
fondements de la planification d’audit. Les opportunités qui en découlent
sont nombreuses alors que les inconvénients sont rares. En déplaçant la
cible des risques d’audit vers les
risques d’entreprise, on garantit que
154
les fonctions de ligne et l’audit interne
parlent le même langage. La condition
est ainsi donnée que l’efficacité de
l’audit interne peut être augmentée;
cela facilite la présentation de la plusvalue générée par l’audit interne. Par
le ciblage sur les risques d’entreprise,
le déplacement parmi les thèmes d’audit se fait vers des thèmes de marketing ou stratégiques. La nouvelle approche facilite également l’applica-
tion de la définition IIA qui concrétise l’idée d’«assurance and consulting». Il s’agit par ailleurs de veiller
à ce que l’indépendance de l’audit interne ne soit pas menacée. Il est possible d’atteindre cet objectif par une
approche de l’audit strictement orientée processus, où il s’agit de vérifier
des processus de solutions et non des
contenus.
SB/MZ/AFB
L’Expert-comptable suisse 3/02