Interne Revision: Schutzpatron aus den eigenen Reihen oder Feind aus der Mitte?

Reform & Debatte

Wer in der Internen Revision arbeitet, ist nicht unbedingt Everybody’s Darling. Dabei hat sich diese Abteilung in den letzten Jahren zu einer tragenden Säule der Corporate Governance entwickelt. Welche Aufgaben haben Revisor*innen? Wie weit reichen ihre Befugnisse? Was regelt das Institute of Internal Auditors und was nicht?

Die Interne Revision ist eine eigenständige, objektive und unabhängige Abteilung innerhalb eines Unternehmens, die Prüfungsaktivitäten für das eigene Unternehmen erbringt. Eine Interne Revision ist hierbei Teil des Internen Kontrollsystems (IKS) und der vorherrschenden Governance-Strukturen. Sinn und Zweck der Internen Revision ist es, Mehrwert durch die Verbesserung von Geschäftsabläufen und -prozessen zu schaffen. Die primären Adressaten der Ergebnisse sind das Management wie Geschäftsführung und Vorstand sowie Aufsichtsorgane wie etwa der Aufsichtsrat. Um eine effektive Interne Revision aufzubauen, bedarf es eines passenden Aufbaus im Sinne geeigneter und ausreichender Mitarbeiter*innen, der Kontrolle der Aktivitäten sowie einer Qualitätssicherung, die z. B. in der Nachschau einzelner Revisionen bestehen kann. Optimalerweise präzisiert eine Geschäftsordnung die Aufgaben, Befugnisse und Verantwortung der Internen Revision.

Revision vs. Prüfung: ähnliche Abläufe, aber anderes Timing

Der Ablauf einer Internen Revision über einen Prozess ist je nach Ausgestaltung vergleichbar mit der Prozessaufnahme und Prüfung bei einer (externen) Abschlussprüfung. Die genauen Tätigkeitsbereiche, Verantwortlichkeiten sowie der Wirkungsbereich und -grad der Internen Revision sind jedoch freier wählbar. Außerdem sind sie zum einen abhängig von der Größe und Struktur des Unternehmens, zum anderen unterliegen sie den Entscheidungen des Managements.

Zeitlich sind die Prüfungen der Internen Revision eher von der Abschlussprüfung entkoppelt. Sinnvollerweise finden Interne Revisionen über einzelne Prozesse oder Bereiche in Zeiten statt, in denen die Auslastung der von der Revision betroffenen Mitarbeiter*innen eher gering ist.

Die Interne Revision ist in der Themenauswahl frei. Häufig geht es nicht nur um die standardisierten Prozesse innerhalb eines Unternehmens (z. B. Einkauf oder Verkauf). Auch individuellere Themen wie etwa eine Prüfung über die Funktionstrennung in ausgewählten Bereichen oder eine Prüfung automatisierter Vorgänge können ausgewählt und gezielt untersucht werden. Das Ziel ist jedoch stets das gleiche: Unter Berücksichtigung der Strategien, Ziele und Risiken der Organisation werden die Revisionsplanung durchgeführt und die Themenbereiche ausgewählt, die untersucht werden sollen.

Das Ziel: Schwachstellen im IKS aufdecken

Prüfungsumfang und -tiefe einer Internen Revision sind individuell wählbar, wodurch gezielt Schwachstellen im Internen Kontrollsystem untersucht und behoben werden können. Auch die Umsetzung der Revision ist frei gestaltbar, wobei in der Regel Prozess- und Kontrollaufnahmen mit etwaigen Kontrolltests verbunden sind. Eine verbreitete Methode hierfür ist das Gespräch oder Interview. Aber auch technischere Herangehensweisen wie Datenanalysen können die gewünschten Erkenntnisse bringen.

Zwar ist eine Revision je nach Umfang und Dauer mit nicht unerheblichen Kosten verbunden. Doch der Vorteil liegt ganz klar darin, dass sie Gefahren durch Schwächen im Internen Kontrollsystem aufdecken und somit (Vermögens-)Schädigungen verhindern kann. Ziel ist immer die Minimierung von Risiken durch ein angemessenes und funktionierendes IKS.

Die Ergebnisse werden in Revisionsberichten formuliert, die dem Adressatenkreis zur Verfügung gestellt werden. Ein entscheidender Erfolgsfaktor ist, dass die Ergebnisse den Berichten entnommen, Aktionspläne entwickelt, Veränderungen herbeigeführt und diese wieder einer Prüfung unterzogen werden.

Kein Personal? Kein Problem!

Selten haben Unternehmen die Kapazitäten, um eine Interne Revision ausschließlich mit eigenen personellen Ressourcen aufzubauen. Das müssen sie auch nicht, denn auf dem Markt gibt es verschiedene Modelle zur Unterstützung. Beim Outsourcing geht es darum, die Funktion der Internen Revision vollständig zu übernehmen, beim Co-Sourcing wird die etablierte Interne Revision mithilfe externer Partner*innen unterstützt und handelt bspw. unter der Leitung des Head of Internal Audit auf Mandantenseite.

Ungeachtet dessen, wie eine Interne Revision gestaltet ist, sollte sie einige Qualitätsmerkmale einhalten. Hierzu gehört eine ausreichende und kompetente Ausstattung der Mitwirkenden. Außerdem müssen die Unabhängigkeitserfordernisse an Interne Revisor*innen unbedingt erfüllt werden. Die Kernprinzipien, die Mitglieder einer Internen Revision zu befolgen haben, sind Integrität, Objektivität, Verschwiegenheit und Kompetenz.

Sparring für Vorstand und Aufsichtsrat

Die rechtliche Notwendigkeit zur Einrichtung einer Internen Revision ist in Deutschland nicht branchenübergreifend reguliert. Für Industrieunternehmen besteht grundsätzlich keine Verpflichtung, eine Interne Revision einzurichten. Daher kommt es im Wesentlichen auf den Anspruch der Leitungsorgane wie etwa Vorstand und Aufsichtsrat an, ob und inwieweit eine Interne Revision eingerichtet wird und wie ihre Arbeitsweise strukturiert und ausgestaltet ist. Die Interne Revision dient der Unternehmensleitung als „Sparringspartner“ bei der Überwachung und Verbesserung von Unternehmensabläufen sowie der Risikokontrolle.

Trotz fehlender rechtlicher Notwendigkeit unterliegt die Interne Revision einer Regulierung. Das Institute of Internal Auditors (IIA, Florida, USA) ist Herausgeber der ausformulierten und weltweit gültigen IIA-Standards, die richtungsweisend für die Vorgehensweise einer Internen Revision sind. Das IPPF (International Professional Practices Framework) dient hierbei zusätzlich als Rahmenkonzept für Revisor*innen und hilft den Anwender*innen bei der Umsetzung einer effektiven und effizienten Revision. Die IIA-Standards konkretisieren Aufgabenstellung, Befugnisse und Verantwortung der Internen Revision und geben eine Richtung vor, mit welchem Wissen und welchen Fähigkeiten Interne Revisor*innen ausgestattet sein sollen, wie eine Revision zu planen und wie sie durchzuführen ist.

ISA 610 (revised) definiert die Voraussetzungen, unter denen Abschlussprüfer*innen die Arbeit der Internen Revision für Zwecke der Abschlussprüfung nutzen dürfen. Hierbei stehen die Bewertung der Kompetenz der Internen Revision sowie der Prüfungsansatz im Vordergrund bei der Beantwortung der Frage, ob der*die Abschlussprüfer*in sich die Arbeit der Internen Revision zu eigen machen darf. Steht die Unabhängigkeit der Prüfer*innen in Frage, ist es ihnen keinesfalls erlaubt, an der Internen Revision mitzuwirken.

Auf dem Daten-Highway in die Zukunft

Im Zeitalter von technologischer Innovation, Digitalisierung und disruptiven Methoden entwickelt sich auch der Bereich der Internen Revision weiter. Nicht nur begegnen den Revisor*innen neue Themenfelder, die neue Geschäftsrisiken und -chancen bergen, darunter Cyber Security (und Cyber-Angriffe), oder Vorgaben und somit Prozesse aus dem Bereich der Nachhaltigkeit, die durch eine Interne Revision geprüft und verbessert werden können. Auch die Technologie, die die Interne Revision vereinfacht und optimiert, entwickelt sich weiter. Technisch gibt es verschiedene Möglichkeiten, Interne Revisionen über Prozesse oder Themenfelder durchzuführen.

Ein aus heutiger Sicht weiterhin bestehender und wesentlicher Teil von Revisionen wird bleiben: Über Interviews werden Abläufe, Risiken, etwaige Prozesslücken oder -fehler, installierte oder fehlende Kontrollen herausgearbeitet. Je nach Datenlagen bieten sich aber auch neuere Technologien an, wie etwa Process Mining. Hier werden Prozesse und deren einzelnen Schritte in ihrer Reihenfolge anhand von Datenpunkten dargestellt und mit Musterprozessabläufen verglichen. Ein Schritt in die Zukunft ist der Aufbau von sog. Continuous-Audit-Strukturen: Das Management bekommt die Möglichkeit, Prozessabläufe und deren Einhaltung oder Abweichung von vorgegebenen Prozessen und Kontrollen in Echtzeit auf mobilen Endgeräten zu beobachten. Schöne neue Welt.


Für weitere Themen rund um die Wirtschaftsprüfung und Mazars folgen Sie uns auch auf LinkedIn, Twitter und XING.

Kommentare

Antwort

Ihre E-Mail Adresse wid nicht veröffentlicht. Pflichtfelder sind markiert*.