Interne RevisionInterne Revision (auch Innenrevision; beides oftmals abgekürzt mit „IR“) ist eine vom Tagesgeschäft unabhängige, objektive Prüfungs- und Beratungsaktivität in einer Organisation. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele im Wege eines systematischen und disziplinierten Ansatzes der Bewertung und Verbesserung der Effektivität von Risikomanagement, internem Kontrollumfeld und Unternehmensführung. Ihr Zweck ist die kontinuierliche Verbesserung der Geschäftsprozesse und die Schaffung von Mehrwert für die Organisation. Die Interne Revision unterstützt die Geschäftsführung bzw. Vorstand, Aufsichtsrat oder Verwaltungsrat in ihrer Kontroll-, Steuerungs- und Lenkungsfunktion im Wege der Durchführung unabhängiger, interner Prüfungsmandate. Sie ist normalerweise direkt der Geschäftsführung der Organisation unterstellt und daher zumeist eine Stabsstelle. Das heutige Verständnis der Internen Revision geht überwiegend aus dem angelsächsischen Begriff des „Internal Audit“ hervor. Eine solche Unternehmensfunktion etablierte sich in den 1930er- und 1940er-Jahren vor dem Hintergrund der Entstehung von (für die Kontrollgremien zunehmend unübersichtlichen) Großunternehmen, sowie der im Zweiten Weltkrieg entstandenen Notwendigkeit, komplexe und ressourcenaufwendige Projekte bzw. Unternehmungen zeitnah und detailliert von unabhängiger Seite zu evaluieren bzw. kritisch zu begleiten. Das Internal Audit wird historisch parallel zum Aufkommen des modernen Beratungsbegriffs (engl. „Management Consulting“) eingeordnet, wobei die Versicherungsfunktion („Assurance“) gegenüber der Beratungsfunktion („Consulting“) im Vordergrund steht. Aufgaben, kodifizierte Normen und AnforderungenDie Interne Revision soll folgende Primärfunktionen erfüllen:
Gesetzliche Anforderungen an die Einrichtung einer Internen Revision ergeben sich in Deutschland aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Für einzelne Wirtschaftszweige gibt es weitere Anforderungen: Aus dem Kreditwesengesetz (§ 25a Abs. 1 Nr. 3 KWG) für Kreditinstitute und aus dem Versicherungsaufsichtsgesetz (§ 30 VAG) für Versicherungsunternehmen ergeben sich die Anforderungen an die Einrichtung einer derartigen Institution unabhängig von ihrer Rechtsform. Darüber hinaus werden Funktion und Aufgaben der Internen Revision in den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen Mindestanforderungen an das Risikomanagement – in separaten Vorschriften für Banken, für Versicherungen und für Investmentgesellschaften – genauer beschrieben. Die gezielte Überwachung der Abläufe und Strukturen einer Organisation mit Blick auf das sachgerechte Verfolgen ihrer – legitimen – Ziele ist im Interesse einer Vielzahl von Interessengruppen, die man unter dem Oberbegriff „Stakeholder“ zusammenfasst: Kapitalgeber, Kunden, Mitarbeiter und Öffentlichkeit. Der Internen Revision kommt hierbei die Aufgabe zu, Vorgänge auf Ordnungsmäßigkeit zu prüfen und Ineffektivität, Unregelmäßigkeiten (Buchungsfehler, Rechtsfolgefehler) oder Manipulationen (zum Beispiel Veruntreuungen) aufzudecken (englisch „fraud detection“). Sie bildet somit – neben dem Controlling, welchem vornehmlich die Aufgabe der Verarbeitung und Validierung von Steuerungsinformationen zukommt – einen wesentlichen Teil des übergeordneten Steuerungs- und Überwachungssystems einer Organisation. Neben der Prüfung der thematisierten Ordnungsmäßigkeit werden mittels Prüfung von Geschäftsprozessen, -programmen und -projekten auch die Umsetzung und Effizienz strategischer Initiativen hinterfragt. Der modernen Internen Revision kommt zudem als „Change Agent“ die Aufgabe zu, Veränderungsprozesse im Unternehmen einzuleiten und zunehmend (neben den klassischen Prüfungsmandaten) auch Beratungsmandate für die einzelnen Fachabteilungen wahrzunehmen. Prüfung, Kontrolle und Überwachung – BegriffsklärungenUnter Prüfung versteht man zunächst jeden Soll-Ist-Vergleich. Der Ausführende einer Prüfung steht jedoch – im Unterschied zur Kontrolle – „außerhalb“ der zu beurteilenden Organisation (also wie: Wirtschaftsprüfer, Steuerprüfer, Sozialversicherungsprüfer und interner Revisor). Er untersucht organisatorische Sachverhalte (Ist) (beispielsweise einen Prozess oder eine Vorgehensweise) daraufhin, ob diese mit den Vorgaben (Soll) übereinstimmen. Das Soll ist meist eine interne Regelung (zum Beispiel Richtlinie, Handbuch, Arbeitsanweisung oder Betriebsvorschrift) oder ein Gesetz. Bei einer Differenz zwischen Ist und Soll (Fehler, Feststellung, Abweichung, Mangel) werden vom Prüfer Vorschläge für eine Verbesserung erwartet. Die Prüfung hat zwar primär keinen beratenden Charakter, jedoch können sinnvolle Vorschläge für die Verbesserung des Ist und ggf. des Soll (zum Beispiel Einschränkung von Abweichungsanalysen, die mehr kosten als sie bringen, korrekte Auslegung von Gesetzesvorgaben oder Einführung technisch verbesserter Überwachungsstandards) von großem Nutzen sein. Kontrollen sind organisatorisch verankerte Soll-Ist-Vergleiche, die (regelmäßig) von kompetenten Mitarbeitern vorgenommen werden, und zwar unabhängig von ihrer Stellung in bzw. zum jeweiligen Teilbereich der Organisation. Eigenverantwortlich vom Personal an der Produktionslinie vorgenommene Kontrollen gehören ebenso dazu, wie solche, die – gemäß dem Prinzip der internen Kontrolle – von Personen aus anderen Bereichen (Qualitätskontrolle, Verwaltung) abgewickelt werden. Auch hier ist es bei Abweichungen sinnvoll, unmittelbar im Anschluss Steuerungs- und Anpassungshandlungen vorzusehen. Maschinelle Kontrollmaßnahmen sind ebenfalls denkbar. Die hier zu setzenden Kontrollen und Maßnahmen sind je nach ihrer Zielsetzung recht unterschiedlich. Ein wichtiger zu kontrollierender Bereich in vielen Branchen ist der Einkaufssektor. Je nach Größe des Vorhabens sind genaue Auflagen bezüglich der Einholung von Gegenofferten einzuhalten, bis hin zur genauen Verlautbarung am vorgeschriebenen Ort zwecks EU-weiter Einladung aller potentiellen Bieter. Die Kontrollen werden gemeinsam mit Abläufen und Strukturen primär im Organisationshandbuch festgehalten. Kontrollen und damit im Zusammenhang stehende Korrektur- und Steuerungsmaßnahmen (Control) sind immer nur in Verbindung mit den Aktivitäten, die sie absichern sollen, sinnvoll. Kontrolle – ihre Einrichtung und Abwicklung – ist aber auch seit Erich Gutenberg ein allgemein gültiger Begriff für die diesbezügliche Verpflichtung des Managements unter Anwendung sinnvollen Delegierens. Dieses geht so weit, dass die Prüfung der Existenz und Wirksamkeit dieser Kontrollen an eine entsprechend autorisierte Interne Revision übertragen werden kann. Für Überwachung gibt es keine allgemein akzeptierte Definition. Überwachung ist prozessunabhängig, zumeist extern; dies hat sie mit der Prüfung gemeinsam. Sie kann einzelne Bereiche oder die ganze Organisation umfassen (beispielsweise Aufsichtsräte, Gewerbeinspektorate, Bankenaufsicht oder Audit Committees). Diese Institutionen sollen primär großflächig das Erkennen von Krisen erleichtern. Für die Gestaltung und Bewertung interner Kontrollsysteme werden oft Kontrollmodelle wie COSO und COBIT genutzt. Interne und externe RevisionInterne RevisionDie Interne Revision ist eine direkt der obersten Leitung unterstellte unabhängig agierende Stabsstelle für organisationsinterne Prüfungen und einschlägige Beratertätigkeit. Ihre Aufgabe besteht sowohl in der Bestätigung von Sachverhalten („Assurance“ bzw. „re-assurance“ in Verbindung mit dem Internen Kontrollsystem (IKS)) als auch in einschlägiger Beratung („Consulting“) in Organisationsfragen. Die Interne Revision trägt zur Zielrealisierung von Organisationen bei, indem sie systematisch mittels anerkannter Verfahren die Unternehmensprozesse und die damit verbundenen Zielsetzungen (Control Objectives), das Risikomanagement, die Steuerung und Überwachung („Governance“) kritisch durchleuchtet und weiterentwickeln hilft. Die Arbeit der Internen Revision soll den Wert der Organisation als Ganzes steigern (Aussage des IIA); sie kann „individuelle Mehrwerte oder Wertschöpfung“ schaffen. Im Normalfall kann und wird eine Interne Revisionsabteilung nicht Jahr für Jahr das gesamte Unternehmen prüfen. Es sollen jedoch über einen mehrjährigen, vorweg definierten Prüfzyklus alle Bereiche einmal abgedeckt werden. Bei der Teilung der Organisation in Prüfbereiche ist darauf zu achten, dass an den Schnittstellen keine „grauen“ ungeprüften Zonen entstehen. Für die prozessorientierte Festlegung sind die funktional aufgefächerten Unternehmensziele („Control Objectives“) sowie die bestehenden Organisationsbereiche (zum Beispiel Einkauf, Verkauf, Marketing und Produktion) heranzuziehen. Eine weitergehende Definition und Beschreibung enthalten die vom Institute of Internal Auditors (IIA) und den nationalen Fachverbänden veröffentlichten Standards der beruflichen Praxis der Internen Revision. Die Interne Revision kann eine interne Abteilung sein oder extern für zu revidierende Projekte bzw. Prüfungen eingekauft werden (Outsourcing). Möglich sind auch Mischformen zwischen beidem, die sogenannten Cosourcing- oder Partneringmodelle. Die Arbeit der Internen Revision ist in den Standards für die berufliche Praxis der Internen Revision definiert. Zertifizierte interne Revisoren (Certified Internal Auditor) unterwerfen sich einem Ethikkodex und den international anerkannten Berufsstandards des Institute of Internal Auditors (IIA), dem nationale Verbände wie DIIR e. V. (ehemals IIR e. V.), SVIR und IIA Austria angehören. Die europäischen Fachverbände für Interne Revision haben sich in der European Confederation of Institutes of Internal Auditing (ECIIA) organisiert. Das Institute of Internal Auditors (IIA) hat die Berufsstandards (Professional Practices Framework) überarbeitet und setzte die neue Version per 1. Januar 2009 unter dem Titel „International Professional Practices Framework (IPPF)“ in Kraft. Externe RevisionBei der externen Revision handelt es sich hingegen um ein unternehmensexternes Prüfungsorgan, das vor allem (aber nicht nur) in gesetzlich vorgeschriebenem Auftrag den Jahresabschluss mit dem Ziel des Aktionärs- und/oder Gläubigerschutzes prüft. Neben von der Unternehmensleitung bzw. von der Hauptversammlung bestellten Prüfungsorganen (Wirtschaftsprüfer, Steuer- bzw. Unternehmensberater) fallen hierunter auch durch öffentliche Behörden bestellte Prüfer, die je nach Branche und Fall variieren können (für die Bankenbranche wären beispielsweise Prüfer der BaFin oder Bundesbank zu nennen). Insbesondere vor dem Hintergrund der gestiegenen Anforderungen an die Recherchefähigkeit und Aufbereitung steuerlich relevanter Daten erfährt die Revision eine Akzentuierung als Präventionsinstrument. RevisionselementeRevisionsfelderEinsatzfelder der Internen Revision sind vielfältig und können wesentliche Informationen für die Außenbeziehung der Unternehmung liefern. Die klassische Unterteilung der Revisionstypen ist die folgende:
Compliance Audits sind die inhaltlichen Aufbereitungen der umwelt- und sicherheitsrechtlichen Anforderungen an das Unternehmen sowie Auditierung der Einhaltung. Financial Audits sind Prüfungen im Rechnungswesen (Buchführung) einer Organisation bzw. eines Unternehmens daraufhin, ob die Rechnungslegungsgrundsätze, zum Beispiel nach dem Handelsgesetzbuch oder nach steuerlichen Gesetzen ordnungsgemäß sind. Die Organisation bzw. das Unternehmen schützt sich damit gegen Fehler, die zu Problemen mit den Finanzbehörden oder der interessierten Öffentlichkeit führen könnten. Kreditrevision bezeichnet die Einschätzung des Kreditnehmers bezüglich des mit einer Kreditgewährung verbundenen Risikos und seiner Kreditwürdigkeit. Hierzu werden sogenannte Risikoklassen gebildet. Die Einschätzung durch den Revisor wird unabhängig von der Kreditbewilligung durchgeführt. Management Audits verfolgen speziell das Ziel, die Qualität der Geschäftsführung in den der obersten Leitung nachgeordneten Führungsebenen zu prüfen. Hierbei wird untersucht, inwieweit diese ihre definierten Ziele erreichen: Paradebeispiel ist die Prüfung von Tochtergesellschaften, bei der das „Briefing“ der Internen Revision unter maßgeblicher Mitsprache der Konzernleitung erfolgt. Dieser Ansatz setzt Erfahrung und Qualifikation der Prüfer voraus, weil das Ergebnis einer solchen Prüfung aus vielen komplexen Sachverhalten resultiert: Auch für Entscheidungen lokaler Führungsebenen müssen Ermessensspielräume konzediert werden, was vom Prüfer ebenfalls eine kritische, eigenverantwortliche Überlegung des „Für und Wider“ verlangt. Üblicherweise wird ein Management Audit von einem externen Berater-Team durchgeführt; zentrale Leistungskriterien sind hier Benchmarks vom Markt (aus dem Executive Search) sowie die Objektivität der Berater (siehe hierzu Management Audit). Operational Audits sind prozessorientierte Prüfungen bestimmter Kernprozesse in einer Organisation. In einem Unternehmen könnten hierzu beispielsweise Einkauf, Vertrieb und Personal zählen. In einer gemeinnützigen Organisation könnten die Mitgliederverwaltung und Fundraising hierunter fallen. Ziel ist die Verbesserung der Prozesse durch Verringerung von Kosten oder der Verminderung von Risiken für dolose Handlungen (Wirtschaftskriminalität). Die definierten Typen sind nicht überschneidungsfrei. Die Interne Revision hat sich ausgehend von den Financial Audits über Operational Audits bis hin zu Management Audits fortentwickelt. Eine moderne Interne Revision sollte alle diese Typen abdecken. Diese Dreiteilung deckt auch bestimmte Arten von Prüfungen mit ab, die sich hinsichtlich der Methodik und des Umfangs von typischen Revisionsprüfungen unterscheiden, beispielsweise Untersuchungen wirtschaftskrimineller Handlungen. Systemprüfungen dienen dazu, ein bestehendes System dahingehend zu prüfen, ob die Anweisungen umgesetzt wurden bzw. ob sie – meist in Form von Gesetzen – wirklich zweckdienlich sind. Beispiele sind die verschiedenen Richtlinien aus den Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute, die zu Anweisungen geführt haben, aufgrund derer Prüfungen auf die Erreichung des Richtlinienzweckes vorgenommen werden. Systemprüfungen (englisch system audits) sind aber auch eine synonyme Bezeichnung von Operational Audits – eben unter besonderer Hervorhebung, dass nicht nur Ergebnisse (wie im Financial Audit), sondern Strukturen und Abläufe nach den bekannten Aspekten geprüft werden. RevisionsablaufRahmenbedingungen für die Arbeit der Internen Revision sowohl bei Prüfungs- als auch Beratungsaufträgen sind in den Standards für die berufliche Praxis der Internen Revision (IIA Standards, IIAS) für zertifizierte oder den Fachverbänden angehörende interne Revisoren verbindlich geregelt.[1][2] Die sogenannten praktischen Ratschläge, Teil des Regelwerks für die berufliche Praxis der Internen Revision (IIA Professional Practices Framework), geben darüber hinaus detailliertere, unverbindliche Hilfestellungen.[3] Für die reale Arbeit in der Internen Revision sind die genannten Richtlinien aber eher nur eine Hilfe für die Ausrichtung, nicht aber für die praktische Durchführung. Als Qualifikation sind – zumeist schon beim Einstieg – gute Kenntnisse der allgemeinen Betriebswirtschaftslehre, Controlling (im weitesten Sinn), Wirkungsweise von Datenbanksystemen, überdurchschnittliche Sprachlogik (Modelldenken) und Kenntnisse der englischen Wirtschaftssprache vonnöten. Dazu ist bei vielen Prüfungen auch die Beachtung der entsprechenden (steuer- und handels-) rechtlichen Vorschriften erforderlich. Ein Prüfungsprojekt läuft auf der Grundlage definierter Phasen ab:
Alle von der Revision durchgeführten Prüfungen dienen nicht zuletzt dem Ziel, Handlungsbedarf aufzuzeigen und Grundlagen für Entscheidungen zu liefern. Diese trifft ein dazu Befugter im Idealfall anhand von soliden und vollständigen Informationen. Dabei mitzuhelfen, diese Transparenz zu schaffen bzw. zu erhalten ist Aufgabe der Internen Revision. Dies betrifft sowohl die an nachgeordnete Ebenen delegierten Entscheidungen als auch die zuletzt nicht mehr delegierbare Verantwortung der obersten Leitung. Bei der Delegierung helfen handelsrechtliche Vorschriften bezüglich der Rechte von Geschäftsführern, Prokuristen und Handlungsbevollmächtigten. Entscheidungen der Geschäftsführung sind vor allem strategische und operationale „Wenn-Dann-Entscheidungen“ mit langfristigen und – kaum reversiblen – finanziellen Auswirkungen für ein Gesamtunternehmen. Revisionsprinzipien
Organisatorische EinbindungDie organisatorische Einbindung der Internen Revision wird in regulierten Branchen (z. B. Finanzdienstleister) gesetzlich oder durch Verordnung (z. B. MaRisk) festgelegt. Für nicht regulierte Branchen geben die OECD Corporate Governance Principles 2004 (Annotations zu V.D.7 Aufgaben des Boards: An das Board und/oder ein Audit Committee berichtende Interne Revision) sowie ähnlich der Aktionsplan der EU-Kommission zur Corporate Governance (COM (2003) 248 fin sub 3.1.3) Anhaltspunkte. Im Normalfall ist die Interne Revision direkt dem Vorstand bzw. der Geschäftsführung unterstellt. Bestehen diese aus mehreren Mitgliedern, trägt der Vorsitzende die Verantwortung. Nur so kann sie unabhängig von ggf. zu prüfenden Bereichen agieren. Eine automatische Redepflicht gegenüber anderen Stakeholdern oder Organen, wie dem Aufsichtsrat besteht hingegen nicht bzw. nur in Sonderfällen. Dies wäre nur dann gegeben, wenn der Aufsichtsrat disziplinarischer Vorgesetzter der Internen Revision wäre. Als Unternehmensextern sind öffentlich bestellte Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften, vereidigte Buchprüfer, Steuerberater, Sachverständige und Berater je nach Auftrag (Prüfung im Rahmen der gesetzlichen Vorschriften versus Prüfung im Rahmen der Loss Prevention) anzusehen. Qualitätsmanagement im Bereich der Internen RevisionDas Deutsche Institut für Interne Revision (DIIR) erarbeitete gemeinsam mit dem Institut der Wirtschaftsprüfer (IDW) den DIIR Revisionsstandard Nr. 3 – Prüfung von Internen Revisionssystemen (DIIR-Bezeichnung) bzw. den Standard IDW PS 983 – Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen (IDW-Bezeichnung). Die Veröffentlichung erfolgte im April 2017. Beide Standards sind nahezu deckungsgleich und enthalten 82 Einzelkriterien zur Beurteilung der Wirksamkeit und Angemessenheit des Internen Revisionssystems. In den Standards sind sechs Mindestanforderungen definiert. Wird eine davon nicht eingehalten, so liegt eine wesentliche Beanstandung vor, was zu einer Versagung des Prüfungsurteils führt. Damit entfiele die Bestätigung der Wirksamkeit eines Internen Revisionssystems.[4][5] Als solche zentrale Mindestanforderungen gelten dabei unter anderem die Neutralität der Revisionsfunktion, ihre Unabhängigkeit von anderen Funktionen sowie ein uneingeschränktes Informationsrecht.[4] Um die Anforderungen des DIIR-Revisionsstandards Nr. 3 und des IDW PS 983 wie auch des Internationalen (IPPF-)Revisionsstandards 1312 zu erfüllen, muss mindestens alle fünf Jahre eine externe Qualitätsbeurteilung (Quality Assessment) von einem qualifizierten und unabhängigen Prüfer oder Prüfungsteam durchgeführt werden. Prüfer, die solche Assessments durchführen, müssen verschiedene Voraussetzungen erfüllen. So müssen sie unter anderem Praxiserfahrungen nachweisen und ein spezielles Qualifizierungsverfahren des DIIR absolvieren bzw. diese Qualifikation regelmäßig auffrischen.[4] ObjektivitätDer internationale (IPPF-)Revisionsstandard 1120 bestimmt, dass interne Revisoren unparteiisch und unvoreingenommen sein sollen und jeden Interessenkonflikt vermeiden müssen.[6] Die Implementierungsleitlinie 1120 gibt hierzu weitere fachliche Erläuterungen und Hinweise zur Umsetzung, die nicht verbindlich sind, sondern Empfehlungen darstellen.[7] Eine Studie aus dem Jahre 2016 ließ den Schluss zu, dass in der Einschätzung interner Revisoren eine Job-Rotation bei Revisoren die Objektivität zwar erhöhen kann, der Nettoeffekt dieser Maßnahme jedoch nicht unbedingt positiv sein muss. Eine Befragung von Revisoren ergab, dass 77 Prozent eine Rotation nicht als erforderlich ansahen. Bei 60 Prozent wurde eine solche Rotation in den Unternehmen nicht angewandt.[8] BerufsverbändeBerufsverbände für Fach- und Führungskräfte der Internen Revision sind:
Berufsexamen auf dem Gebiet der Internen RevisionFür den Revisorenberuf maßgebliche und verbreitete Berufsexamen des Institute of Internal Auditors (IIA) bzw. der Information Systems Audit and Control Association (ISACA) sind:
Siehe auch
Literatur
Weblinks
Einzelnachweise
|