Interne Revision und Compliance

Corporate Governance als Sammelbegriff betrifft die Führung von Unternehmen. In schwierigen politischen und wirtschaftlichen Zeiten (Globalisierung) sind Unternehmen besonderen Herausforderungen ausgesetzt. Trotz mancher Idee wurde der Stein des Weisen für die oft proklamierte „gute“ Unternehmensführung noch nicht gefunden. Unternehmen können oft nicht aus ihrer Haut heraus und bieten nach innen wie nach außen keine überzeugende Performance. Zudem überschatten Skandale den Ruf der Wirtschaft insgesamt. Sie steht in öffentlicher Kritik und unter Beobachtung des Staates.

Ob Unternehmen wollen oder nicht, sie sehen sich daher gezwungen, ihre internen Kontrollsysteme aufzurüsten. Interne Revision, Compliance Management-System (CMS) sowie auch das Risikomanagement-System als institutionalisierte Unternehmensteile werden dabei als wichtige Bestandteile der Corporate Governance angesehen. Das galt für die Interne Revision eigentlich immer schon, mittlerweile trifft das zunehmend auch für ein CMS zu, das gilt vor allem für mittlere bis größere Unternehmen.

Im Folgenden werden Motivation, Grundprinzipien, Mechanismen und Rahmenmodelle der Corporate Governance vor dem Hintergrund der Compliance-Organisation sowie der Internen Revision skizziert.

Es ergeben sich einige fachliche Überschneidungen der Funktion der Internen Revision mit anderen Bereichen, wie etwa Controlling, insbesondere aber auch mit der Compliance. Ablesbar ist das z. B. an Differenzierungen, die innerhalb von theoretischen Ansätzen, wie etwa dem des „Three Lines of Defence“-Modells, getroffen werden. Im Gegensatz zur Compliance blickt die Interne Revision auf eine lange Geschichte zurück. Beide Funktionen, Interne Revision und Compliance, haben – nach Aufkommen der Compliance und nach Durchleben einer zunächst nicht immer spannungsfreien Koexistenz – ihre heutigen Rollen und ihre Plätze in der Unternehmensorganisation gefunden. Diese Rolle der Internen Revision spiegelt sich an ihrer Organisation und den hier definierten Aufgaben wider.

Die Interne Revision ist dabei eine für das Steuerungs- und Überwachungssystem von komplexeren Organisationen bedeutende Funktion. Grundsätzlich besteht die Funktion der Internen Revision bereits sehr lange; in der Mitte des 20. Jahrhunderts begannen sich die Vertreter des Berufsstandes zu organisieren, wodurch Abgrenzung, Rolle und Methoden der Funktion an Klarheit gewannen. Heute gibt es eine weltweite, starke Berufsorganisation mit einem grundlegend prinzipienbasierenden Rollen- und Arbeitsmodell, den "Internationalen Grundlagen für die berufliche Praxis der Internen Revision" (IPPF). Das Kapitel stellt den Berufsstand, die Ziele der Funktion Interne Revision, ihre Abgrenzung in der Organisation sowie die Grundzüge und Grundsätze der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (IPPF) dar.

Recht belegt Rechtssubjekte mit Regeln. Allem voran gebietet staatlich gesetztes Recht Beachtung. Unternehmen, ihre Leitungsorgane und ihre Mitarbeiter sind betroffen. In Unternehmen gibt es zudem intern geschaffene Rechtsregeln. Unternehmensleitungen trifft eine Legalitätspflicht und eine Legalitätskontrollpflicht. Sie sind selbst strikt an Recht und Gesetz gebunden und sie müssen dafür sorgen, dass sich Unternehmen und Mitarbeiter ebenfalls rechtstreu verhalten. Interne Revision und CMS sind für ihre Leitungen oft unverzichtbare Begleiter. Unternehmen, Non Profit-Organisationen, auch Behörden, haben diese Funktionen eingerichtet. Rechtlich gesehen kommt es auf den Einzelfall eines Unternehmens an, ob und wie Unternehmensleitungen diesbezüglich ihre Unternehmensinterna gestalten. Interne Revision und Compliance sind, auch rechtlich, bei der Bewältigung ihrer Aufgaben besonderen Herausforderungen ausgesetzt. Funktioniert das, ist das ein sehr effektiver Beitrag zur Haftungsvermeidung für Unternehmen, Organe und Mitarbeiter.

Die Interne Revision lässt sich aus zwei grundlegenden Perspektiven (betrachten: Funktion und (Auftrags-) Ablauf, so wie beispielhaft ISACAs Modell für IT-Assurance beschrieben (vgl. ISACA (2013), S. 19). Dieses Kapitel widmet sich der Funktionssicht auf die Interne Revision, im Gegensatz zur der eher projektablaufbezogenen, in einem anderen Kapitel dargestellten Auftragssicht.

Mit dem siebenteiligen Komponenten-Modell der Internen Revision lässt sich die Revisionsfunktion strukturiert darstellen. Die wesentlichen Tätigkeiten können mit dem vierstufigen Managementmodell der Internen Revision beschrieben werden.

Die funktionale Betrachtung umfasst die Positionierung bzw. Fokussierung der Internen Revision sowie übergreifende Aspekte wie die Unabhängigkeit, Objektivität, Sachkunde und die Sorgfaltspflicht. Weiter gehören die Aufbauorganisation, die Priorisierung des Ressourceneinsatzes durch die – im Regelfall jährliche – Planung, die laufende Einsatzplanung, sowie das Qualitätsmanagement und die Führung der Internen Revision in diesen Themenkreis.

Die Positionierung der Internen Revision umfasst funktionale und administrative Berichtslinien zur Geschäftsleitung und zum Überwachungsorgan sowie die Abstimmung mit Peers, d. h., mit der zweiten Leitungsebene und wichtigen Stabsfunktionen, wie z. B. Risikomanagement und Compliance-Funktion. Die risikoorientierte Prüfungsplanung ermöglicht eine effektive und effiziente Steuerung der Internen Revision und bildet eine Referenz für die finanzielle und personelle Ressourcenausstattung.

Unabhängigkeit, Objektivität, Sachkunde und berufsübliche Sorgfalt sind wichtige Attribute, die sowohl dem Anschein nach als auch tatsächlich durch die Interne Revision als Funktion sowie auch durch den einzelnen Internen Revisor individuell gewährleistet werden müssen. Dies soll die Glaubwürdigkeit der Revisionsergebnisse sicherstellen.

Die Revisionsleitung ist verpflichtet, eine den Aufgaben und dem Kontext genügende, sachgerechte Aufbau- und Ablauforganisation der Internen Revision zu implementieren, diese zu steuern, zu überwachen und bei Bedarf auch anzupassen. Sie wird dabei durch ein Qualitätsmanagement-System (im DIIR-Jargon das „QSVP“) unterstützt.

Die Ausführungen in diesem Kapitel erklären die Anforderungen der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (DIIR (2019b)), im weiteren auch Berufsgrundlagen oder IPPF genannt, an das Revisionsmanagement (Abdruck hier auszugweise und vollständig im Anhang mit freundlicher Genehmigung des DIIR e.V.). Dies sind insbesondere die Attributstandard-Blöcke IIAS 1000 bis IIAS 1300, und die primär Revisionsmanagement-bezogenen Ausführungsstandard-Blöcke IIAS 2000 und IIAS 2100. Berücksichtigt werden weiter auch das IIA Quality Assessment Manual und der DIIR-Revisionsstandard 3/IDW PS 983, anerkannte Kriteriensets zur Bestimmung der Funktionsfähigkeit einer Internen Revision.

In Kap. 5 wird daran anschließend die zweite, prozessuale Ebene der Auftragsabwicklung, d. h. der Prüfungsprozess und die Beratung durch die Interne Revision, erläutert.

Dieses Kapitel betrachtet die Auftragsdurchführung der Internen Revision. Dabei werden Prüfungs- und Beratungsaufträge unterschieden. Der Rahmenprozess dieser grundlegenden Revisionsservices ist gleich, im Detail gibt es aber große Unterschiede: Ein Prüfungsauftrag muss strengen Anforderungen insbesondere hinsichtlich der Unabhängigkeit und Sorgfalt genügen, während Beratungsaufträge deutlich flexibler gehandhabt werden können.

Für den Vorlauf von Revisionsaufträgen, deren Durchführung, Abschluss und Nachlauf zeigen die Berufsgrundlagen daher einen adaptiven, nach Prüfungs-, Beratungs-, Plan- und Sonderaufträgen differenzierten Rahmen auf. Sowohl Prüfungs- als auch Beratungsaufträge werden aus der Perioden-Prüfungsplanung heraus oder anlassbezogen förmlich „in Auftrag“ gegeben, geplant und genehmigt.

Die Auftragsdurchführung insbesondere der Prüfungsaufträge lässt sich in Datenerhebung, Analyse, Bewertung und Dokumentation gliedern. Die Ergebnisse werden abgestimmt, qualitätsgesichert und die getroffenen Feststellungen, der Bericht und der Aktionsplan werden kommuniziert. Sind Aufträge abgeschlossen, werden gewonnene Erkenntnisse verwertet und die Auftragsdokumentation wird archiviert. Durch ein Follow-up-Verfahren wird dann überwacht, ob und wie vereinbarte Maßnahmen umgesetzt werden. Störungen bei der Abwicklung der Maßnahmenumsetzung werden, wenn erforderlich, hierarchisch eskaliert.

In diesem Kapitel wird der Prüfungsprozess erläutert, ebenso wie die Vorgehensweise bei Beratungsaufträgen und die wesentlichen, erforderlichen Arbeitstechniken. Die Ausführungen berücksichtigen die Anforderungen des IPPF (DIIR (2019b)), des IIA Quality Assessment Manuals (IAF (2017)), des DIIR-Revisionsstandard 3 (DIIR (2017c)) sowie weiterer Modelle, wie z. B. dem Internal Audit Ambition (AMIR-) Modell (DIIR (2019a)).

Die IIA Standards sind der besseren Lesbarkeit halber auszugsweise dargestellt (DIIR (2019b); Abdruck hier auszugweise und vollständig im Anhang mit freundlicher Genehmigung des DIIR e.V.). Für interne und externe Beurteilungen der Internen Revision empfiehlt es sich unbedingt, die jeweils aktuelle Übersetzung bei den deutschsprachigen Fachverbänden online zu beziehen.

In diesem Kapitel sind zentrale Prüffelder der Internen Revision sowie dafür verwendbaren Modelle und Methoden dargestellt. Eingegangen wird insbesondere auf interne Kontrolle und Risikomanagement, grundlegende Rahmenkonzepte z. B. von COSO (Internal Control Framework und Enterprise Risk Management Framework) sowie besondere Prüffelder wie z. B. das Projektmanagement und die Informationstechnologie (IT-Prüfung).

Lexikon der Internen Revision und Compliance – aktuelles Glossar der wichtigsten deutschen und englischen Fachbegriffe für Interne Revision und Compliance in alphabetischer Reihenfolge. Die unternehmensinterne Überwachung enwickelt sich zu einem umfassenden Governance-System. Die wichtigen Funktionen Interne Revision, aber auch die anderen Corporate Governance-Funktionen Compliance Management und Risikomanagement sind in diesem Glossar / Lexikon als Stichworte definitorisch und teils detailliert dargestellt.

Internal audit and compliance management glossary. German explanation of current internal audit, compliance management, risk management and corporate governance terms (german/english).

Ein Resümee in Form einer wertenden Zusammenfassung über ein operatives Buch wie dieses muss sich ein wenig rechtfertigen. Man kann schon grundlegend die Frage stellen, ob das methodisch bei einem zum großen Teil auf Deskription angelegten Werk überhaupt angebracht ist.

In diesem Kapitel sind die aktuellen deutschsprachigen Grundlagen für die berufliche Praxis der Internen Revision (IPPF) des Institute of Internal Auditors (IIA) in kompakter Darstellung abgedruckt.

Darüber hinaus ist das aktuelle, für die pragmatische externe oder interne Beurteilung einer Internen Revision auf Basis der anerkannten IIA Standards geeignete, Quality Self Assessment Tool (Q-SAT) des IIA Switzerland abgedruckt.

Wir bedanken uns beim Deutschen Institut für Interne Revision (DIIR) e.V. sowie beim Schweizerischen Verband für Interne Revision, IIA Switzerland (SVIR), für die freundliche Genehmigung zum Abdruck der Berufsgrundlagen der Internen Revision und des Q-SAT.

Für ausführliche Begriffsklärungen verweisen wir auf das in einem anderen Kapitel beigefügte, umfassende Glossar zu den wesentlichen deutschen und englischen Begriffen von Interner Revision, Risikomanagement, Governance und der Compliance.