Die Interne Revision lässt sich aus zwei grundlegenden Perspektiven (betrachten: Funktion und (Auftrags-) Ablauf, so wie beispielhaft ISACAs Modell für IT-Assurance beschrieben (vgl. ISACA (2013), S. 19). Dieses Kapitel widmet sich der Funktionssicht auf die Interne Revision, im Gegensatz zur der eher projektablaufbezogenen, in einem anderen Kapitel dargestellten Auftragssicht.
Mit dem siebenteiligen Komponenten-Modell der Internen Revision lässt sich die Revisionsfunktion strukturiert darstellen. Die wesentlichen Tätigkeiten können mit dem vierstufigen Managementmodell der Internen Revision beschrieben werden.
Die funktionale Betrachtung umfasst die Positionierung bzw. Fokussierung der Internen Revision sowie übergreifende Aspekte wie die Unabhängigkeit, Objektivität, Sachkunde und die Sorgfaltspflicht. Weiter gehören die Aufbauorganisation, die Priorisierung des Ressourceneinsatzes durch die – im Regelfall jährliche – Planung, die laufende Einsatzplanung, sowie das Qualitätsmanagement und die Führung der Internen Revision in diesen Themenkreis.
Die Positionierung der Internen Revision umfasst funktionale und administrative Berichtslinien zur Geschäftsleitung und zum Überwachungsorgan sowie die Abstimmung mit Peers, d. h., mit der zweiten Leitungsebene und wichtigen Stabsfunktionen, wie z. B. Risikomanagement und Compliance-Funktion. Die risikoorientierte Prüfungsplanung ermöglicht eine effektive und effiziente Steuerung der Internen Revision und bildet eine Referenz für die finanzielle und personelle Ressourcenausstattung.
Unabhängigkeit, Objektivität, Sachkunde und berufsübliche Sorgfalt sind wichtige Attribute, die sowohl dem Anschein nach als auch tatsächlich durch die Interne Revision als Funktion sowie auch durch den einzelnen Internen Revisor individuell gewährleistet werden müssen. Dies soll die Glaubwürdigkeit der Revisionsergebnisse sicherstellen.
Die Revisionsleitung ist verpflichtet, eine den Aufgaben und dem Kontext genügende, sachgerechte Aufbau- und Ablauforganisation der Internen Revision zu implementieren, diese zu steuern, zu überwachen und bei Bedarf auch anzupassen. Sie wird dabei durch ein Qualitätsmanagement-System (im DIIR-Jargon das „QSVP“) unterstützt.
Die Ausführungen in diesem Kapitel erklären die Anforderungen der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (DIIR (2019b)), im weiteren auch Berufsgrundlagen oder IPPF genannt, an das Revisionsmanagement (Abdruck hier auszugweise und vollständig im Anhang mit freundlicher Genehmigung des DIIR e.V.). Dies sind insbesondere die Attributstandard-Blöcke IIAS 1000 bis IIAS 1300, und die primär Revisionsmanagement-bezogenen Ausführungsstandard-Blöcke IIAS 2000 und IIAS 2100. Berücksichtigt werden weiter auch das IIA Quality Assessment Manual und der DIIR-Revisionsstandard 3/IDW PS 983, anerkannte Kriteriensets zur Bestimmung der Funktionsfähigkeit einer Internen Revision.
In Kap. 5 wird daran anschließend die zweite, prozessuale Ebene der Auftragsabwicklung, d. h. der Prüfungsprozess und die Beratung durch die Interne Revision, erläutert.
Anzeige
Bitte loggen Sie sich ein, um Zugang zu Ihrer Lizenz zu erhalten.
In COBIT 5 (vgl. ISACA (2012), S. 29) sprach ISACA noch von Enablern/Befähigern. COBIT 2019 verwendet den handlicheren Ausdruck „Components“ – Komponenten, vgl. ISACA (2018), S. 21 f.
Zu den Aufgaben der Internen Revision unter Bezug auf die COSO-Modelle vgl. z. B. ausführlicher Schweizerischer Verband für Interne Revision (2013), S. 56–79.
Zur Risk Governance vgl. IIA (2019), S. 19 ff. Dort werden insbesondere die Bestimmung der Risikostrategie auf Basis der Risikotragfähigkeit und des Risikoappetits, die Nutzung von Risikokennzahlen, insbesondere Key Risk Indicators (KRI), sowie die Notwendigkeit angemessener Rollen zur Steuerung der Risiken (Risk Governance) unterstrichen.
Die Grundlagen des IKS sind ausführlich in den COSO-Modellen dargestellt. Eine inoffizielle Übersetzung wesentlicher Kernbausteine und Instrumente findet sich bei Bungartz, O. (2020).
Vgl. ähnlich IIA (2019), S. 32 f. und zu den Strukturmodellen für die Aufbauorganisation weiter ausführlich z. B. Peemöller, V.H./Kregel, J. (2010), S. 137–146.
Das RACI-Chart (RACI = responsible – accountable – consulted – informed) ist ein erweitertes Funktionendiagramm. Es wird in aktuellen Rahmenmodellen häufig verwendet, um Verantwortlichkeiten in einem Prozess oder einem Tätigkeitsfeld darzustellen. Das deutsche Akronym für RACI lautet DEMI: durchführend – entscheidend – mitwirkend – informiert.
Zur Überwachung und Beteiligung der Leitungs- und Aufsichtsorgane sowie zu Evaluationskriterien für die Leitung der Internen Revision (Chief Audit Executive, CAE) siehe IIA (2010a).
Datenbasis: Regelmäßige Mitgliederumfrage (Enquete) der Innenrevisionsverbände in D-A-CH, vgl. DIIR (2020), S. 21, man beachte die signifikanten Unterschiede zwischen D, A und CH.
Unterschieden werden können weitere Ebenen, das IIA differenziert fünf Ebenen: Individuum, Auftrag, Revisionsfunktion, Organisation (Unternehmen) sowie Berufsstand und skizziert mögliche Problemstellungen und Vorkehrungen, vgl. IIA (2011a), S. 15–17.
Hier lohnt es sich hinzuschauen, ob die hohen Auslastungen über Teile der oder über die gesamte Revisionsfunktion gemessen sind – fast ausschließlich Prüfungstätigkeiten durchführende Teams arbeiten in der Regel in einem gut organisierten Umfeld, so dass die Verteilzeiten lediglich an anderer Stelle anfallen.
Zu den Anforderungen an Prüfungsdienstleister und die Verantwortlichkeit der beauftragenden Organisation bzw. Leitung der Internen Revision siehe DIIR (2018c).
Mit der Verwendung des Begriffs „Programm“ fokussiert das IIA auf das Durchführen der Qualitätsmanagement-Aktivitäten. Möglich wäre auch eine weiter gefasste, systemische Betrachtung, dann eines „Qualitätssicherungs- und -verbesserungssystems“.
Vgl. u. a. DIIR (2018b), S. 148–158 und Bünis, M./Gossens, T. (2018), S. 209 f., Geis, A. (2012), S. 236–240 sowie Hahn, U. (2011), S. 456 f. Ausführlich beschäftigt sich Busch, J. (2010) mit dem System der Kosten- und Leistungskennzahlen für die Interne Revision.
Z. B. die im mehrjährigen Rhythmus erhobenen Daten der Enquete von DIIR, IIA Switzerland und IIA Austria, die globalen CBOK-Erhebungen des IIA sowie die IIA Audit Intelligence Services (AIS, ehemals GAIN), eine globale und kostengünstige Benchmark-Plattform des IIA, aus der auch viele Dienstleister ihr Datenmaterial beziehen.
Siehe beispielhaft für grundsätzlich wiederkehrende, auch (als) aktuell wahrnehmbare Trends IIA (2018b). Der Autor erinnert sich an den Besuch einer ERFA-Veranstaltung Interner Revisoren, bei der Prüfer ihre (IT-) Prüfungsergebnisse als aktuelles Hot Topic, als kritischen Untersuchungs- und Risikobereich darstellten. Fast auf den Monat genau 20 Jahre vorher und in großer räumlicher Nähe zum aktuellen Prüfobjekt hat ein engagierter Mitarbeiter des Autors ebendies geprüft, vorgefunden und analog im Prüfbericht als Feststellung beschrieben.
Nach Hackenholt, A./Rosenbach, N. (2019), S. 57. Dort wird auch ein Versuch der Übertragung des agilen Manifests gemacht, die auf den Konzepten von (risikoorientiert?) priorisierender Planung, Time Boxing und iterativer Erstellung des Arbeitsprogramms beruht; vgl. Hackenholt, A./Rosenbach, N. (2019).
Botzenhardt, A.H./Schommer, T. (2019), Hackenholt, A./Rosenbach, N. (2019) sowie Hauf, A. (2019) beschreiben und hinterfragen den Einsatz des agilen Werkzeugkoffers für die wesentlichen Tätigkeitsblöcke der Internen Revision und ähnlich mit Blick auf IT-Prüfungen Andelfinger, U./Haferkorn, P. (2020), S. 7 ff.