Interne Revision


Interne Revision

Die Interne Revision, oftmals abgekürzt mit IR, unterstützt die Unternehmensleitung in ihrer Kontrollfunktion im Rahmen ihrer Steuerungsaufgabe durch die Durchführung unabhängiger, interner Prüfungsmandate. Sie ist direkt dem Vorstand/der Geschäftsleitung einer Organisation unterstellt und daher zumeist eine Stabsstelle.

Inhaltsverzeichnis

Aufgaben, kodifizierte Normen und Anforderungen

Die Interne Revision soll folgende Primärfunktionen erfüllen:

  • Vertrauensfunktion: Versicherung für die organisatorischen Entscheider, dass Prozesse ordnungsgemäß ablaufen, Gesetze und Verordnungen eingehalten werden usw.
  • Präventivfunktion: Erhöhung des Entdeckungsrisikos für Personen, die dolose Handlungen ausführen (wollen)
  • Informationsfunktion: Schaffung von Transparenz über Prozesse und Organisationseinheiten zur Unterstützung der Entscheidungsfindung der Organisationsleitung

Gesetzliche Anforderungen an die Einrichtung einer IR ergeben sich in Deutschland aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Für einzelne Industriezweige gibt es weitere Anforderungen: Aus dem Kreditwesengesetz (§ 25a Abs. 1 Nr. 1 KWG) für Kreditinstitute und aus dem Versicherungsaufsichtsgesetz (§ 64a Abs. 1 VAG) für Versicherungsunternehmen ergeben sich die Anforderungen an die Einrichtung einer derartigen Institution unabhängig von ihrer Rechtsform. Die Aufgaben der IR werden darüber hinaus in den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen Mindestanforderungen an das Risikomanagement (MaRisk) für Banken bzw. den Mindestanforderungen an das Risikomanagement (MaRisk) für Versicherungen sowie den Mindestanforderungen an das Risikomanagement von Investmentgesellschaften (InvMaRisk)genauer beschrieben.

Vor dem Hintergrund zunehmender Unternehmensfinanzierung durch breit gestreutes privates Kapital (Aktionäre, Gesellschafter, (Pensions-)Fonds) und zunehmender Knappheit von Mitteln für öffentliche Aufgaben gewinnt der wirtschaftliche Ressourceneinsatz sowohl für private als auch für öffentliche Organisationen weiter an Bedeutung.

Die gezielte Überwachung der Abläufe und Strukturen einer Organisation mit Blick auf das sachgerechte Verfolgen ihrer – legitimen – Ziele ist im Interesse einer Vielzahl von Interessengruppen (Stakeholder – Kapitalgeber, Kunden, Mitarbeiter und Öffentlichkeit).

Der internen Revision kommt hierbei die Aufgabe zu, Vorgänge auf Ordnungsmäßigkeit zu prüfen und Ineffektivität, Unregelmäßigkeiten (Buchungsfehler, Rechtsfolgefehler) oder Manipulationen (z. B. Veruntreuungen- engl. "fraud detection") aufzudecken. Sie bildet somit – neben dem Controlling, welchem vornehmlich die Aufgabe der Verarbeitung und Validierung von Steuerungsinformationen zukommt – einen wesentlichen Teil des übergeordneten Steuerungs- und Überwachungssystems einer Organisation.

Neben der Prüfung der thematisierten Ordnungsmäßigkeit werden mittels Prüfung von Geschäftsprozessen, -programmen und -projekten auch die Umsetzung und Effizienz strategischer Initiativen hinterfragt. Der modernen Internen Revision kommt zudem als "Change Agent" die Aufgabe zu, Veränderungsprozesse im Unternehmen einzuleiten und zunehmend (neben den klassischen Prüfungsmandaten) auch Beratungsmandate für die einzelnen Fachabteilungen wahrzunehmen.

Prüfung, Kontrolle und Überwachung - Begriffsklärungen

Unter Prüfung versteht man zunächst jeden Soll-Ist-Vergleich. Der Ausführende einer Prüfung steht jedoch – im Unterschied zur Kontrolle – „außerhalb“ der zu beurteilenden Organisation (also wie: Wirtschaftsprüfer, Steuerprüfer, Sozialversicherungsprüfer und interner Revisor).

Er untersucht organisatorische Sachverhalte (Ist) (bspw. einen Prozess, eine Vorgehensweise und Ähnliches) daraufhin, ob diese mit den Vorgaben (Soll) übereinstimmen. Das Soll ist meist eine interne Regelung (Richtlinie, Handbuch, Arbeitsanweisung, Betriebsvorschrift, etc.) oder ein Gesetz. Bei einer Differenz zwischen Ist und Soll (Fehler, Feststellung, Abweichung, Mangel) werden vom Prüfer Vorschläge für eine Verbesserung erwartet. Die Prüfung hat zwar primär keinen beratenden Charakter, sinnvolle Vorschläge für die Verbesserung des Ist und ggf. des Soll (z. B. Einschränkung von Abweichungsanalysen, die mehr kosten als sie bringen, korrekte Auslegung von Gesetzesvorgaben, technisch verbesserte Überwachungsstandards etc.) können jedoch von großem Nutzen sein (..add value to the organisation).

Kontrollen sind organisatorisch verankerte Soll-Ist-Vergleiche, die (regelmäßig) von kompetenten Mitarbeitern vorgenommen werden, und zwar unabhängig von ihrer Stellung in bzw. zum jeweiligen Teilbereich der Organisation. Eigenverantwortlich vom Personal an der Produktionslinie vorgenommene Kontrollen gehören ebenso dazu, wie solche, die – gemäß dem Prinzip der internen Kontrolle – von Personen aus anderen Bereichen (Qualitätskontrolle, Verwaltung) abgewickelt werden. Auch hier ist es bei Abweichungen sinnvoll, unmittelbar im Anschluss Steuerungs- und Anpassungshandlungen vorzusehen. Maschinelle Kontrollmaßnahmen sind ebenfalls denkbar.

Die hier zu setzenden Kontrollen und Maßnahmen sind je nach ihrer Zielsetzung recht unterschiedlich. Ein wichtiger zu kontrollierender Bereich ist der Einkaufssektor. Je nach Größe des Vorhabens sind genaue Auflagen bezüglich der Einholung von Gegenofferten einzuhalten, bis hin zur genauen Verlautbarung am vorgeschriebenen Ort zwecks EU-weiter Einladung aller potentiellen Bieter.

Die Kontrollen werden gemeinsam mit Abläufen und Strukturen primär im Organisationshandbuch festgehalten. Kontrollen und damit im Zusammenhang stehende Korrektur- und Steuerungsmaßnahmen (Control) sind immer nur in Verbindung mit den Aktivitäten, die sie absichern sollen, sinnvoll.

Kontrolle – ihre Einrichtung und Abwicklung – ist aber auch seit Prof. Erich Gutenberg ein allgemein gültiger Begriff für die diesbezügliche Verpflichtung des Managements unter Anwendung sinnvollen Delegierens. Dieses geht so weit, dass die Prüfung der Existenz und Wirksamkeit dieser Kontrollen an eine entsprechend autorisierte interne Revision übertragen werden kann,

Für Überwachung gibt es keine allgemein akzeptierte Definition. Überwachung ist prozessunabhängig, zumeist extern; dies hat sie mit der Prüfung gemeinsam. Sie kann einzelne Bereiche oder die ganze Organisation umfassen (Aufsichtsräte, Gewerbeinspektorate, Bankenaufsicht, Audit Committees u. Ä. m.). Diese Institutionen sollen primär großflächig das Erkennen von Krisen erleichtern.

Für die Gestaltung und Bewertung interner Kontrollsysteme werden oft Kontrollmodelle wie COSO und CobiT genutzt.

Interne und Externe Revision

Interne Revision

Die interne Revision ist eine direkt der obersten Leitung unterstellte unabhängig agierende Stabsstelle für organisationsinterne Prüfungen und einschlägige Beratertätigkeit.

Ihre Aufgabe besteht sowohl in der Bestätigung von Sachverhalten ("Assurance" bzw. re-assurance in Verbindung mit dem sogenannten „IKS“) als auch in einschlägiger Beratung ("Consulting") in Organisationsfragen.

Die interne Revision trägt zur Zielrealisierung von Organisationen bei, indem sie systematisch mittels anerkannter Verfahren die Unternehmensprozesse und die damit verbundenen Zielsetzungen (Control Objectives), das Risikomanagement, die Steuerung und Überwachung ("Governance") kritisch durchleuchtet und weiterentwickeln hilft. Die Arbeit der Internen Revision steigert dadurch den Wert der Organisation als Ganzes (IIA:... is to add value to the organisation), kann „individuelle Mehrwerte oder Wertschöpfung“ schaffen. Aus der Prüftätigkeit können jedoch - immer wieder und durchaus willkommen - Deckungsbeiträge (profit contributions) als Ergebnis der (allgemeinen) Revisionstätigkeit erwachsen.

Im Normalfall kann und wird eine Interne Revisionsabteilung nicht Jahr für Jahr „das gesamte Unternehmen“ prüfen. Es sollen jedoch über einen mehrjährigen, vorweg definierten Prüfzyklus alle Bereiche ein Mal abgedeckt werden. Bei der Teilung der Organisation in Prüfbereiche ist darauf zu achten, dass an den Schnittstellen keine „grauen“ ungeprüften Zonen entstehen. Für die prozessorientierte Festlegung sind Control Objectives, also die funktional aufgefächerten Unternehmensziele, und die bestehenden Organisationsbereiche (Einkauf, Verkauf, Marketing, Produktion ....) heranzuziehen.

Eine weitergehende Definition und Beschreibung enthalten die vom Institute of Internal Auditors (IIA) und den nationalen Fachverbänden veröffentlichten Standards der beruflichen Praxis der internen Revision.

Sie kann eine interne Abteilung sein oder von außen eingekauft werden (Outsourcing). Möglich sind auch Mischformen zwischen beidem, die sogenannten Cosourcing- oder Partneringmodelle.

Die Arbeit der internen Revision ist in den Standards für die berufliche Praxis der internen Revision definiert. Zertifizierte interne Revisoren (Certified Internal Auditor) unterwerfen sich einem Ethikkodex und den international anerkannten Berufsstandards des Institute of Internal Auditors (IIA), dem nationale Verbände wie z. B. DIIR e. V. (ehemals IIR e. V.), SVIR oder IIA Austria angehören. Die europäischen Fachverbände für interne Revision haben sich in der European Confederation of Institutes of Internal Auditing (ECIIA) organisiert. Das Institute of Internal Auditors (IIA) hat die Berufsstandards (Professional Practices Framework) überarbeitet und setzte die neue Version per 1. Januar 2009 unter dem Titel "International Professional Practices Framework (IPPF)" in Kraft.

Externe Revision

Bei der externen Revision handelt es sich hingegen um ein unternehmensexternes Prüfungsorgan, das vor allem (aber nicht nur) in gesetzlich vorgeschriebenem Auftrag den Jahresabschluss mit dem Ziel des Aktionärs- und/oder Gläubigerschutzes prüft. Neben von der Unternehmensleitung bzw. von der Hauptversammlung bestellten Prüfungsorganen (Wirtschaftsprüfer, Steuer-/Unternehmensberater) fallen hierunter auch durch öffentliche Behörden bestellte Prüfer, die je nach Branche und Fall variieren können (für die Bankenbranche wären beispielsweise Prüfer der BaFin oder Bundesbank zu nennen). Insbesondere vor dem Hintergrund der gestiegenen Anforderungen an die Recherchefähigkeit und Aufbereitung steuerlich relevanter Daten erfährt die Revision eine Akzentuierung als Präventionsinstrument.

Revisionselemente

Revisionsfelder

Einsatzfelder der internen Revision sind vielfältig und können wesentliche Informationen für die Außenbeziehung der Unternehmung liefern. Die klassische Unterteilung der Revisionstypen ist die folgende:

  • Financial Audit
  • Operational Audit
  • Management Audit
  • Compliance Audit
  • Systemprüfungen
  • Kreditrevision

Financial Audits sind Prüfungen im Rechnungswesen einer Organisation (Buchführung) daraufhin, ob die Rechnungslegungsgrundsätze, z. B. nach dem Handelsgesetzbuch oder nach steuerlichen Gesetzen ordnungsgemäß sind. Die Organisation schützt sich damit gegen Fehler, die zu Problemen mit den Finanzbehörden oder der interessierten Öffentlichkeit führen könnten (Stakeholder, Shareholder).

Operational Audits sind prozessorientierte Prüfungen bestimmter Kernprozesse in einer Organisation. In einem Unternehmen wären dies bspw. Einkauf, Vertrieb, Personal. In einer gemeinnützigen Organisation könnte dies die Mitgliederverwaltung, das Fundraising und Anderes sein. Ziel ist die Verbesserung der Prozesse durch Verringerung von Kosten oder der Verminderung von Risiken für dolose Handlungen (Wirtschaftskriminalität).

Management Audits verfolgen speziell das Ziel, die Qualität der Geschäftsführung in den der obersten Leitung nachgeordneten Führungsebenen zu prüfen. Hierbei wird untersucht, inwieweit diese ihre definierten Ziele erreichen: Paradebeispiel ist die Prüfung von Tochtergesellschaften, bei der das „Briefing“ der Internen Revision unter maßgeblicher Mitsprache der Konzernleitung erfolgt. Dieser Ansatz setzt Erfahrung und Qualifikation der Prüfer voraus, weil das Ergebnis einer solchen Prüfung aus vielen komplexen Sachverhalten resultiert: Auch für Entscheidungen lokaler Führungsebenen müssen Ermessenspielräume konzidiert werden, was vom Prüfer ebenfalls eine kritische, eigenverantwortliche Überlegungen des „Für und Wider“ verlangt. Gängiger Weise wird ein Management Audit von einem externen Berater-Team durchgeführt; Benchmarks vom Markt (aus dem Executive Search) sowie die Objektivität der Berater sind hier zentrale Leistungskriterien (siehe hierzu Management Audit).

Compliance Audits sind die inhaltlichen Aufbereitungen der umwelt- und sicherheitsrechtlichen Anforderungen an das Unternehmen sowie Auditierung der Einhaltung.

Die definierten Typen sind nicht überschneidungsfrei. Die interne Revision hat sich ausgehend von den Financial Audits über Operational Audits bis hin zu Management Audits fortentwickelt. Eine moderne interne Revision sollte alle diese Typen abdecken. Diese Dreiteilung deckt auch bestimmte Arten von Prüfungen mit ab, die sich hinsichtlich der Methodik und des Umfangs von typischen Revisionsprüfungen unterscheiden, bspw. Untersuchungen wirtschaftskrimineller Handlungen.

Systemprüfungen dienen dazu ein bestehendes System dahingehend zu prüfen, ob die Anweisungen umgesetzt wurden bzw. ob sie – meist in Form von Gesetzen – wirklich zweckdienlich sind. Beispiele sind die verschiedenen Richtlinien aus den Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute, die zu Anweisungen geführt haben, aufgrund derer Prüfungen auf die Erreichung des Richtlinienzweckes vorgenommen werden.

Systemprüfungen (system audits) sind aber auch eine synonyme Bezeichnung von Operational Audits – eben unter besonderer Hervorhebung, dass nicht nur Ergebnisse (wie im financial audit), sondern Strukturen und Abläufe nach den bekannten Aspekten geprüft werden.

Kreditrevision bezeichnet die Einschätzung des Kreditnehmers bzgl. des mit einer Kreditgewährung verbundenen Risikos und seiner Kreditwürdigkeit. Hierzu werden sogenannte Risikoklassen gebildet. Die Einschätzung durch den Revisor wird unabhängig von der Kreditbewilligung durchgeführt.

Revisionsablauf

Rahmenbedingungen für die Arbeit der Internen Revision sowohl bei Prüfungs- als auch Beratungsaufträgen sind in den Standards (DE) für die berufliche Praxis der Internen Revision (IIA Standards, IIAS EN) für zertifizierte oder den Fachverbänden angehörende interne Revisoren verbindlich geregelt. Die sogenannten Praktischen Ratschläge, Teil des Regelwerks für die berufliche Praxis der Internen Revision (IIA Professional Practices Framework EN), geben darüber hinaus detailliertere, unverbindliche Hilfestellungen.

Für die reale Arbeit in der Internen Revision sind die genannten Richtlinien aber eher nur eine Hilfe für die Ausrichtung, nicht aber für die praktische Durchführung. Als Qualifikation sind – zumeist schon beim Einstieg – gute Kenntnisse der allgemeinen Betriebswirtschaftslehre, Controlling (im weitesten Sinn), Wirkungsweise von Datenbanksystemen, überdurchschnittliche Sprachlogik (Modelldenken) und Kenntnisse der englischen Wirtschaftssprache vonnöten.. Dazu ist bei vielen Prüfungen auch die Beachtung der entsprechenden (steuer- und handels-)rechtlichen Vorschriften erforderlich.

Ein Prüfungsprojekt läuft auf der Grundlage definierter Phasen ab:

  1. Prüfungsplanung (IIAS 2000)
  2. Vorerhebung (IIAS 2200)
  3. Sammlung und Auswertung von Informationen (Prüfung im engeren Sinne; IIAS 2100, 2300)
  4. Berichterstellung und Berichtsabstimmung (IIAS 2400)
  5. Nachschau (IIAS 2500)

Alle von der Revision durchgeführten Prüfungen dienen nicht zuletzt dem Ziel, Handlungsbedarf aufzuzeigen und Grundlagen für Entscheidungen zu liefern. Diese trifft ein dazu Befugter im Idealfall anhand von soliden und vollständigen Informationen. Dabei mitzuhelfen, diese Transparenz zu schaffen bzw. zu erhalten ist Aufgabe der internen Revision.

Dies betrifft sowohl die an nachgeordnete Ebenen delegierten Entscheidungen als auch die zuletzt nicht mehr delegierbare Verantwortung der obersten Leitung. Bei der Delegierung helfen handelsrechtliche Vorschriften bezüglich der Rechte von Geschäftsführern, Prokuristen und Handlungsbevollmächtigten.

Entscheidungen der obersten Geschäftsleitung sind vor allem strategische und operationale „Wenn-Dann-Entscheidungen“ mit langfristigen und – kaum reversiblen  – finanziellen Auswirkungen für ein Gesamtunternehmen.

Revisionsprinzipien

  • Wirtschaftlichkeit: Umfang und Häufigkeit der Revision sind nach dem Prinzip der Wirtschaftlichkeit festzusetzen. Generell gilt: Die Revision muss sich zumindest aus der Sicht der meisten Chefetagen, auch als Task Force „bezahlt“ machen. Der Nutzen (Ertrag) durch Revisionsaktivitäten sollte deren Kosten übersteigen.

Es darf aber nicht übersehen werden, dass die schadensabwendende Tätigkeit der IR – wie sie auch von Gesetzgebern gefordert wird – kaum in Geld beziffert werden kann. Wird diese Kosten/Nutzenrechnung „brutal“ auf das jeweilige Jahr bezogen, kann eine IR aufgrund unvereinbarer Zielsetzungen unter argen Druck geraten.

  • Materiality (Wesentlichkeit): Revisionsbereiche und die Kriterien für die Auswahl der zu untersuchenden Sachverhalte sind nach der Wesentlichkeit und Dringlichkeit für die Unternehmensführung zu bestimmen. Die Revision sollte also neben Kassen oder Inventuren vornehmlich risikobehaftete Bereiche oder Prozesse des Unternehmens prüfen, was wiederum den Rückgriff auf die Ergebnisse der Risikoanalyse des Unternehmens voraussetzt.
  • Sorgfalt (Vollständigkeit, Objektivität, Urteilsfähigkeit, Urteilsfreiheit): Die interne Revision ist einer strengen Sorgfalts- und Objektivitätspflicht unterzogen. Dies setzt auch eine Unabhängigkeit von Weisungsbefugnissen voraus.

Organisatorische Einbindung

Die organisatorische Einbindung der internen Revision wird in regulierten Branchen (z. B. Finanzdienstleister) gesetzlich oder durch Verordnung (z. B. MaRisk) festgelegt. Für nicht-regulierte Branchen geben die OECD Corporate Governance Principles 2004 (Annotations zu V.D.7 Aufgaben des Boards: An das Board und/oder ein Audit Committee berichtende Interne Revision) sowie ähnlich der Aktionsplan der EU-Kommission zur Corporate Governance (COM (2003) 248 fin sub 3.1.3) Anhaltspunkte.

Im Normalfall ist die interne Revision direkt dem Vorstand bzw. der Geschäftsführung unterstellt. Besteht diese aus mehreren Amtsträgern, trägt der Vorsitzende die Verantwortung. Nur so kann sie unabhängig von ggf. zu prüfenden Bereichen agieren. Eine automatische Redepflicht gegenüber anderen Stakeholdern oder Organen, wie dem Aufsichtsrat besteht hingegen nicht bzw. nur in Sonderfällen. Dies wäre nur dann gegeben, wenn der Aufsichtsrat disziplinarischer Vorgesetzter der internen Revision wäre.

Unternehmensextern sind öffentlich bestellte Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften, vereidigte Buchprüfer, Steuerberater, Sachverständige und Berater je nach Auftrag (Prüfung im Rahmen der gesetzlichen Vorschriften versus Prüfung im Rahmen des Loss Prevention).

Literatur

  • Andre Heerlein: Einflussfaktoren auf die Kapazität der Internen Revision: Zur Gestaltung einer effektiven Revisionsfunktion, Berlin 2009, ISBN: 978-3834920218
  • T.F. Ruud, Ph. Friebe, D. Schmitz: Internationales Rahmenwerk der beruflichen Praxis des internen Audits, in: Der Schweizer Treuhänder, Heft 9/2009, S. 647-652
  • The Institute of Internal Auditors: The International Professional Practices Framework (IPPF), 2009, ISBN:978-0-89413-639-9

Weblinks

Fachorganisationen

Dokumente

Siehe auch


Wikimedia Foundation.