Anmerkungen zum Geschäftsrisiko der Internen Revision

Interne Revisoren unterliegen in ihrer Tätigkeit Risiken, die nach einer üblichen Methodik in folgende Teilbereiche untergliedert werden können:

Das Prüfungsrisiko kann weiter in Unterrisiken unterteilt werden, was für den folgenden Text im Zusammenhang mit dem Geschäftsrisiko allerdings nicht von weiterem Belang ist. Darum werden wir diese Detailrisiken vernachlässigen und nur kurz erläutern, was unter den einzelnen Risiken zu verstehen ist.

Auftrags- und Prüfungsrisiken

Das Auftragsrisiko liegt in dem zu prüfenden Prozess, der Organisationseinheit oder dem Unternehmen, das untersucht wird. Es wird zum Beispiel durch die Branche, das Management und die Eigentümerstruktur beeinflusst.

Das Prüfungsrisiko besteht darin, durch die Prüfungshandlungen zu einem unzutreffenden Prüfungsurteil zu kommen. Dieses Falschurteil kann durch fehlende Kompetenz, unzureichende Ressourcen und andere Mängel in der Prüfungsdurchführung entstehen.

Geschäftsrisiko der Internen Revision

Unter Geschäftsrisiko der Internen Revision verstehen wir das Risiko, dass die Interne Revision nicht die von ihren Anspruchsgruppen (neudeutsch stakeholder) geforderten Ergebnisse zu erbringen imstande ist. Die Voraussetzung für die Beurteilung, ob ein konkretes Geschäftsrisiko vorliegt oder nicht, ist unter anderem eine angemessene Geschäftsordnung, in der Aufgaben, Rechte und Pflichten beschrieben sind.

Die Interne Revision ist in der Regel hinsichtlich ihrer Aufgaben frei, der Vorstand oder die Geschäftsführung kann ihr nach eigenem Belieben Schwerpunkte auftragen. Bei einer Internen Revision muss die Erwartungshaltung der Stakeholder in der Geschäftsordnung festgelegt sein; darum ist die Etablierung und sorgfältige Ausarbeitung der Geschäftsordnung von grundlegender Bedeutung für eine Interne Revision.

So wird dort festgelegt, welchen Umfang die Revision abbilden soll, ob sie Beratungsaufgaben wahrnimmt oder sich um die Aufarbeitung von dolosen Handlungen kümmern soll. Fehlt die Geschäftsordnung ganz, oder bildet sie nicht den tatsächlichen Aufgabenumfang der Revision ab, oder arbeitet sie nicht in den wesentlichen Geschäftsfeldern oder Prozessen des Unternehmens, oder wurde sie offiziell gar nicht in Kraft gesetzt, ist von einem wesentlichen Mangel auszugehen – egal, welche Ausreden dafür in der Praxis erfunden werden.

Konkrete Risiken in diesem Zusammenhang sind das Nichterkennen von Verstößen gegen Gesetze, Normen, Richtlinien und Anweisungen, das Nichterkennen von dolosen Handlungen oder hohe Kosten der Internen Revision ohne erkennbaren Nutzen für die Organisation. Wie solche Risiken innerhalb der Revision gesteuert werden müssen, erläutern wir weiter unten.

Verantwortlich für die Steuerung des Geschäftsrisikos ist der oberste Revisionsverantwortliche (Chief Audit Executive, CAE) in der Organisation. Dies kann ein klassischer Revisionsleiter sein oder der Koordinator, der einen Dienstleister im Falle eines kompletten Outsourcings steuert.

Position des Institute of Internal Auditors

Das IIA hat in einem praktischen Ratschlag seine Auffassung von diesem speziellen Risiko beschrieben. Ausgehend einerseits von den zunehmenden Anforderungen an eine Interne Revision durch die verschiedenen Stakeholder und die Ressourcenbegrenzung oder fehlendes Know-how auf der anderen Seite werden darin mögliche Steuerungsmaßnahmen für das Geschäftsrisiko beschrieben.

Das IIA unterscheidet drei Arten von Risiken:

  • Versagen der Internen Revisionsfunktion (audit failure)
  • Mangelhafte Prüfungsdurchführung (false assurance)
  • Reputationsrisiken (reputation risks)

Für eine etablierte, in einer Organisation verortete Abteilung kann ein hohes Geschäftsrisiko in der letzten Konsequenz zur Auflösung bzw. der Vergabe der Revisionsfunktion an einen Dienstleister führen. Für einen Dienstleister führt ein sich realisierendes Geschäftsrisiko in der Konsequenz dazu, dass er zukünftig nicht mehr mit Prüfungsaufträgen betraut werden wird.

Steuerung des Geschäftsrisikos der Internen Revision

Das Geschäftsrisiko wird durch ein funktionierendes Qualitätssicherungssystem ausgeschaltet. Ursachen für das Versagen der Internen Revision können sich, wie oben bereits angesprochen, zum Beispiel auf Grund der unzureichenden Aufbau- und Ablauforganisation, etwaig fehlenden Know-hows und anderer Gründe ergeben.

Ein klassisches Problemfeld ist die Abarbeitung von Prüfungsaufträgen ohne ausreichendes Know-how, etwa auf Grund fehlender Vorbereitungszeit, fehlender Schulungen oder dem nicht erfolgten Einkauf von externem Wissen, wenn es notwendig wäre.

Die Umsetzung des Risikoorientierten Prüfungsansatzes, der nicht nur auf die Planung verengt werden darf, sowie die Etablierung ausreichender formaler Grundlagen als Überbau der Revisionstätigkeit sind grundlegende Voraussetzungen für die Vermeidung eines wesentlichen Geschäftsrisikos. Die damit verbundenen einzelnen Detailfragen sind in unserer Beratungspraxis von großer Bedeutung, weil sie die Arbeitsfelder des CAE festlegen.

Manchmal müssen Abteilungen in diese Richtung erst entwickelt werden (Neuausrichtung), manchmal geht an einer Neubesetzung der Leitungsebene oder dem Auswechseln kein Weg vorbei. Die möglichen Maßnahmen sind in der Regel individuell auszugestalten.