Leitlinie I 2013: Zur Rolle der Internen Revision in Bezug auf Interne Kontrollsysteme

Adressaten: Geschäftsführung, Oberster Revisionsverantwortlicher (Chief Audit Executive, CAE)
Besonderheiten für kleine und mittlere Revisionsfunktionen (KMRs): Keine
Besonderheiten bei einem Outsourcing: Keine

Begriffsklärungen und Erläuterungen

Interne Kontrollsysteme [IKS] sind dazu da, ausreichende Sicherheit in Bezug auf das Erreichen organisatorischer Ziele zu geben, eine fehlerfreie interne und externe Berichterstattung zu ermöglichen und darüber hinaus die Einhaltung von Regelungen (Compliance) sicherzustellen. Sie stellen eine 'First Line of Defence' im Rahmen des Three Lines of Defence Modells dar.

Ausreichende Sicherheit bedeutet nicht einhundert Prozent Sicherheit; vielmehr wird immer eine Abwägung zwischen Kontrollkosten und verbleibendem Risiko vorzunehmen sein. Ausreichende Sicherheit wird dann vorhanden sein, wenn das IKS als wirksam eingestuft werden kann; hierzu können separate Untersuchungen der Wirksamkeit (Evaluierungen) vorgenommen werden.

Organisatorische Ziele werden von der obersten Führungsebene der Organisation definiert und vom Überwachungsorgan beurteilt. Ein IKS soll dabei unterstützen, diese Ziele zu erreichen.

Die externe und interne Berichterstattung dient dazu, die Stakeholder über die aktuelle Situation der Organisation zu informieren und ihnen zu ermöglichen, gegebenenfalls Steuerungsmaßnahmen in Richtung der Zielerreichung zu ergreifen.

Die Regeleinhaltung (Compliance) ist für alle Organisationen von vitalem Interesse, insbesondere dann, wenn die Regelverletzung materielle Auswirkungen bis hin zu einer Bestandsgefährdung haben kann. Aus diesem Grund muss ein IKS einen Schwerpunkt auf die Regeleinhaltung legen.

Generelle Aufgaben der Internen Revision

Interne Revisionsabteilungen sind unterschiedlich organisiert (eigene Abteilungen in der Organisation, Outsourcing an einen Dienstleister oder Mischformen). Sie arbeiten in verschiedenen Branchen und in verschiedenen Rechts- und Kulturkreisen. Dennoch lassen sich die folgenden generellen Aufgaben der Internen Revision im Zusammenhang mit IKS definieren:

  • Anstoß zur Einführung von IKS
  • Beratende Begleitung bei der Einführung des IKS
  • Laufende Prüfung der Wirksamkeit des IKS
  • IKS-Prüfungen (Fraudrisiken)

Anstoß zur Einführung eines IKS

In der Umsetzung des Risikoorientierten Prüfungsansatzes untersucht die Interne Revision planmäßig ihre Prüfungsobjekte innerhalb eines bestimmten Zeitraumes. In der Praxis stößt sie nicht selten auf den Umstand, dass sich bestimmte Kontrollschwächen in verschiedenen Bereichen, etwa Beteiligungsgesellschaften, systematisch wiederholen, die zu Compliancerisiken oder Vermögensverlusten führen können.

In diesem Zusammenhang ist es zweckmäßig und auch wirtschaftlich, ein IKS in und für die gesamte Organisation zu definieren und einzuführen. Kontrollschwächen können im Zeitablauf dazu führen, dass Vermögen verloren geht oder Regelverstöße eintreten; darum soll die Interne Revision den Anstoß zur Einführung eines IKS geben.

Dies gilt in gleichem Umfang für zentrale Prozesse wie auch für Beteiligungsgesellschaften. In der Praxis kann ein IKS sowohl zentral, etwa in der Konzernmuttergesellschaft, wie auch dezentral in Beteiligungsgesellschaften ausgerollt werden.

Beratende Begleitung bei der Einführung eines IKS

Sind die Kapazitäten der Internen Revision ausreichend und ist das Know-how für die Entwicklung eines umfassenden IKS vorhanden, kann sie unter der Berücksichtigung der Standards für die Berufliche Praxis der Internen Revision beratend bei der Einführung des IKS mitwirken.

Beispiele für unterschiedliche Grade an Beratungsintensität können sein:

  • Übernahme der Projektleitung
  • Unterstützende Tätigkeiten wie Prozessaufnahmen und Beurteilung vorhandener Kontrollen
  • Entwicklung von verbesserten Kontrollen für einzelne Prozesse
  • Nachschau von Dokumentationen des IKS sowie des Kontrolldesigns

Die Interne Revision achtet darauf, dass sie ihre Objektivität und Unabhängigkeit nicht aufs Spiel setzt, wenn sie beratend tätig wird.

Laufende Prüfung der Wirksamkeit des IKS

Nach der Einführung des IKS besteht die wichtigste Aufgabe der Internen Revision in der Überwachung der Wirksamkeit des Systems. Sie kann dies im Rahmen von Regelprüfungen als Schwerpunkt definieren oder aber in regelmäßigem Turnus eine Wirksamkeitsprüfung vornehmen.

Zur Beurteilung der Wirksamkeit kann ein standardisiertes Schema für die Einschätzung des Reifegrads des IKS herangezogen werden.

IKS-Prüfungen (Fraudrisiken)

IKS-Prüfungen mit dem Ziel der Untersuchung von Fraudrisiken in der Organisation legen einen Schwerpunkt bei den Themen Compliance und Vermögenssicherung, wohingegen Fragen der Wirtschaftlichkeit zurücktreten.

Bei Prüfungen dieser Art geht die Interne Revision der Frage nach, ob das IKS in speziellen Bereichen dazu angetan ist, das Vermögen der Organisation zu sichern bzw. ob es wesentliche, z.B. strafrechtliche Risiken gibt. In der Praxis sind typische Bereiche für solche Schwerpunktprüfungen:

  • Logistik
  • Einkauf
  • Entwicklung
  • Managementkosten

IKS-Prüfungen werden in der Praxis zeitnah zur Aufdeckung oder während der Kenntnisnahme über dolose Handlungen durchgeführt. In diesem Zusammenhang sind sie der Aufarbeitung von dolosen Handlungen zuzurechnen.

Kleinere und mittlere Revisionsfunktionen [KMR]

Keine.

Besonderheiten im Rahmen eines Outsourcings

Keine.