INTERNE REVISIONdigital
Hilfe zur Suche
Ihr Warenkorb ist leer
Sie sind Gast

DIIR

Logo DIIR

INTERNE REVISIONdigital Partner

Logo BRL

INTERNE REVISIONdigital Partner

zum Puhnani Podcast

Art der Arbeiten (IPPF Nr.2100)

Der Standard „2100 Art der Arbeiten (2100 Nature of Work)“ gehört zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision (Standards), die vom Internal Audit Standards Board des Institute of Internal Auditors (IIA) verkündet werden. Die Standards sind neben den Grundsätzen für die berufliche Praxis der Internen Revision, der Definition der Internen Revision sowie dem Ethikkodex Bestandteil der verbindlichen Elemente der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision.

Die Übersetzung des Standards „2100 Art der Arbeiten“ durch das Deutsche Institut für Interne Revision e.V. (DIIR) lautet wie folgt (DIIR 2015):

„Die Interne Revision muss durch die Anwendung eines systematischen und zielgerichteten Vorgehens Führungs-, Überwachungs-, Risikomanagement- und Kontrollprozesse bewerten und zu deren Verbesserung beitragen.“

In Ergänzung zum Standard 2100 sind noch die ergänzenden Standards „2110 Führung und Überwachung (2110 Governance)“, „2120 Risikomanagement (2120 Risk Management)“ und „2130 Kontrollen (2130 Control)“ veröffentlicht und vom Deutschen Institut für Interne Revision e.V. (DIIR) übersetzt worden (DIIR 2015):

2110 Führung und Überwachung

Die Interne Revision muss Führungs- und Überwachungsprozesse bewerten und Verbesserungsvorschläge machen, damit durch diese Prozesse folgende Ziele erreicht werden können:

  • Fördern ethisch angemessener Normen und Werte in der Organisation,
  • Sicherstellen der Steuerung von Leistungsmessung und Leistungssteuerung sowie klarer Verantwortlichkeiten in der Organisation,
  • Kommunikation von Risiko- und Kontrollinformationen an die in der Organisation zuständigen Funktionen und
  • Koordination der Aktivitäten und Kommunikation von Geschäftsleitung, Überwachungsorgan, internen und externen Prüfern sowie operativen Management.“

2120 Risikomanagement

Die Interne Revision muss die Funktionsfähigkeit der Risikomanagementprozesse beurteilen und zu deren Verbesserung beitragen.“

2130 Kontrollen

Die Interne Revision muss die Organisation bei der Aufrechterhaltung wirksamer Kontrollen unterstützten, indem sie deren Effektivität und Effizienz bewertet sowie kontinuierliche Verbesserungen fördert.“

Als Ergänzung zum Standard „2110 Führung und Überwachung (2110 Governance)“ existieren die folgenden Umsetzungsstandards:

  • 2110.A1 Beurteilung des Ethik-Programms (2110.A1 Evaluation of ethics programm): „Die Interne Revision muss Gestaltung, Umsetzung und Wirksamkeit der ethikbezogenen Ziele, Programme und Aktivitäten der Organisation beurteilen.“
  • 2110.A2 Einschätzung der IT-Governance (2110.A2 Assessing information technology governance): „ Die Interne Revision muss beurteilen, ob die IT-Führung und -Überwachung der Organisation die Strategien und Ziele der Organisation fördert.“

Der Standard „2120 Risikomanagement (2110 Risk Management)“ wird durch folgende Umsetzungsstandards ergänzt:

  • 2120.A1 Bewertung der betrieblichen Risiken (2120.A1 Evaluating organization's risk exposure): „Die Interne Revision muss die Risikopotenziale in Führung und Überwachung, in Geschäftsprozessen und in den Informationssystemen der Organisation bewerten in Bezug auf:
  • Erreichung der strategischen Ziele der Organisation,
  • Zuverlässigkeit und Integrität von Daten des Rechnungswesens und von operativen Informationen,
  • Effektivität und Effizienz von Geschäftsprozessen und Programmen,
  • Sicherung des Betriebsvermögens und
  • Einhaltung von Gesetzen, Verordnungen, Richtlinien, Verfahren und Verträgen.“
  • 2120.A2 Beurteilung von Risiken aus dolosen Handlungen (2120.A2 Evaluating fraud risks): „Die Interne Revision muss die Möglichkeit des Auftretens doloser Handlungen und die Vorgehensweise der Organisation bei der Steuerung des Risikos doloser Handlungen beurteilen.“
  • 2120.C1 Berücksichtigung von Risiken bei Beratungsaufträgen (2120.C1 Reviewing risk during consulting): „Im Verlauf von Beratungsaufträgen müssen Interne Revisoren Risiken vor dem Hintergrund der Ziele des Beratungsauftrags berücksichtigen und aufmerksam bezüglich anderer wesentlicher Risiken sein.“
  • 2120.C2 Risikoinformationen gewonnen bei Beratungsaufträgen (2120.C2 Risk knowledge gained during consulting): „Interne Revisoren müssen Erkenntnisse über im Rahmen von Beratungsaufträgen entdeckte Risiken in ihre Beurteilung der Risikomanagementprozesse der Organisation einfließen lassen. “
  • 2120.C3 Grenzen der Mitwirkung im Risikomanagement (2120.C3 Limitation of involvement in risk management): „Im Rahmen der Unterstützung der Führungskräfte beim Aufbau oder der Verbesserung von Risikomanagementprozessen müssen Interne Revisoren von der Übernahme jeglicher Führungsverantwortung durch operative Risikomanagementaktivitäten Abstand nehmen.“

Im Zusammenhang mit dem Standard „2130 Kontrollen (2130 Control)“ gibt es die folgenden Umsetzungsstandards:

  • 2130.A1 Beurteilung der Angemessenheit und Effektivität von Kontrollen (2130.A1 Evaluating adequacy and effectiveness of controls): „Die Interne Revision muss die Angemessenheit und Wirksamkeit der Kontrollen, die Risiken von Führung und Überwachung, der Geschäftsprozesse und Informationssysteme der Organisation beurteilen in Bezug auf:
  • Erreichung der strategischen Ziele der Organisation,
  • Zuverlässigkeit und Integrität von Daten des Rechnungswesens und von operativen Informationen,
  • Effektivität und Effizienz von Geschäftsprozessen und Programmen,
  • Sicherung des Betriebsvermögens und
  • Einhaltung von Gesetzen, Verordnungen, Richtlinien, Verfahren und Verträgen.“
  • 2130.C1 Überprüfung von Kontrollen bei Beratungsaufträgen (2130.C1 Reviewing controls when consulting): „Interne Revisoren müssen die im Rahmen von Beratungsaufträgen erlangten Kenntnisse über Kontrollen in die Beurteilung der Kontrollprozesse der Organisation einfließen lassen.“

Zur Gruppe der 2100er Standards gehören die folgenden Implementierungsleitlinien (Praktische Ratschläge):

  • Implementierungsleitlinie 2110 (Implementation Guide 2100)
  • 2120-1: Beurteilung der Angemessenheit von Risikomanagementprozessen (2120-1 Assessing the Adequacy of Risk Management Processes)
  • 2120-2: Risikomanagement der Internen Revision (2120-2 Managing the Risk of the Internal Audit Activity)
  • 2130-1: Beurteilung der Angemessenheit von Kontrollprozessen (2130-1 Assessing the Adequacy of Control Processes)
  • 2130.A1-1: Zuverlässigkeit und Integrität von Informationen (2130.A1-1 Information Reliability and Integrity)
  • 2130.A1-2: Beurteilung des Datenschutzkonzepts der Organisation (2130.A1-2 Evaluating an Organization’s Privacy Framework)

Die Gruppe der 2100er Standards sowie die zugehörigen Implementierungsleitlinien (Praktische Ratschläge) zum Thema „Art der Arbeiten“ sind in der folgenden Abbildung zu Zwecken der Übersichtlichkeit nochmals zusammengefasst:

Abb.: Gruppe der 2100er Standards und zugehörige Implementierungsleitlinien (Praktische Ratschläge)

Im Zusammenhang mit Standard 2100 ist auch der „Praxisleitfaden – Kontinuierliche Prüfung: Auswirkung auf die Prüfungssicherheit, die Überwachung und die Risikobeurteilung, 2. Aufl. (GTAG 3: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide Continuous Assurance, 2nd Edition)” zu nennen.

In Verbindung mit dem Standard „2110 Führung und Überwachung“ verweisen die Internationalen Standards für die berufliche Praxis der Internen Revision (Standards) des Institute of Internal Auditors (IIA) auf die folgenden dringend empfohlenen Ergänzenden Leitlinien (Praxisleitfäden):

  • Praxisleitfaden – Prüfung der Vergütung und Prämien von Führungskräften (Auditing Executive Compensation and Benefits)
  • Praxisleitfaden – Beurteilung der sozialen Unternehmensverantwortung / nachhaltigen Entwicklung (Evaluating Corporate Social Responsibility/Sustainable Development)
  • Praxisleitfaden – GTAG 4: Steuerung der IT-Prüfung (Management of IT Auditing)
  • Praxisleitfaden – GTAG 15: Führung und Überwachung (Information Security Governance)


Der Standard 2120 wird durch das „Positionspapier – Die Rolle der Internen Revision im unternehmensweiten Risikomanagement(The Role of Internal Auditing in Enterprise-wide Risk Management)“ und die folgenden Ergänzenden Leitlinien (Praxisleitfäden) ergänzt:

  • GAIT für Betriebs- und IT-Risiken (GAIT for Business and IT Risk)
  • Praxisleitfaden – Interne Revision und Fraud (Internal Auditing and Fraud)
  • GTAG 6: Steuerung und Prüfung von IT-Schwachstellen (Managing and Auditing IT Vulnerabilities)
  • GTAG 10: Business Continuity Management
  • GTA 13: Prävention und Aufdeckung von wirtschaftkriminellen Handlungen in einer automatisierten Welt (Fraud Prevention and Detection in an Automated World)

In Verbindung mit dem Standard „2130 Kontrollen“ verweisen die Internationalen Standards für die berufliche Praxis der Internen Revision (Standards) des Institute of Internal Auditors (IIA) auf die folgenden dringend empfohlenen Ergänzenden Leitlinien (Praktischen Leitfäden:

  • Praxisleitfaden – Prüfung externer Geschäftsbeziehungen (Auditing External Business Relationships)
  • Praxisleitfaden – GTAG 1: Informationstechnologie – Risiken und Kontrollen, 2. Aufl. (Information Technology Risk and Controls, 2nd Edition)
  • Praxisleitfaden – GTAG 2: Kontrolle der Steuerung von Änderungen und Aktualisierungen – Kritisch für den Erfolg der Organisation, 2. Aufl. (Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition)
  • Praxisleitfaden – GTAG 5: Steuerung und Prüfung von Datenschutzrisiken (Managing and Auditing Privacy Risks – replaced by Auditing Privacy Risks, 2nd Edition Practice Guide)
  • Praxisleitfaden – GTAG 8: Prüfung von Anwendungskontrollen (Auditing Application Controls)
  • Praxisleitfaden – GTAG 9: Steuerung von Identität und Zugriff (Identity and Access Management)
  • Praxisleitfaden – GTAG 12: Prüfung von IT-Projekten (Auditing IT Projects)
  • Praxisleitfaden – GAIT Methodologie (Methodology)
  • Praxisleitfaden – GAIT für die Beurteilung von Schwächen der generellen IT-Kontrollen (GAIT for IT General Control Deficiency Assessment)

Für den vollständigen Text der Erläuterungen zum Standard „2100 Art der Arbeiten“ und den ergänzenden Standards sowie Leitlinien vgl. die Internationalen Standards für die berufliche Praxis der Internen Revision (Standards) sowie die Implementierungsleitlinien (Praktischen Ratschläge) (www.theiia.org oder www.diir.de).

Literatur:

  • The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2015, Altamonte Springs, Florida, USA
  • Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards für die berufliche Praxis der Internen Revision 2015

Die Nutzung für das Text und Data Mining ist ausschließlich dem Erich Schmidt Verlag GmbH & Co. KG vorbehalten. Der Verlag untersagt eine Vervielfältigung gemäß §44b UrhG ausdrücklich.
The use for text and data mining is reserved exclusively for Erich Schmidt Verlag GmbH & Co. KG. The publisher expressly prohibits reproduction in accordance with Section 44b of the Copy Right Act.

© 2025 Erich Schmidt Verlag GmbH & Co. KG, Genthiner Straße 30 G, 10785 Berlin
Telefon: +49 30 25 00 85-0, Telefax: +49 30 25 00 85-305 E- Mail: ESV@ESVmedien.de
Erich Schmidt Verlag        CONSULTINGBAY        Zeitschrift Interne Revision