Die Interne Revision wird durch die Ergänzenden Leitlinien (Praxisleitfäden) – Supplemental Guidance (Practice Guides) bei der Umsetzung der verbindlichen Elemente (d.h. der Grundprinzipien für die berufliche Praxis der Internen Revision, der Definition der Internen Revision, des Ethikkodex und der Internationalen Standards für die berufliche Praxis der Internen Revision unterstützt. Die Ergänzenden Leitlinien bieten detaillierte Anleitungen für die Durchführung von internen Revisionstätigkeiten. Dabei umfassen die Ergänzenden Leitlinien Themenbereiche, branchenspezifische Sachverhalte sowie Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele. Mit der Herausgabe des neuen internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) der Internen Revision im Jahr 2015 sind alle Praxisleitfäden, Global Technology Audit Guides (GTAG) und Guides to the Assessment of IT Risks (GAIT) automatisch Bestandteil der empfohlenen Ergänzenden Leitlinien geworden (vgl. IIA 2015 und DIIR 2015).

Die Ergänzenden Leitlinien (Praxisleitfäden) sind neben den Implementierungsleitlinien (Praktische Ratschläge) Bestandteil der empfohlenen Elemente der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision.

Die derzeit veröffentlichte Liste von Praktischen Leitfäden des Institute of Internal Auditors (IIA) teilt sich in drei Kategorien auf (vgl. www.theiia.org):

1. Praxisleitfäden – Generell (Practice Guides – General)
2. Praxisleitfäden – Öffentlicher Sektor (Practice Guides – Public Sector)
3. Praxisleitfäden – Globale Prüfungsstandards zur Informationstechnologie (GlobalTechnology Audit Guides – GTAG)
4. Praxisleitfäden – Leitlinien für die Beurteilung von IT-Risiken (Guide to the Assessment of IT Risk – GAIT)

1) Praxisleitfäden – Generell (Practice Guides – General)

• Praxisleitfaden – Interne Revision und Fraud (Internal Auditing and Fraud – December 2009)
• Praxisleitfaden – Prüfung externer Geschäftsbeziehungen Auditing External (Business Relationships – May 2009)
• Praxisleitfaden – Formulierung und Äußerung von Prüfungsurteilen (Formulating and Expressing Internal Audit Opinions – April 2009)
• Praxisleitfaden – Beurteilung der sozialen Unternehmensverantwortung / nachhaltigen Entwicklung (Evaluating Corporate Social Responsibility/Sustainable Development – February 2010)
• Praxisleitfaden – Prüfung der Vergütung und Prämien von Führungskräften (Auditing Executive Compensation and Benefits – April 2010)
• Praxisleitfaden – Leiter Interne Revision - Ernennung, Leistung, Beurteilung und Beendigung (Chief Audit Executives – Appointment, Performance, Evaluation, and Termination – May 2010)
• Praxisleitfaden – Beurteilung von Effektivität und Effizienz der Internen Revision (Measuring Internal Audit Effectiveness and Efficiency – December 2010)
• Praxisleitfaden – Beurteilung der Angemessenheit des Risikomanagement unter Anwendung von ISO 31000 (Assessing the Adequacy of Risk Management Using ISO 31000 – December 2010)
• Praxisleitfaden – Unterstützung kleiner interner Revisionsfunktionen bei der Einführung der Internationalen Standards für die berufliche Praxis der Internen Revision (Assisting Small Internal Audit Activities in Implementing the International Standards for the Professional Practice of Internal Auditing – April 2011)
• Praxisleitfaden – Prüfung des Kontrollumfelds (Auditing the Control Environment – April 2011)
• Praxisleitfaden – Zusammenspiel mit der Geschäftsführung/dem Überwachungsorgan (Interaction with the Board – August 2011)
• Praxisleitfaden – Unabhängigkeit und Objektivität (Independence and Objectivity – October 2011)
• Praxisleitfaden – Verlassen der Internen Revision auf andere Prüfungsdienstleister (Reliance by Internal Audit on Other Assurance Providers – December 2011)
• Praxisleitfaden – Koordination von Risikomanagement und Prüfung (Coordinating Risk Management and Assurance – March 2012)
• Praxisleitfaden – Qualitätssicherungs- und -verbesserungsprogramm (Quality Assurance and Improvement Program – March 2012)
• Praxisleitfaden – Prüfung von ethischen Programmen und Aktivitäten (Evaluating Ethics-related Programs and Activities – June 2012)
• Praxisleitfaden - Integrierte Prüfung (Integrated Auditing – July 2012)
• Praxisleifaden – Prüfung von Datenschutzrisiken (Auditing Privacy Risks, 2nd Edition – July 2012)
• Praxisleitfaden – Entwicklung der strategischen Planung der Internen Revision (Developing the Internal Audit Strategic Plan – July 2012)
• Praxisleitfaden – Beurteilung der organisatorischen Führungs- und Überwachungsstruktur im privatwirtschaftlichen Sektor (Assessing Organizational Governance in the Private Sector – July 2012)
• Praxisleitfaden – Auswahl, Gebrauch und Entwurf von Reifegradmodellen: Werkzeug für Prüfungs- und Beratungsaufträge (Selecting, Using, and Creating Maturity Models: A Tool for Assurance and Consulting Engagements – July 2013)
• Praxisleitfaden – Prüfung von Anti-Bestechungs- und Anti-Korruptions-Programmen (Auditing Anti-bribery and Anti-corruption Programs – June 2014)
• Praxisleitfaden – Steuerung der Unternehmensfortführung (Business Continuity Management) (Business Continuity Management – August 2014)

2) Praxisleitfäden – Öffentlicher Sektor (Practice Guides – Public Sector)

• Praxisleitfaden – Beurteilung der organisatorischen Führungs- und Überwachungsstruktur im öffentlichen Sektor (Assessing Organizational Governance in the Public Sector – October 2014)
• Praxisleitfaden – Schaffung eines Kompetenzprozesses für den öffentlichen Sektor durch die Interne Revision (Creating an Internal Audit Competency Process for the Public Sector – February 2015)

3) Praxisleitfäden – Globale Prüfungsstandards zur Informationstechnologie (Global Technology Audit Guides – GTAG)

• Praxisleitfaden – GTAG 1: Informationstechnologie – Risiken und Kontrollen (GTAG 1: Information Technology Risk and Controls, 2nd Edition – March 2012)
• Praxisleitfaden – GTAG 2: Kontrolle der Steuerung von Änderungen und Aktualisierungen - Kritisch für den Erfolg der Organisation, 2. Aufl. (GTAG 2: Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition – March 2012)
• Praxisleitfaden – GTAG 3: Kontinuierliche Prüfung: Auswirkung auf die Prüfungssicherheit, die Überwachung und die Risikobeurteilung, 2. Aufl. (GTAG 3: Continuous Auditing: Coordinating Continuous Auditing and Monitoring to Provide continuous Assurance, 2nd Edition – March 2015)
• Praxisleitfaden – GTAG 4: Steuerung der IT-Prüfung, 2. Aufl. (GTAG 4: Management of IT Auditing, 2nd Edition – January 2013)
• Praxisleitfaden – GTAG 5: Steuerung und Prüfung von Datenschutzrisiken (GTAG 5: Managing and Auditing Privacy Risks – replaced by Practice Guide: Auditing Privacy Risks, 2nd Edition Practice Guide – July 2012) (ersetzt durch Praxisleifaden – Prüfung von Datenschutzrisiken)
• Praxisleitfaden – GTAG 6: Steuerung und Prüfung von IT Schwachstellen (GTAG 6: Managing and Auditing IT Vulnerabilities Update) – gelöscht und in Teilen kombiniert mit Praxisleitfaden – GTAG 4: Steuerung der IT-Prüfung, 2. Aufl.
• Praxisleitfaden – GTAG 7: Outsourcing der Informationstechnologie (IT), 2. Aufl. (GTAG 7: Information Technology Outsourcing, 2nd Edition – June 2012)
• Praxisleitfaden – GTAG 8: Prüfung von Anwendungskontrollen (GTAG 8: Auditing Application Controls – January 2009)
• Praxisleitfaden – GTAG 9: Steuerung von Identität und Zugriff (GTAG 9: Identity and Access Management – January 2009)
• Praxisleitfaden – GTAG 10: Business Continuity Management (GTAG 10: Business Continuity Management – January 2009)
• Praxisleitfaden – GTAG 11: Entwicklung der IT-Prüfungsplanung (GTAG 11: Developing the IT Audit Plan – January 2009)
• Praxisleitfaden – GTAG 12: Prüfung von IT-Projekten (GTAG 12: Auditing IT Projects – March 2009)
• Praxisleitfaden – GTAG 13: Prävention und Aufdeckung von wirtschaftskriminellen Handlungen in einer automatisierten Welt (GTAG 13: Fraud Prevention and Detection in an Automated World – December 2009)
• Praxisleitfaden – GTAG 14: Prüfung von durch Benutzer entwickelten Anwendungen (GTAG 14: Auditing User-developed Applications – June 2010)
• Praxisleitfaden – GTAG 15: Führung und Überwachung der Informationssicherheit (GTAG 15: Information Security Governance – June 2010)
• Praxisleitfaden – GTAG 16: Technologien der Datenanalyse (GTAG 16: Data Analysis Technologies – August 2011)
• Praxisleitfaden – GTAG 17: Prüfung von IT-Führung und -Überwachung (GTAG 17: Auditing IT Governance – July 2012)

4) Praxisleitfäden – Leitlinien für die Beurteilung von IT-Risiken (Guide to the Assessment of IT Risk – GAIT)

• Praxisleitfaden – GAIT Methodologie (GAIT Methodology – January 2009)
• Praxisleitfaden – GAIT für die Beurteilung von Schwächen der generellen IT-Kontrollen (GAIT for IT General Control Deficiency Assessment – January 2009)
• Praxisleitfaden – GAIT für Betriebs- und IT-Risiken (GAIT for Business and IT Risk – January 2009)

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2015, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards für die berufliche Praxis der Internen Revision 2015