In dem jetzt neu veröffentlichten „Positionspapier Interne Revision und Risikomanagement“ haben das Deutsche Institut für Interne Revision (DIIR) und die Risk Management & Rating Association (RMA) verschiedene Organisationsformen mit ihren Vor- und Nachteilen dargestellt.

Prüfungserfordernisse

Bei der Prüfung des Risikomanagementsystems ergeben sich umfangreiche Prüfungserfordernisse, die sowohl die Abschlussprüfer als auch die Interne Revision betreffen. Dabei ist eine Zusammenarbeit zwischen Interner Revision und Abschlussprüfern ausdrücklich gewünscht, heißt es im Positionspapier.

Es sei zu beachten, dass die Abschlussprüfer bisher mit dem IDW-Prüfungsstandard 340 n.F. lediglich die gesetzlichen Anforderungen an das Risikofrüherkennungssystem untersuchen. Es bestünden weitere Anforderungen an das Risikomanagement, deren Erfüllung von der Internen Revision zu prüfen sei. So habe die Interne Revision bei börsennotierten Aktiengesellschaften auch zu prüfen, ob nicht nur ein umfassendes und angemessenes, sondern auch ein wirksames Risikomanagement besteht.

Die Interne Revision sei nicht nur Bestandteil des internen Überwachungssystems, sondern müsse auch die Prozesse der anderen Überwachungsfunktionen in ihre Prüfungstätigkeiten einbeziehen. Neben dem Risikomanagement betreffe das zum Beispiel Compliance, Controlling, Qualitätsmanagement und das Interne Kontrollsystem.

Unabhängigkeit

Für die Organisation der Internen Revision gelten besondere Maßstäbe. Sie betreffen vor allem die Unabhängigkeit dieser Abteilung. So dürfen beispielsweise keine Umstände vorliegen, die die Fähigkeit der Internen Revision beeinträchtigen, ihre Aufgaben unbeeinflusst wahrzunehmen. Zusätzlich muss die Leitung der Internen Revision direkten und unbeschränkten Zugang zur Geschäftsleitung und zum Überwachungsorgan haben.

Während bei einer Prüfung durch die Revision die tatsächlichen Schwachstellen und Verbesserungspotenziale im Vordergrund stehen, die in der Praxis häufig qualitativ bewertet werden, erfolgt im Risikomanagement hingegen eine quantifizierte Einschätzung von Risikopotenzialen.

Auch in der Arbeitsplanung und Durchführung bestehen Unterschiede. Das Risikomanagement arbeitet, abgesehen von Ad-hoc-Meldungen, in einem zyklischen Prozess, bei dem in der Regel mindestens einmal jährlich eine Risikoinventur mit anschließender Risikobewertung vorgenommen wird. Die Interne Revision geht bei ihrer Prüfungstätigkeit von einer risikoorientierten, mindestens jährlich vorgenommenen Planung aus, die durch ungeplante, aus gegebenem Anlass entstehende Prüfungen ergänzt werden kann.

Anforderungen

Voraussetzung für eine funktionierende Zusammenarbeit ist eine klare und eindeutige Definition der Begriffe und der Aufgabengebiete der beiden Abteilungen. Dazu sind im Positionspapier unter anderem folgende Aspekte genannt:

• gleiche Begrifflichkeiten, Organisationsbezeichnungen, Risikokategorien und Risikobewertungssysteme verwenden
• Abstimmung und gegenseitige Information über Inhalte in der Berichterstattung
• kurzfristig nutzbare Kommunikationswege sicherstellen
• Teilnahme der Revision an Sitzungen von Risikomanagement-Gremien

Mit Blick auf das Risikomanagement wird der Prüfungsfokus der Internen Revision vom Reifegrad des Risikomanagements mitbestimmt. Ist die Risikomanagementfunktion noch nicht sehr weit entwickelt, verschiebt sich der Prüfungsfokus der Revision dahin, dass sie auf diesen Mangel hinweist und prüft, wie die Unternehmensrisiken von anderen Managementfunktionen, insbesondere vom Controlling, erfasst werden können.

Ein zentrales Prüfungsergebnis kann die Empfehlung zur Einführung und Organisation von adäquaten Risikomanagementprozessen sein. Erst ein ausgereiftes und vollständig implementiertes Überwachungssystem stellt sicher, dass alle Risiken systematisch gesteuert werden und die unternehmensinterne Risikokommunikation gewährleistet ist.

Interessenkonflikte

Interessenkonflikte treten auf, wenn die Revision neben ihrer Prüfungstätigkeit gestalterische und operative Funktionen übernimmt. Der Interessenkonflikt besteht dann darin, dass es zu Situationen einer Selbstprüfung kommen würde. Die Beeinträchtigung der Unabhängigkeit gefährdet in diesen Fällen die Objektivität der Prüfung. Andererseits können sich durch die Integration von Funktionen der Revision mit anderen Funktionen neben Effizienzvorteilen bei der Systemgestaltung und Systemüberwachung auch Vorteile für den unternehmerischen Erfolg der Organisation ergeben, heißt es im Fazit des Positionspapiers.

Außerdem haben DIIR und RMA den Praxisleitfaden „Empfehlungen zur Optimierung des Zusammenwirkens von Interner Revision und Risikomanagement“ hier zum Download bereitgestellt.

Ein White Paper des DIIR mit dem Titel „Risikoorientierung in der Internen Revision öffentlicher Institutionen“ finden Sie hier.

Grundlagen der Internen Revision Autoren: Prof. Dr. Volker Peemöller, Joachim Kregel Ihr Fundament für eine sichere Revisionspraxis Eine professionell arbeitende, effektive Interne Revision (IR) ist ein unverzichtbares Instrument, um Unternehmen dauerhaft auf Kurs zu halten. Das in Teilen neu gefasste, rundum aktualisierte Buch von Volker H. Peemöller und Joachim Kregel bietet Ihnen dafür eine exzellente fachliche Basis mit vielen Beispielen, Checklisten und Best-Practices. Gesetzliche Regeln: AktG, DCGK, BilMoG, FISG, Lieferkettengesetz, EU-Taxonomie; ESG-Compliance, MaRisk, COSO ICS und COSO ERM, GeschGehG, EU-RL zum Schutz von Whistleblowern Berufsstandards: Code of Ethics, IPPF des IIA und die Standards des DIIR Strategie und Führung: Geschäftsordnung, Geschäftsauftrag, Mitarbeiterorientierung, Internationalisierung und IT-gestütztes Workflow-Management IR-Prozesse: Risikoorientierte Revisionsplanung, Risikokataloge des DRSC und DIIR, Continuous Auditing, Prüfung vor Ort mit Berichterstattung Kommunikation: in der IR, im Unternehmen und extern Die 3. Auflage berücksichtigt neueste gesetzliche und regulatorische Entwicklungen, u.a. neue Anforderungen durch ESG-Kriterien oder das FISG. Neben der Reihe der vier Enquete-Studien bis 2020 stehen auch die zunehmende IT-Unterstützung und Continuous Auditing stärker im Fokus. Einen weiter verbesserten Überblick finden Sie zu anerkannten Ausbildungsmöglichkeiten.