3        Externe Rahmenbedingungen
3.1    Grundlagen

Der Rahmen für die Tätigkeit der Internen Revision wird maßgeblich auch durch externe Normen gesetzt. Diese beinhalten insbesondere gesellschaftsrechtliche, branchenspezifische als auch kapitalmarktorientierte Normen. Hierzu kommen noch berufsrechtliche Normen.

Abb. 1: Normenpyramide der Internen Revision

Die Erfassung aller möglichen relevanten Normen ist Aufgabe des Leiters der Internen Revision. Im Falle von Ermessensspielräumen, z. B. Einschätzung der Wahrnehmung des eigenen Instituts aus Sicht der Kapitalmärkte (z. B. Systemrelevanz), oder Wahlrechten werden diese grundsätzlich in Abstimmung mit der Geschäftsleitung und dem Aufsichtsrat, ggf. mit seinem Prüfungsausschuss, getroffen. Soweit dies Prüfungsgegenstände des Abschlussprüfers betrifft oder diese beeinflusst, ist auch dessen Einbindung zu empfehlen.

 

3.2    Gesellschaftsrecht

Gesellschaftsrechtlich stellen die § 91 Abs. 2 AktG bzw. § 107 Abs. 3 AktG die zentralen Normen dar.

  • § 91 Abs. 2 AktG:
    Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.


Nach der Gesetzesbegründung zum Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) soll durch die Einfügung des § 91 Abs. 2 AktG auch die gesetzliche Verpflichtung zur Sicherstellung einer angemessenen Internen Revision verdeutlicht werden. Diese betrifft allerdings nur eine funktionale, nicht aber eine verpflichtende institutionelle Einrichtung.
§ 107 Abs. 3 S. 2 AktG regelt direkt die Überwachungsverpflichtung.

  • § 107 Abs. 3 S. 2 AktG:
    … Er kann insbesondere einen Prüfungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems sowie der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüfer zusätzlich erbrachten Leistungen, befasst.


Falls kein Prüfungsausschuss gebildet ist, dann muss der Aufsichtsrat insgesamt diese Überwachungsaufgaben erfüllen. Wenn dies formell den Verantwortungsbereich von Aufsichtsräten auch nicht ausweitet, erfolgt doch eine explizite Kodifizierung dieser Überwachungsaufgaben. Eine entsprechend intensivere Beschäftigung des Aufsichtsrats mit diesen Themen ist zu erwarten.

Die genannten Rechtsnormen gelten entweder direkt oder entfalten zumindest Ausstrahlungswirkungen auf andere Rechtsformen.


3.3    Branchenspezifische Normen

Für Kreditinstitute bildet der § 25a KWG sowie dessen norminterpretierende Verwaltungsvorschrift, die MaRisk, die zentralen Normen. Weitere prüffeldbezogene Vorgaben ergeben sich teilweise auch direkt aus dem entsprechenden Aufsichtsrecht (z.B. aus der Solvabilitätsverordnung (SolvV)).

  • § 153 SolvV: Interne Revision
    Die Interne Revision oder eine andere vergleichbar unabhängige Revisionseinheit muss mindestens jährlich die Ratingsysteme des Instituts und ihre Abläufe, einschließlich der Abläufe in der Kreditabteilung und bei der Schätzung von Ausfallwahrscheinlichkeiten, Verlustquoten bei Ausfall, erwarteten Verlustraten und IRBA-Konversionsfaktoren überprüfen. Die Überprüfung muss die Einhaltung aller anwendbaren Mindestanforderungen einschließen.


Weitere Tätigkeitsfelder können sich aufgrund von Verbandsempfehlungen oder durch Vorgaben der jeweiligen Sicherungseinrichtungen ergeben.

Je nach Einordnung des Kreditinstituts können die Veröffentlichungen des Committee of European Banking Supervisors (CEBS), insbesondere deren Standards und Guidelines, Relevanz erhalten.

Die Veröffentlichungen des Basel Committee on Banking Supervision entfalten keine Rechtswirkungen sind allerdings regelmäßig valide Prognosen für zukünftige aufsichtsrechtliche Entwicklungen auf EU- bzw. nationaler Ebene.


3.4    Überwachung durch die Security and Exchange Commission (SEC) und den Sarbanes-Oxley Act (SOX)

Für alle SEC-registrierten Unternehmen sowie für Unternehmen in deren Konzernkreis gelten die Regelungen des Sarbanes-Oxley-Act (SOX). Dieser umfasst weitreichende Regelungen hinsichtlich Corporate Governance, Compliance und vor allem zum internen Kontrollsystem. Trotz der Einschränkung auf an US-Börsen gelistete Unternehmen ergeben sich Ausstrahlungen auch auf andere Unternehmen und deren Interne Revision im Sinne einer Best Practice. Die Regelungen des SOX werden insbesondere durch Ausführungsbestimmungen in Form von Standards des Public Company Accounting Oversight Board (PCAOB) ergänzt. Dies sind Stand Juni 2010:

3.5    Handelsrechtliche Offenlegung aufgrund der Kapitalmarktorientierung

Durch das BilMoG sind kapitalmarktorientierte Unternehmen (§ 264d HGB) verpflichtet, im Lagebericht die wesentlichen Merkmale des internen Kontroll- und des Risikomanagementsystems im Hinblick auf den Rechnungslegungsprozess zu beschreiben (§ 289 Abs. 5 HGB). Nach DRS 15: „Lageberichterstattung“ sind dabei auch die rechnungslegungsbezogenen Aufgaben der Internen Revision darzustellen (DRS 15, Rn. 103 und 174).


3.6    COSO und COBIT

Zur Umsetzung sowie Beurteilung eines Risikomanagement- bzw. eines internen Kontrollsystems muss die Orientierung an einem systemischen Ansatz erfolgen. Für das interne Kontrollsystem wird dies regelmäßig das COSO-Internal Framework sein.

Abb. 2: COSO-Internal Control

Das COSO-Internal-Control-Modell wurde im Jahr 2004 zum COSO-Enterprise-Risk-management-Modell (COSO-ERM) erweitert. Dies betrifft insbesondere die Erweiterung der Ziele um die strategischen Aspekten sowie die Differenzierung der Komponente „Risikobeurteilung“ in die Komponenten „Zielfestsetzung“, „Ereignisidentifikation“, „Risikobeurteilung“ und „Risikosteuerung“.

Abb. 3: COSO-Enterprise Risk Management

Beide Modelle werden ausdrücklich vom IIA, DIIR, IDW und dem Sarbanes-Oxley Act empfohlen. Das DIIR hat hierzu eine Einführung unter dem Titel „Unternehmensüberwachung und Interne Revision – aktuelle Entwicklungen und Auswirkungen durch COSO ERM“ veröffentlicht. In den Rahmenbedingungen der Internen Revision ist die entsprechende Festlegung auf ein Modell des Risikomanagements bzw. des internen Kontrollsystems zu fixieren.

Ergänzend zu den beiden COSO-Modellen wurden veröffentlicht:

Besondere Anforderungen ergeben sich an das Management IT-bezogener Risiken. Aufsichtsrechtlich wird ein systemischer Ansatz bezüglich der IT-Governance auch durch die MaRisk gefordert.

  • AT 7. 2 Tz. 2 MaRisk:
    Die IT-Systeme (Hardware- und Software-Komponenten) und die zugehörigen IT-Prozesse müssen die Integrität, die Verfügbarkeit, die Authentizität sowie die Vertraulichkeit der Daten sicherstellen. Für diese Zwecke ist bei der Ausgestaltung der IT-Systeme und der zugehörigen IT-Prozesse grundsätzlich auf gängige Standards abzustellen, insbesondere sind Prozesse für eine angemessene IT-Berechtigungsvergabe einzurichten, die sicherstellen, dass jeder Mitarbeiter nur über die Rechte verfügt, die er für seine Tätigkeit benötigt; die Zusammenfassung von Berechtigungen in einem Rollenmodell ist möglich. Die Eignung der IT-Systeme und der zugehörigen Prozesse ist regelmäßig von den fachlich und technisch zuständigen Mitarbeitern zu überprüfen.
  • Erläuterung zu AT 7.2 Tz. 2 MaRisk:
    Standards zur Ausgestaltung der IT-Systeme: Zu solchen Standards zählen z. B. der IT-Grundschutzkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und der internationale Sicherheitsstandard ISO/IEC 27002 der International Standards Organization. Das Abstellen auf gängige Standards zielt nicht auf die Verwendung von Standardhardware beziehungsweise -software ab. Eigenentwicklungen sind grundsätzlich ebenso möglich.


Aufgrund der Konkretisierung der Überwachungsverpflichtung des Aufsichtsrats nach § 107 Abs. 3 AktG wird dieser verstärkt einen systemischen Risikomanagement-Ansatz für IT-bezogene Risiken einfordern.
Eine Grundsatzentscheidung im Rahmen der IT-Governance ist die Festlegung auf ein Modell. Diese Entscheidung ist durch den Vorstand zu treffen und hinsichtlich seiner Angemessenheit vom Aufsichtsrat zu beurteilen. Die Interne Revision kann im Rahmen ihrer Aufgaben einbezogen werden.
Das „Common Objectives for Information and related Technology (CoBiT)“-Modell stellt ein zentrales national und international anerkanntes Referenzmodell dar. Das CoBiT-Modell setzt sich aus den IT-Zielen, den IT-Ressourcen und vier CoBiT-Domänen mit dazugehörigen Prozessbeschreibungen zusammen.

Abb. 4: CoBiT-Darstellung der ISACA

Die IT-Ziele unterteilen sich in qualitätsbezogene (Effektivität und Effizienz), sicherheitsbezogene (Vertraulichkeit, Verfügbarkeit und Integrität) und ordnungsmäßigkeits-bezogene (Compliance und Verlässlichkeit). Diese sind durch Kombination der IT-Ressourcen (Anwendungen, Informationen, Infrastruktur und Personal) im Sinne eines Prozessmodells umzusetzen. Das Prozessmodell wird in die vier Phasen: „Planung und Organisation“, „Akquisition und Implementierung“, „Deliver und Support“ und „Monitoring und Evaluierung“ unterteilt. Diese Phasen werden durch insgesamt 34 Prozesse konkretisiert.

Das CoBiT-Modell wird durch die “The Information Systems Audit and Control Association (ISACA)“ weiterentwickelt.

Für IT-Prüfungen liefern sowohl weitere Verlautbarungen der ISACA als auch die IT-bezogenen Teile des Regelwerks der beruflichen Praxis (IPPF) des IIA Vorgaben. Hinsichtlich der IPPF sind dies insbesondere die „Global Technology Audit Guides (GTAG)“ und die „Guides to the Assessment of IT Risk (GAIT)“.

3.7 Berufsrechtliche Regelungen (IPPF und DIIR-Veröffentlichungen)

Für Interne Revisoren stellen die Veröffentlichungen des DIIR und die Veröffentlichungen des International Professional Practices Framework (IPPF) die zentralen berufsrechtlichen Normen dar.

Abb. 5: Berufsrechtliche Normen der Internen Revision

Es kommen ggf. noch verbandsindividuelle revisionsbezogene Normen dazu. In den Rahmenbedingungen der Internen Revision (Charter) ist festzulegen, welcher Verpflichtungscharakter den jeweiligen Normen beigemessen wird.


3.8    Internationale Aktivitäten

Aufgrund von internationalen Aktivitäten können für die Revisionstätigkeit innerhalb eines Unternehmens bzw. innerhalb eines Konzerns unterschiedliche aufsichtsrechtliche Regelkreise gelten. In den Rahmenbedingungen der Internen Revision sollten die jeweils standortsspezifisch geltenden Normen festgelegt werden. Die Interne Revision kann sich aber auch unternehmens- bzw. konzernweit auf die restriktivsten Normen verpflichten.

Quellenverzeichnis

  • Bantleon/Horn, Prüfungs- und Beratungsfelder, in: Freidank/Peemöller (Hrsg.), Kompendium der Internen Revision, Berlin 2011, S. 209 Revision, Berlin 2011, S. 209
  • Vertiefend DRSC, DRS 15: Lageberichterstattung, Rn. 100 ff.
  • IDW Prüfungsstandard: "Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken (IDW PS 261)", FN-IDW 11/2009, Tz. 34
  • COSO: Unternehmensweites Risikomanagement - Übergreifendes Rahmenwerk, Zusammenfassung (September 2004), S. 5,
    www.coso.org/documents/COSO_ERM_ExecutiveSummary_German.pdf
  • DIIR- Deutsches Institut für Interne Revision e.V.; „Unternehmensüberwachung und Interne Revision – Aktuelle Entwicklungen und Auswirkungen durch COSO ERM“, unveränderte Neuauflage 2010
  • ISACA, CoBiT Overview, Folie 11,
    www.isaca.org/Knowledge-Center/COBIT/Pages/Overview.aspx (16.07.2010)
  • In Anlehnung an Amling/Bantleon, Handbuch der Internen Revision, Erich-Schmidt-Verlag, Berlin 2007, S. 130