2.      Grundprinzipien der Revision
2.1    Organisatorische Unabhängigkeit der Internen Revision

Die organisatorische Unabhängigkeit der Internen Revision ist wesentliches Merkmal jeglicher Revisionstätigkeit (vgl. IIA Standard 1100 „Unabhängigkeit und Objektivität“). Im Fall des Verlustes der Unabhängigkeit kann das Arbeitsergebnis nicht der Revisionstätigkeit zugeordnet werden, d.h. die Funktionsfähigkeit der Revision ist nicht mehr gegeben.

Die Wahrung und Ausgestaltung der organisatorischen Unabhängigkeit der Internen Revision, speziell in Kredit- und Finanzdienstleistungsinstituten, begründet sich aus folgenden Gesetzen und aufsichtsrechtlichen Regelungen:

  • Die Notwendigkeit einer Internen Revision an sich begründet sich in § 25 a KWG.
  • Die organisatorische Unabhängigkeit der Internen Revision ist normenkonkretisierend durch die BaFin in den MaRisk AT 4.4. Ziffer 2 gefordert. Demgemäß ist die Interne Revision ein Instrument der Geschäftsleitung, ihr unmittelbar unterstellt und berichtspflichtig. Konkretisiert wird in BT 2.2. Ziffer 1 die selbständige und unabhängige Erledigung der Aufgaben durch die Interne Revision.
  • Erweitert wird die bankaufsichtliche Erwartung zur personellen Verantwortlichkeit für die Interne Revision durch die Öffnungsklausel, dass diese auch einem Mitglied der Geschäftsleitung, nach Möglichkeit dem Vorsitzenden, unterstellt sein kann. Hieraus ergibt sich eine mögliche Unterstellung der Revision nach folgender qualitativer Abstufung: Gesamtvorstand, Vorstandsvorsitzender, nur bei objektiver Unmöglichkeit ein anderes Vorstandsmitglied.


Die Prüfung der Angemessenheit des Risikomanagements und der Geschäftsorganisation umfasst nach § 10 Absatz 2 der Prüfungsberichtsverordnung auch die Beurteilung der Angemessenheit der Internen Revision. Dabei greift der Abschlussprüfer auf die berufsfachliche Stellungnahme des IDW PS 321 „Interne Revision und Abschlussprüfung“ zurück. Die Weisungsunabhängigkeit der Internen Revision ist dabei ein elementarer Beurteilungsfaktor.

Ein Quality Assessment, welches basierend auf dem Leifaden zur Durchführung eines Quality Assessment des DIIR -Deutsches Institut für Interne Revision e.V. durchgeführt wird, bewertet den Verlust der Unabhängigkeit als zu erfüllenden Mindeststandard im Sinne eines „K.O.-Kriteriums“, d.h. Versagung eines positiven Gesamtergebnisses.

Weitere Hilfestellung ist bei konkreten Anwendungsproblemen im Internationalen Regelwerk der beruflichen Praxis der Internen Revision (Stand 1. Januar 2011) des DIIR/IIA zu finden.


2.2    Prozessunabhängigkeit der Internen Revision

Die Unabhängigkeit der Internen Revision von den Prozessen des Instituts ist neben der organisatorischen Unabhängigkeit eine weitere elementare Anforderung. Nach AT 4.4 Ziffer 3 der MaRisk hat die Interne Revision prozessunabhängig zu prüfen und zu beurteilen. Hiermit soll die Neutralität und Objektivität der Internen Revision grundsätzlich gewährleistet werden.

Die Bedeutung der prozessualen Unabhängigkeit findet auch in den besonderen Anforderungen an die Ausgestaltung der Internen Revision der MaRisk Berücksichtigung. So wird beispielsweise der Revision in BT 2.1 Ziffer 1 aufgegeben, bei wesentlichen Projekten begleitend tätig zu sein. Der Wahrung der Unabhängigkeit und der Vermeidung von Interessenkonflikten wird allerdings ein höherer Stellenwert als der Projektmitwirkung beigemessen, denn diese sind als Kausalbedingungen in die Anforderung zur Projektbegleitung integriert.


2.3    Individuelle Unabhängigkeit und Objektivität der Revisionsmitarbeiter

Die MaRisk adressieren grundsätzlich ihre Anforderungen an die organisatorische Ebene der Internen Revision. Zur Wahrung der sachbezogenen Unabhängigkeit dient MaRisk BT 2.2., wonach die in der Internen Revision beschäftigten Mitarbeiter grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden dürfen. Die Anforderung wird dadurch verstärkt, dass sie insbesondere keine Aufgaben wahrnehmen dürfen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Hierdurch wird sichergestellt, dass sachliche Beeinträchtigungen die Unabhängigkeit und Objektivität nicht beeinträchtigen sollen.

Gründe für Beeinträchtigungen der individuellen Unabhängigkeit und der persönlichen Objektivität können aber auch aus der geschützten Privatsphäre (z.B. Partner, Freunde) der Mitarbeiter resultieren. Da Fragen an Mitarbeiter hierzu nicht statthaft sind, sollte auch die Möglichkeit bestehen, dass der Prüfer die Beeinträchtigung seiner Unabhängigkeit ohne Angabe von Gründen erklären kann.

Verantwortlich für seine Objektivität und die individuelle Unabhängigkeit ist jeder Mitarbeiter selbst. Von der Revisionsleitung sind organisatorische Regelungen zu schaffen, um dies angemessen in die Revisionsorganisation umsetzen. Dazu können gehören:

  • Arbeitsvertragliche bzw. arbeitsanweisliche Regelung zur Wahrung der individuellen Unabhängigkeit und Verpflichtung zur Objektivität
  • Turnusmäßige Befragung/Bestätigungen der Mitarbeiter zu Beeinträchtigungen der individuellen Unabhängigkeit und Objektivität (ohne Verpflichtung zur Benennung von Gründen)
  • Zusicherung der Vertraulichkeit freiwillig gegebener Informationen durch den Revisionsleiter
  • Anlassbezogene Verpflichtung der Mitarbeiter bei besonders sensiblen Prüfungssachverhalten

Unabhängig von diesen Regularien muss der Mitarbeiter allerdings immer eine entsprechende Unabhängigkeit als Charaktereigenschaft mitbringen. Insofern kommt diesem Thema auch bei der Rekrutierung von Mitarbeitern eine besondere Bedeutung zu.


2.4    Informationsrecht

Die MaRisk sehen in AT 4.4 Ziffer 4 ein vollständiges und uneingeschränktes Informationsrecht zur Wahrnehmung ihrer Aufgaben vor und verstärken diese Grundaussage durch die Anforderung diese Informationen der Revision unverzüglich, d.h. ohne schuldhaftes Zögern, zu geben, Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten, Prozesse und IT-Systeme zu gewähren. Dieses Recht  bezieht sich auch auf Weisungen und Beschlüsse der Geschäftsleitung, die für die Interne Revision von Bedeutung sein können.

In den vom Vorstand zu beschließenden Rahmenbedingungen (Charta, Geschäftsanweisung, AuditPolicy) der Internen Revision sollte konkret geregelt werden, wie weit die Informationsrechte der Internen Revision gehen. Grundsätzlich sollten dabei keine Einschränkungen aufgenommen werden, die die Interne Revision in die Situation bringt, Begründungen für die Informationsbeschaffungen gegenüber den Fachbereichen liefern zu müssen.

Allerdings ist arbeitsanweislich sicherzustellen, dass ein Bezug zur Aufgabenstellung stets gegeben ist und die Vertraulichkeit von Unternehmensgeheimnissen gewahrt bleiben muss.

Hat das Unternehmen eine Klassifizierung der Sensibilität von Unterlagen eingeführt, können hierauf Berechtigungen zur Informationsbeschaffung eingeführt werden.

Bestehen Zweifel an der Notwendigkeit von angeforderten sensibIen Informationen durch die verantwortlichen Bereiche, muss der Revisionsleiter verantwortlich über deren Nutzung im Unternehmensinteresse entscheiden. Dieses Recht ist insbesondere bei Untersuchungen möglicher doloser Handlungen, bei denen eine verdeckte Prüfung erfolgt, von erheblicher Bedeutung.


2.5    Vertraulichkeit und schutzwürdige Interessen

Die weit reichenden Befugnisse der Internen Revision führen zu einem besonderen Anspruch an die Vertraulichkeit im Umgang mit den gewonnenen sensiblen Informationen. Im Rahmen der Revisionsarbeit sind selbstverständlich gesetzlich geschützte Rechte von Personen zu beachten. Soweit möglich sind „Sachverhalte“ von „Personen“ zu trennen und bei personenbezogenen Aussagen (z.B. Vorverurteilungen, persönliche Beziehungen, Interessenkonflikten) ist der Grundsatz der Objektivität stringent zu beachten. Die Qualitätssicherung ist auch unter diesem Aspekt durchzuführen.

Über diese schutzwürdigen Interessen hinaus ist die Vertraulichkeit von sensiblen personenbezogenen und unternehmensinternen Sachverhalten vom Revisionsleiter organisatorisch sicherzustellen. Dies beginnt bei der Personalauswahl, der vertraglichen oder arbeitsanweislichen Mitarbeiterverpflichtung zum Ausschluss der Nutzung von Daten zum persönlichen Vorteil bzw. zum Nachteil des Arbeitgebers als auch für Regelungen über die Speicherung, Weiterleitung und Archivierung von Revisionsdaten.

Die Wahrung der Vertraulichkeit und der Verstoß gegen schutzwürdige personenbezogene Interessen müssen vom Revisionsleiter angemessen überwacht und bei Verstößen sanktioniert werden.


2.6       Beratung und Projektbegleitung
2.6.1    Herausforderungen

Das Risiko- und Chancenmanagement von Unternehmen und insbesondere von Kreditinstituten unterliegt einem permanenten Wandel mit steigender Dynamik, stetig veränderten Unternehmensrisiken sowie wachsenden aufsichtsrechtlichen Anforderungen. Auch die Interne Revision als ein „key player“ im konzernweiten Risikoüberwachungssystem muss sich im Sinne einer konsequenten, präventiven und flexiblen Risiko-, Prozess- und Wertorientierung diesen Herausforderungen stellen, um eine wachsende Effizienz, Effektivität und damit Akzeptanz zu erzielen.

Eine wirksame Revision muss aktuell, flexibel und dynamisch auf neue Risiken und Veränderungen reagieren, um durch präventive Maßnahmen Schwachstellen und Risiken frühzeitig angemessen zu begegnen. Dazu muss die Interne Revision sich neben ihren „klassischen“ Prüfungsleistungen „ex post„ stärker präventiv („ex ante“) und proaktiv beratend, begleitend und/oder prüfend in Strategiefindungs-, Entwicklungs- und Entscheidungsprozesse einbringen. Durch die frühzeitige Identifikation von Risiken, Mängeln und Verbesserungspotenzialen werden

  • Risiken effektiv vermieden, reduziert, transferiert oder bewusst akzeptiert,
  • Produkte, Prozesse oder Systeme in der Entwicklung verbessert,
  • frühzeitig Mehrwerte für das Unternehmen geschaffen und
  • das Revisions-Know-how durch kontinuierliche Lerneffekte aufgebaut.

Die Interne Revision entwickelt sich damit zu einem strategischen und operativen Frühwarn-, Steuerungs- und Risikovermeidungsinstrument der Geschäftsleitung, einer „Near-Time-Revision“. Dabei darf sie jedoch ihre Revisionsgrundsätze, insbesondere Prozessunabhängigkeit und Objektivität, nicht verlassen.


2.6.2    Anforderungen

Diese neue strategische Ausrichtung der Internen Revision in Richtung präventiver und risikoorientierter Beratungsleistungen ist bereits in der Definition des IIA bzw. DIIR berücksichtigt:

  • „Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“


Die entsprechenden aufsichtsrechtlichen Anforderungen zu projektbegleitenden und beratenden Revisionsaktivitäten waren bereits 2000 in den Mindestanforderungen an die Interne Revision (MaIR) fixiert. Diese Regelungen sind auch in der letzten MaRisk-Novelle 11/2010 vom 15.12.2010 unverändert geblieben (BT 2.1, Tz. 2 und BT 2.2, Tz. 2). Sie lauten:

  • „Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenskonflikten bei wesentlichen Projekten begleitend tätig zu sein.“
  • „[…]Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.“


Für die praktische Umsetzung dieser Revisionsanforderungen hat sich die Interne Revision daher u.a. mit folgenden Fragestellungen auseinanderzusetzen:

  • Wie werden Beratung und Projektbegleitung durch die Interne Revision in der Praxis ausgestaltet?
  • Ist eine beratende Funktion der Internen Revision von der Geschäftsleitung gewollt?
  • Wie werden diese Aufgaben definiert, geplant und organisiert?
  • Welchen Rahmenbedingungen und Grundsätze sind zu beachten (z.B. Wahrung der Unabhängigkeit, Vermeidung von Interessenskonflikten)?


2.6.3    Abgrenzung der Begrifflichkeiten

Beratung ist in Art und Umfang mit dem Kunden (auch Auftraggeber oder Ratsuchender) vereinbart und leistet durch sachverständige Personen Verhaltens- und Handlungsempfehlungen, die als Entscheidungshilfen dienen. Ziel ist, zur Wertschöpfung und Verbesserung der Geschäftsprozesse optimale Lösungen vorzuschlagen. Der Berater geht von einer gegebenen Situation („Ist“) aus und legt seinen Empfehlungen die Zielvorstellungen des Ratsuchenden („Soll“) zugrunde.

Beratung kann sich von schriftlich definierten formellen Einsätzen bis zu Beratungsaktivitäten, wie z.B. der Teilnahme an ständigen oder zeitweiligen Management-Ausschüssen oder Projektteams erstrecken. Sie unterscheidet sich insbesondere von der Prüfung, indem sie keinen Soll-Ist-Vergleich vornimmt.

Prof. Dr. Peemöller hat in seinem Buch „Grundlagen der Internen Revision“ (Kap. 7, S. 118, Abb. 7-3) folgenden tabellarischen Vergleich von Prüfung und Beratung fixiert.

2.6.4    Regeln und Grundsätze

Um eine ordnungsgemäße, kompetente und effektive Erbringung von Beratungsleistungen durch die Interne Revision sicherzustellen, sind in der Revisionsordnung bzw. im Revisionshandbuch hinreichende formale Rahmenregelungen zu fixieren (Grundsätze, Abgrenzung, Aufgabenfelder, Prozessablauf, Kompetenzen etc.). Als Grundlage können die Standards des IIA (C/Consulting) herangezogen werden. Folgende Grundsätze sind in der Beratungspraxis insbesondere zu beachten – dies auch, um die Erwartungshaltung des Auftragsgebers und die Möglichkeiten der Internen Revision in Einklang zu bringen und die Möglichkeiten sowie den Mehrwert der Beratungsleistung durch die Interne Revision für alle Beteiligten transparent zu machen:

  • Annahme eines Beratungsauftrages sorgfältig und kritisch prüfen
    • Prüfungsauftrag geht vor Beratung (keine Umgehung)
    • Keine revisionsfremden Aufgaben wahrnehmen
    • Prozessunabhängigkeit, Objektivität und Vertraulichkeit wahren
    • Interessenskonflikte meiden
    • Revisionsaufgaben unbeeinflusst wahrnehmen
    • Revisionskompetenz (Wissen, Fähigkeiten und Qualifikation) anforderungsgerecht sicherstellen
    • Vereinbarkeit des Beratungsauftrags mit der Revisionsplanung bewerten
    • Übereinstimmung mit Instituts-/Revisionszielen prüfen (Verbesserung Geschäftsprozesse, IKS und Risikomanagement)
  • Beratungsauftrag (schriftlich) fixieren und mit Auftraggeber abstimmen
    • Alle Fakten kennen (Ansprüche des Managements, Motive, Ziele, erforderlicher Leistungsumfang, Ressourcen, Termine, etc.)
    • Ziele, Umfang, Rechte, Pflichten und Erwartungen vereinbaren
    • Allgemeine Bedingungen, Absprachen, durchzuführende Arbeiten und Schlüsselfaktoren des offiziellen Beratungsauftrags schriftlich vereinbaren oder als Prüfungsplan dokumentieren
  • Maßnahmen zur Minimierung möglicher Beeinträchtigungen treffen
    • Keine unangemessene Führungsverantwortung übernehmen
    • In Komitees keine Entscheidungsverantwortung (non-voting member)
    • Unabhängige Leitung/Aufsicht benennen
    • Getrennte Ergebnisverantwortung vereinbaren (Verantwortung für Annahme/Umsetzung von Empfehlungen liegt beim Management)
    • Bestätigung des Auftraggebers über Kenntnis der Rahmenbedingungen für die Interne Revision einholen
    • Beratungsauftrag in der Revisionsplanung berücksichtigen
    • Personelle Trennung in der Revision sicherstellen

  • Beratungsauftrag sorgfältig und systematisch durchführen
    • Klare Methodik festlegen/ Abgrenzung zur projektbegleitenden Prüfung
    • „Level“ der Beratungsleistung festlegen (von rein informatorischer Einbindung/ Beratung in Einzelfragen bis hin zur umfassenden proaktiven Mitarbeit ohne Entscheidungsbefugnis)
    • Notwendiges Informationsmaterial sammeln
    • Geeignete Gesprächspartner identifizieren und Besprechungen festlegen
    • Mögliche Risiken konstant beachten, analysieren und bewerten (bzgl. Beratungsziel, Geschäfts-/ Risikostrategie(n), Revisionsgrundsätze)
    • Wesentliche Kontrollschwächen erkennen und berücksichtigen
    • Im Konfliktfall eindeutig Stellung beziehen
    • Beeinträchtigungen bzw. Zweifel an der Angemessenheit des Beratungsauftrags unverzüglich melden und mit dem Kunden abstimmen
    • Arbeitsunterlagen zur Beratungsabwicklung angemessen und nachvollziehbar dokumentieren
    • Offenlegung der Arbeitsunterlagen/ -ergebnisse an interne und externe Stellen sicherstellen
  • Angemessene Kommunikation und Berichterstattung sicherstellen (falls vom Auftraggeber gewünscht bzw. für die Geschäftsleitung erforderlich)
    • Kommunikation bzw. Berichterstattung über Risiken, Status und Ergebnis in Abhängigkeit von Art, Umfang, Komplexität und Risikogehalt
    • Nachvollziehbare Dokumentation und Kommunikation gemäß Unternehmenspraxis, Kundenbedürfnis und inhaltlicher Bedeutung (mündlich, E-Mail, Vermerk, Bericht etc.)
    • vermutete bzw. erwartete Risiken und Mängel immer schriftlich berichten
    • für das Institut bedeutende Risiken, Schwachstellen und Ergebnisse zeitnah an die Geschäftsleitung kommunizieren
  • vereinbarte Umsetzung von Beratungsergebnissen überwachen



2.6.5    Beratung in der Praxis

Die Interne Revision verfügt über ein breites und überparteiliches Fachwissen, kennt Prozesse, Produkte und Systeme des Instituts mit ihren Risiken und Kontrollinstrumenten und hat den besten Überblick über Zusammenhänge und Wechselwirkungen. In der Praxis wird sich der Schwerpunkt der Beratungsleistungen auf die Anforderungen zum Risikomanagement und der Internen Kontrollverfahren konzentrieren. Auch bestehen im Regelfall Erwartungen seitens der Auftraggeber an die Interne Revision, insbesondere aufsichtsrechtliche Anforderungen und Aspekte in die Beratungsleistung einzubeziehen (z.B. Erfahrungen aus § 44 KWG-Prüfungen).

Um dieses Revisions-Know-how besser zu nutzen und als Revision dauerhaft von Gremien, Management und Fachbereichen in der Berater-Rolle gemäß MaRisk akzeptiert zu werden, bieten sich in der Praxis u.a. folgende Themenbereiche für vorausschauende, begleitende Beratungsleistungen an:

  • Strategieentwicklungen (Findungsprozesse)
  • Jährliche Überprüfung der Geschäfts- und Risikostrategie(n) auf Schwachstellen, Angemessenheit, Konsistenz, Nachhaltigkeit und Wirksamkeit
  • Grundsatzfragen zur Angemessenheit und Wirksamkeit des Risikomanagements und der Internen Kontrollverfahren
  • New-Product-Process (NPP) zur Entwicklung, Einführung und Änderung von Produkten (s. a. gesonderte Anforderung an die Revision gem. MaRisk Tz. AT 8 Tz. 4)
  • Risikoanalyse von Betriebsauslagerungen / Outsourcing-Prozesse (s. a. gesonderte Anforderung an die Revision gem. MaRisk Tz. AT 9 Tz 2)
  • Begleitung wesentlicher Projekte (s. a. gesonderte Anforderung an die Revision gem. MaRisk BT 2.1. Tz. 2)
  • Begleitung von Ausschüssen (Prüfungs-, Vergütungs-, Anlageausschuss)
  • Erweiterungen um neue Geschäftsfelder und Märkte
  • Umsetzung von IT-Veränderungen und Releasewechsel
  • Begleitung Programmeinsatz- und Freigabeverfahren
  • Inhouse-Seminare, -Vorträge und -Workshops zu bzw. über Revisionsthemen


In der Revisionsplanung sind für derartige Beratungsleistungen entsprechende Revisionskapazitäten zu berücksichtigen, entweder in Form bereits konkretisierter und beauftragter Beratungsprojekte oder als „Platzhalter“ bei wiederkehrenden Beratungsaktivitäten.

In der Regel werden Beratungsleistungen in folgenden Phasen abgewickelt (insbesondere in den Phasen 5. und 6. ist darauf zu achten, dass die Revision ihre Unabhängigkeit durch geeignete Kommunikation wahrt):

  1. Beratungsauftrag fixieren und mit Auftraggeber abstimmen
  2. Schwachstellen erkennen (zusammen mit den Verantwortlichen und Mitarbeitern des Auftraggebers)
  3. Ursachenforschung betreiben (Problem an der Wurzel packen)
  4. Lösungsvorschläge entwickeln, diskutieren und eventuelle Alternativen bewerten
  5. Empfehlung abgeben
  6. Umsetzung begleiten


Hinsichtlich seines Verhaltens als Berater sind für den Revisor unterschiedliche Vorgehensweisen bzw. Ergebnistypen denkbar:

  • Keine Abgabe von Ratschlägen sondern Unterstützung des Ratsuchenden bei der Lösungsfindung bzw. bei Einzelfragen/Meilensteinen
  • Abgabe von Empfehlungen bzw. Aufzeigen alternativer Lösungsansätze im Sinne „Best Practice-Lösungen“ ohne nachhaltigen Einfluss auf die Entscheidung des Ratsuchenden
  • Positionierung für die aus Sicht der Revision beste Lösung bei gleichzeitiger Betonung der Verantwortlichkeit der tatsächlichen Entscheider (Wahrung der Unabhängigkeit der Revision)


Die Berichterstattung und Kommunikation bei Beratungen und der Begleitung wesentlicher Projekte ist abhängig von Art, Umfang, Komplexität und Risikogehalt des jeweiligen Einzelfalles. Eine Berichterstattung an die Geschäftsleitung ist grundsätzlich nicht erforderlich. Es empfiehlt sich jedoch, zum Projekt- bzw. Jahresende einen kurzen Ergebnis- bzw. Statusreport für den Auftraggeber bzw. zur Dokumentation der eigenen Tätigkeit zu erstellen.

Sofern während des Beratungsauftrags Mängel festgestellt werden, ist allerdings eine, der Schwere der festgestellten Mängel angemessene Berichterstattung erforderlich. Analog dem sonst üblichen Abstimmungsprozedere ist der Bericht mit den Verantwortlichen zuvor zu besprechen. Generell gilt bei sich abzeichnenden Risiken den Auftraggeber bzw. die Verantwortlichen rechtzeitig darauf hinzuweisen (präventiver Ansatz).


2.6.6    Besonderheiten der Projektbegleitung

Die Anforderungen an die Begleitung wesentlicher Projekte sind nicht gleichzusetzen mit denen einer Projektprüfung gemäß  DIIR-Prüfungsstandard Nr. 4. Im Sinne der MaRisk soll die Interne Revision bei wesentlichen Projekten mit ihrer profunden, übergreifenden Fachkompetenz präventiv, risikoorientiert und effektiv Risiken und Schwachstellen betrachten, um so frühzeitig durch Hinweise, Anregungen und Empfehlungen zur Angemessenheit und Wirksamkeit des Risikomanagements und des Internen Kontrollsystems beizutragen. Entsprechend handelt es sich bei der Projektbegleitung um eine „Muß-Vorschrift“ für die Revision (MaRisk BT 2.1 Tz. 2.).

Die Abgrenzung von Projektbegleitung und beratender Funktion sind in der Praxis fließend. Wesentliche Besonderheiten der Projektbegleitung für die Interne Revision sind u.a.:

  • Bestimmung der Wesentlichkeit von Projekten in Form einer standardisierten, nachvollziehbaren Risikoanalyse (Projektscoring) zur Identifikation und Bewertung der kritischen Risikotreiber
  • Grundsätzliche Teilnahme an wichtigen Projektsitzungen und Projektlenkungsgremien
  • Frühzeitige Information der Projektverantwortlichen bei sich abzeichnenden Projekt-, Abwicklungs- und Realisierungsrisiken
  • Erstellung einer angemessenen Projektdokumentation (u.a. Risikoeinschätzung, Projektauftrag, Sitzungsprotokolle, Statusberichte, eigene Aufzeichnungen, Vermerke und Berichte)
  • jährliche Überprüfung der Geschäfts- und Risikostrategie(n) auf Schwachstellen, Angemessenheit, Konsistenz, Nachhaltigkeit und Wirksamkeit
  • Verzicht auf eine Berichterstattung an die Geschäftsleitung im Sinne der Projektprüfung (nur bei außergewöhnlichen/bedeutenden Risiken/Ereignissen)



2.6.7    Personelle Anforderungen

Entsprechend den MaRisk hat sich die quantitative und qualitative Personalausstattung i.d.R. an betriebsinternen Erfordernissen, der Komplexität der Geschäftsaktivitäten sowie der Risikosituation des Instituts zu orientieren. Für die mit Beratungsleistungen beauftragten Revisionsmitarbeiter ist ein angemessenes Qualifikationsniveau erforderlich und stetig durch geeignete Maßnahmen aktuell zu halten. Gemäß IIA-Standard 1210 „müssen Interne Revisoren über das Wissen, die Fähigkeiten und sonstige Qualifikationen verfügen, die erforderlich sind, um ihrer Verantwortung gerecht zu werden (…) und ihre Aufgaben wahrzunehmen“.3

Im Kontext mit den strategischen Unternehmenszielen sollten die Revisionsmitarbeiter für die professionelle Durchführung von Beratungsleistungen ein hohes Maß an persönlichen, methodischen und fachlichen Kompetenzen mitbringen, u.a.:

  • Objektivität und persönliche Integrität
  • Engagement und Flexibilität
  • Kooperationsvermögen und Kommunikationsfähigkeit
  • Konfliktfähigkeit, Überzeugungskraft und Durchsetzungsvermögen
  • Schnelle Auffassungsgabe und analytisches Denkvermögen
  • Präzises Ausdrucks- und Darstellungsvermögen in Wort und Schrift
  • Ganzheitliches Denken und strategisches, prozessorientiertes Handeln
  • Beratungs- und Verhandlungstechniken
  • Moderations- und Präsentationstechniken
  • Projekt- und Prozessmanagement
  • Know-how über interne Kontrollsysteme und das Risikomanagement

Quellenverzeichnis

  • Betriebswirtschaftliche Blätter 01/2011, S. 6ff, Walter Ullrich: Die Near-Time-Revision ist der nächste Schritt in die Zukunft
  • Betriebswirtschaftliche Blätter 01/2011, S. 19ff, Michael Helfer: Beratungskompetenz der Revisoren systematisch fördern
  • Institut of Internal Auditors (IIA) / Deutsches Institut für Interne Revision e.V., 2011: Internationale Standards für die berufliche Praxis der Internen Revision
  • BaFin-Rundschreiben 11/2010 vom 15.12.2010: Mindestanforderungen an das Risikomanagement (MaRisk)
  • BaFin-Rundschreiben 11/2010 vom 15.12.2010: Mindestanforderungen an das Risikomanagement (MaRisk)
  • Zeitschrift Interne Revision (ZIR) 5/2010, S. 237ff, DIIR-Arbeitskreis „MaRisk“: Die Begleitung wesentlicher Projekte in Kreditinstituten
  • Deutsches Institut für Interne Revision e.V. (DIIR), Prüfungsstandard Nr. 4: Prüfung von Projekten, finale Version 2.0 vom 18.06.2008
  • Zeitschrift Interne Revision (ZIR) 6/2007, S. 262ff, DIIR-Arbeitskreis „MaRisk“: Sicherstellung einer MaRisk-konformen Qualifikation der Mitarbeiter der Internen Revision in Kreditinstituten