6.      Qualitätssicherung und -verbesserung in der Internen Revision
6.1   Grundlagen des Qualitätsmanagements

Als Folge gestiegener Anforderungen im Bereich der Corporate Governance und seitens der Bankenaufsicht kommt der Sicherung der Qualitätsansprüche in der Internen Revision ein hoher Stellenwert zu. Um eine dauerhafte Funktionsfähigkeit der Internen Revision zu gewährleisten, ist eine ständige Bewertung und Verbesserung ihrer Arbeit notwendig.

Die Standards des Institute of Internal Auditors (IIA) beinhalten Vorgaben zur Steuerung, Überwachung (IIA Standards 2040 und 2340) sowie internen und externen Beurteilung der Revisionsarbeit. Dabei wird insbesondere als berufsständische Pflicht für jeden Revisionsleiter die Forderung gestellt, ein „Programm zur Qualitätssicherung und -verbesserung, das alle Aufgabengebiete der Internen Revision umfasst (zu) entwickeln und (zu) pflegen“. Unterstützt werden die Regelungen des IIA-Standards 1300 ff. durch den Revisionsstandard Nr. 3 und den QA-Leitfaden des DIIR - Deutsches Institut für Interne Revision e.V.. Unter Qualität wird hier dem Leitfaden folgend „…die Gesamtheit der Eigenschaften und Merkmale eines Produkts oder einer Tätigkeit, die sich auf die Eignung zur Erfüllung gegebener Erfordernisse beziehen“ verstanden.

Die Etablierung eines Qualitätsprogramms hilft dabei nicht nur die Effizienz und Effektivität der eigenen Prozesse zu durchleuchten, sondern ermöglicht es der Internen Revision den gestiegenen Professionalitätsgrad nach außen zu kommunizieren. Somit kann die Gestaltung eines erfolgreichen Qualitätsprogramms und das interne Reporting der Ergebnisse ein geeignetes Selbstmarketingtool darstellen, um die Wahrnehmung und die Stellung der Internen Revision innerhalb der Organisation zu festigen. Insbesondere dann, wenn es der Internen Revision zu kommunizieren erlaubt ist, dass ihre Aktivitäten „in Übereinstimmung mit den Standards durchgeführt“ wurden.

In Anbetracht des Umstandes, dass die oben genannten Berufsstandards und der Leitfaden ein umfangreiches Rahmenwerk zu dieser Thematik schaffen, soll dieses Kapitel die Kernaussagen zusammenfassen und zur weiteren Lektüre auf diese verweisen.

6.2   Interne Qualitätsüberwachung
6.2.1   Laufende interne Beurteilung

Ein Kernelement zur Zielerreichung, Verbesserung und Qualitätssicherung der Revisionsfunktion sind die Steuerung und die laufende Überwachung aller Revisionsaktivitäten (siehe auch IIA Standards 2040 und 2340). Es sollten durch den Revisionsleiter prozessintegrierte Überwachungsmaßnahmen und -mechanismen geschaffen werden, die die Einhaltung der gesetzten Standards (orientiert an der Organisationsrichtlinie, dem Revisionshandbuch sowie den einschlägigen Berufsstandards) gewährleisten. Nachfolgend sind wichtige Aspekte, die dabei berücksichtigt werden sollten, exemplarisch dargelegt:

Planung:
Es sind geeignete Anweisungen während der Prüfungsplanung zu geben, nachfolgend ist das Prüfprogramm zu genehmigen. Zu regeln ist dabei, wer die Prüfungsplanung vorbereitet und durchführt und durch wen die wesentlichen Ergebnisse kontrolliert werden. Die Kontrolle sollte dabei sowohl die Vollständigkeit und Korrektheit der Dokumentation wie auch eine Ziffernkontrolle beinhalten. Durch die Revisionsleitung sollte eine Plausibilisierung der Ergebnisse durchgeführt und dokumentiert werden.
Prüfungsvorbereitung:
Das Prüfungsprogramm sollte durch den Prüfungsleiter erstellt und die inhaltliche Qualität (bspw. Vollständigkeit, Risikoorientierung) durch die zuständige Führungskraft überprüft werden.
Durchführung:
Durch den Prüfungsleiter und ggf. in einem geregelten Turnus durch Führungskräfte ist sicherzustellen, dass das genehmigte Arbeitsprogramm planmäßig durchgeführt wird, es sei denn, Änderungen sind gerechtfertigt und genehmigt. Hierzu sollte nach Abschluss der Prüfungshandlungen verifiziert werden, dass etwaige Änderungen mit der zuständigen Führungskraft abgestimmt wurden.
Dokumentation/Berichterstattung:
Es ist festzulegen, dass Arbeitspapiere die Feststellungen, Schlussfolgerungen und Empfehlungen ausreichend untermauern. Die Berichterstattung muss fehlerfrei, objektiv, klar, knapp, konstruktiv und zeitnah erstellt sein. Hierzu sollte z.B. der Prüfungsleiter schon während der Prüfung die Arbeitspapiere kontrollieren und etwaige Mängel an den jeweiligen Prüfer adressieren. Festzulegen ist, welche Führungskräfte zu welchem Zeitpunkt die Berichtskritik durchführen. Nach Abschluss der Prüfung sollte eine stichprobenhafte Kontrolle durch die zuständige Führungskraft erfolgen. Für die Bewertung der Effizienz der Prüfung können vorher definierte Meilensteine (z.B. Ende der Vorbereitung, Ende der Prüfungshandlungen, Versand des Berichtes, Abschlusskonferenz) auf ihre Einhaltung überprüft werden. In Stichproben sollten Kontrollen auch durch die Revisionsleitung durchgeführt werden.
Follow-Up:
Das Nachschauverfahren sollte in einer Organisationsrichtlinie oder Arbeitsanweisung veröffentlicht sein, so dass die geprüften Einheiten zur Unterstützung der Internen Revision verpflichtet werden. Intern ist zu regeln, wer Nachschautätigkeiten durchführt und wer die Ergebnisse der Nachschau überprüft. Aufgrund der Bedeutung der Nachschauverfahren sollten dabei alle verantwortlichen Führungskräfte der Internen Revision in Qualitätssicherungsmaßnahmen einbezogen werden.
Ergebnis:
Es ist sicherzustellen, dass die Auftragsziele erreicht werden. Für eine langfristige Auswertung kann eine regelmäßige Erhebung der Art, Schwere und Inhalt der getroffenen Feststellungen / Empfehlungen der Internen Revision aufgestellt werden, um so die Qualitätsentwicklung der Ergebnisse festzuhalten.
Qualifikation:
Es ist sicherzustellen, dass die Personalausstattung quantitativ und vor allem qualitativ zur Aufgabenerfüllung angemessen ist und die Mitarbeiter fortlaufend weiterentwickelt werden (vgl. Kapitel 5).
Budgeteinhaltung:
Die Einhaltung des zur Verfügung stehenden Budgets sollte in einem geordneten Verfahren überwacht und gesteuert werden. Hierbei sollten eindeutige Verantwortlichkeiten hinsichtlich der Überwachung und dem Reporting der Ergebnisse festgelegt werden. Zu folgenden Kriterien sollten Maßnahmen eingerichtet werden, die neben einer Stichtagsbetrachtung auch die Einhaltung von Jahreszielen beinhalten sollte.
Einhaltung Prüfungsplanung:
Die in der Planung gebildeten Zeitbudgets für Prüfungen, Beratungen, Projektbegleitungen, Zeitreserven für Sonderprüfungen sollten laufend (mindestens vierteljährlich) überwacht und Abweichungen schriftlich begründet werden. Im Ergebnis muss das Verfahren geeignet sein, frühzeitig Risiken der Einhaltung der Prüfungsplanung aufzudecken.
Personalkostenbudget:
Je nach Bedarf sollte eine mindestens vierteljährliche Überwachung die Einhaltung des Budgets gewährleisten.
Sachkostenbudget:
Zumindest halbjährlich sollte das Sachkostenbudget ausgewertet und eine Hochrechnung p.a. erfolgen.

Unterstützend zur laufenden internen Überwachung kann auch nach Prüfungsabschluss ein Feedback der geprüften / beratenen Stelle in Form eines Fragebogens eingeholt werden, in dem einzelne Aspekte zur Wahrnehmung der Revisionsvertreter, Prüfungsplanung, -durchführung, -berichterstattung und zum Nutzen/Mehrwert der Prüfung bewertet werden können (siehe Anlage 1 und 2).

Bei der Auswertung des externen Feedbacks ist jedoch zu beachten, dass eine verlässliche Messung der Prüfungsqualität durch dieses Instrument schwierig ist.

Über die dargelegte Einholung eines Feedbacks nach Prüfungen können auch jährliche „Stakeholder Surveys“ durchgeführt werden. Als „Stakeholder“ kommen hier Aufsichtsrat/Prüfungsausschuss, Vorstand und ausgewählte Vertreter der 1. Führungsebene unterhalb des Vorstands in Frage. Hierbei können über einen strukturierten Fragebogen die Fragenkreise

Wahrnehmung der Revisionsvertreter,
Betätigungsfeld der Internen Revision,
Revisionsprozess und Berichterstattung,
Steuerung der Internen Revision sowie
Kommunikation mit bzw. Verhältnis zu den Stakeholdern

hinsichtlich ihrer Bedeutung bzw. des Erfüllungsgrades behandelt werden (siehe Anlage 3 und 4).

Die Gesamtverantwortung für die laufende Überwachung liegt beim Revisionsleiter und kann risikoorientiert auf geeignete Mitarbeiter übertragen werden (Führungskräfte, Senior Revisoren). Für die Dokumentation der erfolgten laufenden Überwachung empfiehlt es sich, für Prüfungsaufträge eine Prüfungs-/Qualitätscheckliste zu nutzen. Diese sollte z.B. Verantwortlichkeiten, Planungsaspekte und –vorgaben, zeitliche Meilensteine und Qualitätssicherungspunkte enthalten sowie nach Prüfungsabschluss vom Prüfungsleiter und seinem Supervisor unterschrieben den Prüfungsunterlagen beigefügt werden (siehe Anlage 5).

6.2.2 Periodische interne Beurteilung

Ergänzend zur laufenden internen Beurteilung schreiben die Berufsstandards regelmäßige Beurteilungen in Form von Selbstbeurteilung durch Mitarbeiter der Internen Revision oder geeignete unternehmensinterne Personen (z.B. CIAs oder andere geeignete Revisionsfachleute aus anderen Bereichen der Organisation) vor, die die Übereinstimmung der Internen Revision mit

ihrer Definition
dem Ethikkodex des IIA
und den IIA Standards

bewerten sollen. Als Ergebnis der Beurteilung soll ein abschließendes Urteil bzgl. der Qualität der Aufgabenerfüllung der Internen Revision stehen, in dem Verbesserungspotentiale identifiziert und dokumentiert werden. Der Leiter der Internen Revision muss sicherstellen, dass erforderliche korrigierende Maßnahmen ergriffen werden und deren Umsetzung überwacht wird.

Die Ergebnisse interner Beurteilungen sollten durch den Leiter der Internen Revision an relevante interne Stellen (z.B. Vorstand, Aufsichtsrat, Audit Committee) kommuniziert werden.

Periodische interne Beurteilungen dienen weiterhin als Vorbereitung und Unterstützung für die mindestens alle fünf Jahre durchzuführenden externen Beurteilungen. Somit ist es empfehlenswert sich hier eng an der inhaltlichen Gestaltung externer Reviews, z.B. durch Nutzung des QA Leitfadens des DIIR zu orientieren.

6.3      Externe Beurteilung
6.3.1   Externe Beurteilung

Eine wesentliche Maxime zur Sicherung der Qualität interner Revisionsleistungen stellt die Forderung zur Durchführung einer externen Beurteilung dar. Gemäß IIA-Standard 1312 müssen von einem qualifizierten, unabhängigen Prüfer oder Prüfungsteam mindestens alle 5 Jahre externe Beurteilungen durchgeführt werden. Ergänzt werden die IIA-Standards durch den vom DIIR ausgearbeiteten Revisionsstandard Nr. 3 „Qualitätsmanagement in der Internen Revision“, der ein systematisches Qualitätsmanagement, bestehend aus Qualitätsplanung, -steuerung und-überwachung fordert.
Ausgehend von den praktischen Ratschlägen wird unter einer externen Beurteilung die revisionsweite Feststellung der Angemessenheit und Funktionsfähigkeit der Revisionsaktivitäten und
-prozesse durch eine nicht der Revisionsabteilung unterstellten oder dem Unternehmen zugehörigen Person oder Gruppe verstanden. In der deutschen Revisionslandschaft hat das DIIR eine Fortbildung zum externen Qualitätsprüfer ausgearbeitet.

Zur Stärkung der Akzeptanz und Verbreiterung der Qualitätsoffensive hat das DIIR im Juli 2005 einen eigenen die oben genannten Punkte aufgreifenden Quality-Assessment Leitfaden verabschiedet (Überarbeitet im September 2007). Der Leitfaden besteht aus 81 Fragen, die mit den Blöcken Grundlagen (Organisation der Internen Revision, Einordnung im Unternehmen, Budget und Planung), Durchführung von Prüfungen (Vorbereitung, Durchführung, Nachbereitung) und Mitarbeiter (Auswahl, Entwicklung und Fortbildung) die vom IIA identifizierten Schlüsselkriterien aufgreifen. In Beantwortung des Leitfadens muss der unabhängige Prüfer jede Frage auf einer Skala von 3-0 bewerten, wobei 3 für angemessen erfüllt (>90%), 2 für leichtes Verbesserungspotenzial (>75%), 1 für deutliches Verbesserungspotenzial (>50%) und 0 für unzureichend (<50%) steht. Anschließend addiert der Prüfer die Punkte und verdichtet sie zu einem Gesamturteil. Abschließend wird – wie weiter unten benannt – ein Bericht zusammen mit einer Schlussbemerkung zur Angemessenheit und Wirksamkeit der Internen Revision erstellt.

6.3.2   Selbstbeurteilung mit unabhängiger Überprüfung

In Anbetracht der durch ein externes Assessment verursachten Kosten und Ressourcenbindung sind Revisionsleiter oftmals nicht willens, neben der ohnehin schon komplexer und anspruchsvoller werdenden Revisionsarbeit entsprechende Freiräume für eine externe Qualitätsüberprüfung zu berücksichtigen.

Als Reaktion auf Bedenken, dass externe Beurteilungen durch unabhängige Prüfer zu aufwändig für kleinere Revisionsabteilungen sein könnten, hat das IIA daher einen alternativen Ablauf vorgesehen. Hierbei handelt es sich um eine sog. „Selbstbeurteilung mit unabhängiger [externer] Überprüfung“. Im Rahmen des zuvor dargestellten internen Qualitätssicherungsprogramms wird ein umfassender und vollständig dokumentierter Selbstbewertungsprozess durchgeführt, der auch den externen Beurteilungsprozess nachbilden muss. Insoweit empfiehlt es sich das interne Qualitätsprogramm eng an den externen Qualitätsvorgaben anzulehnen.

Auch hier ist im Nachgang eine unabhängige Überprüfung vor Ort durch einen qualifizierten Prüfer durchzuführen, allerdings sollte durch die Erarbeitung der Selbstbeurteilung der Zeit- und Ressourceneinsatz im Vergleich zu einem umfänglichen externen Assessment verringert sein. Beispielsweise können Bereiche wie Benchmarking, Untersuchung und Beratung hinsichtlich des Einsatzes von Best Practices sowie Interviews mit leitenden und operativen Führungskräften (deren Ansichten und Anliegen dem Revisionsleiter und den Revisionsmitarbeitern bereits bekannt sind) eingeschränkt berücksichtigt oder fallengelassen werden. Ansonsten gelten die gleichen Anforderungen und Kriterien wie im Praktischen Ratschlag 1312-1.

Empfohlen wird, dass eine Arbeitsgruppe unter Leitung des Revisionsleiters den Selbstbeurteilungsprozess durchführen und vollständig dokumentieren soll. In größeren Revisionseinheiten besteht auch die Möglichkeit, bestimmte Mitarbeiter dauerhaft mit Aufgaben des Qualitätsmanagements zu betrauen, die dann auch für die Durchführung von Quality Self Assessments und (internen) Quality Audits eingesetzt werden können. Ein Berichtsentwurf, gleich dem für eine externe Beurteilung, soll erstellt werden. Ein fachkundiger, unabhängiger Prüfer soll eingeschränkte Tests der Selbstbeurteilung vornehmen, um die Ergebnisse zu bestätigen und eine Stellungnahme über das angegebene Niveau der Übereinstimmung mit den Standards für die berufliche Praxis der Internen Revision abzugeben. Als Abschluss der unabhängigen Bestätigung soll er dem Bericht eine zustimmende Stellungnahme hinzufügen.

Wenn der unabhängige Prüfer der Beurteilung bezüglich des Einhaltens der Standards und des Ethikkodex nicht zustimmt, soll er dem Bericht eine widersprechende Stellungnahme hinzufügen, welche die Meinungsverschiedenheiten und – soweit als sinnvoll erachtet – die wesentlichen Feststellungen, Schlussfolgerungen und Empfehlungen in dem Bericht konkretisiert.

Obwohl eine vollständig externe Prüfung den größten Nutzen für die Abteilung bietet und im Qualitätsprogramm der Abteilung vorgesehen sein sollte, bietet die Selbstbeurteilung mit externer Überprüfung eine alternative Methode zum vollständigen Erfüllen der Anforderungen des Standard 1312. Trotzdem und soweit möglich, sowie um den größtmöglichen Nutzen für Qualitätssicherung und Ablaufverbesserung zu erzielen, sollte eine Revisionsabteilung die Selbstbeurteilung mit unabhängiger Überprüfung als Zwischenlösung betrachten und eine vollständig externe Prüfung in den Folgeperioden anstreben.

6.3.3   Berichterstattung über externe Beurteilungen

Die vorläufigen Ergebnisse der Untersuchung sollten mit dem Leiter der Internen Revision während und bei Abschluss des Beurteilungsverfahrens diskutiert werden. Die endgültigen Ergebnisse sind neben dem Leiter der Internen Revision bevorzugt in Kopie direkt an die Geschäftsleitung und das Überwachungsorgan weiterzuleiten. Die Berichterstattung sollte gemäß Praktischem Ratschlag 1312-1 vor allem folgendes enthalten:

Eine auf einem nachvollziehbaren Bewertungsverfahren beruhende Stellungnahme, inwieweit die Interne Revisionsabteilung die Standards einhält. „Eingehalten“ bedeutet, dass die Arbeitsweise der Internen Revisionsabteilung insgesamt den Anforderungen der Standards entspricht. Entsprechend bedeutet „Nicht eingehalten“, dass Auswirkungen und Schwere der Mängel der Vorgehensweise der Internen Revisionsabteilung so erheblich sind, dass die Fähigkeit der Internen Revisionsabteilung, ihren Verantwortlichkeiten nachzukommen, beeinträchtigt ist.
Eine Stellungnahme des Leiters der Internen Revision, die einen Maßnahmenplan und Umsetzungstermine enthält.

Abschließend sollte der Leiter der Internen Revision die Ergebnisse an die Geschäftsleitung berichten.

6.4 Ergänzende Elemente eines Qualitätsmanagementsystems.

In Ergänzung zu den vorhergehend dargelegten Maßnahmen und Aktivitäten können auch „Key Performance Indicators“ definiert werden, mit denen regelmäßig bestimmte Kriterien und/oder Ziele hinsichtlich ihrer Erfüllung bzw. Erreichung gemessen werden. Diese werden regelmäßig in engem Zusammenhang mit definierten Qualitätsmerkmalen stehen (z.B. zeitgerechte und klare/transparente Berichterstattung) bzw. sich auf quantitative (z.B. Budgeteinhaltung) oder sonstige qualitative Faktoren (Mitarbeiterqualifizierung, Ergebnisse von Prüfungsfeedbacks / Stakeholder Surveys, Ergebnisse Quality Self Assessments/externer Beurteilungen) beziehen.

Darüber hinaus ist auch die Einbettung von Kriterien bzw. Zielen aus einem Qualitätsmanagementsystem in eine Balanced Scorecard möglich.

Quellenverzeichnis

IIA, Quality Assurance and Improvement Program (QAIP)
DIIR Standard Nr. 3, Qualitätsmanagement in der Internen Revision, Stand 12. August 2002
DIIR QA-Leitfaden, 2. Aufl. September 2007, www.diir.de
IIA, Praktischer Ratschlag 1330
Seelis, ZIR 3/2008, S. 138
Magnus, ZIR 1/2008 S. 31
IIA Standard 1311, PA 1311-1
Albinus/Heydemann, ZIR 6/2007, S. 252ff.
Erhebung zum aktuellen Umsetzungsstand von Hans-Ulrich Westhausen, ZIR 1/10, S. 3ff, die der amerikanischen im Vergleich zur deutschen Revisionsabteilung eine doppelte so hohe Umsetzungsquote des IIA Standards 1312 bescheinigt.
Praktischer Ratschlag 1312-2.