1. Ziele und Aufgabenstellung der Internen Revision
Nachfolgende Ausführungen sind im Sinne einer Präambel zu verstehen. Konkretisierungen ergeben sich in den jeweiligen nachfolgenden Kapiteln.
Die Ziele der Internen Revision ergeben sich grundsätzlich aus dem Selbstverständnis der Internen Revision. Dieses wird sich regelmäßig an der Definition des IIA/DIIR anlehnend definieren.
Definition Interne Revision des IIA/DIIR
„Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem Sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“
Ziel der Internen Revision ist damit primär die Schaffung von Mehrwerten für die gesamte Organisation. Das Risikomanagement, die Kontrollen, die Führungs- sowie die Überwachungsprozesse werden als zentrale Prüfungsobjekte genannt.
Für Kreditinstitute nehmen die MaRisk BA (Mindestanforderungen an das Risikomanagement der Kreditinstitute) als norminterpretierende Verwaltungsvorschrift zu § 25a KWG eine wesentliche ziel- und aufgabensteuernde Funktion ein. Wenn Interne Revisoren die IIA-Standards gemeinsam mit Standards anderer Regelungsinstanzen (hier: MaRisk BA) nutzen, können sie zusätzlich auf die Anwendung dieser Standards hinweisen, soweit dies sachgerecht ist. Sollten Unterschiede zwischen den IIA-Standards und den anderen Standards (hier: MaRisk BA) bestehen, sind diese zu ermitteln. Die Interne Revision sollte sich an die jeweils restriktiveren Standards halten.
Die Ziele und die Aufgabenstellungen der Internen Revision werden in ihrer Geschäftsordnung (Charter oder Rahmenbedingungen der Internen Revision) operationalisiert und konkretisiert. Diese ist formal die Rahmensetzung durch den Vorstand. Es empfiehlt sich in diesen Prozess das Aufsichtsorgan zu integrieren.
Die Interne Revision wird sich hinsichtlich ihres Tätigkeitsspektrums als auch hinsichtlich ihrer Qualitätsanforderungen an den Erwartungshaltungen ihrer Stakeholder ausrichten. Berufsrechtlich ist dies im Rahmen der Überarbeitung des Standards 2010 durch die Einfügung von “2010.A2 – Der Leiter der Internen Revision muss feststellen und berücksichtigen, welche Erwartungen bezüglich der Beurteilungen und Schlussfolgerungen der Internen Revision bei leitenden Führungskräften, der Geschäftsleitung, dem Überwachungsorgan und anderen Interessengruppen bestehen.” umgesetzt worden.
Falls auch Leistungen für Dritte erbracht werden sollen, ist dies in der Geschäftsordnung zu fixieren. Originäre Tätigkeitsfelder dürfen hierdurch nicht geschwächt werden.
Im Rahmen der Kapazitätsplanung sind ausreichend Ressourcen für Sonderprüfungen einzuplanen.
- BT 2.3 Tz. 2 MaRisk
Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z.B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können.
Die Folgen einer etwaigen Ressourcenbeschränkung hat der Leiter der Internen Revision deutlich zu kommunizieren.
- Standard 2020: Berichterstattung und Genehmigung
Der Leiter der Internen Revision muss der Geschäftsleitung und dem Überwachungsorgan die Planung der Internen Revision, den Bedarf an Personal und Sachmitteln sowie zwischenzeitliche wesentliche Änderungen zur Kenntnisnahme und Genehmigung berichten. Außerdem muss der Leiter der Internen Revision die Folgen etwaiger Ressourcenbeschränkungen erläutern.
Die periodenbezogene Konkretisierung ihrer Aufgabenstellung erfährt die Interne Revision durch die Genehmigung ihres Prüfungsplans durch den Vorstand. Es ist zu erwarten, dass zukünftig der Aufsichtsrat zumindest über den genehmigten Prüfungsplan – idealerweise über den geplanten Prüfungsplan – in Kenntnis zu setzen ist.
- BT 2.3 Tz. 1 MaRisk
Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzu-schreibenden Prüfungsplan basieren. Die Prüfungsplanung hat risikoorientiert zu erfolgen. Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden.
Die Genehmigung des Jahresprüfungsplans durch den Vorstand und ggf. ein ergänzender Zustimmungsakt des Aufsichtsrats ist die formelle Beauftragung der Internen Revision.
Zur Sicherstellung der Berücksichtigung aller gesetzlich oder aufsichtsrechtlich vorgeschriebenen Prüffelder sollten diese systematisch erfasst werden. In Abhängigkeit des verwendeten Ansatzes (Funktions-, prozess- oder aufgabenorientiert) kann man die Prüfungsobjekte strukturieren.
Als zentrale Prüfungsobjekte definieren sowohl die MaRisk als auch das IPPF das Risikomanagement und das interne Kontrollsystem.
- AT 4.4 Tz. 3 MaRisk
Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht.
Aus den Erläuterungen der Standards ist sowohl die Ziel- als auch die Komponentendimension des COSO-Internal-Framework (COSO I) zu erkennen. Hieraus leiten sich auch die klassischen Tätigkeitsfelder einer Internen Revision Financial Auditing, Compliance Auditing und Operational Auditing ab. Fraud-bezogene Prüfungshandlungen sind hierbei als Spezialfall des Compliance Auditing bzw. des Operational Auditing einzuordnen.
- Standard 2120.A2
Die Interne Revision muss die Möglichkeit des Auftretens doloser Handlungen und die Vorgehensweise der Organisation bei der Steuerung des Risikos doloser Handlungen beurteilen.
- Standard 2210.A2
Interne Revisoren müssen bei der Festlegung der Prüfungsziele die Wahrscheinlichkeit, dass wesentliche Fehler, dolose Handlungen, Regelverstöße sowie sonstige Risikopotenziale vorliegen und Vorschriften nicht eingehalten werden, berücksichtigen.
Die IT-Prüfung stellt kein eigenständiges Tätigkeitsfeld, sondern die Fokussierung auf das Prüfungsobjekt IT dar.
- Standard 2110.A2
Die Interne Revision muss beurteilen, ob die IT-Führung und –Überwachung der Organisation die Strategien und Ziele der Organisation fördert
Später erfolgte die Erweiterung um das Management Auditing und das Internal Consulting.
- Standard 1000.A1
Die Art der zu erbringenden Prüfungsleistungen muss in der Geschäftsordnung der Internen Revision festgelegt werden. Wenn Prüfungsleistungen für Dritte erbracht werden, müssen diese ebenfalls in der Geschäftsordnung der Internen Revision definiert werden.
Aus der Anforderung der Unabhängigkeit folgt, dass die in der Internen Revision beschäftigten Mitarbeiter grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden dürfen. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen (BT 2.2. Tz. 2 MaRisk).
Sollte die Interne Revision ausnahmsweise operative Tätigkeiten und/oder operative Verantwortungen übernehmen, dann müssen auch diese Tätigkeiten unabhängig überprüft werden. Dies bedarf eines regelmäßigen Outsourcing der Internen Revisionstätigkeit.
Weitere Grenzen der eigenen Prüfungstätigkeit ergeben sich, wenn die Interne Revision für Prüffelder nicht über das entsprechende Fachwissen verfügt. In diesem Fall kann neben dem Outsourcing der Internen Revisionstätigkeit auch ein zeitlich befristetes Insourcing von Fachkompetenz in die Interne Revision sinnvoll sein.
Gewisse Konkretisierungen zu einzelnen Prüffeldern ergeben sich aus dem IPPF.
Bei Kreditinstituten ergeben sich Prüffelder auch direkt aus dem Aufsichtsrecht; z.B. aus der Solvabilitätsverordnung (SolvV).
- § 153 SolvV: Interne Revision
Die Interne Revision oder eine andere vergleichbar unabhängige Revisionseinheit muss mindestens jährlich die Ratingsysteme des Instituts und ihre Abläufe, einschließlich der Abläufe in der Kreditabteilung und bei der Schätzung von Ausfallwahrscheinlichkeiten, Verlustquoten bei Ausfall, erwarteten Verlustraten und IRBA-Konversionsfaktoren überprüfen. Die Überprüfung muss die Einhaltung aller anwendbaren Mindestanforderungen einschließen.
Die sich aus dem Aufsichtsrecht ergebenden Pflichtprüfungen sind gesondert zu erfassen.
Weitere Tätigkeitsfelder können sich aufgrund von Verbandsempfehlungen oder durch Vorgaben der jeweiligen Sicherungseinrichtungen ergeben. Teilweise können sich auch aus Versicherungsbedingungen, insbesondere bei Vertrauensschadensversicherungen, Prüffelder für die Interne Revision ergeben.
Zur Prüfungstätigkeit gehört sowohl nach dem allgemeinen Verständnis (siehe IIA/DIIR-Definition) als auch den MaRisk die Überwachung der fristgerechten Beseitigung von Mängeln (Follow-Up), soweit ein operativer Kompetenzträger (Geschäftsleitung oder Abteilungsleiter) die Mängelbeseitigung veranlasst hat.
- BT 2.5 Tz. 1 MaRisk:
Die Interne Revision hat die fristgerechte Beseitigung der bei der Prüfung festgestellten Mängel in geeigneter Form zu überwachen. Gegebenenfalls ist hierzu eine Nachschauprüfung anzusetzen.
Neben der Prüfungstätigkeit ist allgemein anerkannt, dass eine Interne Revision auch Beratungsleistungen erbringen kann (siehe Definition des IIA/DIIR). Es besteht aber keine Verpflichtung einer Internen Revision Beratungsdienstleistungen zu erbringen. Ob eine Interne Revision grundsätzlich Beratungsdienstleistungen erbringen soll, ergibt sich letztlich aus deren Geschäftsordnung (Charter) und ist damit Entscheidung der Geschäftsleitung.
- Standard 1000.C1
Die Art der zu erbringenden Beratungsleistungen muss in der Geschäftsordnung der Internen Revision festgelegt werden.
Aufsichtsrechtlich ergibt sich folgende Regelung:
- BT 2.2 Tz. 2 MaRisk
… Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.
Für Kreditinstitute ergeben sich aus den MaRisk weitere Aufgabenstellungen. Im Falle wesentlicher Projekte ist eine Projektbegleitung notwendig.
- BT 2.1 Tz. 2 MaRisk
Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein.
Dies muss nicht zwingend in Form einer Prüfungstätigkeit und nicht zwingend kontinuierlich erfolgen. Das konkrete Vorgehen wird sich an Wesentlichkeitsüberlegungen ausrichten.
Aufsichtsrechtlich wird weiterhin eine Einbindung der Internen Revision im Rahmen ihrer Aufgaben insbesondere in folgende Prozesse gefordert:
- AT 7.1 MaRisk: Personal und Anreizsysteme
Tz. 5: Abhängig von Art, Umfang, Komplexität und Risikogehalt der Geschäftsaktivitäten und der Vergütungsstruktur hat die Geschäftsleitung für die Ausgestaltung und Weiterentwicklung der Vergütungssysteme einen Ausschuss einzurichten (Vergütungsausschuss). … Die Interne Revision ist im Rahmen ihrer Aufgaben einzubeziehen.
- AT 8 MaRisk: Aktivitäten in neuen Produkten oder auf neuen Märkten
Tz. 4: Sowohl in die Erstellung des Konzeptes als auch in die Testphase sind die später in die Arbeitsabläufe eingebundenen Organisationseinheiten einzuschalten. Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen.
- AT 9 MaRisk: Outsourcing
Das Institut muss auf der Grundlage einer Risikoanalyse eigenverantwortlich festlegen, welche Auslagerungen von Aktivitäten und Prozessen unter Risikogesichtspunkten wesentlich sind (wesentliche Auslagerungen). … Im Rahmen ihrer Aufgaben ist auch die Interne Revision zu beteiligen. …
Als weitere Aufgabenstellung ergibt sich aus den MaRisk eine eigenständige Qualitätsmanagementaufgabe für die Interne Revision bezogen auf die Revisionsprozesse.
- BT 2.3 Tz. 2 MaRisk
Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen zu überprüfen und weiterzuentwickeln.
- Standard 1300: Programm zur Qualitätssicherung und -verbesserung
Der Leiter der Internen Revision muss ein Programm zur Qualitätssicherung und -verbesserung, das alle Aufgabengebiete der Internen Revision umfasst, entwickeln und pflegen.
Hinsichtlich der Anforderungen an die Qualitätssicherung und -verbesserung sollte auf die deutlich konkreten Anforderungen der IIA-Standards abgestellt werden.
Nach Standard 1310 (Anforderungen an das Qualitätssicherungs- und -verbesserungsprogramm) hat das Programm zur Qualitätsmanagement sowohl interne als auch externe Beurteilungen zu umfassen. Der Leiter der Internen Revision muss die Ergebnisse des Qualitätssicherungs- und Verbesserungsprogramms an die Geschäftsleitung und das Überwachungsorgan berichten. Hinsichtlich des mindestens alle fünf Jahre durchzuführenden externen Quality Assessments gemäß IIA-Standard 1312 ist zu entscheiden, ob die Interne Revision die Befreiung aufgrund starker aufsichtsrechtlicher Regulierung (Praktischer Ratschlag 1312-2) wählt. Geschäftsleitung und Aufsichtsrat sind über die geplante Entscheidung zu informieren.
Durch die Umsetzung der 8. EU-Richtlinie (Abschlussprüferrichtlinie) im Rahmen des Bilanzrechtsmodernisierungsgesetzes (BilMoG) wird dem Aufsichtsrat die Überwachung der Wirksamkeit der Internen Revision über § 107 Abs. 3 Satz 2 AktG nochmals explizit ins „Pflichtenheft“ geschrieben. Über § 324 HGB („Prüfungsausschuss“) ist die Übertragung auf kapitalmarktorientierte Kapitalgesellschaften im Sinne des § 264d HGB geplant.
Zur Wahrnehmung seiner Überwachungsfunktion wird erwartet, dass sich der Aufsichtsrat mit den Aspekten „Prüfungsplan“, “Prüfungsmethoden“ und „Ressourcenausstattung“ der Internen Revision auseinandersetzt. Der Aufsichtsrat wird zukünftig stärker leitende Mitarbeiter in Kernfunktionen im Rahmen seiner Überwachungstätigkeit konsultieren. Die Informationsfunktion der Internen Revision für den Aufsichtsrat gewinnt an Bedeutung. Aufsichtsrechtlich wurde bezüglich der Internen Revision folgende explizite Regelung getroffen:
- AT 4.4 Tz. 2 MaRisk
… Unbeschadet dessen ist sicherzustellen, dass der Vorsitzende des Aufsichtsorgans unter Einbeziehung der Geschäftsleitung direkt bei dem Leiter der Internen Revision Auskünfte einholen kann.
Obiger Informationsprozess, insbesondere die Einbeziehung der Geschäftsleitung, ist in den jeweiligen Geschäfts- und Informationsordnungen zu regeln.
Als weitere Aufgaben der Internen Revision werden insbesondere die Ausbildungsfunktion und die Vermarktung der Internen Revision im Unternehmen (Revisionsmarketing) gesehen.
