Risk in Focus liefert wichtige Einblicke in aktuelle und zukünftige Risiken – jetzt auch aus erster Hand.
Im Rahmen eines Partnerinterviews mit dem französischen Institut IFACI gibt Dr. Joel Behrend (DIIR) spannende Einblicke in die internationale Studie, deren Umfrage für 2027 aktuell läuft. Im Interview erläutert er, welchen Einfluss die Studie hat und wie ein veränderter Ansatz hilft, Risikoschwerpunkte noch früher in die Prüfungsplanung einzubeziehen.
Hinweis: Das nachfolgende Interview ist eine deutsche Übersetzung des Originalbeitrags.
Herr Behrend, könnten Sie sich für die Mitglieder vorstellen, die Sie noch nicht kennen?
Joel Behrend: Ich bin seit 2023 beim Deutschen Institut für Interne Revision (DIIR) tätig und arbeite in der Grundsatzabteilung. Ich bin für verschiedene Bereiche zuständig, darunter Zertifizierungen sowie die Durchführung wissenschaftlicher und praxisorientierter Studien wie „Risk in Focus“. Außerdem leite ich Seminare und Schulungen beim DIIR.
Vor meiner Zeit beim DIIR war ich Postdoktorand am Lehrstuhl für Interne Revision an der Universität Duisburg-Essen. Dort habe ich als Teil meiner Dissertation verschiedene Studien zu den Auswirkungen der Forschung auf die Interne Revision sowie zu den Vor- und Nachteilen von Joint Audits in der Revision und den daraus resultierenden Vorteilen durchgeführt. Mein Hintergrund ist daher tief im Thema Revision verwurzelt.
Bevor wir uns mit der neuen „Risk in Focus“-Umfrage befassen, könnten Sie bitte die wichtigsten Risiken aus der letzten Ausgabe und ihre Bedeutung für Unternehmen heute noch einmal zusammenfassen?
Joel Behrend: Das größte Risiko zeigt sich seit mehreren Jahren im Bereich Cybersicherheit und Datensicherheit. Es rangiert seit vielen Jahren unter den Top 5 in unserem Ranking. In der letzten Risk in Focus-Studie haben wir festgestellt, dass Unternehmen in der Breite in Bezug auf die Cybersicherheitsabdeckung deutlich aufholen. Dieses Risiko bleibt das kritischste, aber Unternehmen stocken ihre Ressourcen hier in den letzten Jahren erheblich auf, wie auch in anderen Berichten, beispielsweise dem ISACA-Bericht „State of Cybersecurity 2025“, hervorgehoben wird. Der Aufwand, den die Interne Revision für dieses Risiko aufwendet, ist nach Jahren starken Investments mittlerweile leicht zurückgegangen, obwohl es nach wie vor als das kritischste gilt.
Humankapital, Diversität, Talentmanagement und Mitarbeiterbindung lagen auf dem zweiten Platz?
Joel Behrend: Ja, und das ist besonders aufschlussreich: Obwohl dies für Unternehmen nach wie vor eine Risikopriorität darstellt, ist die Interne Revision in diesem Bereich nicht sehr aktiv. Die Gründe dafür können vielfältig sein: Einige Revisionsleitungen geben an, sich hauptsächlich auf die Governance-Prozesse um den Personalbereich zu konzentrieren, aber es kann auch an einem empfundenen Mangel an Legitimität liegen – „das ist nicht unsere Aufgabe“ – oder an einem Mangel an Ressourcen, Kompetenzen oder übernommener Verantwortung. Der Personalbereich ist möglicherweise naturgemäß eine Funktion der Second Line, die für dieses Thema zuständig ist.
Die Studie hob außerdem zwei spezifische Themenbereiche hervor…
Joel Behrend: Einer davon gewinnt eindeutig an Bedeutung: digitale Disruption, neue Technologien und künstliche Intelligenz. Dies war ein zentrales Thema der letzten „Risk in Focus“-Studie. Die Diskussionen während der Roundtable-Gespräche zeigten hier, dass die Ansätze je nach Organisation sehr unterschiedlich sind, sodass wir grundsätzlich drei Gruppen unterscheiden können. In der ersten Gruppe weisen Revisionsleitungen darauf hin, dass es nach wie vor an einem strukturierten und asugreiften Governance-Rahmen mangelt, insbesondere im Hinblick auf KI. Unternehmen tun sich schwer, vor dem Hintergrund eines intensiven technologischen Wettbewerbs eine geeignete Governance-Strategie nachzuziehen. Gleichzeitig ist es schwierig, mit dieser rasanten Entwicklung Schritt zu halten. Viele Revisionsleitungen stellen fest, dass der Innovation im Allgemeinen Vorrang eingeräumt wird („AI first“).
In der zweiten Gruppe berichten Revisionsleitungen, dass sich die Interne Revision anpasst und bei der Umsetzung von Governance-Strukturen sogar zum Teil beratend unterstützt: Überprüfung von Zuständigkeiten, Entwicklung einer KI-Strategie und Festlegung organisatorischer Richtlinien – ein Prozess, der mit der KI-Entwicklung Schritt hält.
Schließlich zeichnet sich die dritte Gruppe durch eine sehr restriktive Governance aus: Entweder sind KI-Prozesse verboten, oder sie sind erst dann zulässig, wenn die Governance einen ausreichenden Reifegrad erreichtt. Mit anderen Worten: „Governance first, AI second“. Die wachsende Bedeutung dieses Risikos ist bei neuen Technologien, KI und der digitalen Transformation unbestreitbar.
Und das zweite Thema?
Joel Behrend: Umgekehrt ist mindestens kurzfristig ein deutlicher Rückgang des Interesses an der Kategorie Klimawandel, Biodiversität und ökologischer Nachhaltigkeit zu beobachten. Dies ist vor allem auf regulatorische Entwicklungen sowohl in Europa als auch in den Vereinigten Staaten zurückzuführen. Viele Revisionsleitungen äußern in Gesprächen ihren Unmut: Ihre Organisationen haben sich jahrelang mit diesen Themen beschäftigt und zum Teil umfassende Investitionen in Governancestrukturen getätigt, doch die europäischen Vorschriften scheinen dieser Dynamik nun entgegenzuwirken, da sie auf eine Deregulierung und Einschränkung der Anforderungen in den Bereichen Klima und Nachhaltigkeit abzielen.
Es zeichnet sich eine Kluft ab zwischen Organisationen, die sich weiterhin der Nachhaltigkeit verpflichtet fühlen, weil ihre Geschäftsmodelle davon abhängen oder ihre geschäftsmodelle stark von den Auswirkungen des Klimawandels betroffen sind, und solchen, die ihre Aktivitäten zurückfahren und ihre Governance-Ressourcen auf Cybersicherheit, Technologien, traditionelle Audit-Bereiche und die Finanzberichterstattung umlenken. Letztere nehmen dabei oft um eine abwartende Haltung ein oder ziehen sich sogar vollständigen aus dem Thema zurück.
Wie sehen Sie die Hauptthemen der nächsten Ausgabe? Wir können uns vorstellen, dass die geopolitische Unsicherheit, die in der letzten Ausgabe unter den Top 5 war, dort bleiben wird…
Joel Behrend: In der Tat haben die letzten Ergebnisse gezeigt, dass geopolitische Unsicherheit ein starker Trend war. Sie wird auch im Mittelpunkt der nächsten Studie stehen. Globale Konflikte und geopolitische Veränderungen haben fundamentale Auswirkungen auf Organisationen und die Risikolandschaft. Besonders interessant für uns ist es zu verstehen, wie die Interne Revision in diesem Zusammenhang einen Mehrwert schaffen kann. Also was kann die Interne Revision realistisch gesehen als Reaktion auf diese Herausforderungen tun?
Angesichts des Krieges in der Ukraine, der Konflikte im Nahen Osten und ihrer Auswirkungen auf globale Lieferketten ist es schwierig, die richtigen Fragen für die Interne Revision zu formulieren, die in der Regel nicht direkt in diesen Risikobereich involviert ist. Die eigentliche Frage lautet: Welchen Beitrag kann die Interne Revision leisten?
In der letzten „Risk in Focus“-Studie haben wir auf eine erhebliche Diskrepanz zwischen der wahrgenommenen Bedeutung geopolitischer Risiken für Unternehmen und den vergleichsweise minimal investierten Ressourcen hingewiesen, die die Interne Revision hier tatsächlich aufwendet. Und das obwohl dieses Risiko als erheblich eingestuft wird. Warum? Viele Revisionsleitungen erklärten, dass sie selten direkt an der Stärkung der Widerstandsfähigkeit gegenüber geopolitischen Unsicherheiten beteiligt sind. Ihr Beitrag konzentriert sich eher auf die Governance-Prozesse dahinter: Sie stellen sicher, dass Richtlinien und Prozesse wirksam und vorhanden sind, um diesen Entwicklungen zu begegnen – also beispielsweise für die Absicherung der Lieferkette und die Reaktion auf Zolländerungen. Interne Revisorinnen und Revisoren werden nicht in Konfliktbereichen eingesetzt. Ihre Rolle besteht in erster Linie darin, die Widerstandsfähigkeit auf Governance-Ebene zu stärken.
Wie sieht es mit anderen Risikokategorien aus? Sehen Sie irgendwelche Trends für dieses Jahr?
Das ist schwer zu sagen. Wir erleben nach wie vor eine Marktabschwächung. Wir haben eine eigene Risikokategorie: „Marktveränderungen, Wettbewerb und sich wandelndes Verbraucherverhalten.“ Tatsächlich sind die Märkte stark von Turbulenzen geprägt, wobei die Volatilität auf die US-Handelspolitik, globale Konflikte oder Spannungen in den Lieferketten zurückzuführen ist. Das Verbraucherverhalten wird vorsichtiger, was sich auf Unternehmen auswirkt. Dies wird wahrscheinlich ein wichtiges Thema in diesem Jahr sein.
Eine weitere Kategorie, die es zu beobachten gilt, ist die operative Resilienz, das Krisenmanagement, die Business Continuity und die Katastrophenbewältigung. Ich glaube, dass dieses Thema in Europa aus drei Gründen zunehmend an Bedeutung gewinnen wird: der Zunahme externer Störungen und Bedrohungen (wie Drohnenüberflüge über sensible Infrastruktur und Klimakatastrophen), der Veröffentlichung einer neuen Topical Requirement für die Interne Revision, die sich mit der organisatorischen Resilienz befasst, und anstehenden europäischen regulatorischen Änderungen, die die Verpflichtungen von Organisationen in kritischen Sektoren verstärken.
Ich würde noch eine weitere Risikokategorie hinzufügen, die es zu beobachten gilt: Finanzen, Liquidität und Insolvenz. In Deutschland steigt die Zahl der kleinen Unternehmen, die in Konkurs gehen, rapide an – ein Trend, der sich wahrscheinlich in ganz Europa abzeichnen wird.
Ein völlig neues Thema für „Risk in Focus“ in diesem Jahr sind zudem Reputation, Kommunikation und das Vertrauen der Stakeholder. Es wird interessant sein zu sehen, wie Revisionsleitungen dieses Thema einschätzen. Wird es unter die Top 5 kommen? Wird die Priorität vergleichsweise gering sein? Wird es Branchenunterschiede geben? Sicher ist, dass die Reputation zunehmend an Bedeutung gewinnt, insbesondere mit dem rasanten Aufstieg der sozialen Medien. Unternehmen müssen immer häufiger ihr öffentliches Image pflegen, nicht nur bei Themen wie Nachhaltigkeit, sondern auch als Reaktion auf Cyberangriffe und die böswillige Verbreitung von Deepfake-Informationen in einer zunehmend fragmentierten Medienlandschaft. Die zentrale Frage lautet: Kann die Interne Revision einen Mehrwert schaffen, indem sie Kommunikationskanäle oder Social-Media-Management-Prozesse prüft, oder handelt es sich hierbei um ein wichtiges Risiko, das nur unzureichend oder anderweitig abgedeckt ist?
Schließlich bleiben Risiken in den Bereichen Lieferkette, Outsourcing und Nth-Party-Risiken zentrale Themen. Die Frage ist, ob sie es unter die Top 5 schaffen werden. Angesichts sich entwickelnder Handelsabkommen wie EU-Mercosur und Zollspannungen prüfen Unternehmen, ob diese Entwicklungen ihre Lieferketten langfristig diversifizieren bzw. stören. Das wirft auch Fragen für eine wirksame Governance auf.
Wie sieht der Zeitplan für die neue Studie aus? Wann werden die Ergebnisse veröffentlicht?
Joel Behrend: In diesem Jahr werden die Ergebnisse in zwei Phasen veröffentlicht, was eine Änderung in der Methodik von „Risk in Focus“ darstellt. Im vergangenen Jahr gab es einen einzigen Veröffentlichungstermin im September. In diesem Jahr werden wir zwei Phasen haben: Für die erste im Mai ist ein Kurzbericht eingeplant, der einen vorläufigen Überblick über die quantitativen Trends auf der Grundlage unserer Umfrageergebnisse bietet. Die umfassende Studie wird dann Mitte September veröffentlicht und enthält die Umfrageergebnisse, die Schlussfolgerungen der Roundtable-Gespräche. Es handelt sich dabei um den vollständigen Bericht, wie wir ihn kennen, der auf den Websites der Revisionsinstitute verfügbar sein wird.
Wie hat sich die Risikolandschaft seit Beginn der Studie vor zehn Jahren verändert?
Joel Behrend: Sie hat sich deutlich von den traditionellen Themen entfernt, mit denen sich die Interne Revisiorinnen und Revisoren in der Vergangenheit befasst haben. Traditionell konzentrierte sich die Interne Revision auf interne Kontrollen der Finanzberichterstattung, die Governance zu Finanzthemen und Fraudprüfungen – also gleichzeitig Risiken, die überwiegend innerhalb der Organisation ihren Ursprung hatten. Dies zeigten die frühen Ausgaben von „Risk in Focus“. Externe Faktoren wie die DSGVO, eine bedeutende regulatorische Entwicklung, existierten zwar, doch der Fokus lag weiterhin auf traditionellen Prüfthemen mit starkem Ordnungsmäßigkeitsbezug.
Im Laufe der Zeit haben bedeutende externe Ereignisse dazu geführt, dass externe Risiken in den Fokus der Organisationen und damit auch in die Prioritäten der Internen Revision gerückt sind. COVID-19 ist das auffälligste Beispiel: Ein beispielloses externes Ereignis, das in einigen Fällen die Prioritäten der Internen Revision vollständig bestimmt hat. Eine der bedeutendsten Veränderungen ist, dass externe Risiken nun die Risikolandschaft dominieren, anders als zuvor.
Sehen Sie noch weitere Veränderungen?
Joel Behrend: Bemerkenswert ist auch die methodische Reife von „Risk in Focus“. Vor zehn Jahren stützte sich die Studie auf wenige Interviews ohne Roundtable-Gespräche oder Umfrageergebnisse, mit einer kleinen qualitativen Basis, an der nur drei europäische Institute beteiligt waren, und mit Daten, die für den gesamten Kontinent nicht repräsentativ waren. Heute verfügt die Studie über eine wesentlich solidere methodische Grundlage und einen breiteren Umfang, mit rund sieben koordinierenden Instituten und 15 teilnehmenden EU-Ländern.
Wie können Interne Revisorinnen und Revisoren die Studie nutzen?
Joel Behrend: Dies wird jährlich in den nationalen Revisionscommunities diskutiert, insbesondere in Deutschland. „Risk in Focus“ sollte als Quelle der Inspiration und Reflexion dienen. Die Studie wird vom Berufsstand für den Berufsstand durchgeführt, und die Erkenntnisse sollen im besten Fall die Prüfungsplanung bereichern.
Der empfohlene Ansatz lautet: Analysieren Sie die Risikolandschaft Ihrer eigenen Organisation, vergleichen Sie sie mit den Ergebnissen von „Risk in Focus“, identifizieren Sie potenzielle neue Themen, die angegangen werden sollten, und treten Sie in einen Dialog mit Ihren Stakeholdern. Immer mit der Frage im Hinterkopf: „Sie die Themen für uns relevant?“ Wenn nicht, besteht kein Handlungsbedarf, nur weil die Studie zu diesen Erkenntnisse liefert.
Wenn beispielsweise Cybersicherheit seit mehreren Jahren ein wesentliches Risiko in „Risk in Focus“ darstellt und Sie bereits ausreichend reagieren, besteht kein Grund, Ihren Ansatz zu ändern. Wenn „Risk in Focus“ jedoch den Schwerpunkt auf das Personalrisiko legt und Ihre Organisation mit Herausforderungen bei der Personalbeschaffung oder -bindung konfrontiert ist, die die Interne Revision noch nicht berücksichtigt hat, bietet dies eine solide Grundlage für Gespräche mit dem Vorstand oder der Geschäftsführung.
Die Studie lässt sich auch umgekehrt nutzen: Wenn ein Thema in „Risk in Focus“ als wichtig eingestuft wird, in Ihrer Organisation jedoch nicht, ist es ebenso wertvoll, dies zu dokumentieren. Der Wert liegt in der Diskussion und Reflexion, nicht in der reflexhaften Anwendung der Ergebnisse.
Welche Rolle sollten Interne Revisorinnen und Revisoren bei der Bewältigung der in der Studie aufgezeigten Risiken spielen?
Joel Behrend: Interne Revisorinnen und Revisoren stehen an vorderster Front, wenn es darum geht, Risiken zu erfassen und die Wirksamkeit von Gegenmaßnahmen zu beurteilen. Das ist ihr Kerngeschäft. Keine andere Funktion im Unternehmen verfügt über einen vergleichbaren 360-Grad-Überblick über alle Prozesse. Interne Revisorinnen und Revisoren verfügen über Informationen, die sonst niemand hat, und sie müssen diese wertstiftend einsetzen.
Eine weitere wichtige Botschaft der Stduie ist die Förderung eines integrierten oder koordinierten Ansatzes in enger Zusammenarbeit mit den Bereichen Risikomanagement, IT, Cybersicherheit und Nachhaltigkeit. Diese Zusammenarbeit ermöglicht eine globale, umfassende und kohärente Sicht auf Risiken, die Vorstände bzw. Geschäftsführung im heutigen komplexen und volatilen Umfeld dringend benötigen.
Eine abschließende Botschaft an kleine Revisionsteams mit begrenzten Ressourcen lautet: Der Schlüssel liegt nicht darin, mit großen Funktionen Schritt zu halten, sondern im zielgerichteten Dialog mit den Stakeholdern über die eigene Rolle und Prioritäten auch die eigene die Wirksamkeit zu erhöhen. Selbst mit begrenzten Ressourcen kann die Interne Revision bei neu auftretenden Risiken eine bedeutende Rolle spielen, solange dieser strategische Dialog geführt wird. Es geht nicht um Ressourcen, sondern um den Mehrwert, den Sie schaffen.
Was sind die häufigsten Fragen, die Ihnen von Internen Revisoren gestellt werden, wenn Sie die Ergebnisse von „Risk in Focus“ präsentieren?
Joel Behrend: Eine immer wiederkehrende Frage lautet: „Warum die Studie jedes jahr wiederholen, wenn sich die Risiko-Rangliste zum Teil kaum verändert?“ Lassen Sie mich einen entscheidenden Punkt hervorheben: „Risk in Focus“ ist eine unabhängige Studie, die weltweit einmalig ist. Die Studie wird von der Forschungs- und Revisions-Community für den Berufsstand der Internen Revision in Europa und mittlerweile auch weltweit erstellt. In Europa wird der Prozess von den europäischen Revisionsinstituten koordiniert und ist unabhängig von externen Sponsoren oder kommerziellen Interessen, wodurch ungefilterte Einblicke aus dem Berufsstand selbst gewährleistet sind.
Zweitens liegt der eigentliche Wert der Studie in seiner soliden Methodik und einer einzigartigen Perspektive auf Risiken: der Sichtweise der Revisionsleitungen. Es gibt zwar andere Risikoberichte, doch diese stützen sich oft nicht auf Erkenntnisse einer breiten Palette von Revisions- und Risikoexpertinnen bzw. -experten, die verschiedene Sektoren und Risikobereiche abdecken. „Risk in Focus“ wird jährlich im Rahmen einer breit angelegten Umfrage durchgeführt, die Europa und mittlerweile auch die globale Risikolandschaft abdeckt. Es ist eine starke Stimme der Internen Revision mit ihrer spezifischen, einzigartigen Perspektive und einem äußerst wertvollen Beitrag.
Die Studie findet weit über den Kreis der Internen Revision hinaus Beachtung. Dies zeigt sich auch daran, dass sie vom Global Institute of Internal Auditors mittlerweile weltweit durchgeführt wird. Die Methodik ist etabliert und verbindet quantitative Umfrageergebnisse mit qualitativen Erkenntnissen aus Roundtable-Gesprächen und Interviews. Diese zweigeteilte Perspektive ist von unschätzbarem Wert.
Die Kontinuität von „Risk in Focus“ ist an sich auch eine Stärke: Die Studie liefert nicht jedes Jahr isolierte Erkenntnisse, sondern zeigt Trends auf und beleuchtet Entwicklungen. In manchen Jahren zeigen sich nur wenige Veränderungen, doch oft liegen die wertvollsten Erkenntnisse im Detail. So mögen sich beispielsweise die Rankings zur digitalen Transformation und zur KI nicht dramatisch verschieben, doch die Diskussionen in den Roundtable-Gesprächen sind intensiv und zeigen bracnhenübergreifend vielfältige und tiefgehende Einblicke in Praktiken zu Governance, Innovation und Risikoabwehr.
Zugegeben, „Risk in Focus“ ist vielleicht weniger auffällig als Berichte mit polarisierenden Botschaften. Die methodische Genauigkeit und Kontinuität sind jedoch klare Stärken und erklären, warum die Studie Jahr für Jahr ein wichtiger Bezugspunkt für die Interne Revision bleibt.
Die aktuelle Umfrage läuft noch bis 07.04.2026.
Die finalen Ergebnisse werden im September 2026/27 veröffentlicht und stehen Ihnen kostenfrei zur Verfügung. Einen Rückblick auf die Studien der vergangenen Jahre finden Sie hier.
Wir bedanken uns vorab für die Teilnahme!