Die Interne Revision als Initiator und Vermittler

Globalisierung, geopolitische Risiken, Kostendruck und die digitale Transformation von Produkten, Services und Geschäftsprozessen prägen das heutige Unternehmensumfeld. Darüber hinaus tragen zunehmende regulatorische Vorgaben, sowohl für traditionelle Governance-Themen als auch für Nachhaltigkeitsaspekte, dazu bei, dass Unsicherheit und Komplexität steigen. Die Einführung der Corporate Sustainability Reporting Directive (CSRD) beispielsweise führt zu erhöhten Anforderungen an die Berichterstattung zu Umwelt-, Sozial- und Governance-Themen und erhöht den Komplexitätsgrad signifikant ( KPMG 2022). Unternehmen sollten dieser sogenannten „VUKA“-Welt, geprägt durch Volatilität, Unsicherheit, Komplexität und Ambiguität, begegnen, indem sie ihre Strukturen anpassen.

Die Unternehmensführung muss imstande sein, flexibel auf aktuelle Entwicklungen zu reagieren, Chancen zu nutzen und Risiken entsprechend der eigenen Risikotragfähigkeit zu steuern. Ein Blick in die Praxis zeigt: Die häufig in Silos organisierten Governance-Bereiche sind hierfür unzureichend ausgebildet. Daher sind gezielte Anpassungen der Unternehmensstrukturen in Richtung integrierter Governance-Modelle erforderlich, um so eine Grundlage für die Integration der zentralen Governance-Elemente Compliance, Risikomanagement, Internes Kontrollsystem und Interner Revision zu schaffen.

Da Compliance ein beachtlicher Kostenfaktor ist, wird es immer notwendiger, funktionsübergreifend zusammenzuarbeiten und die Informationsverteilung zu optimieren. Ein unternehmensweites Risikoinventar ermöglicht beispielsweise, Synergien zu schaffen und die Effizienz und Effektivität jedes Governance-Bereiches zu erhöhen. Auch die Interne Revision bleibt von dieser Entwicklung nicht verschont. Als unabhängige Prüfungs- und Beratungsinstanz ist es ihre Aufgabe, eine hohe Prüfungssicherheit sicherzustellen und gleichzeitig einen mess- und sichtbaren Wertbeitrag zu leisten. Die Interne Revision nimmt neben der klassischen Rolle als sogenannte „Third Line“ zunehmend auch die Rolle als transparenter, lernfähiger und verlässlicher Sparringspartner ein. Sie entwickelt sich dadurch immer mehr zu einem Trusted Advisor (Grundlage für die Daten sind eine Online-Befragung im Rahmen der KPMG-Studie „Internal Audit im Spotlight“ (2022) von Verantwortlichen der Internen Revision aus 53 deutschen Unternehmen. Die Befragung wurde zwischen April 2021 und April 2022 durchgeführt). Doch welche Rolle sollte Sie bei der Entwicklung zu einer integrierten Governance einnehmen?

Gute Unternehmensführung rückt in den Fokus des Gesetzgebers

Mit neuen gesetzlichen Regelungen hat der Gesetzgeber in jüngster Vergangenheit die Notwendigkeit guter Unternehmensführung unterstrichen. Das Finanzmarktintegritätsstärkungsgesetz (FISG) weitet die Pflichten des Aufsichtsrats und des Vorstands aus. Die Aufgaben des Vorstands werden hinsichtlich der Einrichtung und der Wirksamkeit des Internen Kontroll- und Risikomanagementsystems konkretisiert. Die neue Fassung des Deutschen Corporate Governance Kodex (DCGK) fordert i. V. m. § 161 AktG sogar eine Positionierung zur Angemessenheit und Wirksamkeit der Corporate Governance-Bereiche Internes Kontrollsystem (IKS), Risikomanagementsystem (RMS) und Compliance-Management-System (CMS) ein und erhöht damit die Anforderungen an eine gute Unternehmensführung. Zudem deckt der Kodex Themen rund um Umwelt, Soziales und Unternehmensführung (ESG) nicht nur ab, sondern verdeutlich stärker als jemals zuvor, dass ESG im Rahmen einer guten Unternehmensführung umfassend berücksichtigt werden muss.

Angesichts dieser steigenden Anforderungen an die Corporate Governance sowie sich stetig wandelnder externer Einflüsse und Risiken ist eine funktionsübergreifende Zusammenarbeit notwendig. Compliance ist dabei ein relevanter Kostenfaktor, der jedoch mit einem effizienten und effektiven Lösungsansatz gesteuert werden kann. Ein möglicher Ansatz ist die integrierte Governance.

Integrierte Governance kann Potenziale heben

In vielen zumindest kapitalmarktorientierten Unternehmen sind die Governance-Systeme Compliance-Management-System (CMS), Risikomanagement-System (RMS), Internes Kontrollsystem (IKS) und Interne Revision (IR) implementiert. Nach dem Drei-Linien-Modell werden sie bisher in vielen Fällen einzeln betrachtet. Bei der integrierten Governance dagegen werden die Systeme ganzheitlich betrachtet. So zeigt die KPMG-Studie „Internal Audit im Spotlight“, dass in der Hälfte der befragten Unternehmen bereits eine operative Teilintegration einzelner Governance-Bereiche erfolgt ist. 23 Prozent der Befragten beurteilen den Integrationsgrad der Governance als „stand alone“ und es herrscht den befragten Unternehmen zufolge (noch) ein „Silodenken“ vor (Grundlage für die Daten sind eine Online-Befragung im Rahmen der KPMG-Studie „Internal Audit im Spotlight“ (2022) von Verantwortlichen der Internen Revision aus 53 deutschen Unternehmen. Die Befragung wurde zwischen April 2021 und April 2022 durchgeführt).

Eine zentrale Governance-Steuerung kann Vorteile haben, da zwischen den einzelnen Governance-Bereichen gewisse Abhängigkeiten sowie gemeinsame Interessen bestehen, unter anderem in Bezug Risikobewertung, -steuerung und Monitoring. So lassen sich Synergiepotenziale erschließen, Effizienz und Effektivität jedes Bereiches erhöhen, Kosten senken und damit ein entscheidender Beitrag zum Unternehmenserfolg leisten. Synergiepotenziale können vor allem aus einer strukturierten Zusammenarbeit und einem regelmäßigen Austausch generiert werden, beispielsweise innerhalb eines Gremiums für Governance, Risk & Compliance (GRC). Zugleich können durch einen gesamthaften Blick auf die Risikolandkarte Legalitätspflichten wesentlich effizienter gelöst und Risiken mitigiert werden.

Wie integrierte Governance erfolgreich wirken kann

Grundlage des erfolgreichen integrierten Zusammenwirkens der Governance-Bereiche sind gemeinsame Ziele des integrierten Systems. Diese Ziele werden aus den Unternehmenszielen abgeleitet und betonen ein gemeinsames Interesse im Unternehmen. Um ein „Silodenken“ der einzelnen Bereiche weiter zu verringern oder aufzubrechen, müssen zudem die Prozesse vereinheitlicht werden. Erst dann ist neben einem grundsätzlichen Informationsaustausch auch eine intensive und insbesondere effiziente funktionsübergreifende Zusammenarbeit möglich. Aus der Praxis sind unter anderem  folgende Beispiele bekannt, an denen integrierte Governance einen Mehrwert erzeugen kann:

• Unternehmensweite Risikoidentifikation und -bewertung, welche die Governance-Bereiche miteinander verzahnt
• Integrierte Informationsflüsse, z. B. Teilen von Compliance-Audit-Feststellungen
• Integrierte Berichterstattung an GRC-Stakeholder (intern und extern)
• Gemeinsames GRC-Gremium
• IT-Infrastruktur, z. B. GRC-Tool
• Verzahnung mit weiteren Unternehmensbereichen (Assurance Provider), wie z. B. dem Qualitätsmanagement und dem Nachhaltigkeitsmanagement

Die Interne Revision als Initiator integrierter Governance

Die Interne Revision ist unter Wahrung ihrer Unabhängigkeit und Objektivität Teil des integrierten Governance-Systems. Welche Rolle sie bei der Entwicklung einer integrierten Governance einnimmt, lässt sich aus den Herausforderungen ableiten. So beobachtet man in der Praxis teilweise ein über Jahre ausgeprägtes „Silodenken“ der einzelnen Akteure. Mangelndes Bewusstsein der Geschäftsleitung oder des Aufsichtsorgans für eine sinnstiftende integrierte Governance kann dazu führen, dass die notwendige Förderung ausbleibt und aus unternehmenskultureller sowie monetärer Sichtweise weitere Hürden entstehen. Neben diesen elementaren Herausforderungen ergeben sich auf prozessualer Ebene viele weitere, wie beispielsweise mangelnde Kompatibilität von IT-Systemen und Schnittstellen. Daraus ergibt sich für die Internen Revision die wichtige Aufgabe der Kommunikation, um zwischen den verschiedenen Akteuren zu vermitteln.

Die interne Revision sollte auf Ebene der Geschäftsleitung und Aufsichtsorgane einerseits die Vorteile einer Integration der zentralen Governance-Bereiche aufzeigen und damit ein Bewusstsein auf oberster Ebene schaffen. Andererseits sollte sie die potenziellen Handlungsoptionen zur Integration aufzeigen. So kann die Interne Revision ihre angestrebte Wahrnehmung als Trusted Advisor festigen und sich gleichermaßen als Initiator im Kontext der integrierten Governance positionieren. In der KPMG-Studie „Internal Audit Spotlight“ geben 64 Prozent der Teilnehmenden an, dass der Vorstand entscheidender Treiber der integrierten Governance im Unternehmen ist. Insgesamt fast ein Drittel nennen Aufsichtsrat (14 Prozent) und Prüfungsausschuss (16 Prozent) (KPMG-Studie „Internal Audit im Spotlight“ (2022). Dies verdeutlicht, wie wichtig diese Aufgabe der Internen Revision für den Aufbau einer integrierten Governance ist.

Wie die Interne Revision den Wandel unterstützen kann

Durch die Prüfung der wesentlichen Governance-Bereiche hat die Interne Revision sowohl breit gefächerte als auch in die Tiefe gehende Einblicke in die einzelnen Governance-Bereiche. Dieses Wissen kann sie als Ausgangspunkt nutzen, um Governance-Bereiche sinnvoll miteinander zu verknüpfen und Synergiepotenziale zu identifizieren. Sie kann besser als andere Instanzen im Unternehmen wesentliche Überschneidungspunkte der Governance-Bereiche identifizieren und in sinnvoller Weise bei deren Ausbau begleiten.

Dabei hat die Interne Revision nur einen begrenzten Aktionsspielraum und muss stets auf mögliche Interessenskonflikte und Beeinträchtigungen ihrer Unabhängigkeit und Objektivität achten.

Gleichwohl gehört es zu ihrer Rolle, Aspekte wie das unternehmensweite Risikoinventar des Risikomanagements im Audit Universe zu berücksichtigen. Außerdem sollte sie die erlangte Prüfungssicherheit anderer Unternehmensbereiche wie dem Qualitätsmanagement und der Nachhaltigkeitsabteilung (insbesondere im ESG-Kontext) nutzen, um die Vorteile des integrierten Ansatzes optimal auszuschöpfen. Dies beinhaltet auch einen wechselseitigen Informationsfluss zu weiteren Governance-Bereichen. Aus der Praxis sind unter anderem folgende Beispiele bekannt, wie die Internen Revision Teil der integrierten Governance sein kann:

• Identifikation von Schwachstellen: Das Aufzeigen sich häufig widerholender Schwachstellen im Internen Kontrollsystem ist die Grundlage für die konzeptionelle Weiterentwicklung des IKS
• Management von Risiken: Die Verdeutlichung ungeplanter Plan-Ist-Abweichungen im Risikomanagement ist notwendig als Grundlage für ein präziseres Forecasting
• Nutzung von Informationen: Daten aus CMS, RMS und IKS dienen der risikoorientierten Prüfungsprogrammplanung
• Integration: ESG-Themen und Risiken werden systematisch in den Prüfungsansatz integriert
• Standardisierung: Ein standardisierter Austausch mit den anderen Governance-Bereichen erfolgt im Rahmen der Prüfungsvorbereitung
• Joint Audit Ansatz: Integrierte Prüfungsdurchführung durch die Implementierung eines Joint Audit Ansatzes als ergänzende Methode
• Datenbanken: Aufbau einer integrierten bzw. gemeinschaftlichen „GRC-Wissensdatenbank“

Fazit & Ausblick

Ein herausforderndes Unternehmensumfeld, maßgeblich geprägt von der sogenannten VUKA-Welt und den resultierenden regulatorischen Veränderungen, erfordert effektive und effiziente Lösungen, um insbesondere Legalitätspflichten zu erfüllen und zugleich Risiken zu mitigieren.         

Als systematische Verschränkung der Governance-Bereiche kann integrierte Governance eine potenzielle Lösung für diese Erfordernisse sein. Doch sie ist auch mit großen Herausforderungen verbunden. Der Internen Revision kann bei der Bewältigung dieser Herausforderungen eine zentrale Rolle beigemessen werden. Sie hat über viele Unternehmensperioden hinweg Erfahrungen und Wissen gesammelt und sich ein hohes Maß an Glaubwürdigkeit in der Organisation und bei den relevanten Stakeholdern aufgebaut. Mit ihrer Funktion als „Third Line“ kann sie ein Rollenprofil aufspannen, das von der übergeordneten, strategischen Initiierung der integrierten Governance über die operative Identifizierung von Schnittstellen, bis hin zur unabhängigen und objektiven  Umsetzungsbegleitung reicht. Es liegt folglich in der Hand der unternehmensseitigen Akteure und Stakeholder, die zentrale Rolle der Internen Revision zu erkennen und das Rollenbild zielführend auszuarbeiten und umzusetzen.