Interne Revision: Auftrag und Aufgaben

Katharina Stegmeier

Revisorin

Kapitel

Interne Revision: Auftrag und Aufgaben
Interne Revision: Prozesse

Interne Revision: Auftrag und Aufgaben — Bild: Haufe Online Redaktion Auftrag und Aufgaben der Internen Revision.

Was genau ist der Auftrag der Internen Revision? Welche Aufgaben gehören zur täglichen Arbeit in der Internen Revision? Erfahren Sie mehr dazu in unserem Top-Thema.

Auftrag der Internen Revision

Der Auftrag einer Revision lautet gemäß Gabler Wirtschaftslexikon:
Interne Revision (ist) eine mit der Durchführung von Prüfungsaufgaben befasste Stelle oder Stellengesamtheit (z.B. Abteilung) in der Unternehmung; oft mit der Bezeichnung Innenrevision. Bei Konzernen spricht man von Konzernrevision.
Das bedeutet, dass die Revision prüft, ob im Unternehmen zum Beispiel Abläufe, Dokumentationen, Systeme und resultierende Ergebnisse mit den internen und gesetzlichen Anforderungen konform sind. Dafür ermittelt die interne Revision, was der SOLL-Zustand ist und inwieweit der vorhandene IST-Zustand davon abweicht.

Der DIIR (Deutsches Institut für Interne Revision e.V.) beschreibt die Revision folgendermaßen:
Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem Sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.

Aufgaben der Internen Revision

Die Aufgaben der Revision lassen sich grob unter einer globalen Gesamtaufgabe zusammenfassen: Die Revision agiert als verlängerter Arm der Unternehmensleitung und unterstützt damit die Überwachungsfunktion des Top-Managements und Verantwortungsträgers.
Es geht

nicht nur um den Abgleich von SOLL- und IST-Zuständen,
sondern auch um daraus notwendigerweise folgende Bewertungen und Entscheidungsfindungen, um möglicherweise erkannte Mängel zu beheben oder zu vermeiden.

Dies wird unter anderem dadurch erreicht, dass die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse systematisch und zielgerichtet bewertet wird. Die Revision kontrolliert nicht, sondern sie prüft. Gerade die kritische Würdigung von festgestellten Mängeln im Kontext stellt dabei eine besondere Herausforderung dar, da daraus direkte Entscheidungen für das Unternehmen abzuleiten sind.

Für Kreditinstitute nehmen die MaRisk (Mindestanforderungen an das Risikomanagement der Kreditinstitute) als norminterpretierende Verwaltungsvorschrift zu § 25a KWG eine wesentliche ziel- und aufgabensteuernde Funktion ein und dienen im vorliegenden Artikel als Referenzgrundlage. Aufgrund der Wirkung von bankaufsichtsrechtlichen Regelungen auf alle anderen Wirtschaftsbranchen, die man schon bei den MaRisk (siehe KonTraG, BilMoG) erkennen konnte, werden diese Regelungen mittelfristig sicherlich auch verstärkt in der Industrie und im Handel eingesetzt werden.

MaRisk AT 4.4.3 „Interne Revision“ schreibt zu den Aufgaben:

Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht.

Dabei sind unterschiedliche Ausprägungen der Rolle der Revision denkbar: Die Revision kann als Polizist oder Sicherheitsberater auftreten oder die Tätigkeiten der Revision werden ausgelagert (wobei die Auslagerung wiederum an Voraussetzungen geknüpft ist, nachlesbar in den Vorgaben u.a. der MaRisk).

Organisatorische Ausgestaltung einer Revision

Klassischerweise spricht man vom „3 lines of defense“-Modell (nach ECIIA/FERMA Guidance on the 8th EU Company Law Directive, Artikel 41).
Hierbei wird klar erkennbar, welche Erwartungen die Aufsicht an die Ausgestaltung des Internen Überwachungssystems auf Basis der drei Teilkomponenten

Governance System,
Risikomanagement- und
Internes Kontrollsystem

hat. Diese Informationen unterstützen sowohl Prüfer in ihrer Konzeption, wenn sie Prüfungen in diesen Bereichen vorbereiten, als auch andere Berufsgruppen beim Verständnis, was wesentliche Themen im Bereich Führung, Überwachung, Risiko und Kontrollen sind.

In jedem Unternehmen sollten die drei „Verteidigungslinien“ (lines of defense) abgebildet werden:

Die erste Verteidigungslinie bildet das operative Management, das die Identifizierung, Beurteilung, Kontrolle sowie entsprechende Verminderung der Risiken im Rahmen des Tagesgeschäfts zu sichern hat. Zusätzlich gewährleistet das operative Management die Übereinstimmung der Aktivitäten mit den Unternehmenszielen.
Die zweite Verteidigungslinie beinhaltet Risikomanagement-, Controlling- und Compliance-Funktionen, um die in der ersten „Verteidigungslinie“ konzipierten Kontrollen auszubauen und zu überwachen.
Die dritte Verteidigungslinie stellt als objektive und von den Unternehmensprozessen und operativen Themen unabhängige Prüfungsinstanz die Revision dar. Sie unterstützt in dieser Funktion Geschäftsleitung, Führungskräfte und Überwachungsinstanzen und gibt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen.

Funktionstrennung bei den „lines of defense“

In diesem Sinne sind Themen wie Datenschutz, Informationssicherheit und Compliance die Aufgaben der 2nd line und nicht die der Revision als 3rd line: Die erstgenannten Themenbereiche verantworten innerhalb der Organisation eigene Prozesse, kontrollieren diese und sorgen für die entsprechende Einhaltung.
Die Revision wiederrum prüft als unabhängige Instanz im Anschluss, ob die Verantwortlichen ihre Aufgaben wahrgenommen und kontrolliert haben – das kann dann eine Fachabteilung genauso betreffen wie die jeweiligen Beauftragten oder das Management. Damit sind eine Art der Gewaltenteilung sowie mehrstufige Kontrollmechanismen im Unternehmen etabliert.

Nach den Vorgaben der MaRisk darf ein Revisor nicht eine weitere Funktion wie z.B. die eines IKS- oder Datenschutzbeauftragten innehaben, da in diesem Falle der Verantwortliche sich selbst kontrollieren würde, was aus nachvollziehbaren Gründen der Objektivität zu vermeiden ist.

MaRisk BT 2.2 schreibt dazu unter Ziffer 2:

Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden. Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.

Rahmen der Revisionsarbeit

Die Prüfer arbeiten weitgehend unabhängig im Unternehmen, das klingt nach sehr viel Freiheit in der Auftragsgestaltung. Ist es auch, und so ist es auch in den MaRisk unter BT 2.2 „Grundsätze für die Interne Revision“ verankert:

Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.

Aber natürlich bestehen trotzdem viele Verpflichtungen und Anforderungen, die einen Rahmen vorgeben, innerhalb dessen in der Revision gearbeitet wird. Das ist wichtig, denn eine Standardisierung und Regelung sorgt für objektive und belegbare sowie nachvollziehbare Ergebnisse. Darüber hinaus ist die Revision der Sachlichkeit verpflichtet, wodurch kein Platz für Willkür bleibt. Überspitzt formuliert könnte man sagen, dass die Revision der Detektiv eines Unternehmens ist, der sich nach Plan auf die Suche nach Informationen für seine Prüfung macht, gewonnene Erkenntnisse und erlangte Informationen während seiner Tätigkeit dokumentiert, aufbereitet, bewertet und abschließend würdigt.

Die größten Rahmen der Revisionsarbeit sind die Prozesse „Prüfungsplanung“, „Prüfungsdurchführung“ und „Follow-up“ sowie die „Projektbegleitung“, zu deren Abarbeitung Checklisten jeweils gut geeignet sind.

Hierzu erfahren Sie im nächsten Teil dieses Top-Themas mehr.

1(current)
2

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024