Interne Revision: Prozesse

Katharina Stegmeier

Revisorin

Kapitel

Interne Revision: Auftrag und Aufgaben
Interne Revision: Prozesse

Interne Revision: Prozesse — Bild: Haufe Online Redaktion So organisieren Sie die Interne Revision.

Auch wenn die Interne Revision weitgehend unabhängig vom Unternehmen arbeitet, ist eine Standardisierung und Regelung der Abläufe wichtig. Dies sorgt für objektive und nachvollziehbare Ergebnisse.

Prüfungsplanung in der Internen Revision

Was eine Revision innerhalb des Jahres zu prüfen hat ist geplant und festgelegt. Das Audit-Universe stellt die Gesamtmenge möglicher Themen dar, die grundsätzlich geprüft werden müssen. Das sind interne und externe Prozesse und Anweisungen, Projekte, aktuelle Themen und risiko- oder sicherheitsrelevante Ereignisse sowie Informationen mit hohem oder sehr hohem Schutzbedarf. Diese werden gesammelt und hinsichtlich ihres Risikos bewertet (Eintrittswahrscheinlichkeit und Schadenshöhe). Je nach Risikoklasse erfolgt die Prüfung in einem zeitlichen Turnus. Wenn klar ist, was im Jahr geprüft wird, kann eine Ressourcen- und Zeitplanung erfolgen. Und schon steht die Prüfungsplanung. Was simpel klingt erfordert in der Praxis allerdings höchste Sorgfalt und Genauigkeit, um ordnungsgemäß zu arbeiten und den Auftrag am Schluss lückenlos erfüllen zu können.

Checkliste Prüfungsplanung für die Interne Revision

Eine an den eigenen Prozess angepasste Checkliste kann unterstützen, damit keine beachtenswerten Punkte übergangen werden. Sie könnte folgende Punkte beinhalten, die nacheinander abgearbeitet werden:

1. Prüfungsplanung (mehrjährig) wird entworfen. Berücksichtigt werden folgende Quellen:

a.   alle internen und ausgelagerten Prozesse;
b.   alle relevanten Anwendungen mit dem Schutzbedarf „hoch“ und/oder „sehr hoch“ in mindestens einer Schutzbedarfskategorie (Vertraulichkeit, Verfügbarkeit, Integrität);
c.   alle relevanten Infrastrukturkomponenten mit dem Schutzbedarf „hoch“ und/oder „sehr hoch“ in mindestens einer Schutzbedarfskategorie (Vertraulichkeit, Verfügbarkeit, Integrität);
d.   aktuelle Themen sowie risiko- und/oder sicherheitsrelevante Ereignisse (z.B. Informationen aus dem Themenspeicher der Internen Revision wie zum Beispiel aus durchgeführten Prüfungen oder Projektbegleitungen, Meldungen von außen etc. )

2.   Abstimmung im Team, um die Vollständigkeit der relevanten Themen sicherzustellen.
3.   Gegebenenfalls sollte die Abstimmung in Zusammenarbeit mit externen Dienstleistern im Falle von Auslagerungen stattfinden, sofern nach gesetzlichen Anforderungen (MaRisk, BAIT) die Konformität für die ausgelagerten Themenfelder sichergestellt werden muss.
4.   Das Audit-Universe wird im 4-Augen-Prinzip erstellt und finalisiert. Die 4 Augen minimieren das Risiko, eine fehlerhafte Planung zu erstellen.
5.   Die Risikobewertung erfolgt via Expertenschätzung der beteiligten Revisoren. Die zu Grunde liegende Risikometrik sollte zuvor definiert und verabschiedet worden sein.
6.   Je nach Definitionen in der Risikometrik ergeben sich durch die Bewertung von Schadenshöhe und Eintrittswahrscheinlichkeit Risikoklassen pro Prüfungsthema. Der Risikoklasse unterliegt ein Prüfungsturnus, der sich üblicherweise zwischen einem und drei Jahren bzw. mehr als drei Jahren bewegt. Dies wird im Audit-Universe dokumentiert und unterliegt damit ebenfalls dem 4-Augen-Prinzip. Der Mehrjahresprüfungsplan ist damit erstellt.
7.   Erstellung des Jahresprüfungsplans und dadurch Beantwortung der Frage, was im kommenden Prüfungsjahr geplant ist. Damit wird der Mehrjahresprüfungsplan in der Betrachtungsweise auf den Plan eines Jahres reduziert.
8.   Erstellung des Zeit- und Kapazitätsplans
9.   Der Prüfungsplan wird anschließend dem obersten Management zur Genehmigung vorgelegt und unterschrieben und – je nach Gesellschaftsform – veröffentlicht.

Prüfungsdurchführung

Die Prüfungsdurchführung setzt auf den Jahresplan der Revision auf und betrachtet eine einzelne Prüfung im Jahresverlauf. Dabei ist der Ablauf unabhängig vom Prüfungsthema immer der gleiche: Vorbereitung des Revisors und Prüfungsankündigung an betroffene Einheiten des Unternehmens (und außerhalb, sofern erforderlich), Interviews und Abgleich zwischen SOLL- und IST-Zustand, Bewertung des Ergebnisses, Schreiben von Feststellungen im Prüfungsbericht, Definition von Maßnahmen mit Zeitpunkt der Erledigung zur Behebung des Mangels, Abstimmung des Berichtsentwurfs mit den betroffenen Einheiten und zuletzt die Veröffentlichung. Sobald der Bericht verabschiedet ist, ist die Prüfung beendet.

Klingt einfach. Was es allerdings kompliziert macht, ist die Bewertung von möglicherweise auftretenden Mängeln: Der Prüfer muss fachkundig sein, um den SOLL-Zustand bewerten zu können. Er muss verstehen, inwieweit davon abgewichen wird und auch idealerweise warum. Das Warum kann dabei unterstützen, den Schweregrad möglicher Mängel zu deren Bewertung besser einschätzen zu können. Anschließend gilt es, mit und bei den betroffenen Einheiten Maßnahmen zu definieren, die den Mangel beheben und das Committment der Betroffenen zur Umsetzung dieser Maßnahmen zu erreichen. Dies erfordert mitunter detektivische Feinarbeit und Geduld, bis alle erforderlichen Informationen vorliegen, die zur angemessenen Bewertung benötigt werden. Und selbst dann ist nicht automatisch gegeben, dass die die Beteiligten den Maßnahmen zustimmen – Verhandlungstaktik und starke Argumente auf beiden Seiten führen dann meist zum Konsens.

Dabei ist der Begriff „Angemessenheit“ entscheidend: Der Grad der Erfüllung, angemessen zu arbeiten, ist nicht messbar. Der Begriff markiert den Gehalt der Informationen, die zugrunde gelegt werden, um einen Mangel identifizieren zu können. Dadurch ergibt sich die Dokumentationspflicht der Revision, um auch im Nachgang begründen zu können, warum Sachverhalte auf welche Weise erkannt und bewertet worden sind. Es gilt also, einen Weg zu finden, der hinreichend genaue Informationen liefert und dabei faktenorientiert innerhalb des Zeitrahmens zur Berichtserstellung führt.

Je nachdem, wie schwer ein Mangel eingestuft wird (basierend auf der Risikomatrix) wird es notwendig, besonders schnell zu reagieren. Bei grundsätzlichen Verstößen gegen gesetzliche Vorgaben oder bei Betrug beispielsweise ist eine Ad-hoc-Meldung erforderlich. Dann wird eine unverzüglich aufgesetzte Anzeige an die betroffenen Einheiten, an das TOP-Management und je nach Kommunikationsprozessen an weitere Parteien geschaltet. Maßnahmen müssen sofort ergriffen werden, um Schaden einzudämmen oder zu verhindern.

Darüber hinaus muss natürlich jeder Prüfer, der im Regelfall mehrere Prüfungen gleichzeitig betreut und – wie jeder andere Mitarbeiter auch – administratives Tagesgeschäft bewältigt, seinen Alltag strukturieren und sich mit Kollegen aus der Revision abstimmen, wenn Prüfungen gemeinsam durchgeführt werden.

Follow-up oder Prüfungsnachverfolgung

Werden im Rahmen der Prüfungen Feststellungen getroffen, so werden diese im Follow-up nachverfolgt. In regelmäßigen Abständen (in der Regel 1x monatlich) hält die Revision nach, welche Feststellungen zur Schließung anliegen und wie weit die Umsetzung der definierten Maßnahmen erfolgt ist. Grundsätzlich ist das während der Prüfung festgelegte Datum zur Erledigung verbindlich, kann aber – je nach unternehmenseigenen Vorgaben – auch mit Angabe von Gründen verschoben werden.

Alle Feststellungen haben dadurch gemäß Definition ein Enddatum, das in der Zukunft liegt, oder sie sind als „erledigt“ markiert. Falls eine Feststellung geschlossen werden soll, so liefert der zuständige Fachbereich Gründe und Nachweise, dass die Maßnahmen dazu abgearbeitet worden sind.

Jetzt ist wieder die Revision an der Reihe: Der Revisor prüft die Evidenzen und entscheidet, ob die Umsetzung angemessen ist oder nicht. Im ersteren Fall erfolgt damit die Zustimmung zur Schließung und die Feststellung ist „erledigt“. Im zweiten Fall kann er ein Veto aussprechen und die Maßnahmen sind entsprechend anzupassen – gegebenenfalls mit Fristverlängerung. Auch und gerade hier ist die lückenlose Dokumentation, wann warum eine Feststellung geschlossen wird oder nicht, essenziell, um als Unternehmen der Aufsicht nachweisen zu können, angemessen zu handeln.

Natürlich analysiert die Revision regelmäßig den Gesamtstand der Feststellungen und ist auch hier berichtspflichtig (gemäß MaRisk AT 4.5 Ziffer 6). Zu beantworten sind Fragen wie beispielsweise:

Wie viele Feststellungen sind gerade in Bearbeitung,
wie viele Terminverschiebungen gibt es und
kann man grundsätzliche Tendenzen beobachten, warum das der Fall ist?
Wie können diese Tendenzen verbessert werden?
Welche Entscheidungen sollte das TOP-Management treffen, um die Erledigung zur Schließung voranzutreiben?
Werden unternehmensweite Faktoren erkannt, die für sich genommen ein Risiko darstellen?

Checkliste Quartalsbericht und Jahresbericht der Revision

Ein Quartalsbericht der Revision umfasst folgende Mindestinhalte (gemäß MaRisk BT 2.4 Ziffer 4):

Die Interne Revision hat zum Ende eines Quartals über die von ihr seit dem Stichtag des letzten Quartalsberichts durchgeführten Prüfungen zu verfassen und zeitnah der Geschäftsleitung und dem Aufsichtsorgan vorzulegen.
Der Quartalsbericht muss über die wesentlichen oder höher eingestuften Mängel, die beschlossen Maßnahmen sowie den Status dieser Maßnahmen informieren.
Es ist ferner darzulegen, ob und inwieweit die Vorgaben des Prüfungsplans eingehalten wurden.
Die Interne Revision hat außerdem über die im Jahresablauf festgestellten schwerwiegenden sowie über die noch nicht behobenen wesentlichen Mängel in inhaltlich prägnanter Form an die Geschäftsleitung und das Aufsichtsorgan zu berichten (Jahresbericht). Die aufgedeckten schwerwiegenden Mängel, die beschlossenen Maßnahmen sowie der Status dieser Maßnahmen sind dabei besonders hervorzuheben.
Über besonders schwerwiegende Mängel hat die Interne Revision unverzüglich zu berichten.
Zusammenfassung des vierten Quartalsberichts und des Jahresberichts: Der vierte Quartalsbericht und der Jahresbericht können auch als jeweils gesonderte Abschnitte in einem Bericht zusammengefasst werden.

Projektbegleitung durch die Interne Revision

Um risikoorientiert und präventiv beraten zu können ist es notwendig, dass die Revision Prozesse begleitet. Der Auftrag lautet: Mehrwerte zu identifizieren und Geschäftsprozesse zu verbessern. Gemäß den Vorgaben bedeutet das (MaRisk BT 2.1 Ziffer 2 und BT 2.2 Ziffer 2):

Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenskonflikten bei wesentlichen Projekten begleitend tätig zu sein. (…) Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.

Der Knackpunkt in der Vorgabe ist der Begriff “wesentlich“ – was sind wesentliche Projekte? Das muss jedes Unternehmen für sich selbst und definiert durch die Revision entscheiden. Ausschlaggebend können folgende Fragen sein:

Besitzt das Projekt strategische Bedeutung für das Unternehmen?
Wie komplex gestaltet sich der Projektablauf (z.B. viele betroffene Bereiche? Neu zu erarbeitender Inhalt mit erhöhtem Risiko?)
Werden datenschutzrechtliche Informationen verarbeitet?
Unterliegen die Daten der Informationssicherheit, welchen Schutzbedarf haben sie?
Hat das Projekt direkte Auswirkung auf Kunden?
Überschreitet das Projektbudget einen definierten (hohen) Schwellwert?
Besitzt das Projekt bereits jetzt bekannte Risiken, die das Unternehmen gefährden könnten?

Solche und ähnliche Fragen könnten pro Projekt abgefragt und von der Revision ausgewertet werden, um zu entscheiden, welches Projekt begleitet wird oder nicht. Falls eine Projektbegleitung erfolgt, bleibt die Revision mit dem Projektteam im Gespräch, begleitet zum Beispiel auch Lenkungsausschüsse und andere Gremien, um stets über die Risikolage informiert zu sein. Natürlich fließen auch diese Ergebnisse in die Revisions-Berichtserstattung ein.

Fazit zur Arbeit in der Internen Revision

Die Arbeit der Revision ist einfach und doch komplex. Der Auftrag lautet zu prüfen, ob im Unternehmen beispielsweise Abläufe, Dokumentationen, Systeme und resultierende Ergebnisse mit den internen oder gesetzlichen Anforderungen konform sind.

Dafür wird ermittelt, was der SOLL-Zustand ist und inwieweit der vorhandene IST-Zustand davon abweicht. Die Revision agiert dabei als verlängerter Arm der Unternehmensleitung und unterstützt damit die Überwachungsfunktion des Top-Managements und Verantwortungsträgers.
In jedem Unternehmen sollten die drei „Verteidigungslinien“ (lines of defense) abgebildet werden, um den aufsichtsrechtlichen Anforderungen gerecht zu werden,, zumal die Revision ihre Aufgaben selbständig und unabhängig wahrzunehmen hat.

Die größten Rahmen der Revisionsarbeit sind die Prozesse „Prüfungsplanung“, „Prüfungsdurchführung“ und „Follow-up“ sowie die „Projektbegleitung“, zu deren Abarbeitung Checklisten jeweils gut geeignet sind.

Ansprechpartner für weiterführende Informationen ist die Autorin des Artikels oder der DIIR.

1
2(current)

Meistgelesene beiträge

Neueste beiträge

Dynamische Entwicklungen in Compliance und Corporate Governance

25.04.2024
Mit dem richtigen Tool zum Erfolg: Wie Unternehmen Compliance mit KI optimieren

24.04.2024
Krisenpräventionsumfrage 2023 zeigt die Herausforderungen des Krisenmanagements

17.04.2024
Compliance als Grundstein der Unternehmenskultur

10.04.2024
DIHK-Umfrage sieht Datenschutzgrundverordnung als Bürokratietreiber

03.04.2024
Europaweite Datenschutzaktion zum Auskunftsrecht der Datenschutzgrundverordnung

27.03.2024
Datenschutzbehörden führen automatisierte Prüfungen von Cookie-Bannern durch

26.03.2024
Mitarbeiterkontrollen durch den Arbeitgeber – Was ist unter welchen Voraussetzungen erlaubt?

12.03.2024
Wann muss eine öffentliche Ausschreibung erfolgen?

05.03.2024
Wie Unternehmen mit dem richtigen Tool ihr Potenzial maximieren

21.02.2024