Interne Revision

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche

Interne Revision (auch Innenrevision; beides oftmals abgekürzt mit „IR“) ist eine vom Tagesgeschäft unabhängige, objektive Prüfungs- und Beratungsaktivität in einer Organisation. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele im Wege eines systematischen und disziplinierten Ansatzes der Bewertung und Verbesserung der Effektivität von Risikomanagement, internem Kontrollumfeld und Unternehmensführung. Ihr Zweck ist die kontinuierliche Verbesserung der Geschäftsprozesse und die Schaffung von Mehrwert für die Organisation.

Die Interne Revision unterstützt die Geschäftsführung (das sind in der Regel Aufsichtsrat, Vorstand oder Verwaltungsrat) in ihrer Kontroll-, Steuerungs- und Lenkungsfunktion im Wege der Durchführung unabhängiger, interner Prüfungsmandate. Sie ist normalerweise direkt der Geschäftsführung der Organisation unterstellt und daher zumeist eine Stabsstelle.

Das heutige Verständnis der Internen Revision geht überwiegend aus dem angelsächsischen Begriff des „Internal Audit“ hervor. Eine solche Unternehmensfunktion etablierte sich in den 30er und 40er Jahren des 20. Jahrhunderts, vor dem Hintergrund der Entstehung von (für die Kontrollgremien zunehmend unübersichtlichen) Großunternehmen, sowie der im Zweiten Weltkrieg entstandenen Notwendigkeit, komplexe und ressourcenaufwendige Projekte bzw. Unternehmungen zeitnah und detailliert von unabhängiger Seite zu evaluieren bzw. kritisch zu begleiten. Das Internal Audit wird historisch parallel zum Aufkommen des modernen Beratungsbegriffs (engl. „Management Consulting“) eingeordnet, wobei die Versicherungsfunktion („Assurance“) gegenüber der Beratungsfunktion („Consulting“) im Vordergrund steht.

Aufgaben, kodifizierte Normen und Anforderungen[Bearbeiten]

Die Interne Revision soll folgende Primärfunktionen erfüllen:

  • Vertrauensfunktion: Versicherung für die organisatorischen Entscheider, dass Prozesse ordnungsgemäß und regeltreu ablaufen (zum Beispiel Rechtsnormen, Grundsätze ordnungsmäßiger Buchführung eingehalten werden)
  • Präventivfunktion: Erhöhung des Entdeckungsrisikos für Personen, die dolose Handlungen ausführen (wollen)
  • Informationsfunktion: Schaffung von Transparenz über Prozesse und Organisationseinheiten zur Unterstützung der Entscheidungsfindung der Organisationsleitung.

Gesetzliche Anforderungen an die Einrichtung einer Internen Revision ergeben sich in Deutschland aus dem Aktiengesetz (§ 91 Abs. 2 AktG). Für einzelne Industriezweige gibt es weitere Anforderungen: Aus dem Kreditwesengesetz (§ 25a Abs. 1 Nr. 1 KWG) für Kreditinstitute und aus dem Versicherungsaufsichtsgesetz (§ 64a Abs. 1 VAG) für Versicherungsunternehmen ergeben sich die Anforderungen an die Einrichtung einer derartigen Institution unabhängig von ihrer Rechtsform. Darüber hinaus werden Funktion und Aufgaben der Internen Revision in den von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) herausgegebenen Mindestanforderungen an das Risikomanagement – in separaten Vorschriften für Banken, für Versicherungen und für Investmentgesellschaften – genauer beschrieben.

Die gezielte Überwachung der Abläufe und Strukturen einer Organisation mit Blick auf das sachgerechte Verfolgen ihrer – legitimen – Ziele ist im Interesse einer Vielzahl von Interessengruppen, die man unter dem Oberbegriff „Stakeholder“ zusammenfasst: Kapitalgeber, Kunden, Mitarbeiter und Öffentlichkeit.

Der Internen Revision kommt hierbei die Aufgabe zu, Vorgänge auf Ordnungsmäßigkeit zu prüfen und Ineffektivität, Unregelmäßigkeiten (Buchungsfehler, Rechtsfolgefehler) oder Manipulationen (zum Beispiel Veruntreuungen) aufzudecken (englisch „fraud detection“). Sie bildet somit – neben dem Controlling, welchem vornehmlich die Aufgabe der Verarbeitung und Validierung von Steuerungsinformationen zukommt – einen wesentlichen Teil des übergeordneten Steuerungs- und Überwachungssystems einer Organisation.

Neben der Prüfung der thematisierten Ordnungsmäßigkeit werden mittels Prüfung von Geschäftsprozessen, -programmen und -projekten auch die Umsetzung und Effizienz strategischer Initiativen hinterfragt. Der modernen Internen Revision kommt zudem als „Change Agent“ die Aufgabe zu, Veränderungsprozesse im Unternehmen einzuleiten und zunehmend (neben den klassischen Prüfungsmandaten) auch Beratungsmandate für die einzelnen Fachabteilungen wahrzunehmen.

Prüfung, Kontrolle und Überwachung – Begriffsklärungen[Bearbeiten]

Unter Prüfung versteht man zunächst jeden Soll-Ist-Vergleich. Der Ausführende einer Prüfung steht jedoch – im Unterschied zur Kontrolle – „außerhalb“ der zu beurteilenden Organisation (also wie: Wirtschaftsprüfer, Steuerprüfer, Sozialversicherungsprüfer und interner Revisor).

Er untersucht organisatorische Sachverhalte (Ist) (beispielsweise einen Prozess oder eine Vorgehensweise) daraufhin, ob diese mit den Vorgaben (Soll) übereinstimmen. Das Soll ist meist eine interne Regelung (zum Beispiel Richtlinie, Handbuch, Arbeitsanweisung oder Betriebsvorschrift) oder ein Gesetz. Bei einer Differenz zwischen Ist und Soll (Fehler, Feststellung, Abweichung, Mangel) werden vom Prüfer Vorschläge für eine Verbesserung erwartet. Die Prüfung hat zwar primär keinen beratenden Charakter, jedoch können sinnvolle Vorschläge für die Verbesserung des Ist und ggf. des Soll (zum Beispiel Einschränkung von Abweichungsanalysen, die mehr kosten als sie bringen, korrekte Auslegung von Gesetzesvorgaben oder Einführung technisch verbesserter Überwachungsstandards) von großem Nutzen sein.

Kontrollen sind organisatorisch verankerte Soll-Ist-Vergleiche, die (regelmäßig) von kompetenten Mitarbeitern vorgenommen werden, und zwar unabhängig von ihrer Stellung in bzw. zum jeweiligen Teilbereich der Organisation. Eigenverantwortlich vom Personal an der Produktionslinie vorgenommene Kontrollen gehören ebenso dazu, wie solche, die – gemäß dem Prinzip der internen Kontrolle – von Personen aus anderen Bereichen (Qualitätskontrolle, Verwaltung) abgewickelt werden. Auch hier ist es bei Abweichungen sinnvoll, unmittelbar im Anschluss Steuerungs- und Anpassungshandlungen vorzusehen. Maschinelle Kontrollmaßnahmen sind ebenfalls denkbar.

Die hier zu setzenden Kontrollen und Maßnahmen sind je nach ihrer Zielsetzung recht unterschiedlich. Ein wichtiger zu kontrollierender Bereich in vielen Branchen ist der Einkaufssektor. Je nach Größe des Vorhabens sind genaue Auflagen bezüglich der Einholung von Gegenofferten einzuhalten, bis hin zur genauen Verlautbarung am vorgeschriebenen Ort zwecks EU-weiter Einladung aller potentiellen Bieter.

Die Kontrollen werden gemeinsam mit Abläufen und Strukturen primär im Organisationshandbuch festgehalten. Kontrollen und damit im Zusammenhang stehende Korrektur- und Steuerungsmaßnahmen (Control) sind immer nur in Verbindung mit den Aktivitäten, die sie absichern sollen, sinnvoll.

Kontrolle – ihre Einrichtung und Abwicklung – ist aber auch seit Erich Gutenberg ein allgemein gültiger Begriff für die diesbezügliche Verpflichtung des Managements unter Anwendung sinnvollen Delegierens. Dieses geht so weit, dass die Prüfung der Existenz und Wirksamkeit dieser Kontrollen an eine entsprechend autorisierte Interne Revision übertragen werden kann.

Für Überwachung gibt es keine allgemein akzeptierte Definition. Überwachung ist prozessunabhängig, zumeist extern; dies hat sie mit der Prüfung gemeinsam. Sie kann einzelne Bereiche oder die ganze Organisation umfassen (beispielsweise Aufsichtsräte, Gewerbeinspektorate, Bankenaufsicht oder Audit Committees). Diese Institutionen sollen primär großflächig das Erkennen von Krisen erleichtern.

Für die Gestaltung und Bewertung interner Kontrollsysteme werden oft Kontrollmodelle wie COSO und CobiT genutzt.

Interne und externe Revision[Bearbeiten]

Interne Revision[Bearbeiten]

Die Interne Revision ist eine direkt der obersten Leitung unterstellte unabhängig agierende Stabsstelle für organisationsinterne Prüfungen und einschlägige Beratertätigkeit.

Ihre Aufgabe besteht sowohl in der Bestätigung von Sachverhalten („Assurance“ bzw. „re-assurance“ in Verbindung mit dem Internen Kontrollsystem (IKS)) als auch in einschlägiger Beratung („Consulting“) in Organisationsfragen.

Die Interne Revision trägt zur Zielrealisierung von Organisationen bei, indem sie systematisch mittels anerkannter Verfahren die Unternehmensprozesse und die damit verbundenen Zielsetzungen (Control Objectives), das Risikomanagement, die Steuerung und Überwachung („Governance“) kritisch durchleuchtet und weiterentwickeln hilft. Die Arbeit der Internen Revision soll den Wert der Organisation als Ganzes steigern (Aussage des IIA); sie kann „individuelle Mehrwerte oder Wertschöpfung“ schaffen.

Im Normalfall kann und wird eine Interne Revisionsabteilung nicht Jahr für Jahr das gesamte Unternehmen prüfen. Es sollen jedoch über einen mehrjährigen, vorweg definierten Prüfzyklus alle Bereiche einmal abgedeckt werden. Bei der Teilung der Organisation in Prüfbereiche ist darauf zu achten, dass an den Schnittstellen keine „grauen“ ungeprüften Zonen entstehen. Für die prozessorientierte Festlegung sind die funktional aufgefächerten Unternehmensziele („Control Objectives“) sowie die bestehenden Organisationsbereiche (zum Beispiel Einkauf, Verkauf, Marketing und Produktion) heranzuziehen.

Eine weitergehende Definition und Beschreibung enthalten die vom Institute of Internal Auditors (IIA) und den nationalen Fachverbänden veröffentlichten Standards der beruflichen Praxis der internen Revision.

Die Interne Revision kann eine interne Abteilung sein oder von außen eingekauft werden (Outsourcing). Möglich sind auch Mischformen zwischen beidem, die sogenannten Cosourcing- oder Partneringmodelle.

Die Arbeit der Internen Revision ist in den Standards für die berufliche Praxis der Internen Revision definiert. Zertifizierte interne Revisoren (Certified Internal Auditor) unterwerfen sich einem Ethikkodex und den international anerkannten Berufsstandards des Institute of Internal Auditors (IIA), dem nationale Verbände wie DIIR e. V. (ehemals IIR e. V.), SVIR und IIA Austria angehören. Die europäischen Fachverbände für interne Revision haben sich in der European Confederation of Institutes of Internal Auditing (ECIIA) organisiert. Das Institute of Internal Auditors (IIA) hat die Berufsstandards (Professional Practices Framework) überarbeitet und setzte die neue Version per 1. Januar 2009 unter dem Titel „International Professional Practices Framework (IPPF)“ in Kraft.

Externe Revision[Bearbeiten]

Bei der externen Revision handelt es sich hingegen um ein unternehmensexternes Prüfungsorgan, das vor allem (aber nicht nur) in gesetzlich vorgeschriebenem Auftrag den Jahresabschluss mit dem Ziel des Aktionärs- und/oder Gläubigerschutzes prüft. Neben von der Unternehmensleitung bzw. von der Hauptversammlung bestellten Prüfungsorganen (Wirtschaftsprüfer, Steuer- bzw. Unternehmensberater) fallen hierunter auch durch öffentliche Behörden bestellte Prüfer, die je nach Branche und Fall variieren können (für die Bankenbranche wären beispielsweise Prüfer der BaFin oder Bundesbank zu nennen). Insbesondere vor dem Hintergrund der gestiegenen Anforderungen an die Recherchefähigkeit und Aufbereitung steuerlich relevanter Daten erfährt die Revision eine Akzentuierung als Präventionsinstrument.

Revisionselemente[Bearbeiten]

Revisionsfelder[Bearbeiten]

Einsatzfelder der internen Revision sind vielfältig und können wesentliche Informationen für die Außenbeziehung der Unternehmung liefern. Die klassische Unterteilung der Revisionstypen ist die folgende:

  • Compliance Audit
  • Financial Audit
  • Kreditrevision
  • Management Audit
  • Operational Audit
  • Systemprüfungen.

Compliance Audits sind die inhaltlichen Aufbereitungen der umwelt- und sicherheitsrechtlichen Anforderungen an das Unternehmen sowie Auditierung der Einhaltung.

Financial Audits sind Prüfungen im Rechnungswesen einer Organisation (Buchführung) daraufhin, ob die Rechnungslegungsgrundsätze, zum Beispiel nach dem Handelsgesetzbuch oder nach steuerlichen Gesetzen ordnungsgemäß sind. Die Organisation schützt sich damit gegen Fehler, die zu Problemen mit den Finanzbehörden oder der interessierten Öffentlichkeit führen könnten.

Kreditrevision bezeichnet die Einschätzung des Kreditnehmers bezüglich des mit einer Kreditgewährung verbundenen Risikos und seiner Kreditwürdigkeit. Hierzu werden sogenannte Risikoklassen gebildet. Die Einschätzung durch den Revisor wird unabhängig von der Kreditbewilligung durchgeführt.

Management Audits verfolgen speziell das Ziel, die Qualität der Geschäftsführung in den der obersten Leitung nachgeordneten Führungsebenen zu prüfen. Hierbei wird untersucht, inwieweit diese ihre definierten Ziele erreichen: Paradebeispiel ist die Prüfung von Tochtergesellschaften, bei der das „Briefing“ der Internen Revision unter maßgeblicher Mitsprache der Konzernleitung erfolgt. Dieser Ansatz setzt Erfahrung und Qualifikation der Prüfer voraus, weil das Ergebnis einer solchen Prüfung aus vielen komplexen Sachverhalten resultiert: Auch für Entscheidungen lokaler Führungsebenen müssen Ermessenspielräume konzidiert werden, was vom Prüfer ebenfalls eine kritische, eigenverantwortliche Überlegung des „Für und Wider“ verlangt. Üblicherweise wird ein Management Audit von einem externen Berater-Team durchgeführt; zentrale Leistungskriterien sind hier Benchmarks vom Markt (aus dem Executive Search) sowie die Objektivität der Berater (siehe hierzu Management Audit).

Operational Audits sind prozessorientierte Prüfungen bestimmter Kernprozesse in einer Organisation. In einem Unternehmen könnten hierzu beispielsweise Einkauf, Vertrieb und Personal zählen. In einer gemeinnützigen Organisation könnten die Mitgliederverwaltung und Fundraising hierunter fallen. Ziel ist die Verbesserung der Prozesse durch Verringerung von Kosten oder der Verminderung von Risiken für dolose Handlungen (Wirtschaftskriminalität).

Die definierten Typen sind nicht überschneidungsfrei. Die Interne Revision hat sich ausgehend von den Financial Audits über Operational Audits bis hin zu Management Audits fortentwickelt. Eine moderne Interne Revision sollte alle diese Typen abdecken. Diese Dreiteilung deckt auch bestimmte Arten von Prüfungen mit ab, die sich hinsichtlich der Methodik und des Umfangs von typischen Revisionsprüfungen unterscheiden, beispielsweise Untersuchungen wirtschaftskrimineller Handlungen.

Systemprüfungen dienen dazu, ein bestehendes System dahingehend zu prüfen, ob die Anweisungen umgesetzt wurden bzw. ob sie – meist in Form von Gesetzen – wirklich zweckdienlich sind. Beispiele sind die verschiedenen Richtlinien aus den Verlautbarung über Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute, die zu Anweisungen geführt haben, aufgrund derer Prüfungen auf die Erreichung des Richtlinienzweckes vorgenommen werden.

Systemprüfungen (englisch system audits) sind aber auch eine synonyme Bezeichnung von Operational Audits – eben unter besonderer Hervorhebung, dass nicht nur Ergebnisse (wie im Financial Audit), sondern Strukturen und Abläufe nach den bekannten Aspekten geprüft werden.

Revisionsablauf[Bearbeiten]

Rahmenbedingungen für die Arbeit der Internen Revision sowohl bei Prüfungs- als auch Beratungsaufträgen sind in den Standards (DE) für die berufliche Praxis der Internen Revision (IIA Standards, IIAS EN) für zertifizierte oder den Fachverbänden angehörende interne Revisoren verbindlich geregelt. Die sogenannten praktischen Ratschläge, Teil des Regelwerks für die berufliche Praxis der Internen Revision (IIA Professional Practices Framework EN), geben darüber hinaus detailliertere, unverbindliche Hilfestellungen.

Für die reale Arbeit in der Internen Revision sind die genannten Richtlinien aber eher nur eine Hilfe für die Ausrichtung, nicht aber für die praktische Durchführung. Als Qualifikation sind – zumeist schon beim Einstieg – gute Kenntnisse der allgemeinen Betriebswirtschaftslehre, Controlling (im weitesten Sinn), Wirkungsweise von Datenbanksystemen, überdurchschnittliche Sprachlogik (Modelldenken) und Kenntnisse der englischen Wirtschaftssprache vonnöten. Dazu ist bei vielen Prüfungen auch die Beachtung der entsprechenden (steuer- und handels)rechtlichen Vorschriften erforderlich.

Ein Prüfungsprojekt läuft auf der Grundlage definierter Phasen ab:

  1. Prüfungsplanung (IIAS 2000)
  2. Vorerhebung (IIAS 2200)
  3. Sammlung und Auswertung von Informationen (Prüfung im engeren Sinne; IIAS 2100, 2300)
  4. Berichterstellung und Berichtsabstimmung (IIAS 2400)
  5. Nachschau (IIAS 2500).

Alle von der Revision durchgeführten Prüfungen dienen nicht zuletzt dem Ziel, Handlungsbedarf aufzuzeigen und Grundlagen für Entscheidungen zu liefern. Diese trifft ein dazu Befugter im Idealfall anhand von soliden und vollständigen Informationen. Dabei mitzuhelfen, diese Transparenz zu schaffen bzw. zu erhalten ist Aufgabe der internen Revision.

Dies betrifft sowohl die an nachgeordnete Ebenen delegierten Entscheidungen als auch die zuletzt nicht mehr delegierbare Verantwortung der obersten Leitung. Bei der Delegierung helfen handelsrechtliche Vorschriften bezüglich der Rechte von Geschäftsführern, Prokuristen und Handlungsbevollmächtigten.

Entscheidungen der obersten Geschäftsleitung sind vor allem strategische und operationale „Wenn-Dann-Entscheidungen“ mit langfristigen und – kaum reversiblen  – finanziellen Auswirkungen für ein Gesamtunternehmen.

Revisionsprinzipien[Bearbeiten]

  • Wirtschaftlichkeit: Umfang und Häufigkeit der Revision sind nach dem Prinzip der Wirtschaftlichkeit festzusetzen. Generell gilt: Die Revision muss sich zumindest aus der Sicht der meisten Chefetagen, auch als Task Force „bezahlt“ machen. Der Nutzen (Ertrag) durch Revisionsaktivitäten sollte deren Kosten übersteigen.

Es darf aber nicht übersehen werden, dass die schadensabwendende Tätigkeit der IR – wie sie auch von Gesetzgebern gefordert wird – kaum in Geld beziffert werden kann. Wird diese Kosten-/Nutzenrechnung „brutal“ auf das jeweilige Jahr bezogen, kann eine IR aufgrund unvereinbarer Zielsetzungen unter argen Druck geraten.

  • Materiality (Wesentlichkeit): Revisionsbereiche und die Kriterien für die Auswahl der zu untersuchenden Sachverhalte sind nach der Wesentlichkeit und Dringlichkeit für die Unternehmensführung zu bestimmen. Die Revision sollte also neben Kassen oder Inventuren vornehmlich risikobehaftete Bereiche oder Prozesse des Unternehmens prüfen, was wiederum den Rückgriff auf die Ergebnisse der Risikoanalyse des Unternehmens voraussetzt.
  • Sorgfalt (Vollständigkeit, Objektivität, Urteilsfähigkeit, Urteilsfreiheit): Die interne Revision ist einer strengen Sorgfalts- und Objektivitätspflicht unterzogen. Dies setzt auch eine Unabhängigkeit von Weisungsbefugnissen voraus.

Organisatorische Einbindung[Bearbeiten]

Die organisatorische Einbindung der internen Revision wird in regulierten Branchen (z. B. Finanzdienstleister) gesetzlich oder durch Verordnung (z. B. MaRisk) festgelegt. Für nicht regulierte Branchen geben die OECD Corporate Governance Principles 2004 (Annotations zu V.D.7 Aufgaben des Boards: An das Board und/oder ein Audit Committee berichtende Interne Revision) sowie ähnlich der Aktionsplan der EU-Kommission zur Corporate Governance (COM (2003) 248 fin sub 3.1.3) Anhaltspunkte.

Im Normalfall ist die interne Revision direkt dem Vorstand bzw. der Geschäftsführung unterstellt. Besteht diese aus mehreren Amtsträgern, trägt der Vorsitzende die Verantwortung. Nur so kann sie unabhängig von ggf. zu prüfenden Bereichen agieren. Eine automatische Redepflicht gegenüber anderen Stakeholdern oder Organen, wie dem Aufsichtsrat besteht hingegen nicht bzw. nur in Sonderfällen. Dies wäre nur dann gegeben, wenn der Aufsichtsrat disziplinarischer Vorgesetzter der internen Revision wäre.

Unternehmensextern sind öffentlich bestellte Wirtschaftsprüfer und Wirtschaftsprüfungsgesellschaften, vereidigte Buchprüfer, Steuerberater, Sachverständige und Berater je nach Auftrag (Prüfung im Rahmen der gesetzlichen Vorschriften versus Prüfung im Rahmen des Loss Prevention).

Literatur[Bearbeiten]

  • Andre Heerlein: Einflussfaktoren auf die Kapazität der Internen Revision: Zur Gestaltung einer effektiven Revisionsfunktion. Berlin 2009, ISBN 978-3834920218.
  • T. F. Ruud, Ph. Friebe, D. Schmitz: Internationales Rahmenwerk der beruflichen Praxis des internen Audits. In: Der Schweizer Treuhänder, Heft 9/2009, S. 647–652.
  • The Institute of Internal Auditors: The International Professional Practices Framework (IPPF). 2009, ISBN 978-0-89413-639-9.

Weblinks[Bearbeiten]

Siehe auch[Bearbeiten]