Internationale Grundlagen für die berufliche Praxis der Internen Revision

(1)

Internationale Grundlagen

für die berufliche Praxis der Internen Revision

Praxisleitfaden:

Nachweis der Grundprinzipien für die berufli- che Praxis der Internen Revision

Enabler und wesentliche Indikatoren

Veröffentlicht am 13. März 2020 (Version 1), Frankfurt am Main

(2)

1

Über das IPPF

Die Internationalen Grundlagen für die berufliche Praxis (IPPF®) sind der konzeptionelle Rah- men für die verbindlichen Leitlinien, die vom IIA für Interne Revisoren weltweit herausgegeben werden.

Verbindliche Leitlinien werden im Rahmen eines festgelegten Due Diligence-Prozesses entwickelt, der eine öffentliche Konsultationsphase für Interessierte beinhaltet. Die verbindlichen Elemente des IPPF sind:

 Grundprinzipien für die berufliche Pra- xis der Internen Revision.

 Definition der Internen Revision.

 Ethikkodex.

 Internationale Standards für die berufli- che Praxis der Internen Revision.

Empfohlene Leitlinien umfassen Implementie-

rungs- und ergänzende Leitlinien. Die Implementierungsleitlinien sollen Internen Revisoren helfen zu verstehen, wie die verbindlichen Leitlinien anzuwenden und einzuhalten sind.

Informationen zu ergänzenden Leitlinien

Die ergänzenden Leitlinien liefern zusätzliche Informationen, Beratung und Best Practices für die Bereit- stellung von Leistungen der Internen Revision. Sie unterstützen die Standards, indem sie aktuelle Berei- che und branchenspezifische Fragen ausführlicher behandeln als die Implementierungsleitlinien. Sie werden durch das IIA in einem formellen Überprüfungs- und Genehmigungsprozess bestätigt.

Praxisleitfäden

Praxisleitfäden, eine Art der ergänzenden Leitlinien, bieten detaillierte Ansätze, schrittweise Prozesse und Beispiele, die alle Internen Revisoren unterstützen sollen. Praxisleitfäden fokussieren auf:

 Finanzdienstleistungen.

 Öffentlicher Sektor.

 Informationstechnologie (GTAG®).

Eine Übersicht über die vom IIA bereitgestellten maßgeblichen Leitlinien finden Sie unter www.glo- balia.org/standards-guidance.

(3)

2

Inhalt

Zusammenfassung ... 3

Einführung ... 3

Geschäftliche Bedeutung: Risiken und Chancen ... 4

Grundprinzip 1: Zeigt Integrität. ... 5

Grundprinzip 2: Zeigt Sachkunde und berufsübliche Sorgfalt. ... 7

Grundprinzip 3: Ist objektiv und frei von ungebührlichem Einfluss (unabhängig). ... 11

Grundprinzip 4: Richtet sich an Strategien, Zielen und Risiken der Organisation aus. ... 14

Grundprinzip 5: Ist geeignet positioniert und mit angemessenen Mitteln ausgestattet... 16

Grundprinzip 6: Zeigt Qualität und kontinuierliche Verbesserung. ... 19

Grundprinzip 7: Kommuniziert wirksam. ... 21

Grundprinzip 8: Erbringt risikoorientierte Prüfungsleistungen... 24

Grundprinzip 9: Ist aufschlussreich, proaktiv und zukunftsorientiert. ... 26

Grundprinzip 10: Fördert organisatorische Verbesserungen. ... 29

Anhang A. Relevante IIA-Leitlinien ... 32

Anhang B. Glossar ... 33

Anhang C. Beurteilungs- und Kommunikationstool für die Grundprinzipien ... 35

Danksagungen ... 41

(4)

3

Zusammenfassung

Die Grundprinzipien des IIA für die berufliche Praxis der Inter- nen Revision sind Teil der verbindlichen Leitlinien der Interna- tionalen Grundlagen für die die berufliche Praxis (IPPF). Durch den Nachweis der der Grundprinzipien werden Wirksamkeit, Glaubwürdigkeit und Wert der Internen Revision innerhalb

der Governance-Struktur der Organisation bestätigt. Durch die Erreichung der Grundprinzipien wird die Interne Revision auch die Mission der Internen Revision erreichen: „Den Wert einer Organisation durch risikoorientierte und objektive Prüfung, Beratung und Einblicke zu erhöhen und zu schützen.“

Dieser Praxisleitfaden erläutert die in den Grundprinzipien enthaltenen Konzepte und beschreibt die Enabler oder spezifischen Möglichkeiten sie zu erreichen und nachzuweisen. Der Leitfaden identifiziert auch messbare wesentliche Indikatoren, die es der Internen Revision ermöglichen, den Nachweis der Grundprinzipien zu definieren, zu messen, zu beurteilen und zu überwachen. Der Revisionsleiter (CAE) sollte diese Enabler und wesentlichen Indikatoren verwenden, um die Methode zum Nachweis der Grundprinzipien so anzupassen, dass sie für seine Interne Revision am besten geeignet ist. Dieser individuell angepasste Ansatz kann als Grundlage für eine Selbstbeurteilung verwendet werden, die das Qualitätssicherungs- und -verbesserungsprogramm (QSVP) der Internen Revision ergänzen und eine leicht verständliche Kommunikation auf hohem Niveau über den Wert und die Wirksamkeit der Inter- nen Revision für wichtige Interessengruppen wie Senior Management und Board ermöglichen kann.

Einführung

Die Grundprinzipien für die berufliche Praxis der Internen Revision des IIA kennzeichnen insgesamt be- trachtet die Wirksamkeit der Internen Revision. In diesem Praxisleitfaden wird erläutert, wie das Einhal- ten der verbindlichen Leitlinien des IPPF die Umsetzung der umfassenderen Grundprinzipien unter- stützt.

Jedes Grundprinzip wird in einem eigenen Abschnitt behandelt, in dem die Folgen der Nichterfüllung des Prinzips beschrieben und praktische Anwendungen der IPPF-Leitlinien angegeben werden, die es er- möglichen, das Prinzip nachzuweisen. In jedem Abschnitt finden Sie in einer praktischen Tabelle Bei- spiele für die Möglichkeiten, das Prinzip zu erreichen, sowie für wesentliche Indikatoren, die die Beur- teilung des CAE unterstützen, ob das Prinzip nachgewiesen wurde. Diese Tabellen bieten zwar zahlrei- che Möglichkeiten, doch sollte der Ansatz zur Beurteilung, ob die Interne Revision die Grundprinzipien nachweisen kann individuell angepasst werden und die Größe und den Reifegrad der Internen Revision berücksichtigen.

Die Grundprinzipien geben in ihrer Prägnanz einen schnellen und leicht verständlichen Überblick über die Rolle, den Zweck und die Wirksamkeitskriterien der Internen Revision, die die Kommunikation des CAE mit Senior Management und Board erleichtern, oder genauer gesagt, dem Vorsitzenden des Audit Committee. Diese Art der Selbstbeurteilung und Kommunikation fördert den Wertbeitrag der Internen Revision bei der Erreichung ihrer Mission. Anhang C enthält ein Beispiel für ein Beurteilung- und Kom- munikationstool.

Hinweis: Fettgedruckte Be- griffe werden im Glossar in Anhang B definiert.

(5)

4

Geschäftliche Bedeutung: Risiken und Chancen

Der Nachweis der Grundprinzipien ist für die Revisionskultur von wesentlicher Bedeutung. So wie die Kultur eines Unternehmens den Ton für seine Governance-, Risikomanagement- und Kontrollumfeld bestimmt, sollen die Grundprinzipien und die übrigen verbindlichen Leitlinien des IPPF die Interne Revision anleiten, ihre Mission wirksam zu erfüllen, den Wert einer Organisation durch risikoorientierte und objektive Prüfung, Beratung und Einblicke zu erhöhen und zu schützen. Neben der Einhaltung des IIA- Ethikkodex und der Internationalen Standards für die berufliche Praxis der Internen Revision sollte das Ziel der Internen Revision die kontinuierliche Verbesserung ihrer Qualität durch den Nachweis der Grundprinzipien einschließen.

Wenn die Interne Revision die Grundprinzipien nicht nachweist, verliert sie die Glaubwürdigkeit als Trus- ted Advisor und Lieferant von Prüfungssicherheit an ihre Interessengruppen. Das Versäumnis der Um- setzung eines der Prinzipien gefährdet den Glauben und das Vertrauen der Beteiligten in die Ergebnisse und Schlussfolgerungen der Internen Revision. Letztlich riskieren unwirksame Interne Revisoren, irrelevant zu werden und ihre Position zu verlieren.

(6)

5

Grundprinzip 1: Zeigt Integrität.

Integrität ist nicht nur das erste Grundprinzip, sondern auch einer der vier Grundsätze des IIA-Ethikkodex. Zu- sammen mit den zugehörigen IPPF-Leitlinien legen die Verhaltensregeln des Ethikkodex für das Integri- tätsprinzip die Mindestanforderungen für das Verhal- ten und die Kriterien fest, anhand derer Integrität gemessen werden kann. Daher sollte der CAE sich in der Geschäftsordnung der Internen Revision auf den IIA- Ethikkodex beziehen und dessen Grundsätze und Ver- haltensregeln in Richtlinien, Schulungen und das QSVP der Internen Revision integrieren.

Integrität ist die Grundlage der anderen Grundsätze im Ethikkodex: Objektivität, Vertraulichkeit und Fachkom-

petenz hängen von der Integrität ab. Interne Revisoren müssen die Verhaltensregeln zur Integrität im Ethikkodex befolgen. Diese Regeln verlangen, dass Interne Revisoren Gesetze beachten und nicht an illegalen Aktivitäten oder an Handlungen beteiligt sind, die den Berufsstand diskreditieren. Beispiele für potenziell diskreditierende Handlungen sind in der Implementierungsleitlinie des IIA zum Grundsatz der Integrität im Ethikkodex beschrieben.

Die Regeln des Ethikkodex verlangen auch, dass Interne Revisoren ihre Arbeit ehrlich, sorgfältig und mit Verantwortung ausführen und zu den legitimen und ethischen Zielen der Organisation beitragen. Dies wird erreicht, wenn sie den systematischen und zielgerichteten Ansatz in den Standards und den Richt- linien und Verfahren des CAE sowie alle von der Organisation festgelegten Ethikrichtlinien oder Ethik- kodexe befolgen.

Eine der wichtigsten Methoden, wie Interne Revisoren Integrität nachweisen, ist die Berichterstattung über ihre Prüfungsurteile, Schlussfolgerungen und Empfehlungen. Integrität bedeutet einfach, das Rich- tige zu tun und ehrliche, objektive Prüfungssicherheit und Beratung zu bieten, selbst wenn dies unbe- quem oder schwierig ist und die Vermeidung einfacher sein könnte (z. B. Minimierung von Beanstan- dungen oder Auslassen von Beanstandungen aus einem Prüfungsbericht).

Folgen, wenn Grundprinzip 1 nicht nachgewiesen wird: Wenn Integrität nicht nachgewiesen wird, ver- liert die Interne Revision das in sie gesetzte Vertrauen und folglich ihre Glaubwürdigkeit, unabhängige und objektive Prüfungssicherheit und Beratung zu liefern. Integrität ist also untrennbar mit dem zweiten Grundprinzip – zeigt Sachkunde und berufsübliche Sorgfalt – und dem dritten Grundprinzip – ist objektiv und frei von ungebührlichem Einfluss (unabhängig) – verbunden. Um ihre Aufgaben wirksam zu erfüllen und ihre Rolle als vertrauenswürdige Quelle für Prüfungssicherheit und Beratung wahrzunehmen, muss die Interne Revision diese miteinander verflochtenen Grundsätze verinnerlichen, die auch im IIA-Ethik- kodex enthalten sind. Eine direkte Folge mangelnder Integrität ist die Schwächung des Vertrauens, des Standings in der Organisation und der Glaubwürdigkeit der Funktion und der darin tätigen Personen, was es der Internen Revision unmöglich macht, der Organisation einen Mehrwert zu liefern. In einer solchen Situation wird die Organisation wahrscheinlich alternative Formen der Prüfungssicherheit su- chen.

In Abbildung 1 sind Beispiele für Enabler in der ersten Spalte aufgeführt, die Maßnahmen des CAE und der Internen Revisoren sind, um das Grundprinzip 1 (Zeigt Integrität) nachzuweisen. Die zweite Spalte

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz: Integrität Standards Serie:

1000 – Aufgabenstellung, Befugnisse und Verantwortung

1300 - Programm zur Qualitätssiche- rung und -verbesserung 2000 – Leitung der Internen Revision

(7)

6 enthält Beispiele wesentlicher Indikatoren oder messbare Möglichkeiten, um zu ermitteln, wie gut die Interne Revision das Grundprinzip nachweisen kann.

Abbildung 1. Beispiele für Grundprinzip 1: Zeigt Integrität.

Enabler Wesentliche Indikatoren

Was sollen wir tun, um das Prinzip umzusetzen? Woher wissen wir, dass wir erfolgreich waren?

 Der IIA-Ethikkodex wird in der Geschäftsordnung der Internen Revision genannt und ist in das QSVP inte- griert.

 Die internen Richtlinien und/oder die Schulungen umfassen ethische Szenarien/Fallstudien, die speziell für Interne Revisoren relevant sind.

 Der CAE hat die Interne Revision über ihre ethischen Verantwortlichkeiten informiert.

 Schulungen zum IIA-Ethikkodex und zum Verhaltens- /Ethikkodex der Organisation finden statt.

 Interne Revisoren geben jährlich eine Bestätigung der Einhaltung des IIA-Ethikkodex und des Verhaltens- /Ethikkodex der Organisation ab.

 Keine Fälle von Disziplinarmaßnahmen gegen Interne Revisoren bezogen auf Verletzungen des IIA- Ethikko- dex oder den Verhaltens-/Ethikkodex der Organisa- tion.

 Ergebnisse von Mitarbeiterumfragen in der Internen Revision zeigen die Meinung der Mitarbeiter, dass die Abteilung mit Integrität arbeitet und dass aufgekom- mene Bedenken angemessen behandelt werden.

 Feedback aus Umfragen oder Interviews in den zu prüfenden Bereichen zeigen die Integrität der Team- mitglieder.

 Die Interne Revision hat ethikbezogene Weiterbil- dungsanforderungen erfüllt.

(8)

7

Grundprinzip 2: Zeigt Sachkunde und berufsübliche Sorg- falt.

Der Ethikkodex und mehrere Standards legen fest, dass Interne Revisoren nur Leistungen erbringen dür- fen, für die sie über die erforderlichen Kenntnisse, Fä- higkeiten und Erfahrungen verfügen, und dass sie ihre Kompetenz sowie die Wirksamkeit und Qualität ihrer Leistungen kontinuierlich verbessern müssen. Meh- rere Standards und Implementierungsleitfäden erläu- tern die damit verbundenen Erwartungen an Interne Revisoren, die Interne Revision und den CAE.

Sachkunde

Der CAE unterstützt den Nachweis der Sachkunde und der berufsüblichen Sorgfalt, indem er die Mitarbeiter

und andere Ressourcen ordnungsgemäß zuweist, um den Revisionsplan umzusetzen und sicherzustellen, dass die Aufträge ausreichend besetzt und überwacht werden. Um dies zu erreichen, müssen die Interne Revision strukturiert, Stellenbeschreibungen erstellt, eine Bestandsaufnahme der zur Umset- zung des Revisionsplans erforderlichen Fähigkeiten durchgeführt und eine Strategie entwickelt werden, um Interne Revisoren mit spezifischen Kompetenzen zu rekrutieren und/oder auszubilden. Der CAE ist verpflichtet, kompetente Beratung und Unterstützung einzuholen, wenn Interne Revisoren nicht über die Kenntnisse, Fähigkeiten oder sonstigen Kompetenzen verfügen, die für die Durchführung eines gesamten oder eines Teils eines Auftrags erforderlich sind. Dies kann durch die Koordination mit anderen Prüfungsdienstleistern, die Zusammenarbeit mit Fachexperten als Gastprüfer oder die Einstellung von externen Beratern (z. B. Cosourcing/Outsourcing) geschehen.

Herausforderungen für die Interne Revision bestehen im Zugang von Mitarbeitern, die keine traditionellen Internen Revisoren sind, und in der Einbeziehung von traditionellen Internen Revisoren in die Prüfung technischer Bereiche (z. B. Ingenieurwesen, Medizin, IT). CAEs sollten sich bemühen, sicherzustellen, dass alle Internen Revisoren im Rahmen ihrer beruflichen Verantwortung angemessen ausge- bildet sind und über ausreichende Fähigkeiten verfügen, um ihren Aufgaben in diesem sich verändern- den Umfeld nachzukommen.

Der CAE sollte Indikatoren zur Messung der Kompetenzen der Internen Revisoren und anderer Dienst- leister festlegen, auf die die Interne Revision Zugriff hat. Die Kompetenz der Internen Revisoren kann mithilfe von Tools des IIA wie „Audit Intelligence Suite – Benchmarking Report“ und dem „Internal Audit Competency Framework“ gemessen werden. In diesem werden die zehn für Interne Revisoren, Revisi- onsmanager und CAEs empfohlenen Kernkompetenzen dargestellt. Der CAE kann Informationen aus den Tools nutzen, um ein Kompetenzmodell, ein Personalentwicklungsprogramm und einen Schulungs- plan zu entwickeln.

Der CAE kann Interne Revisoren dazu ermutigen, ihre Kompetenzen durch ein gewisses Maß an auf- tragsbezogenem Wissen nachzuweisen, z. B. Tests durchführen und Software zur Datenanalyse verwenden. Interne Revisoren können aufgefordert werden, bestimmte Zertifizierungen zu erwerben, wie z. B. den „Certified Internal Revisor“ des IIA oder andere Qualifikationen, bevor sie sich auf höhere

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz: Fachkompe- tenz

Standards Serie:

1200 – Fachkompetenz und berufliche Sorgfaltspflicht

2000 – Leitung der Internen Revision 2200 – Planung einzelner Aufträge 2300 – Durchführung des Auftrags 2600 – Kommunikation der Risikoak-

zeptanz

(9)

8 Positionen in der Internen Revision entwickeln und/oder auf bestimmte Bereiche wie Fraud, Daten- analysen oder IT spezialisieren.

Wenn Interne Revisoren der Meinung sind, dass sie nicht über die erforderlichen Kompetenzen für die Durchführung eines Auftrages verfügen, sollten sie dies mit dem CAE oder einem anderen Revisionsma- nager besprechen. Oft bietet ein CAE den Internen Revisoren die Möglichkeit, ihre Kompetenzen durch ein Mentoring mit erfahrenen Revisoren oder die Zusammenarbeit mit Fachexperten zu erwei- tern.

Um dieses Grundprinzip nachzuweisen, können Interne Revisoren eine Selbstbeurteilung ihrer Fähigkei- ten, Pläne für die berufliche Entwicklung sowie Nachweise über erfolgte Weiterbildung, andere Weiter- entwicklungen oder Erfahrungen mit ehrenamtlichen Tätigkeiten dokumentieren. Interne Revisoren, die Zertifizierungen oder ähnliche Qualifikationen besitzen, sind in der Regel verpflichtet, eine berufliche Weiterbildung zu absolvieren, um ihr Wissen auf dem neuesten Stand zu halten.

Berufsübliche Sorgfalt

Während Kompetenz mit Wissen und Fähigkeiten zu tun hat, bezieht sich die berufsübliche Sorgfalt auf die Art und Weise, in der Wissen und Fähigkeiten angewendet werden. Es wird erwartet, dass die In- terne Revision und die einzelnen Revisoren einen systematischen und zielgerichteten Ansatz (Prozesse und Verfahren) für die ihre Arbeit anwenden. Dieser Ansatz wird durch die verbindlichen Leitlinien des IPPF und durch die vom CAE festgelegten Richtlinien und Verfahren für die Interne Revision (Standard 2040) vorgegeben. Durch diese Richtlinien und Verfahren legt der CAE Kontrollen fest, die die Risiken für die Fähigkeit der Internen Revision verringern, ihre Mission und Ziele zu erreichen. Der CAE kann von den einzelnen Revisoren verlangen, Formulare zu unterzeichnen, in denen sie bestätigen, dass sie die Richtlinien und Verfahren der Internen Revision und der Organisation gelesen haben, die die Anfor- derungen des IPPF beinhalten sollten.

Wenn Interne Revisoren die Vorgaben befolgen, um Aufträge zu planen und auszuführen, ihre Arbeit zu dokumentieren und die Ergebnisse zu berichten, wenden sie einen strukturierten und zielgerichteten Ansatz an. Diese Konsistenz trägt dazu bei, dass die Arbeiten der Internen Revision mit berufsüblicher Sorgfalt durchgeführt werden. Bei der Planung eines Auftrags sollte dieser Ansatz dazu führen, dass Interne Revisoren ausreichende Hintergrunduntersuchungen und vorläufige Risikobeurteilungen durch- führen, die als Grundlage ihrer Diskussion mit dem Management des zu prüfenden Bereichs oder Pro- zesses dienen (Standard 2200).

Zur Festlegung der Ziele von Prüfungsaufträgen müssen Interne Revisoren eine vorläufige Beurteilung der Risiken durchführen, die für die zu prüfende Tätigkeit relevant sind, und die Ergebnisse der Beurtei- lung berücksichtigen (Standard 2210.A1). Bei der Durchführung des Auftrags müssen Interne Revisoren ausreichende, zuverlässige, relevante und konstruktive Informationen identifizieren, analysieren, bewerten und dokumentieren, um die Ziele des Projekts zu erreichen (Standard 2300). Ein solcher Prozess ermöglicht es einer sachkundigen Person, wie z. B. einem beaufsichtigenden Prüfer, die Arbeit zu verstehen und zu den gleichen Schlussfolgerungen und Empfehlungen zu gelangen, wie die Prüfer, die den Auftrag durchgeführt haben.

Darüber hinaus benötigen Interne Revisoren bestimmte persönliche Qualitäten, um die Arbeiten mit berufsüblicher Sorgfalt auszuführen. Interne Revisoren sollten über ein ausreichendes Maß an intellek- tueller Neugier und kritischer Grundhaltung verfügen, um die gesamte Organisation umfassend zu verstehen, kritisch zu denken, um die Ursachen des Versagens von Kontrollen zu erkennen, und Einblicke

(10)

9 zu liefern, die der Organisation helfen können.

Die Standards erfordern außerdem während des gesamten Auftrags eine ordnungsgemäße Überwa- chung und Überprüfung des Fieldworks der Internen Revision und der Arbeitspapiere. Nachweise einer solchen Überwachung müssen dokumentiert und aufbewahrt werden (Standard 2340). Die Überwa- chung von Aufträgen bietet die Möglichkeit, neue Interne Revisoren zu betreuen, um sicherzustellen, dass die Arbeiten mit der gebotenen Sorgfalt abgeschlossen wurden, und ihre Kompetenzen zu entwickeln. Außerdem kann Feedback vom Management eingeholt werden. Eine gute Kommunikation mit dem Management während des gesamten Auftrags verringert die Wahrscheinlichkeit von Meinungs- verschiedenheiten, wenn der finale Prüfungsbericht herausgegeben wird.

Zu den Indikatoren, dass berufsübliche Sorgfalt angewendet wurde, gehört, dass es nur wenige oder keine Meinungsverschiedenheiten mit dem Management gibt, nachdem der finale Prüfungsbericht herausgegeben wurde, und dass in den finalen Berichten keine größeren Fehler oder Auslassungen vorge- kommen sind. Eine ordnungsgemäße Auftragsüberwachung zeigt sich im Anteil der Überwachung an den für einen Auftrag insgesamt budgetierten Stunden.

Folgen, wenn Grundprinzip 2 nicht nachgewiesen wird: Wenn die Interne Revision Sachkunde und be- rufsübliche Sorgfalt nicht nachweist, kann es sein, dass die Risikobeurteilungen durch die Interne Revi- sion, der Revisionsplan und die Ziele und Umfänge der Aufträge nicht ausreichend, genau oder vollstän- dig sind. Die Ergebnisse der Internen Revision, einschließlich der Revisionsberichte und anderer Kom- munikationen, können verspätet, ungenau oder von geringer Qualität oder geringem Wert sein.

In Abbildung 2 sind Beispiele für Enabler aufgeführt, die Maßnahmen des CAE und der Internen Reviso- ren sind, um das Grundprinzip 2 (Zeigt Sachkunde und berufsübliche Sorgfalt.) nachzuweisen. Die zweite Spalte enthält Beispiele wesentlicher Indikatoren, um zu ermitteln, wie gut die Interne Revision das Grundprinzip nachweisen kann.

(11)

10

Abbildung 2. Beispiele für Grundprinzip 2: Zeigt Sachkunde und berufsübliche Sorgfalt.

Sachkunde Sachkunde

 Die Struktur der Internen Revision ist definiert und wird durch Stellenbeschreibungen unterstützt.

 Ein Kompetenzmodell für die Interne Revision wird durch ein Personalentwicklungsprogramm begleitet.

 Jährlich wird ein Weiterbildungsplan der Internen Revi- sion, der an den Entwicklungsbedarf gekoppelt ist, erstellt und umgesetzt.

 Eine Richtlinie fördert das Erwerben von Zertifizierun- gen oder Qualifizierungen.

 Das Leistungsmanagementsystem mit den wichtigsten Zielen für die Interne Revision ist mit den Zielen der Ab- teilungen verknüpft.

 Verfahren für Gastrevisoren oder Cosourcing-Verträge sind vorhanden.

 Die Fähigkeiten, die für die Prüfung von Schlüsselrisi- ken der Organisation erforderlich sind, passen zum internen Team oder den Cosourcing-Dienstleistern.

 Anteil der Internen Revisoren die mindestens 40 Stunden Aus- und Weiterbildung pro Jahr absolviert haben.

 Anteil der Internen Revisoren mit überdurchschnittli- chen Bewertungen in Leistungsbeurteilungen.

 Anteil des Teams, der Zertifizierungen oder Qualifizie- rungen erworben hat.

Berufsübliche Sorgfalt Berufsübliche Sorgfalt

 Das Prüfungsrisiko (Risiko, dass die Interne Revision wesentliche Probleme in einem geprüften Bereich nicht erkennt) wird aktiv im QSVP behandelt.

 Interne Revisoren führen im Rahmen der Auftragspla- nung als Basis für die Gespräche mit dem Revisionskun- den ausreichende Hintergrunduntersuchungen durch.

 Die Überwachung und Überprüfung der Arbeitspro- gramme und Aktivitäten auf Auftragsebene wird von dazu qualifizierten Personen durchgeführt.

 Die Leistung der Internen Revision wird nach jedem Auftrag beurteilt.

 Abhängig vom Risiko des Auftrags unterscheiden sich die Beurteilungsverfahren.

 Interne Revisoren kommunizieren laufend mit dem Ma- nagement der geprüften Bereiche und validieren die Ergebnisse des Fieldworks und des Auftrags.

 Die Feststellungen sind für den Funktions-/Themenbe- reich der Prüfung angemessen und relevant.

 Nach der Herausgabe der finalen Revisionsberichte gibt es nur begrenzt oder gar keine Meinungsver- schiedenheiten mit dem Revisionskunden (d. h. der Bericht wurde mit dem Revisionskunden abgestimmt oder Meinungsverschiedenheiten werden im Bericht dargestellt).

 Nach der Herausgabe der finalen Revisionsberichte werden keine Fälle von größeren Fehlern oder Aus- lassungen in den Berichten identifiziert.

 Anteil der Überwachung durch das Revisionsmanage- ment und der Überprüfung von Revisionsaufträgen an der Gesamtstundenzahl.

 Keine Fälle von versäumten Eskalationen durch die Interne Revision, wenn risikoreiche Revisionsfeststel- lungen erst verspätet erledigt werden.

(12)

11

Grundprinzip 3: Ist objektiv und frei von ungebührlichem Einfluss (unabhängig).

Grundprinzip 3 steht in engem Zusammenhang mit dem ersten Grundprinzip „Zeigt Integrität“, da beide In- terne Revisoren dazu verpflichten, im besten Interesse der Organisation zu handeln, unabhängig davon, ob das Management ihre Ansichten unterstützt oder nicht. Objektivität ist eine unvoreingenommene Geis- teshaltung, die Interne Revisoren dazu verpflichtet, ihr Urteil über Prüfungsangelegenheiten nicht anderen un- terzuordnen, und Unabhängigkeit ist die Freiheit von Bedingungen, die die Fähigkeit der Internen Revision gefährden, ihre Aufgaben unvoreingenommen auszu- üben. Die Auswirkungen dieses Grundprinzips reichen von der ausgewogenen Darstellung von Feststellungen

über die Nichtausübung von Managementrollen bei Beratungsleistungen (d. h. bei Beratungsaufträ- gen) bis hin zur Sicherstellung, dass externe Unternehmen keine Interessenkonflikte haben.

Eine wichtige Voraussetzung für die Unabhängigkeit ist die direkte und konsistente funktionale Bericht- erstattung des CAE und/oder der Internen Revision an das Board. Diese Berichtsbeziehung ist in der Geschäftsordnung der Internen Revision definiert, in der festgelegt werden soll, dass der CAE direkten und uneingeschränkten Zugang zu Senior Management und Board hat, und dass der CAE direkt mit dem Board kommunizieren und interagieren muss. Die unabhängige Berichterstattung des CAE an das Board wird unterstützt durch ein mindestens jährliches Treffen zwischen Board und CAE, bei dem das Management nicht anwesend ist. Darüber hinaus wird die Unabhängigkeit des CAE und der Internen Revision dadurch unterstützt, dass das Board für die Genehmigung der Vergütung des CAE, seine Ernen- nung und Entlassung sowie für die Genehmigung des Revisionsplans einschließlich Budget und Ressour- cen zuständig ist.

Das Board kann auch eine Aufsicht als Schutz vor möglichen Beeinträchtigungen der Unabhängigkeit und/oder Objektivität in Fällen einführen, in denen dem CAE Rollen oder Verantwortlichkeiten zugewie- sen werden, die außerhalb der Aufgaben der Internen Revision liegen (Standard 1112 – Rollen des Lei- ters der Internen Revision über die Interne Revision hinaus und Standard 1130 – Beeinträchtigung von Unabhängigkeit oder Objektivität). Protokolle von Sitzungen können belegen, dass das Board die Rollen und Verantwortlichkeiten des CAE sowie die Effektivität seiner Leistung und/oder die Angemessenheit seiner Vergütung beurteilt hat.

Nachdem sie definiert ist, wird die unabhängige Beziehung durch Richtlinien, Verfahren und Praktiken implementiert. So kann beispielsweise die Berichterstattung über Objektivität und Unabhängigkeit der Internen Revision dazu führen, dass dem Board mindestens einmal jährlich bestätigt wird, ob die Objek- tivität (z. B. durch Interessenkonflikte) oder die Unabhängigkeit (z. B. durch Einflussnahme des Mana- gements) beeinträchtigt wurde. Die Einhaltung kann durch die ausgefüllte und unterschriebene Aner- kennung relevanter Richtlinien und Formulare nachgewiesen werden, in denen Interessenkonflikte oder andere potenzielle Beeinträchtigungen der Unabhängigkeit offengelegt werden. Das Board sollte die Unabhängigkeit der Internen Revision beurteilen, indem es etwaige Beschränkungen des Umfangs, der Ressourcen und des Zugangs zu den für die Durchführung der Arbeiten erforderlichen Informationen überprüft.

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz: Objektivität Standards Serie:

1100 – Unabhängigkeit und Objekti- vität

2000 – Leitung der Internen Revision

(13)

12 Bei der Durchführung von Aufträgen zeigen Interne Revisoren Objektivität und Unabhängigkeit, wenn sie ausreichende Informationen identifizieren, analysieren, bewerten und dokumentieren, um die Ziele des Projekts zu erreichen. Objektive, kompetente Interne Revisoren analysieren und bewerten alle relevanten Fakten, um ihre unparteiischen und ausgewogenen Beurteilungen zu begründen. Die kritische Grundhaltung hilft Internen Revisoren dabei, objektiv zu bleiben.

Bei der Berichterstattung über die Ergebnisse eines Auftrags verlangt der Ethikkodex, dass Interne Re- visoren alle ihnen bekannten wesentlichen Fakten offenlegen, die, wenn sie nicht offengelegt werden, die Berichterstattung über die zu prüfenden Aktivitäten verfälschen können. Standard 2410.A1 fügt hinzu, dass die Berichte über die Auftragsergebnisse Schlussfolgerungen, Meinungen, Empfehlungen und/oder Aktionspläne enthalten muss, die durch zuverlässige, relevante und zweckdienliche Informa- tionen unterstützt werden sollen. Die Berichte sollen klar, präzise, konstruktiv, vollständig und zeitnah sein. Interne Revisoren werden zwar ermutigt, eine zufriedenstellende Leistung anzuerkennen (Stan- dard 2410.A2), sollten aber auch Lücken in Governance, Risikomanagement und internen Kontrollen nicht verschweigen.

Wenn der CAE auf der Grundlage der Ergebnisse von Aufträgen oder aufgrund einer anderen Beobach- tung oder Überwachung feststellt, dass das Management ein für das Unternehmen unzumutbares Risiko akzeptiert hat, muss der CAE die Angelegenheit mit dem Senior Management besprechen. Wenn die Angelegenheit nicht gelöst ist, muss der CAE sie dem Board mitteilen (Standard 2600 – Kommunikation der Risikoakzeptanz). Alle externen Parteien, die Aufgaben der Internen Revision wahrnehmen, sollten dieselben Standards für Integrität, Unabhängigkeit und Objektivität einhalten. Der CAE ist dafür verantwortlich, dass die Schlussfolgerungen und Urteile der Internen Revision angemessen unterstützt werden, auch wenn die Interne Revision sich auf die Tätigkeit anderer Prüfungsdienstleister stützt (Standard 2050 – Koordination und Vertrauen).

Feedback aus Umfragen oder Interviews nach Abschluss der Aufträge kann den Nachweis dafür liefern, dass das Revisionsteam Objektivität und Freiheit von ungebührlichem Einfluss gezeigt hat. Oder das Feedback kann Wege aufzeigen, wie die Interne Revision verbessert werden kann. Das Feedback des Managements kann jedoch in Bereichen voreingenommen sein, in denen unbefriedigende Feststellun- gen oder Beurteilungen berichtet wurden, und daher sollte dieses Feedback mit Nachweisen untermauert werden. Eine Überprüfung der Feststellungen und Berichte der Internen Revision sollte beispielsweise ergeben, dass die Interne Revision kein Muster zeigt, negative/unbefriedigende Feststellungen oder Ergebnisse eines Auftrags zu vermeiden. Revisionsberichte, die fast ausschließlich zufriedenstellende Ergebnisse berichten, geben Anlass zu dem Verdacht, dass die Internen Revisoren nicht ausreichend unabhängig sind und unter dem Druck stehen, unbefriedigende Feststellungen zu unterdrücken.

Prüfungen, die von unabhängigen und objektiven Fachleuten durchgeführt werden, werden durch angemessene Nachweise untermauert, sodass eine Überprüfung zu den gleichen Schlussfolgerungen gelangen kann, wie der Interne Revisor, der die Prüfung durchgeführt hat.

Folgen, wenn Grundprinzip 3 nicht nachgewiesen wird: Wenn Interne Revisoren nicht objektiv sind oder nicht als objektiv angesehen werden, ist es unwahrscheinlich, dass das Management und das Board den Feststellungen der Internen Revision als korrekt und vollständig vertrauen. Wenn die Interne Revision nicht unabhängig ist, kann sie unter Druck gesetzt werden, ihren Revisionsumfang zu begrenzen, Ergeb- nisse zu unterdrücken oder Urteile zu ändern. Beeinträchtigungen der Objektivität oder der Unabhän- gigkeit oder beides schränken den Nutzen von Prüfungs- und Beratungsleistungen der Internen Revision ein. Neben der Schwächung des Vertrauens in die Interne Revision können voreingenommene Schluss- folgerungen und Urteile, die die Bedeutung von Risikoexpositionen minimieren oder verbergen, dazu

(14)

13 führen, dass die Organisation anfällig für Risikoereignisse und -folgen wie Bußgelder, Sanktionen, Repu- tationsschäden und andere Verluste für ihre Interessengruppen ist.

In Abbildung 3 sind Beispiele für Enabler in der ersten Spalte aufgeführt, die Maßnahmen des CAE und der Internen Revisoren sind, um das Grundprinzip 3 (Ist objektiv und frei von ungebührlichem Einfluss (unabhängig).) nachzuweisen. Die zweite Spalte enthält Beispiele wesentlicher Indikatoren, um zu ermitteln, wie gut die Interne Revision das Grundprinzip nachweisen kann.

Abbildung 3. Beispiele für Grundprinzip 3: Ist objektiv und frei von ungebührlichem Ein- fluss (unabhängig).

Objektivität Objektivität

 Die Bestätigung der Objektivität (einschließlich aller In- teressenkonflikte mit Familienangehörigen, Kunden und/oder Lieferanten usw.) wird jährlich dem Board vorgelegt.

 Es besteht ein Prozess, um zu überprüfen, ob Drittan- bieter von Prüfungsdienstleistungen (z. B. Wirtschafts- prüfungsgesellschaften) eine Managementtätigkeit durchgeführt haben, die einen Interessenkonflikt dar- stellt.

 Interne Revisoren führen keine Prüfungen in Berei- chen durch, für die sie in den letzten 12 Monaten verantwortlich waren.

 Die Berichterstattung der Internen Revision ist klar, sachlich, zuverlässig und relevant.

 Feedbacks aus Kundenbefragungen oder Interviews zeigen, dass die Internen Revisoren als unparteiisch und objektiv wahrgenommen werden.

 Interne Revisoren (und alle Prüfungsdienstleister, auf die sie sich verlassen) haben Formulare ausgefüllt, in denen sie anerkennen, dass sie frei von Interessen- konflikten sind oder in denen sie potenzielle Konflikte offenlegen.

 Trends in den Bewertungen der Berichtsfeststellun- gen/Beanstandungen zeigen, dass die Internen Reviso- ren negative/unbefriedigende Bewertungen auf Ebene der Prüfungen oder der Einzelfeststellungen nicht vermeiden.

 Schlussfolgerungen und Urteile zeigen, dass die Inter- nen Revisoren bekannte wesentliche Fakten berichten.

 Beurteilungen im Rahmen des QSVP der Internen Re- vision bestätigen, dass Schlussfolgerungen und Urteile objektiv erzielt wurden (d. h. sie sind zuverlässig und werden mit Fakten untermauert).

Unabhängigkeit/Freiheit von ungebührlichem Einfluss Unabhängigkeit/Freiheit von ungebührlichem Einfluss

 Die funktionale Berichtslinie an das Board ist in der Geschäftsordnung der Internen Revision definiert.

 Board/Prüfungsausschuss überprüft die Unabhängig- keit und Objektivität des CAE in regelmäßigen Abstän- den in Bezug auf die laufende Beschäftigung.

 Der CAE hat direkten Zugang zum Board gemäß Defini- tion in der Geschäftsordnung der Internen Revision.

 Für alle Aufgaben, für die der CAE außerhalb der Inter- nen Revision verantwortlich ist, gibt es Sicherheitsvor- kehrungen mit Berichterstattung an das Board.

 Das Board überprüft die Leistung des CAE und genehmigt Einstellung, Vergütung und Entlassung.

 Geringe Anzahl von Hemmnissen/Einschränkungen für den Revisionsumfang, den die Interne Revision erlebt hat (z. B. Zugang, größere Verzögerungen).

 Regelmäßig geplante, vertrauliche Sitzungen (z. B.

vierteljährlich oder mindestens jährlich) mit dem Board ohne Anwesenheit des Managements.

(15)

14

Grundprinzip 4: Richtet sich an Strategien, Zielen und Ri- siken der Organisation aus.

Interne Revisoren sind dafür verantwortlich, für die Orga- nisation, der sie dienen, Wert zu schaffen. Eine der besten Möglichkeiten, diesen Wert zu generieren, besteht darin, die Aufträge der Internen Revision mit den Risiken zu ver- binden, die die Fähigkeit des Unternehmens, seine Ziele zu erreichen, am stärksten beeinträchtigen können. Um das Unternehmen auf diese Weise zu verstehen, sind so- wohl Top-Down- als auch Bottom-Up-Aktionen erforderlich.

Für die Top-Level-Perspektive kommuniziert der CAE mit Senior Management und Board, um ein klares Verständnis der wichtigsten Ziele des Unternehmens, der Strategien zur Erreichung dieser Ziele und der Risiken zu erlangen, die das Unternehmen daran hindern könnten. Um die Interne Revision anzuleiten, richtet der CAE die Strategie der Internen Revision an der Strategie der Organisation aus und erstellt einen strategischen Plan mit einer definierten Vision, Zielen und klaren Erfolgsmaßstäben. Der CAE oder benannte Interne Revisoren können sich mit wichtigen Mitgliedern des Senior Managements treffen und an Strategiesitzungen von Gremien des Senior Managements in verschiedenen Bereichen teilnehmen (z. B. Operations Committee, Asset Liability Committee, Risikomanagement-Komitee) teilnehmen.

Darüber hinaus sollte der CAE die Risiken für die Erreichung der strategischen Ziele des Unternehmens berücksichtigen. Gemäß Standard 2010.A1 muss der Revisionsplan auf einer dokumentierten Risikobe- urteilung basieren, die mindestens einmal jährlich durchgeführt wird und den Input von Senior Manage- ment und Board beinhaltet. Der CAE kann mit der organisationsweiten Risikobeurteilung des Manage- ments beginnen, sofern diese vorhanden ist, und kann die vom Senior Management identifizierten Hauptrisiken unabhängig prüfen und bestätigen. Alternativ kann die Interne Revision eine eigene orga- nisationsweite Risikobeurteilung durchführen.

Basierend auf diesen Vorgaben erstellt oder aktualisiert der CAE den Revisionsplan, um die Prioritäten der Organisation widerzuspiegeln. Der CAE muss den Plan mindestens einmal jährlich mit dem Board überprüfen. Das Board sollte sicherstellen, dass der Plan die strategischen Ziele und Risiken der Organi- sation widerspiegelt. Als Reaktion auf Veränderungen in den Geschäften, Risiken, Abläufen, Program- men, Systemen und/oder Kontrollen des Unternehmens muss der CAE den Plan ebenfalls überprüfen und anpassen, auch wenn dies häufiger als jährlich erforderlich ist.

Um zu verstehen, wie die Strategie auf Geschäftsbereichs- oder Betriebsebene implementiert wird, kann der CAE aus einer Bottom-Up-Perspektive einzelne Interne Revisoren beauftragen, verschiedene Bereiche innerhalb der Organisation zu beurteilen. Im Rahmen der Beurteilung können Interne Reviso- ren Interessengruppen wie das operative Management und Prozesseigner über ihre Risikoprioritäten befragen.

Unter Berücksichtigung der mit dem Senior Management und den Interessengruppen in einzelnen Ge- schäftsbereichen gewonnenen Erkenntnisse sollten Interne Revisoren über ausreichende Informatio- nen verfügen, um die unternehmensweite Risikobeurteilung der Internen Revision regelmäßig aktuali- sieren zu können. Die Ergebnisse von im Rahmen der einzelnen Revisionsaufträge durchgeführten Risi- kobeurteilungen sollten ebenfalls berücksichtigt werden. Auf diese Weise kann die Interne Revision den

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz: Objektivität Standards Serie:

2000 – Leitung der Internen Revision 2200 – Auftragsplanung

(16)

15 Revisionsplan dynamisch anpassen und schnell auf neue Risikoprioritäten reagieren. Technologieba- sierte, kontinuierliche Datenanalysen verkürzen die Reaktionszeit noch weiter. Durch die Integration der aktuellsten Risikoinformationen in die unternehmensweite Risikobeurteilung weist die Interne Re- vision die Einhaltung von Grundprinzip 4 nach. Der CAE kann Umfragen verwenden, um den Nachweis zu erbringen, dass die Interessengruppen erkennen, dass die Interne Revision die strategischen Ziele des Unternehmens ausreichend berücksichtigt.

Folgen, wenn Grundprinzip 4 nicht nachgewiesen wird: Wenn die Interne Revision sich nicht an den Stra- tegien, Zielen und Risiken der Organisation ausrichtet, riskiert sie, Ressourcen für die Beurteilung von Bereichen, Prozessen oder Sachverhalten zu verschwenden, die der Organisation nicht dabei helfen, ihre wesentlichen Risiken zu managen und ihre Ziele zu erreichen. Diese Interne Revision bietet daher wenig Wert und wird in der Organisation irrelevant. Management und Board fragen Prüfungsleistung und Beratung durch die Interne Revision nicht nach. Ohne solche Anleitung und Prüfungssicherheit kann die Organisation die Risiken, die der Erreichung ihrer Ziele entgegenstehen, möglicherweise nicht klar erkennen.

In Abbildung 4 sind Beispiele für Enabler und Maßnahmen des CAE und der Internen Revisoren in der ersten Spalte aufgeführt, um das Grundprinzip 4 (Richtet sich an Strategien, Zielen und Risiken der Or- ganisation aus.) nachzuweisen. Die zweite Spalte enthält Beispiele wesentlicher Indikatoren, um zu ermitteln, wie gut die Interne Revision das Grundprinzip nachweisen kann.

Abbildung 4. Beispiele für Grundprinzip 4: Richtet sich an Strategien, Zielen und Risiken der Organisation aus.

 Der an der Organisationsstrategie ausgerichtete strategische Plan der Internen Revision wird mit einer definierten Vision, Zielen und klaren Erfolgsmaßstäben entwickelt.

 Die Strategie der Internen Revision wird auf Grundlage von Veränderungen im internen oder externen Umfeld aktualisiert.

 Der jährliche Revisionsplan wird auf Grundlage von Ver- änderungen in den Strategien und/oder Zielen der Orga- nisation aktualisiert.

 Der Revisionsplan verbindet Aufträge mit strategischen Zielen und/oder Risiken.

 Als Grundlage für den Jahresplan werden die Top-Risi- ken der Organisation herangezogen. Die im Revisions- plan nicht abgedeckten Top-Risiken werden dem Board mitgeteilt.

 Die Interne Revision priorisiert die Follow-up-Aktivitäten zu Feststellungen, die die strategischen Risiken betref- fen, und bezieht diese Informationen in die Risikobeur- teilung ein.

 Das Feedback aus den Umfragen in den Interessen- gruppen zeigt, dass die Internen Revision in Über- einstimmung mit den Prioritäten der Interessen- gruppen tätig ist.

 Der CAE nimmt an Strategiegesprächen teil.

 Anteil des Revisionsplans, der strategische Projekte und/oder Initiativen abdeckt.

 Strategische Risiken werden im Revisionsplan identifiziert.

 Die strategische Planung wurde geprüft.

 Anteil des Revisionsteams, dessen Fähigkeiten und Zuordnung zu Aufträgen an der Organisationsstruk- tur und wesentlichen Risiken (Art der Fähigkeit, Standort etc.) ausgerichtet ist.

(17)

16

Grundprinzip 5: Ist geeignet positioniert und mit ange- messenen Mitteln ausgestattet.

Die Interne Revision kann einen effektiven Mehrwert für die Organisation schaffen, wenn sie geeignet positioniert und mit angemessenen Mitteln ausgestattet ist. Es ist für den CAE und die Interne Revision insgesamt schwierig, Integrität, Unabhängigkeit und Objek- tivität zu wahren und die Einhaltung der Grundprinzi- pien nachzuweisen, wenn sie nicht innerhalb der Orga- nisation korrekt positioniert und autorisiert werden.

Die Standards beginnen mit Standard 1000, der be- sagt, dass „Aufgabenstellung, Befugnisse und Verant- wortung der Internen Revision formell in einer Ge- schäftsordnung der Internen Revision bestimmt sein müssen“.

Wenn der CAE dem Chief Executive Officer (CEO), Chief Financial Officer (CFO) oder einem anderen Senior Ma-

nager direkt ohne Aufsicht durch das Board unterstellt ist, kann diese Vereinbarung die Fähigkeit des CAE beeinträchtigen, diesem Manager ehrlich unbefriedigende oder kritische Feststellungen der Inter- nen Revision zu berichten. Selbst in Situationen, in denen der CAE direkt dem Board unterstellt ist - beispielsweise dem Audit Committee -, wo jedoch ein Senior Manager die Leistung, das Budget und die Planungsprozesse des CAE überprüft, kann der Senior Manager Druck auf die Unabhängigkeit des CAE ausüben, indem er die Ressourcen der Internen Revision einschränkt oder Vergeltung in Form von un- befriedigenden Leistungsbeurteilungen übt.

Im Idealfall untersteht der CAE funktional direkt dem Board (d. h. dem höchsten Level der Governance in der Organisation), das die Unabhängigkeit bewahrt, indem es dem CAE uneingeschränkten Zugang zur Behandlung sensibler Angelegenheiten gewährt, insbesondere, wenn das Senior Management oder das Management betroffen sind. Administrativ sollte der CAE der obersten Managementebene unterstellt sein, was im Allgemeinen der CEO ist, oder zumindest der Ebene, die es der Internen Revision ermöglicht, ihre Aufgaben wahrzunehmen. Dies ist jedoch möglicherweise nicht in jeder Organisation praktikabel. Daher kann das Board die organisatorischen Unterstellungen überprüfen, um festzulegen, was für die individuelle Governance-Struktur angemessen ist. Der CAE sollte sich über alle regulatorischen Anforderungen für die Anbindung der Internen Revision im Klaren sein. Sobald die Anbindung definiert ist, soll sie in der Geschäftsordnung der Internen Revision dokumentiert werden.

Die funktionale Beaufsichtigung durch das Board umfasst in der Regel die Schaffung, Unterstützung und Sicherstellung von Arbeitsbedingungen, die es dem CAE und der Internen Revision ermöglichen, unab- hängig, effektiv und effizient zu arbeiten. Zu den Aufgaben des Board gehören häufig:

 Genehmigung der Einstellung und Entlassung des CAE.

 Genehmigung der Geschäftsordnung der Internen Revision und des Revisionsplans, einschließ- lich Budget und Ressourcenplan.

 Bewertung und Vergütung des CAE.

 Bewertung der Unabhängigkeit der Tätigkeit der Internen Revision (z. B. Beschränkungen des

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz:

Fachkompetenz Standards Serie:

1100 – Unabhängigkeit und Objekti- vität

1200 – Fachkompetenz und berufliche Sorgfaltspflicht

2000 – Leitung der Internen Revision

(18)

17 Umfangs oder der Ressourcen der Internen Revision, Ausübung von Druck oder andere Hin- dernisse).

Das Board und der CAE sollten regelmäßig die Ergebnisse des QSVP und die Ressourcen der Internen Revision sowie eventuell auferlegte Einschränkungen erörtern. Das Board sollte bestätigen, dass das operative Budget und die sonstigen Ressourcen der Internen Revision ausreichen, um ihre Ziele zu erreichen. Um bei der Bewertung zu helfen, können CAE und Board die Ressourcen der Internen Revision regelmäßig mit denen ähnlicher Organisationen vergleichen.

Die Ressourcen der Internen Revision können durch die Zusammenarbeit mit Fachspezialisten ergänzt werden, entweder innerhalb der Organisation (z. B. durch Gastrevisoren) oder durch Cosourcing. Um Unabhängigkeit und Objektivität zu gewährleisten, sollte das Board alle Co- oder Outsourcing-Verein- barungen und Dienstleister genehmigen. Beaufsichtigung von und Verantwortung für die Interne Revi- sion können nicht ausgelagert werden. Die Verantwortung für die Entwicklung und Pflege eines Quali- tätssicherungs- und Verbesserungsprogramms verbleibt ebenfalls innerhalb der Organisation, nicht beim Anbieter. Solche Vereinbarungen können auch Gegenstand von regulatorischen oder gesetzlichen Regelungen sein.

Folgen, wenn Grundprinzip 5 nicht nachgewiesen wird: Wenn die Interne Revision nicht geeignet positi- oniert ist, werden ihre Ergebnisse und Schlussfolgerungen möglicherweise nicht mit ausreichender Be- deutung behandelt, um das Management zu einem raschen Handeln zu bewegen. Darüber hinaus hat der CAE möglicherweise keinen direkten Zugang zum Board, was die unabhängige Berichterstattung erschwert. Ohne Zugang zum Board kann die Interne Revision nicht frei über sensible Angelegenheiten des Managements kommunizieren. Wenn die Interne Revision nicht mit ausreichenden Mitteln ausgestattet ist, verfügt sie möglicherweise nicht über die erforderlichen Werkzeuge oder Mitarbeiter, um den Revisionsplan adäquat auszuführen, und kann daher möglicherweise nicht für alle wesentlichen Risiken der Organisation Prüfungssicherheit liefern.

Abbildung 5 zeigt Beispiele für Enabler oder Maßnahmen, die der CAE und die Internen Revisoren anwenden können, um Grundprinzip 5 (Ist geeignet positioniert und mit angemessenen Mitteln ausgestattet.) nachzuweisen. Die zweite Spalte enthält Beispiele wesentlicher Indikatoren, um zu ermitteln, wie gut die Interne Revision das Grundprinzip nachweisen kann.

(19)

18

Abbildung 5. Beispiele für Grundprinzip 5: Ist geeignet positioniert und mit angemesse- nen Mitteln ausgestattet.

Geeignet positioniert Geeignet positioniert

 Eine dokumentierte und maßgeschneiderte Geschäfts- ordnung für die Interne Revision, die auf das IPPF abgestimmt ist, ist vorhanden.

 In der Geschäftsordnung wird die funktionale Anbindung an das Board und die administrative Anbindung an die höchste Ebene in der Organisation definiert.

 Das Mandat der Internen Revision ist weit gefasst und auf die Anforderungen der Organisation abgestimmt (d.

h. positioniert, um Mehrwert zu schaffen).

 Der CAE wird als Teil der Führung angesehen und nimmt an wichtigen Management-, Board-, Projekt- management- und funktionalen Führungsbespre- chungen teil.

 Belege weisen nach, dass der CAE das Management bei Bedarf herausgefordert hat.

 Die Ergebnisse der Revisionsaufträge werden gebüh- rend berücksichtigt.

Angemessen ausgestattet Angemessen ausgestattet

 Ein ausreichendes operatives Budget wird vom Board genehmigt.

 Mit dem Board werden regelmäßig Gespräche über das QSVP, die Verfügbarkeit von Ressourcen (Fähigkeiten und Kapazität) und etwaige Einschränkungen geführt.

 Regelmäßig werden die Ressourcen mit Organisationen ähnlicher Größen/Profile verglichen.

 Personal, Technologie und Werkzeuge werden der Inter- nen Revision zur Verfügung gestellt, damit sie ihre Auf- träge effektiv und effizient ausführen kann.

 Die Interne Revision hat über interne Rollen, Gastreviso- ren und/oder Cosourcing angemessenen Zugang zu Fachspezialisten.

 Die Ressourcen der Internen Revision befinden sich an den wichtigsten Betriebsstätten der Organisation und/o- der es gibt ein angemessenes Reisebudget, um regelmä- ßige Besuche der wichtigen Betriebsabläufe zu ermögli- chen.

 Fertiggestellter Anteil des Revisionsplans.

 Anteil der Revisionsprüfungen, die wegen Ressour- cenbeschränkungen vom Revisionsplan gestrichen wurden.

 Anteil des Revisionsplans, der für Anforderungen des Managements vorgehalten wird.

 Anteil der Arbeitszeit der Internen Revision, der auf die Kernprüfungstätigkeit und auf administrative Ak- tivitäten entfällt.

 Anteil des Revisionsplans, der auf Hochrisiko-Pro- zesse oder -Einheiten entfällt.

(20)

19

Grundprinzip 6: Zeigt Qualität und kontinuierliche Ver- besserung.

Um die Interne Revision zu führen, der CAE Richtlinien und Verfahren implementieren, die auf die Art der Or- ganisation und ihren Bedarf an Prüfungs- und Bera- tungsdienstleistungen zugeschnitten sind. Die Richtli- nien und Verfahren sollten mit den IPPF-Anforderun- gen abgestimmt sein und den Internen Revisoren die Möglichkeit geben, Prüfungs- und Beratungsaufträge effektiv zu planen, durchzuführen und zu dokumentieren sowie die Ergebnisse an die geeigneten Parteien zu berichten. Der CAE sollte wichtige Leistungsindikato- ren definieren und überwachen und angemessene Res- sourcen zuweisen, um die Aufträge nicht nur auszufüh-

ren, sondern auch, um sie zu überwachen, wozu auch eine regelmäßige Überprüfung der Arbeitspapiere gehört. Die Methoden der Internen Revision sollten regelmäßig überprüft und aktualisiert werden.

Darüber hinaus sollte der CAE ein umfassendes Qualitätssicherungs- und -verbesserungsprogramm (QSVP) einrichten, mit dem die Qualität der Arbeit der Internen Revision bewertet werden kann. Gemäß der Serie 1300 der Standards muss das QSVP eine fortlaufende Überwachung und regel- mäßig durchgeführte, strukturierte, interne Selbstbeurteilungen umfassen sowie mindestens alle fünf Jahre durchgeführte externe Beurteilungen. Zusammen ermöglichen diese Elemente eine Bewertung der Effizienz und Wirksamkeit der Internen Revision sowie der Einhaltung der Standards und des Ethik- kodex. Das QSVP identifiziert auch Verbesserungsmöglichkeiten.

Um die Qualität der Arbeit der Internen Revision kontinuierlich zu überwachen, kann der CAE Umfragen durchführen oder andere Mechanismen nutzen, um Feedback von wichtigen Stakeholdern im Prozess der Internen Revision einzuholen (z. B. Senior Management und operatives Management der kürzlich geprüften Bereiche). Das Feedback kann verwendet werden, um die Methodik anzupassen und die Dienstleistungen der Internen Revision zu verbessern.

Der CAE sollte eine Methode zur Nachverfolgung von aus dem QSVP resultierenden Maßnahmen einrichten. Beispiele für solche Maßnahmen sind regelmäßige, planmäßige Überprüfungen der Revisions- aufträge durch das Revisionsmanagement, Selbstbeurteilungen der Internen Revision und Gelegenhei- ten für Innovationen und Verbesserungen, die während der Überprüfungen identifiziert wurden. Das Nachverfolgen und rechtzeitige Erledigen solcher Maßnahmen trägt zum Nachweis bei, dass die Interne Revision sich diesem Grundprinzip verpflichtet fühlt.

Die internen und externen Beurteilungen, die im QSVP erforderlich sind, sollten allgemein die Einhal- tung von Standards und Ethikkodex sowie insgesamt Verbesserungen und Innovationen im Vergleich zu früheren Beurteilungen anzeigen. Der CAE ist auch für die Überwachung aller ausgelagerten Dienstleister der Internen Revision verantwortlich, um sicherzustellen, dass sie die verbindlichen Leit- linien des IIA einhalten.

Die Ergebnisse des QSVP sollten dem Senior Management und dem Board mitgeteilt werden. Der CAE sollte die Aufsicht des Boards über das QSVP fördern. Wenn sich die Nichteinhaltung des Ethikkodex oder der Standards auf den Gesamtumfang oder die operative Tätigkeit der Internen Revision auswirkt,

Zugehörige IPPF-Elemente

Ethikkodex Grundsatz:

Fachkompetenz Standards Serie:

1300 – Programm zur Qualitätssiche- rung und -verbesserung 2000 – Leitung der Internen Revision

(21)

20 muss der CAE die Nichteinhaltung und deren Auswirkungen an Senior Management und Board berichten (Standard 1322 - Offenlegen von Abweichungen).

Folgen, wenn Grundprinzip 6 nicht nachgewiesen wird: Wenn die Interne Revision Qualität und kontinu- ierliche Verbesserung nicht nachweisen kann, hält sie die Standards nicht ein, insbesondere die Serie 1300 der Standards, welche von der Internen Revision verlangt, ein QSVP zu haben. Das Versäumnis, Qualität nachzuweisen, wird wahrscheinlich zu Fehlern in der Tätigkeit der Internen Revision oder zu der Auffassung führen, dass die Interne Revision nicht zuverlässig ist. Was wiederum dazu führt, dass Management und Board das Vertrauen in die Interne Revision verlieren. Wenn die Interne Revision es versäumt, kontinuierliche Verbesserung nachzuweisen, dann kann es sein, dass sie mit Innovationen in Technologie, Methodik und Prüfungstechniken nicht Schritt halten kann. In einer Internen Revision, die Qualität und kontinuierliche Verbesserung nicht verinnerlicht hat, können Schwächen in Zusammen- hang mit Personal, Prozessen und Methoden weiterhin unerkannt und nicht gelöst bleiben. Dies führt zu Ineffizienzen oder dem Versagen bei der Lieferung verlässlicher Prüfungssicherheit und Beratung.

In der ersten Spalte in Abbildung 6 sind Beispiele für Enabler oder Maßnahmen zum Nachweis von Grund- prinzip 6 (Zeigt Qualität und kontinuierliche Verbesserung.) dargestellt. In der zweiten Spalte werden Bei- spiele für wesentliche Indikatoren aufgeführt, anhand derer Sie erkennen können, wie gut das Grundprin- zip nachgewiesen werden kann.

Abbildung 6. Beispiele für Grundprinzip 6: Zeigt Qualität und kontinuierliche Verbesse- rung.

 Die Elemente des QSVP sind aktiv.

 Aus dem QSVP resultierende Maßnahmen werden zeitnah verfolgt und abgeschlossen.

 Es gibt Mechanismen, um Feedback von Revisionskun- den und wichtigen Interessengruppen einzuholen.

 Operative KPIs werden definiert und überwacht, ein- schließlich KPIs zur Förderung von Verbesserungen und Innovationen in der Internen Revision.

 Eine für den Zweck geeignete Revisionsmethodik ist vorhanden und wird regelmäßig aktualisiert.

 Ausgelagerte Tätigkeiten der Internen Revision müs- sen die IIA-Standards und den Ethikkodex einhalten.

 Interne Beurteilungen umfassen die laufende Überwa- chung der Internen Revision und regelmäßige Selbst- beurteilungen bzw. Beurteilungen durch andere Orga- nisationsangehörige mit ausreichenden Kenntnissen über Interne Revision und das IPPF.

 Externe Beurteilungen erfolgen mindestens alle 5 Jahre. Die Ergebnisse zeigen die „allgemeine Einhal- tung“ von IIA-Standards und Ethikkodex.

 Interne und externe Beurteilungen zeigen insgesamt Verbesserungen im Vergleich zu früheren Beurteilun- gen.

 Senior Management und Board erhalten die Ergeb- nisse des QSVP.

 Die Interne Revision verfügt über einen Maßnahmen- plan und behandelt/schließt Maßnahmen aus dem QSVP zeitnah.

(22)

21

Grundprinzip 7: Kommuniziert wirksam.

Eine wirksame Interne Revision erfordert eine wirksame Kommunikation. Nur wenige Standards beziehen sich speziell auf die Kommunikation des CAE, andere gelten für die auftragsbezogene Kommunikation durch die Internen Revisoren. Die Standards verlangen, dass der CAE gegenüber Senior Management und Board über die Geschäftsordnung der Internen Revision, die Gesamtrisikobeurteilung, Pläne, Ressourcenanforde- rung (und mögliche Auswirkungen von Ressourcenbe- schränkungen), die Leistung im Verhältnis zum Revisi- onsplan und die Ergebnisse der QSVP-Beurteilungen berichtet. Außerdem sollte der CAE ein gutes Verständ- nis von den Erwartungen des Senior Managements und des Boards in Bezug auf die Berichterstattung erlangen.

Ein wichtiger Aspekt der Kommunikation ist die aktive Förderung der Mission, der Rolle, des Werts und der Wirksamkeit der Internen Revision. Die Vermittlung

dieser Dinge beinhaltet die Berichterstattung über das QSVP bezüglich der Schlussfolgerungen der Be- urteilungen der Internen Revision und die Implementierung von korrigierenden Maßnahmen zur Behe- bung etwaiger Schwächen. Das QSVP beschreibt die Einhaltung von Ethikkodex und Standards, aber der CAE kann auch ein Reportingtool erstellen und die in den Tabellen dieses Leitfadens aufgeführten wichtigen Indikatoren verwenden, um die Einhaltung der Grundprinzipien nachzuweisen und zu berichten.

Solch ein Tool kann dem CAE helfen, mit Senior Management und Board auf einfache und direkte Weise über die Wirksamkeit der Internen Revision zu kommunizieren. Die Vermittlung dieser Botschaft kann zum Beispiel einfach über das Hinzufügen einer Seite zu einer Präsentation oder einem Diskussions- punkt in einem Bericht über das QSVP erfolgen. Ein Beispiel findet sich in Anhang C.

Um das interne Bewusstsein für den Wert der Internen Revision zu fördern, der Organisation bei der Erreichung ihrer Ziele zu helfen, können Interne Revisoren Planungssitzungen veranstalten und Infor- mationen in internen Newslettern und Intranet-Posts und/oder einer Webseite der Internen Revision bereitstellen. Das Nutzen aller Möglichkeiten, sich einem breiten Publikum innerhalb der Organisation zu präsentieren, trägt dazu bei, die Informationen in der gesamten Organisation zu verbreiten. Zu den Multimedia-Ansätzen gehört die Erstellung einer Präsentation oder eines kurzen Videos, wo die Rolle und Verantwortung der Internen Revision und darüber hinaus der Wert, den sie zur Wirksamkeit und Effizienz der Organisation beiträgt, erläutert werden. Solche Bemühungen weisen nach, wie die Interne Revision ihren Wert und ihre Rolle kommuniziert.

Um sicherzustellen, dass das Grundprinzip zur Kommunikation innerhalb der Internen Revision konsis- tent nachgewiesen wird, kann der CAE als Teil des Revisionshandbuchs einen Kommunikationsplan festlegen. Der Kommunikationsplan sollte mit den kommunikationsbezogenen Standards übereinstimmen und beschreiben, wie Interne Revisoren über einzelne Aufträge, von der Planung und den Arbeitspro- grammen bis hin zu Ergebnissen und Überwachung, berichten. Ein weiterer Aspekt der wirksamen Kom- munikation ist die Wahrung angemessener Vertraulichkeit, die zu den vier Grundsätzen im IIA-Ethikko- dex gehört. Die Interne Revision sollte über Kontrollen verfügen, um die empfangenen, abgefragten und

Zugehörige IPPF-Elemente

Ethikkodex Prinzip:

Vertraulichkeit Standards Serie:

1300 – Programm zur Qualitätssiche- rung und -verbesserung 2000 – Leitung der Internen Revision 2200 – Planung einzelner Aufträge 2300 – Durchführung des Auftrags 2400 – Berichterstattung

2600 – Kommunikation der Risikoak- zeptanz

(23)

22 verteilten Informationen zu schützen. Die Implementierungsleitlinie des IIA zum Grundsatz der Vertrau- lichkeit im Ethikkodex erläutert, wie man die relevanten Standards und Verhaltensregeln des Ethikkodex einhalten kann. Die Aufzeichnungen der Internen Revision sollten nicht unbefugt offengelegt und vertrauliche Informationen nicht unangemessen genutzt werden können.

Für einzelne Aufträge können Interne Revisoren einen Kommunikationsplan verwenden, um festzulegen, wie Risikobeurteilungen, Pläne und Feststellungen auf Auftragsebene während des gesamten Auf- trags kommuniziert werden, einschließlich der Art und Weise der Berichterstattung über die finalen Ergebnisse. Während des gesamten Auftrags sollte die Kommunikation strukturiert und aktiv sein und den Dialog zwischen den Internen Revisoren und dem Management des zu prüfenden Bereichs oder Prozesses fördern. Die Kommunikation der Ergebnisse des Auftrags muss richtig, objektiv, klar, präg- nant, konstruktiv, vollständig und zeitnah erfolgen und alle wichtigen und relevanten Informationen und Feststellungen zur Unterstützung von Empfehlungen und Schlussfolgerungen enthalten (Standard 2420 – Qualität der Berichterstattung).

Schriftliche Berichte zu einem Auftrag sollten kurzgefasst und auf die Empfänger zugeschnitten sein.

Berichte sollten in einem konsistenten Format vorliegen und prägnant und leicht zu lesen sein. Es kön- nen verschiedene Versionen desselben Berichts erstellt werden, da Umfang und Art der technischen Details, die relevant und notwendig sind, je nach Art der Stakeholder variieren. Grafiken machen die Probleme und Kriterien oft leichter verständlich.

Gemäß Standard 2240 – Arbeitsprogramm und Standard 2330 – Aufzeichnung von Informationen sollten die Arbeitsprogramme/Arbeitspapiere eines Auftrags Dokumentationen von Tests, Analysen, Be- wertungen, Feststellungen und Schlussfolgerungen enthalten – alles in Verbindung mit zuvor identifizierten Risiken. Die Feststellungen sollten objektiv sein, d. h. durch sachlich und genaue Nachweise untermauert werden. Berichte und andere Kommunikationen sollten Prüfungssicherheit aus einer ganz- heitliche Perspektive bieten, positive Leistungen anerkennen und die Ursachen für inakzeptable Fest- stellungen ansprechen. Interne Revisoren sollten das Management ermutigen, inakzeptable Risiken und deren Ursachen zu erkennen und Maßnahmen zu ergreifen, um die Probleme zu lösen. Gelingt es dem operativen und dem Senior Management nicht, inakzeptable Risiken zu beseitigen, muss der CAE den Sachverhalt dem Board berichten (Standard 2600 – Kommunikation der Risikoakzeptanz).

Folgen, wenn Grundprinzip 7 nicht nachgewiesen wird: Unwirksame Kommunikation wirkt sich auf alle Aspekte der Leistung der Internen Revision aus. Ohne eine wirksame Kommunikation ist die Interne Revision möglicherweise nicht in der Lage, die Position, die Ressourcen und die Informationen zu erhalten, die sie für die Durchführung ihrer Aufträge benötigt, und ihre Ergebnisse, Schlussfolgerungen und Urteile wirksam gegenüber Management und Board auszudrücken. Schließlich würde die Tätigkeit der Internen Revision wirkungslos und für Management und Board nur von geringem Wert sein.

In der ersten Spalte in Abbildung 7 sind Beispiele für Enabler oder Maßnahmen aufgeführt, die CAE und Interne Revisoren zum Nachweis des Grundprinzips 7 (Kommuniziert wirksam.) anwenden kön- nen. In der zweiten Spalte werden Beispiele für wesentliche Indikatoren aufgeführt, anhand derer Sie erkennen können, wie gut das Grundprinzip nachgewiesen werden kann.