Um die Website zu personalisieren und Ihnen den größten Mehrwert zu bieten, verwenden wir Cookies. Unter anderem dienen sie der Analyse des Nutzerverhaltens, um herauszufinden wie wir die Website für Sie verbessern können. Durch Nutzung der Website stimmen Sie ihrem Einsatz zu. Weitere Informationen finden Sie in unseren Datenschutzbestimmungen.



Externe Prüfung der Internen Revision – Rechtssicherheit durch einen unabhängigen Prüfbericht

PrintMailRate-it

​veröffentlicht am 16. März 2021

 

 

Eine unabhängige, objektiv-kritische und systematische Überprüfung von Unternehmensfunktionen und Organisationseinheiten ist die Kernaufgabe der Internen Revision. Als sog. „Dritte Verteidigungslinie” kommt ihr in dem Internen Kontrollsystem die Aufgabe zu, Nachvollziehbarkeit und Ordnungsmäßigkeit der Prozesse so zu überwachen, dass auch Fehler, die weder durch operative Kontrollen noch durch Maßnahmen der Risikokontrolle wie bspw. Compliance Management aufgedeckt wurden, dennoch bemerkt und abgestellt werden. Im modernen Verständnis der Revision als Baustein des GRC-Systems (Governance, Risk & Compliance) und internem Consulting kommt oftmals eine Beratungsrolle hinzu.


Wie bei allen Kontrollsystemen stellt die Unabhängigkeit des Prüfers eine notwendige Grundvoraussetzung dafür dar, dass die Interne Revision ihrer Verantwortung gerecht wird. Das bedeutet auch, dass die Prüfung von Aufgaben und Funktionen, die im Einflussbereich der Internen Revision angesiedelt sind, durch die Abteilung selbst nicht in Betracht kommt. Andererseits kann eine Revisionsabteilung nur dann für sich in Anspruch nehmen, nach den international anerkannten Standards für die berufliche Praxis der Internen Revision zu arbeiten, wenn sie mindestens alle 5 Jahre von einem qualifizierten und unabhängigen Beurteiler überprüft wird. Dies fordert der Attribute Standard AS 1312 des Institute of Internal Auditors (IIA). Das IIA formuliert die weltweit akzeptierten methodischen Grundlagen der Internen Revision. Aus diesem Grund ist auch in Organisationen und Unternehmen mit einer  aus intern besetzten Revisionsabteilung alle 5 Jahre die externe Überprüfung der Internen Revision angezeigt. 


Grundlage für die Überprüfung der Internen Revision in Deutschland: Ein gemeinsamer Standard des IDW und des DIIR

Das Deutsche Institut für Interne Revision e. V. (DIIR) als berufsständische Organisation der Internen Revision in Deutschland und das Institut der Wirtschaftsprüfer (IDW) haben Prüfungsstandards für die Überprüfung der Internen Revision durch externe Dritte vorgelegt, die eng aufeinander abgestimmt sind und nahezu gleichlautend formuliert sind. Auf der Grundlage des betreffenden IDW Standards PS 983 kann die turnusgemäße Überprüfung der Internen Revision einer Organisation durch eine  Wirtschaftsprüfungsgesellschaft erfolgen.


Diese Prüfung des Internen Revisionssystems (IRS) erfolgt gem. dem DIIR Revisionsstandard Nr. 3 auf der Grundlage einer relevanten Zertifizierung, beispielsweise als Certified Internal Auditor (CIA) oder als Prüfer für Interne Revisionssysteme DIIR. Wesentlich für die Durchführung des Auftrags sind die notwendigen Fachkenntnisse in Bezug auf die berufliche Praxis der Internen Revision, weiterhin natürlich Branchenkenntnisse, wie Rödl & Partner sie beispielsweise für die Gesundheits- und Sozialwirtschaft gebündelt hat, schließlich Erfahrungen mit den einschlägigen rechtlichen Anforderungen und die Möglichkeit, im Bedarfsfall Sachverständige einbinden zu können, wie dies beispielsweise bei Rödl & Partner durch den berufsgruppenübergreifenden, interdisziplinären Prüfungsansatz generell erfolgt.


Auf der dritten Linie des Three-Lines-of Defense-Modells hängt alles von der Internen Revision ab

Das Interne Revisionssystem bildet im Three-Lines-of-Defense-Modell eines Internen Kontrollsystems (IKS) die dritte Verteidigungslinie. Während gedanklich auf der ersten und der zweiten Linie des Modells jeweils mehrere Kontrollen gemeinsam existieren, auf der ersten Linie beispielsweise sowohl prozessseitige als auch managementseitige Kontrollen, wird die letzte, die dritte Verteidigungslinie von der Internen Revision allein abgebildet.


Da die Wirksamkeit dieser Verteidigungslinie also für ein wirksames IKS von elementarer Bedeutung ist, dient eine Prüfung des Internen Revisionssystems nach dem IDW PS 983 u. a. dem Nachweis, dass gesetzliche Vertreter wie auch die Mitglieder des Aufsichtsorgans insoweit ihren Sorgfaltspflichten nachgekommen sind.

 

Auch wenn sich für die gesetzlichen Vertreter aus der Rechtslage mittelbar die Verantwortung beispielsweise dafür ergibt, ein Risikofrüherkennungssystem zu betreiben oder auch Vorkehrungen dagegen zu treffen, dass aus der Organisation heraus Rechtsverstöße erfolgen, so ist doch die konkrete Gestaltung der dafür erforderlichen Managementsysteme (z. B. Risikomanagementsystem, Compliance Management System oder Internes Revisionssystem) nicht gesetzlich definiert und normiert. Umso relevanter ist es für die Verantwortlichen, die internen Unternehmenssysteme zu diesen Aufgabenfeldern nachweislich an den jeweiligen berufsständisch definierten Standards auszurichten und dies dem unternehmensinternen Aufsichtsorgan sowie im Bedarfsfall auch nach außen belegen zu können.


Bei der Prüfung des Internen Revisionssystems handelt es sich um eine Systemprüfung. Ziel der Prüfung ist es festzustellen, dass die Einrichtung des Internen Revisionssystems sowie die unabhängige und objektive Erbringung von Prüfungs- und Beratungsleistungen im Einklang mit den verbindlichen Elementen der Internationalen Grundlagen für die berufliche Praxis der Internen Revision (International Professional Practices Framework, IPPF) erfolgt. Die Verantwortung für das Interne Revisionssystem (IRS) liegt bei den gesetzlichen Vertretern.

 

Prüfungsgrundlage: Kriterienkatalog des IPPF

Im Rahmen einer Prüfung des Internen Revisionssystems werden alle Elemente eines IRS untersucht. Ein IRS ist dabei definiert als die „Gesamtheit der Regelungen, die darauf ausgerichtet sind, die Einrichtung einer Internen Revisionsfunktion sowie die unabhängige und objektive Erbringung von Prüfungs- und Beratungsleistungen durch die Interne Revision in Übereinstimmung mit den angewandten IRS-Grundsätzen zu gewährleisten“1. Den Rahmen für die Prüfung bilden die IPPF. Dieser Kriterienkatalog umfasst insgesamt 82 Kriterien, die sich in 3 Abschnitte und 11 Unterpunkte gliedern:

 

Grundlagen
I. Organisation, Einordnung im Unternehmen und Tätigkeitsfelder
II. Budget/Ressourcen
III. Planung


 

Durchführung
IV. Vorbereitung
V. Prüfung
VI. Berichterstattung
VII. Prüfungsnacharbeit
VIII. Follow-up

 


Mitarbeiter
IX. Auswahl
X. Entwicklung/Fortbildung
XI. Führung der Internen Revision


Insgesamt 6 der 82 Einzelkriterien sind als Mindeststandards definiert. Wenn einer der Mindeststandards in einem Internen Revisionssystem als nicht eingehalten eingestuft werden muss, führt dies dazu, dass die Konformität des IRS mit den IPPF nicht bestätigt werden kann.

 

Prüfung als Wirksamkeitsprüfung oder als Angemessenheitsprüfung möglich

Eine Bestätigung, dass das Interne Revisionssystem in Übereinstimmung mit den weltweit akzeptierten methodischen Grundlagen der Internen Revision eingerichtet ist, also eine Bestätigung im Sinne des Attribute Standard AS 1312, ist bei der Anwendung des IDW Prüfungsstandards 983 ausschließlich dann möglich, wenn eine Wirksamkeitsprüfung erfolgt. Ziel dieser Wirksamkeitsprüfung ist es festzustellen, ob die im Prüfungszeitraum implementierten Regelungen des IRS in allen wesentlichen Belangen angemessen dargestellt sind, ob sie geeignet sind, die Einrichtung einer internen Revisionsfunktion sowie die unabhängige und objektive Erbringung von Prüfungs- und Beratungsleistungen durch die Interne Revision zu gewährleisten, und ob diese während des Prüfungszeitraumes wirksam waren.2 Als Alternative ist die Beauftragung einer Angemessenheitsprüfung möglich, die sich lediglich auf die Angemessenheit und Implementierung der Regelungen des IRS bezieht. 


Die 6 Mindeststandards eines Internen Revisionssystems nach den IPPF

 

 

Kontakt

Contact Person Picture

Christoph Naucke

Betriebswirt (Berufsakademie), Zertifizierter Compliance Officer, Zertifizierter Datenschutzbeauftragter, Prüfer für Interne Revisionssysteme (DIIR)

Associate Partner

+49 911 9193 3628
+49 911 9193 3579

Anfrage senden

 Wir beraten Sie gern!

Deutschland Weltweit Search Menu