Vielfältige Faktoren, wie aktuell natürlich die weltweite Corona-Pandemie, die Digitalisierung sowie zahlreiche regulatorische Änderungen, etwa das Finanzmarktintegritätsstärkungsgesetz (FISG), beeinflussen die Interne Revision und lösen verstärkten Anpassungsbedarf aus. Dazu kommt, dass eine klare und gesetzlich verankerte Pflicht zur Einrichtung einer Internen Revision fehlt - vom Finanzdienstleistungsbereich und den entsprechenden MaRisk-Regelungen abgesehen.
© unsplashZwar existieren berufsständische Standards für die Interne Revision (z. B. des Deutschen Instituts für die Interne Revision oder des Global Institut of Internal Auditors), aber es obliegt letztendlich dem Vorstand einer Aktiengesellschaft oder dem Geschäftsführer einer GmbH zu entscheiden, ob und in welcher Form und Größe eine Interne Revision zu implementieren ist.
In diesem Zusammenhang stellt sich häufig die Frage nach dem Mehrwert einer Internen Revision für das Unternehmen. Auch werden etwaige Schnittstellen und ggf. Überschneidungen mit sonstigen Assurance-Funktionen, wie dem Qualitätsmanagement, dem Controlling oder dem Abschlussprüfer hinterfragt. Somit kann zuweilen ein recht heterogenes Bild in Bezug auf die Ausgestaltung einer Internen Revision in den Unternehmen entstehen. Entscheidet sich die Geschäftsleitung, eine Interne Revision einzurichten und als eigenständige Funktion im Unternehmen zu etablieren, ergeben sich drei wesentliche Fragestellungen:
- Wie sieht die Berichtslinie der Internen Revision aus?
- Wie ist das Audit Universe der Internen Revision definiert?
- Wie groß ist das Revisionsteam und wie setzen sich die Kompetenzen zusammen?
Diese Faktoren sind entscheidend für den Mehrwert einer Internen Revision.
Direkter Austausch mit der Geschäftsführung
Die Berichtslinie und die disziplinarische Zuordnung der Internen Revision entscheidet darüber, ob diese in einen direkten Austausch mit der Geschäftsführung gehen kann. Insofern sind Konstellationen, in welchen die Interne Revision einer anderen Fachfunktion wie z. B. dem Rechnungswesen oder dem Qualitätsmanagement untergeordnet ist, zu vermeiden. Zum einen kann dadurch die Prozessunabhängigkeit und Objektivität der Internen Revision nicht gewährleistet werden. Zum anderen soll die Interne Revision im Auftrag der Geschäftsleitung agieren und dies kann sie nur, wenn ein ungehinderter und ungefilterter Austausch in beide Richtungen besteht.
Zugang zum Aufsichtsrat
Ob und wie die Interne Revision darüber hinaus einen Zugang zum Aufsichtsrat bzw. sonstigen Überwachungsorganen hat, ist zusätzlich von Bedeutung. Der Gesetzgeber hat mit dem Finanzmarktintegritätsstärkungsgesetz die Idee eines direkten Auskunftsrechtes des Aufsichtsrates u. a. gegenüber dem Leiter der Internen Revision bei börsennotierten Gesellschaften aufgegriffen. Die operative Ausgestaltung dieses Auskunftsrechtes obliegt nach dem aktuellen Stand des Gesetzentwurfs dem Aufsichtsrat. Die Frage, ob und wie der Vorstand in einen derartigen Austausch einzubinden ist, ist unbeantwortet. Grundsätzlich ist der Vorstand einer Aktiengesellschaft der Auftraggeber für die Interne Revision. Sollten sich aus dem Austausch mit dem Aufsichtsrat Themenstellungen, welche in die Revisionsarbeit einbezogen werden sollten, oder gar neue Prüfungsthemen ergeben, so ist anzuraten, dass der dahinter liegende Beauftragungs- und Berichtsprozess z. B. in der Internal Audit Charta klar festgelegt wird, um Missverständnisse zu vermeiden und um für Transparenz und Klarheit bei allen Beteiligten zu sorgen.
Unternehmensweite Prüffelder
Mit dem sog. Audit Universe ist die Gesamtheit aller Gesellschaften, Bereiche und Prozesse umschrieben, welche von der Internen Revision abzudecken sind. Grundsätzlich sollte das Audit Universe vollständig die Verhältnisse des Unternehmens widerspiegeln und der Internen Revision in Abstimmung mit dem Vorstand als Grundlage dienen, Revisionsthemen und Prüffelder risikoorientiert abzuleiten und zu priorisieren. Das Audit Universe unterliegt genau wie das Unternehmen Änderungen und Anpassungen (z. B. neue Gesellschaften, Geschäftsbereiche, IT-Systeme etc.) und diese sollten Eingang in die Arbeit der Internen Revision finden. Die Herausforderung für die Interne Revision besteht dabei darin, über entsprechende Änderungen im Unternehmen informiert zu bleiben, um zeitnah auf die neuen Themen im Rahmen ihrer Arbeit einzugehen. Wie gut das der Internen Revision gelingt, hängt davon ab, wie stark die Interne Revision selbst in die Kommunikationskanäle innerhalb des Unternehmens eingebunden ist bzw. inwiefern hier ein Austausch mit dem Vorstand zu den entsprechenden Themen, wie z. B. Strategie, Innovationen etc. stattfindet.
Zwar soll die Interne Revision ihre Prüfungsfelder risikoorientiert auswählen, aber sie muss in der Lage sein, diese auch entsprechend qualitativ und quantitativ abzudecken. Damit verbunden ist die Frage nach der Teamstärke und den verfügbaren Kompetenzen innerhalb der Internen Revision. In der Praxis hat sich gerade bei mittelständischen Unternehmen eine Kombination zwischen einem internen Kernteam an Revisoren, ergänzt um externes Sourcing als geeignet erwiesen, um kurzfristig auf spezifisches Know-how z. B. in Bezug auf Sprache, Prozess- oder IT-Kenntnisse zurückzugreifen. Das Co-Sourcing hilft dabei, flexibel auf etwaige Auslastungsspitzen zu reagieren und das erforderliche Wissen kurzfristig in die Revisionsarbeit einzubinden. Zudem können Themen, bei welchen die Interne Revision möglicherweise in ihrer Unabhängigkeit und Objektivität eingeschränkt ist (z. B. Vorstandsvergütung oder Reisekosten), durch die externen Ressourcen abgedeckt werden.
Die Interne Revision kann nur dann einen sinnvollen Beitrag für das Unternehmen leisten, wenn neben dem klar definierten Zielbild die oben dargestellten Parameter angemessen ausgestaltet sind.
