15.02.2017

Interne Revision: Massnahmen zur Behebung der Schwachstellen

Die Interne Revision hat in den letzten Jahren einen Aufschwung erfahren. Während in früheren Jahren nur grössere Unternehmen eine Interne Revision betrieben haben, wurde nach und nach auch bei mittelständischen Unternehmen eine Interne Revision eingeführt. Das mag mit erhöhten Anforderungen aus Corporate Governance sowie der gesetzlichen Verpflichtung, regelmässig die Existenz eines Internen Kontrollsystems durch die Revisionsstelle bestätigen zu lassen, zu tun haben.

Von: Hans-Ulrich Pfyffer   Drucken Teilen   Kommentieren  

Hans-Ulrich Pfyffer

Hans-Ulrich Pfyffer, Betriebsökonom FH, Dipl. Wirtschaftsprüfer und Certified Internal Auditor (CIA), ist Partner bei KPMG. Er leitet Mandate im Bereich "Co-sourcing Interne Revision" und hat zahlreiche Qualitätsüberprüfungen von Internen Revisionsabteilungen durchgeführt. Er berät im Weiteren Konzerne bei der Gestaltung der Corporate Governance, des Risk Management und der internen Kontrolle.

Zu diesem Artikel wurden noch keine Kommentare geschrieben. Wir freuen uns, wenn Sie den ersten Kommentar zu diesem Artikel verfassen.
 
Kommentar schreiben

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben! Bitte geben Sie eine gültige E-Mail-Adresse ein!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte Wert angeben!

Bitte alle fett beschrifteten Pflichtfelder ausfüllen.
Zurücksetzen
 
Interne Revision

Organisation

Aufgabe/Definition

Als Interne Revision (auch Internal Audit, Inspektorat benannt) wird eine unternehmensinterne Funktion bezeichnet, die im Auftrage einer übergeordneten Stelle (in der Regel Verwaltungsrat) objektive und unabhängige Prüfungen (sinngemäss als Audits oder Reviews bezeichnet) durchführt. Die Prüfungen können dabei Organisationseinheiten, Prozesse oder Systeme umfassen. Regelmässig wird am Ende der Prüfung ein Bericht verfasst, der ein Prüfungsurteil beinhaltet und auf allfällige Schwachstellen hinweist. Von der geprüften Einheit wird verlangt, dass sie Massnahmen zur Behebung der Schwachstellen definiert.  

Der globale Berufsverband der Internen Revision Institute of Internal Auditors (IIA) umschreibt die Aufgabe formell wie folgt: «Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.»  

Die Interne Revision agiert in einer Dreiecksbeziehung, indem sie die eine Partei (d.h. zu überprüfenden Einheit) überprüft, während sie an eine andere Partei (d.h. Auftraggeber, z.B. Verwaltungsrat) rapportiert. Funktionen, die in einer solchen Dreiecksbeziehung tätig sind, werden auch als Assurance Funktion bezeichnet.

Grundlagen

In der Schweiz gibt es keine allgemeine Pflicht, eine Interne Revision zu betreiben. Im Obligationenrecht gibt es keinen Hinweis auf die Interne Revision. Allerdings gibt es in einzelnen Branchen wie Banken und Versicherung eine Pflicht zur Internen Revision (gemäss Bankenverordnung, Versicherungsaufsichtsgesetz sowie Börsenverordnung). Das formelle Erfordernis ist geregelt in den FINMA-Rundschreiben 2008/24 Überwachung und interne Kontrolle Banken sowie Rundschreiben 2008/35 Interne Revision Versicherer. Für die übrigen Wirtschaftsunternehmen kann die Notwendigkeit einer Internen Revision aus den Corporate Governance-Prinzipien abgeleitet werden. Der Swiss Code of Best Practice for Corporate Governance (Economiesuisse) empfiehlt bei schweizerischen Publikumsgesellschaften sowie volkswirtschaftlich bedeutenden Unternehmen oder Organisationen die Einsetzung einer Internen Revision. Konkret wird die Interne Revision in Randziffer 19 erwähnt: «Die Gesellschaft richtet eine interne Revision ein. Diese erstattet dem Prüfungsausschuss (Audit Committee) oder gegebenenfalls dem Präsidenten des Verwaltungsrates Bericht.»  

Der Betrieb einer Internen Revision bei kleineren oder mittelgrossen Unternehmen im Bereich Industrie und Handel ist somit betriebswirtschaftlich zu begründen. In der Praxis gibt es Interne Revisionen in Unternehmen ab einer Grössenordnung von rund 1‘000 Mitarbeitern. Weitere Faktoren bei der Beurteilung der Notwendigkeit einer Internen Revision sind die Komplexität des Geschäftsmodells, das Risikoprofil und die regionale Struktur.  

Das Internal Professional Practices Framework (IPPF) bildet die weltweit anerkannte Grundlage für die Interne Revision. Dieses Regelwerk wird vom IIA herausgegeben und laufend aktualisiert. Die Anwendung dieses Regelwerks ist je nachdem obligatorisch (da gesetzlich verankert) oder zumindest empfehlenswert. Mitglieder des Schweizerischen Verbandes für Interne Revision (SVIR) sind verpflichtet, das IPPF einzuhalten. Das IPPF beinhaltet die drei folgenden Elemente:      

  • Definition              
  • Ethikkodex                  
  • Internationale Standards für die berufliche Praxis der Internen Revision (Standards)  

Die Einhaltung des Regelwerkes muss im Rahmen des Qualitätsmanagements, sei es durch ein Self Assessment oder alle fünf Jahre durch eine externe Qualitätsbeurteilung überprüft werden.

Organisatorische Eingliederung

Die organisatorische Unabhängigkeit ist ein wichtiges Merkmal einer Internen Revision. Der Leiter der Internen Revision muss der Ebene innerhalb der Organisation unterstehen, die sicherstellen kann, dass die Interne Revision ihre Aufgabe sachgerecht erfüllen kann. Ideal ist es, wenn die Interne Revision direkt dem Präsidenten des Verwaltungsrates oder dem Audit Committee unterstellt wird. Daneben kann eine administrative Berichterstattung an ein Mitglied der Geschäftsleitung sinnvoll sein. Eine enge Zusammenarbeit mit dem Audit Committee ist von besonderer Wichtigkeit.  

Das Audit Committee hat in Bezug auf die Interne Revision folgende Aufgaben:           

  • Genehmigung des Reglements der Internen Revision (so genannte Internal Audit Charter).
  • Abnahme der Risikobeurteilung und der darauf basierenden Revisionsplanung.           
  • Kenntnisnahme der Revisionsberichte und des Jahresberichtes.             
  • Regelmässige Besprechungen mit dem Leiter der Internen Revision.         
  • Genehmigung der Anstellung, Gehaltsfestlegungen, Leistungsbeurteilung und allenfalls Entlassung des Leiters der Internen Revision.  

Neben der Internen Revision gibt es innerhalb der Organisationen noch weitere Funktionen, die im Rahmen der Überwachung tätig sind. Neben der Revisionsstelle als externes Organ können auch interne Aufsichtsfunktionen wie Risikomanagement, Controlling oder Business Excellence dazu gezählt werden. Basis einer guten Überwachung bildet ein dokumentiertes Internes Kontrollsystem (IKS), das gemäss Art. 728a OR seit 2008 dokumentiert sein muss und dessen Existenz im Rahmen der ordentlichen Revision regelmässig durch die Revisionsstelle bestätigt werden muss.

Art der Dienstleistung

Gemäss der Definition des IIA gehört die Überprüfung der Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse zu den Pflichtaufgaben der Internen Revision. Die Ausprägung der Aufgaben ist jedoch je nach Branche und Organisation unterschiedlich. Der Anteil von Prüfungen in den einzelnen Kategorien hängt unter anderem von der Risikoeinschätzung und teilweise auch Präferenz der Anspruchsgruppen ab.  

Wichtig ist die Unterscheidung in Assurance- und Beratungsleistungen. Assurance-Dienstleistungen erhöhen Qualität, Relevanz und Zuverlässigkeit von Führungsinformationen. Sie geben den Führungsverantwortlichen zusätzliche Sicherheit bei Führungsentscheidungen. Üblicherweise vermischen sich in der Praxis die Assurance- und Beratungskomponenten. Ein Revisor wird im Rahmen seiner Tätigkeit sowohl Assurance vermitteln, aber auch konkrete Empfehlung abgeben, wie mögliche Schwachstellen vermieden werden können. Reine Beratungsdienstleistungen werden fallweise definiert und dienen der Wertschöpfung und der Verbesserung der Governance, des Risikomanagements sowie der Kontroll- und Steuerungsprozesse.

Kontrollfragen

1. Wie beeinflusst die Unternehmensstrategie die Rolle der Internen Revision?
2. Gibt es ein Reglement (Audit Charter) zur Arbeit der Internen Revision?
3. Ist die Interne Revision integrierter Bestandteil des unternehmerischen Governance-System?
4. Stimmen die Aufgabenstellung, Befugnisse und Verantwortung der Internen Revision mit den Berufsstandard des IIA überein?
5. Ist die Interne Revision so organisiert und strukturiert, dass sie qualitativ gute und konsistente Arbeit erbringen kann?
6. Ist die Unabhängigkeit der Internen Revision durch organisatorische Massnahmen gewährleistet?
7. Hat der Leiter der Internen Revision Richtlinien und Verfahren für den Betrieb seiner Funktion festgelegt?
8. Werden Aktivitäten mit ähnlichen Fachabteilungen koordiniert, um Doppelspurigkeiten zu vermeiden?

Revisionszyklus

Übersicht

Der Einstieg erfolgt regelmässig mit einer Risikoanalyse. Die Risikoeinschätzung ist ein wichtiges Element des Strategischen Prüfplanes. Es handelt sich dabei um ein Dokument für das Audit Committee. In diesem Dokument wird nachvollziehbar aufgezeigt, welche Prüfungen der Internen Revision für das laufende und allenfalls kommende Jahre geplant sind. Dabei sind wenn möglich auch die Prüfungstätigkeiten der externen Revision und weiterer Assurance-Funktionen aufzuzeigen. Das Audit Committee erhält dadurch einen Gesamtüberblick über die Prüfungen aller Assurance-Funktionen und kann allenfalls allfällige Überschneidungen der Prüfungstätigkeit oder allenfalls ungeprüfte Risikobereiche erkennen. Nach Genehmigung dieses strategischen Prüfplanes kann der Leiter der Internen Revision eine detaillierte Ressourcen- und Einsatzplanung in Angriff nehmen.

Planung der Einsätze

Bei der Planung geht es grundsätzlich darum, mit möglichst wenig Ressourceneinsatz die höchstmögliche Wirkung zu erzielen. Dies ist nur möglich, wenn ein risikoorientierter Ansatz gewählt wird. Im Idealfall hat die Organisation bereits durch die Funktion Risikomanagement eine Risikolandkarte erstellt. Diese Risikolandkarte wird durch die Interne Revision validiert und allenfalls durch eigene Risikoüberlegungen ergänzt. Falls in der Organisation noch kein ausgebautes Risikomanagement besteht, obliegt es der Internen Revision, eine eigene Risikobeurteilung zu erstellen. Es ist aber auf jeden Fall wichtig, das operative Linienmanagement in die Risikoeinschätzung einzubeziehen.

Detaillierter Prüfungsablauf

Bei der Durchführung der Prüfung werden grob die Phasen Vorbereitende Arbeiten (Pre-Audit), Durchführung der Revision (Field-Audit) und Arbeiten nach Abschluss der Revision (Post-Audit) unterschieden: Bei den vorbereitenden Arbeiten geht es darum, sich einen ersten Überblick der zu prüfenden Einheit zu verschaffen. In der Regel gibt es bereits verfügbare Informationen, sei es im Intranet, aus früherer Prüfung oder in anderen Stabsabteilungen (wie Controlling, Risikomanagement oder Compliance). Die Durchsicht dieser Informationen dient zur detaillierten Festlegung von Zielen und Umfang der Prüfung. Sofern örtlich in der Nähe kann auch ein Besuch vor Ort einen ersten Eindruck über die zu prüfenden Einheit vermitteln. Die Schlussfolgerungen des Pre-Audits werden in einem Planungsdokument zusammengefasst. Dieses auch als Scoping Memo bezeichnete Dokument dient zur Information der zu prüfenden Einheit einerseits, andererseits auch als konkreter Prüfungsauftrag für das Revisionsteam. Das Dokument sollte vom Leiter der Interne Revision genehmigt werden.

Berichterstattung

Der schriftliche Revisionsbericht ist das wichtigste Produkt der Internen Revision. In einem Revisionsbericht sind Ziele, Umfang und Schlussfolgerungen der Prüfung enthalten. Je nach Erwartungen der Berichtsempfänger kann es sich um einen eher kürzeren Bericht (z.B. 5-10 Seiten) oder um einen umfangreichen Bericht, der bis zu 50 Seiten umfasst, handeln. Empfehlenswert sind kürzere Berichte, da diese aufgrund der zeitlichen Belastung des Managements eher gelesen werden. Es wird auch erwartet, dass der Revisionsbericht eine Stellungnahme der geprüften Stelle beinhaltet. In der Praxis wird in der Regel ein Aktionsplan zur Behebung der festgestellten Mängel dem Schlussbericht beigelegt.

Kontrollfragen
1. Besteht ein effektiver und effizienter Planungsprozess, der auf die wesentlichen Risiken des Unternehmens ausgerichtet ist?
2. Werden für die einzelnen Revisionsprojekte Ziele und das Prüfungsvorgehen definiert und in einem Planungsdokument festgehalten?
3. Werden die Prüfungen mit der notwendigen Sorgfalt (due professional care) durchgeführt?
4. Werden die durchgeführten Prüfungen und Tests dokumentiert und in Arbeitspapieren festgehalten?
5. Wird während der ganzen Prüfung stufengerecht informiert und kommuniziert?
6. Entspricht der Umfang, Darstellung und Inhalt den Erwartungen der Berichtsempfänger?
7. Wird durch das Management ein Aktionsplan erstellt, der die durch die Interne Revision festgestellten Schwachstellen adressiert?
8. Wird die Umsetzung des Aktionsplanes durch Follow-up überwacht?

Unterstützungsprozesse

Qualitätssicherung

Die Wirtschaftskrisen in den letzten Jahrzehnten haben dazu geführt, dass auch die Arbeit der Internen Revision kritisch hinterfragt wird. Dadurch wird die Qualität in der Durchführung der Arbeit immer wichtiger. Im Unterschied zur externen Revision gibt es keine externe Aufsichtsbehörde analog zur Revisionsaufsichtsbehörde (RAB). Deshalb ist es wichtig, dass die vorgesetzte Stelle der Internen Revision, meistens das Audit Committee, dem Qualitätsmanagementsystem eine hohe Priorität zumisst. Die Berufsstandards unterscheiden dabei zwischen internen und externen Massnahmen zur Qualitätssicherung.  

Die internen Massnahmen umfassen dabei die in die Prozesse integrierten Routineverfahren und Kontrollen. Dazu gehören unter anderem die Genehmigung der Prüfungsziele und -vorgehen, die Durchsicht der Arbeitspapiere und die kritische Review des Revisionsberichtes. Das Vier-Augen-Prinzip stellt dabei eine wichtige Kontrollmassnahme dar. Viele Revisionsabteilungen führen im Anschluss an eine durchgeführte Revision noch eine Kundenbefragung durch. Der Leiter der Internen Revision erhält dadurch ein direktes Feedback, das Hinweise zur permanenten Weiterentwicklung der Internen Revision gibt.  

Mindestens einmal pro Jahr ist die Interne Revision verpflichtet, die Einhaltung der Berufsstandards durch eine Selbsteinschätzung zu beurteilen. Diese Selbstbeurteilung kann durch Mitarbeiter der Internen Revision durchgeführt oder an fachkundige Personen innerhalb der Organisation delegiert werden. Externe Beurteilungen müssen mindestens alle fünf Jahre von einem qualifizierten, unabhängigen Beurteiler oder Beurteilungsteam durchgeführt werden. Dadurch ergibt sich ein Rollenwechsel, indem die Interne Revision nun plötzlich die Seiten wechselt und selber überprüft wird.

Mitarbeiter

Einige Konzerne sehen in der Internen Revision eine ideale Stelle zur Förderung und Weiterentwicklung von Managern. Dies deshalb, weil Interne Revisoren Einblick in die verschiedensten Themen und Organisationseinheiten haben. Dies ist eine gute Basis für einen weiteren Karriereschritt im Konzern. Interne Revisionen mit einem klaren Ziel zur Kaderentwicklung haben somit einen tendenziell jüngeren Altersdurchschnitt und auch eine tiefere Verweildauer der einzelnen Mitarbeiter. Eine einzelne Person ist nie in der Lage, alle notwendige Fachkompetenz alleine abzudecken. Entscheidend ist es, dass die Interne Revision insgesamt das Wissen, die Fähigkeiten und beruflichen Qualifikationen besitzt. Fehlt dieses Wissen intern, muss die entsprechende Kompetenz extern bezogen werden. Das IIA hat als Hilfe zur Definition der notwendigen Kompetenzen die Richtlinie Competency Framework for Internal Auditors erstellt (Institute of Internal Auditors, Competency Framework).

Kontrollfragen
1. Wird die Interne Revision regelmässig betreffend Qualität überprüft (Self Assessment, Peer Review und – alle 5 Jahre – externe Überprüfung?
2. Ist sichergestellt, dass die Arbeit der Internen Revision der Definition und dem Ethikkodex des IIA entspricht?
3. Wird ein Programm zur Qualitätssicherung und -verbesserung entwickelt und gepflegt?
4. Werden die Arbeitspapiere durch eine Drittperson überprüft und visiert?
5. Genügen die eingesetzten Revisoren den Anforderungen hinsichtlich Fach- und Sozialkompetenz?
6. Besteht ein angemessenes Schulungs- und Entwicklungsprogramm?
7. Verfügt die Interne Revision über ausreichende Budgetflexibilität, um veränderten Risikoprofilen entsprechen zu können.

Literaturverzeichnis: Economiesuisse, Swiss Code of Best Practice for Corporate Governance; The Institute of Internal Auditors (Hrsg.): Internationale Standards für die berufliche Praxis der Internen Revision; The Institute of Internal Auditors (Hrsg.): Competency Framework.

Produkt-Empfehlungen

  • Newsletter Finanz- und Rechnungswesen

    Newsletter Finanz- und Rechnungswesen

    Aktuelles Praxiswissen für Finanzverantwortliche

    CHF 98.00

  • FinanzPraxis für KMU

    FinanzPraxis für KMU

    Rechnungswesen und Controlling – schnell und sicher umgesetzt

    Mehr Infos

  • RechnungswesenPraxis

    RechnungswesenPraxis

    Ihre Online-Lösung für eine sichere Buchführung und ein effizientes Rechnungswesen

    Mehr Infos

Seminar-Empfehlungen

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Vorbereitung auf die Zwischen- und Jahresrevision

    Ablauf und Kommunikation mit der externen Revisionsstelle

    Nächster Termin: 09. Mai 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Internes Kontrollsystem (IKS)

    So richten Sie Ihr IKS nachhaltig und effizient aus

    Nächster Termin: 20. Juni 2017

    mehr Infos

  • Praxis-Seminar, 1 Tag, ZWB, Zürich

    Anlagenbuchhaltung von A-Z

    Korrekte und rechtssichere Abwicklung in der Praxis

    Nächster Termin: 23. August 2017

    mehr Infos