Internationalisierung und Expansion sowie die ständige Zunahme von Risiken und Compliance-Anforderungen erhöhen die Komplexität der Aufbau- und Ablauforganisation als auch die Überwachungs-und Kontrollpflichten der Aufsichts- und Geschäftsführungsorgane von mittelständischen Unternehmungen. Ein wichtiges Instrument diesen Pflichten in angemessener Art und Weise nachzukommen, ist die Interne Revision. Der folgende Artikel stellt dar, wie eine moderne Interne Revision in acht Schritten eingeführt werden kann.

Anforderungen

Eine direkte Pflicht zur Einführung einer Internen Revision besteht im Mittelstand (bis auf Banken und Versicherungen) nicht. Sie lässt sich lediglich durch die Aufsichts-, Kontroll- und Sorgfaltspflichtpflichten des Aufsichtsrates bzw. der Geschäftsführungsorgane, die in den folgenden Gesetzen und deren Begründung(1) durch den Gesetzgeber definiert ist, ableiten:

  • KontraG und BilMoG (AktG § 76, 91,93, 107),
  • GmbHG §43

Des Weiteren kann das Fehlen einer Internen Revision, eines Internen Kontrollsystems sowie eines Compliance Managements die Haftungsrisiken der Geschäftsführung gemäß §130 Abs 1 OWiG nicht unwesentlich erhöhen.

Die Arbeit einer Internen Revision selbst ist durch die Standards des „Institute of Internal Auditors“ (IIA) geregelt, welches in Deutschland durch das „Deutsche Institut für Interne Revision e.V.“ (DIIR) vertreten wird.

Definition und Nutzen

„Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft“(2).

Die Einführung einer Internen Revision als wichtigen Bestandteil eines Überwachungs- und Kontrollsystems kann mittelständischen Unternehmungen unter anderem folgende Nutzen stiften:

  • Steigerung der Effektivität des Risikomanagements und des Internen Kontrollsystems
  • Sicherstellung der Ordnungsmäßigkeit (Compliance) und Wirtschaftlichkeit
  • Verbesserung von Geschäftsprozessen und Erhöhung der Prozesssicherheit
  • Schaffung von Transparenz über Prozesse und Tochtergesellschaften
  • Aufdeckung und Vermeidung von kriminellen Handlungen
  • Reduzierung von Haftungsrisiken und Entlastung in Hinblick auf Überwachungs- und Kontrollpflichten
  • Beitrag zur Vermögenssicherung

Praxisbeispiel: ausländische Tochtergesellschaften

Ein mittelständisches Unternehmen möchte folgende Fragestellungen beantwortet haben:

  • Wie funktioniert der Einkauf? Werden Vergleichsangebote eingeholt? Wer prüft Bestellungen und darf bei welchen Wertgrenzen Budget freigeben?
  • Wie werden die Konzernrichtlinien hinsichtlich Bestechung und Korruption umgesetzt?
  • Welche Zahlungswege werden genutzt? Wie werden Rechnungen geprüft, gebucht und Zahlungen freigegeben?
  • Wie wird die Inventur durchgeführt? Wie ist das Lager gesichert? Wie wird mit Lagerdifferenzen umgegangen?
  • Wie wird sichergestellt, dass sich der Unfall einer Mitarbeiterin in der Produktion nicht wiederholt?
  • Stimmen die dem Beteiligungscontroller gemeldeten Zahlen mit denen des lokalen Rechnungswesens überein?

In acht Schritten zur Internen Revision

Aus Sicht des Autors empfiehlt es sich, beim Aufbau einer Internen Revision nach den folgenden acht Schritten vorzugehen:

Quelle: Marc W. Theuerkauf

Quelle: Marc W. Theuerkauf

Aufnahme Anforderungen und Erwartungen

In einem ersten Schritt sollten die Anforderungen durch Gesetze, Branchenverbände, Selbstverpflichtungen sowie die Erwartungen der Hauptgeschäftsinteressenten (z.B. Inhaber, Aufsichtsrat, Vorstände) ermittelt werden. Diese Anforderungen und Erwartungen bilden das Fundament für die organisatorische Verankerung der Internen Revision.

Organisatorische Verankerung

Des Weiteren gilt es, die Interne Revision organisatorisch zu verankern und sicherzustellen, dass die Interne Revision eine unabhängige Funktion im Unternehmen darstellt, die keinerlei Verantwortung für die geprüften Organisationseinheiten besitzen darf. Da die Interne Revision ein Instrument der Unternehmensüberwachung ist, bietet es sich an, sie als Stabstelle des Vorstands zu etablieren. Häufig wird sie dem Resort des CFO oder CEO zugerechnet. Da in der Regel die Vorstände gesamtschuldnerisch haften, ist dies bei der Berichterstattung, trotz Zuordnung zu einem Vorstand, zu beachten.

Ein wichtiger Bestandteil bei der Einführung einer Internen Revision ist deren Geschäftsordnung. Diese ist insofern wichtig, da sie u.a. der Internen Revision ihren Auftrag gibt, ihre Tätigkeit zu ggfs. anderen Funktionen abgrenzt und den Zugang auf alle Unternehmensdaten regelt.

Ressourcen – Ausstattung

Nachdem die Stabsstelle Interne Revision geschaffen wurde, ist diese mit ausreichend Human-, Finanz- und Sachbudget auszustatten.

Bei der Ausstattung mit Human Ressourcen stellt sich wie bei vielen Investitionen die Frage: „Lohnt es sich die Aufgaben selbst durchzuführen oder kaufe ich sie ein?“.

Entscheidet man sich für den Bezug der kompletten Internen Revision durch Externe, spricht man von Outsourcing. Wobei die Verantwortung des Vorstandes nicht „outgesourct“ werden kann. Wird die eigene Interne Revision durch Externe unterstützt, handelt es sich um ein sogenanntes Co-Sourcing Model. In beiden Fällen ist es ratsam, dass der intern verantwortliche Revisionsleiter, den externen Dienstleister koordiniert (3).

Aus Sicht des Autors lohnt es sich insbesondere für den Mittelstand, die Dienstleistung Interne Revision durch Outsourcing oder Co-Sourcing einzukaufen. Dies hat unter anderem folgende Vorteile:

  • Höhere Unabhängigkeit und von firmeninterner Politik unbelastetes Personal
  • Hohes Experten- und Spezialwissen, welches intern nur mit hohem Aufwand vorgehalten werden kann
  • Synergieeffekte durch Best Practice Wissen und branchenübergreifende Erfahrung
  • Keine permanenten Arbeitsplatz- und Personalkosten (z.B. Sozialleistungen, Boni, Weiterbildung usw.)
  • Skalierbare Kapazitäten

Das Finanzbudget umfasst im Wesentlichen das Gehalt- und die Sozialleistungen, Weiterbildung, Reisekosten, Budget für externe Dienstleister und Lizenzen für spezielle Software (z.B. Datenanalysen, Flowcharten etc.).

Der Sachmittelbedarf beinhaltet neben einem Büroraum und dessen Ausstattung, IT Equipment (z.B. Laptop, Scanner, Drucker etc.) auch den Bedarf an Sachbüchern und Fachzeitschriften.
Erstellung des Audit-Universums

Audit-Universum nennt man die Sammlung aller möglichen Prüfgebiete der Unternehmung. Hierzu zählen im Allgemeinen alle Kern- und Unterstützungsprozesse (z.B. Einkauf, Produktion, Vertrieb, Personal, IT etc.), Ländergesellschaften, Compliance Themen sowie wichtige Projekte oder Vorhaben (z.B. Akquisitionen, Schaffung eines Shared Service Centers, Kooperationsverträge etc.).

Die Sammlung der möglichen Prüffelder unter Berücksichtigung des Auftrags der Internen Revision durch die Geschäftsordnung bildet die Grundlage für die Erstellung eines risikoorientierten Prüfplanes.

Risikoorientierte Prüfungsplanung

Zur Erstellung eines risikoorientierten Prüfplans ist ein entsprechender Prozess zur Prüfplanerstellung zu definieren. In den meisten Fällen besteht er aus Informationsbeschaffung und -auswertung sowie einer anschließenden Risikobewertung. Folgende unternehmensinternen und –externen sowie qualitativen und quantitativen Informationen sind zu beschaffen und auszuwerten:

  • Unternehmensstrategie
  • Ist-Situation und Kennzahlen zu einzelnen Prozessen und Ländergesellschaften
  • Risikoeinschätzung des Managements (z.B. Vorstand, Finanz-, Personal-, Produktion, Vertrieb Rechtsabteilung usw.)
  • Informationen zu internen Vorfällen (z.B. Personalabteilung, Rechtsabteilung, Sicherheit)
  • Brancheninformationen
  • Risiko- und Themenanalysen von Wirtschaftsprüfungsgesellschaften, Verbänden (z.B. IIA, ISACA etc.)

Anschließend fließen die gewonnenen Informationen in die Risikobewertung des Audit Universums ein. Hierfür sind im Vorfeld entsprechende Risikokriterien und deren Bewertungslogik festzulegen.

Als Nächstes muss eine detaillierte Kapazitätsplanung aufgesetzt werden. Ziel dieser Kapazitätsplanung ist es, anhand der vorhandenen Human Ressourcen, des verfügbaren Finanzbudgets für externe Unterstützung sowie Reisekosten, als auch der durchschnittlichen Projektdauer, die Anzahl möglicher Prüfungen zu ermitteln. Hierbei sind Urlaubs-, Weiterbildungs-, Administrations- als auch Pufferzeiten zu berücksichtigen.

Aus der Risikobewertung und der Kapazitätsplanung lässt sich nun der Auditplan erstellen.

Prozesse, Tools & Templates

Um die Prüfungen erfolgreich durchführen zu können, sind als nächstes der genaue Ablauf des Prüfungsprozesses mit seinen Phasen: Planung, Durchführung, Berichterstellung und Nachschau, als auch dazu gehörige Analyse-, Projektmanagement-, Präsentationstemplates und Kommunikationsemails zu konzipieren.

Quelle: Marc W. Theuerkauf

Quelle: Marc W. Theuerkauf

Falls gewünscht kann man bereits in der Aufbauphase der Internen Revision etwaige Standardprüfprogramme für die Kern- und Hauptunterstützungsprozesse der Unternehmung erstellen.

Datenanalysen sind ein sehr wichtiges Thema für eine Interne Revision, bedürfen jedoch eines längeren Aufwands, um sie richtig zu konzipieren und anzuwenden. Trotzdem sollte bereits am Anfang darauf geachtet werden, dass für die Kernprozesse die notwendigen Kenntnisse hinsichtlich der benutzen ERP Systeme und benötigten Zugangsberechtigungen erlangt werden. Der detailliertere Ausbau eignet sich ideal für den weiter unten angeführten Strategieplan.

Berichtswesen

Die Ergebnisse der Prüfungen der Internen Revision werden in einem Prüfbericht dargelegt. Je nach Erwartung und Informationsbedarf der Hauptadressaten (Vorstand, Management geprüfte Organisationseinheit), gilt es, sich hier über die Form (Fließtext vs. tabellarisch, Word vs. PowerPoint) und den Inhalt, als auch über eine einheitliche Ergebnisbewertung (Rating) Gedanken zu machen.

Zusätzlich zu den einzelnen Prüfberichten sollte die Interne Revision den jährlichen Auditplan zur Genehmigung als auch in regelmäßigen Abständen einen Tätigkeitsbericht an den Aufsichtsrat oder den Vorstand erstellen und präsentieren. Die hierfür zu berichtenden Inhalte, das Format als auch die Häufigkeit sind vorab festzulegen.

Strategieplan

Es empfiehlt sich den Aufbau als auch die sukzessive Weiterentwicklung der Internen Revision in einem mittel- bis langfristigem Strategieplan festzulegen. Am Ende der fünf Jahre sollte es angestrebt werden, sich einem externen Quality Assessment zu unterziehen.

Schlussbemerkung

Mit der oben dargelegten strukturierten Vorgehensweise kann eine moderne Interne Revision in acht Schritten, je nach Verfügbarkeit der Schlüsselpersonen, innerhalb von einem Monat eingeführt werden. Anschließend können die ersten Prüfungen erfolgen. Akzeptanz im Unternehmen muss sich die Interne Revision durch gute Arbeit und Partnerschaft erarbeiten. Gelingt es, gerade in der Einführung durch eine entsprechende Kommunikation und Auswahl der richtigen ersten Prüfungen einen entscheidenden Grundstein zu legen, kann die Interne Revision einen aktiven Wertbeitrag zur Zielerreichung der Unternehmung leisten, indem sie Kontrollrisiken aufzeigt, Transparenz schafft und hilft Geschäftsprozesse zu verbessern.

(1) Vgl. Prof. Dr. Bert Kaminski „Allgemeine Anforderungen der Unternehmensführung an die Interne Revision“ in „“Corporate Governance und Interne Revision: Handbuch für die Neuausrichtung des Internal Auditings“, Erich Schmidt Verlag, 2007

(2) Definition Interne Revision nach DIIR http://www.diir.de/fileadmin/fachwissen/standards/downloads/Definition.pdf

(3) Eine ausführlichere Beschreibung des Outsourcings der Internen Revision kann in der „Leitlinie II 21011: Zum Outsourcing der Internen Revision“ von The AuditFactory nachgelesen werden. (http://www.forum-interne-revision.org/leitlinien/leitlinien/leitlinie-ii-2011-zum-outsourcing-der-internen-revision.html)

Quelle: Marc W. Theuerkauf – Internal Audit Services

Veröffentlicht von: