Der risikoorientierte Prüfungsansatz der Internen Revision

Inhaltsverzeichnis

  Inhaltsverzeichnis  

  Inhaltsverzeichnis  I

  Abbildungsverzeichnis  IV

  Tabellenverzeichnis  V

  Abkürzungsverzeichnis  VI

1  Einleitung  1

1.1  Zielsetzung und Aufbau der Diplomarbeit  1

2  Interne Revision  3

2.1  Grundlagen und Definitionen  3

2.1.1  Begriff des betriebswirtschaftlichen Prüfungswesens  3

2.1.2  Abgrenzung zwischen Prüfung Kontrolle und Revision  3

2.1.3  Definition der Internen Revision  5

2.2  Regulatorische Rahmenbedingungen  6

2.3  Interne und Externe Revision  8

2.3.1  Abgrenzung  8

2.3.2  Zusammenarbeit  9

2.4  Interne Revision im Unternehmen  11

2.4.1  Organisatorische Einbindung  12

2.4.2  Interne Revision als Teil des Risikomanagementsystems (RMS)  12

2.4.2.1  Aufbau und Arbeitsweise des RMS  12

2.4.2.2  Interne Revision und Risikomanagement  15

2.4.3  Bestandteile des RMS  17

2.4.3.1  Controlling  17

2.4.3.2  Frühwarnsystem  17

2.4.3.3  Internes Kontrollsystem (IKS)  18

2.5  Aufgabenbereiche der Internen Revision  20

2.5.1  Financial Auditing  21

2.5.2  Operational Auditing  21

2.5.3  Management Auditing  22

2.5.4  Internal Consulting  23

2.6  Prüfungsziele  23

2.7  Entwicklungstendenzen  25

  I  

Inhaltsverzeichnis

3  Der risikoorientierte Prüfungsansatz im Rahmen der Internen  

  Revision  29

3.1  Grundlagen und Definitionen  29

3.1.1  Definition Risiko  29

3.1.2  Komponenten des Prüfungsrisikos  29

3.2  Notwendigkeit des risikoorientierten Prüfungsansatzes  31

3.3  Risikoorientierte Prüfungsplanung  33

3.3.1  Maßnahmen der risikoorientierten Prüfungsplanung  35

3.3.2  Aufbau des COSO-Modells  37

3.3.3  Erweiterung des COSO-Modells  40

3.4  Risikoorientierte Prüfungsdurchführung  41

3.4.1  Prüfungsvorbereitung  43

3.4.2  Risikoorientierte Prüfungsmethoden  45

3.4.3  Anwendung des COSO-Modells  48

3.5  Berichterstattung  50

3.5.1  Mindestanforderungen an den Prüfungsbericht  50

3.5.2  Schlussbesprechungen  52

3.5.3  Prüfungskontrolle  53

3.6  Einbindung weiterer Prüfungsansätze  54

3.6.1  Systembezogener Prüfungsansatz  55

3.6.2  Transaktionsbezogener Prüfungsansatz  55

3.6.3  Ordnungsmäßigkeitsbezogener Prüfungsansatz  56

3.6.4  Ergebnisorientierter Prüfungsansatz  56

3.7  Besonderheiten bei kleinen und mittelgroßen Unternehmen  57

3.7.1  Abgrenzung von kleinen und mittelgroßen Unternehmen (KMU)  57

3.7.2  Risikoorientierter Prüfungsansatz  58

3.7.2.1  Prüfungsplanung  58

3.7.2.2  Prüfungsdurchführung  60

3.7.2.3  Prüfungsbericht  63

4  Beispielhaftes Vorgehen beim risikoorientierten Prüfungsansatz  64

4.1  Auftragsakquisition  64

4.2  Prüfungsauftrag  65

4.3  Geschäftsordnung  66

4.4  Prüfungsplanung  67

4.4.1  Kick-off Meeting  68

4.4.2  Bestandsaufnahme  69

4.5  Prüfungsdurchführung  70

4.5.1  Praktische Ratschläge  70

4.5.2  Projektablauf  70

4.6  Berichterstattung  72

4.6.1  Beispiel eines Revisionsberichts  72

4.6.2  Schlussbesprechung und Prüfungskontrolle  73

  II  

Inhaltsverzeichnis

5  Zusammenfassung  75

Anhang   78

  Literatur und Quellenverzeichnis  90

  III  

Abbildungsverzeichnis

  Abbildungsverzeichnis  

  Abb 1: Regelungsbereiche der unternehmerischen Überwachung  4

  Abb 2: Regelungsbereiche des Internen Kontrollsystems  13

  Abb 3: Risikomanagementsystem (RMS) und Interne Revision  15

  Abb 4: Ziele der Internen Revision  24

  Abb 5: Komponenten des Prüfungsrisikos  30

  Abb 6: COSO-Würfel (COSO I)  37

  Abb 7: Operatives Vorgehen bei der Prüfungsdurchführung  43

  Abb 8: Ablauf einer risikoorientierten Prüfung durch die Interne Revision  44

  Abb 9: Risikoorientierte Ermittlung der Prüfungsmethoden  48

  Abb 10: Zusammenwirken der unterschiedlichen Prüfungsansätze bei der  

  Prüfungstätigkeit der Internen Revision  54

  IV  

Tabellenverzeichnis

  Tabellenverzeichnis  

  Tab 1: Interne Revision im Vergleich zur Abschlussprüfung  9

  Tab 2: Reifegrad Prüfungsansatz vs Reifegrad IKS im Unternehmen  49

  Tab 3: Projektablauf  70

  V  

Abkürzungsverzeichnis

   

   

  Abkürzungsverzeichnis  

   

  Abkürzung Begriff  

   

  AktG Aktiengesetz  

   

  Aufl. Auflage  

   

  bspw. beispielsweise  

   

  bzw. beziehungsweise  

   

  ca. circa  

   

  CIA Certified Internal Auditor  

   

  COSO Committee of Sponsoring Organizations of the Treadway Commission  

   

  d.h. das heißt  

   

  DCGK Deutscher Corporate Governance Kodex  

   

  EDV Elektronische Datenverarbeitung  

   

  engl. englisch  

   

  ERM Enterprise Risk Management  

   

  etc. et cetera (und so weiter)  

   

  ggf. gegebenenfalls  

   

  HGB Handelsgesetzbuch  

   

  Hrsg. Herausgeber  

   

  i.d.R. In der Regel  

   

  IDW Institut der Wirtschaftsprüfer  

   

  IIA Institute of Internal Auditors  

   

  IIR Institut für Interne Revision  

   

  IKS Internes Kontrollsystem  

   

  inkl. inklusive  

   

  IR Interne Revision  

   

  ISA International Standards on Auditing  

   

  IT Informationstechnik  

   

  KMU kleine und mittlere Unternehmen  

   

  KonTraG Gesetz zur Kontrolle und Transparenz  

   

  NYSE New York Stock Exchange  

   

  PA Practice Advisories  

   

  PC Personal Computer  

   

  PMC Public Management Consulting  

   

  PS Prüfungsstandard  

   

  RMS Risikomanagementsystem  

   

  RW Rechnungswesen  

   

VI

Abkürzungsverzeichnis

   

   

   

  RWS Risikoworkshop  

   

  s. siehe  

   

  SEC Securities and Exchange Commission  

   

  sog. sogenannte  

   

  SOX Sarbanes Oxley Act  

   

  SVIR Schweizerischer Verband für Interne Revision  

   

  TransPuG Transaktions- und Publizitätsgesetz  

   

  US United States  

   

  USA United States of America  

   

  usw. und so weiter  

   

  v.a. vor allem  

   

  vorl. vorläufig  

   

  vs. versus  

   

  z.B. zum Beispiel  

   

VII

1 Einleitung

1 Einleitung

1.1 Zielsetzung und Aufbau der Diplomarbeit

Die wachsende Dynamik der wirtschaftlichen Rahmenbedingungen erfordern eine immer schnellere Anpassung der Unternehmen an sich verändernde Ver- hältnisse 1 . Jedes Unternehmen, sowohl im nationalen als auch im internationalen Wettbewerb steht unter dem Zwang, Abläufe effizienter organisieren zu müssen. Um wettbewerbsfähig zu bleiben, sind Einsparungen und Effizienzsteigerungen in sämtlichen Unternehmensbereichen erforderlich. Ein weiterer, enorm wichtiger Faktor ist der Schritt in Richtung Ausland, als Folge der Globalisierung. Prozessänderungen, -neugestaltungen und -optimierungen folgen schlussendlich automatisch, was die unternehmensinternen Risiken täglich neu und in veränder- ter Form darstellt. Just-in-time-Systeme, internetbasierte Absatzwege und weit verzweigte Lieferantenbeziehungen sind nur einige externe Faktoren, deren Risi- kopotenzial von der Unternehmensleitung erkannt und richtig eingeschätzt werden muss. 2

Die Arbeit der Internen Revision hat im Laufe der Jahre immer mehr an Bedeutung gewonnen. Wirtschaftskriminalität, neue Absatzwege, globale Märkte, laufende Prozessveränderungen und -optimierungen sind nur einige Beispiele, welche eine Interne Revision erforderlich und unerlässlich machen. Als wichtigstes Instrument der internen Unternehmensüberwachung reagiert sie auf diese Entwicklungen mit einer risikoorientierten Prüfung der Kern- und Unterstützungsprozesse, mit detail- lierten System- und Ordnungsprüfungen sowie mit verschiedenen Beratungsleis- tungen zur Vermeidung neuer Risiken 3 . Dabei ist das Ziel der Unternehmen, ihr eigenes Unternehmensrisiko zu minimieren.

1 Vgl.: Hunecke, J.: Interne Beratung durch die Interne Revision. Herausforderung und Chance für den Berufsstand der

Internen Revisoren, 2., überarbeitete Aufl., Sternenfels 2003, S. 199.

2 Vgl.: Warth & Klein Wirtschaftsprüfungsgesellschaft: Risikomanagementsysteme – erkennen Sie Ihre Risiken und reagie-

ren Sie mit Prophylaxe, 2008 online: http://www.warth-klein.de/downloads/risikomanagement.pdf, 08.01.2008.

3 Vgl.: Amling, T.; Bantleon, U.: Handbuch der Internen Revision. Grundlagen, Stnadards, Berufsstand, Berlin 2007, S. 26.

1

1 Einleitung

Die Interne Revision übernimmt einen Teil der essentiellen Unternehmens- überwachung, indem sie alle unternehmerischen Risiken betrachtet, hinterfragt und prüft. Im Anschluss daran berät sie bei der Verbesserung, Beseitigung oder bei der Minimierung dieser Risiken und steht der Geschäftsleitung als umfassen- der und objektiver Berater zur Seite.

Die Affäre um „schwarze Kassen bei Siemens“ ist ein sehr gutes und aktuelles Beispiel, welches die enorm wichtige Arbeit der Internen Revision demonstriert. Auch wenn Revisoren weit mehr zu tun haben als Korruption und Unterschlagung im eigenen Haus aufzuspüren – es bleibt trotzdem ein sehr wichtiger Teil ihrer Ar- beit. Hundertprozentige Sicherheit gibt es laut Herrn Schartmann, Leiter der Kon- zernrevision bei der Deutschen Post World Net, nicht. Mit einer starken Internen Revision kann jedoch die Wahrscheinlichkeit für spektakuläre Firmenpleiten wie beim US-amerikanischen Energiekonzern Enron, oder die Wahrscheinlichkeit für spektakuläre Affären wie bei Siemens, deutlich reduziert werden. 4

Ziel dieser Arbeit ist die umfassende Darstellung der Grundlagen der Internen Re- vision sowie das Aufzeigen von Entwicklungstendenzen, was in Kapitel 2 darge- stellt wird. Der risikoorientierte Prüfungsansatz im Rahmen der Internen Revision - Grundlagen, Vorgehensweise und praktische Ratschläge – wird in Kapitel 3 vor- gestellt. Im Anschluss daran wird die Diplomarbeit mit dem beispielhaften Vorge- hen einer fiktiven Prüfung der Beratungsgesellschaft Consulters & Friends GmbH (es handelt sich in diesem Fall um eine fiktive Firma, eventuelle Ähnlichkeiten mit realen Personen / Firmen sind zufällig) in Kapitel 4 abgerundet. Die Zusammen- fassung bildet das abschließende Ende dieser Arbeit.

4 Vgl.: Jahn, J.: Revision ist auch Knastprophylaxe, 2008 online: http://berufundchance.fazjob.net/s/

RubC43EEA6BF57E4A09925C1D802785495A/Doc~E426663DE60AD43E4B42490E127FD9509~ATpl~Ecommon~Sco

ntent.html, 29.01.2008.

2

2 Interne Revision

2 Interne Revision

2.1 Grundlagen und Definitionen

„Prüfungen sind stets dann notwendig, wenn ein Sachverhalt von Natur aus nicht vollkommen sein kann, jedoch ein bestimmter Grad von Vollkommenheit...zu er- reichen ist.“ 5 Diese pauschale Aussage gilt für alle Sachverhalte, die aus mensch- licher Tätigkeit hervorgehen und sich auf das menschliche Zusammenleben aus- wirken.

Im Folgenden werden die für das Kapitel zwei dieser Arbeit relevanten Grundlagen und Definitionen dargelegt.

2.1.1 Begriff des betriebswirtschaftlichen Prüfungswesens

Grundsätzlich ist jede Prüfung der Vergleich eines IST-Objekts mit einem SOLL- Objekt mit anschließender Urteilsbildung. Ist das Prüfungsobjekt hierbei das wirt- schaftliche Geschehen in Betrieben, so handelt es sich um das betriebswirtschaft- liche Prüfungswesen. Kennzeichnende Merkmale für betriebswirtschaftliche Prü- fungen prägen sich in verschiedenen Formen, wie in der prüfungsveranlassenden Stelle, in der Art des Prüfungsobjektes oder in den geforderten bzw. notwendigen Normen aus. 6

2.1.2 Abgrenzung zwischen Prüfung, Kontrolle und Revision

Im allgemeinen Sprachgebrauch wird der Begriff „Prüfung“ in vielerlei Hinsicht verwendet und daher auch unterschiedlich definiert. Sie gilt jedoch immer als eine nicht laufende Überwachung, die nicht periodisch, sondern nur situationsbedingt oder fallweise erfolgt. 7 Gegenstand der Prüfung können dabei sowohl Personen, Dinge oder auch Prozesse sein. Ganz wesentlich ist dabei die Durchführung durch natürliche, prozessunabhängige Personen, sowie eine ex-post Betrachtung, also die Betrachtung nach Vollzug der unternehmerischen Abläufe. 8

5 Förschle, G.; Peemöller, V.: Wirtschaftsprüfung und Interne Revision, Heidelberg 2004, S. 1.

6 Vgl.: Förschle, G.; Peemöller, V.: Wirtschaftsprüfung und Interne Revision, Heidelberg 2004, S. 1.

7 Vgl.: Knapp, E.: Interne Revision und Corporate Governance, Berlin 2005, S. 31.

8 Vgl.: Knapp, E.: Interne Revision und Corporate Governance, Berlin 2005, S. 31.

3

2 Interne Revision

Der Begriff „Revision“ wird hier zum einen als Prozess verstanden, der die Über- prüfung von Geschäftsvorfällen und das Zusammenwirken betrieblicher Systeme hinsichtlich ihrer Richtigkeit, Ordnungs-, Gesetzes- und Zweckmäßigkeit zum Ge- genstand hat 9 . In diesem Zusammenhang wird häufig auch das Synonym „Prü- fung“ verwendet, wobei eine klare Abgrenzung in der Vergangenheit, aber auch in der aktuellen Diskussion nicht festzustellen ist 10 . Grundsätzlich ist jedoch anzu- merken, dass „Revision“ eine Funktion darstellt, während „Prüfungen“ isolierte Vorgänge oder Abfolgen gezielter Handlungen sind 11 .

Zum anderen beschreibt der Begriff „Revision“ eine prozessunabhängige Instituti- on – die Stabstelle „Interne Revision“ - auf deren Ziele, Aufgaben und Arbeitswei- sen im Laufe dieser Arbeit weiter eingegangen wird. 12

Zur Abgrenzung von „Prüfung“ und „Kontrolle“ ist zunächst zwischen prozess- abhängigen und -unabhängigen Überwachungsmaßnahmen zu unterscheiden.

Abb. 1: Regelungsbereiche der unternehmerischen Überwachung

Quelle, in Anlehnung an: Hoffmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisions- praxis, 2. Aufl., Berlin 1993, S. 28.

9 Vgl.: Brockhaus: Der Brockhaus in Text und Bild 2003, Mannheim 2002, Stichwort: Revision.

10 Vgl.: Knapp, E.: Interne Revision und Corporate Governance, Berlin 2005, S. 32.

11 Vgl.: Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

12 Vgl.: Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 59.

4

2 Interne Revision

Prozessabhängige Überwachungsmaßnahmen, wie z.B. Kontrollen, sind in den betrieblichen Abläufen unmittelbar eingebunden und damit bei jedem Prozessab- lauf automatisch wirksam. Es handelt sich dabei um präventive und aufdeckende Maßnahmen, die in der Verantwortung der prozessintegrierten Personen liegen. 13 Bei prozessunabhängigen Überwachungsmaßnahmen (Prüfungen) stehen weder die Maßnahme an sich, noch die verantwortlichen Personen in direktem Zusam- menhang mit dem zu überwachenden Prozess. Sie werden meist von der unab- hängigen und objektiv arbeitenden Internen Revision durchgeführt. 14

Zusammenfassend unterscheidet sich die Prüfung bzw. die Revision von der Kon- trolle durch ihre Prozessunabhängigkeit 15 . Dennoch ist ihre Zielsetzung identisch – nämlich sowohl die vorbeugende, als auch die aufdeckende Überwachung des betrieblichen Handelns, sowie die Sicherstellung der Einhaltung und Effizienz or- ganisatorischer Regelungen durch Soll-/Ist-Vergleiche. 16

2.1.3 Definition der Internen Revision

Die in der Literatur am häufigsten verwendete Definition der Internen Revision ist die des Deutschen Instituts für Interne Revision e.V. (IIR):

Die Interne Revision unterstützt die Unternehmen bzw. die Organisation eines Un- ternehmens bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen sowie die Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft. 17 Bei der Internen Revision handelt es sich um eine Abteilung, einen Unterneh- mensbereich oder eine Division, um ein Team von Beratern oder anderen Fach- leuten, die unabhängige und objektive Prüfungs- und Beratungsleistungen erbrin-

13 Vgl.: Institut der Wirtschaftsprüfer (IDW): IDW PS 260 - Das interne Kontrollsystem im Rahmen der Abschlussprüfung, in: Die Wirtschaftsprüfung, Heft 16/2001, S 822.

14 Vgl.: Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

15 Vgl.: Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 22. Aufl., München 2005, S. 192. 16 Vgl.: Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 22. Aufl., München 2005, S. 192 ff. 17 Vgl.: Deutsches Institut für Interne Revision (IIR) e.V.: IIR Revisionsstandard Nr. 1. Zusammenarbeit von Interner Revisi- on und Abschlussprüfer, S. 1.

5

2 Interne Revision

gen. Diese sind darauf ausgerichtet, Mehrwerte zu schaffen und die Geschäfts- prozesse zu verbessern. 18

2.2 Regulatorische Rahmenbedingungen

Prüfungen der Internen Revision unterliegen einer Vielzahl von regulatorischen Rahmenbedingungen. Insbesondere folgende Vorschriften sind dabei von großer Bedeutung:

• KonTraG (Gesetz zur Kontrolle und Transparenz im Unternehmen, 1998): Anlässe für das KonTraG waren zum Teil spektakuläre Unternehmenskrisen und die damit verbundene Kritik am System der Unternehmensüberwachung in Deutschland. Die Ziele waren somit neben einer allgemeinen internen, als auch externen Verbesserung der Kontrolle und Transparenz der Unternehmen, eine stärkere Problem- und Risikoorientierung innerhalb der Prüfung aufzubauen. 19 Dies geschah maßgeblich über eine Neuregelung der Tätigkeiten von Vorstand, Aufsichtsrat und Jahresabschlussprüfer. Im neuen § 91 Abs. 2 AktG wird das Risi- komanagement im Unternehmen gesetzlich verankert. Auch wenn die Interne Re- vision nicht explizit in der Vorschrift genannt ist, wird ihre Einrichtung in jedem Fall vom Gesetzgeber befürwortet. 20

• DCGK (Deutscher Corporate Governance Kodex):

Laut der Definition des Corporate Governance versteht man darunter den rechtli- chen und faktischen Ordnungsrahmen zur Leitung und Überwachung eines Unter- nehmens 21 . Der DCGK befasst sich vorrangig mit den Rechten der Aktionäre, den Aufgaben und Zuständigkeiten von Vorstand und Aufsichtsrat sowie mit Fragen der Transparenz und Rechnungslegung 22 . Grundsätzlich versteht man unter den Corporate-Governance-Grundsätzen Verhaltensmaßstäbe für die Unternehmens- leitung und -überwachung 23 . Der DCGK nimmt ebenfalls nicht direkt Bezug auf die Interne Revision, er verpflichtet jedoch den Aufsichtsrat zur Einrichtung eines Prü-

18 Vgl.: Deutsches Institut für Interne Revision (IIR) e.V.: IIR Revisionsstandard Nr. 1. Zusammenarbeit von Interner Revisi- on und Abschlussprüfer, S. 1.

19 Vgl.: Institut der Wirtschaftsprüfer in Deutschland e.V.: WP Handbuch 2000, 12. Aufl., Düsseldorf 2000, S. 1369. 20 Vgl.: Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap, Stuttgart 2006, S.11.

21 Vgl.: Amling, T.; Bantleon, U.: Handbuch der Internen Revision. Gundlagen, Standards, Berufsstand, Berlin 2007, S. 30. 22 Vgl.: Lück, W.: Zentrale Tätigkeitsbereiche der Internen Revision, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2006, S.104.

23 Vgl.: Lange, K.: Corporate Governance für Familienunternehmen, in: Betriebs-Berater, Heft 48/2005, S. 2585.

6

2 Interne Revision

fungsausschusses. Dieser hat sich nach dem DCGK insbesondere mit Fragen der Rechnungslegung und des Risikomanagements zu befassen und sollte sich mit der Anwendung von Rechnungslegungsgrundsätzen, sowie mit internen Kontroll- verfahren auskennen. Durch den DCGK wurde der Grundstein für eine Zusam- menarbeit von Prüfungsausschuss und Interner Revision gelegt. 24

• TransPuG (Transparenz- und Publizitätsgesetz):

Mit dem TransPuG vom 19.07.2002 wurden durch die Neueinfügung des § 161 AktG die Standards des DCGK gesetzlich verankert. Vorstand und Aufsichtsrat von börsennotierten Gesellschaften müssen demzufolge jährlich eine Erklärung bezüglich der Einhaltung des Deutschen Corporate Governance Kodexes abge- ben. Wurden einzelne Empfehlungen vom Unternehmen nicht umgesetzt, ist dies ebenfalls zu melden. 25

• Regelungen des SOX (Sarbanes-Oxley Act):

Als Reaktion auf mehrere US-amerikanische Bilanzskandale trat am 30.07.2002 der sog. SOX in Kraft. Laut Gesetz müssen die interne Kontrollorganisation und die internen Kontrollsysteme jährlich geprüft und anschließend im „Control Report“ berichtet werden. Dieses Gesetz gilt bisher für alle Unternehmen, deren Aktien an der New York Stock Exchange (NYSE) gehandelt werden bzw. bei der Securities and Exchange Commission (SEC) registriert sind. Es gilt unabhängig davon, wo sich der Sitz der Gesellschaft befindet.

Die Interne Revision ist im Gegensatz zum Abschlussprüfer nicht explizit im SOX erwähnt, Konsequenzen für die Ausgestaltung und Tätigkeit leiten sich jedoch aus den geänderten Regelungen für Vorstand, Aufsichtsrat und Abschlussprüfer ab. 26 Es ist davon auszugehen, dass eine ähnliche Regelung für den europäischen Markt folgen wird und praktisch sämtliche Kapitalgesellschaften unabhängig von ihrer Rechtsform und nationalen Zugehörigkeit betreffen wird. Damit sind entspre- chende Konsequenzen und Ausstrahlungswirkungen für die Interne Revision zu erwarten. 27

24 Vgl.: Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap, Stuttgart 2006, S.11.

25 Vgl.: Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap, Stuttgart 2006, S.11.

26 Vgl.: Arbeitskreis „Externe und Interne Überwachung der Unternehmung“ der Schmalenbach-Gesellschaft für Betriebs- wirtschaft e.V.: Auswirkungen des Sarbanes-Oxley Act auf die Interne und Externe Unternehmensüberwachung, in: Be- triebs-Berater, Heft 44/2004, S. 2400.

27 Vgl.: Förschle, G.; Peemöller, V.: Wirtschaftsprüfung und Interne Revision, Heidelberg 2004, S. 679.

7

2 Interne Revision

• IIR/IIA (Deutsches Institut für Interne Revision/Institute of Internal Auditors): Das IIR, welches die nationale Ebene vertritt, hat in Anlehnung an das IIA, wel- ches die internationale Ebene repräsentiert, bisher drei Standards erlassen. Alle drei Standards beziehen sich auf die ordnungsgemäße Durchführung der Tätigkei- ten der Internen Revision. Für die berufliche Praxis wurde ergänzend ein ganzer Katalog an „Praktischen Ratschlägen“ zur Erleichterung der Revisionsarbeit he- rausgegeben. Da es sich hierbei jedoch um Standards bzw. Ratschläge und nicht um gesetzliche Verankerungen handelt, bleiben weiterhin erhebliche Freiräume bei der Ausgestaltung der Internen Revision bestehen. 28

2.3 Interne und Externe Revision

2.3.1 Abgrenzung

Aus dem Begriff der Revision leitet sich die Bezeichnung Interne Revision für die Abteilung ab, welche innerhalb eines Unternehmens Überwachungsaufgaben wahrnimmt 29 . Die Anforderungen, ob von internen oder externen Interessens- gruppen, sind dabei sehr vielfältig. Eine zeitgemäße Interne Revision soll auf Ba- sis einer prozess- und risikoorientierten Prüfungsplanung alle Betriebs- und Ge- schäftsabläufe grundsätzlich in einem Dreijahresrhythmus prüfen. Ebenfalls sollen projektbegleitende Prüfungen, Pflicht- und Sonderprüfungen durchgeführt werden, sowie eine interne Beratung im Unternehmen stattfinden. Als Innovator soll die Interne Revision durch Verbesserungsvorschläge zur Steigerung des Unterneh- menswertes beitragen. 30 Es handelt sich um eine organisatorische Funktion, die im Auftrag der Unternehmensleitung Überwachungsaufgaben wahrnimmt.

Dagegen ist die Externe Revision ein von der Unternehmensleitung bzw. vom Auf- sichtsrat bestelltes, aber unternehmensexternes Prüfungsorgan. Hierunter fallen die Wirtschaftsprüfer, die Steuerberater aber auch die Unternehmensberater (z.B. IT- oder Baurevisoren). Die grundsätzliche Aufgabe dieses externen Prüfungsor-

28 Vgl.: Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap,

Stuttgart 2006, S.12.

29 Vgl.: Kagermann, H.; Küting, K.; Weber, C.: Handbuch der Revision. Management mit der SAP-Revisions-Roadmap,

Stuttgart 2006, S. 5.

30 Vgl.: Hübner, G.; Redenius, I.: Risiko- und prozessorientierte Prüfungsplanung der Internen Revision, in: Die Bank

4/2002, S. 276.

8

2 Interne Revision

gans liegt in der gesetzlich vorgeschriebenen, unabhängigen Prüfung des Jahres- abschlusses, mit dem Ziel des Gläubiger- und/oder Aktionärsschutzes. 31

Nachfolgende Tabelle stellt die wesentlichen Unterschiede zwischen Interner- und Externer Revision deutlich dar:

Tab. 1: Interne Revision im Vergleich zur Abschlussprüfung

Quelle: Horváth, P.; Reichmann, T.: Vahlens Großes Controllinglexikon: Interne Revision im Vergleich zur Abschlußprüfung, München 1993, S. 556.

2.3.2 Zusammenarbeit

Der Ausgangspunkt für die Intensivierung der Zusammenarbeit von Interner und Externer Revision stellt die unternehmerische Überwachung dar. So sind bei bei- den Institutionen gewisse Übereinstimmungen aufzufinden, beispielsweise in der

31 Vgl.: Nickel, S.: Die Interne Revision – Relikt oder Instrument marktorientierter Unternehmensführung?, 2007 online: http://www.nickel-consulting.de/sncinside/snc_revision.htm, 24.10.2007.

9

2 Interne Revision

Prüfung der Ordnungsmäßigkeit von Buchführung und Rechnungslegung. 32 Eben- falls sind vergleichbare Prüfungshandlungen bei der Prüfung des Internen Kon- trollsystems durch die Interne Revision und der Prüfung des Internen Überwa- chungssystems durch den Abschlussprüfer ersichtlich. Der direkte Zusammen- hang wird bei der Beurteilung des Internen Überwachungssystems, welches die Aufgabe des Abschlussprüfers ist, deutlich. Je geringer das Risiko, dass durch Mängel im Internen Überwachungssystem Fehler oder Unregelmäßigkeiten nicht oder nicht rechtzeitig verhindert oder entdeckt werden, desto weniger Prüfungs- handlungen muss der Abschlussprüfer durchführen. Folglich ist eine effiziente Ar- beit der Internen Revision die Voraussetzung für eine Reduktion der Prüfungs- handlungen des Abschlussprüfers. 33

Der Umfang der Zusammenarbeit erstreckt sich auf die Phasen Planung, Durch- führung und Überwachung, also auf alle Phasen einer Prüfung. Denkbar ist der Austausch von Berichten, die Durchführung von gemeinsamen Projekten und die Abstimmung von Prüfungsprogrammen. Da die Unternehmen in ihrem Lagebericht pflichtgemäß auf die Risiken der zukünftigen Unternehmensentwicklungen einge- hen, sollte eine verstärkte Zusammenarbeit bei der Prüfung des Risikomanage- mentsystems bzw. des Risikofrüherkennungssystems und des Überwachungssys- tems erfolgen. Der Abschlussprüfer, der den Lagebericht prüft und die wahrheits- gemäße Darstellung sicherstellt, wird in diesen Fällen häufig die guten Kenntnisse der Internen Revisoren nutzen. 34

Die Zusammenarbeit von Interner Revision und Abschlussprüfer muss immer dem Grundsatz der Wirtschaftlichkeit entsprechen 35 . In keinem Fall darf der Abschluss- prüfer die Ergebnisse der Internen Revision als Ersatz für die eigenen Prüfungs- handlungen verwenden. Er muss gewissenhaft prüfen, in welchem Umfang er die

32 Vgl.: Lück, W.: Zusammenarbeit von Interner Revision und Abschlussprüfer, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2003, S. 30.

33 Vgl.: Lück, W.: Zusammenarbeit von Interner Revision und Abschlussprüfer, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2003, S. 31.

34 Vgl.: Deutsches Institut für Interne Revision (IIR): IIR Revisionsstandard Nr. 1 . Zusammenarbeit von Interner Revision und Abschlussprüfer, S. 4 ff.

35 Vgl.: Deutsches Institut für Interne Revision (IIR): IIR Revisionsstandard Nr. 1. Zusammenarbeit von Interner Revision und Abschlussprüfer, S. 3

10

2 Interne Revision

Ergebnisse verwerten kann. 36 Die Anforderungen für eine ordnungsgemäße Zu- sammenarbeit beider Institutionen sind dabei klar formuliert: Der Abschlussprüfer und der Interne Revisor muss den allgemeinen und besonderen Berufspflichten, wie z.B. den gesetzlichen Pflichten, den Standards der Berufsstände, der Objekti- vität und Professionalität sowie dem gegenseitigen Informationsaustausch nach- kommen. 37 Beide Institutionen müssen zudem nicht zuletzt durch das Inkrafttreten des KonTraG (siehe hierzu 2.2) verstärkt risikoorientiert bei ihren Prüfungen vor- gehen 38 .

Zusammenfassend haben sich die Aufgaben und der Umfang der beruflichen Tä- tigkeiten der Internen, aber auch der Externen Revision in Form des Abschluss- prüfers, im Laufe der Zeit gewandelt. Dabei sind die Anforderungen an beide Ü- berwachungsorgane kontinuierlich gewachsen. 39 In Zukunft werden vor allem die Ausweitung der Aufgabengebiete sowie die zunehmende Komplexität und Interna- tionalisierung der Prüfungsaufgaben, erhöhte Haftungsrisiken der Unternehmen, die wachsende Bedeutung der Informationstechnologien sowie die zunehmende Professionalität der Internen Revision, die Zusammenarbeit bestimmen und ver- stärken. 40

2.4 Interne Revision im Unternehmen

Zunächst wird unter 2.4.1 die grundlegende organisatorische Einordnung der In- ternen Revision – ob unternehmensintern als Abteilung oder in Form des Outsour- cings – anhand von drei allgemein gültigen Konzeptionen erläutert. Anschließend wird in Kapitel 2.4.2 ein umfassender Überblick der Funktion „Interne Revision“ im Unternehmen selbst aufgezeigt.

36 Vgl.: Institut der Wirtschaftsprüfer (IDW): IDW PS 321 – Interne Revision und Abschlussprüfung, in: Die Wirtschaftsprü- fung, Heft 13/2002, S. 687.

37 Vgl.: Deutsches Institut für Interne Revision (IIR): IIR Revisionsstandard Nr. 1 . Zusammenarbeit von Interner Revision und Abschlussprüfer, S. 3 ff.

38 Vgl.: Lück, W.: Zusammenarbeit von Interner Revision und Abschlussprüfer, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2003, S. 31.

39 Vgl.: Lück, W.: Zentrale Tätigkeitsbereiche der Internen Revision, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2006, S. 123.

40 Vgl.: Deutsches Institut für Interne Revision (IIR): IIR Revisionsstandard Nr. 1 - Zusammenarbeit von Interner Revision und Abschlussprüfer, S. 5.

11

2 Interne Revision

2.4.1 Organisatorische Einbindung

Die Interne Revision kann in Form einer unternehmensinternen Abteilung konzi- piert sein oder als Fremdleistung von Außen eingekauft werden (Outsourcing). In der Praxis sind häufig auch Mischformen der beiden Varianten aufzufinden, die sog. Teil- oder Co-Sourcing-Modelle. Grundsätzlich lassen sich die 3 Konzeptio- nen der Internen Revision wie folgt abgrenzen: 41 Konzeption I: Die Interne Revision bewältigt prinzipiell alle Aufgaben selbst-

Konzeption II:

Konzeption III:

2.4.2 Interne Revision als Teil des Risikomanagementsystems (RMS)

2.4.2.1 Aufbau und Arbeitsweise des RMS

Unternehmen sind zahlreichen Risiken ausgesetzt. Zur Sicherung des Fort- bestands eines Unternehmens ist eine verstärkte Auseinandersetzung mit der Ri- sikoproblematik der sich ständig ändernden Rahmenbedingungen erforderlich. Diese Risikoproblematik ist dabei insbesondere von technischen, wirtschaftlichen und rechtlichen Einflussgrößen, wie z.B. von der Technologisierung der Unter- nehmen, von modernen Informations- und Kommunikationstechnologien oder vom steigenden internationalen Wettbewerb bestimmt. Sie ist somit dynamisch und

41 Vgl.: Füss, R.: Die Interne Revision. Bestandsaufnahme und Entwicklungsperspektiven, hrsg. von: Deutsches Institut für

Interne Revision e.V. (IIR), Berlin 2005, S. 274.

12

2 Interne Revision

komplex zugleich und macht ein Risikomanagement im Unternehmen unabding- bar. 42

Abb. 2: Regelungsbereiche des Internen Kontrollsystems

Quelle: in Anlehnung an IDW PS 261, in: Die Wirtschafsprüfung, Heft 22/2006, S. 1437.

Unter Risikomanagement ist ein nachvollziehbares, alle Unternehmensaktivitäten umfassendes Regelungssystem zu verstehen. Auf Basis einer definierten Risiko- strategie umfasst das Risikomanagement ein systematisches und permanentes Vorgehen bei den Aktivitäten: Identifikation, Analyse, Bewertung, Steuerung, Do- kumentation, Kommunikation und Überwachung von Risiken. Es ist ein integraler Bestandteil der Geschäftsprozesse, sowie der Planungs- und Kontrollprozesse. 43 Die Risikomanagementfunktion ist bei der Unternehmensführung angesiedelt 44 . Das strategische Risikomanagement, welches sich aus Frühwarnsystem, Internes Kontrollsystem und Controlling zusammensetzt (siehe Abb. 2), bildet dabei die integrative Klammer um sämtliche Aktivitäten des operativen Risikomanagements. Ein weiteres wesentliches Element des RMS ist die Risikokultur eines Unterneh-

42 Vgl.: Hölscher, R.; Giebel, S.; Karrenbauer, U.: Stand und Entwicklungstendenzen des industriellen Risikomanagements, in: ZRFG 04.06, S. 149.

43 Vgl.: Deutsches Institut für Interne Revision (IIR): IIR Revisionsstandard Nr. 2 – Prüfung des Risikomanagement durch die Interne Revision, S. 1 ff.

44 Vgl.: Füss, R.: Die Interne Revision. Bestandsaufnahme und Entwicklungsperspektiven, hrsg. von: Deutsches Institut für Interne Revision e.V. (IIR), Berlin 2005, S.53 ff.

13