VII

Abkürzungsverzeichnis AktG Aktiengesetz BaFin Bundesanstalt für Finanzdienstleistungsaufsicht BAKred Bundesaufsichtsamt für das Kreditwesen CIA Certified Internal Auditor DRS Deutscher Rechnungslegungsstandard EDV Elektronische Datenverarbeitung EPS Entwurf Prüfungsstandard GAC Global Advisory Committee GIR Grundsätze der Internen Revision GoB Grundsätze ordnungsmäßiger Buchführung GuV Gewinn- und Verlustrechnung GwG Geldwäschegesetz i.d.R. in der Regel IDW Institut der Wirtschaftsprüfer in Deutschland e.V. IFRS International Financial Reporting Standards IIA Institute of Internal Auditors IIR Deutsches Institut für Interne Revision e.V. IKS Internes Kontrollsystem IT Information Technology IÜS Interne Überwachungssystem KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich KWG Kreditwesengesetz MaH Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute MAIR Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute MaK Mindestanforderungen an das Kreditgeschäft der Kreditinstitute NAAC North-American Advisory Committee PS Prüfungsstandard RMS Risikomanagementsystem US GAAP United States Generally Accepted Accounting Principles WP Wirtschaftsprüfer

II

Inhaltsverzeichnis

  Inhaltsverzeichnis  II

  Abkürzungsverzeichnis.  VII

  Einleitung.  1

1.  Abschnitt: Grundlagen des Revisionswesens  2

A.  Interne Revision  2

I.  Einordnung.  2

II.  Definition  3

III.  Notwendigkeit.  3

IV.  Revisionsziele  3

V.  Abgrenzung zum Controlling  4

VI.  Abgrenzung zur Jahresabschlussprüfung.  4

B.  Historische Entwicklung  5

I.  Entwicklung bis Mitte des 19. Jahrhunderts.  5

II.  Entwicklung ab Mitte des 19. Jahrhunderts.  6

a)  Anforderungen an die Ausgestaltung der Innenrevision von 1976.  6

b)  Die Mindestanforderungen der deutschen Bankenaufsicht.  7

1.  Anforderungen an das Betreiben von Handelsgeschäften  7

2.  Anforderungen an die Interne Revision.  8

3.  Anforderungen an das Kreditgeschäft  9

C.  Berufsorganisationen.  9

I.  Institute of Internal Auditors.  9

II.  Deutsches Institut für Interne Revision e.V.  11

D.  Berufsgrundsätze.  12

I.  Unabhängigkeit.  13

II.  Vollständige Information.  13

III.  Funktionstrennung  13

E.  Rechtliche Grundlagen.  14

I.  Gesetz zur Kontrolle und Transparenz im Unternehmensbereich  14

II.  Kreditwesengesetz  15

F.  Systematisierung der Prüfungsmethoden  16

I.  Einzelfallprüfungen  16

a)  Direkte und indirekte Prüfung.  16

b)  Progressive und retrograde Prüfung  16

c)  Formelle und materielle Prüfung  17

III

d)  Voll- und Auswahlprüfung.  17

II.  Systemprüfung  18

III.  Organisationsprüfung.  19

2.  Abschnitt: Voraussetzungen der Internen Revision.  19

A.  Allgemeine Voraussetzungen.  19

I.  Sachliche Ausstattung.  19

II.  Technische Ausstattung  20

B.  Organisatorische Voraussetzungen  20

I.  Schriftlich fixierte Ordnung.  20

II.  Institutsgröße  21

III.  Organisatorische Eingliederung.  21

a)  Hierarchische Unterstellung  21

b)  Aufbauorganisation  22

c)  Ablauforganisation  22

IV.  Rationalisierungskonzepte  23

a)  Self-Auditing  23

b)  Outsourcing  24

1.  Formen des Outsourcing  25

aa)  Vollständige Auslagerung  25

bb)  Auslagerung bestimmter Aufgaben.  26

cc)  Outsourcing an Abschlussprüfer  26

2.  Rechtliche und aufsichtsbehördliche Rahmenbedingungen  26

C.  Personenbezogene Voraussetzungen.  27

I.  Quantitative Ausstattung.  27

II.  Qualitative Ausstattung.  27

a)  Anforderungsprofil.  27

1.  Fachkompetenz  28

2.  Persönliche Kompetenz  28

b)  Ausbildung und Qualifikation  29

3.  Abschnitt: Aufgaben der Internen Revision.  29

A.  Financial Auditing.  31

I.  Prüfung der Ordnungsmäßigkeit.  31

II.  Prüfung der Funktionsfähigkeit und Sicherheit  31

B.  Operational Auditing.  32

I.  Prüfung des Internen Kontrollsystems  32

IV

II.  Prüfung des Risikomanagementsystems.  33

III.  Prüfung des Informationssystems.  34

C.  Management Auditing.  34

I.  Anwendungsbereich.  34

II.  Beurteilung.  35

D.  Internal Consulting.  36

I.  Ausprägung.  36

II.  Voraussetzungen.  36

III.  Tätigkeit  37

IV.  Beurteilung.  37

a)  Chancen  37

b)  Risiken.  38

4.  Abschnitt: Revisionsprozess  38

A.  Vorbereitung der Revision  38

I.  Revisionsanlässe  38

a)  Externe Revisionsanlässe  38

b)  Interne Revisionsanlässe  39

II.  Revisionsplanung.  39

a)  Allgemeine Prüfungsplanung  40

1.  Sachliche Planung.  40

2.  Zeitliche Planung  40

3.  Personelle Planung.  40

b)  Risikoorientierte Planung  41

1.  Prüfungsrisiko  41

2.  Prüfungsprogramm  41

B.  Durchführung der Revision.  42

I.  Ankündigung der Revision  42

II.  Revisionszyklen  43

III.  Ausgewählte Revisionsschwerpunkte.  43

a)  Zahlungsverkehr.  43

1.  Prüfungsgrundlagen  44

2.  Prüfung der Einhaltung des Geldwäschegesetzes.  44

aa)  Begriff der Geldwäsche.  44

bb)  Prüfungspflicht  45

3.  Prüfung aller Zahlungsverkehrsarten  46

V

aa)  Barer Zahlungsverkehr  46

bb)  Beleghafter Zahlungsverkehr  46

cc)  Belegloser Zahlungsverkehr.  46

dd)  Electronic Banking  47

b)  Unterschlagungsprüfung  47

1.  Unterschlagungsbegriff.  47

2.  Prüfungsziele.  48

aa)  Aufdeckung der Unterschlagung.  48

bb)  Prävention der Unterschlagung  49

3.  Hierarchische Stellung der Täter  50

4.  Prüfungsablauf  50

aa)  Verdeckte Untersuchung  51

bb)  Offizielle Untersuchung  51

5.  Grenzen der Unterschlagungsprüfung  51

c)  Aufgaben im Zusammenhang mit Basel II.  51

d)  Prüfung verbundener Unternehmen  52

e)  Prüfung der elektronischen Datenverarbeitung.  52

IV.  Zusammenarbeit mit externen Institutionen  54

a)  Zusammenarbeit mit dem Abschlussprüfer.  54

b)  Zusammenarbeit mit der Bankenaufsicht.  55

C.  Ergebnisse der Revision  55

I.  Dokumentation und Aufbereitung  56

II.  Berichterstattung.  56

a)  Zwischenbesprechungen  57

b)  Schlussbesprechung.  57

c)  Revisionsbericht  57

1.  Berichtspflicht.  57

2.  Inhalt und Umfang  58

3.  Form und Gliederung.  59

4.  Adressaten.  59

D.  Beurteilung der Revisionsergebnisse  59

I.  Auswertung.  59

II.  Konsequenzen.  60

III.  Qualitätssicherung  60

a)  Peer Review  60

VI

b)  Berichtskritik  61

IV.  Nachschauprüfung  62

5.  Abschnitt: Zusammenfassung und Ausblick.  62

  Wissenschaftlicher Anhang  VIII

  Verzeichnis der Abbildungen im wissenschaftlichen Anhang  IX

  Literaturverzeichnis LXVI  

  Präsentationsanhang LXXX  

1

Einleitung

Die wachsende Komplexität der marktwirtschaftlichen Bedingungen, die fortschreitende Globalisierung der Märkte, der schnelle technologische Wandel sowie häufige Änderungen von Gesetzen und Bestimmungen der Aufsichtsorgane stellen hohe Anforderungen an die Geschäftsleitung von Kreditinstituten ¹ . Dies führt dazu, dass die Geschäftsleitung ihre Führungs- und Überwachungsfunktion zur Erreichung der Unternehmensziele nicht mehr alleine wahrnehmen kann und auf die Unterstützung einer unabhängigen unternehmensinternen Institution, namentlich die Interne Revision, angewiesen ist. Die Interne Revision war ursprünglich ein reines Kontroll- und Überwachungsorgan und schützt die Kreditinstitute auch gegenwärtig vor den Folgen geschäftsschädigender Handlungen. Obgleich Schäden infolge wirtschaftskrimineller Handlungen schon seit Jahrzehnten zunehmen, richten die Banken und deren Aufsichtsbehörden ihre Aufmerksamkeit erst seit den letzten Jahren verstärkt auf dieses Thema. Das veränderte wirtschaftliche Umfeld macht es zudem notwendig, die Interne Revision zunehmend auch in anderen Gebieten einzusetzen. Dazu gehört u.a. der Einsatz der Revisionsabteilung als unternehmensinterner Berater. Im Gegensatz zur Prüfung macht die Innenrevision dabei genaue Aussagen über die Effizienz der verschiedenen Geschäftsbereiche und gibt Hinweise für notwendige Verbesserungen.

Eine moderne Revision versteht sich darüber hinaus als Führungsinstrument des Unternehmens und Entscheidungshilfe für das Management. Die Innenrevision erarbeitet dabei Empfehlungen zur Optimierung der Unternehmensorganisation, setzt die aufsichtsrechtlichen Anforderungen um und berät das Management konstruktiv beim Einsatz neuer Technologien.

Wie jeder andere Unternehmensbereich muss auch die Interne Revision aktiv zum Geschäftserfolg des Instituts beitragen. Ihre Arbeit wird nur anerkannt, wenn sie einen möglichst hohen Nutzen bei gleichzeitig geringen Kosten erbringt. Zur Lösung dieses Zielkonfliktes können neuartige Arbeitsmethoden und der gezielte Einsatz elektronischer Datenverarbeitung (EDV) beitragen. Ebenso ist die hohe fachliche Kompetenz der Revisionsmitarbeiter ein Garant für eine effiziente und wirtschaftliche Aufgabenerfüllung.

Die vorliegende Arbeit geht auf die unterschiedlichen Bereiche eines wirkungsvollen Revisionsmanagements innerhalb von Kreditinstituten ein. Dabei werden auch umliegende Problembereiche und aktuelle Entwicklungen berücksichtigt.

¹ Gemäß § 1 Abs. 1 sind Kreditinstitute Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben. Daher

werden die Begriffe Bank und Kreditinstitut im Folgenden synonym verwendet.

2

1. Abschnitt: Grundlagen des Revisionswesens

A. Interne Revision

I. Einordnung

Neben der Planung und Organisation ist die Überwachung die dritte wesentliche Hauptaufgabe des Managements eines Unternehmens ² . Die Überwachung gewährleistet die dauerhafte Wirksamkeit der eingerichteten Prozesse und ihre Anpassung an die flexiblen internen und externen Bedingungen ³ . Zur Erfüllung dieser Überwachungsaufgabe nutzt die Unternehmensführung die Instrumente Kontrolle und Prüfung, welche sich dem Oberbegriff Überwachung unterordnen ⁴ .

Während die in die betrieblichen Abläufe integrierten Kontrollmaßnahmen prozessabhängig sind, erfolgt die interne Prüfung ⁵ prozessunabhängig. Um die erforderliche Unabhängigkeit zu wahren, wird die Prüfungsaufgabe entweder von direkt der Unternehmensleitung unterstellten Angehörigen einer Abteilung „Interne Revision“ oder von betriebsexternen Prüfern (Outsourcing) wahrgenommen ⁶ . Sämtliche Maßnahmen und Vorkehrungen zur Überwachung eines Unternehmens bilden in ihrer Gesamtheit das Interne Überwachungssystem (IÜS). Aus unternehmensinterner Sicht ist die Interne Revision neben dem Internen Kontrollsystem (IKS) Bestandteil des IÜS (siehe Abb. 1). Für den externen Prüfer ist die Interne Revision dagegen Bestandteil des IKS ⁷ . Im Vergleich zum IKS und weiteren internen Kontrollmechanismen hat die Interne Revision eine herausragende Stellung. Die Delegation wesentlicher Teile der Überwachungsfunktion an die Interne Revision befreit die Unternehmensleitung nicht von ihrer originären Überwachungspflicht. Vielmehr hat sich die Unternehmensleitung davon zu überzeugen, dass die Interne Revision die ihr übertragenen Aufgaben effizient und umfassend ausübt ⁸ .

² Vgl. Wöhe, Günter/Döring, Ulrich: Einführung in die Allgemeine Betriebswirtschaftslehre, 21. Auflage,

München 2002, S. 165

³ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): Wirtschaftsprüfer-Handbuch 2000,

Band 1, Düsseldorf 2000, S. 1380

⁴ Vgl. Wöhe, Günter/Döring, Ulrich: a.a.O., S. 165

⁵ Die Begriffe Interne Prüfung, Interne Revision und Innenrevision werden in dieser Arbeit synonym

verwendet.

⁶ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): Wirtschaftsprüfer-Handbuch 2000:

a.a.O., S. 1380 f.

⁷ Vgl. Peemöller, Volker H./Finsterer, Hans: Weiterentwicklung der Grundsätze der Internen Revision

(GIR), in: Betrieb und Rechnungswesen - Buchführung, Bilanz, Kostenrechung (BBK) 11/1998,

S. 1107

⁸ Vgl. Hofmann, Rolf: Interne Revision, Aufgaben, in: Coenenberg, Adolf G./v. Wysocki, Klaus (Hrsg.):

Handwörterbuch der Revision, 2. Auflage, Stuttgart 1992, Sp. 855

3

II. Definition

Die internationale Berufsvereinigung der Internen Revisoren, das Institute of Internal Auditors (IIA), definiert die Interne Revision wie folgt: "Internal Auditing is an independent, objective, assurance and consulting activity designed to add value an improve

an organizations operations. It helps an organization accomplish its objectives by bring- ing a systematic, disciplined approach to evaluate an improve effectiveness of risk man- agement, control and governance processes" ⁹ .

Dem entspricht auch die Definition des „Deutschen Instituts für Interne Revision e.V.“ (IIR). Danach erbringt die Interne Revision „unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Die Interne Revision unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- sowie Überwachungsprozesse bewertet und diese verbessern hilft“ ¹⁰ . Diese Definition gilt für alle Unternehmen und damit auch für die Ausgestaltung der Internen Revision in Kreditinstituten.

III. Notwendigkeit

Ein Schwerpunkt der Geschäftstätigkeit der Kreditinstitute ist das Verwalten der ihnen anvertrauten Vermögenswerte. Kreditinstitute müssen sich daher besonders gegen geschäftsschädigende Handlungen und deren Folgen schützen. Die Interne Revision nimmt dabei einen besonders hohen Stellenwert ein ¹¹ . Zu dieser Erkenntnis kam auch der Gesetzgeber ¹² . Bei den Sparkassen, die als Anstalten des öffentlichen Rechts zusätzlicher Beaufsichtigung unterliegen, wurde die Tätigkeit der Innenrevision schon im Jah-

re 1943 mit Hilfe einer Mustergeschäftsanweisung geregelt. Diese verlangte vom Innen- revisor eine regelmäßige Überwachung aller Betriebsteile und hatte maßgeblichen Ein- fluss auf die „Anforderungen für die Ausgestaltung der Innenrevision“ ¹³ .

IV. Revisionsziele

Die Vermeidung und Aufdeckung von Unwirtschaftlichkeiten, Sicherung und Schutz des Vermögens sowie Sicherstellung der Einhaltung der Geschäftspolitik einschließlich

⁹ Vgl. Internet-Recherche vom 01.01.04, http://www.theiia.org/iia/index.cfm?doc_id=269

¹⁰ Internet-Recherche vom 03.01.2004,

http://www.iir-ev.de/deutsch/iir/berufsgrundlagen/definition.asp?navid=9

¹¹ Vgl. Lück, Wolfgang: Zusammenarbeit von Interner Revision und Abschlussprüfer, in: Deutsches Insti- für Interne Revision e.V. (Hrsg.), IIR-Forum Band 3, Berlin 2003, S. 69

¹² Vgl. § 25a Abs. 1 Nr. 2 KWG

¹³ Vgl. Lück, Wolfgang: Zusammenarbeit von Interner Revision und Abschlussprüfer, a.a.O., S. 70

4

der Einhaltung von Richtlinien, Arbeitsanweisungen und Vorschriften der Geschäftsleitung sind Formalziele der Internen Revision. Ferner soll die Interne Revision, die ihr überstellte Geschäftsleitung mit aussagekräftigen und zeitnahen Informationen versorgen und auch beratend tätig sein ¹⁴ .

Die Ziele der Internen Revision (siehe Abb. 2) haben sich im Zeitverlauf stark erweitert. Früher standen Ordnungsmäßigkeit und Sicherheit im Vordergrund. Heute ist die Wirtschaftlichkeit des Unternehmens das dominierende Ziel. Das optimale Verhältnis von Ertrag zu Aufwand bzw. Leistung zu Kosten wird durch das Maximalprinzip ¹⁵ bzw. durch das Minimalprinzip ¹⁶ erreicht. Die Einhaltung dieser Prinzipien wird u.a. durch die Interne Revision sichergestellt.

V. Abgrenzung zum Controlling

Controlling und Interne Revision sind artverwandte Instrumente des Managements, welche von der Unternehmensleitung delegierte Aufgaben wahrnehmen. Im Gegensatz zur Internen Revision (siehe Abb. 3) ist das Controlling eine prozessabhängige Institution und trägt operative Mitverantwortung. Das Controlling umfasst die zielorientierte Koordination von Planung, Informationsversorgung, Kontrolle und Steuerung des Kreditinstituts und unterstützt die Geschäftsleitung zukunftsorientiert bei der Erreichung der Unternehmensziele ¹⁷ .

Während das Controlling ergebnisorientiert arbeitet, ist die Interne Revision verfahrensorientiert und nur fallweise tätig. Die Interne Revision prüft regelmäßig alle wesentlichen Geschäftsbereiche, beurteilt zukunftsorientiert die Wirtschaftlichkeit der internen Prozesse und berät die Unternehmensleitung. Damit übernimmt die Interne Revision teilweise auch Aufgaben der Controllingabteilung und sollte daher mit dieser in Einzelfällen zusammenarbeiten, ohne die organisatorische Trennung aufzuheben ¹⁸ .

VI. Abgrenzung zur Jahresabschlussprüfung

Interne Revision und Jahresabschlussprüfung (siehe Abb. 4) dienen der Überwachung des Kreditinstituts. Die Interne Revision ist gesetzlich nicht geregelt und hat freiwillige Kontrollaufgaben, insbesondere die Sicherung der Einhaltung von unternehmensinternen Verfahrensvorschriften, wahrzunehmen. Im Gegensatz dazu ist die jährliche Abschlussprüfung durch eine externe Institution, z.B. eine Wirtschaftsprüfungsgesell-

¹⁴ Vgl.

¹⁵ Mit gegebenen Mitteln soll der maximale Nutzen erzielt werden.

¹⁶ Ein vorgegebenes Ziel soll mit minimalem Mitteleinsatz erreicht werden.

¹⁷ Vgl. Hofmann, Rolf: Interne Revision, Aufgaben, a.a.O., Sp. 862

¹⁸ Vgl. Schneider, Thomas: Controlling und Interne Revision im Internen Kontrollsystem, in: Der

Schweizer Treuhänder 1-2/2003, S. 33

5

schaft, gesetzlich geregelt und soll die Gesetzesentsprechung der externen Rechnungslegung gewährleisten, um insbesondere die Fremdkapitalgeber zu schützen ¹⁹ . Die Innenrevision wird i.d.R. von Angehörigen des Unternehmens durchgeführt, kann aber auch vollständig oder teilweise an außenstehende externe Prüfer übertragen werden, insofern diese nicht gleichzeitig als Abschlussprüfer tätig sind ²⁰ .

B. Historische Entwicklung

I. Entwicklung bis Mitte des 19. Jahrhunderts

Die Notwendigkeit einer Internen Revision besteht nicht erst mit Beginn des Informationszeitalters. Der Ursprung des Revisionswesens geht auf die Anfänge wirtschaftlichen Handelns zurück und hat in jeder Entwicklungsphase der Wirtschaft (siehe Abb. 5) eine den jeweiligen Anforderungen entsprechende Prüfungsform entwickelt ²¹ . Schon im Altertum begann man systematisch zu wirtschaften. Die Aufgabe einer Revision bestand zu dieser Zeit in einer rein formellen rechnerischen Überprüfung der buchhalterischen Aufzeichnungen von Staatseinnahmen. Im Römischen Reich verwendete man ein System von internen Kontrollen, um z.B. staatliche Steuereinnahmen zu kontrollieren und Wirtschaftsdelikte zu verhindern ²² . Erst im Mittelalter sollte die institutionalisierte interne Prüfung und Überwachung das Vermögen großer europäischer Handelshäuser gezielt sichern ²³ .

Anfang des 19. Jahrhunderts waren die Feststellung des physischen Vorhandenseins von Münzen, Banknoten und Wertpapieren sowie die Überprüfung der Ordnungsmäßigkeit der Buchführung Schwerpunktaufgaben der Internen Revision ²⁴ . 1917 begann das amerikanische Federal Reserve Board als Reaktion auf Betrugs- und Unterschlagungsfälle in großen Unternehmen mit der Entwicklung eines Internal Control-Konzeptes, welches dem späteren IÜS zu Grunde liegt ²⁵ . Der Kontrollprozess wird dabei von betrieblichen Überwachungsorganen bzw. dem Management initiiert und soll die Wirksamkeit und Effizienz der betrieblichen Prozesse gewährleisten sowie die Verlässlichkeit der finanziellen Berichterstattung und die Einhaltung aller im Unternehmen geltenden Regelun-

¹⁹ Vgl.

²⁰ Vgl. Haake, Manfred/Leitschuh, Gerhard/Gorsulowsky, Hans-Joachim: Mindestanforderungen an die

Interne Revision, in: Zeitschrift für das gesamte Kreditwesen 15/2000, S. 817

²¹ Vgl. Brönner, Herbert: Geschichte der Revision, in: Coenenberg, Adolf G./v. Wysocki, Klaus (Hrsg.):

Handwörterbuch der Revision, 2. Auflage, Stuttgart 1992, Sp. 663

²² Vgl. Maier, Kilian: Wirtschaftskriminalität und Interne Revision, Diss. St. Gallen 2001, S. 79

²³ Vgl. Maier, Kilian: a.a.O., S. 79

²⁴ Vgl. Blattmann, Urs: Qualität und Wirtschaftlichkeit in der bankinternen Revision, Band 96 der Schrif- der Treuhand-Kammer, Zürich 1990, S. 27

²⁵ Vgl. Hofmann, Rolf: Unterschlagungsprophylaxe und Unterschlagungsprüfung, a.a.O., S. 56 f.

6

gen und Vorschriften sicherstellen ²⁶ . Damit waren die Grundlagen für die Interne Revision geschaffen und es entwickelten sich, insbesondere nach dem Zweiten Weltkrieg, anspruchsvolle Prüfungsmethoden (siehe Abb. 6) ²⁷ .

II. Entwicklung ab Mitte des 19. Jahrhunderts

Mitte des 19. Jahrhunderts war die Delegation von Überwachungsaufgaben an die Interne Revision zumindest in größeren Unternehmen praktisch nicht mehr aufzuhalten. Die Intensivierung des Welthandels, die zunehmende Automatisierung und die gestiegene Unternehmenskomplexität führte zur Erweiterung der Revisionsbereiche vom Financial Auditing über das Operational Auditing zum Management Auditing und damit auf alle Geschäftsbereiche ²⁸ . Ebenso bedingten die Veränderungen einen Wechsel von der Prüfung nach der Implementierung der Systeme (ex post-Prüfung ²⁹ ) zur zeitlichen Vorverlegung von Prüfungshandlungen (ex ante-Prüfung ³⁰ ) unter Umständen schon vor den Start eines neuen Projektes ³¹ . Auch die Kreditinstitute vollzogen diese Entwicklungen.

In Anbetracht mehrerer Bankenkrisen in den siebziger Jahren ³² , sah sich das damalige Bundesaufsichtsamt für Kreditwesen (BAKred) ³³ im Jahre 1976 dazu veranlasst, An- forderungen für die Ausgestaltung der Innenrevision an die Kreditinstitute zu stellen ³⁴ .

a) Anforderungen an die Ausgestaltung der Innenrevision von 1976

Mit dem Schreiben des BAKred an die Spitzenverbände der Kreditinstitute vom 28.05.1976 wurden erstmalig flexibel handhabbare Grundsätze für die Ausgestaltung der Internen Revision formuliert. Damals lag der Schwerpunkt organisatorischer Maßnahmen in Kreditinstituten, unter den gegebenen relativ konstanten Umgebungseinflüssen und bei mäßiger technologischer Entwicklung, traditionell in der laufenden Pflege und Betreuung bestehender Aufbau- und Ablauforganisation. Seither sind jedoch Entwicklungen eingetreten, die eine Überarbeitung der Aufgaben der Innenrevision und damit eine neue Verlautbarung erforderlich machten. Die dyna-

²⁶ Vgl.

e.V. (Hrsg.), IIR-Forum Band 1, Berlin 2003, S. 51, 53

²⁷ Vgl. Hofmann, Rolf: Interne Revision, Aufgaben: a.a.O., Sp. 858

²⁸ Vgl. Hofmann, Rolf: Unterschlagungsprophylaxe und Unterschlagungsprüfung, 2. Auflage, Ber- 1997, S. 55 f.

²⁹ Dieser Prüfung liegt eine Analyse mit Vergangenheitswerten zugrunde.

³⁰ Diese Prüfung basiert auf einer Analyse mit Zukunftswerten.

³¹ Vgl. Horváth, Péter: Controlling, 8. Auflage, München 2001, S. 788

³² Höhepunkt der Krise war die Insolvenz der Herstatt-Bank im Jahr 1974, welche weitreichende Auswir- auf Unternehmen, Kommunen und andere Kreditinstitute hatte.

³³ Mit Inkrafttreten des Gesetzes über die integrierte Finanzdienstleistungsaufsicht am 1. Mai 2002 wur- die Bundesaufsichtsämter für das Kreditwesen (BAKred), für das Versicherungswesen (BAV) und

für den Wertpapierhandel (BAWe) mit ihren Aufgabenbereichen in der Bundesanstalt für Finanzdienst- (BaFin) zusammengeführt.

³⁴ Vgl. Deutscher Genossenschafts- und Raiffeisenverband e.V. (Hrsg.): Richtlinie für die Innenrevision

von Kreditgenossenschaften, 3. Auflage, Bonn 1999, S. 115

7

mischen Entwicklungen auf den Finanzmärkten zwangen die Institute zu einer grundsätzlichen Neuausrichtung ihrer Geschäftspolitik. Die Kreditinstitute mussten ihre inneren Strukturen an diese Entwicklungen, beispielsweise durch die Errichtung moderner Risikomanagementsysteme und zunehmende Automatisierungs- und Rationalisierungsprozesse, anpassen. Auch der Aufgabenbereich der Internen Revision war von dieser Entwicklung betroffen und entwickelte sich im Zeitverlauf vom reinen Kontrollorgan zum integrativen Bestandteil der gesamtunternehmerischen Führung ³⁵ . Die Prüfungstätigkeit der Internen Revision orientiert sich damit verstärkt an System- und Organisationsprüfungen unter der Anwendung rationeller Prüfungstechniken ³⁶ .

b) Die Mindestanforderungen der deutschen Bankenaufsicht

Die Bankenaufsicht beurteilt die Kreditinstitute anhand quantitativer und qualitativer Vorgaben. Zur Beurteilung der Qualität der bankinternen Überwachungssysteme werden flexibel anwendbare und praxisnahe Regelungen („best practice“) in Form von Mindestanforderungen festgelegt und regelmäßig veröffentlicht ³⁷ . Die Mindestanforderungen sind als Rahmenbedingungen zur Gestaltung des IÜS von den Instituten umzusetzen und haben damit auch grundsätzliche Auswirkungen auf die Arbeit der Internen Revision. Neben den nachfolgend näher erläuterten Mindestanforderungen bestehen noch weitere Regelungen der Bankenaufsicht. Diese stellen als Einzelregelungen, wie z.B. das „Vier-Augen-Prinzip“ bzw. als Bestandteil umfassender Normen, wie im Fall der Regelungen zur Geldwäsche, detaillierte Anforderungen an das IÜS der Institute.

1. Anforderungen an das Betreiben von Handelsgeschäften

Mit dem Rundschreiben zu den „Mindestanforderungen an das Betreiben von Handelsgeschäften der Kreditinstitute“ (MaH) im Oktober 1995 hat die deutsche Bankenaufsicht frühzeitig bindende Standards für die Einrichtung interner Kontrollmechanismen im Bereich der Handelsgeschäfte veröffentlicht. Einfluss auf die Entwicklung des Rundschreibens hatte auch die Insolvenz der Barings Bank ³⁸ im Jahre 1995. Die MaH enthalten hauptsächlich Regelungen zur prozessabhängigen Überwachung. Daneben hat das BAKred erstmalig die Revisionsaufgaben im Handelsbereich der Banken genauer

³⁵ Vgl. Benischke, Erich/Eberhardt, Claude: Human Resources in der Internen Revision unter dem Quali- in: Der Schweizer Treuhänder 12/1999, S. 1180

³⁶ Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Organisationsprüfung in Kreditinstituten, IIR-Schriftenreihe Band 15, 2. Auflage, Berlin 1999, S. 13 f.

³⁷ Vgl. Hanenberg, Ludger/Schneider, Andreas: Bankaufsichtliche Rahmenbedingungen für Interne Ü- in: Die Wirtschaftsprüfung 19/2001, S. 1060

³⁸ Die Barings-Bank musste 1995, aufgrund waghalsiger Spekulationsgeschäfte und mangelhafter interner

Kontrollen in der Niederlassung Singapur, unter Führung von Nick Leeson, Insolvenz anmelden. In- kürzester Zeit vernichtete Leeson durch Fehlspekulationen auf den Nikkei-Index 800 Mio.

Pfund (mehr als 1 Mrd. EUR) und brachte so eines der renommiertesten Bankhäuser Englands zu Fall.

8

definiert. Neben Prüfungsumfang und -häufigkeit wurden auch weitergehende Aufgabenbereiche konkretisiert ³⁹ . Speziell in die Konzeption und Testphase von Geschäften mit neuartigen Produkten, z.B. Kreditgeschäfte auf neuen Märkten, soll die Interne Revision eingebunden werden. Bei stark handelsorientierten Instituten geht die Mitarbeit der Internen Revision über die Testphase hinaus und umfasst den gesamten „new product process“. Ergänzend zur allgemeinen Prozessbegleitung muss die Interne Revision auch den Ablauf des Prozesses prüfen. Diese Doppeltätigkeit in beratender und prüfender Funktion kann ggf. zum Interessenkonflikt führen ⁴⁰ .

2. Anforderungen an die Interne Revision

Bedingt durch die Umwälzungen im Bankgeschäft, die Einführung neuer Produkte, die Erschließung neuer Märkte, die Nutzung neuer Techniken und die Tendenz zur Auslagerung betrieblicher Prozesse, entstanden neue Aufgabenfelder für die Interne Revision. Daher begann das BAKred im Jahre 1999 mit der Neufassung der Anforderungen an die Interne Revision von Kreditinstituten. Unter anderem wurden dabei auch Beiträge internationaler Gremien berücksichtigt und frühzeitig die Diskussion mit außenstehenden Experten, z.B. Vertretern des Bankenfachausschusses des Instituts der Wirtschaftsprüfer (IDW) sowie des IIR, gesucht ⁴¹ .

Am 17.01.2000 veröffentlichte das BAKred die neuen „Mindestanforderungen an die Ausgestaltung der Internen Revision der Kreditinstitute“ (MAIR) ⁴² . Dieses neue Rundschreiben mit der Nummer 1/2000 ersetzt den seit knapp 24 Jahren geltenden so genannten „10-Punkte-Katalog“ aus dem Jahre 1976 („Anforderungen für die Ausgestaltung der Innenrevision“) ⁴³ . Es enthält die an die neuen Entwicklungen angepassten Grundsätze für die prozessunabhängige Revisionstätigkeit und deren Organisation, welche der Ausgestaltung der Internen Revision von Kreditinstituten zugrunde zu legen sind. Die MAIR stärken die Position (siehe Abb. 7) der Internen Revision und gelten für deutsche Kreditinstitute im Inland, für deren Zweigstellen im Ausland sowie für Zweigstellen ausländischer Kreditinstitute in Deutschland ⁴⁴ .

³⁹ Vgl. Seebach, Natascha/Julif-Helmer, Eckhard: Mindestanforderungen an das Betreiben von Handels- der Kreditinstitute, in: Zeitschrift Interne Revision 5/1999, S. 233

⁴⁰ Vgl. Seebach, Natascha/Julif-Helmer, Eckhard: a.a.O., S. 236

⁴¹ Vgl. Internet-Recherche vom 04.12.3003, http://www.bafin.de/jahresbericht/ba/jb1999/kapitel1.htm

⁴² Die MAIR stimmen inhaltlich mit den Forderungen des Baseler „Committe on Banking Supervision“

nach einer unabhängigen, wirkungsvollen und kompetenten Internem Revision überein.

⁴³ Vgl. Kurowski, Herbert/Winter, Anne Maria: Die Mindestanforderungen des BAKred an die Ausgestal- der Internen Revision, in: Sparkasse 3/2000, S. 136

⁴⁴ Vgl. Dönges, Thorsten: Mindestanforderungen an die Ausgestaltung der Internen Revision der Kredit-

institute, in: Bank Information und Genossenschaftsforum 5/2001, S. 58

9

3. Anforderungen an das Kreditgeschäft

Die zunehmenden Ausfallrisiken und Verluste im Kreditgeschäft rückten in jüngster Vergangenheit verstärkt in das Blickfeld internationaler und nationaler Bankenaufsichtsgremien. Daher veröffentlichte das BAKred am 20.12.2002 mit dem Rundschreiben 34/2002 „Mindestanforderungen an das Kreditgeschäft“ (MaK) Grundsätze und Rahmenbedingungen für das Kreditgeschäft ⁴⁵ . Ihre Umsetzung soll in zwei Phasen erfolgen. So sind die fachlichen Anforderungen bis zum 30.06.2004 und die Anpassungen innerhalb der Information Technology (IT) bis zum 31.12.2005 umzusetzen ⁴⁶ . Die MaK schreiben eine regelmäßige Prüfung des Kreditgeschäfts in angemessenen Zeitabständen durch die Innenrevision vor. Dabei wird auch überprüft, ob die MaK eingehalten worden sind ⁴⁷ . Sämtliche Prüfungsrichtlinien und die Prüfungsplanung müssen an die MaK angepasst werden ⁴⁸ . Unter Beachtung der Grundsätze für eine risikoorientierte Prüfung sind neben der Überprüfung der Ordnungsmäßigkeit auch Systemprüfungen durchzuführen ⁴⁹ . Dabei werden u.a. Kreditrisikostrategien und ihre Einhaltung, Kreditvergabekriterien und ihre Zweckmäßigkeit sowie die Effizienz und Effektivität der Kreditüberwachung unabhängig beurteilt ⁵⁰ .

C. Berufsorganisationen

I. Institute of Internal Auditors

Das amerikanische „Institute of Internal Auditors“ (IIA) mit Sitz in Altamote Springs, Florida ist die weltweit größte, internationale, berufsständische Vereinigung für Interne Revision ⁵¹ . Die im Jahre 1941 in New York gegründete Organisation vertritt gegenwärtig mehr als 80.000 Mitglieder weltweit, welche in ca. 180 Vereinen, Revisionsclubs und nationalen Instituten organisiert sind ⁵² .

Das IIA sieht seine Aufgabe in der Förderung der wissenschaftlichen und praktischen

⁴⁵ Vgl. Becker, Axel: Auswirkungen der MaK auf die Tätigkeit der internen Revision, in: Eller, Ro- Walter/Reif, Markus (Hrsg.): Handbuch des Risikomanagement, 2. Auflage, Stuttgart

2002, S. 25

⁴⁶ Vgl. Becker, Axel/Krammig, Peter/Leimert, Peter/Schachten, Michael: Einbindung der Internen Revi- in die Umsetzungsphase der MaK, in: Zeitschrift Interne Revision 2/2003, S. 72

⁴⁷ Vgl. Internet-Recherche vom 07.01.2004, http://www.bafin.de/rundschreiben/92_2002/021220.htm

⁴⁸ Vgl. Deutsches Institut für Interne Revision e.V., IIR-Arbeitskreis „Revision des Kreditgeschäftes“:

Notwendigkeit der Mindestanforderungen für das Kreditgeschäft, in: Zeitschrift Interne Revision

5/2002, S. 213

⁴⁹ Vgl. Internet-Recherche vom 07.01.2004, a.a.O.

⁵⁰ Vgl. Becker, Axel/Rosner-Niemes, Susanne/Schöffler, Steffen: Verantwortlichkeiten der Geschäftslei- aus den MaK und deren Bedeutung für die Interne Revision, in: Zeitschrift Interne Revision

6/2003, S. 263

⁵¹ Vgl. Lück, Wolfgang: Die Zukunft der Internen Revision, a.a.O., S. 50

⁵² Vgl. Janke, Günter: Neue Anforderungen an die Interne Revision, in: Betrieb und Wirtschaft 14/2003,

S. 576

10

Arbeit der Internen Revision, organisiert weltweite Aus- und Weiterbildungsprogramme für seine Mitglieder und schafft damit einen international hohen Standard für die Revisionstätigkeit ⁵³ .

Seit 1974 werden Examen zum Erlangen des Titels „Certified Internal Auditor“ (CIA) vom IIA durchgeführt ⁵⁴ . Zudem entwickelt und veröffentlicht das IIA regelmäßig international geltende Grundsätze für die berufliche Praxis der Internen Revision (Standards for the Professional Practice of Internal Auditing) und überwacht die Prüfung von Internal Audit Departments, die sich dem Qualitätsstandardprogramm angeschlossen haben und daher durch unabhängige Prüfer geprüft werden ⁵⁵ .

Die IIA-Standards (siehe Abb. 8) für die berufliche Praxis der Internen Revision stellen berufsbezogene Grundprinzipien dar. Sie schaffen die Rahmenbedingungen für die Durchführung der Internen Revision, stellen Bewertungskriterien für deren Leistung auf und dienen der Verbesserung organisatorischer Geschäftsprozesse und Arbeitsvorgänge. Sämtliche zum CIA qualifizierten Revisoren und alle Mitglieder des IIA müssen die Standards einhalten ⁵⁶ .

Besonders seit dem 11.09.2001 nehmen die Aktivitäten des IIA beim Critical Infrastructure Protection, einer Kommission die schon im Jahre 1996 zum Schutz der amerikanischen Infrastruktur vor physischen Bedrohungen und Angriffen aus dem Internet gegründet wurde, signifikant zu.

Zur kritischen Infrastruktur gehören, insbesondere Systeme, deren Beschädigung bzw. Zerstörung negative Folgen auf die wirtschaftliche Stabilität der Vereinigten Staaten von Amerika hätten. Damit zählen auch die Kreditinstitute und das Finanzwesen zur kritischen Infrastruktur. Unter dem Aspekt der weltweiten Bedrohung durch den Terrorismus könnte diese Entwicklung auch für die Interne Revision in anderen Ländern Bedeutung erlangen ⁵⁷ .

Innerhalb des IIA gibt es einen Bereich für Aktivitäten innerhalb Nord-Amerikas, das North-American Advisory Committee (NAAC) und einen Bereich für weltweite Aktivitäten, das Global Advisory Committee (GAC), in dem auch das IIR Mitglied ist ⁵⁸ .

⁵³ Vgl. Janke, Günter: Stärkung der Rolle der Internen Revision in deutschen Unternehmen als Folge der

Globalisierung, in: Betrieb und Wirtschaft 7/2002, S. 273

⁵⁴ Vgl. Pfyffer, Hans-Ulrich: CIA (Certified Internal Auditor) der „diplomierte“ Interne Revisor, in: Der

Schweizer Treuhänder 12/1999, S. 1173

⁵⁵ Vgl. Hofmann, Rolf: Prüfungshandbuch: a.a.O., S. 142 f.

⁵⁶ Vgl. Ruud, T. Flemming/Linsi, Alexander: Neudefinition der Internen Revision gemäß dem Institute of

Internal Auditing, in: Der Schweizer Treuhänder 12/1999, S. 1149

⁵⁷ Vgl. Janke, Günter: Neue Anforderungen an die Interne Revision, a.a.O., S. 576

⁵⁸ Vgl. Janke, Günter: Stärkung der Rolle der Internen Revision in deutschen Unternehmen als Folge der

Globalisierung, a.a.O., S. 273

11

II. Deutsches Institut für Interne Revision e.V.

Das IIR wurde im Jahre 1958 als gemeinnütziger Verein zur praktischen und wissenschaftlichen Förderung der Internen Revision mit Sitz in Frankfurt am Main gegründet ⁵⁹ . Neben der Ausübung der satzungsgemäßen Aufgaben Aus-, Fort- und Weiterbildung von Mitarbeitern der Internen Revision, vertritt das Institut auch die Interessen des IIA in Deutschland. Zudem informiert das IIR seine Mitglieder ständig über wissenschaftliche Forschung auf dem Gebiet der Internen Revision, entwickelt Revisionsgrundsätze und Revisionsmethoden und pflegt die Beziehungen zur Wissenschaft und Praxis. Im Interesse der interdisziplinären Zusammenarbeit hält das IIR insbesondere Kontakte zum IDW ⁶⁰ .

Deutschlandweit werden mehr als 1.400 Mitglieder (siehe Abb. 9) aus allen Bereichen der Wirtschaft, der Wissenschaft und der Verwaltung vom IIR vertreten. Davon sind ca. 60 Prozent ordentliche Mitglieder, d.h. Mitarbeiter von Revisionsabteilungen. Der verbleibende Teil besteht aus fördernden Mitgliedern wie Unternehmen, Verbänden, betriebswirtschaftlichen Instituten bzw. Vereinen ⁶¹ . International engagiert sich die deutsche Berufsvereinigung im IIA und in der European Confederation of Institutes of Internal Auditing (ECIIA) (siehe Abb. 10) ⁶² .

Der wesentlichste Teil der Institutsarbeit vollzieht sich in den derzeit 22 Arbeitskreisen (siehe Abb. 11) ⁶³ . Die Ergebnisse daraus werden u.a. in der „Zeitschrift Interne Revision“ publiziert und stehen damit den Internen Revisoren als Leitfaden für ihre Prüfungstätigkeit zur Verfügung ⁶⁴ .

Ebenso wie das IIA erlässt das IIR national geltende Revisionsstandards ⁶⁵ und greift darin grundsätzliche und aktuelle Themen der Internen Revision auf. Die Revisionsstandards sind Ergebnisse der Facharbeit des Instituts. Sie sollen den Mitgliedern Hilfe-

⁵⁹ Vgl.

Klaus (Hrsg.): Handwörterbuch der Revision, 2. Auflage, Stuttgart 1992, Sp. 864

⁶⁰ Vgl. Deutsches Institut für Interne Revision e.V.: IIR-Revisionsstandard Nr. 1, in: Zeitschrift Interne

Revision 1/2001, S. 34 - 36

⁶¹ Vgl. Hofmann, Rolf: Prüfungshandbuch: a.a.O., S. 145

⁶² Vgl. Janke, Günter: Stärkung der Rolle der Internen Revision in deutschen Unternehmen als Folge der

Globalisierung, a.a.O., S. 275

⁶³ Wie in Abb. 11 gezeigt, gibt es für die Revisionsarbeit innerhalb der Kreditinstitute mehrere besondere

Arbeitskreise.

⁶⁴ Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Organisationsprüfung in Kreditinstituten,

a.a.O., S. 12

⁶⁵ Bisher wurden drei Revisionsstandards veröffentlicht. IIR-Revisionsstandard Nr. 1 konkretisiert die

Zusammenarbeit zwischen Interner Revision und Abschlussprüfer. Der Revisionsstandard Nr. 2 be- sich mit der Prüfung des Risikomanagementsystems durch die Interne Revision. Im Revisi-

onsstandard Nr. 3 wird das Qualitätsmanagement der Internen Revision festgelegt.

12

stellung bei der Bewältigung der Revisionsaufgaben geben ⁶⁶ . Eine vollständige Übernahme der amerikanischen IIA-Standards ist aufgrund von grundlegenden revisionsspezifischen Unterschieden derzeit noch nicht möglich. Daher werden die Revisionsstandards des IIR kontinuierlich weiterentwickelt ⁶⁷ . Um im internationalen Vergleich ebenfalls eine berufsspezifische Qualifikation nachzuweisen, besteht für Revisoren seit dem Jahre 1998 die Möglichkeit, das vom IIA entwickelte Certified Internal Auditor-Examen beim IIR in deutscher Sprache abzulegen und damit den Titel CIA zu erwerben ⁶⁸ .

D. Berufsgrundsätze

Da der Berufsethik ein besonderer Stellenwert beigemessen wird, verabschiedete das IIA Ende 1968 den „Code of Ethics“ (siehe Abb. 12). Der „Code of Ethics“ definiert verbindliche Berufsgrundsätze für das ethische Verhalten der Mitglieder des IIA und für die Inhaber eines CIA-Zertifikats. Eine Missachtung der Berufsgrundsätze hat einen Ausschluss aus der Berufsorganisation zur Folge. Einem CIA der gegen die Grundsätze verstößt wird i.d.R. das Zertifikat aberkannt ⁶⁹ .

Die Diskussion von Grundsätzen der Internen Revision (GIR) ⁷⁰ führte nach internationalem Vorbild auch in Deutschland zu einer Kodifizierung der Berufsethik. Das IIR setzte die GIR in praktische Verhaltensregeln (siehe Abb. 13 und Abb. 14) um und fördert damit eine von moralischen Grundsätzen geprägte Kultur im Berufsstand der Internen Revision ⁷¹ .

Erst der Beitritt zum IIA bzw. IIR verpflichtet die Revisoren zur Einhaltung der jeweiligen Grundsätze. Die praktische Anwendung ist damit jedoch noch keinesfalls gesichert. Aufgrund des noch fehlenden öffentlichen Interesses wurde eine gesetzliche Regelung bisher abgelehnt ⁷² . Für die Tätigkeit der Innenrevision von Kreditinstituten sind, insbesondere die Grundsätze Unabhängigkeit, vollständiger Informationszugriff sowie angemessene Möglichkeiten der Berichterstattung, von besonderer Bedeutung ⁷³ .

⁶⁶ Vgl. Schwager, Elmar: Neueste Entwicklungen in der internen Revision, in: Der Betrieb 40/2001,

S. 2105

⁶⁷ Vgl. Rösch, Kerstin: Stand und Weiterentwicklung von Grundsätzen der Internen Revision, in: Zeit- Interne Revision 4/1999, S. 178

⁶⁸ Vgl. Briese, Klaus-Joachim: Informationen aus dem IIR - Informationen zum Certified Internal Auditor

(CIA), in: Zeitschrift Interne Revision 5/2003, S. 223

⁶⁹ Vgl. Ruud, T. Flemming/Linsi, Alexander: a.a.O., S. 1155

⁷⁰ Vgl. Peemöller, Volker H./Finsterer, Hans: a.a.O., S. 1107 ff.

⁷¹ Vgl. Internet-Recherche vom 04.01.2004,

http://www.iir-ev.de/deutsch/iir/berufsgrundlagen/berufsgrundsaetze.asp?navid=10

⁷² Vgl. Peemöller, Volker H./Finsterer, Hans: a.a.O., S. 1113

⁷³ Vgl. Sanio, Jochen: Ausgestaltung und Aufgaben der Internen Revision aus der heutigen Sicht des

Bundesaufsichtsamtes für das Kreditwesen, in: Zeitschrift Interne Revision 2a/1999, S. 13

13

I. Unabhängigkeit

Die Interne Revision kann ihren Aufgaben nur dann nachkommen, wenn sie von den zu prüfenden Bereichen und Arbeitsabläufen unabhängig ist ⁷⁴ . Sie nimmt ihre Aufgaben selbstständig wahr und ist bei der Berichterstattung keinen Weisungen unterworfen. Zudem darf die Interne Revision nicht in den Arbeitsablauf einbezogen und auch nicht für das Ergebnis des überwachten Prozesses verantwortlich gemacht werden ⁷⁵ . Daher wird die Interne Revision auch als „prozessunabhängige Überwachung“ bezeichnet ⁷⁶ . Die Unabhängigkeit der Internen Revision wird durch den organisatorischen Status bzw. die direkte Unterstellung unter die Geschäftsleitung gewährleistet ⁷⁷ .

II. Vollständige Information

Um ihre Aufgaben ordnungsgemäß auszuführen, verfügt die Interne Revision über uneingeschränkte aktive und passive Informations-, Auskunfts- und Einblicksrechte in alle Betriebs- und Geschäftsbereiche, in- und ausländische Zweigniederlassungen sowie Tochtergesellschaften des Kreditinstituts ⁷⁸ .

Die Geschäftsleitung hat diese Rechte jederzeit zu gewährleisten. Bedeutsame Vorstandsbeschlüsse sowie wesentliche Änderungen im IKS sind der Innenrevision umgehend bekannt zu geben. Darüber hinaus sind alle Abteilungen des Instituts verpflichtet, die Revision über erkannte schwerwiegende Mängel oder bemerkenswerte Schäden zu informieren ⁷⁹ .

III. Funktionstrennung

Mitarbeiter der Internen Revision dürfen keine Aufgaben wahrnehmen, die nicht mit der Prüfungs- und Beratungstätigkeit im Einklang stehen. Des Weiteren dürfen Mitarbeiter anderer Abteilungen des Kreditinstituts grundsätzlich nicht mit Revisionsaufgaben betraut werden. In begründeten Ausnahmefällen dürfen Angehörige anderer Abteilungen die Prüfungstätigkeit der Internen Revision aufgrund ihres außerordentlichen Spezialwissens zeitlich begrenzt unterstützen ⁸⁰ .

⁷⁴ Vgl. Hunecke, Jörg/Lück, Wolfgang (Hrsg.): Interne Beratung durch die Interne Revision, Schriftenrei- Rechnungslegung - Steuern - Prüfung, Band 5, 2. Auflage, München 2003, S. 97

⁷⁵ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): IDW Prüfungsstandard: Das interne

Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), in: Die Wirtschaftsprüfung 16/2001,

S. 822

⁷⁶ Vgl. Internet-Recherche vom 18.11.2003, a.a.O.

⁷⁷ Vgl. Hunecke, Jörg/Lück, Wolfgang (Hrsg.): a.a.O., S. 97

⁷⁸ Vgl. Haake, Manfred/Leitschuh, Gerhard/Gosolowsky, Hans-Joachim: Mindestanforderungen an die

Interne Revision, in: Zeitschrift Interne Revision 5/2000, S. 198 f.

⁷⁹ Vgl. Dönges, Thorsten: a.a.O., S. 60

⁸⁰ Vgl. Dönges, Thorsten: a.a.O., S. 60

14

E. Rechtliche Grundlagen

Der deutsche Gesetzgeber hat die Notwendigkeit bankinterner Kontrollverfahren erkannt und daher ihre Implementierung durch das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) und § 25a Kreditwesengesetz (KWG) verankert. Zudem publiziert die Bankenaufsicht regelmäßig detaillierte Mindestanforderungen bzw. Empfehlungen zum Einsatz der internen Überwachung in Kreditinstituten.

I. Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Eine risikoorientierte Unternehmensüberwachung gewinnt, aufgrund zunehmender Dynamik und Komplexität der Geschäftsprozesse in Kreditinstituten, ständig an Bedeutung. Dies zeigen auch Auswirkungen von Schwächen und Missmanagement im deutschen System der Unternehmenskontrolle. Schieflagen großer Unternehmen und die zunehmende Zahl der Insolvenzen (siehe Abb. 15), veranlassten daher den Gesetzgeber im Jahre 1998 das KonTraG zu erlassen ⁸¹ . Auch die Einführung einer Unternehmensverfassung wurde diskutiert und führte im Mai 2000 zur Einsetzung einer Regierungskommission „Corporate Governance“ ⁸² . Das KonTraG erhöht den Stellenwert der Internen Revision nicht nur für börsennotierte Kapitalgesellschaften, sondern unabhängig von der Betriebsgröße auch für Unternehmen aller Rechtsformen ⁸³ . Die gestiegene Bedeutung der Internen Revision zeigt die folgende Formulierung im Referentenentwurf zum Gesetz zur Änderung des AktG durch das KonTraG. Danach hat „das deutsche Aktienrecht [...] ein vielschichtiges Kontrollsystem“, die „Überwachung findet auf mehreren Ebenen statt“, wobei „zunächst die Einrichtung einer unternehmerischen Kontrolle durch den Vorstand (Interne Revision, Controlling)“ ⁸⁴ entscheidend ist. Im Mittelpunkt des Artikelgesetzes KonTraG und der damit einhergehenden Gesetzesänderungen stehen vor allem verschärfte Vorschriften der Corporate Governance. Das KonTraG erwähnt als erstes Bundesgesetz indirekt die Interne Revision ⁸⁵ . Damit erkennt der Gesetzgeber, dass eine effektive interne Überwachung Voraussetzung für die Funktionsfähigkeit der Unternehmen und damit auch der gesamten

⁸¹ Vgl. Kromschröder, Bernhard/Lück, Wolfgang: Grundsätze risikoorientierter Unternehmensüberwa- in: Der Betrieb 32/1998, S. 1573

⁸² Corporate Governance ist ein in den letzten Jahren entwickelter Fachbegriff für die unternehmerische

Leitung und Überwachung börsennotierter Gesellschaften mit der inhaltlichen Orientierung auf eine

verantwortungsvolle, der Nutzung bester Erfahrung verpflichtete, Unternehmensführung.

⁸³ Vgl. Hofmann, Rolf: Prüfungshandbuch, Praxisorientierter Leitfaden einer umfassenden unternehmeri- Überwachungs- und Revisionskonzeption, 4. Auflage, Berlin 2003, S. 6

⁸⁴ Referentenentwurf zur Änderung des Aktiengesetzes („KonTraG“) vom 26.11.1996, in: Zeitschrift für

Wirtschaftsrecht 50/96, S. 2129

⁸⁵ Vgl. Kohlhoff, Christian/Langenhan, Karsten/Zorn, Stephan: Risikomanagement nach dem KonTraG,

in: Zeitschrift Interne Revision 1/2000, S. 7

15

Volkswirtschaft ist ⁸⁶ .

„Die Verpflichtung des Vorstandes, für ein angemessenes Risikomanagement und eine angemessene Interne Revision zu sorgen, soll...“ durch die Änderung des AktG „...verdeutlicht werden“ ⁸⁷ . Der durch das KonTraG eingefügte § 91 Abs. 2 AktG regelt, dass der Vorstand einer Aktiengesellschaft insbesondere ein Überwachungssystem einzurichten hat, damit Entwicklungen, welche den Fortbestand der Gesellschaft gefährden, möglichst früh erkannt werden. Dieses IÜS besteht aus dem prozessabhängigen IKS, dem prozessimmanenten Risikomanagementsystem (RMS) sowie der prozessunabhängigen Internen Revision ⁸⁸ . Damit wird die Interne Revision als Teil des Überwachungssystems, wenn auch nicht als eigene organisatorische, so doch als funktionale Einheit, faktisch zur Pflicht. Die Überwachungsprozesse sollen vor dem Hintergrund des § 91 Abs. 2 AktG sicherstellen, dass das Risikofrüherkennungssystem ständig funktionsfähig ist und kontinuierlich angewendet wird. Zu diesem Zweck sind die Maßnahmen zur Analyse, Bewertung, Identifikation und Kommunikation von Risiken durch die Interne Revision zu überwachen ⁸⁹ .

II. Kreditwesengesetz

Der Schwerpunkt der Bankenaufsicht wurde mit der 6. KWG-Novelle zum KWG im Oktober 1997 von einer primär quantitativen zur zunehmend qualitativen Aufsicht verschoben. In diesem Kontext wurde die Interne Revision auch ohne explizite Nennung gesetzlich im KWG verankert ⁹⁰ . Zudem wurden mit der am 01.08.1998, durch das Gesetz zur Umsetzung der EG-Einlagensicherungsrichtlinie, in Kraft getretenen Änderung des KWG geeignete Regelungen zur Kontrolle, Steuerung und Überwachung der Risiken erstmals kodifiziert ⁹¹ . Nach § 25a Abs. 1 Nr. 2 KWG müssen deutsche Kreditinstitute über eine ordnungsgemäße Geschäftsorganisation, über angemessene interne Kontrollverfahren sowie über angemessene Sicherheitsvorkehrungen für den EDV-Einsatz verfügen. Die Interne Revision soll die Funktionsfähigkeit der internen Kontrollen und damit die gesamte unternehmensinterne Überwachung sicherstellen ⁹² .

⁸⁶ Vgl. Peemöller, Volker H./Richter, Martin: Entwicklungstendenzen in der Internen Revision, IIR-Forum Band 2, Berlin 2000, S. 77

⁸⁷ Regierungsentwurf zur Änderung des Aktiengesetzes („KonTraG“) vom 06.11.1997, in: Zeitschrift für

Wirtschaftsrecht 47/97, S. 2061

⁸⁸ Vgl. Hanenberg, Ludger/Schneider, Andreas: a.a.O., S. 1059

⁸⁹ Vgl. Amling, Thomas/Bischof, Stefan: KonTraG und Interne Revision - unter besonderer Berücksichti- der Internationalisierung des Berufsstandes, in: Zeitschrift Interne Revision 2a/1999, S. 56

⁹⁰ Vgl. Kießling, Axel/Kießling, Erik: Kontrolle durch die Interne Revision in Kreditinstituten, in: Wert- - Zeitschrift für Wirtschafts- und Bankrecht, S. 515

⁹¹ Vgl. Lück, Wolfgang: Zusammenarbeit von Interner Revision und Abschlussprüfer, a.a.O., S. 70

⁹² Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Abwehr wirtschaftskrimineller Handlungen in

Kreditinstituten, IIR-Schriftenreihe Band 31, Berlin 2000, S. 23

16

F. Systematisierung der Prüfungsmethoden

I. Einzelfallprüfungen

Die einzelnen Ergebnisse von Informationsverarbeitungsvorgängen im System sind Gegenstand von Einzelfallprüfungen. Schwerpunktmäßig wird dabei das Zahlenwerk des Finanz- und Rechnungswesens geprüft (Financial Auditing). Bei der Durchführung von Einzelfallprüfungen stehen dem Revisor die im Folgenden dargestellten Prüfungsmethoden zur Verfügung.

a) Direkte und indirekte Prüfung

Direkte Prüfungshandlungen standen in der Vergangenheit im Mittelpunkt der Revisionspraxis. Unter Zugriff auf einzelne Belege werden die Aufzeichnungen aus der Buchführung, Bilanz und GuV unmittelbar mit den betreffenden Geschäftsvorgängen verglichen. Dabei wird nicht nur die formelle Richtigkeit des Geschäftsvorfalls sondern auch der materielle Hintergrund überprüft ⁹³ . Die direkte Methode ist sehr genau, scheitert jedoch häufig am hohen Zeitaufwand. Mit dem Ziel der weitestgehend unwiderlegbaren Beweisführung wird, insbesondere bei konkreten Hinweisen auf geschäftsschädigende Handlungen, direkt geprüft.

Bedingt durch zunehmende Institutsgrößen und damit wachsendem Geschäftsvolumen gewinnen indirekte Prüfungen immer mehr an Bedeutung. Der Revisor erhält aus den Relationen gegenübergestellter Zahlen Informationen über bestimmte Sachverhalte. Durch Verprobung bzw. Plausibilitätsüberprüfungen gruppierter Einzelsachverhalte wird somit der Prüfungsaufwand verringert, ohne dass die Prüfungsqualität wesentlich vernachlässigt wird. Die indirekte Prüfung wird in der Praxis häufig bei steuerlichen Verprobungen eingesetzt ⁹⁴ .

b) Progressive und retrograde Prüfung

Im Rahmen der progressiven Prüfung wird die Ordnungsmäßigkeit der Zahlen vom wirtschaftlichen Sachverhalt über Beleg und Buchung bis zur Erfolgsrechnung überprüft. Progressive Prüfungshandlungen geben Auskunft darüber, ob wirtschaftliche Tatbestände ordnungsgemäß in der Buchführung belegt sowie dokumentiert sind und ob die Belege formell richtig gebucht sowie vollständig in den Jahresabschluss eingegangen sind. Prüft man von der Bilanzposition über Buchung und Beleg bis zum Geschäftsvorfall zurück, führt man eine retrograde Prüfung durch. Damit wird festgestellt,

⁹³ Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Prüfung des Zahlungsverkehrs in Kreditinsti- IIR-Schriftenreihe Band 23, 3. Auflage, Berlin 2003, S. 24

⁹⁴ Vgl. Korndörfer, Wolfgang: a.a.O., S. 219 f.

17

ob die Position im Jahresabschluss auf einen Geschäftsvorfall zurückzuführen ist und ob dieser auch richtig und vollständig belegt werden kann. Da sich beide Prüfungshandlungen (siehe Abb. 16) ergänzen, werden sie in der Revisionspraxis häufig kombiniert ⁹⁵ .

c) Formelle und materielle Prüfung

Formelle Prüfungen (siehe Abb. 17) beurteilen die äußere Form und Ordnungsmäßigkeit der Buchführung einschließlich ihrer rechnerischen Richtigkeit. Dabei wird auch geprüft, ob sämtliche Geschäftsvorfälle im Sinne der „Grundsätze ordnungsmäßiger Buchführung“ (GoB) vollständig erfasst, richtig verarbeitet und auf die richtigen Konten gebucht wurden. Es werden insbesondere Abstimmungsprüfungen, Übertragungsprüfungen, rechnerische Prüfungen und Belegprüfungen vorgenommen. Um die inhaltliche Richtigkeit des vorhandenen Zahlenmaterials resp. der Belege festzustellen, wird materiell geprüft ⁹⁶ . Der Revisor überprüft dabei, ob und inwieweit der Beleg dem zugrundeliegenden Geschäftsvorfall entspricht.

d) Voll- und Auswahlprüfung

Je nach Prüfungsauftrag und Prüfungsfortschritt muss entschieden werden, ob lückenlos (voll) oder stichprobenweise geprüft werden soll. Bei der lückenlosen Prüfung werden sämtliche Geschäftsvorgänge eines festgelegten Bereiches und/oder Zeitraumes geprüft. Insbesondere in außerordentlich risikobehafteten Geschäftsbereichen ist nach dieser Prüfungsmethode vorzugehen ⁹⁷ . Wurden beispielsweise potenzielle Deliktbereiche als solche identifiziert oder bestanden bereits bei Auftragserteilung konkrete Verdachtsmomente für eine Unterschlagung, so sind lückenlos alle Geschäftsvorgänge des Verdachtsgebietes zu prüfen ⁹⁸ .

Der Vorteil der Methode besteht darin, dass das zu untersuchende Prüfungsgebiet mit sehr hoher Genauigkeit und Sicherheit beurteilt werden kann. Zeit- und Kostenaspekte sprechen in der Praxis, insbesondere bei umfangreichen Prüfungsgebieten, jedoch gegen eine lückenlose Prüfung. Stattdessen beschränkt sich der Revisor auf ausgewählte Transaktionen, d.h. er prüft stichprobenweise ⁹⁹ .

Dennoch bedient man sich einer besonderen Form der Vollprüfung. Dafür werden stichprobenweise z.B. materielle Geschäftsvorfälle ausgewählt und anschließend lü-

⁹⁵ Vgl.

⁹⁶ Vgl. Hofmann, Rolf: Unterschlagungsprophylaxe und Unterschlagungsprüfung, a.a.O., S. 269 f.

⁹⁷ Vgl. von Heyden, Axel: Mitarbeiterkriminalität - Umfeld und Hintergründe, in: Die Bank 4/1999,

S. 234

⁹⁸ Vgl. Marten, Kai Uwe/Quick, Reiner/Ruhnke, Klaus: Wirtschaftsprüfung, Grundlagen des betriebswirt- Prüfungswesens nach nationalen und internationalen Normen, Stuttgart 2001, S. 479

⁹⁹ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): Wirtschaftsprüfer-Handbuch 2000,

a.a.O., S. 1700

18

ckenlos geprüft. Durch den Einsatz mathematisch-statistischer Stichprobenmethoden lässt sich die Anzahl der zu prüfenden Objekte massiv reduzieren, ohne die Prüfungssicherheit maßgeblich zu senken.

Der Zeit- und Personalbedarf für solche Auswahlprüfungen wird im Interesse der Wirtschaftlichkeit reduziert bzw. konstant gehalten. Auswahlprüfungen können auch zur Eingrenzung unterschlagungsgefährdeter Bereiche durchgeführt werden. Zu beachten ist, dass ihr Aussagewert lediglich bei einem repräsentativen Stichprobenumfang mit einer Vollerhebung vergleichbar ist. Um eine hohe Prüfungssicherheit zu gewährleisten und das verbleibende Restrisiko möglichst gering zu halten, muss die Stichprobenprüfung einen angemessenen Teil des Prüfungsgebietes abdecken ¹⁰⁰ . Die Auswahl kann bewusst bzw. zufällig erfolgen. Eine zufällige Auswahl der Stichprobe sollte in Prüfungsgebieten mit geringem Risiko erfolgen. Um die Zufälligkeit der Stichprobe sicherzustellen, müssen mathematisch gesicherte Verfahren eingesetzt werden ¹⁰¹ . In Gebieten mit hohem Risiko sollte eine bewusste und kritische Auswahl der zu prüfenden Geschäftsvorfälle aufgrund von Erfahrungswerten erfolgen. Auswahlkriterien können insbesondere hohe Rechnungsbeträge bzw. atypische Geschäftsvorfälle sein ¹⁰² . Ein Beispiel für die Stichprobenprüfung ist die Revision in Hinsicht auf die Einhaltung des Geldwäschegesetzes. Die Beurteilung der Internen Revision kann dabei mit Hilfe von repräsentativen Stichproben erfolgen. Die Stichproben müssen in einem angemessenen Verhältnis zur Gesamtzahl der Geschäftsvorfälle stehen, die gemäß § 9 Geldwäschegesetz (GwG) aufgezeichnet worden sind.

II. Systemprüfung

Wachstum und zunehmende Komplexität der Unternehmen erfordern sogenannte Systemprüfungen, die über das Finanz- und Rechnungswesen hinausgehen und über die Funktionsfähigkeit und Effizienz von Prozessen Auskunft geben ¹⁰³ . Systemprüfungen erstrecken sich i.d.R. auf alle wesentlichen Bereiche des Kreditinstituts ¹⁰⁴ . Insbesondere das IKS und das Risikomanagementsystem werden regelmäßig mit Hilfe von Systemprüfungen geprüft ¹⁰⁵ . Dabei wird im ersten Schritt das Ist-System erfasst und anschließend mit dem vorgegebenen Soll-System verglichen. Ebenso wird die prak-

¹⁰⁰ Vgl. Bilanz, Kostenrechnung (BBK) 13/99, S. 622

¹⁰¹ Vgl. Marten, Kai Uwe/Quick, Reiner/Ruhnke, Klaus: a.a.O., S. 292

¹⁰² Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Prüfung des Zahlungsverkehrs in Kreditinsti- a.a.O., S. 24

¹⁰³ Vgl. Schneider, Thomas: a.a.O., S. 33

¹⁰⁴ Vgl. Horváth, Péter: a.a.O., S. 794

¹⁰⁵ Vgl. Tanski, Joachim S.: Aktuelle Entwicklungen von Corporate Governance und Interner Revision -

eine Analyse zur Zeit nach Enron und WorldCom, in: Zeitschrift Interne Revision 3/2003, S. 91

19

tische Anwendung des Systems mit Hilfe von Testfällen kontrolliert. Ziel der Prüfung ist die Sicherstellung der einwandfreien Funktionsfähigkeit des geprüften Systems. Zudem erlaubt der Soll-Ist-Vergleich eine Zweckmäßigkeitsbeurteilung der Internen Kontrollverfahren.

III. Organisationsprüfung

Die Aufbau- und Ablauforganisation sowie die Personal- und Sachmittelorganisation innerhalb eines Kreditinstituts muss rationell und systematisch erfolgen sowie schriftlich fixiert werden. Die Interne Revision hat in diesem Zusammenhang die Geschäftsabwicklung hinsichtlich ihrer Ordnungsmäßigkeit zu überwachen. Dazu gehört auch die Überprüfung organisatorischer Richtlinien und deren Weiterentwicklung. Bei Nichteinhaltung der geschaffenen Regeln muss die Interne Revision umgehend Korrekturmaßnahmen einleiten. Die Analyse der organisatorischen Abläufe und die Aufdeckung möglicher Schwachstellen in der Organisation des Kreditinstituts werden im Hinblick auf eine möglicherweise folgende Beratung, in Kooperation mit den geprüften Abteilungen, durchgeführt ¹⁰⁶ .

2. Abschnitt: Voraussetzungen der Internen Revision

Die Arbeit der Internen Revision ist an vielfältige Voraussetzungen (siehe Abb. 18) gebunden. Nur unter Berücksichtigung der nachfolgend genannten Faktoren kann die Revisionsabteilung ihre Aufgaben optimal erfüllen ¹⁰⁷ .

A. Allgemeine Voraussetzungen

I. Sachliche Ausstattung

Die Durchführung sämtlicher Revisionsaufgaben setzt eine hinreichende Sachausstattung voraus. Neben räumlichen Kapazitäten zählen dazu auch die regelmäßige Versorgung mit Fachinformationen und die Verfügbarkeit von Hard- und Software. Eine fachgerechte Aufgabenerfüllung verlangt zudem aktuelles und umfangreiches Wissen über die zu prüfenden Bereiche und Geschäftsvorfälle. Unter diesem Aspekt ist eine fachliche Informationssammlung für die Revisionsmitarbeiter obligatorisch ¹⁰⁸ .

¹⁰⁶ Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.): Organisationsprüfung in Kreditinstituten,

a.a.O., S. 14

¹⁰⁷ Vgl. Hoffmann, Friedrich: Interne Revision, Organisation, in: Coenenberg, Adolf G./v. Wysocki,

Klaus (Hrsg.): Handwörterbuch der Revision, 2. Auflage, Stuttgart 1992, Sp. 871

¹⁰⁸ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): Entwurf IDW Prüfungsstandard: Prü- der Funktionsfähigkeit der Internen Revision bei Kreditinstituten (IDW EPS 523), in: Die Wirt-

schaftsprüfung eft 6/2003, S. 289 f.

20

II. Technische Ausstattung

Der Umfang sowie die Verwendung von EDV und deren gegenseitige Vernetzung wird in den Fachabteilungen der Kreditinstitute ständig komplexer. Um die Interne Revision in ihrer Arbeit, insbesondere in der Sicherstellung der Planung und Durchführung von Prüfungen sowie der anschließenden Berichterstattung, zu unterstützen, werden daher zunehmend computergestützte Prüf- und Kontrollmethoden eingesetzt ¹⁰⁹ . Neben spezieller Revisionssoftware kommen auch Standardprogramme aus den Bereichen Textverarbeitung und Tabellenkalkulation sowie selbst entwickelte Programme zum Einsatz. Es ist darauf zu achten, dass die technische Ausstattung eine ordnungsgemäße Dokumentation der Revisionstätigkeit gewährleistet. Des Weiteren muss die Interne Revision bei Bedarf über hinreichende Zugriffsrechte auf alle wesentlichen IT-Systeme des Kreditinstituts verfügen. Dieser Zugriff soll eine risikoorientierte Stichprobenauswahl sicherstellen und eine anschließende Auswertung ermöglichen ¹¹⁰ .

B. Organisatorische Voraussetzungen

I. Schriftlich fixierte Ordnung

Wesentliche Voraussetzung für die Funktionsfähigkeit der Internen Revision ist eine schriftlich fixierte Ordnung des gesamten Kreditinstituts. Diese umfasst insbesondere eine nachvollziehbare Darstellung der Aufbau- und Ablauforganisation, einschließlich des Kompetenzgefüges, und muss der Internen Revision ohne weiteres ermöglichen, die Prüfung zu beginnen ¹¹¹ .

Ebenso ist die Geschäftsleitung nach den MAIR verpflichtet, schriftliche Rahmenbedingungen für die Ziele, Aufgaben, Verantwortung, organisatorische Einbindung, Befugnisse, Berichtspflichten und Vorgehensweise bei der Mängelverfolgung der Internen Revision zu erlassen. Verantwortungsbereiche und Zuständigkeiten sowie Prozessabläufe und integrierte Kontrollen sollten dargestellt, periodisch überprüft sowie weiterentwickelt werden ¹¹² . Die schriftliche Fixierung kann sowohl in Form eines Organisationshandbuchs als auch in einer Online-Dokumentation erfolgen. Vorteil der letztgenannten Methode ist die transparentere Darstellung von Abläufen und Prozessen, welche anschließend gezielt ausgewertet werden können ¹¹³ .

¹⁰⁹ Vgl. Mosblech, Bodo: Einsatz von Software für Revisionszwecke, in: Zeitschrift Interne Revision

2/2000, S. 46

¹¹⁰ Vgl. Institut der Wirtschaftsprüfer in Deutschland e.V. (Hrsg.): IDW EPS 523, a.a.O., S. 290

¹¹¹ Vgl. Internet-Recherche vom 18.11.2003, http://www.bakred.de/texte/rundsch/rs01_00.htm, Mindest- an die Ausgestaltung der Internen Revision der Kreditinstitute (MAIR), Tz. 12

¹¹² Vgl. Dönges, Thorsten: a.a.O., S. 58

¹¹³ Vgl. Kurowski, Herbert/Winter, Anne Maria: a.a.O., S. 137

21

II. Institutsgröße

Mit zunehmender Institutsgröße (siehe Abb. 19) steigt die Komplexität, Intransparenz, Anonymität und damit das Risikopotential. Während in kleinen und mittleren Instituten i.d.R. der Geschäftsleiter für die Kontrolle und Überwachung zuständig ist, verfügen größere Kreditinstitute und Bankkonzerne regelmäßig über eigene Revisionsabteilungen ¹¹⁴ .

III. Organisatorische Eingliederung

Die organisatorische Eingliederung der Internen Revisionsabteilung hat so zu erfolgen, dass die Prozessunabhängigkeit und die Erreichung der Prüfungsziele gewährleistet sind. Daher wird die Interne Revision sehr weit oben in der Unternehmenshierarchie als Stabsabteilung (siehe Abb. 20) eingegliedert ¹¹⁵ .

Zur Führungsunterstützung eines Konzernvorstandes kann die Interne Revision auch in ein Corporate Center eingeordnet werden, zu dem auch die Bereiche Controlling und Treasury ¹¹⁶ gehören ¹¹⁷ .

a) Hierarchische Unterstellung

Die Interne Revision ist ein Instrument der gesamten Unternehmensleitung. Sie ist disziplinarisch dem Geschäftsleiter (Vorstandsvorsitzenden) und funktional unmittelbar der Geschäftsleitung (Gesamtvorstand) unterstellt ¹¹⁸ .

Damit obliegt die Verantwortung für die Einrichtung und die Funktionsfähigkeit der Internen Revision der gesamten Geschäftsleitung und kann nicht delegiert werden. Die Geschäftsleitung hat im Rahmen ihrer Dienstaufsicht sicherzustellen, dass die Interne Revision ihre Aufgaben in ihrem Sinne rationell und effizient ausführt ¹¹⁹ . Um maximale Unabhängigkeit der Internen Revision zu gewährleisten, sollte sie möglichst weit oben in der Unternehmenshierarchie, vorzugsweise in der obersten Entscheidungs- und Führungsebene, eingegliedert sein ¹²⁰ . Die der Internen Revision übergestellte Geschäftsleitung wird, in Abhängigkeit von der Rechtsform, durch ein unabhängiges

¹¹⁴ Vgl. Hofmann, Rolf: Prüfungshandbuch: a.a.O, S. 32

¹¹⁵ Vgl. Gasser, Thomas P./Fassbind, Renato: Die Interne Revision als Herausforderung für das Unter- in: Der Schweizer Treuhänder 12/1994, S. 1015 f.

¹¹⁶ Treasury verantwortet die konzernweite Steuerung von Kapital und Liquidität und koordiniert deren

Aufteilung auf die Unternehmensbereiche.

¹¹⁷ Vgl. Internet-Recherche vom 28.11.2003, http://www.deutsche-bank.de/ir/pdfs/GB_D_27-03-03.pdf.

¹¹⁸ Vgl. Haake, Manfred/Leitschuh, Gerhard/Gosolowsky Hans-Joachim: a.a.O., S. 198

¹¹⁹ Vgl. Hofmann, Rolf: Interne Revision und Wirtschaftsprüfung als Instrumente gegen dolose Handlun- in Unternehmen, in: Der Betrieb 27-28/1989, S. 1357

¹²⁰ Vgl. Ruud, T. Flemming/Bodenmann Jan Marc: Corporate Governance und Interne Revision, in: Der

Schweizer Treuhänder 6-7/2001, S. 525

22

Aufsichtsorgan ¹²¹ überwacht. Dabei erstreckt sich die Überwachung auch auf die Unternehmenskontrolle sowie auf das gemäß § 91 Abs. 2 AktG notwendige Frühwarnsystem und damit auch auf die Interne Revision ¹²² .

Im Gegensatz zur Geschäftsleitung (Vorstand) hat das Aufsichtsorgan (Aufsichtsrat) kein Weisungsrecht gegenüber der Internen Revision. Mit Einverständnis des Vorstandes kann die Interne Revision den Aufsichtsrat jedoch bei der Erfüllung seiner Überwachungstätigkeit unterstützen ¹²³ . Damit leistet die Interne Revision auch einen bedeutenden Beitrag zur Corporate Governance ¹²⁴ .

Um ein objektives Management Auditing zu ermöglichen, wird verstärkt eine direkte Unterstellung der Internen Revision unter den Aufsichtsrat bzw. unter ein unabhängiges Audit Committee gefordert. Das Audit Committee ist ein Aufsichtsratsausschuss, der als Schnittstelle zwischen Unternehmensführung und Überwachungsorgan fungiert und u.a. die Zusammenarbeit mit dem Abschlussprüfer koordiniert ¹²⁵ . Die Art und Weise der organisatorischen Eingliederung in die Überwachungsstruktur (siehe Abb. 21) des Instituts soll in jedem Fall eine wirkungsvolle und umfassende Prüfungstätigkeit mit maximaler Prozessunabhängigkeit gegenüber den zu prüfenden Stellen gewährleisten ¹²⁶ .

b) Aufbauorganisation

Die organisatorische Struktur der Internen Revision wirkt sich auf die Effizienz der Prüfungs- und Beratungstätigkeit aus. Gerade innerhalb größerer Kreditinstitute ist daher die Bildung kleinerer Revisionsuntereinheiten unabdingbar. Im Konzern kann die Revision zudem zentral oder dezentral organisiert sein. Insbesondere mit zunehmender räumlicher Distanz der Prüfungsobjekte, werden innerhalb der Tochterunternehmen dezentrale Hausrevisionen eingesetzt, welche der Zentralrevision des Konzerns unterstellt sind ¹²⁷ . Dies ermöglicht eine Aufteilung der Tätigkeiten (siehe Abb. 22) zwischen Zentral- und Hausrevision.

c) Ablauforganisation

Unter Ablauforganisation versteht man die Gestaltung von Arbeitsprozessen. Die Ablauforganisation der Innenrevision ist an der Struktur der Aktivitäten zur Aufgabenerfül-

¹²¹ Bei

¹²² Vgl. Kießling, Axel/Kießling, Erik: a.a.O., S. 522

¹²³ Vgl. Deutscher Genossenschafts- und Raiffeisenverband e.V. (Hrsg.): a.a.O., S. 19

¹²⁴ Vgl. Ruud, T. Flemming/Bodenmann Jan Marc: a.a.O., S. 528

¹²⁵ Vgl. Peemöller, Volker H./Geiger, Thomas: Maßnahmen zur Effizienzsteigerung der Internen Revisi- in: Betrieb und Rechnungswesen - Buchführung, Bilanz, Kostenrechung (BBK) 7/1998, S. 1090

¹²⁶ Vgl. Hofmann, Rolf: Interne Revision, Aufgaben, a.a.O., Sp. 856

¹²⁷ Vgl. Peemöller, Volker H./Geiger, Thomas: a.a.O., S. 1091

23

lung ausgerichtet. Die bei der Planung, Vorbereitung, Durchführung und Nachbereitung von Prüfungen ablaufenden Informationsverarbeitungsprozesse sind die Grundlage für den Aufbau einer dauerhaften Prozessstruktur ¹²⁸ .

IV. Rationalisierungskonzepte

Unabhängig davon, ob die Interne Revision durch eine interne Institution oder durch einen unternehmensexternen Anbieter von Prüfungs- und Beratungsleistungen erfolgt, sollte die Umsetzung von Rationalisierungskonzepten nicht dazu führen, dass die Revisionsfunktion verkleinert wird (Lean Revision). Die zunehmende Vielfalt und Komplexität des Aufgabenspektrums erfordert vielmehr eine Ausweitung der Revisionsfunktion.

a) Self-Auditing

Um die Effizienz der Revisionstätigkeit durch institutionelle Dezentralisierung zu steigern wird das Self-Auditing (siehe Abb. 23) diskutiert. Die Umsetzung dieses Konzeptes kann sowohl eine Dezentralisierung der Revisionstätigkeit in multinationalen Unternehmen und Konzernen als auch eine eigenverantwortliche Prüfung des IKS in den Unternehmensbereichen durch eigene Prüfer unter Regie einer zentralen Revision zur Folge haben ¹²⁹ . Self-Auditing soll insbesondere die durch Rationalisierungsmaßnahmen vielfach entfallenen Kontrollen in den Arbeitsprozessen ersetzen und damit mögliche Vermögensschäden vermeiden ¹³⁰ .

Die Aufgabe der Zentralrevision besteht darin Fragebögen und Checklisten zu entwickeln, anhand derer die Mitarbeiter in den Fachabteilungen bzw. Tochterunternehmen die Qualität des vorhandenen IKS überprüfen können. Aufgaben, Kompetenzen und Zuständigkeiten gegenüber der zentralen Revision des Konzerns müssen beim Self-Auditing klar geregelt sein. Im Sinne einer risikoorientierten Prüfungsprogrammplanung und einer zweckmäßigen Abstimmung von Prüfungsdetails ist eine direkte Berichterstattung der Internen Revision der Fachabteilung bzw. Tochtergesellschaft an die Konzernrevision notwendig ¹³¹ .

Vorteil der Methode (siehe Abb. 24) ist, dass sich mit zunehmender Dezentralisierung der Internen Revision die Revisionsakzeptanz erhöht. Dies führt wiederum zur exakteren Information über die zu prüfenden Bereiche, z.B. Tochtergesellschaften und damit

¹²⁸ Vgl. Hoffmann, Friedrich: a.a.O., Sp. 880

¹²⁹ Vgl. Lück, Wolfgang/Jung, Astrid: Self-Auditing - Eine Möglichkeit zur Effizienzsteigerung der In- Revision?, in: Zeitschrift Interne Revision 3/1994, S. 151

¹³⁰ Vgl. Wagner, Hans-Jürgen/Mikat, Rolf-Rüdiger: Self-Auditing - ein Instrument der Internen Revision,

in: Zeitschrift Interne Revision 4/2000, S. 146

¹³¹ Vgl. Amling, Thomas/Bischof, Stefan: a.a.O., S. 59 f.

24

zu einer Ergebnisverbesserung der Revisionstätigkeit ¹³² . Ferner werden durch den Abbau der zentralen Revision auch Kosten, beispielsweise für Dienstreisen, eingespart. Da die eigenverantwortliche Prüfung der Unternehmensbereiche jedoch auch zu einer Gefährdung der Prozessunabhängigkeit der Internen Revision führt, ist das Konzept des Self-Auditing bislang in Theorie und Praxis umstritten ¹³³ . Dennoch werden Routinevorgänge durch gezieltes Self-Auditing abgedeckt ¹³⁴ . Eine Effizienzsteigerung lässt sich aber nur dann erzielen, wenn die Aufgabenverlagerung Wirtschaftlichkeitsvorteile ohne Qualitätsverlust erbringt ¹³⁵ .

b) Outsourcing

Insbesondere der Druck der Kapitalgeber zur Ergebnisverbesserung zwingt viele Kreditinstitute ihre Organisationen schlanker zu machen. Stellen, Stäbe und Hierarchien werden eingespart und interne Kontrollaufgaben ausgegliedert. Folge solcher „Lean-Management-Konzepte“ ¹³⁶ ist die kontroverse Diskussion über die Bedeutung und Notwendigkeit der unternehmenseigenen Internen Revision. Sofern im Unternehmen keine eigene Interne Revision besteht, sind die entsprechenden Überwachungsvorgänge durch geeignete externe Institutionen zu gewährleisten. Eine Alternative ist das Outsourcing der Internen Revision. Der Begriff leitet sich aus „Outside Ressource Using“ ¹³⁷ ab und bedeutet in diesem Fall die Übertragung von einzelnen Revisionstätigkeiten oder der gesamten unternehmensinternen Revisionsfunktion auf einen externen Dienstleistungsanbieter (Service Provider) ¹³⁸ . Die Aufgaben der Internen Revision von Kreditinstituten sind i.d.R. von unternehmensinternen Personen wahrzunehmen. Soweit dies unter Risikoaspekten vertretbar ist, kann für einzelne Bereiche eine Übertragung der Aufgaben auf externe Personen in Betracht kommen ¹³⁹ .

Ist die Einrichtung einer Revisionsstelle mit unverhältnismäßigem Aufwand verbunden, können insbesondere kleine Kreditinstitute die Aufgaben der Internen Revision von ei-

¹³² Vgl.

der Internen Revision, in: Betrieb und Rechnungswesen - Buchführung, Bilanz, Kostenrechung

(BBK) 18/1998, S. 1130

¹³³ Vgl. Lück, Wolfgang/Jung, Astrid: Self-Auditing - Eine Möglichkeit zur Effizienzsteigerung der In- Revision?, a.a.O., S. 161

¹³⁴ Vgl. Hofmann, Rolf: Unterschlagungsprophylaxe und Unterschlagungsprüfung, a.a.O., S. 56

¹³⁵ Vgl. Peemöller, Volker H./Geiger, Thomas: a.a.O., S. 1096

¹³⁶ Bzw. „Reengineering-Prozesse“ oder „Kostensenkungs-Programme“

¹³⁷ Was soviel bedeutet wie, das Abschmelzen von Gemeinkosten und/oder Konzentrieren der Revisions- auf das Wesentliche durch das Heranziehen externer Stellen für die Wahrnehmung von

Aufgaben, welche im ursprünglichen Sinn als unternehmensintern zu betrachten sind.

¹³⁸ Vgl. Palazzesi, Mauro: Zum Outsourcing der Internen Revision von Banken, Nachteile überwiegen die

Vorteile in aller Regel, in: Der Schweizer Treuhänder 7/1998, S. 634

¹³⁹ Vgl. Internet-Recherche vom 18.11.2003, MAIR, Tz. 39