Verschärfter Wettbewerb, Wertewandel, neue Regulierungen, effizienter Ressourceneinsatz und die steigenden Anforderungen von Kunden und Investoren prägen die Arbeit des Verwaltungsrats und bedingen eine laufende Beurteilung der Risikolage im Unternehmen. Die Verlässlichkeit von Risk Management, des Kontrollsystems, der Führungsprozesse sowie entscheidungsrelevanter Informationen sind dabei eine wichtige Voraussetzung für den Verwaltungsrat, um seine Aufgabe und Verantwortung wahrzunehmen. Da er die erhaltenen Informationen oft nur grob respektive die Durchsetzung seine Anordnungen nur bedingt überprüfen kann, steht ihm zur Gewinnung der diesbezüglichen Sicherheit in bedeutenderen Unternehmen eine Interne Revision zur Verfügung.
Diese berichtet über die Effektivität und Funktionstüchtigkeit der Prozesse in den genannten drei Hauptgebieten und stellt bei Mängeln Antrag zu Verbesserung. Basierend auf diesen unabhängigen Beurteilungen vergewissert sich der VR über die Zweckmässigkeit der durch die Geschäftsleitung getroffenen Massnahmen und greift allenfalls korrigierend ein.
Assurance Services
Für diese Kernaufgaben einer Internen Revision hat sich im angelsächsischen Sprachraum der Begriff «Assurance-Services» eingebürgert. Aufgrund der Vertrautheit mit den betrieblichen Strukturen und Abläufen sowie dem spartenübergreifenden Wissen zu Risk Management, Kontrollen als auch Führungsprozessen ist die Interne Revision weiter prädestiniert für Beratungsdienstleistungen im Unternehmen. Diese sind bei Projekten sinnvoll, da eine integrierende Sicht sich schon kurzfristig ausbezahlen wird. Der Nutzen einer guten Internen Revision liegt primär in der präventiven Verhinderung von Ausfall- und Reputationsrisiken. Auch wenn in der Folge des Artikels nicht mehr weiter erwähnt, leistet die Interne Revision auch in der öffentlichen Verwaltung und Non-profit-Organisationen denselben wichtigen Beitrag zur Führung, Verwaltung und Wertschöpfung.
In einem aus Überwachungssicht perfekten Risk-Management- und Kontrollsystem wäre die Interne Revision theoretisch gar nicht nötig. Eine Vielzahl von Kontrollschritten und die weitgehende Trennung von Funktionen würden sicherstellen, dass weder mutwillig Verstösse gegen Vorschriften noch fahrlässig Fehler passieren. Ein solches Kontrollsystem wäre wohl nicht bezahlbar und der Organisationsgrad allenfalls zu komplex, um die betriebliche Leistung ökonomisch sinnvoll zu erbringen. In nach Kosten-/Nutzenüberlegungen optimierten Systemen sorgt die Interne Revision mittels risikoorientierten Prüfungen für den gewünschten Grad an Sicherheit auf Stufe Verwaltungsrat und Geschäftsleitung.
Es ist primär Aufgabe des VR, allenfalls zusammen mit der Geschäftsleitung, basierend auf der durch die Interne Revision unterstützten Risikoanalyse gerade diese Sicherheit zu bestimmen. Aufgrund der Ressourcenzuteilung wird die Interne Revision dann risikoorientiert die Prüfprioritäten setzen und in einem Mehrjahresplan aufzeigen, welche Gebiete abgedeckt werden können. Bei der Festlegung der Revisionsziele wird die Interne Revision neben der eigenen Risikoanalyse auch die Hinweise der Geschäftsleitung sowie der nächst tieferen Hierarchie-Stufe in Betracht ziehen und die Prüfungen mit der Externen Revision koordinieren. Die breite Abstützung der Informationsgewinnung und somit umfassende Analyse der Risiken und des Kontrollsystems befähigt die Interne Revision, vermutete Schwachstellen und risikosensible Bereiche gezielt mittels Revisionseinsätzen zu überprüfen.
Prüfziele und -verfahren
Das Vorgehen der Internen Revision ist also vielfältig. Die Planung ist begleitet von Interviews, in denen umfassend weitere Informationen gewonnen werden. Bei der Gestaltung der Prüfziele und -verfahren werden auch Hinweise und Anliegen der geprüften, der vorgesetzten als auch weiterer Stellen im Unternehmen evaluiert und allenfalls mitberücksichtigt. Mittels einer Risiko-Kontroll-Matrix überprüft der Revisor in der Folge, ob zu den inhärenten Risiken im Prüfbereich einerseits zweckdienliche Vorkehrungen des Betriebes vorliegen und diese Massnahmen auch greifen. Die Risiko-Kontroll-Matrix kann auch in einem so genannten Self-Assessment durch den Betrieb selbst erarbeitet werden. Mittels einer Systemaufnahme vor Ort werden dann die Abläufe einer ersten Beurteilung unterzogen, wobei das Schwergewicht auf den Kontrollfunktionen und -massnahmen liegt. Die Systemaufnahme wird zumeist durch ein praktisches Durchgehen des Belegflusses ergänzt. Kontrollen werden auf ihre Wirksamkeit beurteilt und anhand von Stichproben nachvollzogen. Im Vorgehen zeigt sich die ursprüngliche Bedeutung der Funktionsbezeichnungen Audit und Revision. Zuerst zuhören, dann aber selbst sehen!
Schwachstellen festlegen
Stufengerechte, handlungsorientierte Berichte der Internen Revision dienen dem Verwaltungsrat als Grundlage für die Beurteilung der Qualität von Risk Management, Kontrollsystem und der Führungsprozesse sowie als Ausgangspunkt für notwendige Korrekturen. Eine gute Kommunikation zeichnet sich aber nicht nur durch treffende, möglichst knappe Umschreibungen und auf die unterschiedlichen Leser zugeschnittene Berichte aus, sondern enthält als eigentliches Kernstück umsetzbare Anträge zur Verbesserung festgestellter Schwachstellen. Dabei soll die Entscheidungshoheit immer bei der Geschäftsleitung oder dem VR bleiben. Da die Berichte handlungsorientiert sind, stellt die geprüfte Stelle in diesen dar, wie und in welchem Zeitraum sie die aufgebrachten Anträge umsetzen will.
Mit der Abgabe des Revisionsberichtes geht die Verantwortung zur Umsetzung der Anträge der Internen Revision an die Geschäftsleitung und das Management über. In der Praxis hat sich etabliert, dass die Anträge in einer Datenbank erfasst und zentral überwacht werden. Periodisch nimmt das Management Stellung zur Umsetzung und bestätigt diese schliesslich. Eine sorgfältig gepflegte Datenbank bietet dem Verwaltungsrat und der Geschäftsleitung eine äusserst wertvolle Hilfe bei der Beurteilung, ob die Anträge zeitgerecht umgesetzt und zur Korrektur der Kontrolllücken genügend Mittel eingesetzt werden.
Berufsverband
Für ein sachkundiges Vorgehen in der Internen Revision haben sich Standards etabliert. Der Zusammenschluss in einem Berufsverband, dem Schweizerische Verband Interner Revisoren (SVIR), hat die Entwicklung massgeblich mitgeprägt. Vor 25 Jahre gegründet, kann er heute nahezu alle bedeutenden Unternehmen in der Schweiz als seine Mitglieder zählen. Während die geltenden Standards primär im internationalen Institute of Internal Auditors (IIA) entwickelt werden, fallen dem SVIR insbesondere Schulungs- und Umsetzungsaufgaben zu. Grosse Bedeutung geniessen dabei der Erfahrungsaustausch zwischen den Revisionsleitern und die Ausbildung des Nachwuchses. Das IIA und der SVIR fordern, dass sich jede Interne Revision zumindest alle fünf Jahre selbst einer Prüfung durch Dritte unterzieht.
Interne Revisionen sind als betriebsinterne Ausbildungsstätte sehr geeignet, da vernetztes Denken gefördert und die Betriebskenntnisse enorm vertieft werden. Viele Revisionsabteilungen haben sich zum Ziel gesetzt, junge Berufseinsteiger sowohl in der Revisionsarbeit als auch im Betrieb auszubilden, sodass diese später gut vorbereitet neue Aufgaben im Betrieb übernehmen.
Daniel Hauser, dipl. Wirtschaftsprüfer, Interne Revision Credit Suisse Group, Zürich; Präsident SVIR.