Funktionsfähigkeit der Internen Revision – Was ist zu beachten?

Der IDW Prüfungsstandard PS 983 – Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen definiert wesentliche Kriterien zur Funktionsfähigkeit der Internen Revision. Mit dem folgenden S&P Informationsblog erhalten die Prüfkriterien für ein erstes Self Assessment zur eigenen Internen Revision:

  • Mindeststandards des Prüfungsstandard PS 983 zur Funktionsfähigkeit der Internen Revision
  • Mindestanforderungen an das Risikomanagement
  • Risikoorientierte Prüfungsplanung mit aktuellen Anforderungen der MaRisk 6.0
  • Anzuwendende Prüfungstechniken

Funktionsfähigkeit der Internen Revision

 

Funktionsfähigkeit der Internen Revision

Bei einer Nichteinhaltung der folgenden Kriterien (Mindeststandards) liegt immer ein wesentlicher Fehler in der IRS-Beschreibung bzw. ein wesentlicher Mangel des IRS vor:

  • Vorhandensein einer offiziellen schriftlichen, angemessenen Regelung (Geschäftsordnung, Revisions-Richtlinie o.Ä.)
  • Sicherstellung der Neutralität, der Unabhängigkeit von anderen Funktionen sowie eines uneingeschränkten Informationsrechts
  • Angemessene quantitative und qualitative Personalausstattung der Internen Revision
  • Erstellung des Prüfungsplans der Internen Revision auf Grundlage eines standardisierten und risikoorientierten Planungsprozesses.
  • Einheitliche, sachgerechte und ordnungsgemäße Dokumentation von Art und Umfang der Prüfungshandlungen und -ergebnisse.
  • Überwachung der Umsetzung der im Bericht dokumentierten Maßnahmen durch die Interne Revision in einem effektiven Follow-up-Prozess.
  • Zusätzlich kann die Nichteinhaltung weiterer Kriterien einzeln oder kumuliert zu einer wesentlichen Beanstandung führen.

 

Funktionsfähigkeit der Internen Revision – BaFin-Verlautbarung MaRisk

Mit den Mindestanforderungen an das Risikomanagement werden folgende Anforderungen der BaFin an die Interne Revision gestellt (MaRisk BT 2.2):

  • Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist.
  • Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.
  • Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden.
  • Sie dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen.
  • Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie im Rahmen ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten des Instituts beratend tätig sein.
  • Mitarbeiter, die in anderen Organisationseinheiten des Instituts beschäftigt sind, dürfen grundsätzlich nicht mit Aufgaben der Internen Revision betraut werden.
  • Das schließt jedoch nicht aus, dass in begründeten Einzelfällen andere Mitarbeiter aufgrund ihres Spezialwissens zeitweise für die Interne Revision tätig werden.
  • Beim Wechsel von Mitarbeitern anderer Organisationseinheiten zur Internen Revision sind angemessene Übergangsfristen von in der Regel mindestens einem Jahr vorzusehen, innerhalb derer diese Mitarbeiter keine Tätigkeiten prüfen dürfen, die gegen das Verbot der Selbstprüfung und -überprüfung verstoßen („Cooling-Off“).

 

Mindestanforderungen an die Prüfungsplanung – BaFin-Verlautbarung MaRisk

Bei der Prüfungsplanung müssen gemäß MaRisk-Verlautbarung folgende Anforderungen erfüllt werden:

  • Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren.
  • Die Prüfungsplanung hat risikoorientiert zu erfolgen.
  • Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese ausgelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen.
  • Wenn besondere Risiken bestehen, ist jährlich zu prüfen. Bei unter Risikogesichtspunkten nicht wesentlichen Aktivitäten und Prozessen kann vom dreijährigen Turnus abgewichen werden. (1)
  • Die Risikobewertungsverfahren der Internen Revision haben eine Analyse des aktuellen und zukünftigen Risikopotenzials der Aktivitäten und Prozesse zu beinhalten. Dabei ist eine angemessene Berücksichtigung des Verlustpotenzials, das aus verschiedenen Risikoquellen und der Manipulationsanfälligkeit der Prozesse durch Mitarbeiter resultiert, erforderlich. (2)
  • Die Prüfungsplanung, -methoden und -qualität sind regelmäßig und anlassbezogen auf Angemessenheit zu überprüfen und weiterzuentwickeln. Dies umfasst auch eine Überprüfung der Wesentlichkeitseinstufung der Aktivitäten und Prozesse. (3)
  • Es muss sichergestellt sein, dass kurzfristig notwendige Sonderprüfungen, z.B. anlässlich deutlich gewordener Mängel oder bestimmter Informationsbedürfnisse, jederzeit durchgeführt werden können. (4)
  • Die Prüfungsplanung sowie wesentliche Anpassungen sind von der Geschäftsleitung zu genehmigen. (5)

 

Prüfungstechniken – Aufbauprüfung und Funktionsprüfung

Der IDW unterscheidet folgende Prüfungstechniken:

Der Prüfungsprozess lässt sich gedanklich in mehrere Schritte einteilen.

1.Ausgangspunkt ist die Prüfung der angemessenen Ausgestaltung des IKS, die sog. Aufbauprüfung.

2.In einem nächsten Schritt muss dann berücksichtigt werden, mit welcher Zuverlässigkeit das IKS mögliche Fehler identifiziert. Dazu müssen die internen Kontrollen auf ihre Angemessenheit und Wirksamkeit untersucht werden, die sog. Funktionsprüfung.

  • Auf dem Ergebnis dieser Prüfungen aufbauend werden aussagebezogene Prüfungshandlungen durchgeführt. Ihr Ziel besteht darin, die noch verbleibenden Fehlermöglichkeiten zu lokalisieren. Die aussagebezogenen Prüfungen lassen sich in analytische Prüfungshandlungen und in Einzelfallprüfungen unterscheiden.
  • Analytische Prüfungshandlungen sind im Wesentlichen Plausibilitätsprüfungen.
  • Einzelfallprüfungen beruhen auf Stichproben.
  • Die Intensität der einzelnen Prüfungsschritte wird jeweils vom Ergebnis der vorangegangenen Prüfungen bestimmt.
  • Ziel des IKS-Prüfers bei der als Aufbauprüfung nach diesem IDW Prüfungsstandard ausgestalteten IKS-Prüfung ist es, ein Prüfungsurteil mit hinreichender Sicherheit darüber abzugeben, ob – in Übereinstimmung mit den angewandten IKS-Grundsätzen – die Regelungen des internen Kontrollsystems in der Beschreibung des internen Kontrollsystems des Berichtswesens (im Folgenden IKS-Beschreibung)
  • in allen wesentlichen Belangen angemessen dargestellt sind und
  • die dargestellten Regelungen in allen wesentlichen Belangen geeignet und implementiert bzw. geeignet und wirksam waren.

Nach diesem IDW Prüfungsstandard können Regelungen sowohl einzelner als auch mehrerer Prozesse bzw. Teilprozesse des internen und externen Berichtswesens mit oder ohne Rechnungslegungsbezug Gegenstand der IKS-Beschreibung und damit Beurteilungsgegenstand des IKS-Prüfers sein.