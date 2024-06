The Institute of Internal Auditors (IIA)" hat am 9. Januar 2024 aktualisierte Global Internal Audit Standards veröffentlicht, die nach einer Übergangsphase von einem Jahr zum 9. Januar 2025 durch die Interne Revision anzuwenden sind. Mit Inkrafttreten im kommenden Jahr werden damit auch die aktuell gültigen Internationalen Grundlagen für die berufliche Praxis" (International Professional Practices Framework – IPPF) aus dem Jahr 2017 abgelöst.

Die globale Bedeutung wird durch die weltweite Gültigkeit der Standards deutlich. In Deutschland wurden die Standards daher bereits vom Deutschen Institut für Interne Revision e.V. (DIIR)" übersetzt und werden ab 2025 analog übernommen, wobei eine vorzeitige Anwendung empfohlen wird.

Die Standards bilden ein verbindliches Rahmenwerk, um eine Grundlage für die Arbeitsweise, Prozesse und Praktiken der Internen Revision festzulegen. Das übergeordnete Ziel stellt dabei die Verbesserung der Qualität der Internen Revision bzw. ihrer internen Prüfungstätigkeit dar. Der Anwenderkreis der Standards ist nicht nur auf interne Revisoren beschränkt, die direkt von einer Organisation beschäftigt werden, sondern umfasst auch interne Revisoren, die über einen externen Dienstleister beauftragt werden.

Elemente und Aufbau des IPPF 2024

Die neuen Global Internal Audit Standards" sind in fünf Domains unterteilt, welchen 15 Prinzipien sowie weitere 52 Standards zugeordnet werden. Jeder Standard basiert auf Anforderungen mit verbindlichen Vorgehensweisen für die Interne Revision, dazugehörigen Überlegungen zur Umsetzung dieser Vorgehensweisen sowie Beispielen, welche Nachweise aufbewahrt und erbracht werden können, um die Umsetzung der Standards nachzuweisen.

Die aktualisierten Standards sind in die nachfolgenden fünf Domains unterteilt:

Zielsetzung der Internen Revision Ethik und Professionalität Governance der Internen Revision Leitung der Internen Revision Erbringung von Revisionsleistungen



Grundlagen der Global Internal Audit Standards (The Institute of Internal Auditors, 2024)

Im IPPF werden die Standards erstmalig durch Topical Requirements" ergänzt, die zusätzliche verbindliche Strukturen und Anforderungen für globale Auditthemen mit erhöhtem Risiko definieren. Zielsetzung ist einerseits die Qualität der Internen Revision in bestimmten Risikothemen zu verbessern und andererseits eine konsistente Methodik bei der Validierung der Wirksamkeit der Governance-, Risikomanagement- und Kontrollprozessen (Governance, Risk and Control – GRC) für diese Risikothemen zu sichern.

Das IIA hat derzeit eine Liste mit acht globalen Risikothemen veröffentlicht, welche jedoch noch nicht final freigegeben wurde. Die ersten veröffentlichten Themen sind Cybersicherheit, Dienst­leistermanagement, Nachhaltigkeit / ESG (Environmental, Social & Governance), Daten­schutz­risikomanagement, Betrugsrisikomanagement, IT-Governance, Organizational-Gover­nance und Performance Audits im öffentlichen Sektor. Stand heute hat das IIA lediglich den Draft für das Thema Cybersicherheit veröffentlicht.

Neben den verbindlichen Standards und Topical Requirements stellt das IIA zukünftig erstmals unverbindliche Informationen, Ratschläge und Best Practices (Global Guidance") zur Verfügung. Das IPPF 2024 setzt sich daher aus den Global Internal Audit Standards, den Topical Requirements und der Global Guidance zusammen.

Relevante Updates im Vergleich zum IPPF 2017

Das IIA hat sich bei der Aktualisierung des Rahmenwerks nicht nur auf die Strukturen und Definitionsanpassungen beschränkt, sondern auch neue inhaltliche Schwerpunkte gesetzt sowie bestehende Schwerpunkte erweitert.

Die nachfolgenden Themen stellen dabei einige der relevantesten Änderungen dar:

Kommunikation & Beziehung zwischen der Unternehmensleitung / dem Überwachungs-organ und der Interne Revision (Standard 6.3): Der Standard konkretisiert zukünftig die Erwartungshaltung an den Leiter der Internen Revision zur Koordinierung der Kommunikation und Interaktion der Internen Revision mit der Unternehmensleitung und dem Überwachungsorgan. Entwicklung und Umsetzung einer Revisionsstrategie (Standard 9.2): Während der IPPF aus dem Jahr 2017 sich darauf beschränkt hat, dass die Revisionstätigkeiten im Einklang mit den Organisationszielen sowie dem Zweck und Verantwortlichkeiten der Internal Audit Charter erfolgen müssen, erfordert das IIA ab 2025 zusätzlich die Entwicklung einer eigenständigen Revisionsstrategie. Einsatz technologischer Ressourcen (Standard 10.3): Die aktualisierten Standards legen in zahlreichen Standards einen Schwerpunkt auf den Einsatz von passenden Technologien zur Unterstützung der Revisionstätigkeiten. Leistungsmessung (Standard 12.2): Bereits im IPPF 2017 wurden Aspekte der Leistungsmessung zur Einhaltung der Standards sowie das Tracking des Fortschrittes im Rahmen des Prüfungsplan hervorgehoben. Der aktualisierte Standard definiert den Revisionsleiter explizit als Verantwortlichen dafür und fordert die Einführung einer Methode zur Messung der Leistung der Internen Revision. Feststellungen und Abschlusskommunikation im Rahmen von Revisionstätigkeiten (Standards 14.3; 15.1): Während im IPPF von 2017 lediglich festgehalten wurde, dass Revisoren ihre Schlussfolgerungen auf geeigneten Analysen und Bewertungen stützen müssen, wird zukünftig – soweit möglich – erwartet, dass die Wesentlichkeit, Ursache und potenzielle Auswirkung von Feststellungen analysiert und bewertet wird. Feststellungen müssen anschließend nach ihrer Wesentlichkeit priorisiert werden und in der Auswirkung auf die GRC-Prozesse der Organisation eingeordnet werden. Die Berichterstattung muss explizit die verantwortliche Person für die Behebung von Feststellung sowie eine klare Frist zur Behebung beinhalten.

Handlungsempfehlungen für die Implementierung der IPPF 2024 Anforderungen

Das IIA fordert im IPPF 2024 weiterhin, dass Organisationen mindestens alle fünf Jahre eine externe Qualitätsbeurteilung des Revisionssystems durchführen lassen, um u.a. die Einhaltung der Global Internal Audit Standards sicherzustellen. Während dies in Deutschland in der Vergangenheit durch speziell akkreditierte Prüfer für interne RevisionssystemeDIIR" erfolgen sollte, wird zukünftig eine aktive Zertifizierung als Certified Internal Auditor" verpflichtend.

Durch die neuen Anforderungen an die Qualität der Internen Revision stehen Organisationen daher vor der Herausforderung, die neuen Anforderungen im Laufe der Übergangsphase zu implementieren. Hierbei ist der Zeitraum bis zum Inkrafttreten der neuen Standards der geeignete Zeitraum.

Das IIA hat im Rahmen seiner Global Guidances" bereits einige Best Practices zur Implementierung der Anforderungen empfohlen. So wird sowohl die Durchführung einer Gap-Analyse als auch die Schulung von Revisoren und Stakeholdern als wesentlicher Umsetzungsschritt empfohlen.

Unsere Praxiserfahrungen decken sich mit diesen Vorschlägen, wobei der folgende dreiteilige Umsetzungsprozess empfohlen werden kann:

Analyse der Standards & Gap-Analyse: Als Basis für die Analyse müssen Organisationen zunächst die aktualisierten Standards evaluieren, um alle relevanten Anpassungen zu identifizieren sowie eine Bestandsaufnahme der aktuellen Prozesse, Vorgehen und Dokumenten vorzunehmen. Auf Grundlage der Ergebnisse sollte im Anschluss die Gap-Analyse durchgeführt werden, um einen Soll-Ist -Vergleich der internen Revisionspraxis durchzuführen. Implementierungsphase: Auf Basis der Ergebnisse der Gap-Analyse wird die Entwicklung eines detaillierten Umsetzungsplan empfohlen. Bei der Erstellung des Umsetzungsplans empfehlen wir Organisationen, dass sie klare Verantwortlichkeiten, einen Umsetzungszeitraum sowie die einzelnen Prozessschritte definieren. Bereits in dieser Phase sollten alle relevanten Stakeholder einbezogen werden, um die Anforderungen der Standards angemessen zu berücksichtigen (z.B. Unternehmensleitung und Überwachungsorgan). Schulung der relevanten Stakeholder: Als relevante Stakeholder werden im ersten Schritt die internen Revisoren sowie die Unternehmensleitung und das Überwachungsorgan berücksichtigt. Im zweiten Schritt ist die Schulung weiterer Stakeholder mit Bezug zu den von den Standards beeinflussten GRC-Prozessen entscheidend, um sicherzustellen, dass diese Personengruppen die Anpassungen der Implementierungsphase entsprechend zur Kenntnis genommen und verinnerlicht haben.

Fazit und Ausblick

Durch die verstärkten Anforderungen an die Interaktion zwischen allen relevanten Stakeholdern, die erhöhte Erwartungshaltung an den Einsatz geeigneter Technologien und Datenanalyse-Tools sowie die Einführung und Konkretisierung der Anforderungen an bestimmte Risikothemen und Prozessschwerpunkte verdeutlicht das IIA seine Zielsetzung zur Erhöhung der Revisionsqualität nachhaltig. Abzuwarten bleibt aktuell welche spezifischen Prüfungsanforderungen das IIA im Rahmen der Topical Requirements veröffentlichen wird sowie inwieweit das angekündigte Qualitätsbeurteilungshandbuch wesentliche Veränderungen enthalten wird. Die Veröffentlichung der entsprechenden Anforderungen und des Handbuchs wird im Laufe des Jahres 2024 erwartet.

Wie signifikant der Einfluss des IPPF 2024 auf die Internen Revision von Organisationen ist, wird nicht nur von der Größe der internen Revisionsabteilung und der Branche der Organisation, sondern wesentlich vom Ist-Zustand der aktuellen Prozesse und Vorgehensweisen der Abteilungen abhängen. Gerade in Bezug auf die Pflicht zur externen Qualitätsbeurteilung alle fünf Jahre empfiehlt das IIA die Durchführung einer Gap-Analyse im Jahr 2024, um zu validieren, inwieweit eine Interne Revision die neuen Anforderungen bereits erfüllt.

Die neuen Schwerpunkte im Bereich Technologie kann die Interne Revision aufgrund der Vielseitigkeit an Möglichkeiten stark herausfordern. Daher ist es empfehlenswert, dass Organisationen sich bei der Entwicklung und Einführung entsprechender Data-, BI- und Analysestrukturen Experten im Bereich Datenanalyse bedienen.

Abschließend kann festgehalten werden, dass die aktualisierten Standards keine 180 Grad Wende in der Prüftätigkeit erfordern, jedoch die Chance bieten, die Interne Revision qualitativ auf die nächste Stufe zu heben und die GRC-Prozesse weiter zu stärken.

