Dienstag, 20. August 2024

Neue Global Internal Audit Standards für die Interne Revision ab 2025

Jetzt die Umsetzung starten!

Markus Meier, Senior Consultant, FCH Consult GmbH

 

Was sind denn internationale Normen des Berufsstandes für die Interne Revision wird sich sicherlich mancher Leser, manche Leserin fragen? Die Interne Revision gehört zu den wenigen Berufsgruppen, für die weltweit einheitliche Standards als Grundlage für die professionelle Berufsausübung existieren. Daher gibt es auch keine nationalen Vorgaben für die Interne Revision. Vielmehr übernimmt das Deutsche Institut für Interne Revision (DIIR) die vom IIA (The Institute of Internal Auditors) herausgegebenen internationalen Standards für den Berufsstand.

Zum 01.01.2025 erfahren die bisherigen Standards aus dem Jahr 2017 eine wesentliche Neufassung durch das IIA.

Aber wie finden die Standards nun Einzug in die Regulatorik der deutschen Kreditinstitute? Schließlich gibt es hier ja auch die MaRisk mit den „Besonderen Anforderungen an die Ausgestaltung der Internen Revision“. Tatsächlich fordern diese aktuell explizit keine Berücksichtigung der beruflichen Standards. Aber bereits der Kommentar zu den MaRisk in der 6. Auflage erwähnt, dass in Bezug auf die Qualitätssicherung und -verbesserung auf die Veröffentlichungen der nationalen und internationalen Berufsverbände zurückgegriffen werden kann [Hannemann, Weikl, Zaruk: Mindestanforderungen an das Risikomanagement (MaRisk) Kommentar 6. Auflage, Kapitel 3.].

Auch die EBA-Guidelines lassen eine Ableitung zu. In der Guideline EBA/GL/2021/05 zur Internen Governance Tz. 198 steht: „Die interne Revision sollte nationale und internationale Normen des Berufsstandes einhalten. Ein Beispiel für die hier angeführten Normen des Berufsstandes sind die vom Institute of International Auditors (IIA) verfassten Standards.“ Die Leitlinie wurde aktuell noch nicht umgesetzt [https://www.bafin.de/DE/RechtRegelungen/Leitlinien_und_Q_and_A_der_ESAs/Nicht_uebernommene_Leitlinien/nicht_uebernommene_leitlinien_node.html ].

Trotzdem wurden die Anforderungen von ersten Prüfungsverbänden bereits in die schriftlich fixierte Ordnung übernommen. So hat der Genossenschaftsverband – Verband der Regionen e.V. in der Musterarbeitsanweisung 2023 zur Internen Revision die Internationalen Standards für die berufliche Praxis der Internen Revision (IPPF) und die DIIR-Revisionsstandards als aufsichtsrechtliche und gesetzliche Vorgaben aufgenommen.

Unabhängig von den aufsichtsrechtlichen Vorgaben erhöht man mit der Umsetzung der Global International Standards die Qualität und Wirksamkeit der Internen Revision deutlich. Dies geschieht z. B. durch die Einführung von Anforderung von Kennzahlen für die Leistungsmessung oder die klaren Anforderungen an die Revisionsstrategie. Das IIA und das DIIR erwarten eine Umsetzung der neuen Standards bis Januar 2025.

Was ändert sich nun bei den Standards (IPPFs) konkret? Sie besitzen einen sehr klaren und strukturierten Aufbau. Dabei teilen sie sich in fünf Domains mit 15 Prinzipien und 52 Standards auf.

 

Tabelle: Eigene Darstellung, entnommen aus den Global Internal Audit Standards des IIA

Jeder Standard (mit Nummer und Name) wird aufgeteilt in Anforderungen, Überlegungen zur Umsetzung und Beispielen für Nachweise zur Einhaltung. Nur die Anforderungen sind verbindliche Vorgaben. Die Umsetzungsüberlegungen sind Ideen und Empfehlungen. Insbesondere für die Durchführung von externen Quality Assesments sind die Beispiele für Nachweise der Einhaltung relevant.

Hinzu kommen noch die Topical Requirements, verbindliche Vorgaben für die Prüfung von bestimmten Risiken (z. B. Cybersicherheit, IT Governance, Fraud-Risikomanagement, etc.). Ein erster Entwurf zur Cybersicherheit liegt hier inzwischen vor.

Was ändert sich aber nun in den 52 Prinzipien? Zu Beginn wird der Nutzen und die Zielsetzung der Internen Revision besonders herausgestellt. Diese Domain I kann gleichzeitig als eine Art „Elevator Pitch“ für die Revision genutzt werden.

In die zweite Domain wurde der bisherige separate Ethikcodex integriert und als verbindliche Anforderung definiert.

Eine wesentliche Änderung betrifft die Domain III: Governance der IR. Hier wird von einer Autorisierung durch das Leitungs- und Überwachungsorgan gesprochen und erstmals der Begriff Mandat verwendet. Insgesamt erfolgt eine deutlich stärkere Einbindung des Aufsichts- und Überwachungsorgans im Zusammenhang der Autorisierung und Aufsicht. Zur Ausübung des Mandats gehört gleichzeitig auch die Abstimmung mit den Assurance Providern im Rahmen des Drei-Linien-Modells.

Neu ist auch eine stärkere Anforderung in Bezug auf die Strategie der Internen Revision, die im Rahmen der Gesamthausstrategie zu berücksichtigen ist. Dazu gehört auch der Abgleich und die Dokumentation, welchen Beitrag die Revision zur Erreichung der strategischen Ziele leistet. In der Revisionsstrategie selbst sollte eine Vision, strategische Ziele und operative Maßnahmen enthalten sein.

Besonders spannend dürfte das Prinzip 12 Qualitätssteigerung sein. Neben einer Internen Qualitätsbeurteilung sollen Ziele entwickelt werden, um die Qualität der Internen Revision zu bewerten.

Neu ist am Ende auch die verbindliche Anforderung, zu jedem Prüfungs- oder Beratungsauftrag ein Gesamturteil abzugeben. Gleichzeitig ist zu jeder Prüfung ein Gesamturteil zu Governance, Risikomanagement und IKS abzugeben.

Auch wenn manche Änderung in den einzelnen Punkten nicht so gravierend erscheint, so steckt teilweise doch erheblicher Zeitaufwand hinter der Umsetzung. Daher empfiehlt es sich rechtzeitig mit der Umsetzung zu starten.

Dazu bedarf es zuerst einer GAP-Analyse. Der Änderungsbedarf kann vielfältig sein. Von der Definition von messbaren Kennzahlen über die Anpassung der Revisionsstrategie bis hin zu Änderung der Prüfungsprozesse. Wichtig dabei ist, dass man die Mitarbeitenden der Revision rechtzeitig in den Veränderungsprozess einbindet. Gerade die Kommunikation und Schulung ist von großer Bedeutung. Aber auch Ihr Leitungs- und Überwachungsorgan sollten Sie rechtzeitig einbinden. Schließlich wird die Einbindung und Zusammenarbeit mit dem Leitungs- und Überwachungsorgan eine eigene Domain (Domain III) gewidmet.

Daraus ergibt sich ein Maßnahmenplan mit Umsetzungsterminen, sodass Sie zum Januar 2025 die neuen Berufsstandards in Ihrer Internen Revision umgesetzt haben.

 

PRAXISTIPPS

  • Durchführen einer Abweichungsanalyse mit Erstellung eines Umsetzungsplanes
  • Binden Sie die Mitarbeitenden der Internen Revision rechtzeitig durch geeignete Kommunikations- und Schulungsmaßnahmen ein
  • Kommunizieren und diskutieren Sie die Ergebnisse mit Ihrem Leitungs- und Überwachungsorgan
  • Zum Seminar, bei welchem Sie mehr zu den Inhalten der Standards und Hinweise zur Umsetzung erhalten, gelangen Sie über diesen Link: https://www.fch-gruppe.de/Seminar/gias-revisionsprozesse-gemaess-neuem-standard-analysieren--umsetzen-

 


Beitragsnummer: 22706

Beitrag teilen:

Produkte zum Thema:

Produkticon
Bearbeitungs- und Prüfungsleitfaden: Risikotragfähigkeit im Fokus von Aufsicht & Revision, 4. Auflage

99,00 € inkl. 7 %

Produkticon
GIAS: Revisionsprozesse gemäß NEUEM Standard analysieren & umsetzen

399,00 € exkl. 19 %

27.11.2024

Beiträge zum Thema:

Beitragsicon
Zukunft der Revision: Neue Global Internal Audit Standards ab 2025

Ein Blick auf die EBA/GL/2021/05 & die Global Internal Audit Standards 2024. Wie relevant sind sie wirklich ?

09.02.2024

Beitragsicon
Relevanz des unternehmerischen Frühwarnsystems für Kreditinstitute

Neben Kreditinstituten müssen auch haftungsbeschränkte Gesellschaften ein Risikofrüherkennungssystem vorhalten. Die Bedeutung für beide Seiten ist enorm.

30.04.2024

Beitragsicon
Hält die Green Asset Ration (GAR) was sie verspricht?

Folgt

24.09.2024

Um die Webseite so optimal und nutzerfreundlich wie möglich zu gestalten, werten wir mit Ihrer Einwilligung durch Klick auf „Annehmen“ Ihre Besucherdaten mit Google Analytics aus und speichern hierfür erforderliche Cookies auf Ihrem Gerät ab. Hierbei kommt es auch zu Datenübermittlungen an Google in den USA. Weitere Infos finden Sie in unseren Datenschutzhinweisen im Abschnitt zu den Datenauswertungen mit Google Analytics.