Interne Revision 1 - Zusammenfassung PDF

Preview

Summary

Zusammenfassung der Inhalte des Kurses "Interne Revision I"...

Description

1) Warum IR? Unternehmen sehen sich großen Kontroll- und Überwachungsaufgaben gegenüber. Gründe hierfür sind die Tatsache, dass die Unternehmensführung nicht überall sein kann, die unternehmerische Tätigkeit immer komplexer wird, die rechtlichen Rahmenbedingungen strikter werden und die Investoren transparente Strukturen fordern. Die Unternehmensführung allein kann diese Aufgaben nicht in effizienter und angemessener Weise bewältigen aufgrund von Zeitmangel, fehlender Fach- und Methodenkenntnisse sowie fehlender Objektivität und Unabhängigkeit. [Zusätzliche Aufgaben des Managements sind beispielsweise verbunden mit der Globalisierung, Compliance, Technologie und Entwicklung, Liquidität oder operationelle Fehler]

2) Theorien und Rechtlicher Rahmen Prinzipal-Agenten Theorie Der Prinzipal beauftragt einen Agenten. Hierbei entstehen für den Agenten opportunistische Handlungsspielräume. Der Agent hat die Möglichkeit seinen Nutzen zu maximieren, in dem er seinen Informationsvorsprung zu Lasten des Prinzipals ausnutzt. Die IR ist (zusätzlicher) Agent des Vorstands und überwacht in dessen Auftrag die hierarchisch nachgeordneten Stellen. IR soll Informationsasymmetrien vorbeugen und verringern. Hierfür benötigt die Revision eine Vielzahl von Eigenschaften. Die IR muss umfassende Kenntnisse über das Unternehmen haben, Fach- und Methodenwissen aufweisen (sowohl Spezialisten als auch Generalisten sind gefordert), unabhängig und objektiv sein. Zusätzlich muss die IR sich ethisch korrekt verhalten und Integrität, Zuverlässigkeit wie auch Vertrauen vorleben. TTM und OTM sind bekannt!

Three Lines of Defense 1. IKS: Identifizierung, Beurteilung und Kontrolle der Risiken im Rahmen der operativen Tätigkeiten 2. RM: Überwachen der implementierten Kontrollen des IKS, um ihre Funktionsfähigkeit und Effizienz sicherzustellen C: Maßnahmen und Prozesse zur Sicherstellung der Regelkonformität im Unternehmen; Einhaltung der Regeln, Gesetze, etc. 3. IR: Unabhängige und objektive Instanz zur Sicherstellung der Wirksamkeit und Angemessenheit des Risikomanagement, der Kontroll- und Überwachungsprozesse (überprüft inwieweit die ersten beiden Linien wirksam sind) [Rechtlicher Rahmen  KonTraG/ BilMoG/ SOX/ Sonderregelungen für Versicherungen und KI]

3) Governance Funktionen: 1. IKS (COSO-Modell) Komponenten: 









Das interne Umfeld beschäftigt sich mit den Fragen: Was ist das IKS? Was kann es leisten? Wie soll es aufgebaut werden? Dabei spielen unternehmensabhängige Faktoren, wie die Unternehmensphilosophie, die Fach-und Methodenkenntnisse des Personals oder aber ethische Grundsätze eine entscheidende Rolle. Die Risikoanalyse beschäftigt sich mit der Identifizierung, Beurteilung und Analyse der Risiken, die Auswirkungen auf das Unternehmen haben könnten. Eine Definition sowie Zielsetzungen sind hierbei wichtige Bestandteile, um präventive Maßnahmen treffen zu können. Die Kontrollmaßnahmen beschreiben konkrete Anwendungen oder Prozesse zur Bewältigung von Risiken. Wenn Risiken eintreten, muss eine rasche Handlungsfähigkeit mithilfe etwaiger Richtlinien oder Verhaltensgrundsätzen definiert sein. Prävention ist hierbei der Reaktion vorzuziehen, da Reaktionen erst nach Eintritt des Risikos umgesetzt werden und bereits einen Verlust/ Schaden mit sich ziehen. Information & Kommunikation definiert die Erforderlichkeit von Informationen sowie die Streuung dieser über interne oder externe Kanäle. Dabei sollte der Informationsbedarf breitflächig gedeckt werden, ohne einen Informations-Overload zu generieren. Klare Informationskanäle wie regelmäßige Berichte oder Meetings erleichtern dies. System-Überwachung stellen eine Kontrolle, Bewertung und Verbesserung des IKS selbst dar. Dabei muss eine dauerhafte Zweckmäßigkeit und Effizient gewährleistet sein.

Bereich = Entity Level; Division; Operating Unit; Function Ziele = Operations; Reporting; Compliance 2. Risikomanagement & Compliance Risikomanagement 

 

Hierbei wird versucht vom RM zum ERM zu gelangen, d.h. ganzheitliches und unternehmensweites Risikomanagement/ -bewusstsein zu schaffen. Das bisherige SiloDenken hat Risiken an Schnittstellen zwischen bspw. Abteilungen oder Prozessen vernachlässigt, ebenso wie interagierende Risiken ignoriert. Wichtig hierbei ist eine klare Definition zwischen den Risiken, welche vermieden werden sollten und den Risiken (aka Chancen), welche eingegangen werden sollten. Response Strategie  Risiko  Vermeiden von risikobehafteten Aktivitäten  Vermindern der Eintrittswahrscheinlichkeit  Übertragen auf Stakeholder oder Versicherungen  Akzeptieren aufgrund von Kostenvorteilen (Restrisiko)

Compliance 

Überwachung der Einhaltung gewisser Regularien, Gesetze oder Vorgaben. Dabei Identifizierung und Bewertung aller rechtlich-relevanten Sachverhalte sowie Vermeidung der daraus resultierenden Risiken.

4. Interne Revision Die IR erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und zu verbessern hilft. Aufgabenbereiche der IR nach Sawyer: 

Die IR hat mehrere Aufgabenbereiche. Dazu zählt die Überprüfung der Verlässlichkeit der Finanzberichterstattung sowie operativen Tätigkeiten. Klassische Aufgabe der IR ist die Identifizierung und Verminderung von Risiken (Risikomanagement). Ferner überprüft die IR die Einhaltung gewisser Regularien, Gesetze und Vorgaben (Compliance). Die effiziente Verwendung von Ressourcen und die klassische Überwachung der Zielerreichung gehört ebenfalls zum Aufgabenbereich der IR. Die IR ist somit wesentliches Überwachungsinstrument der Unternehmensführung und benötigt dazu prozessunabhängige Handlungsspielräume.

Ethikkodex Ziel des Ethikkodex ist die Förderung ethischer Grundsätze für den Berufsstand der IR. Die Grundsätze ergeben sich aus Rechtschaffenheit, Objektivität, Vertraulichkeit und Fachkompetenz. Diese werden ergänzt durch weitere Verhaltensregeln. Eine einheitliche Festlegung fördert das Vertrauen Dritter in die Unabhängigkeit und Objektivität der IR. Rechtschaffenheit meint, dass Aufgaben korrekt, sorgfältig und verantwortungsbewusst durchgeführt werden, der Revisor keinesfalls wissentlich an illegalen Aktivitäten beteiligt ist und sich stets an den Interessen des Unternehmens ausrichtet. Objektivität setzt voraus, dass der Revisor alle bekannten Informationen stets offenlegt und sich im Falle eines Interessenkonflikts herausnimmt, diesen meldet oder aufgrund von Fakten entscheidet. Ferner sollte nichts angenommen werden, was das fachliche Urteil beeinträchtigen könnte. Vertraulichkeit bedeutet, dass Informationen sorgfältig behandelt werden und nicht nach außen getragen werden (Geheimhaltungspflicht). Genauso sollten Informationen nur mit berechtigtem Personal ausgetauscht und besprochen werden. Informationen sollten nicht zu eigenem Vorteil ausgenutzt werden. Fachkompetenz müssen Revisoren aufweisen und sollten daher nur die Aufgaben ausführen für die sie auch hinreichende Kenntnisse, Fähigkeiten und Erfahrungen besitzen. Eine stetige Fort- und Weiterbildung ist eine Grundvoraussetzung für zukunftsorientiertes Handeln.

Standards (FASS)    

Stellen die Grundprinzipien für die Revisionspraxis dar und wie sie sein sollte („best practice“) Schaffung von Rahmenbedingungen für die Organisation und Durchführung der IR Aufstellung von Bewertungskriterien für die Leistung der IR Förderung verbesserter organisatorischer Geschäftsprozesse und Arbeitsvorgänge



Attribute Standards (1000er Serie) beschreiben im Wesentlichen Eigenschaften, welche die IR aufweisen sollten Performance Standards (2000er Serie) zeigen auf, wie bestimmte Aufgaben und Tätigkeiten ausgeführt werden sollen & stellen bewertbare Qualitätskriterien dar Implementation Standards sind ergänzend hinsichtlich der Anforderungen an Prüfungs- und Beratungsdienstleistungen Practice Advisories

  

Interne Revision vs. Externe Prüfung Während die externe Prüfung rechenschaftspflichtig gegenüber den Aktionären und der Hauptversammlung ist, ist die IR dies gegenüber dem Aufsichtsrat und dem Vorstand. Zum Prüfungsbereich der Externen gehört i.d.R. der JA. Die interne Revision ist hierbei weiter gestrickt und prüft alle Bereiche des Unternehmens hinsichtlich Risiken, Wirtschaftlichkeit oder auch Effizienz (u.v.m.). Ziel der Revision ist es das Unternehmen zu schützen und Risiken zu minimieren. Der externe Prüfer ist für den Schutz der Aktionäre oder allgemeiner der Öffentlichkeit zuständig. Die externe Prüfung erfolgt anhand gewisser Standards und Gesetzlichkeiten und im Wesentlichen derer Einhaltung. Die IR kann je nach Auftrag alle Bereiche eines Unternehmens prüfen, wodurch unterschiedliche Kriterien vorab definiert werden müssen. Unterteilen lässt sich die Prüfung der IR in Financial, Operational und Management Audit sowie Internal Consulting. Sowohl IR als auch externe Prüfung sollte in Unabhängigkeit zum Geprüften (Bereich) sein. Jedoch ist die IR abhängig vom Auftraggeber (also dem Vorstand), während der externe Prüfer dies nicht ist. Geprüft werden in beiden Fällen sowohl die Vergangenheit und Zukunft, jedoch fokussiert sich die IR auf die Zukunft.

Aufgabenbereiche der IR (COSO): Ziele der Prüfung =

Ordnungsmäßigkeitsprüfung Sicherheitsprüfung Zweckmäßigkeitsprüfung Funktionsfähigkeitsprüfung Wirtschaftlichkeitsprüfung

Inhalt der Prüfung =

FA/ MA/ OA

Vorgehensweise =

Einzelfall-Prüfung System-Prüfung (Prozess)

Gleichzeitige Prüfung der einzelnen Ziele

Vorgehensweise der Prüfung: Bei einer Einzelfallprüfung werden Prüfungsgegenstände wie etwa Akten oder Belege geprüft. Dabei werden mithilfe von beispielsweise Stichproben einzelne Ergebnisse (Findings) erzielt, wodurch versucht wird auf die Gesamtheit zu schließen. Einzelfallprüfungen sind sehr aufwendig und prüfen neben der Ordnungsmäßigkeit teils die Sicherheit einzelner Vorgänge. Bei einer Systemprüfung werden bestehende Systeme wie etwa das IKS oder das Risikomanagement analysiert auf ihre Ordnungsmäßigkeit, Wirtschaftlichkeit und Sicherheit. Dabei werden insbesondere Komponenten, Zusammenhänge sowie Abläufe beachtet. Diese Art der Prüfung ist ebenfalls sehr aufwendig und weitaus komplexer, sodass ausgeprägte analytische Fähigkeiten verlangt sind. Maschinell oder manuell werden von Systemfehlern auf einzelne Fehler geschlossen. Die Systemprüfung wird bevorzugt, da sie Rückschlüsse auf die Gesamtheit erlaubt und effizienter ist. Die Prozessprüfung sollte nicht mit der Systemprüfung verwechselt werden, da diese, gesamte Prozesse, also abteilungsübergreifende Aufgaben und Vorgänge wie auch deren Schnittstellen, analysiert. Die Prozessprüfung ist ebenfalls sehr aufwendig und vor allem zeitintensiv.

Prüfung vs. Beratung Die IR erbringt sowohl Prüfungs- als auch Beratungsdienstleistungen, wobei der Prüfungsaspekt Vorrang hat. Die Prüfung verläuft i.d.R. standardisiert, wohingegen eine Beratung je nach Tätigkeitsfeld stark abweichen kann. Bei einer Beratung ist die Zusammenarbeit (sowie die Bereitschaft dazu) mit der Abteilung relativ hoch, da das Bewusstsein auf Unterstützung angewiesen zu sein, stark ausgeprägt ist. Daher kommt der Auftrag bzw. die Anfrage auch meist von der Abteilung selbst. Eine Prüfung auf der anderen Seite wird vorab geplant und von einer hierarchisch höheren Stelle oder der IR-Abteilung festgelegt, sodass die Kooperationsbereitschaft der Abteilung als normal eingestuft werden kann. Das angesprochene Problembewusstsein ist dahingehend ebenfalls normal. Während die Prüfung darauf zielt die Effizienz, Wirksamkeit, etc. des Risikomanagements oder des IKS und weiterer Prozesse zu beurteil, liegt der Fokus bei der Beratung auf der Schaffung von Wertschöpfung und Verbesserung von Geschäftsprozessen.

Inhalt der Prüfung + Beratung (3 Prüfbereich, aber 4 Tätigkeitsbereiche)

Prüfung hat Vorrang!

Financial Auditing (vergangenheitsorientiert)    

Formelle und materielle Prüfung des Finanz- und Rechnungswesen Angemessenheit, Richtigkeit und Verlässlichkeit der finanziellen Informationen bestätigen Sicherheit des Unternehmensvermögens gewährleisten Funktionsfähigkeit des IKS zu bewerten

Operational Auditing (gegenwarts- und zukunftsorientiert) 

Beurteilung der betrieblichen Tätigkeiten (Systemprüfungen)  Um Wirtschaftlichkeit zu verbessern und Zielerreichung zu fördern (Systemverbesserung)



Prüfung der Qualität, Sicherheit, Ordnungsmäßigkeit, Wirtschaftlichkeit und Funktionalität der Strukturen, Prozesse und Systeme

Management Auditing    

vergangenheitsorientierte Ursachen- & zukunftsorientierte Schwachstellenforschung Schwerpunkt liegt auf Unternehmenswachstum, Zukunftschancen, Risikofaktoren und Frühwarnsystemen Leistungsbeurteilung und – bewertung von Führungskräften Zielt auf die Verbesserung von Entscheidungsprozessen; Kommunikations- und Führungsinstrumente; Ausnutzung Handlungsspielräume

Internal Consulting Konflikt falls IR vorerst berät und dann eigene Beratung prüft



Begutachtung von Projekten, Strukturen und Prozessen und damit verbundene Beratung der Organisation Zielt darauf, internes Wissen zu nutzen (Synergien) und damit Fehler bereits vor Realisierung zu vermeiden sowie Wertschöpfung zu schaffen Umsetzung liegt in der Verantwortung der Abteilung, da IR keine Weisungsbefugnis hat!

 

IR ist unabhängig und objektiv & hat Einblicke in alle Geschäftsprozesse und -abläufe Prüfungsaktivität meist verbunden mit Beratung  Schafft vertrauen!

 

Daher ggf. ein Prüfungsteam und ein Beratungsteam in IR etablieren!

Anforderungen an IR Funktionsorientiert

=

=

Entlastung und Unterstützung bei der Verantwortung für Governance, RM und interne Kontrollen Übernahme von Haftungsrisiken von Aufsichtsrat und Vorstand Unternehmenswertsteigerung (Identifikation und Reduktion von Risiken sowie Einleitung von Verbesserungen) Personalentwicklung (MTG, Talent-Pool)

= = = = = =

Professionelle Arbeit Unabhängigkeit und Objektivität Korrektheit und Integrität Diskretion und Vertraulichkeit Effiziente und Effektive Arbeitsweise Fach- und Methodenwissen

= =

Tätigkeitsorientiert

Revisor „Alt“ vs. „Neu“ 

Klassische Tätigkeit umfasst FA/ OA/ MA & IC



Prüfung der Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit



„Manager von Risiken“, d.h.: Sicherung der CG Wirksamkeit IKS & RM Einhaltung gesetzlicher Vorschriften Sicherung des Vermögens Effizienz der Geschäftsprozesse

      

Compliance Due Dilligence Post Merger Integration Fraud Detection/ Prevention & Investigation Vertragsmanagement u.v.m. Risikobewertung bei der Planung, während der Durchführung und im Anschluss der Prüfung (risikoorientierte Prüfungsplanung)

Voraussetzung      

Uneingeschränkte Unterstützung durch die Unternehmensführung Uneingeschränktes Prüfungs- und Informationsrecht Gute Kooperation mit der zu prüfenden Abteilung Unabhängige und objektive Durchführung der Prüfung Sprach- und Kulturkompetenz Anpassung der IR hinsichtlich Struktur und Kapazitäten an neue Entwicklungen

Rechte:  Uneingeschränktes Prüfungsrecht  Informationsrecht  Anhörungsrecht bei Verdacht auf dolose Handlungen  

Kein Weisungsrecht Kein Entscheidungsrecht

Pflichten:  Berichtspflicht an AR & Vorstand  Gewährleistungspflicht der Ordnungsmäßigkeit  Pflicht zur effizienten und effektiven Durchführung der P-&B-Dienstleistung  Aufdeckungspflicht  Follow-Up

Prüfungsprozess (Bsp. Einkauf, wurden genug Vergleichsangebote eingeholt?) Prüfungsplanung/ -vorbereitung: 

Erstellung des Prüfungsauftrags auf Grundlage des von der Unternehmensführung genehmigten Prüfungsplan, welcher folgendes beinhalten sollte: Die Revisionsziele wie Ordnungsmäßigkeit, Sicherheit (bzgl. Risiken) oder Wirtschaftlichkeit sollten klar definiert sein. Der Prüfungsauftrag sollte auch im Einklang mit den Revisionsgrundsätzen sein, d.h. unterstützen bei der Zielerreichung und Wertschöpfung für das Unternehmen generieren. Ebenso sollte der Umfang der Prüfung bestimmt werden und der Zeitrahmen mit der zu prüfenden Abteilung abgestimmt werden. Prüfungsobjekte können Funktionsbereiche (Marketing, Logistik, etc.) oder aber Revisionsbereich (Kontrollen, Prozesse, etc.) sein. Um effizient prüfen zu können, ist ein Verständnis für die Abläufe und Prozesse der zu prüfenden Abteilung im Voraus zu gewährleisten. Ferner sollten Revisionsinstrumente festgelegt werden. Dazu zählen interne sowie externe Unterlagen (Dokumente, Berichte oder Fachzeitschriften) Gesprächspartner oder aber spezielle Software. Die Hauptarbeit steckt in der Prüfungsplanung. Eine gute Planung geht i.d.R. mit einer guten Durchführung einher, sodass gute Ergebnisse erzielt werden können.

Prüfungsdurchführung 

Eröffnet wird die Prüfungsdurchführung mit einem Gespräch, in dem der grundsätzliche Vorgang der Prüfung angeschnitten wird und eine Vertrauensbasis aufgebaut werden kann. Darauf folgt die Prüfung selbst in Form von beispielsweise Einzelfallprüfungen, Stichproben oder Interviews. Dabei werden die wichtigsten Arbeitspapiere zusammengestellt, welche die Grundlage für die spätere Berichterstattung bilden. Ferner dienen die Arbeitspapiere als Dokumentation, ob die Auftragsziele erreicht wurden, als Basis für die Bewertung der Qualität der IR und als Nachweis für die Einhaltung der Standards. Anschließend werden die Feststellungen bewertet und hinsichtlich der Prüfungsziele beurteilt, wie beispielsweise die Einhaltung der Ordnungsmäßigkeit (Werden Gesetze und Regeln adäquat befolgt?). Auch werden in diesem Schritt Empfehlungen für Maßnahmen gegen die Feststellungen ausgesprochen und mit dem geprüften Bereich abgestimmt.

Berichterstattung 

Die Berichterstattung erfolgt an den Aufsichtsrat, den Vorstand, die verantwortlichen Führungskräfte sowie den Abschlussprüfer. Dabei werden die Informationen gefiltert und je nach Bedarfslage übermittelt. Der Bericht selber ist objektiv, sachlich und unabhängig zu verfassen und richtet sich nach den Standards. Der vorläufige Bericht bietet der geprüften Abteilung Stellung zu nehmen hinsichtlich der Feststellungen und ausgearbeiteten Maßnahmen. Bei unterschiedlichen Standpunkten werden diese jeweils in den Bericht mitaufgenommen. Im Weiteren werden die Maßnahmen und deren Umsetzung zwischen Revision und geprüfter Abteilung abgesprochen. Dabei sollten Dringlichkeit, Priorisierung und ein Termin definiert werden sowie ein Verantwortlicher für die Umsetzung bestellt werden. Das Ergebnis ist ein abgestimmter Maßnahmenkatalog, welcher als Grundlage für das spätere Follow-Up dient. Im Anschluss wird der verbindliche Bericht im Einklang mit den Standards optimiert. Aspekte hierbei, sind unabhängige und objektive Bewertung der Prüfungsfeststellungen oder aber eine verständliche und sachliche Formulierungsweise. Durch Feedback wird auch die geprüfte Abteilung miteinbezogen. Abschließend wird die Umsetzung der Maßnahmen durch ein Follow-Up kontrolliert. Der Wertbeitrag der Revision kann nur gewährleistet werden, wenn die Umsetzung getroffener Maßnahmen und Empfehlungen überprüft wird. Ebenso sollte klar definiert werden, wie im Falle einer Nicht-Einhaltung reagiert wird.

Organisation der IR …ist ein Spiegelbild der Organisation der Gesellschaft und wird von mehreren Treibern, wie der

Größe,

der Internationalisierung, der Kapitalmarktori...