7 Dinge, die alle Internen Revisor:innen über die neuen Standards wissen sollten

InterneRevision_Blog_7_Dinge

Am 09. Januar 2024 wurden die „Global Internal Audit Standards“ vom Institute of Internal Auditors (IIA) veröffentlicht, nachdem tausende Personen weltweit an einem mehrjährigen Projekt beteiligt waren. Die Standards treten ein Jahr nach ihrer Veröffentlichung in Kraft, also am 9. Januar 2025. Es besteht kein Grund zu übertriebener Eile, aber Interne Revisor:innen sollten sich proaktiv mit den wichtigsten Änderungen auseinandersetzen. In welchen Bereichen könnte es Abweichungen geben, und welche dieser Abweichungen sollten in den Aktionsplänen Priorität erhalten? Und vor allem: Was müssen Sie kurzfristig wissen?

Mit 119 Seiten sind die Standards keine leichte Lektüre, aber das IIA hat auch eine gekürzte Version herausgegeben, die nur die verbindlichen Leitlinien enthält und die Seitenzahl um die Hälfte reduziert. Vor diesem Hintergrund haben wir die Standards überprüft, um die wichtigsten Änderungen zu ermitteln, die unserer Meinung nach alle Internen Revisor:innen kennen sollten.

Bevor wir in die Materie eintauchen, sollten wir dem International Internal Audit Standards Board (IIASB) unsere Anerkennung für die harte Arbeit, die Konzentration und die sorgfältigen Überlegungen aussprechen, die es in diesen Prozess gesteckt hat. Die Forschungs- und Öffentlichkeitsarbeit zur Weiterentwicklung des International Professional Practices Framework (IPPF) begann 2019 und gipfelte im März 2023 in der Veröffentlichung des Entwurfs der Standards zur öffentlichen Diskussion und Stellungnahme. Artikel, Blogs und Diskussionen in den sozialen Medien häuften sich; wir selbst haben sechs vorgeschlagene Änderungen in einem Blog im April 2023 vorgestellt.

Kurz gesagt, Interne Revisor:innen und andere Stakeholder weltweit haben sich Gehör verschafft – und das IIASB hat zugehört. Das IIASB ist auf die Bedenken und Hauptthemen eingegangen, die sich aus rund 19.000 Kommentaren und mehr als 60 eingelangten Schreiben ergaben, darunter auch diejenigen, die wir bereits in unserem Blog aus dem Jahr 2023 vorgestellt haben. Wir schreiben heute nicht, um die endgültigen Standards zu analysieren oder in Frage zu stellen, sondern um das Bewusstsein für die wichtigsten Änderungen und möglichen kurzfristigen Auswirkungen zu schärfen.

1. Neue Betonung des Dienstes am öffentlichen Interesse

In der Einleitung zu den neuen Standards heißt es, dass das IIA „sich verpflichtet, Standards unter Einbeziehung der Öffentlichkeit und zum Nutzen der Öffentlichkeit zu setzen“, und dass das IIASB „für die Erstellung und Pflege der Standards im Interesse der Öffentlichkeit verantwortlich ist“. In der „Zielsetzung der Internen Revision“ in der Domain I wird betont, dass die Interne Revision die „Fähigkeit der Organisation, dem öffentlichen Interesse zu dienen“, stärkt. Dieser neue Zweck stellt eine nicht triviale Weiterentwicklung des IPPF-Leitbilds dar, das beschreibt, was die Interne Revision in ihren Organisationen erreichen will, indem es eine wichtige Ebene hinzufügt, warum wir tun, und was wir tun. Im Kontext der Internen Revision bezieht sich der Begriff „dem öffentlichen Interesse dienen“ in der Regel auf die Erwartung, dass Interne Revisor:innen in einer Weise handeln sollten, die der Öffentlichkeit insgesamt und nicht nur ihrer eigenen Organisation zugutekommt. Dazu gehört die Gewährleistung von Transparenz, Rechenschaftspflicht und Good Governance in den von ihnen geprüften Organisationen.

Die Standards erkennen den kontextspezifischen Charakter von Fragen des öffentlichen Interesses an und ermutigen dazu, kulturelle Normen und Werte, Ethik, Fairness und mögliche Auswirkungen zu berücksichtigen. Revisionsleiter:innen, die für globale Organisationen tätig sind, können dennoch vor Herausforderungen stehen, da unterschiedliche Auffassungen darüber bestehen, was das Interesse und das Wohlergehen von Gesellschaften auf der ganzen Welt ausmacht.

2. Andere Struktur – logischer und nahtloser

Das natürliche Wachstum des IPPF hatte zu einem „Flickwerk“ geführt, das für einige schwer zu durchschauen war. Durch einen Neuanfang ist es dem IIASB gelungen, alle Schlüsselkomponenten des alten IPPF in eine logischere und intuitivere Struktur zu integrieren. Es gibt jetzt 52 Standards, die in fünf Domains unterteilt sind:

I. Zielsetzung der Internen Revision,
II. Ethik und Professionalität (ersetzt einen eigenständigen Ethikkodex),
III. Governance der Internen Revision,
IV. Leitung der Internen Revision und
V. Erbringung von Revisionsleistungen.

Diese Bereiche umfassen insgesamt 15 Prinzipien; auf alle Prinzipien folgen die zugehörigen Standards (die obligatorischen „Anforderungen“) und die zugehörigen Leitlinien, die als „Überlegungen zur Umsetzung“ bezeichnet werden.

Die neuen Standards ändern die gesamte Struktur und das Nummerierungssystem des IPPF, so dass Revisionshandbücher, Richtlinien, Prozesse und Verfahren, Software, Arbeitsblätter und andere Dokumente, die auf die alten IPPF-Abschnitte und das Nummerierungssystem verweisen, aktualisiert werden müssen. Darüber hinaus kann die Integration von Anforderungen und Anleitungen unter dem Banner der Standards – abgesehen davon, dass ein recht langes und kompliziertes Dokument entsteht – zu Verwirrung über obligatorische und empfohlene Verfahren führen. Letztendlich macht die neue Struktur das Auffinden der benötigten Definitionen, Anforderungen und Anleitungen jedoch intuitiver.

3. Mehr präskriptive Normen

Wir alle verstehen die grundlegende Beziehung zwischen „Richtlinien“ und „Verfahren“. Richtlinien erklären, was erwartet wird, und Verfahren geben detaillierte Anweisungen, wie die Richtlinien ausgeführt werden. Diese Analogie hilft uns, eine grundlegende Veränderung vom alten IPPF zu den neuen Standards zu verstehen. Im Allgemeinen legte das IPPF Grundsätze (Richtlinien) fest, die von den CAEs umzusetzen waren, und die CAEs entschieden, welche Verfahren sie anwenden wollten. Die neuen Standards enthalten jedoch häufig spezifische Verfahren als Standards, so dass sowohl Grundsätze als auch Verfahren gleichzeitig erforderlich sind.

Der Entwurf aus dem Jahr 2023 löste eine heftige Diskussion über diesen erhöhten Vorschriftscharakter aus. Der Entwurf hatte das alte IPPF durch neu formulierte Grundsätze ersetzt, gefolgt von umfangreichen Regeln, die fast alle als „Muss“ bezeichnet wurden. Während die endgültigen Standards die Anzahl der „Muss“-Vorschriften aus dem Entwurf stark reduzieren, enthalten sie immer noch mehr spezifische Anforderungen als das vorherige IPPF. CAEs sollten sich die Zeit nehmen, jeden Standard durchzulesen – vor allem in der Domain V (Erbringung von Revisionsleistungen) – um zu bestätigen, dass die genannten Anforderungen die aktuellen Praktiken widerspiegeln, oder die Praktiken bei Bedarf zu aktualisieren.

4. Weniger Unterscheidung zwischen Prüfungs- und Beratungsanforderungen

Während das alte IPPF klar zwischen Anforderungen für „beratende“ Tätigkeiten unterschied, gelten die neuen Standards sowohl für Prüfungs- als auch für Beratungsleistungen, sofern in den einzelnen Standards nichts anderes festgelegt ist.

In den Antworten auf die Umfrage zum Entwurf wurde die Notwendigkeit einer genaueren und konsistenteren Unterscheidung zwischen den Anforderungen für Prüfungs- und Beratungsaufträgen als eines der wichtigsten Themen genannt. Das IIASB hat daraufhin einige Änderungen vorgenommen. Die Einleitung zur Domain V (Erbringung von Revisionsleistungen) und ausgewählte Standards der Domain V enthalten nun begrenzte Kommentare zur Anwendung auf Beratungsaufträge (siehe 13.2, 13.3, 13.4, 13.6, 14.2 und 14.5). Für CAEs, die eine Vielzahl von Beratungsleistungen erbringen, kann es jedoch eine Herausforderung sein, alle genannten Anforderungen zu erfüllen, insbesondere wenn die Beratungstätigkeit keine Prüfung beinhaltet, wie z. B. bei Moderation, Schulung oder Vorschlägen zu möglichen Änderungen der Unternehmensrichtlinien. Vor allem bestimmte Anforderungen der Domain V dürften sich als schwierig erweisen.

5. Stärkere Betonung der Strategie der Internen Revision, des Aufbaus von Beziehungen und der Kommunikation

Es wurden einige neue Standards geschaffen, die vorher nicht explizit existierten, darunter Standard 9.2 (Strategie der Internen Revision), Standard 11.1 (Aufbau von Beziehungen und Kommunikation mit Stakeholdern) und Standard 12.2 (Leistungsmessung). Wir wissen, dass sich einige Interne Revisionen in der Vergangenheit mit diesen Bereichen befasst haben. Die AuditBoard-Umfrage 2024 „Focus on the Future“ ergab jedoch, dass nur eine von fünf Stellen über einen „umfassenden, gut dokumentierten strategischen Plan“ für die nächsten drei bis fünf Jahre verfügt.

Die neuen Standards erheben dies zu obligatorischen Anforderungen und erzwingen damit wohl einen strategischeren Ansatz für die Internen Revisionen. Den CAEs wird empfohlen, die einschlägigen Standards sorgfältig zu lesen und zu prüfen, ob die neuen Anforderungen erfüllt sind. Möglicherweise sind zusätzliche Details oder Unterlagen erforderlich, um die Konformität nachzuweisen.

Die Standards stellen auch höhere Erwartungen an die Kommunikation der CAEs mit dem Vorstand und der Geschäftsleitung und enthalten klare Vorgaben für die Erörterung bestimmter Angelegenheiten. Viele CAEs werden daher tiefgreifendere und umfassendere Diskussionen führen, als sie es in der Vergangenheit getan haben. In den Anforderungen der Standards für die Domain III (Governance der Internen Revision) werden mehrere „Muss“-Anforderungen für die CAE definiert und bestimmte Tätigkeiten des Leitungs- und Überwachungsorgans und der Geschäftsleitung als „wesentliche Voraussetzungen“ für die Fähigkeit der Internen Revision, den „Zweck der Internen Revision“ zu erfüllen, beschrieben. Wenn der Vorstand oder die oberste Leitung mit den wesentlichen Bedingungen nicht einverstanden ist, muss der CAE nachfassen (d.h. Feedback, Dokumentation).

6. Neue Betonung der Leistungsmessung

Wie bereits erwähnt, verlangt ein neuer Standard (12.2), dass der CAE Ziele zur Bewertung der Leistung der Funktion entwickelt und bewertet, wobei die Beiträge und Erwartungen des Vorstands und der Geschäftsleitung zu berücksichtigen sind. Der Standard schreibt keine spezifischen Leistungsziele vor, aber die entsprechenden Leitlinien enthalten Beispielkategorien wie Prüfungsabdeckung, umgesetzte Aktionspläne, Zufriedenheit der Stakeholder, Prozentsatz der überprüften Schlüsselrisiken und -kontrollen der Organisation usw. Da die „Leistungsmessungsmethodik“ der CAE „die kontinuierliche Verbesserung der Internen Revision fördert“ und gleichzeitig die Fortschritte bei der Erreichung der Ziele der Internen Revision bewerten muss, scheint es von entscheidender Bedeutung zu sein, messbare Kennzahlen in den neu vorgeschriebenen Strategieplan einzubetten.

Für CAEs wird es auch wichtig sein, ihre Leistungsziele mit den Standards abzugleichen, da die Gefahr besteht, dass sie nicht übereinstimmen. Während der Vorstand beispielsweise davon ausgeht, dass das Ziel der Fertigstellung des Prüfungsplans bis zum Jahresende notwendig ist, verlangen die Standards von den Prüfern eine kontinuierliche Risikobewertung und eine entsprechende Anpassung der Pläne. Die Fertigstellung des Plans muss gegen eine flexible und risikoorientierte Vorgehensweise abgewogen werden.

7. Höhere Messlatte für Quality Assessments

Die Standards für die Qualitätsbewertung sowohl für interne als auch für externe Prüfungen haben sich in wichtigen Punkten geändert. Bei beiden Arten von Bewertungen muss nun nicht nur die Einhaltung der Standards, sondern auch die Erreichung der Leistungsziele berücksichtigt werden. Außerdem müssen die CAEs bei externen Bewertungen sicherstellen, dass der unabhängige Assessor oder mindestens ein Mitglied des Assessment Teams über einen aktiven Titel als CIA (Certified Internal AuditorⓇ) verfügt.

Für einige CAEs wird es eine Herausforderung sein, die Umsetzung der neuen Standards bis Januar 2025 abzuschließen. Dementsprechend können CAEs, deren externe Prüfungen im Jahr 2025 anstehen, die Prüfungen nach den alten IPPF-Anforderungen in das Jahr 2024 vorziehen. Diese CAEs sollten auch „Gap Assessments“ im Jahr 2024 in Betracht ziehen, um den Übergang zu den neuen Standards zu erleichtern.

Verpflichtung zu einer sinnvollen Transformation

Für CAEs ist die Veröffentlichung der neuen Standards durch das IIA der Anfang – nicht das Ende – des Prozesses zur Sicherstellung der Konformität. Mit weniger als einem Jahr bis zum Ablauf der Frist für die vollständige Übernahme sollte die Sicherstellung der Konformität in jeder Internen Revisions-Funktion oberste Priorität haben. Wir glauben, dass CAEs zumindest die folgenden Schritte unternehmen sollten:

  1. Überprüfung und Verständnis der neuen Anforderungen in den Standards.
  2. Durchführung einer „Lückenanalyse“, um das Ausmaß der derzeitigen Konformität festzustellen.
  3. Identifizierung der wichtigsten Maßnahmen, die zur Erreichung der vollständigen Konformität erforderlich sind.
  4. Erstellung eines Projektplans zur Behebung von Konformitätslücken mit Meilensteinen und Erfolgsmessungen.
  5. Informieren Sie die wichtigsten Stakeholder über die neuen Anforderungen und halten Sie sie über die Maßnahmen auf dem Laufenden, die zur Erreichung der Konformität ergriffen werden.
  6. Führen Sie ein „Readiness Assessment“ durch, um die Konformität bis 2025 zu beurteilen.

Auch wenn sich der Aufwand, der im nächsten Jahr betrieben werden muss, für die ohnehin schon überlasteten Internen Revisionen wie eine schwere Last anfühlen mag, wird sich die Mühe lohnen. Unsere professionellen Standards unterscheiden uns von einer Vielzahl anderer Risiko- und Überwachungsfunktionen. Konformität ist unabdingbar.

Dieser Fachartikel wurde von Patty Miller und Richard Chambers am 14. Februar 2024 auf www.auditboard.com/blog/7-things-every-internal-auditor-should-know-about-the-new-standards/ veröffentlicht. Wir bedanken uns für die Erlaubnis, diesen Beitrag als deutsche Übersetzung veröffentlichen zu dürfen.

Sie können Ihre Ansichten auch an Richard Chambers direkt richten: blogs@richardchambers.com.

(c) 2023 Richard F Chambers – Übersetzung: Thomas Schwalb

Über die Autoren

Inhaltbars