Flink? Emsig? Dieser Blog stellt Ansätze für Agilität in der Internen Revision (IR) vor. Da das Wort „agil“ heute in Revisionskreisen häufig schon als Allergen wirkt, starte ich mit diesen synonymen Adjektiven. Sie werden laut Digitalem Wörterbuch der Deutschen Sprache (dwds.de) eher selten benutzt und bedeuten „schnell, gewandt“ bzw. „unausgesetzt fleissig, ununterbrochen tätig“.

Worum geht es?

Wir arbeiten in der Internen Revision in einem Umfeld, das noch nie in der Geschichte unseres Berufsstands so starken Veränderungen ausgesetzt war, wie dies heute der Fall ist. Unsere Organisationen sind heute so international abhängig (Stichworte Lieferkette und Suez-Kanal), so technologisch verletzlich (Stichworte fehlerhaftes CrowdStrike Security-Update und Microsoft Windows), so stark von Lieferanten abhängig (Stichworte Cloud Computing und AI), so militärisch gefährdet (Stichworte Gefahr eines Nuklearschlags im Ukrainekrieg), so politisch beeinflussbar (Stichworte Klimaaktivismus und Medienzensur), so stark in ihrer Sicherheit angreifbar (Stichworte Cyber Security und Quantencomputer), kurzum so stark Unvorhersehbarkeiten ausgesetzt wie noch nie zuvor. Als Interne Revisoren arbeiten wir daran, die Sicherheit der Zielerreichung in unseren Organisationen zu erhöhen. Derart erhöhte Unvorhersehbarkeiten müssen sich daher zwangsläufig auf die Arbeit einer wirksamen Internen Revision auswirken. Die Frage, die sich uns stellt, lautet: Wie geht die Interne Revision mit den rekordverdächtig erhöhten Unvorhersehbarkeiten ihres Umfelds um? Um diese Frage zu beantworten, möchte ich zunächst die heute so penetrant auftretenden Unvorhersehbarkeiten genauer analysieren.

VUKA-BANI

Jedem von uns ist vermutlich schon das Akronym VUKA (auf Englisch: VUCA) begegnet. Die wenigsten wissen aber, dass die vier damit zusammengefassten Arten von Unvorhersehbarkeiten höchst unterschiedlich sind, verschiedene Antwortstrategien nahelegen und sich ganz spezifisch auf unsere IR-Teams auswirken.

Audit-Booster.com

Volatilität kennen wir zum Beispiel von häufig schwankenden Ölpreisen oder Kryptowährungen. Grundsätzlich sind die Ursachen und Folgen von Volatilität bekannt und sie beruht auf verständlichen Ereignissen, die in hoher Frequenz auftreten. Volatilität ist aber meist nicht vorhersehbar und kann uns daher ohne Vorbereitung «auf dem falschen Fuss» erwischen. Eine wirksame Strategie bei Volatilität ist der Aufbau von Reserven (Beispiel: Kauf von Ölvorräten in Zeiten niedriger Preise oder Preis-Hedging). Ist ein IR-Team aus Menschen zusammengesetzt, die häufige unvorhersehbare Änderungen ablehnen, besteht die Gefahr, dass einzelne hier emotional Schiffbruch erleiden und auf Dauer zerbrechen. Dem können Resilienz stärkende Massnahmen entgegenwirken.

Bei Unsicherheit kennen wir wie bei Volatilität die theoretischen Ursachen und Folgen recht genau, wir wissen aber im Gegensatz zur Volatilität nicht, ob sich praktisch überhaupt eine Veränderung ergeben wird. Daher können wir Ereignisse nur schwer danach beurteilen, ob sie für uns relevant sind. Uns fehlen hier wichtige Informationen zur Entscheidungsfindung. Als Beispiel wäre hier die Unsicherheit über terroristische Anschläge im Jahr 2001 (Stichwort «World Trade Center») aufzuführen. Als Gegenstrategie rüsteten damals Geheimdienste in aller Welt ihre Fähigkeiten zur Informationsbeschaffung hoch und wendeten sie in neuen Feldern an (Drohnenvideos, Telefon- und Internetüberwachung, Gesichtserkennung, Profildatenbanken, etc.). Unsicherheit erzeugt im Team Angst (was im Beispiel von Terrorismus ja vermutlich auch der erwünschte Haupteffekt ist). Dem kann mit Wertschätzung und Achtsamkeit wirksam begegnet werden.

Komplexität ergibt sich aus vielen verbundenen Einzelteilen, die in ihrer Gesamtheit eine logische Auswertung der vielfältigen, oft eingebetteten Informationen extrem erschweren. Wandel wird aus diesem Grund unberechenbar. So musste zum Beispiel eine grosse Versicherung in der Schweiz ihr Projekt zur Zentralisierung aller Automobil-Haftpflichtverträge Europas in einer einzigen Softwarelösung abbrechen, weil die Komplexität der unterschiedlichen gesetzlichen Vorgaben unterschätzt wurde und sich die vielfältige Realität nicht im geplanten Rahmen abbilden lies. Externe Komplexität lässt sich durch ihre Abbildung in interner Komplexität abfangen. So hat die erwähnte Versicherung die unterschiedlichen rechtlichen Anforderungen dann dadurch unter Kontrolle bekommen, dass sie für die einzelnen Länder massgeschneiderte Teams und Softwarelösungen aufbaute. Wandel (oder verhinderter geplanter Wandel) durch Komplexität erfordert die Fähigkeit von Mitarbeitern, nicht-lineare Entwicklungen zu akzeptieren und sich daran anzupassen.

Als vierte Art von Unvorhersehbarkeit sehen wir uns heute auch öfters mit Ambiguität konfrontiert. Hier müssen wir Entscheidungen treffen, ohne uns auf Präzedenzfälle oder das Wissen um Ursachen und Wirkungen abstützen zu können. Wandel ist hier einzigartig und individuell zugeschnitten und er tritt sicher ein. Wie am Beispiel Quantencomputer ersichtlich wird, die etwa heutige Verschlüsselungslösungen mit Leichtigkeit überwinden helfen werden, wissen wir durch unser Unwissen noch nicht, wie sich ambiger Wandel auf uns auswirken wird und wie wir am besten reagieren sollen. Als Strategie empfiehlt sich hier agiles Austesten über das Prinzip «Versuch und Irrtum»: wir müssen uns selbst langsam an Lösungen herantasten und müssen uns an unseren langsam wachsenden Kenntnisstand und den laufenden Wandel fortlaufend anpassen. Unsere Revisionsteams kämpfen bei Ambiguität des Umfelds mit für sie unverständlichen Entwicklungen und Bedürfnissen. Die beste der hier zur Verfügung stehenden Reaktionsmöglichkeiten ist radikale Transparenz gegenüber dem Team.

Agilität und Anpassungsfähigkeit

Wir haben nun die vier Arten von Unvorhersehbarkeit kennengelernt und ihre Auswirkungen auf unsere IR-Teams. In den vier oben kurz angerissenen unterschiedlichen Lösungsstrategien verstecken sich die Grundlagen der «flinken Emsigkeit», welche trotz unvorhersehbarer Umstände das Erreichen der gesetzten Ziele ermöglicht. Was ist darunter genau zu verstehen? Wir können die kurzfristige Agilität und die mittel-/langfristig wirkende Anpassungsfähigkeit als Strategien gegen Unvorhersehbarkeit unterscheiden.

Agilität ist das kurzfristige «Heilmittel» gegen Unvorhersehbarkeit. Wie am Steuer eines Autos hilft uns Agilität auch in der Internen Revision, auf plötzlich auftretende Gefährdungen oder Chancen flink zu reagieren. Dies ist besonders in mikropolitisch stark aktiven Organisationen und in der IR feindlich gesinnten Umfeldern von grossem Vorteil, da es das «Überleben» der Internen Revision sichern kann: sie entzieht sich so den Angriffen ihrer Gegner durch flinkes Spiel mit ihren zahlreichen Reaktionsmöglichkeiten. Was ist Agilität denn nun genau? Nichts anderes als radikales Wissensmanagement! Mit Hilfe einer Vielzahl frei wähl- und anpassbarer Techniken nutzen agile Interne Revisionen schnell verstehbare Visualisierungen, kontinuierliche Verbesserung, Kundenfokus, Effizienz und Geschwindigkeit, künstlerische Praxis und bewusstes Training der Neuroplastizität unserer Gehirnzellen, um dank der resultierenden Flinkheit und Emsigkeit trotz unvorhersehbarer Veränderungen die Ziele der Organisation sicherer erreichen zu helfen. Für unsere Organisationen ermöglicht Agilität der Internen Revision die Nutzung von Potentialen, welche bei klassischer Vorgehensweise «verschlafen» würden. Agilität lässt sich übrigens mit einer von mir lizensierten Software wie ein Muskel trainieren, wie dies bereits erfolgreich im Sport (Manchester United) und im Militär (US Navy Seals) praktiziert wird.

Anpassungsfähigkeit ist das mittel- bis langfristige «Heilmittel» gegen Unvorhersehbarkeit. Sie wird bei der Diskussion um «agile auditing» in der Regel sträflich vernachlässigt, muss aber fester Teil des Handlungsrepertoirs nachhaltig erfolgreicher Interner Revisionen sein. Es geht hier darum, im Vergleich zu Agilität tiefer gehende Veränderungen anzustossen und umzusetzen, beispielsweise durch das bewusste Erlernen neuer Kompetenzen. Während das Konzept der Anpassungsfähigkeit zunächst nach heisser Luft klingt und leider auch häufig so diskutiert wird, gibt es das empirisch belegte statistische ACE-Modell des britischen Start-Ups AQai.io, dessen Pionierpartner ich seit 2020 bin. Das von Prof. Dr. Nicolas Deuschel an der Universität Carlos III in Madrid entwickelte Modell seziert Anpassungsfähigkeit in den drei Dimensionen Fähigkeit (Ability; hier geht es um das «Wie» des Wandels), Charakter («wer» und «warum») und Umgebung (Environment; «wann») und erlaubt es, ähnlich zum Intelligenzquotienten IQ einen Anpassungsfähigkeitsquotienten AQ auf Personen- und Teamebene zu messen und aus den Ergebnissen Handlungsempfehlungen abzuleiten. Für unsere Organisationen ermöglicht die erhöhte Anpassungsfähigkeit der Internen Revision ihre in der Zukunft erhöhte Kompetenz zum Umgang mit künftigen Herausforderungen. Dies führt zu höherem Mehrwert und sichererer Zielerreichung dank der besser an ein zukünftiges Umfeld angepassten IR-Kompetenzen.

Reagieren und Gestalten

Sowohl Agilität als auch Anpassungsfähigkeit können optimierend reagierend mit einem Fokus auf der Verwertung und besseren Ausnutzung der gegebenen Möglichkeiten praktiziert werden. In diesem Zusammenhang passt der Begriff Business Excellence. Kurzfristig kann so die Arbeitsweise über kontinuierliche Verbesserung in kleinen graduellen Schritten optimiert werden («exploitative agility»), wobei agile Vorgehensweisen wie Lean oder Kaizen zum Einsatz kommen können. Mittel- oder langfristig bedeutet dieser Verwertungsfokus, dass die Interne Revision auf Wandel systematisch reagiert (z.B. über ein Qualitätsmanagement- und Prozessführungssystem) und sich reagierend vorausschauend an diesen anpasst («exploitative adaptability»).

Agilität und Anpassungsfähigkeit können beide auch gestaltend mit einem Fokus auf der Eroberung gänzlich neuer Möglichkeiten praktiziert werden. Hier passen Begriffe wie Innovation und Kreativität. Kurzfristig können so neue Arbeitsweisen und Arbeitsinhalte mit Versuch und Irrtum ausprobiert werden, wobei sich die Interne Revision in wiederholenden Schritten an bessere Lösungen herantastet («explorative agility»). Agile Vorgehensweisen wie Scrum oder XP können hier unterstützen. Mittel- oder langfristig bedeutet dieser Eroberungsfokus, dass die Interne Revision auf Wandel proaktiv zugeht und versucht, den Wandel und damit die Zukunft mit Kreativität zu gestalten («explorative adaptability»).

Nach diesen theoretischen Betrachtungen stellt sich uns die Frage, wie sich die Anwendung von Agilität und Anpassungsfähigkeit im beruflichen Alltag der Internen Revision manifestiert.

Flink und emsig im IR-Alltag

Der Alltag einer Internen Revision sollte sich am Grundauftrag der Internen Revision orientieren, nämlich die Zielerreichung ihrer Organisation abzusichern. Risikobasierte Revision («risk-based auditing») ist in aller Munde. Seit in der Neuformulierung der internationalen Norm ISO31000:2018 zum Risikomanagement ein Risiko neu als «Auswirkung von Unsicherheit auf Ziele» definiert wird (der Standard meint hier nicht das «U» in VUKA sondern den Überbegriff der Unvorhersehbarkeit), wird diese radikale Zielorientierung der Internen Revision noch deutlicher. Doch wie kann eine Interne Revision eine «flinke Durchgängigkeit» zwischen den Zielen der Organisation und ihrer täglichen Arbeit gewährleisten? Die Antwort liegt in einem von unserem Berufsstand bisher wie eine «heilige Kuh» in allen Neuformulierungen von Berufsstandards und in allen nicht-österreichischen(*) Weiterbildungen unberührt belassenen und oft komplett ignorierten starren Fundament der Revisionsarbeit, dem sogenannten Audit-Universum.

Das Audit-Universum bestimmt das zu Prüfende und hat daher einen nicht zu unterschätzenden Einfluss auf die Themen und den Inhalt der IR-Prüfungen. Meist wird das Audit-Universum als Kollektiv aller Organisationseinheiten und/oder aller (auf einer praktikablen «Flughöhe» zu wählenden) Prozesse angesehen. Die Statik der Aufbauorganisation und die meist auf Beharren ausgerichtete Ablauforganisation bestimmen so ganz fundamental die Arbeit der Internen Revision – und lähmen sie. Ein agiles Audit-Universum entspricht dem Grundauftrag der Internen Revision viel besser, da es radikal die Zielerreichung der Organisation abbildet und so die IR-Arbeitsleistung ohne verzögernde Puffer direkt auf die Unterstützung der Zielerreichung legt. Konkret heisst dies, dass das agile Audit-Universum als «Prüfobjekte» anstatt Organisationseinheiten oder Prozesse direkt die Ziele der Organisation umfasst. Das Audit-Universum sollte von Natur aus anpassungsfähig sein. Bei klassischer Gestaltung des Audit-Universums sollte die Interne Revision regelmässig ihre Organisation nach Änderungen in Prozessen oder der Organisationsstruktur abscannen, um keine unbekannten Abdeckungslücken zu übersehen. Bei agiler Gestaltung ergibt sich die Anpassungsfähigkeit automatisch durch die jeweils direkt nachvollzogene Änderung der Ziele.

In der Praxis ergeben sich bei der Gestaltung eines agilen Audit-Universums zwei lösbare Herausforderungen. Zum einen setzen sich Organisationen oft strategische Ziele, die derart wolkig oder unpräzise sind, dass eine direkte Anknüpfung der IR-Arbeit daran schwierig oder nicht sinnvoll wäre. Ich habe das erste mir bekannte agile Audit-Universum 2022 bei der Internen Revision der Siegfried AG, eines führenden Pharma-CDMO-Unternehmens (contract and development manufacturing organisation), entdeckt. Der Leiter der Internen Revision von Siegfried, Philipp Husi, ermittelt die Prüfobjekte seines Audit-Universums in Workshops mit den eine Hierarchiestufe unter der Geschäftsleitung wirkenden Führungskräften. In diesen Gesprächen, die er als kurzen Gesprächspunkt in anderen ohnehin stattfindenden Besprechungen integriert hat, fragte er die Führungskräfte nach dem Beitrag ihrer Einheit zum Gesamtunternehmen und was diesen Beitrag stören könnte. Die sich ergebenden Themen bilden sein Audit-Universum. Dieses natürlich entwickelte Vorgehen ist Agilität in Bestform und ermöglicht eine radikale Zielorientierung der IR ohne durch die strategische Komponente strategischer Ziele zu weit von operativer Prüfbarkeit entfernt zu sein.

Zum anderen wirken Interne Revisionen häufig auch in Organisationen der öffentlichen Hand, wo sich die Zielsetzung deutlich von gewinnorientierten Unternehmungen unterscheidet. Dieser Unterschied stellt keine Hürde für ein agiles Audit-Universum dar. So definiere ich aktuell als Leiter der Internen Revision des Steueramts des Kantons Zürich dessen agiles Audit-Universum als Summe der gesetzlich geregelten und abgeleiteten Aufgaben des Steueramts, der Jahresziele und Risiken der Geschäftsleitung und der periodisch angepassten strategischen und föderalen Ziele. Auf diese Weise wirkt die Interne Revision des Steueramts ihrer berufsständischen Mission voll entsprechend direkt an der Erhöhung der Sicherheit der Zielerreichung und der gesetzlichen Aufgabenerfüllung des Steueramts mit.

Ich habe dank meiner Tätigkeit als Coach für agiles Arbeiten in der Internen Revision häufig erlebt, dass die Arbeitszufriedenheit und die Leistungsfähigkeit von Internen Revisoren, die mit Freude «flink und emsig» innovative Lösungen in ihrem Arbeitsalltag leben, deutlich steigen. Wer mit Agilität und Anpassungsfähigkeit arbeitet, setzt, orientiert an firmenspezifischer Notwendigkeit, gerne Innovationen entlang des gesamten Lebenszyklus eines Revisionsprozesses und in allen Kern-, Führungs- und Unterstützungsprozessen der Internen Revision um. Es würde den Umfang dieses Blogbeitrags sprengen, hier auf alle Möglichkeiten im Detail einzugehen. Ich erwähne daher im Folgenden nur kurz und stichwortartig einige im Allgemeinen besonders sinnvolle Varianten.

Da Interne Revisionen in den letzten Jahren mit einer Vielzahl an neuen Gefährdungen und potentiellen Chancen konfrontiert wurden (Stichwörter «künstliche Intelligenz und Algorithmen», «Cloud Computing», «Cyber Security», «Generationswechsel», «Fachkräftemangel», «Energiekrise», «radikale Klimapolitik»…), sich aber ihr Personalbestand in der Regel nicht erhöhte, muss der Berufsstand effizienter arbeiten. Hierfür bieten agile Vorgehensweisen folgende Möglichkeiten:

Die Berichterstattung verschlingt häufig einen grossen Anteil der IR-Arbeitszeit. In meiner Zeit als Leiter der Internen Revision der schweizerischen Unfallversicherungsanstalt Suva waren dies anfänglich 60% der Arbeitszeit, bevor wir als weltweit erste Interne Revision Scrum als agiles IR-Vorgehen einführten und die bis zu 60-seitigen Revisionsberichte durch eine agile Berichterstattung ersetzten. Diese basierte auf einer agilen Datenbank aus Feststellungen und Empfehlungen, die jeweils einzeln und noch während der laufenden Prüfungsarbeiten in Vernehmlassung bei den Geprüften geschickt werden konnten. Für das Audit Committee fertigten wir halbjährlich einseitige Kurzdarstellungen aller abgeschlossenen Prüfungen an, einen anderen Prüfbericht der Internen Revision gab es nicht.

Die Planung der Internen Revisionsarbeit wird häufig immer noch als starre «Jahresplanung» oder sogar «Mehrjahresplanung» betrieben. In einer agilen Planung kann hier eine fortlaufend aktualisierte und priorisierte Aufgabenliste aller geplanten Aufgaben und Prüfungen, das sogenannte IR-Backlog, ersatzweise zum Einsatz kommen. Prüfthemen, welche hoch oben auf dem IR-Backlog sind, werden in Kürze angegangen, die weiter unten befindlichen Themen bilden dann in Summe die in Abhängigkeit von der ziel-/risikoorientierten Priorisierung fluide Quartals-, Jahres- oder Mehrjahresplanung.

Effiziente Arbeit der Internen Revision setzt eine wirksame Zusammenarbeit im Revisionsteam voraus. Agiles Zusammenarbeiten im IR-Team ermöglicht es, die Kompetenzen aller Internen Revisoren für jede einzelne Prüfung zu aktivieren. Anstatt wie im traditionellen IR-Prüfvorgehen einzelne Interne Revisoren oder Minigruppen in siloartiger Abschottung einzelne Prüfungen parallel und isoliert bearbeiten zu lassen, fördern agile Arbeitsweisen die Kommunikation, das Teilen von Wissen und die aufgaben- und kompetenzgetriebene Bearbeitung von Prüfungen als selbstorganisiertes Team.

Wenn wir die Entwicklung unseres Berufsstandes vorherzusehen versuchen, können wir individuell je nach Organisation besondere Herausforderungen auf uns zukommen sehen, deren Lösung eine Entwicklung der heutigen Kompetenzen der Internen Revision und ihrer Internen Revisoren benötigt. Bei diesen mittel- bis langfristigen Anpassungen der IR-Kompetenzen, insbesondere im Themenfeld der digitalen Transformation, hilft uns eine entwickelte Anpassungsfähigkeit.

Flink und emsig Aufgaben erledigen, Kompetenz teilen, Entscheidungsträger informieren und die Zielerreichung der eigenen Organisation absichern helfen macht Spass! Agilität und Anpassungsfähigkeit sind mächtige Werkzeuge der Internen Revision, die – richtig genutzt – unseren Mehrwert für unsere Organisationen steigern helfen und die Motivation der IR-Mitarbeiter erhöhen können. Herzliche Empfehlung, dies im eigenen Team selbst auszuprobieren! Wer hierfür Unterstützung und kreative Ideen wünscht: ich bin sehr gerne als agiler Coach für Euch da.

(*) Das Thema «agiles Audit-Universum» wurde weltweit erstmals im zweitägigen Weiterbildungsseminar «Agiles Auditing» (Seminarprogramm 2023 und 2024) der Akademie des IIA Austria in Wien von mir vorgestellt.

1 Einleitung

Der historische Ursprung des Internen Kontrollsystems (IKS) liegt vor ca. 100 Jahren in den USA und fußt auf dem „Internal Control Concept“ des Federal Reserve Board. Vor dem Hintergrund einer Vielzahl an Betrugsfällen sollte dieses Konzept dem Schutz vor illegalen Handlungen dienen und fokussierte sich zunächst ausschließlich auf das Rechnungswesen und die Rechnungslegung1Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems, RWZ 1993, 280 (280).. Im Rahmen einer angestrebten Vereinheitlichung unterschiedlicher Ausprägungen des Begriffs „Interne Kontrollen“ erarbeitete das Committee of Sponsoring Organizations of the Treadway Commission (COSO) im Jahr 1992 einen Leitfaden, welcher drei Kategorien eines IKS definiert,

  1. Durchführung und Effizienz betrieblicher Abläufe
  2. Verlässlichkeit der finanziellen Berichterstattung
  3. Einhaltung aller einschlägigen Gesetze und Vorschriften,

und den Anwendungsbereich des IKS erheblich ausweitete2Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems: Der COSO-Report, RWZ 1993, 313 (313 f).. Gemeinhin wurde die Entwicklung des IKS vor allem durch die Wirtschaftsprüfung vorangetrieben, um die Richtigkeit des Jahresabschlusses gewährleisten zu können. Dies traf auch auf Österreich und Deutschland zu3Holzer/Kölblinger, RWZ 1993, 280 (283)., wurde jedoch mit der Zeit auf das gesamte Unternehmen ausgeweitet, um ein vollumfängliches Risikomanagement zu gewährleisten4Stengel/Jaster/Soltani-Shirazi, IKS – Interne Kontrollsysteme nach der 8. EU-Richtlinie, RWZ 2010, 86 (90).. Schließlich wurde in Österreich im Zuge des Insolvenzrechtsänderungsgesetz 19975Bundesgesetz, mit dem die Konkursordnung, die Ausgleichsordnung, die Kaiserliche Verordnung über die Einführung einer Konkursordnung, einer Ausgleichsordnung und einer Anfechtungsordnung, das Rechtspflegergesetz, das Handelsgesetzbuch, das Aktiengesetz, das Gesetz über Gesellschaften mit beschränkter Haftung, das Gerichtsgebührengesetz, das Gerichtsorganisationsgesetz und das Bankwesengesetz geändert werden sowie ein Bundesgesetz über die Reorganisation von Unternehmen (Unternehmensreorganisationsgesetz – URG) geschaffen wird (Insolvenzrechtsänderungsgesetz 1997 – IRÄG 1997), BGBl I 114/1997 das IKS sowohl in §22 Abs. 1 GmbHG als auch im §82 AktG gesetzlich vorgeschrieben, während die Aufnahme in den Lagebericht eines Unternehmens erst 2008 im §243a Abs. 2 UGB geregelt wurde6Vgl. Kraner, (2020) S. 11. Darüber hinaus fordern §30g Abs. 4a GmbHG und §92 Abs. 4a AktG, dass die Wirksamkeit des IKS bei großen Gesellschaften durch einen Prüfungsausschuss überwacht wird, diese jedoch risikoadjustiert erfolgen kann.

2 Prinzipien eines IKS

Ein IKS soll laut der am häufigsten verwendeten Definitionen vier Aufgabengebiete abdecken:

  1. Die Sicherung und der Schutz des vorhandenen Vermögens vor Verlusten aller Art
  2. Die Gewinnung genauer, aussagefähiger und zeitnaher Aufzeichnungen
  3. Die Förderung des betrieblichen Wirkungsgrades durch Auswertung der Aufzeichnungen
  4. Die Unterstützung bei der Befolgung der vorgeschriebenen Geschäftspolitik7Vgl. Kraner, (2020) S. 41

Dies geschieht, indem im IKS-Fehler oder Abweichungen in dokumentierten oder nicht dokumentierten Prozessen identifiziert werden und Maßnahmen gegen diese Abweichungen definiert werden. Dadurch ist das IKS heutzutage ein Bestandteil aller Unternehmensprozesse mit dem Ziel die operationellen Risiken des Unternehmens risikoadjustiert zu minimieren und stellt damit einen wesentlichen Bestandteil des Risikomanagementsystems eines Unternehmens dar. Dabei lauten die vier Grundprinzipien eines IKS wie folgt:

  1. Funktionstrennung
  2. 4-Eyes-Principle
  3. Transparenz
  4. Need-to-know8Vgl. Fritz, Koch, Wildmoser (2016), S. 38

3. Definition des Risikos

Wenn ein IKS auf einer „grünen Wiese“, z.B. einem neugegründeten Unternehmen ohne jegliche Vorgaben oder Prozesse implementiert werden soll, ist es von Vorteil sich zunächst vor Augen zu führen an welcher Stelle des Unternehmens die größten Risiken verborgen liegen und diese zu identifizieren. Dazu können entweder Benchmarks, wie z.B. Schadenfalldatenbanken genutzt oder Interviews mit den Risikoverantwortlichen geführt werden. Risikoverantwortliche sind in den meisten Fällen die Geschäftsführung, Abteilungsleitung und die Inhaber besonderer Funktionen, wie z.B. Datenschutz- oder Informationssicherheitsbeauftragte. Im Rahmen der Interviews können die klar abgegrenzten identifizierten Risiken mithilfe ihres Schadenerwartungswertes bewertet werden9Vgl. M. Müller, (2014), S. 10.

Der Schadenerwartungswert beschreibt dabei die Schadenshöhe und Häufigkeit eines Risikos innerhalb eines zuvor definierten Betrachtungszeitraums.

Grundsätzlich wird zwischen einem Brutto- und einem Netto-Schadenerwartungswert unterschieden. Der Bruttowert beschreibt hierbei den Schadenerwartungswert des Risikos ohne Maßnahmen zur Risikominderung, während der Nettowert diese bereits berücksichtigt.

Beispiel:

Der Betrachtungszeitraum liegt bei einem Jahr, aber alle zwei Jahre wird eine Rechnung in Höhe von 100.000 EUR nicht gezahlt.

Zur Risikominderung wird im Vorfeld die Bonität des Debitors geprüft. Dadurch wird nur noch alle vier Jahre eine Rechnung in Höhe von 100.000 EUR nicht gezahlt.

 

Die systematische Identifikation und Bewertung der Risiken mithilfe des Schadenerwartungswertes machen die Risiken vergleichbar und erlaubt eine risikoadjustierte Bearbeitung der Risiken. (Das heißt) die Risiken mit dem höchsten Schadenerwartungswert werden prioritär behandelt.

4 Arten von Kontrollen

Im Fall des neuen Unternehmens ohne Prozesse und Vorgaben sollten in einem ersten Schritt, zur Reduktion des Bruttoschadenerwartungswertes nach der erfolgten Risikoanalyse, zunächst „Regeln und Richtlinien in Form von Arbeits- und Organisationsanweisungen für Tätigkeitsabläufe“10Demut in Handbuch IKS (2011), S. 19f. unter Berücksichtigung der zuvor genannten Prinzipien eines IKS etabliert werden. Einen wesentlichen Bestandteil bilden die Definition und Dokumentation von Kontrollen. Hierbei wird zwischen prozessintegrierten und prozessunabhängigen Kontrollstellen unterschieden. Während erstere im Zuge einer Tätigkeit bzw. eines Prozesses verankert werden und präventiv zum Beispiel einen 4-Augen-Check vor Überweisung einer Rechnung vorsehen, handelt es sich bei prozessunabhängigen Kontrollstellen ex-post um eine retrospektive Überprüfung der Einhaltung eines Prozesses durch zum Beispiel Compliance oder die Interne Revision.11Vgl. K. Gammelin, (2023), S.246

Beispiel:

Herr A erhält eine Rechnung über 100.000 EUR. Nachdem er die Rechnung sachlich und fachlich geprüft hat, lässt er die Rechnung dem Prozess entsprechend durch seinen Vorgesetzten im 4-Augen-Prinzip prüfen, bevor die Buchhaltung die Zahlung veranlasst – es handelt sich um eine präventive prozessintegrierte Kontrolle, die ex-ante durchgeführt wird.

Frau B überprüft als Interne Revisorin, ob alle Rechnungen entsprechend den Vorgaben im 4-Augen-Prinzip freigegeben wurden, bevor die Buchhaltung die Zahlung veranlasst hat – es handelt sich um eine detektive prozessunabhängige Kontrolle, die ex-post retrospektiv durchgeführt wird.

Grundsätzlich sollten Kontrollen unabhängig von ihrer Art über eine Beschreibung verfügen, die folgende Fragewörter beantwortet:

  • Wer macht
  • Was
  • Wie
  • Wann
  • Wie oft

Die Definition einer Kontrolle kann dabei als Voll- oder Teilprüfung erfolgen. Indes bei ersterer die gesamte Anzahl eines bestimmten Geschäftsvorfalls geprüft wird, werden bei einer Teilprüfung lediglich ein Teil der Anzahl des bestimmten Geschäftsvorfalls überprüft. Die Entscheidung zwischen einer Voll- oder Teilprüfung muss risikoorientiert erfolgen. Bei einem sehr hohen Risiko sollte eine Vollprüfung erfolgen, während bei einem höheren Prozessrisiko die Stichprobe der Teilprüfung z.B. bei 50% liegt und bei einem niedrigen bzw. sehr niedrigem Risiko nur 20% bzw. 10% geprüft werden. Der Anteil der zu prüfenden Kontrollen bei einer Teilprüfung sollte bereits zuvor in einem Handbuch festgelegt worden sein.

In der Durchführung der Kontrollen wird zwischen manuellen und (teil-)automatisierten Kontrollen unterschieden. Die manuelle Kontrolle stellt zum Beispiel die Wahrung des 4-Augen-Prinzips dar. Demgegenüber stellt die teilautomatisierte Kontrolle bereits eine personelle Entlastung dar. Indes sind für die Durchführung von vollautomatisierten Kontrollen keinerlei personelle Ressourcen mehr notwendig, da diese durch Systeme übernommen werden. Die durchzuführenden Kontrollen erfolgen entweder laufend, anlassbezogen oder in einem zuvor definierten Intervall, welches häufig ebenfalls risikoorientiert ist.12Vgl. K. Gammelin, (2023), S.246f

Beispiel:

Herr M. führt im Rahmen einer Auftragsvergabe eine Geldwäscheprüfung durch (manuell + anlassbezogen). Aufgrund verschiedener Eigenschaften eines potentiellen Dienstleisters wird eine höhere Risikoklassifizierung durch das System vergeben. Laut interner Vorgaben muss eine höhere Klassifizierung immer durch den Geldwäschebeauftragten überprüft werden, andernfalls werden nur 15% der KYC-Checks durch den Geldwäschebeauftragten geprüft (risikoorientiert + teilautomatisiert). Nachdem der Geldwäschebeauftragte die Auftragsvergabe trotz des erhöhten Risikos freigegeben hat, muss Herr M. bereits nach einem statt drei Jahr(en) die Geldwäscheprüfung aktualisieren (Intervall). Dies liegt an der Risikoklassifizierung des Dienstleisters. Zugleich werden alle Dienstleister laufend durch ein System mit den aktuellen Sanktions- und Embargolisten verglichen, um etwaige Verstöße zu vermeiden (laufend + vollautomatisiert).

Die Art der Durchführung der Kontrollen ist im Wesentlichen abhängig von der Häufigkeit der Kontrollwiederholung und des Geschäftsprozesses sowie der Individualität des Vorgangs. Denn je häufiger der Prozess abläuft, desto standardisierter wird bzw. sollte er sein, um bestenfalls eine Vollautomatisierung zu ermöglichen.

Darüber hinaus können Kontrollen eines IKS vom Zeitpunkt unterschiedlich wirken. Hierbei wird zwischen korrektiv, detektiv und präventiv unterschieden. Erstere Art der Kontrolle dient der Korrektur eines fehlerhaften Ergebnisses eines Prozesses, um die Korrektheit des Ergebnisses sicherzustellen. Zweitere dient dazu im Nachgang Fehler innerhalb eines Prozesses zu identifizieren und das zukünftige Auftreten dieses Fehlers zu unterbinden. Diese Art der Kontrolle wird häufig bei der stichprobenartigen Überprüfung eines Prozesses mit einer Vielzahl an Wiederholungen durchgeführt. Letztere Art der Kontrolle wird bereits zu Beginn eines Prozesses durchgeführt, um das Risiko eines fehlerhaften Ergebnisses vorab zu vermindern oder gänzlich zu vermeiden.13Vgl. K. Gammelin, (2023), S.246

Beispiel:

Nachdem der Monatsabschluss durch die Buchhaltung aufgestellt wurde, wird dieser durch die Abteilungsleitung geprüft (präventiv). Im Anschluss wird der aufgestellte Abschluss dem CFO zur Verfügung gestellt, welcher diesen überprüft (detektiv). Zuletzt wird der Monatsabschluss im Zuge des Jahresabschlusses inkl. Datengrundlage und Berechnung durch den Wirtschaftsprüfer auditiert (korrektiv).

Wenn die Definition einer Kontrolle abgeschlossen ist, muss diese innerhalb des IKS dokumentiert werden. Dazu bieten sich verschiedene Möglichkeiten an. Einerseits können die Kontrollen systemisch innerhalb von Prozessmodellen, Berechnungsschritten oder Anwendungen dokumentiert werden. Andererseits eignet sich auch eine schriftliche Dokumentation der definierten Kontrollen. Diese kann sowohl in Form eines Handbuchs oder einer Arbeitsanweisung als auch als Kontrollmatrix eines Fachbereichs erfolgen. Insofern das Unternehmen nicht über eine systemische Dokumentation verfügt, ist die Erstellung einer Kontrollmatrix besonders geeignet, da diese erlaubt den gesamten Prozess von Brutto- bis Nettorisiko inklusive der jeweils aktuellen Beurteilung einer Kontrolle abzubilden.

5 Überprüfung der Kontrollen

Die Verantwortung zur Überprüfung von Kontrollen liegt bei den Three-lines-of-defense. Grundsätzlich werden in der Regel eigenverantwortlich Überprüfungen der Kontrollen innerhalb der Geschäftsprozesse einer Abteilung durchgeführt (First-Level-Kontrolle). Zudem wird die Einhaltung der Kontrollen zumeist stichprobenartig und bestenfalls risikoorientiert durch die Compliance- oder Risikomanagement-Funktion überwacht (Second-Level-Kontrollen). Die Einhaltung der Kontrollen sowie deren Überwachung wird wiederum im Rahmen der Prüfungen der Internen Revision überprüft (Third-Level-Kontrolle). Aufgrund der Einbindung der Three-lines-of-defense in ein funktionierendes IKS ist die Einrichtung und Einhaltung der Funktionstrennung in diesem Zusammenspiel unabdingbar.

Die Bestimmung der zu überprüfenden Kontrollen kann auf Basis der Fehleranfälligkeit und Häufigkeit der Kontrollen sowie des Bruttoschadenerwartungswertes vorgenommen werden. Als besonders fehleranfällig sind Kontrollen von nicht standardisierten Prozessen oder Ausnahmeregelungen und -erscheinungen anzusehen, da in den meisten Fällen keine Vorgaben zum Umgang mit diesen definiert und dokumentiert wurden. Ein weiterer Aspekt ist die zentrale oder dezentrale Durchführung der Kontrollen. Denn es ist davon auszugehen, dass eine zentrale Durchführung von Kontrollen durch qualifiziertes und spezialisiertes Fachpersonal14Vgl. BDO, (2024) zu einer erhöhten Vergleichbarkeit der Resultate15Vgl. Bafin, (2018) und angemesseneren Beurteilung der Effektivität der Kontrollen führt.

Die Häufigkeit der Wiederholung der Kontrollen kann auf der einen Seite bei wenigen Wiederholungen ein Indiz für die Fehleranfälligkeit des Prozesses aufgrund der vermutlich geringen Standardisierung sein. Auf der anderen Seite spricht eine hohe Zahl an Wiederholungen dafür, dass der Prozess eine hohe Relevanz innerhalb der Tätigkeit hat und somit ebenso einer stichprobenartigen Überprüfung unterzogen werden sollte. Jedoch sollte dies gemeinsam mit dem Schadenerwartungswert beurteilt werden.

Wenn im Zuge der Überprüfung der Kontrollen Abweichungen oder Mängel identifiziert werden, müssen diese abgearbeitet werden. Dazu ist eine Formalisierung der Abarbeitung in Form eines Prozesses eine geeignete Lösung16Vgl. Bafin, (2018). Ferner sollte auch ein Eskalationsprozess für die Feststellungen definiert sein, obwohl dies selten der Fall ist. Der Prozess dient dazu relevante Stakeholder über die Abweichungen und deren Abarbeitung zu informieren. Generell eignet sich hierzu ein vierteljährliches Reporting, welches die durchgeführten Kontrollen, die Ergebnisse derer und die Abarbeitung von Schwachstellen umfasst.

Grundsätzlich kann die Beurteilung der Kontrollen durch verschiedene Parteien erfolgen. Intern ist eine Evaluierung der Design Operating Effectivness möglich. Während die Design Effectivness prüft, ob die Kontrolle definiert und implementiert wurde sowie die Ergebnisse der Kontrolle zum definierten Kontrollziel passen, bewertet die Operating Effectivness, ob die Kontrolle über einen Zeitraum, z.B. 12 Monate, entsprechend den Vorgaben umgesetzt wurde17Vgl. K. Gammelin, (2023), S.252ff..

Beispiel:

Im Rahmen von Neueinstellungen muss die Zuverlässigkeit der künftigen Mitarbeitenden per Gesetz überprüft werden. Eine geeignete Kontrolle ist die Überprüfung des polizeilichen Führungszeugnisses (Design Effectivness). Nach einem Jahr wird überprüft, ob das polizeiliche Führungszeugnis bei allen Neueinstellungen oder einer Stichprobe derer eingeholt und überprüft wurde (Operating Effectivness)18Vgl. Linfordco, (2024).

Die Ergebnisse der Prüfung der Design Operating Effectivness haben eine Wechselwirkung auf die Risikoanalyse sowie -beurteilung und somit auf die Durchführung der Kontrollen. Denn wird im Rahmen der Überprüfung der Kontrollen festgestellt, dass die Design Operating Effectivness nicht gewährleistet ist, muss diese Erkenntnis in die mindestens jährlich zu aktualisierende Risikoanalyse einfließen. Bestenfalls wird die Aktualisierung bei wesentlichen internen sowie externen Änderungen adhoc vorgenommen.

Wenn der Prozess von Risikoanalyse über die Definition, Durchführung und Überprüfung der Kontrollen erstmalig erfolgt ist, verfügt das Unternehmen über sein erstes IKS.

Jedoch handelt es sich bei einem IKS um ein System, welches laufend weiterentwickelt werden muss. Gründe hierfür können nicht abschließend identifizierte Lücken im bestehenden System, neue Anforderungen oder aber eine sich verändernde Umwelt sein.

6 Aktuelle Herausforderungen des IKS

Mit der Implementierung und Weiterentwicklung des IKS sind eine Vielzahl von Herausforderungen verbunden, denn die Anforderungen an das IKS werden von Jahr zu Jahr höher. Dies liegt nicht nur an den zunehmenden regulatorischen und gesetzlichen Vorgaben, denen ein Unternehmen unterliegt, sondern auch den neu hinzugekommenen nicht-finanziellen Offenlegungspflichten, wie z.B. der EU-Taxonomie. Vielen Marktteilnehmern ist noch nicht bewusst auf welche Daten es in diesem Zusammenhang ankommt und an welchen Stellen Kontrollen etabliert werden müssen19Vgl. PwC DE&CH, (2022), S. 6ff.. Insgesamt führt dies zu einer immer höher werdenden Komplexität des IKS, Anforderungen an das Personal und höheren Bedarf personeller Ressourcen zur Durchführung der jährlichen Aktualisierungen20 Vgl. PwC AT, (2019). Aus diesem Grund kommt der Standardisierung der Kontrollen eine höher werdende Bedeutung zu, denn diese ermöglicht es mittelfristig die Kontrollen zu digitalisieren und wenn möglich zu automatisieren21Vgl. PwC DE&CH, (2022), S. 12. Dennoch ist die Nutzung von professionellen IKS-Systemen nicht weit verbreitet – zumeist wird Excel genutzt22Vgl. PwC DE&CH, (2022), S. 11.

Ferner ist gesetzlich festgehalten, dass die Geschäftsführung oder Vorstand eines Unternehmens verpflichtet ist, ein IKS einzurichten und der Aufsichtsrat die Funktionsweise des IKS überwachen muss. Dennoch ist weiterhin von einem Nachholbedarf hinsichtlich der sich aus dem IKS ergebenden Anforderungen bei Leitungs- oder Aufsichtsorganen auszugehen. Dabei bietet es sich auf Leitungsebene an IKS-Ziele als festen Bestandteil von Vergütungssystem zu etablieren, um das notwendige Bewusstsein zu schaffen23Vgl. PwC AT, (2019). Der Aufsichtsrat kann zum einen durch den entsprechenden Tone-at-the-Top das Bewusstsein für die Relevanz des IKS schärfen und zum anderen durch die Einforderung eines regelmäßigen Berichtswesen und direkte Gespräche mit der 2nd-Line-of-Defense seiner Überwachungspflicht nachkommen. Darüber hinaus bietet es sich an regelmäßig an Weiterbildungen für relevante Sachverhalte teilzunehmen oder aber auch die Zusammensetzung des Gremiums zu überprüfen, wenn gewisse Themengebiete nicht belegt sind.

7 Fazit

Die Einführung und Aufrechterhaltung eines IKS ist aufgrund der zunehmenden Komplexität der Unternehmensumwelt auf der einen Seite mit einem hohen Aufwand verbunden und schützt auf der anderen Seite vor vermeidbaren Schäden. Dennoch sollten beide Extreme nicht verfolgt werden:

  1. Der Verzicht auf die Einrichtung eines IKS und
  2. Die Vermeidung aller möglichen Risiken.

Denn sowohl ersteres führt dazu, dass das Unternehmen sehenden Auges große Risiken inkl. entsprechenden finanziellen Auswirkungen in Kauf nimmt, als auch zweiteres das Unternehmerische Handeln ausschaltet. Daher sollte die Definition, Durchführung und Überprüfung von Kontrollen innerhalb eines IKS immer dem Proportionalitätsprinzip folgen.

Vielmehr sollte das IKS als Wettbewerbsvorteil verstanden werden, denn es erhöht die Prozessresilienz bei gleichzeitiger Anpassungsfähigkeit auf externe und interne Veränderungen. Zudem erspart es zugleich Reibungsverluste innerhalb des Unternehmens. Außerdem kann das IKS das Risikobewusstsein des Unternehmens steigern, indem es das Chancen- und Schadenpotential einer Entscheidung unter Berücksichtigung des Kontrollaufwands veranschaulicht. Dies wiederum ermöglicht es Risiken bewusst einzugehen und vorhandene Ressourcen auf die wesentlichen Schadenpotentiale zu lenken.

  • 1
    Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems, RWZ 1993, 280 (280).
  • 2
    Holzer/Kölblinger, Entwicklung des Internen Kontrollsystems: Der COSO-Report, RWZ 1993, 313 (313 f).
  • 3
    Holzer/Kölblinger, RWZ 1993, 280 (283).
  • 4
    Stengel/Jaster/Soltani-Shirazi, IKS – Interne Kontrollsysteme nach der 8. EU-Richtlinie, RWZ 2010, 86 (90).
  • 5
    Bundesgesetz, mit dem die Konkursordnung, die Ausgleichsordnung, die Kaiserliche Verordnung über die Einführung einer Konkursordnung, einer Ausgleichsordnung und einer Anfechtungsordnung, das Rechtspflegergesetz, das Handelsgesetzbuch, das Aktiengesetz, das Gesetz über Gesellschaften mit beschränkter Haftung, das Gerichtsgebührengesetz, das Gerichtsorganisationsgesetz und das Bankwesengesetz geändert werden sowie ein Bundesgesetz über die Reorganisation von Unternehmen (Unternehmensreorganisationsgesetz – URG) geschaffen wird (Insolvenzrechtsänderungsgesetz 1997 – IRÄG 1997), BGBl I 114/1997
  • 6
    Vgl. Kraner, (2020) S. 11
  • 7
    Vgl. Kraner, (2020) S. 41
  • 8
    Vgl. Fritz, Koch, Wildmoser (2016), S. 38
  • 9
    Vgl. M. Müller, (2014), S. 10
  • 10
    Demut in Handbuch IKS (2011), S. 19f.
  • 11
    Vgl. K. Gammelin, (2023), S.246
  • 12
    Vgl. K. Gammelin, (2023), S.246f
  • 13
    Vgl. K. Gammelin, (2023), S.246
  • 14
    Vgl. BDO, (2024)
  • 15
    Vgl. Bafin, (2018)
  • 16
    Vgl. Bafin, (2018)
  • 17
    Vgl. K. Gammelin, (2023), S.252ff.
  • 18
    Vgl. Linfordco, (2024)
  • 19
    Vgl. PwC DE&CH, (2022), S. 6ff.
  • 20
    Vgl. PwC AT, (2019)
  • 21
    Vgl. PwC DE&CH, (2022), S. 12
  • 22
    Vgl. PwC DE&CH, (2022), S. 11
  • 23
    Vgl. PwC AT, (2019)

Philosopher Ludwig Wittgenstein (2021) once stated, „The limit of my language is the limit of my world“. This highlights the undeniable influence of words — both spoken and written. Words can inspire individuals to exceed expectations or steer them towards unethical actions. A code of ethics is a longstanding and widely recognised document for encouraging ethical decision-making. Professions such as medicine have adhered to codes of conduct for over 2000 years. A code of ethics not only defines behavioural rules within an organisation but also articulates its core values. Therefore, the way we formulate and write a code of ethics, especially from a linguistic and grammatical perspective, is crucial for its effectiveness.

The Effectiveness of A Code of Ethics

A code of ethics outlines principles and rules that help an organisation manage and govern its decisionmaking processes, aiding decision-makers in distinguishing between right and wrong. The most accepted definition of a code of ethics is given by Kaptein & Schwartz (2008): „A distinct and formal document containing a set of rules developed by and for a company to guide the present and future behaviour of at least its managers and employees on a range of issues toward each other, the company, external stakeholders, and/or society at large.“

Generally, a code of ethics is integral to an organisation’s ethical framework and compliance programmes. Consequently, it has become part of regulatory requirements at both national (e.g., Section 406 of the Sarbanes-Oxley Act) and industry levels (e.g., European Banking Authority: Guidelines on Internal Governance). Despite the formal establishment of codes of ethics in organisations, their effectiveness in promoting ethical intentions and behaviours remains debatable (Kish-Gephart, Harrison & Treviño, 2010).

The effectiveness of a code of ethics has been studied at various levels:

  • Design: Codes with lower commitment levels lead to poorer ethical behaviour.
  • Content: Sanctions specified in the code have limited effects on ethical behaviour.
  • Compliance Programmes: A code with more components in compliance programmes (e.g., training, communication, compensation) leads to better ethical behaviour.

While these studies offer critical insights into the complex process of code effectiveness, one aspect remains equally essential — the impact of language or written words in a code of ethics on decision-makers’ behaviour.

Writing an Effective Code of Ethics

The purpose of this article is to provide a guide to writing a code of ethics from a linguistic perspective. Drawing from various studies in psychology and behavioural science, we will explore which words and language structures should be used in a code of ethics for maximum impact and effectiveness.

“Must” vs. “Should/May”

The most researched topic pertains to the use of obligation or duty words in a code of ethics. Words with strong connotations of obligation (must, forbid) compared to those with a lesser tone (should, may) result in higher code compliance. A negative tone (forbidding) can also deter unethical behaviour, though overuse can be counterproductive (Kotzian, et al., 2021).

A later study confirmed that companies and organisations achieved higher compliance levels when their code language contained medium or high obligations (members will/should) as opposed to low obligation language (members can/may). Thus, to ensure organisational expectations for ethical behaviour are clear, a negative tone in the code of ethics is necessary (George, Jones & Harvey, 2014).

“We/I” vs. “They/It”

Using direct pronouns (we, I) suggests a higher acceptance level of the code of ethics than using indirect pronouns (they, it, or organisation/company). Research found that phrases like “We are committed to integrity” are more effective in promoting ethical behaviour than “The organisation is committed to integrity” (Farrell & Farrell, 1998).

This approach aligns with modern psychological thinking, as the brain tends to accept direct subject words as its own. Additionally, people who participate in creating rules are more likely to follow them (Deci & Ryan, 2013).

The use of active/passive voice in ethical codes also matters. Although passive voice is common in English, it often creates a non-personal relationship to the action. Using passive voice in a code of ethics is inappropriate if the organisation wants stakeholders to embrace the code (Börjars & Vincent, 2013).

Keep it Simple and Clear

Sometimes, people use complex words to sound sophisticated, but this is not effective in ethics. Nominalisation — forming nouns from other words — negatively impacts the effectiveness of codes of ethics. These codes are meant for everyday practice and should be easy to understand (Schwartz, 2004).

The same applies to grammatical metaphors. While non-literal expressions can add academic flair, they can confuse readers. A code of ethics should avoid legalese and aim for straightforward language.

Way Forward

The code of ethics has long been a valuable document for organisational ethics. However, it starts with words — written or spoken. The significance of language in influencing human thoughts, emotions, and behaviours should not be overlooked. A code of ethics is written for people, and its language must reflect that. These simple rules can help make a code of ethics truly effective, enabling an organisation to become more ethical. Plain language resonates more with employees, allowing them to integrate the code of ethics into their daily work more effectively.

  •  Linguistic structure significantly impacts the effectiveness of a code of ethics (e.g., passive/active voice, use of nouns vs. verbs).
  • Simplicity is key. Use simple words and short sentences in a code of ethics.
  • This article was first published in Ethikos by the Society of Corporate Compliance and Ethics.

Seit Einführung des Hinweisgeber:innenschutzgesetzes (HSchG) haben viele Unternehmen bereits Meldekanäle und die dazugehörige sogenannte interne Stellen implementiert. Diese interne Stelle nimmt die Hinweise entgegen und baut idealerweise bereits die Kommunikation zur hinweisgebenden Person auf. Je nach Unternehmen ist die interne Stelle in unterschiedlichen Abteilungen angesiedelt.

Ganz unabhängig, welche Compliance Strukturen Sie in Ihrem Unternehmen aufweisen und wo die interne Stelle angesiedelt ist, kann es vorkommen, dass Sie in der internen Revision als dritte Verteidigungslinie (third line of defense) beauftragt werden, eine Sonderprüfung über einen eingegangenen Hinweis durchzuführen.

Diese Situationen sind nie vorhersehbar. Und dennoch sollte in den meisten Fällen rasch gehandelt werden. In diesem Artikel erfahren Sie die wichtigsten Schritte, die bei Sonderprüfungen beachtet werden sollen.

Durchführung eines Pre-Checks

Bevor eine Sonderprüfung geplant wird, sollte überprüft werden, ob der Hinweis genügend Anhaltspunkte für eine Prüfung enthält – ein sogenannter Pre-Check. Diese Überprüfung kann bereits durch die interne Stelle durchgeführt werden.

Beachten Sie: Ob der Hinweis in den Bereich des HSchG fällt, muss unbedingt im Vorfeld durch die interne Stelle analysiert werden. Denn gemäß § 7 Abs. 1 HSchG ist die Identität der hinweisgebenden Person durch die interne Stelle zu schützen. Das bedeutet, dass jegliche Informationen, aus denen die Identität von Hinweisgeber:innen direkt oder indirekt abgeleitet werden, geschützt werden müssen. Fällt der Hinweis in die Anwendung des HSchG, muss die interne Stelle die Überprüfung durchführen, oder beispielsweise den Hinweis dementsprechend anonymisieren, dass die Identität der hinweisgebenden Person geschützt ist.

Unabhängig davon, ob der Hinweis in den Bereich des HSchG fällt, ist es empfehlenswert jeden Hinweis entgegenzunehmen und einen Pre-Check durchzuführen. Angenommen der Hinweis lautet über mögliche Diskriminierungsvorfälle oder Prozesslücken in der Zahlungsabwicklung und das HSchG findet in erster Linie keine Anwendung: Der Hinweis ist ein Indiz für ein potenzielles Risiko in Form von finanziellen Verlusten oder Reputationsschäden und sollte definitiv überprüft werden. Gemäß der aktuellen Global Internal Audit Standards verbessert die Interne Revision die Organisation in den Governance-, Risikomanagement- und Kontrollprozessen. Dies setzt voraus, dass die Interne Revision gemäß Standard 9.1. die Governance-, Risikomanagement- und Kontrollprozessen versteht und dementsprechend handelt, sofern Risiken identifiziert werden.

Kontakt zur hinweisgebenden Person aufbauen

Hat der Pre-Check genügend Anhaltspunkte für eine Prüfung ergeben, sollte im nächsten Schritt Kontakt zur hinweisgebenden Person aufgenommen werden. Je nach Meldekanal und Hinweiseingang, gibt es hier unterschiedliche Möglichkeiten.

Wichtig ist, dass der Fokus auf dem Vertrauensaufbau liegt. Hinweisgebende Personen sind oft unsicher und befinden sich in einer unangenehmen Situation. Zeigen Sie Empathie und klären Sie über den Prozess und den weiteren Schritten auf. Hinweisgeber:innen sind oft Mitarbeiter:innen und kennen die Prozesse sehr gut. Dadurch identifizieren sie auch die Schwachstellen, welche zur Meldung führen. Erfahrungsgemäß verlaufen Prüfungen effizienter und sind weniger zeitintensiv, wenn die hinweisgebende Person bei der Sachverhaltsaufklärung mitwirkt, indem sie für Fragen zur Verfügung steht.

Passende Prüfstrategie wählen

Ein essenzieller Punkt ist die Wahl der Prüfstrategie. Je nach Sachverhalt und Dringlichkeit, kann beispielsweise der Hinweis im Rahmen einer Prozessprüfung überprüft werden. Ergeben die Anhaltspunkte einen umfangreicheren Sachverhalt, sollte eine eigene Sonderprüfung angelegt und durchgeführt werden.

Unabhängig davon, sollte die involvierten Prozesse mit überprüft werden. Dies kann bereits im Rahmen der Sonderprüfung oder als separate Prüfung zu einem späteren Zeitpunkt erfolgen.

Beachten Sie auch, dass Sie je nach Sachverhalt gegebenenfalls weitere Abteilungen involvieren. Vor allem der Datenschutz, aber auch arbeitsrechtliche Vorgaben müssen durchgehend eingehalten werden. In diesem Schritt sollte das Need-to-know-Prinzip berücksichtigt werden. Dieses Prinzip besagt, dass die Anzahl an Personen, die über die Sachverhaltsaufklärung informiert werden, so gering wie möglich gehalten werden muss und nur diejenigen Personen darüber erfahren, die direkt mit der Aufarbeitung in Verbindung stehen.

Als Best Practice gilt ein intern implementierter und kommunizierter Prozessablauf, welcher mit den jeweiligen involvierten Abteilungen abgestimmt ist.

In diesem Zusammenhang sollte auch die Unternehmenskultur erwähnt werden. Erfahrungsgemäß lassen sich viele Risiken fristgerecht abfangen, wenn eine offene Gesprächskultur bzw. eine sogenannte Speak-up-Kultur im Unternehmen gelebt wird. Auch hier kann die Revision mitwirken, indem diese Aspekte im Prüfungsumfang involviert werden. Die Unternehmenskultur ist auch Teil des Risikomanagements, wenn dadurch eine Speak-up Kultur gelebt wird, welche das Risiko verringert, dass Mitarbeiter:innen die Themen intern nicht ansprechen oder eventuell sogar nach außen tragen.

Informationen über Prozesse einholen

Unabhängig, ob Whistleblower:innen bei der Sachverhaltsaufklärung mitwirken, sollten Sie sich im Vorfeld über die involvierten Prozesse informieren. Wenn beispielsweise ein Vorfall über die Manipulation von Ausschreibungsverfahren gemeldet wird, sollten Informationen über die Vorgaben für das Ausschreibeverfahren eingeholt werden.

Die eingeholten Informationen über die involvierten Prozesse dienen dazu, in erster Linie zu überprüfen, ob es Sicherheitslücken gibt, die eine mögliche Manipulation bzw. ein mögliches Fehlverhalten begünstigen könnten. Darüber hinaus ist es eine Absicherung für die interne Revision, für den Fall, dass die Whistleblower:innen nicht an der Sachverhaltsaufklärung mitwirken sollten. Gleichzeitig können die geteilten Informationen der hinweisgebenden Person, mit den vorab eingeholten Informationen überprüft werden.

Erfolgt die Meldung anonym, ist nicht bekannt, ob die hinweisgebende Person

  • ein/e Mitarbeiter:in,
  • jemand außerhalb des Unternehmens oder
  • ein/e bereits ausgeschiedene/r Mitarbeiter:in ist.

Daher ist es wichtig, während der Kommunikation mit den Whistleblower:innen keine firmeninternen Informationen preiszugeben.

Wenn Sie sich in anderen Abteilungen über die Prozesse informieren, bedienen Sie sich an bestimmten Fragetechniken, um nicht den Anschein zu erwecken, dass Sie aktuell eine Hinweisüberprüfung planen bzw. durchführen. Beachten sie auch stets die durchgehende Einhaltung von Standards und Regularien, vor allem im Bereich Datenschutz und Arbeitsrecht.

Erfahrene Revisior:innen zeichnen sich dadurch aus, dass sie (sinngemäß) keine Scheuklappen tragen. Das bedeutet, dass sie auch übergelagerte, involvierte Prozesse mit überprüfen. Werden durch die Hinweisüberprüfung weitere Schwachstellen im (übergelagerten) Prozess identifiziert, sollten definitiv auch hier entsprechende Maßnahmen gesetzt werden. Das Ziel besteht nicht nur darin festzustellen, ob der Hinweis bestätigt werden konnte oder nicht, sondern welche Prozesslücken identifiziert werden konnten und wie diese Risiken eliminiert beziehungsweise minimiert werden können.

Durchführung einer neutralen und umfassenden Untersuchung

Jegliche Meldungen sind neutral und unvoreingenommen entgegenzunehmen. Es herrscht eine Unschuldsvermutung, bis der Vorfall bestätigt werden konnte.

Stichwort Interessenskonflikte: Stellen Sie als Prüfungsleitung sicher, dass Ihr Untersuchungsteam aus Personen besteht, für die keine Interessenskonflikte mit dem gemeldeten Vorfall bestehen. Gleichzeitig sollte das Prüfteam auch die nötige Fachkompetenz für die Hinweisüberprüfung aufweisen. In der Praxis kann dies oft eine Herausforderung darstellen, da Sonderprüfungen oft spontan durchgeführt werden müssen und die Prüfteams bereits für Programmprüfungen eingeteilt wurden. In diesen Fällen kann es hilfreich sein, externe Berater:innen zu beauftragen oder gegebenenfalls die Programmprüfung zu pausieren.

Fragen, die Revisor:innen bei Sonderprüfungen im Vorfeld konfrontieren können, sind:

  • Wie gehe ich mit der hinweisgebenden Person um?
  • Welche Interviewtechniken wende ich an?
  • Was gilt es generell zu beachten?
  • Wie stelle ich einen neutralen Umgang sicher?

Dazu empfiehlt sich, Revisor:innen für die Durchführung von Sonderprüfungen zu schulen und eine interne Arbeitsanweisung zu erstellen. Darin sollten die oben angeführten Fragen adressiert werden und auch datenschutzrechtliche Informationen abgedeckt werden.

Für Befragungen sollte ein Vier-Augen-Prinzip sichergestellt werden, vor allem beim Gespräch mit der hinweisgebenden und betroffenen Person. Diese Gespräche können für die hinweisgebende, aber auch für die betroffene Person sehr unangenehmen sein. Informieren Sie die Personen daher bereits im Vorfeld, welche Personen beim Gespräch anwesend sind, und stellen Sie sich kurz vor. Zeigen Sie Empathie und denken Sie daran: Es ist eine Befragung und kein Verhör.

Vor allem bei Diskriminierungs- und Belästigungsvorfällen ist es ratsam geschlechtergemischte Teams aufzustellen.

Entsprechende Maßnahmen definieren und Dokumentation sicherstellen

Wurden Sicherheitslücken oder Fehlverhalten identifiziert, folgt nun der Schritt, die entsprechenden Maßnahmen zu definieren. Diese können anhand der SMART-Methode definiert werden. Auch wenn diese Methode in der Managementforschung ihren Ursprung hat, kann sie für die Maßnahmendefinition angewendet werden.

Diese Methode setzt sich aus den fünf Buchstaben SMART zusammen, wobei jeder Buchstabe für eine Bedingung steht (siehe Abbildung).

Abbildung: Beschreibung der SMART-Methode, selbst erstellt.
Abbildung: Beschreibung der SMART-Methode, selbst erstellt.

In Hinblick auf die Maßnahmenformulierung, lassen sich die definierten Maßnahmen wie folgt überprüfen, ob sie wirksam sind:

S: Ist die Maßnahme konkret formuliert, damit die verantwortliche Stelle weiß, was umzusetzen ist?
M: Kann die Umsetzung im Nachgang überprüft werden?
A: Wurde die Maßnahme so definiert, dass sie der Realisierung der Unternehmensziele nicht hinderlich ist und gleichzeitig die Governance Prozesse berücksichtigt?
R: Ist es für die verantwortliche Stelle möglich, die Maßnahme innerhalb der Frist umzusetzen?
T: Ist eine Umsetzungsfrist definiert?

Bedenken Sie: Nach der Prüfung ist vor der nächsten Prüfung. Auch wenn die Maßnahmen innerhalb der definierten Frist umgesetzt wurden, empfiehlt sich je nach Risikograd, dass die Prüfungsleitung die identifizierten Risiken bzw. die daraus formulierten Maßnahmen bei der nächsten Programmprüfung mit aufs Prüfprogramm nimmt. Somit kann eine nachhaltige Risikoreduktion gewährleistet werden.

Je nach Sachverhalt und Feststellung kann eine Fehler-Ursachen-Analyse (engl. Root-Cause Analysis) durchgeführt und im Prüfbericht angehängt werden. Vor allem bei gravierenderen Feststellungen ist diese Methode empfehlenswert. Dabei wird anhand von W-Fragen die Ursache für das Problem oder die Sicherheitslücke analysiert.
Im ersten Schritt wird anhand der 5-W-Fragen das Problem definiert:

• Was ist passiert?
• Wann (oder über welchen Zeitraum) hat es sich ereignet?
• Wo ist es passiert?
• Wie hat sich der Vorfall ereignet?
• Wer oder welche Abteilungen sind daran beteiligt?

Ergänzend sollte noch folgende Fragen gestellt werden

• Welche Auswirkung hat der Vorfall auf die Unternehmensziele?
• Welche Risiken sind mit dem Vorfall verbunden?

Dieser erste Punkt wird oftmals bereits während der Prüfung durchgeführt. Danach wird die Ursache analysiert. Dafür wird mindestens fünf Mal die „Warum-Frage“ gestellt.
Im folgendem wird die Root-Cause-Analyse an einem fiktiven Beispiel angewendet. In dem Beispiel kam es zu einem Serverausfall:

  1. Warum kam es zu einem Serverausfall?
    Weil der Server überlastet ist.
  2. Warum ist der Server überlastet?
    Weil zu viele Anfragen gleichzeitig bearbeitet werden müssen.
  3. Warum müssen zu viele Anfragen gleichzeitig bearbeitet werden?
    Weil der Datenbankserver langsam reagiert und sich dadurch die Anfragen stauen.
  4. Warum antwortet der Datenbankserver langsam?
    Weil die Datenbank nicht effizient optimiert ist.
  5. Warum ist die Datenbank nicht effizient optimiert?
    Weil in der letzten Quartalssitzung keine Budgetfreigabe für eine neue Datenbank genehmigt wurde.

In diesem Beispiel ist die Grundursache des Problems, dass die Datenbank nicht effizient optimiert ist. Im dritten und letzten Schritt erfolgt die Formulierung von kurz- und langfristigen Verbesserungsmaßnahmen. Dafür kann wie bereits oben beschrieben, die SMART-Methode angewendet werden.

Das Ergebnis der Sonderprüfung ist der Prüfbericht. Abschließend sollte die Dokumentation nochmals überprüft und sicher aufbewahrt werden. Je nach Sachverhalt, müssen Dokumente anonymisiert werden – halten Sie hier Rücksprache mit dem oder der Datenschutzbeauftragte:n im Ihrem Unternehmen.

Fazit

Zusammenfassend ist es entscheidend, einen klaren, fairen und strukturierten Umgang mit Whistleblower:innen zu gewährleisten. Dafür sind in erster Linie der Meldekanal und ein vorab definierter interne Prozess ausschlaggebend. Sehen Sie Whistleblowing als Chance, um wichtige Informationen für das Unternehmen zu bekommen und risikobehafteten Situationen (noch rechtzeitig) entgegen wirken zu können.

Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT
Abbildung 1: Titelbild: KI-generiertes Bild zur DORA mit ChatGPT

Im digitalen Zeitalter, in dem Finanzinstitute zunehmend auf Technologie angewiesen sind, ist die Sicherstellung der operativen Resilienz von entscheidender Bedeutung. Der Digital Operational Resilience Act (DORA) ist eine Verordnung der Europäischen Union, die darauf abzielt, die Widerstandsfähigkeit des Finanzsektors gegenüber Cyberbedrohungen zu stärken. Für interne Auditoren bringt die Überprüfung der Implementierung von DORA eine Reihe von Herausforderungen mit sich, aber auch die Möglichkeit, die Sicherheit und Effizienz ihrer Organisationen maßgeblich zu verbessern.

Die Interne Revision spielt eine Schlüsselrolle bei der Überwachung und Bewertung der Effektivität von Maßnahmen, die im Rahmen von DORA ergriffen werden. Davon umfasst sind zum Beispiel die Überprüfung der IT-Infrastrukturen, das IT-Risikomanagement Rahmenwerk und Geschäftsfortführungspläne.

In den folgenden Abschnitten werden wir die Herausforderungen, die DORA für die Interne Revision mit sich bringt, genauer betrachten, Maßnahmen untersuchen, die im IT-internen Kontrollsystem gesetzt werden sollten, und Themen hervorheben, die beachtet werden müssen.

DORA und die Interne Revision

Ziele und wesentliche Anforderungen der DORA

Der Digital Operational Resilience Act (DORA) ist ein regulatorischer Rahmen, der von der Europäischen Union ins Leben gerufen wurde, um die Resilienz von Finanzinstituten gegenüber digitalen Risiken zu stärken. Die Verordnung legt spezifische Anforderungen an Finanzdienstleister fest, um sicherzustellen, dass sie adäquate Maßnahmen ergreifen, um ihre IT-Systeme und Assets zu schützen. Zu den Kernzielen von DORA gehört es, ein einheitliches Niveau an operativer Widerstandsfähigkeit in der gesamten EU zu gewährleisten, die Aufsichtsbehörden mit den notwendigen Werkzeugen und Informationen auszustatten, um Risiken effektiv zu überwachen, und eine schnelle und koordinierte Reaktion auf IT-Störungen zu fördern.

Wesentliche Anforderungen von DORA umfassen:

  • IKT-Risikomanagement: Implementierung robuster Risikomanagementpraktiken, die sämtliche Aspekte digitaler Risiken abdecken.
  • Vorfallmanagement: Verpflichtung, Mechanismen für das Erkennen, das Management und die Meldung von IT bezogenen Vorfällen einzurichten.
  • Testen der operationalen Resilienz: Regelmäßige Prüfungen und Tests der IT-Systeme und des IKT-Risikomanagementrahmens müssen durchgeführt werden, um Schwachstellen zu identifizieren und zu beheben. Ausgewählte Institute sind darüber hinaus dazu verpflichtet, anhand TLPT (Threat-Led-Penetration-Testing) erweiterte Tests durchzuführen.
  • IKT-Drittanbietermanagement: Finanzinstitute müssen sicherstellen, dass ihre Drittanbieter und Outsourcing-Partner ähnliche Resilienzstandards einhalten.
Abbildung 2: Anforderungen DORA selbst erstellt
Abbildung 2: Anforderungen DORA selbst erstellt

Rolle der Internen Revision bei der Umsetzung von DORA

Die Interne Revision hat die Aufgabe, die Einhaltung dieser Anforderungen zu überwachen und zu bewerten, wie effektiv die Organisation ihre operationale Resilienz steuert. Dies umfasst die Bewertung der IKT-Risikomanagementpraktiken, die Überprüfung der Vorfallmanagementprozesse, die Beurteilung der Effektivität der IT-Sicherheitsmaßnahmen und die Überprüfung des Dienstleister-Managements. Die Interne Revision muss sicherstellen, dass die Organisation nicht nur formell den Anforderungen von DORA entspricht, sondern dass die implementierten Maßnahmen auch in der Praxis wirksam sind, um die Resilienz gegenüber digitalen Risiken zu stärken.

Die Herausforderungen für die Interne Revision im Zusammenhang mit DORA sind vielschichtig. Sie muss über tiefgreifendes Verständnis der IT-Infrastruktur und der Risikolandschaft verfügen, um die Angemessenheit und Wirksamkeit der von der Organisation ergriffenen Maßnahmen beurteilen zu können. Dies erfordert kontinuierliche Weiterbildung und die Weiterentwicklung von Fachwissen in Bereichen wie Cybersicherheit, Supplier-Management und IT-Governance.

Weiters sollte die Interne Revision eine proaktive Rolle einnehmen, um sicherzustellen, dass die Organisation den sich ständig weiterentwickelnden Bedrohungen einen Schritt voraus ist bzw. bei Vorfällen effizient und effektiv reagiert werden kann. Dies kann die Unterstützung des Managements bei der Entwicklung und Implementierung von Strategien zur Verbesserung der digitalen operationalen Resilienz und die Förderung einer Kultur der kontinuierlichen Verbesserung beinhalten.

Die Interne Revision ist somit eine Schlüsselfigur, um die Organisation durch die komplexen Anforderungen von DORA zu navigieren und einen wesentlichen Beitrag zur Stärkung der digitalen operationalen Resilienz im Finanzsektors zu leisten.

Nachdem wir nun die Anforderungen von DORA und die Rolle der Internen Revision detailliert betrachtet haben, werden wir im nächsten Abschnitt auf die spezifischen Herausforderungen eingehen, die sich nach der Implementierung von DORA für die Interne Revision eines Finanzinstituts ergeben. Wir werden untersuchen, welche Anpassungen im internen Kontrollsystem erforderlich sind und wie die Interne Revision effektiv zur Stärkung der operativen Resilienz beitragen kann.

Herausforderungen nach der Implementierung von DORA

Die Implementierung des Digital Operational Resilience Act stellt für die internen Revisionsabteilungen von Finanzinstituten diverse Herausforderungen dar. Diese erfordern nicht nur eine Anpassung der internen Prozesse und Kontrollsysteme, sondern auch ein fundiertes Verständnis für die Landschaft an Cyberbedrohungen. Nachfolgend eine Auflistung von Problematiken, die nach der Implementierung von DORA auftreten können.

Identifikation und Bewertung von IKT-Risiken

Eine der größten Herausforderungen kann darin bestehen, potenzielle IKT-Risiken zu identifizieren und zu bewerten, die die operationale Resilienz beeinträchtigen könnten, wie etwa:

  • Cyberbedrohungen: Die schnelle Entwicklung von Cyberbedrohungen erfordert eine kontinuierliche Überwachung (Vulnerability Management und Scanning) und Anpassung der Sicherheitsstrategien. Dazu zählt unter anderem eine Inventarisierung und Bewertung aller bekannten IKT-Risiken.
  • Technologische Abhängigkeiten: Eine genaue Analyse der Abhängigkeiten innerhalb der IT-Infrastruktur ist notwendig, um potenzielle Schwachstellen zu identifizieren. Dazu zählt ein vollständiges und aktuelles Inventar an allen IKT-Assets. Wichtig dabei ist eine Verknüpfung zwischen den Assets und den damit verbundenen Services herzustellen.
  • Auswirkungen von Drittanbietern: Die zunehmende Nutzung von Dienstleistungen Dritter führt zu neuen Risiken, die sorgfältig bewertet werden müssen. Um diese Risiken zu warten, ist ein Informationsregister zu erstellen und dieses regelmäßig zu aktualisieren. Hier muss beachtet werden, dass nicht nur Dienstleister, die Services bereitstellen, welche wichtige und kritische Funktionen des Unternehmens unterstützen, sondern alle IKT-Dienstleister innerhalb des Unternehmens betrachtet werden.

Anpassung des internen Kontrollsystems (IKS) an DORA-Anforderungen

Das interne Kontrollsystem muss an die spezifischen Anforderungen angepasst werden, was folgende Aspekte einschließt:

  • Implementierung spezifischer Kontrollen: Zur Erfüllung der DORA-Vorschriften müssen spezifische Kontrollen bzw. Mechanismen im Bereich der IKT-Sicherheit und des Risikomanagements implementiert werden. Beispiele sind: Prüfung der Reaktionszeiten im Falle von Security Incidents, Prüfung der IKT-Assets auf Aktualität, Richtigkeit und Vollständigkeit, Prüfung des Berechtigungskonzepts und Zugriffskontrollen.
  • Überprüfung und Aktualisierung der Unternehmensrichtlinien: Bestehende Anweisungen müssen überprüft und regelmäßig aktualisiert werden, um die Einhaltung von DORA sicherzustellen (Zu welchen Themenbereichen muss es zusätzliche Richtlinien geben?).
  • Integration in das bestehende IKS: Neuen Kontrollen und Prozesse sollen nahtlos in das bestehende interne Kontrollsystem integriert werden.

Sicherstellung der Datenintegrität und -verfügbarkeit

Die Gewährleistung der Integrität und Verfügbarkeit von Daten stellt eine kontinuierliche Herausforderung dar, insbesondere in Anbetracht der steigenden Anzahl und Komplexität von Cyberangriffen. Das beinhaltet:

  • Notfallplanung und Business Continuity Management: Entwicklung und Testen von Notfallplänen, um die Verfügbarkeit von kritischen und wichtigen Systemen und Daten sicherzustellen bzw. wiederherzustellen. Dazu gehören Geschäftsfortführungspläne (GFPs) und Wiederanlaufpläne (WAPs). Innerhalb von GFPs werden in der Regel die zeitkritischen Prozesse je Organisationseinheit dokumentiert und eine dementsprechende Fortführung dieser Prozesse erarbeitet. Bei WAPs wird üblicherweise darauf eingegangen, wie die Ressourcen wiederhergestellt werden, welche essenziell für die zeitkritischen Systeme sind.

Überprüfung der Drittanbieter und Outsourcing-Partnerschaften

Die Abhängigkeit von Drittanbietern und Outsourcing-Partnern bringt zusätzliche Komplexität und Risiken mit sich, die adressiert werden müssen:

  • Risikobewertung von Drittanbietern: Durchführung detaillierter Risikoanalysen und Bewertungen der Sicherheitspraktiken von Drittanbietern und Subdienstleistern (§ 25 BWG) welche bereits durch das BWG verpflichtend sind. Darüber hinaus geht DORA auch auf Subdienstleisterebene (RTS).
  • Vertragsmanagement: Sicherstellung, dass Verträge mit Drittanbietern die wesentlichen Vertragsbestandteile lt. DORA 2022/2554/EU (Art. 28 & 30) sowie etwaige Bestandteile aus Technischen Durchführungsstandards (Subverlagerungen und vertragliche Regelungen zur Nutzung von IKT-Diensten, welche kritische oder wichtige Funktionen unterstützen, die von IKT-Drittanbietern bereitgestellt werden) enthalten.
  • Überwachung und Auditierung: Regelmäßige Überwachung und Auditierung der Leistung und Compliance von Drittanbietern. Wichtig bei der Überprüfung von Dienstleistern sind in der Regel ISAE 3402/3000 Berichte und diverse Zertifizierungen. Jedoch wird man sich vermutlich zukünftig nicht mehr auf diese beiden Arten von Prüfnachweisen auf Dauer verlassen dürfen. Im Rahmen der Überwachung und Auditierung soll stets auf das Three lines of defense Modell geachtet werden. Die interne Revision führt die Überprüfungen der Dienstleister nicht durch, sondern überprüft die erfolgten Maßnahmen, welche im Rahmen des IKT-Dienstleister Managements durch die First und Second line of defense getroffen wurden.
Abbildung 3: Three lines of defense (Quelle: The IIA)
Abbildung 3: Three lines of defense (Quelle: The IIA)

Im nächsten Teil werden wir uns den spezifischen Maßnahmen widmen, die im IT-internen Kontrollsystem (IKS) gesetzt werden sollten, um diesen Herausforderungen zu begegnen.

Maßnahmen im IKS nach DORA

Nach der Implementierung von DORA stehen Finanzinstitute vor der Aufgabe, ihr internes Kontrollsystem (IKS) entsprechend anzupassen bzw. zu erweitern. Diese Anpassungen sind maßgeblich, um die Einhaltung der neuen Vorschriften sicherzustellen und die operationale Resilienz zu stärken. Im Folgenden werden wichtige Maßnahmen erörtert, die im IKS gesetzt werden, und in Folge von der Internen Revision geprüft werden können.

Entwicklung eines Frameworks zur Risikobewertung und -minderung

Ein zentraler Aspekt ist die Entwicklung eines umfassenden Frameworks zur koordinierten Bewertung und Minderung von IKT-Risiken, welches folgende Elemente beinhalten sollte:

  • Risikoidentifikation: Strukturierte Identifikation von IKT-Risiken.
  • Risikobewertung: Bewertung der Risiken hinsichtlich ihrer Wahrscheinlichkeit und potenziellen Auswirkungen.
  • Risikominderung: Entwicklung und Implementierung von Maßnahmen (z.B. Kontrollen) zur Minderung identifizierter Risiken, einschließlich technischer, organisatorischer und personeller Maßnahmen.
  • Restrisiken: Die Wartung einer Restrisikoliste für IKT-Risiken inkl. regelmäßigem Review und Begründung, warum die Risiken akzeptiert wurden.

Implementierung von Kontrollen zur Cyber- und Betriebssicherheit

Verschärfte Maßnahmen werden zudem im Betrieb von IKT-Systemen gefordert. Dazu gehören unter anderem:

  • Betriebsüberwachung: Anforderungen an Backup und Wiederherstellung von Ressourcen, Trennung der Entwicklungs- Test- und Produktivumgebung, Einhaltung von Regeln im Zusammenhang mit Tests, welche in der Produktivumgebung stattfinden.
  • Netzwerksicherheit & Verschlüsselung: Review der Firewall-Regeln mindestens alle sechs Monate, Review der Netzwerkarchitektur, Verschlüsselung von Daten „at rest“, „in transit“ und „in use“, wo anwendbar.
  • Zugriffskontrollen: Implementierung von strengen Zugriffskontrollen, um sicherzustellen, dass nur autorisierte Personen Zugang zu Informationen und Systemen haben (z.B. Least-Privilege).
  • Change-Management: Regelmäßige Code Reviews im Rahmen des Entwicklungsprozesses, Einhaltung der intern definierten Change-Management Prozesse (z.B. Standard, Normal, Emergency)
  • Regelmäßige Sicherheitsaudits und -bewertungen: Durchführung regelmäßiger interner und externer Audits und Bewertungen der Systeme, um Schwachstellen zu identifizieren und zu beheben.

Best Practices für die Zusammenarbeit mit Drittanbietern

Die Zusammenarbeit mit Drittanbietern und Outsourcing-Partnern erfordert besondere Aufmerksamkeit im Rahmen von DORA. Folgende Best Practices sollten beachtet werden:

  • Due Diligence und Risikobewertung: Durchführung gründlicher Due-Diligence-Prüfungen und Risikobewertungen vor dem Beginn von Geschäftsbeziehungen mit Drittanbietern.
  • Vertragsgestaltung: Aufnahme spezifischer Sicherheitsanforderungen und eventuell Standardvertragsklauseln in Verträge mit Drittanbietern.
  • Kontinuierliches Monitoring und Auditierung: Etablierung von internen Prozessen für das kontinuierliche Monitoring und die regelmäßige Auditierung der Drittanbieter, um Compliance und Sicherheitsstandards zu gewährleisten.

Notfall- und Wiederherstellungspläne

Die Entwicklung und regelmäßige Überprüfung von Notfall- und Wiederherstellungsplänen ist entscheidend, um die Kontinuität der Geschäftstätigkeit zu gewährleisten. Diese Pläne sollten umfassen:

  • Business Continuity Planning (BCP): Erstellung von Plänen zur Aufrechterhaltung der Geschäftstätigkeit bei IT-Ausfällen oder Cyberangriffen.
  • Desaster Recovery Planning (DRP): Entwicklung von Strategien zur schnellen Wiederherstellung von IT-Systemen und Daten nach einem Vorfall.
  • Regelmäßige Tests und Übungen: Durchführung regelmäßiger Tests und Übungen der Notfall- und Wiederherstellungspläne, um ihre Effektivität zu gewährleisten. Die Verordnung fordert hier eine Reihe von Szenarien wie zum Beispiel Cyberangriffe, Nichtverfügbarkeit von kritischem Personal, Insider Angriffen, uvm.

Die Implementierung dieser Maßnahmen im IT-IKS ist eine kontinuierliche Aufgabe, die eine enge Zusammenarbeit zwischen den „Three lines of defense“ und dem Management erfordert. Durch die proaktive Anpassung an die Anforderungen von DORA können Finanzinstitute nicht nur regulatorische Strafen vermeiden, sondern auch ihre operationale Resilienz gegenüber einer Vielzahl von Bedrohungen stärken.
Im nächsten Teil werden wir uns Themen und Empfehlungen für die Interne Revision widmen, die bei der Umsetzung und Überwachung von DORA beachtet werden sollten.

Umgang mit technologischem Wandel und Innovation

Die schnelle Entwicklung von Technologien stellt eine kontinuierliche Herausforderung für die Einhaltung von DORA dar, insbesondere in Bezug auf die Bewertung neuer Risiken und die Anpassung der Kontrollen.

  • Empfehlung: Entwickeln Sie einen Prozess für die kontinuierliche Beobachtung und Bewertung technologischer Innovationen und Trends. Dies sollte eine regelmäßige Überprüfung und gegebenenfalls Anpassung des IKS und der Risikomanagementstrategien umfassen, um neue Risiken proaktiv zu erfassen und zu adressieren.

Themen und Empfehlungen für die Interne Revision

Die erfolgreiche Umsetzung und Aufrechterhaltung der Anforderungen des Digital Operational Resilience Act erfordert von der internen Revision nicht nur eine umfassende Überwachung der IKT- und Sicherheitsmaßnahmen, sondern auch ein proaktives Engagement für die kontinuierliche Verbesserung der operationalen Resilienz. Hier sind Themen und Empfehlungen, die interne Auditoren in diesem Kontext beachten sollten.

Schaffung einer Resilienzkultur und Förderung von Risikobewusstsein

Interne Auditoren spielen eine entscheidende Rolle bei der Gewährleistung, dass ihre Organisationen nicht nur die Anforderungen von DORA erfüllen, sondern auch eine Kultur der Resilienz und des Risikobewusstseins fördern.

  • Empfehlung: Arbeiten Sie eng mit dem Management und den IT-Abteilungen zusammen, um eine ganzheitliche Sicht auf die operationale Resilienz zu fördern. Dies beinhaltet die Unterstützung bei der Entwicklung effektiver Strategien zur Risikominderung, die Durchführung unabhängiger Überprüfungen und die Bereitstellung strategischer Einblicke, um die Widerstandsfähigkeit der Organisation zu stärken.

Integration von DORA in die reguläre Risikoüberwachung

DORA sollte nicht als isoliertes Projekt betrachtet werden, sondern als integraler Bestandteil der regelmäßigen Risikoüberwachungs- und Bewertungsprozesse der Organisation.

  • Empfehlung: Stellen Sie sicher, dass die durch DORA vorgeschriebenen Risikomanagementpraktiken und -kontrollen in die regelmäßigen Risikobewertungszyklen der internen Revision integriert werden. Dies beinhaltet die Anpassung von Auditplänen, um spezifische DORA-Aspekte regelmäßig zu überprüfen und zu bewerten.
    Die Anpassung an die Anforderungen von DORA und die Stärkung der operationalen Resilienz sind fortlaufende Prozesse. Interne Auditoren müssen daher aktiv bleiben, sich kontinuierlich weiterbilden und eng mit anderen Organisationseinheiten zusammenarbeiten, um zu gewährleisten, dass ihr Institut nicht nur compliant ist, sondern auch gut auf zukünftige Herausforderungen und aufsichtsrechtliche Prüfungen vorbereitet ist.

Fazit

Die Einführung des Digital Operational Resilience Act markiert einen wesentlichen Schritt hin zu einer stärkeren und ganzheitlichen digitalen operationalen Resilienz im europäischen Finanzsektor. Für die interne Revision von Finanzinstituten bringt diese regulatorische Veränderung sowohl Herausforderungen als auch Chancen mit sich. Durch die Überwachung der Einhaltung der Verordnung können sie einen wesentlichen Beitrag zur Stärkung der Sicherheit, Stabilität und Widerstandsfähigkeit ihrer Organisationen leisten.

Die Themen, die in diesem Beitrag diskutiert wurden, unterstreichen die Notwendigkeit einer proaktiven, informierten und integrierten Herangehensweise an die operationale Resilienz. Die Integration von DORA in die reguläre Risikoüberwachung, der Umgang mit technologischem Wandel und die enge Zusammenarbeit mit dem Management und den IT-Abteilungen sind wichtig für den Erfolg in dieser neuen regulatorischen Landschaft.

Die Revision steht an vorderster Front, um sicherzustellen, dass ihre Organisationen nicht nur auf dem Papier compliant sind, sondern tatsächlich widerstandsfähig gegenüber den vielfältigen und sich wandelnden Cyberbedrohungen. Die Rolle der internen Revision wird zunehmend strategischer, da sie nicht nur als Prüfer, sondern auch als Partner für das Management fungiert, um die digitale operationale Resilienz zu fördern.

Die Implementierung von DORA ist kein einmaliges Projekt, sondern ein sich weiterentwickelnder Prozess, der ständige Anpassung und Verbesserung erfordert. In einer Welt, in der die digitale Transformation weiterhin rasant voranschreitet, wird die Fähigkeit einer Organisation, operational resilient zu sein, für Viele ein Wettbewerbsvorteil. Interne Auditoren spielen eine Schlüsselrolle bei der Sicherung dieses Vorteils, indem sie ein tiefes Verständnis für die Risiken und Herausforderungen entwickeln und ihre Organisationen durch die komplexe Landschaft der digitalen operationalen Resilienz leiten.

Zusammenfassend lässt sich sagen, dass DORA den Finanzsektor stärker und widerstandsfähiger gegenüber digitalen Risiken machen wird. Für interne Auditoren bietet dies Gelegenheit, ihre Fähigkeiten zu erweitern, ihre Rolle innerhalb ihrer Organisationen zu stärken und einen wichtigen Beitrag zur langfristigen Sicherheit und des Erfolgs ihres Unternehmens zu leisten.

Die Herausforderung besteht darin, sicherzustellen, dass diese Maßnahmen nicht nur den gesetzlichen Anforderungen entsprechen, sondern auch tatsächlich zur Stärkung der operationalen Resilienz beitragen.

Damit schließen wir unseren umfassenden Blogbeitrag zum Thema Digital Operational Resilience Act aus der Sicht der internen Revision ab. Wir haben die Herausforderungen, Maßnahmen und Themen, die nach der Implementierung von DORA entstehen können, betrachtet und Empfehlungen für eine erfolgreiche Anpassung und kontinuierliche Verbesserung der operationalen Resilienz gegeben. Einige finale Rechtsakte werden noch erscheinen, jedoch wird sich am grundlegenden Inhalt vermutlich nicht viel ändern. Daher sollten wir bereits jetzt schon bei der Analyse und Überprüfung möglicher Gaps unterstützen. Dieser Beitrag soll interne Auditoren dabei unterstützen, ihre Organisationen durch die Anforderungen und Möglichkeiten, die DORA mit sich bringt, zu navigieren und einen wertvollen Beitrag zur Stärkung der digitalen operationalen Resilienz zu leisten.

Am 09. Januar 2024 wurden die „Global Internal Audit Standards“ vom Institute of Internal Auditors (IIA) veröffentlicht, nachdem tausende Personen weltweit an einem mehrjährigen Projekt beteiligt waren. Die Standards treten ein Jahr nach ihrer Veröffentlichung in Kraft, also am 9. Januar 2025. Es besteht kein Grund zu übertriebener Eile, aber Interne Revisor:innen sollten sich proaktiv mit den wichtigsten Änderungen auseinandersetzen. In welchen Bereichen könnte es Abweichungen geben, und welche dieser Abweichungen sollten in den Aktionsplänen Priorität erhalten? Und vor allem: Was müssen Sie kurzfristig wissen?

Mit 119 Seiten sind die Standards keine leichte Lektüre, aber das IIA hat auch eine gekürzte Version herausgegeben, die nur die verbindlichen Leitlinien enthält und die Seitenzahl um die Hälfte reduziert. Vor diesem Hintergrund haben wir die Standards überprüft, um die wichtigsten Änderungen zu ermitteln, die unserer Meinung nach alle Internen Revisor:innen kennen sollten.

Bevor wir in die Materie eintauchen, sollten wir dem International Internal Audit Standards Board (IIASB) unsere Anerkennung für die harte Arbeit, die Konzentration und die sorgfältigen Überlegungen aussprechen, die es in diesen Prozess gesteckt hat. Die Forschungs- und Öffentlichkeitsarbeit zur Weiterentwicklung des International Professional Practices Framework (IPPF) begann 2019 und gipfelte im März 2023 in der Veröffentlichung des Entwurfs der Standards zur öffentlichen Diskussion und Stellungnahme. Artikel, Blogs und Diskussionen in den sozialen Medien häuften sich; wir selbst haben sechs vorgeschlagene Änderungen in einem Blog im April 2023 vorgestellt.

Kurz gesagt, Interne Revisor:innen und andere Stakeholder weltweit haben sich Gehör verschafft – und das IIASB hat zugehört. Das IIASB ist auf die Bedenken und Hauptthemen eingegangen, die sich aus rund 19.000 Kommentaren und mehr als 60 eingelangten Schreiben ergaben, darunter auch diejenigen, die wir bereits in unserem Blog aus dem Jahr 2023 vorgestellt haben. Wir schreiben heute nicht, um die endgültigen Standards zu analysieren oder in Frage zu stellen, sondern um das Bewusstsein für die wichtigsten Änderungen und möglichen kurzfristigen Auswirkungen zu schärfen.

1. Neue Betonung des Dienstes am öffentlichen Interesse

In der Einleitung zu den neuen Standards heißt es, dass das IIA „sich verpflichtet, Standards unter Einbeziehung der Öffentlichkeit und zum Nutzen der Öffentlichkeit zu setzen“, und dass das IIASB „für die Erstellung und Pflege der Standards im Interesse der Öffentlichkeit verantwortlich ist“. In der „Zielsetzung der Internen Revision“ in der Domain I wird betont, dass die Interne Revision die „Fähigkeit der Organisation, dem öffentlichen Interesse zu dienen“, stärkt. Dieser neue Zweck stellt eine nicht triviale Weiterentwicklung des IPPF-Leitbilds dar, das beschreibt, was die Interne Revision in ihren Organisationen erreichen will, indem es eine wichtige Ebene hinzufügt, warum wir tun, und was wir tun. Im Kontext der Internen Revision bezieht sich der Begriff „dem öffentlichen Interesse dienen“ in der Regel auf die Erwartung, dass Interne Revisor:innen in einer Weise handeln sollten, die der Öffentlichkeit insgesamt und nicht nur ihrer eigenen Organisation zugutekommt. Dazu gehört die Gewährleistung von Transparenz, Rechenschaftspflicht und Good Governance in den von ihnen geprüften Organisationen.

Die Standards erkennen den kontextspezifischen Charakter von Fragen des öffentlichen Interesses an und ermutigen dazu, kulturelle Normen und Werte, Ethik, Fairness und mögliche Auswirkungen zu berücksichtigen. Revisionsleiter:innen, die für globale Organisationen tätig sind, können dennoch vor Herausforderungen stehen, da unterschiedliche Auffassungen darüber bestehen, was das Interesse und das Wohlergehen von Gesellschaften auf der ganzen Welt ausmacht.

2. Andere Struktur – logischer und nahtloser

Das natürliche Wachstum des IPPF hatte zu einem „Flickwerk“ geführt, das für einige schwer zu durchschauen war. Durch einen Neuanfang ist es dem IIASB gelungen, alle Schlüsselkomponenten des alten IPPF in eine logischere und intuitivere Struktur zu integrieren. Es gibt jetzt 52 Standards, die in fünf Domains unterteilt sind:

I. Zielsetzung der Internen Revision,
II. Ethik und Professionalität (ersetzt einen eigenständigen Ethikkodex),
III. Governance der Internen Revision,
IV. Leitung der Internen Revision und
V. Erbringung von Revisionsleistungen.

Diese Bereiche umfassen insgesamt 15 Prinzipien; auf alle Prinzipien folgen die zugehörigen Standards (die obligatorischen „Anforderungen“) und die zugehörigen Leitlinien, die als „Überlegungen zur Umsetzung“ bezeichnet werden.

Die neuen Standards ändern die gesamte Struktur und das Nummerierungssystem des IPPF, so dass Revisionshandbücher, Richtlinien, Prozesse und Verfahren, Software, Arbeitsblätter und andere Dokumente, die auf die alten IPPF-Abschnitte und das Nummerierungssystem verweisen, aktualisiert werden müssen. Darüber hinaus kann die Integration von Anforderungen und Anleitungen unter dem Banner der Standards – abgesehen davon, dass ein recht langes und kompliziertes Dokument entsteht – zu Verwirrung über obligatorische und empfohlene Verfahren führen. Letztendlich macht die neue Struktur das Auffinden der benötigten Definitionen, Anforderungen und Anleitungen jedoch intuitiver.

3. Mehr präskriptive Normen

Wir alle verstehen die grundlegende Beziehung zwischen „Richtlinien“ und „Verfahren“. Richtlinien erklären, was erwartet wird, und Verfahren geben detaillierte Anweisungen, wie die Richtlinien ausgeführt werden. Diese Analogie hilft uns, eine grundlegende Veränderung vom alten IPPF zu den neuen Standards zu verstehen. Im Allgemeinen legte das IPPF Grundsätze (Richtlinien) fest, die von den CAEs umzusetzen waren, und die CAEs entschieden, welche Verfahren sie anwenden wollten. Die neuen Standards enthalten jedoch häufig spezifische Verfahren als Standards, so dass sowohl Grundsätze als auch Verfahren gleichzeitig erforderlich sind.

Der Entwurf aus dem Jahr 2023 löste eine heftige Diskussion über diesen erhöhten Vorschriftscharakter aus. Der Entwurf hatte das alte IPPF durch neu formulierte Grundsätze ersetzt, gefolgt von umfangreichen Regeln, die fast alle als „Muss“ bezeichnet wurden. Während die endgültigen Standards die Anzahl der „Muss“-Vorschriften aus dem Entwurf stark reduzieren, enthalten sie immer noch mehr spezifische Anforderungen als das vorherige IPPF. CAEs sollten sich die Zeit nehmen, jeden Standard durchzulesen – vor allem in der Domain V (Erbringung von Revisionsleistungen) – um zu bestätigen, dass die genannten Anforderungen die aktuellen Praktiken widerspiegeln, oder die Praktiken bei Bedarf zu aktualisieren.

4. Weniger Unterscheidung zwischen Prüfungs- und Beratungsanforderungen

Während das alte IPPF klar zwischen Anforderungen für „beratende“ Tätigkeiten unterschied, gelten die neuen Standards sowohl für Prüfungs- als auch für Beratungsleistungen, sofern in den einzelnen Standards nichts anderes festgelegt ist.

In den Antworten auf die Umfrage zum Entwurf wurde die Notwendigkeit einer genaueren und konsistenteren Unterscheidung zwischen den Anforderungen für Prüfungs- und Beratungsaufträgen als eines der wichtigsten Themen genannt. Das IIASB hat daraufhin einige Änderungen vorgenommen. Die Einleitung zur Domain V (Erbringung von Revisionsleistungen) und ausgewählte Standards der Domain V enthalten nun begrenzte Kommentare zur Anwendung auf Beratungsaufträge (siehe 13.2, 13.3, 13.4, 13.6, 14.2 und 14.5). Für CAEs, die eine Vielzahl von Beratungsleistungen erbringen, kann es jedoch eine Herausforderung sein, alle genannten Anforderungen zu erfüllen, insbesondere wenn die Beratungstätigkeit keine Prüfung beinhaltet, wie z. B. bei Moderation, Schulung oder Vorschlägen zu möglichen Änderungen der Unternehmensrichtlinien. Vor allem bestimmte Anforderungen der Domain V dürften sich als schwierig erweisen.

5. Stärkere Betonung der Strategie der Internen Revision, des Aufbaus von Beziehungen und der Kommunikation

Es wurden einige neue Standards geschaffen, die vorher nicht explizit existierten, darunter Standard 9.2 (Strategie der Internen Revision), Standard 11.1 (Aufbau von Beziehungen und Kommunikation mit Stakeholdern) und Standard 12.2 (Leistungsmessung). Wir wissen, dass sich einige Interne Revisionen in der Vergangenheit mit diesen Bereichen befasst haben. Die AuditBoard-Umfrage 2024 „Focus on the Future“ ergab jedoch, dass nur eine von fünf Stellen über einen „umfassenden, gut dokumentierten strategischen Plan“ für die nächsten drei bis fünf Jahre verfügt.

Die neuen Standards erheben dies zu obligatorischen Anforderungen und erzwingen damit wohl einen strategischeren Ansatz für die Internen Revisionen. Den CAEs wird empfohlen, die einschlägigen Standards sorgfältig zu lesen und zu prüfen, ob die neuen Anforderungen erfüllt sind. Möglicherweise sind zusätzliche Details oder Unterlagen erforderlich, um die Konformität nachzuweisen.

Die Standards stellen auch höhere Erwartungen an die Kommunikation der CAEs mit dem Vorstand und der Geschäftsleitung und enthalten klare Vorgaben für die Erörterung bestimmter Angelegenheiten. Viele CAEs werden daher tiefgreifendere und umfassendere Diskussionen führen, als sie es in der Vergangenheit getan haben. In den Anforderungen der Standards für die Domain III (Governance der Internen Revision) werden mehrere „Muss“-Anforderungen für die CAE definiert und bestimmte Tätigkeiten des Leitungs- und Überwachungsorgans und der Geschäftsleitung als „wesentliche Voraussetzungen“ für die Fähigkeit der Internen Revision, den „Zweck der Internen Revision“ zu erfüllen, beschrieben. Wenn der Vorstand oder die oberste Leitung mit den wesentlichen Bedingungen nicht einverstanden ist, muss der CAE nachfassen (d.h. Feedback, Dokumentation).

6. Neue Betonung der Leistungsmessung

Wie bereits erwähnt, verlangt ein neuer Standard (12.2), dass der CAE Ziele zur Bewertung der Leistung der Funktion entwickelt und bewertet, wobei die Beiträge und Erwartungen des Vorstands und der Geschäftsleitung zu berücksichtigen sind. Der Standard schreibt keine spezifischen Leistungsziele vor, aber die entsprechenden Leitlinien enthalten Beispielkategorien wie Prüfungsabdeckung, umgesetzte Aktionspläne, Zufriedenheit der Stakeholder, Prozentsatz der überprüften Schlüsselrisiken und -kontrollen der Organisation usw. Da die „Leistungsmessungsmethodik“ der CAE „die kontinuierliche Verbesserung der Internen Revision fördert“ und gleichzeitig die Fortschritte bei der Erreichung der Ziele der Internen Revision bewerten muss, scheint es von entscheidender Bedeutung zu sein, messbare Kennzahlen in den neu vorgeschriebenen Strategieplan einzubetten.

Für CAEs wird es auch wichtig sein, ihre Leistungsziele mit den Standards abzugleichen, da die Gefahr besteht, dass sie nicht übereinstimmen. Während der Vorstand beispielsweise davon ausgeht, dass das Ziel der Fertigstellung des Prüfungsplans bis zum Jahresende notwendig ist, verlangen die Standards von den Prüfern eine kontinuierliche Risikobewertung und eine entsprechende Anpassung der Pläne. Die Fertigstellung des Plans muss gegen eine flexible und risikoorientierte Vorgehensweise abgewogen werden.

7. Höhere Messlatte für Quality Assessments

Die Standards für die Qualitätsbewertung sowohl für interne als auch für externe Prüfungen haben sich in wichtigen Punkten geändert. Bei beiden Arten von Bewertungen muss nun nicht nur die Einhaltung der Standards, sondern auch die Erreichung der Leistungsziele berücksichtigt werden. Außerdem müssen die CAEs bei externen Bewertungen sicherstellen, dass der unabhängige Assessor oder mindestens ein Mitglied des Assessment Teams über einen aktiven Titel als CIA (Certified Internal AuditorⓇ) verfügt.

Für einige CAEs wird es eine Herausforderung sein, die Umsetzung der neuen Standards bis Januar 2025 abzuschließen. Dementsprechend können CAEs, deren externe Prüfungen im Jahr 2025 anstehen, die Prüfungen nach den alten IPPF-Anforderungen in das Jahr 2024 vorziehen. Diese CAEs sollten auch „Gap Assessments“ im Jahr 2024 in Betracht ziehen, um den Übergang zu den neuen Standards zu erleichtern.

Verpflichtung zu einer sinnvollen Transformation

Für CAEs ist die Veröffentlichung der neuen Standards durch das IIA der Anfang – nicht das Ende – des Prozesses zur Sicherstellung der Konformität. Mit weniger als einem Jahr bis zum Ablauf der Frist für die vollständige Übernahme sollte die Sicherstellung der Konformität in jeder Internen Revisions-Funktion oberste Priorität haben. Wir glauben, dass CAEs zumindest die folgenden Schritte unternehmen sollten:

  1. Überprüfung und Verständnis der neuen Anforderungen in den Standards.
  2. Durchführung einer „Lückenanalyse“, um das Ausmaß der derzeitigen Konformität festzustellen.
  3. Identifizierung der wichtigsten Maßnahmen, die zur Erreichung der vollständigen Konformität erforderlich sind.
  4. Erstellung eines Projektplans zur Behebung von Konformitätslücken mit Meilensteinen und Erfolgsmessungen.
  5. Informieren Sie die wichtigsten Stakeholder über die neuen Anforderungen und halten Sie sie über die Maßnahmen auf dem Laufenden, die zur Erreichung der Konformität ergriffen werden.
  6. Führen Sie ein „Readiness Assessment“ durch, um die Konformität bis 2025 zu beurteilen.

Auch wenn sich der Aufwand, der im nächsten Jahr betrieben werden muss, für die ohnehin schon überlasteten Internen Revisionen wie eine schwere Last anfühlen mag, wird sich die Mühe lohnen. Unsere professionellen Standards unterscheiden uns von einer Vielzahl anderer Risiko- und Überwachungsfunktionen. Konformität ist unabdingbar.

Dieser Fachartikel wurde von Patty Miller und Richard Chambers am 14. Februar 2024 auf www.auditboard.com/blog/7-things-every-internal-auditor-should-know-about-the-new-standards/ veröffentlicht. Wir bedanken uns für die Erlaubnis, diesen Beitrag als deutsche Übersetzung veröffentlichen zu dürfen.

Sie können Ihre Ansichten auch an Richard Chambers direkt richten: blogs@richardchambers.com.

(c) 2023 Richard F Chambers – Übersetzung: Thomas Schwalb

Am 23. und 24. Januar 2024 fand an der Akademie für Interne Revision in Wien das Praxisseminar „Das Zusammenspiel von Corporate Compliance und Interner Revision“ statt. Das Seminarziel war es, die Synergien der Zusammenarbeit von Compliance und Interner Revision aufzuzeigen und Compliance-Prozesse darzustellen, in denen die Interne Revision mit ihrer Arbeit Effizienz- und Effektivitätssteigerungen bewirken kann. Dabei wurden folgende Seminarinhalte anhand von Vorträgen, Fallbeispielen, Erfahrungsberichten aus der Praxis und Gruppenarbeiten vermittelt:

  • Grundlagen von Compliance-Management-Systemen
  • Interne Compliance-Untersuchungen
  • Compliance-Prüfungen und -Audits von Geschäftspartnern
  • Compliance-Kontrollen und -Assessments
  • Compliance-Prozessaudits
  • Fallstudien und Praxistipps

Dieser Artikel bietet einen Überblick über die Seminarinhalte hinsichtlich des effektiven Zusammenspiels zwischen Corporate Compliance und Interner Revision sowie darüber, wie sie gemeinsam zur Stärkung der Unternehmensintegrität beitragen können.

1. Definition und Grundlagen von Corporate Compliance

Corporate Compliance bedeutet Regeltreue bzw. Regelkonformität. Das umfasst die Einhaltung, Steuerung und Kontrolle von gesetzlichen und unternehmenseigenen Regelungen bei der Erfüllung der betrieblichen Aufgaben. Compliance ist aufgrund drohender Rekordgeldbußen und Schadenersatzforderungen in Millionenhöhe bei Compliance-Verstößen von großer Bedeutung. Immer mehr Unternehmen führen daher Compliance-Management-Systeme (CMS) ein, um derartigen Konsequenzen und Reputationsverlusten entgegenzuwirken.

Der Ausgangspunkt für alle Unternehmen ist jedoch gleich: Sie müssen sicherstellen, dass alle einschlägigen Vorschriften beachtet werden. Im Einzelnen ist die Ausgestaltung eines CMS immer unternehmensindividuell vorzunehmen, abhängig von der Branche, in der das Unternehmen tätig ist, aber auch von seiner Größe, Komplexität sowie seiner nationalen und internationalen Positionierung. Compliance in einem Kreditinstitut muss anders aussehen als in einem Pharmaunternehmen, bei einem internationalen Konzern, bei einem mittelständischen Familienunternehmen oder bei einem Unternehmen, das nur am heimischen Markt auftritt.

Demzufolge kann die Einhaltung von Compliance-Anforderungen, die aufgrund der vielen und unterschiedlichen Gesetze, Regelungen und Standards Organisationen auf lokaler, nationaler, internationaler und branchenweiter Ebene betreffen, eine Herausforderung sein. Die Nichteinhaltung kann zu steuerlichen, zivilrechtlichen oder sogar strafrechtlichen Sanktionen führen. Darüber hinaus bringen Rechtsverstöße auch wirtschaftliche Risiken mit sich; im Extremfall kann das bestandsgefährdend für das Unternehmen sein. Außerdem entwickeln sich Gesetze, Vorschriften und Standards ständig weiter. Somit wird Compliance zu einem kontinuierlichen Prozess und ist nicht nur ein einmaliges Projekt.
Ein risikobasierter Ansatz für das CMS ist wichtig. Dies bedeutet, dass ein Unternehmen entscheiden muss, welche Anforderungen, Bedürfnisse und Erwartungen es hat. Die Bedürfnisse im Hinblick auf Compliance-Anforderungen sind anhand der Identifizierung von Compliance-Risiken durch Bezugnahme auf Compliance-Verpflichtungen für seine Aktivitäten, Produkte, Dienstleistungen und relevanten Aspekte seiner Organisation zu eruieren. Ziel dabei ist es, Situationen zu ermitteln, in denen Nichteinhaltung möglicherweise auftreten kann. Bei der Risikobewertung wird festgelegt, welche Risiken die Organisation akzeptieren kann und will. Dabei können die Risiken priorisiert werden und dienen als Grundlage für die Bestimmung des Bedarfs an Kontrollmaßnahmen.

Das Ziel eines CMS muss sein, Compliance-Verstöße zu reduzieren oder ganz zu vermeiden. Somit ist es die Aufgabe der Unternehmensleitung, Risiken aus Compliance-Verstößen zu identifizieren, zu bewerten und zu managen, um diesen möglichst schon präventiv zu begegnen.

2. Definition und Grundlagen der Internen Revision

Die Interne Revision bietet unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, um Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Durch ihre systematische und zielgerichtete Herangehensweise bewertet sie die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse.
Als wesentlicher Bestandteil des internen Kontrollsystems trägt die Interne Revision dazu bei, Risiken zu identifizieren, Betrug zu verhindern und die Unternehmensziele sicherzustellen. Unabhängigkeit und Objektivität sind dabei von entscheidender Bedeutung. Sie prüft nicht nur die internen Kontrollen, sondern auch Governance-Strukturen und -Prozesse, um sicherzustellen, dass diese den Best Practices entsprechen.

3. Gemeinsame Ziele und Zwecke

Corporate Compliance und Interne Revision streben gemeinsam danach, Unternehmensintegrität zu gewährleisten, transparente Geschäftspraktiken zu fördern und das Risikomanagement zu verbessern.

Gemeinsamkeiten der beiden Abteilungen können im Überblick sein:

  • Überwachungsfunktion (Interne Revision und Compliance-Organisation sind Teil des Überwachungssystems)
  • Prüfende und beratende Tätigkeit
  • Recht auf Auskünfte und Dokumenteneinsicht im Unternehmen
  • Risikominimierende und präventive Wirkung
  • Compliance-Thema ist ein wichtiges Prüfgebiet der Internen Revision
  • Compliance-Management ist oft in der Internen Revision angesiedelt
  • Unterstützung der Unternehmensleitung
  • Regelmäßige Berichterstattung an die Unternehmensleitung
  • Unterstützung durch die Unternehmensleitung ist wichtig („tone-from-the-top“)

Corporate Compliance und Interne Revision sind zwei unterschiedliche, aber miteinander verbundene Konzepte im Bereich der Unternehmensführung und -kontrolle. Konkrete Ziele der beiden Abteilungen beinhalten auch die Verhinderung und Aufdeckung von Verstößen gegen interne und externe Vorgaben.

In vielen Organisationen arbeiten die beiden Funktionen zusammen, um sicherzustellen, dass das Unternehmen sowohl die gesetzlichen Anforderungen einhält als auch über wirksame interne Kontrollen verfügt.

4. Risikomanagement und Zusammenarbeit

Corporate Compliance und Interne Revision können ebenso zusammenarbeiten, um potenzielle Risiken zu erkennen. Dies ermöglicht eine proaktive Herangehensweise an die Risikominimierung und -prävention.

Überblick gemeinsamer Themenbereiche:

  • Früherkennung von Risiken: Mit der Zusammenarbeit von Corporate Compliance und Interne Revision werden potenzielle Risiken frühzeitig identifiziert, bevor sie zu ernsthaften Problemen werden.
  • Gemeinsame Datenanalyse: Durch den Austausch von Daten und Informationen verbessern beide Funktionen ihre Fähigkeit, Unternehmensdaten zu analysieren und fundierte Entscheidungen zu treffen. Diese effiziente Überwachung unterstützt die Compliance-Abteilung dabei, ihre Maßnahmen zu optimieren und sicherzustellen, dass alle relevanten Vorschriften eingehalten werden.
  • Effiziente Überwachung von Compliance-Maßnahmen: Die Interne Revision unterstützt die Compliance-Abteilung dabei, die Wirksamkeit ihrer Maßnahmen zu überwachen und sicherzustellen, dass relevante Vorschriften eingehalten werden.
  • Kontinuierliche Verbesserung: Durch regelmäßige Kooperation können beide Funktionen ihre Prozesse optimieren und sich kontinuierlich an neue rechtliche Anforderungen sowie geschäftliche Herausforderungen anpassen.

Um ein Verständnis der geltenden Compliance-Anforderungen zu gewährleisten, ist eine klare Kommunikation zwischen der Compliance und der Revisionsabteilung erforderlich. Die Revisionsabteilung sollte über Änderungen in den Vorschriften auf dem Laufenden gehalten werden, und die Compliance-Abteilung sollte regelmäßiges Feedback von der Internen Revision erhalten, um eine kontinuierliche Verbesserung des CMS basierend auf den gewonnenen Erkenntnissen zu ermöglichen.

Da sich die Interne Revision grundsätzlich durch betriebswirtschaftliches Know-how und die Kenntnisse der innerbetrieblichen Strukturen sowie Prozesse auszeichnet, können beispielsweise interne Compliance-Untersuchungen und Reviews federführend von dieser durchgeführt werden. Diese sollte sich wiederum mit der Compliance- und Rechtsabteilung hinsichtlich der Bewertung der Untersuchungsergebnisse abstimmen.

Im Falle einer Zusammenarbeit bei einer Compliance-Untersuchung sollten gemeinsame Ziele für die interne Untersuchung definiert werden, um sicherzustellen, dass diese effizient und effektiv durchgeführt wird. Klar definierte Rollen sind wichtig, um Doppelarbeiten zu vermeiden. Bei komplexen rechtlichen Angelegenheiten sollten sowohl die Compliance- als auch die Interne Revisionsabteilung auf juristische Expertise zurückgreifen, um sicherzustellen, dass die Untersuchung rechtskonform durchgeführt wird. Das Ziel dabei ist es, die Wahrheitsfindung zu unterstützen und Compliance-Verstöße aufzudecken. Es ist von Vorteil, gemeinsame Berichte und Empfehlungen zu erstellen, um die Geschäftsführung über die Ergebnisse der internen Untersuchung zu informieren.

5. Organisatorische Ausgestaltung

Bei der Zusammenarbeit zwischen Interner Revision und Compliance ist es wichtig, dass die Funktionstrennung anhand des „Lines of Defense“-Modells eingehalten wird. Dieses Modell definiert klar die Erwartungen der Aufsicht an das interne Überwachungssystem und soll wie folgt abgebildet werden:

  • Erste Verteidigungslinie: Das operative Management ist für die Identifizierung, Bewertung, Kontrolle und Reduzierung von Risiken im Rahmen des Tagesgeschäfts verantwortlich. Es gewährleistet auch die Übereinstimmung der Aktivitäten mit den Unternehmenszielen.
  • Zweite Verteidigungslinie: Diese umfasst Risikomanagement-, Controlling- und Compliance-Funktionen, um die von der ersten Verteidigungslinie konzipierten Kontrollen zu erweitern und zu überwachen.
  • Dritte Verteidigungslinie: Die Revision fungiert als objektive und von den operativen Themen unabhängige Prüfungsinstanz. Sie unterstützt die Geschäftsleitung, Führungskräfte und Überwachungsinstanzen und stellt Sicherheit über die Angemessenheit und Wirksamkeit der Überwachungs-, Risikomanagement- und Kontrollstrukturen bereit.

Themen wie Datenschutz, Informationssicherheit und Compliance fallen in die Zuständigkeit der zweiten Verteidigungslinie (Risikomanagement, Controlling und Compliance-Funktionen), nicht jedoch in die der Revision als dritte Verteidigungslinie. Die Revision prüft unabhängig, ob die Verantwortlichen ihre Aufgaben wahrgenommen und kontrolliert haben. Damit werden eine Art Gewaltenteilung und mehrstufige Kontrollmechanismen im Unternehmen etabliert.

6. Fazit

Um den wachsenden Anforderungen an Unternehmensintegrität und -performance gerecht zu werden, ist eine enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision von entscheidender Bedeutung. Die enge Zusammenarbeit zwischen Corporate Compliance und Interner Revision schafft eine robuste Tandemstrategie, die nicht nur die Einhaltung von Vorschriften gewährleistet, sondern auch die Effizienz steigert und das Vertrauen der Stakeholder stärkt. Diese koordinierte Anstrengung bildet die Grundlage für eine nachhaltige und erfolgreiche Unternehmensführung.

Zusammenfassend zeigt dieser Artikel, dass das Zusammenspiel von Corporate Compliance und Interner Revision eine entscheidende Rolle für den langfristigen Erfolg eines Unternehmens spielt. Durch die Integration dieser beiden Funktionen können Unternehmen nicht nur rechtlichen Anforderungen gerecht werden, sondern auch eine robuste Grundlage für Integrität, Effizienz und Risikomanagement schaffen.

Are stakeholder relationships a win-or-lose game for internal auditors? The question has intrigued me ever since I started working in the profession. When you deal with so many different people, from so many corners of the business world, across all hierarchies, with a huge variety of backgrounds, from different cultures, with their personal objectives in mind, and all with special ideas about what to expect from the internal auditor, conflicts are inevitable. Adding the perception of our role which does not always fit with what we like to believe we are doing all day long, and you may start wondering how to survive in the stakeholder jungle. Whether you are new in the profession or an old hand, handling stakeholders is a constant challenge.

At the same time, complexity is rising – but so are expectations. We are expected to assure, advise, consult, still tick one or another box (although no one likes to say so anymore), have a clear internal audit strategy, be the eyes and ears of the audit committee, act with courage and honesty by telling the truth when facing dilemmas, and all that obviously without compromising on our independence and objectivity.

For internal auditors, 2024 is certainly not a year to stay complacent – nor a year for a me-against-the-world approach. Without developing sound, supportive, and sustainable stakeholder relationships we won´t cross the finish line. We need alliances to survive the stakeholder jungle. Alliances aren´t built alone out of the corner office. They require collaboration. By acting strategically and staying true to themselves, internal auditors have a chance to develop business relationships built on trust – in other words, authentic sustainable stakeholder alliances.

Endless touchpoints: the stakeholder landscape

Why does it sometimes feel so complex to handle – in an appropriate manner! – all those many business relationships we have in internal audit? It´s due to two main reasons: our stakeholders come in large numbers, and the variety of touchpoints with all of them is massive, providing ample opportunity for challenges. It´s that octopus feeling – you are juggling in all directions, but you easily could do with another set of eight arms.

When trying to list all possible stakeholders for internal audit, it helps to have a simple definition. ChatGPT did a nice job when asked to define a stakeholder in less than eight words: “interested party in a project or an organization”.

Internal stakeholders galore: Start at the top! Your board, audit committee, or whatever is your set-up, is one of the most important stakeholders you may ever have. Be it through reporting lines, one-to-ones, committee meetings, interview partners for your quality assessment, or your client in a culture audit – there are lots of important touchpoints with the governing body. Look further around in your organization. Virtually everyone at some point could become an “interested party” during one of your audits, regardless of hierarchy or role.

On the first line of defense, next to your possible reporting line to someone in the C-suite, the entire management team, central or local, in fact, all the “do´ers”, be it executives or operations, typically could be your client. Also, the entire second line – for example, Legal, Compliance, Risk, Controlling, or IT – might get “interested party” status in providing you with information, could become your client, might work with you on some project or other, or interact with you on Board reporting, to name but a few possibilities.

But don´t forget all the other people in your organization! You might work with them during an audit at some point, but even if that´s never happening, these are still people whom you see day-in, day-out, with whom you may have conversations around the water cooler or go running during lunch time, who are interested in what internal audit does, and who are often great sources of valuable information. And last, but certainly not least, is the audit team. Be it through hierarchy or as an audit colleague, no one is a closer stakeholder than your team.

External stakeholders: From regulators to external auditors, from investors to analysts, from customers to suppliers – all of them at some point may become your stakeholder. This might be through direct touchpoints (reporting to a regulator, regular meetings with external auditors, supporting operations when a client exercises audit rights…), or indirectly: for example, investors will be interested in understanding internal audit´s role in the company´s governance when analyzing the annual report. Add to the list insurers and banks, external counsel and investigators, or anyone else you will start interacting with where the situation requires so (think cyber experts in case of a data breach or a court where you are called for witness), and you may find yourself facing new communication fronts from one day to the next.

Endless room for conflict potential: stakeholder relationship challenges

Putting it simply, there are as many options for stakeholder conflicts as there are combinations of people to interact with and touchpoints to work on. Be it expectation gaps, perception misalignments, cultural mishaps, or “just” communication or behavioral traps – internal auditors walk a very fine line to keep their stakeholder interactions flowing.

Perception gap: While the role of internal audit has been changing over the past few decades, individual perception has not always kept pace. “Policing” or “just tick-the-box” remain common answers to the question “What does internal audit do?”. That might partly be a matter of an individual stakeholder´s attitude, or even of an organization´s culture – but it´s too easy to just throw the blame on the other side. Chances are that internal audit doesn´t explain sufficiently well what’s their purpose, isn´t adding real value, isn´t transparent, or simply doesn´t communicate effectively with the stakeholders to get to the roots of the seemingly incorrect perception. Once trapped in such a gap, it can be very difficult to find common ground for aligning expectations.

Communication mismatch: “We just don´t speak the same language”: who hasn´t yet felt this when interacting with an internal auditor – and vice versa? “Language” in internal audit can take infinite manifestations: foreign language barriers that aren´t overcome; no adaptation to different professional backgrounds that each have a different way of thinking and speaking; audit jargon or client-specific terminology that both keep “untranslated” for the other side; ignored hierarchy and formality requirements; cultural misunderstandings; lack of alignment about the necessary level of detail or the way of stakeholder reporting more generally; or just no real sensor for different personalities and communication styles between auditor and stakeholder.

Absence trap: Is your preferred working style to stay alone at your desk, door closed, phone silenced, meetings cut to a minimum, just doing your job – and not just today, because you need to finish that one urgent report? In other words: are you a silo auditor? If you are one, you might miss out on informal information flow, business “sensing”, risk awareness, or even efficiencies, due to the limited personal interaction. That form of absence vis-à-vis clients or colleagues is unlikely to enhance internal audit´s reputation as an advisor or sparring partner – regardless of how competent the auditor is. The absence trap tends to spiral downwards because due to the lack of stakeholder relationship in the first place, there´s not much room to improve the situation.

Trust lost: Finally, a classic all-stakeholder risk: how easy is it to lose your stakeholder´s trust? The sad answer: it´s extremely easy, and the ensuing, and likely lasting, conflict is evident. It´s sufficient to once do something not so smart: provide a nasty surprise to your CEO at the audit committee, get caught in indiscretion about a client´s information, be unreliable in delivering a report, be incompetent or inefficient, show blatant lack of objectivity, communicate inconsistently… the list of potential trust traps is endless. In addition, most internal stakeholder relationships have more than one side: client, colleague, hierarchical relationship, source of information…. This provides additional room for conflict if trust is lost in one dimension.

Emerging issues don´t help make it any better

If the classics of stakeholder challenges weren´t enough for internal auditors, a working environment that is constantly changing doesn´t make it any easier. Be it risks and related topics that each come with new stakeholder interactions and changing expectations about the auditor´s role, new working methods, and even new professional standards – what all those factors have in common is that they require an internal auditor to adapt constantly.

Risks on the rise: Thinking back a few years, topics such as digital disruption or ESG-related matters such as climate change, human rights, or governance risks might have appeared in a company´s risk register – but chances that internal audit would be expected to spend considerable time on such topics were limited. This has changed entirely. To stay with the examples, according to the IIA Global´s 2024 Risk in Focus report1https://www.theiia.org/en/internal-audit-foundation/latest-research-and-products/risk-in-focus/, digital disruption and climate change have risen dramatically in their expected relevance for internal auditors´ activities three years from now. New topics for internal audit to cover next to their already broad scope of activities often come with new stakeholder interactions (certain departments not in-scope until recently? First-time interaction with suppliers for sustainability due diligence? Working with IT and legal on a changing control set-up for a cloud-based ERP?). Challenges for an already difficult relationship may be on the rise.

New topics, new challenges, new methods: With a widening range of topics to cover, internal auditors need to familiarize themselves with fields of expertise entirely new to them, often driven by changing regulations and fast-moving technology which pose a challenge to the entire organization. Change may be desirable per se, but often pushes the organization on the edge of its capacities and creates additional friction. Add expectations on everyone to work hybrid, agile, entirely digital, and with less resources, and one can easily see how working relationships are reshuffled.

New standards, new expectations: There´s no way around: our profession is undergoing a clear shift in expectations. While just ticking-off checklists might have been the way to proceed until the turn of the century, the early 2000s showed a shift towards more assurance and improvement. Today, more and more are internal auditors expected to advise – on risks, controls, compliance, processes, projects, governance, culture… our scope seems to be endless. Along with the shift came a sense of “upskilling” of expected competencies: away from pure technical know-how towards more focus on personal and relational skills. That makes plenty of sense: why would anyone want to be advised by an internal auditor who isn´t able to build a solid interpersonal relationship with the client?

The new Global Internal Audit Standards, published in early 20242https://www.theiia.org/globalassets/site/standards/globalinternalauditstandards_2024january9_printable.pdf, have explicitly embraced the shift: we are expected to “communicate effectively” (Principle 11), have an “approach…to build relationships and trust with key stakeholders…” (Standard 11.1), document our “plan for managing stakeholder relationships” (example for evidence of conformance of Standard 11.1) and must be “respectful in all professional relationships and communications (Standard 1.1). In short: the new standards have given our behavioral norms a new twist: relationship-building is key.

With this mix of new and emerging challenges for internal auditors to navigate the stakeholder landscape, what can we do to succeed?

Master plan for building sustainable stakeholder alliances

“All business is personal… make your friends before you need them”: Robert L. Johnson has a point3https://www.blackenterprise.com/bob-johnson-bet-quotes-black-history/. While I don´t suggest that internal auditors should make it their overall objective to become best friends with their many business acquaintances, there´s a lot of truth in that stakeholder management is nothing but a people business – it´s the quality of relationships with their stakeholders that make or break an internal auditor´s success story. The good news: it all starts with us.

Start with yourself

Staying true to oneself – authentic leadership as a starting point: Successful business relationships are grounded in knowing oneself and acting accordingly and appropriately. Without self-awareness we won´t understand how we influence – and how we are influenced by others – and we won´t be able to act authentically. The concept of authentic leadership, brought up in 2003 by Bill George, professor at Harvard Business School, doesn´t build on leadership in a purely hierarchical sense. Instead, it builds on authenticity in the meaning of being genuine and true to one´s own beliefs4https://hbr.org/podcast/2007/05/harvard-business-ideacast-43-a. Next to the need for self-awareness, it builds on a clear purpose, on empathy, on strong relationships, and it requires self-discipline to set ourselves high standards and stay accountable. But first and foremost, authentic leadership is based on living one´s core values. The basis of these values, however personal they may be, is integrity. Without a clear sense of integrity – doing the right thing and telling the truth even if it´s uncomfortable – it´s impossible in the long term to establish working relationships based on trust and transparency. Putting it to the extreme: without authenticity and integrity, everything else is fake. Nowadays, fake leaders will be punished by being unfollowed – be it on social media, or by resigning.

Having in mind the stakeholder challenges of internal auditors, how can the concept of authentic leadership be brought to use for our profession?

Codeword integrity: First, it helps to remind ourselves about Principle 1 of the new internal audit standards: “Demonstrate integrity.” Integrity is the core of our profession and the foundation for all other core principles, and it´s the connecting link to authentic leadership – the “True North” of the profession, to stay with Bill George´s terminology. Internal audit provides ample opportunity for grey zones where we must demonstrate integrity – this is where our values are tested under pressure and where we must demonstrate leadership by example.

Self-awareness: Integrity alone, unfortunately, is only a start for helping us navigate stakeholder conflicts. Here, it´s all about understanding why we lead how we lead – or rather, how we influence. As John Maxwell puts it: “Leadership is influence – nothing more, nothing less”.5https://www.businessnewsdaily.com/7481-leadership-quotes.html As an example, why do we have a hard time accepting critical client reactions to our audit report? Why do we shy away from conflicts with some colleagues? Why do we get impatient with certain behaviors but not with others?

Self-awareness means accepting one´s weak spots and working on them. It makes us vulnerable – and if handled appropriately, it makes us behave authentically.

Empathy: Being genuinely interested in others, i.e. not just having audit touchpoints in mind, but also the person we work with, is essential to building trust. “Tough empathy” is a more robust form of empathy. Often defined as giving people what they need and not what they want, it´s typically applied in challenging situations, where it is sought to foster understanding when striking a balance between the issue at hand and the individual´s concern. Appropriately yet respectfully handling situations of under-performance of a team member or being sympathetic but transparent in reporting internal audit findings of a friend´s area of responsibility are examples of tough empathy in internal audit. It demonstrates honesty and the courage to make tough decisions by staying true to oneself.

Other characteristics of authentic business relationships: having a long-term, non-transactional focus that puts mutual benefits first helps to create better acceptance for inherently conflicting stakeholder touchpoints. Being approachable, acting in a consistently reliable manner, and not hiding behind a façade supports an environment of safety and trust that helps to build more sustainable relationships within the complex stakeholder landscape. Authentic leadership requires investment – first and foremost in one´s personal development.

Get strategic

Next to starting with one´s authentic self, internal auditors need to get strategic about their way of interacting with their innumerable stakeholders – we shouldn´t leave it to chance how our business relationships evolve.

Assess your stakeholder environment: Start by mapping out your stakeholder landscape: who are you primarily and secondarily working with? Were there issues in the past? If yes, why? How did you handle them? Are there loose ends that require mending, and what´s your strategy to tackle them? This is a tough assessment where one needs to be honest with oneself. While we must develop a clear understanding of the key touchpoints with our stakeholders, it won´t help to start by throwing the blame on others when assessing where a relationship derailed. Next to the known touchpoints, think about emerging topics – who has only recently appeared on your stakeholder radar, and whom can you expect to get more involved with in the future? Based on what you learned from your assessment, how can you start connecting, and where could it potentially get challenging?

Don´t play stakeholder roulette: One-and-done stakeholder interactions in internal audit were yesterday. Think long-term and have the mutual benefits of your stakeholder relationships in mind – where is common ground in your interaction? As an example, when starting to work with a new client, or when you work with colleagues of another department on a joint project, it helps to have a conversation about how both of you see the long-term benefits of the collaboration. Openly communicating on potential challenges in the working relationship and an honest search for common ground feels disarming and proves your good intentions.

Network with a common purpose: Do you have your personal advantage in mind when you expand your network, or when reaching out to your stakeholders? Or are you defining networking as building and maintaining authentic connections for mutual support and opportunities? Or, third, is “just reaching out to someone” to keep business relationships alive not your thing? Try considering the idea that networking should have a mutually beneficial purpose. Showing genuine interest in the other person is a good start and will always be better received than “fakeworking” – nobody can be fooled by fakes in the long term. Remember: leading is all about influencing – but influencing shouldn´t be confounded with manipulation.

Ask for feedback: While self-awareness is an essential element of successfully navigating stakeholder challenges, it´s equally important to get honest feedback on how others perceive you – there´s always another side of the coin. Be it 360° feedback loops, an external quality assessment with stakeholder interviews, a candid conversation with your key business relationships, or simply an open discussion with a close friend or your partner: it all helps put things in perspective. Honesty is your friend: a humble approach goes a long way when asking for feedback.

Get relevant training: Feedback loops are not a closed system. If receiving feedback makes you realize that there is room for improvement at your end, go for it. Be it professional skills or personal skills – maybe you find it indeed hard to communicate at ease with your board, or you wonder how you can build better rapport with your clients without getting defensive, or be a more inspiring, empathic leader for your team – training options are endless, and better self-awareness through honest feedback is a great starting point. Remember: “The hardest person you will ever have to lead is yourself.”6Source: Bill George (2022): True North – Emerging Leader Edition

Takeaways

  • Building sustainable stakeholder alliances for internal auditors is a must. Silos were yesterday – we won´t succeed without a collaborative, trustful approach that genuinely builds on mutual benefits.
  • Successful relationship development in an ever-increasing, complex stakeholder landscape starts by leading ourselves – without self-awareness we won´t be able to authentically interact with others.
  • Integrity is the common ground between our professional standards and our personal core values if we strive for authentic, lasting stakeholder relationships.
  • Understanding the stakeholder landscape and the challenges, thinking long-term, asking for feedback, and working on our personal missing links is a strategic approach for internal auditors to develop sustainable alliances built on what is entirely under our control – our authenticity.