Interview mit Mag. Gottfried Berger, CIA, CRMA, Vorsitzender des IIRÖ-Vorstands: Die interne Revision als Hüterin der Compliance

INARA: Wofür ist die interne Revision eines Unternehmens eigentlich zuständig?
Mag. Gottfried Berger, CIA, CRMA: Eine Hauptaufgabe der Revisionsabteilung ist die Überprüfung betrieblicher Vorgänge auf Ordnungs- und Zweckmäßigkeit, beispielsweise im Rechnungswesen. Ziel ist es, risikorelevante Schwachstellen in der Aufbau- und Ablauforganisation einer Firma aufzudecken, die Entscheidungsträger darüber zu informieren und ihnen Verbesserungsvorschläge zu unterbreiten. Dazu gehört auch die Prüfung auf dolose Handlungen. Ist in solche die Geschäftsleitung in welcher Art immer involviert, hat der Aufsichtsrat unmittelbar zu reagieren. Die Einschaltung der internen Revision zur näheren Untersuchung der Verdachtsmomente ist in der Regel ein Gebot der Stunde. Diese muss der Aufsichtsrat direkt beauftragen und laufende Rückendeckung zu geben.

Die aus den Prüfberichten der internen Revision gewonnenen Erkenntnisse tragen zur Qualitätssicherung im Unternehmen bei, indem sie eine der Grundlagen für die kontinuierliche Verbesserung des Risikomanagement-Systems und des internen Kontrollsystems bilden. Das wiederum erleichtert die Erreichung der Unternehmensziele.

Damit unterstützt die interne Revision die Geschäftsleitung und den Aufsichtsrat in ihren Überwachungsfunktionen.

Die Aufgaben und die Verantwortung der internen Revision haben sich in den letzten Jahren stark gewandelt. Stand früher die ex-Post Prüfung im Vordergrund, so ist sie heutzutage vor allem ein interner Dienstleister, der kontinuierlich nach Einsparungspotenzialen sucht und als Berater für Prozessoptimierungen fungiert. Die interne Revision moderner Ausprägung prüft, ob das Risikomanagement und das interne Kontrollsystem den wesentlichen Risiken, denen das Unternehmen ausgesetzt ist, entsprechen und ob das Compliance System rechtmäßig und unternehmensadäquat ausgestaltet ist.

INARA: Stichwort Compliance. Gibt es hier eine Konkurrenz zwischen der internen Revision und dem Compliance Manager?
Berger: Sie sprechen einen heiklen Punkt an. Idealerweise gibt es weder eine Konkurrenz noch Doppelgleisigkeiten, sondern eine enge Zusammenarbeit. Das Compliance System sollte so aufgesetzt sein, dass es dem Compliance Officer einen Handlungsrahmen bietet und dessen laufende Erfahrungen in Ausübung seiner Tätigkeit laufend in das Compliance System einfließen. Hier gibt es Potenzial nach oben.

Im Außenverhältnis ist für die Einhaltung der Compliance primär die Geschäftsleitung zuständig. Als Überwachungsorgan der Geschäftsleitung hat der Aufsichtsrat auch eine unmittelbare Verantwortung dafür.

INARA: Welche Rolle spielt die Unabhängigkeit der internen Revision?
Berger: Auch ein heikles Thema. Der Job der internen Revision ist nicht immer ein angenehmer. Es ist eine ständige Gratwanderung, in welchem Ausmaß und welcher Tiefe unangenehme Vorkommnisse transportiert werden. Da gehört viel Fingerspitzengefühl dazu. Der Aufsichtsrat kann wesentlich dazu beitragen, dass die interne Revision ihre Unabhängigkeit auch leben kann.

INARA: Wem untersteht die interne Revision?
Berger: Die interne Revision ist in aller Regel eine Stabsabteilung im Unternehmen, die fachlich der Gesamtgeschäftsleitung und disziplinär dem CEO oder CFO untersteht. Prüfaufträge werden von der Geschäftsleitung erteilt.

Unabhängig davon ist der Gesamtaufsichtsrat – wenn ein Prüfungsausschuss eingerichtet ist, dieser – für die Überwachung des gesamten Kontrollsystems zuständig. Das erfordert auch einen laufenden direkten Austausch zwischen Aufsichtsrat und interner Revision, idealerweise in der mit der Geschäftsleitung vereinbarten Art und Weise. Üblich ist es jedenfalls, dass der/die LeiterIn der internen Revision regelmäßig an Prüfungsausschuss-Sitzungen oder Gesamtaufsichtsrats-Sitzungen teilnimmt und über die Entwicklungen der aktuellen Prüfaufträge Bericht erstattet.

INARA: Sollte auch die interne Revision überwacht werden? Von wem und wie?
Berger: In erster Linie ist die Geschäftsleitung dafür zuständig. Sie hat sicherzustellen, dass die Mitarbeiterinnen und Mitarbeiter der internen Revision über die erforderliche fachliche und persönliche Kompetenz verfügen. Als Überwachungsorgan der Geschäftsleitung hat der Aufsichtsrat hier natürlich auch eine Verantwortung.

Die vom international agierenden US-Institute of Internal Auditors (IIA) herausgegebenen Internationalen Standards für die berufliche Praxis der Internen Revision (aktuelle Ausgabe aus 2017) geben auch Geschäftsleitung und Aufsichtsrat Anhaltspunkte für die Qualifikationsüberprüfung der internen Revision.

Wir als IIRÖ empfehlen, dass zumindest die Leiterin oder der Leiter der internen Revision, besser auch der eine oder andere Mitarbeiter (je nach Größe der Abteilung), über eine einschlägige Ausbildung und ein entsprechendes Zertifikat verfügt. Von unserer Seite bieten wir über unsere Ausbildungsakademie insgesamt sechs Lehrgänge mit Zertifizierungen des IIA und den Diplomierten Internen Revisor als nationales Diplom an.

Auch wenn ein Zertifikat kein Garant für anlassbezogene Kompetenz, Unabhängigkeit, berufsübliche Sorgfalt und persönliche Integrität ist, so zeigt die Erfahrung, dass man ZertifikatsinhaberInnen durchaus einen gewissen Vertrauensvorschuss entgegenbringen und sich zu einem guten Teil auf sie verlassen kann.

INARA: Haben die Gesellschafter bzw. die Aktionäre in puncto interne Revision auch eine Verantwortung?
Berger: Jeder Gesellschafter und jeder Aktionär hat ein maßgebliches Interesse daran, dass die Unternehmensressourcen so effizient und effektiv wie möglich eingesetzt werden und der Share- bzw. Stakeholder-Value optimiert wird. Dazu gehört eine funktionierende interne Revision, unabhängig davon, ob deren Aufgaben in einer eigenen Abteilung oder in der Gesamtverantwortung der Geschäftsleitung wahrgenommen werden.

Mit kritischen Fragen und Anmerkungen der Gesellschafter und Aktionäre in ihren Annual General Meetings könnte das Bewusstsein für den Stellenwert der internen Revision geschärft werden.

INARA: Worum geht es beim Three-Lines-of-Defense-Modell?
Berger: Unter dem Modell der drei Verteidigungslinien versteht man ein ganzheitliches Governance, Risk und Compliance Management System (GRC-System) zur Steuerung der Unternehmensrisiken. Die first-Line-of-Defense bildet das operative Management, die second-Line-of-Defense die Bereiche Controlling, Risikomanagement und Compliance und die third-Line-of-Defense die interne Revision. Dieses System veranschaulicht, wie die einzelnen Unternehmensbereiche und –ebenen – ergänzt durch den Aufsichtsrat und den Abschlussprüfer – zusammenarbeiten, einander unterstützen und wechselseitig kontrollieren. Gibt es in einem Unternehmen die 3. Säule, eben die interne Revision, nicht, dann fehlt den Risiko- und Compliance-Systemen etwas ganz Entscheidendes!

INARA: Ihr Schlusswort?
Berger: Alle wissen, dass die interne Revision aus der heutigen Unternehmenswelt nicht mehr wegzudenken ist. Über ihre Bedeutung wird aber nach wie vor zu wenig in der Öffentlichkeit und in den Unternehmen kommuniziert. Das Anliegen des IIRÖ ist es, dies zu ändern.

Autorin: Dr. Brigitta Schwarzer

Mehr zu Institut Interne Revision & Akademie Interne Revision GmbH: www.internerevision.at