Das in den vergangenen Jahrzehnten öffentlich wahrgenommene Berufsbild der Internen Revision profitierte von und litt gleichermaßen spürbar unter (s)einem Schattendasein: Stand der Interne Revisor in den vielfältigen Krisen von Unternehmen, Banken und Wirtschaft nur selten direkt im Fadenkreuz kritischer Betrachtungen, so bezogen sich denn auch zukunftsweisende Ansätze zur Überwindung oder Vermeidung von Krisen nur selten konkret auf den Berufsstand der Internen Revision. Dennoch war die Revision aufgefordert, ihre Prüfungsansätze konsequent an die teilweise gravierenden Änderungen der rechtlichen und aufsichtlichen Rahmenbedingungen anzupassen; beispielhaft seien hier die immer bedeutender werdenden quantitativen Aspekte der Prüfungsarbeit genannt. Compliance-FunktionAnders etwa verlief die Entwicklung der Compliance-Funktion. Die Einhaltung von Gesetzen und Regelungen sollte schon seit jeher eine Selbstverständlichkeit gewesen sein. Diverse Verschärfungen bestehender und eine Vielzahl neuer Regelungen einerseits sowie ein enges Netz rechtlicher und aufsichtlicher Vorgaben hinsichtlich der Überwachung dieser Regelungen andererseits richteten sich konkret an die Compliance-Funktion. Und obwohl über den Deutschen Corporate Governance Kodex oder später über das Bilanzrechtsmodernisierungsgesetz (BilMoG) die Begriffe von Revision und Haftung auch rechtlich verankert wurden, drohten sich – beflügelt durch geschickte Vermarktungsstrategien externer Berater – die Aufgabenfelder der Funktionen “Interne Revision” und “Compliance” zu verschieben.Wofür steht heute eine moderne Interne Revision? Die Interne Revision ist ein wesentliches Element der Corporate-Governance-Struktur einer Organisation mit dem Auftrag, unabhängige und objektive Prüfungs- und Beratungsdienstleistungen zu erbringen, die darauf ausgerichtet sind, Mehrwerte zu schaffen und Geschäftsprozesse zu verbessern. Dabei bewertet sie die Angemessenheit und Wirksamkeit des Risikomanagements, der Kontrollen und der Führungsprozesse. Das Ziel ist dabei nicht die rückwärtsgewandte Beurteilung der Prozesse mit “erhobenem Zeigefinger”. Eine moderne Revision richtet ihre Tätigkeiten vielmehr darauf aus, Prozesse weiter zu optimieren und effizienter zu gestalten, um so das Unternehmen fit für die Zukunft zu machen.Die Aufgabenbeschreibung der Internen Revision findet sich in den weltweit identischen, verpflichtenden Berufsstandards des Institute of Internal Auditors (IIA) und den ergänzenden Standards des Deutschen Instituts für Interne Revision e. V. (DIIR), denen sich die danach arbeitenden Revisoren besonders verpflichten. Allein in Deutschland gibt es bereits über 2 000 nach den Standards des IIA zertifizierte Revisoren (Certified Internal Auditor – CIA), die die weltweit identischen Prüfungsexamina erfolgreich abgelegt haben und sich damit auch hohen ethischen Standards verpflichten. Das DIIR hat darüber hinaus vor einigen Jahren die Qualifizierung zum Internen RevisorDIIR eingeführt, die auf die deutsche Rechnungslegung und Gesetzgebung abgestimmtes Wissen vermittelt. So gibt das DIIR unter anderem auch durch den Leitfaden zum Quality Assessment (QA) Standards für ein gutes internes Revisionssystem vor. Das Eigenverständnis der Internen Revision ist also weltumfassend gleich – was gerade in der zunehmenden Internationalisierung bereits ein ganz wesentliches Asset dieser Funktion darstellt. Kernelemente und GrenzenInternational etabliert hat sich in den letzten Jahren auch das Verständnis der Internen Revision im Unternehmenskontext. Veranschaulicht wird das im sogenannten “Three-Lines-of-Defense-Modell”. Die Übersicht dazu zeigt nicht nur Kernelemente eines internen Kontroll- und Überwachungssystems einer Organisation, sondern auch die Grenzen zwischen den jeweiligen Funktionen. Die im Schaubild als erste Verteidigungslinie benannte Säule umfasst die klassischen, prozessintegrierten Kontrollen der Prozessverantwortlichen im operativen Sektor einer Organisation. Hierzu gehören auch Kontrollhandlungen wie beispielsweise das Vieraugenprinzip.In der zweiten Säule befinden sich Funktionen, die zum klassischen internen Kontrollsystem zählen. Diese sind weitgehend prozessbegleitend tätig und haben insbesondere eine zeitliche und funktionale Nähe. Sie überwachen und steuern die implementierten Kontrollen und erlassen Richtlinien und Vorgaben. Hierunter fallen auch Funktionen wie Compliance und Qualitäts- oder Risikomanagement und Controlling.Die dritte Säule, die dritte Verteidigungslinie, bildet die Interne Revision. Diese ist prozessunabhängig und unterstützt die Geschäftsleitung und die Aufsichtsgremien unter anderem durch die Prüfung der Angemessenheit und Funktionsfähigkeit der ersten beiden Verteidigungslinien bei der abschließenden Überwachung und Kontrolle. Gerade in Zeiten steigender Anforderungen an die Geschäftsführung und Aufsichtsgremien kommt dieser dritten Säule somit eine existenzielle, gegebenenfalls auch haftungsrelevante Bedeutung zu. Insbesondere der letztgenannte Aspekt wird sich vor dem Hintergrund steigender Haftungsanforderungen an die Aufsichtsgremien noch verschärfen.Trotz dieser im Grunde klaren Strukturen sind die besonderen Herausforderungen der Internen Revision vielfältig. Für das Kreditgewerbe bestehen über die Mindestanforderungen an das Risikomanagement (MaRisk) konkrete Vorgaben zur Revisionsfunktion. In anderen Branchen und in kleineren Organisationen hingegen bestehen oftmals noch Strukturen, in denen Aufgaben der zweiten und Aufgaben der dritten Verteidigungslinie zumindest hinsichtlich personeller Zuständigkeiten und Verantwortungen ein und derselben Person zugeordnet sind. Eine auch für Dritte erkennbare klare Abgrenzung ist dann schwierig.Eine praktische Herausforderung bildet auch die Thematik Datenschutz. Zur Aufdeckung oder Aufklärung doloser Handlungen kann ein zielgerichtetes Auswerten von Daten wichtige Hinweise oder gar Beweise liefern. Dabei müssen bei einem Screening von Daten die hierfür bestehenden rechtlichen Vorgaben zwingend beachtet werden, was den Wunsch nach einer umfassenden Auswertung oft nicht erfüllbar macht. In einer erweiterten Sichtweise können auch externe Prüfer einer zusätzlichen Verteidigungslinie zugeordnet werden; diese sind beispielsweise Jahresabschlussprüfer und nationale sowie internationale Aufsichtsbehörden. Für diese fungiert die Interne Revision als Ansprech- und Sparringspartner und wird zugleich selbst von ihnen geprüft. Möglichen Ambitionen, sich von externer Seite instrumentalisieren zu lassen, hat sich die Interne Revision im Sinne ihrer erforderlichen Unabhängigkeit jedoch stets zu widersetzen.Es ist wichtig, dass für die aufgezeigten Spannungsfelder klare Linien und Zuständigkeiten bestehen; die Aufgabenverteilung muss von allen Beteiligten verstanden und sachgerecht umgesetzt werden. Hier leistet das DIIR einen sehr wichtigen Beitrag. Das Institut mit über 2 500 Firmen- und persönlichen Mitgliedern unterstützt die Arbeit seines Berufsstandes mit einem umfangreichen Weiterbildungsangebot, eigenen Berufsqualifikationen, wissenschaftlicher Arbeit, Leitfäden und Arbeitskreisen. Unverzichtbarer BeitragIn den über 50 Jahren seines Bestehens hat sich die Erkenntnis allerdings erst in jüngerer Zeit durchgesetzt, dass durch die rechtzeitige Einbindung der Vertreter der Internen Revision bei der Entwicklung neuer gesetzlicher und aufsichtlicher Vorgaben ein unverzichtbarer Beitrag zur Schaffung von Mehrwerten geleistet wird. Diese Entwicklung muss konsequent fortgesetzt werden.—-Bernd Schartmann, Sprecher des Vorstands Deutsches Institut für Interne Revision (DIIR) —-Dorothea Mertmann, Geschäftsführerin Deutsches Institut für Interne Revision (DIIR)