Praxis der Internen Revision - ESV · sionsarbeit kann nur auf der Plattform eines leistungsstarken...

Management, Methoden, Prüffelder

Praxis der Internen Revision

Thomas Amling /Ulrich Bantleon (Hrsg.)

erich schmidt verl ag

ES

Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5

http://www.esv.info/978%203%20503%2013686%205

Praxis der Internen RevisionManagement, Methoden, Prüffelder

Herausgegeben von

Prof. Dr. Thomas Amling und

WP/StB Prof. Ulrich Bantleon

Mit Beiträgen von

Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Axel Becker,

Dr. Judith Brombacher, Oliver Dieterle, Dr. Peter Dörfler,

Prof. Dr. Martin Faust, Dr. Astrid Geis, Philine Géronne-Neels,

Klaus Dieter Göbel, WP Christian Haas, Volker Hampel,

WP/StB Klaus Heese, Tobias Heine, Marcus Herold,

Hans-Willi Jackmuth, Martin Kademann, Swen Knöchelmann,

Dr. Matthias Kopetzky, Dr. Stefan Kullmann, Christian de Lamboy,

Dr. Andreas Langer, Günther Meggeneder, Petra Meuwsen,

Dr. Thomas Münzenberg, Wulf-Matthias Nolte, Roger Odenthal,

Angelika Paul, Anita Peter, Isabel Petri, Ines Reineke,

Dr. Stefan Röhrbein, WP/StB Bernd Rosenberg, Bernd Schartmann,

Daniela Schermer, Carina Schöllmann, Anja Unmuth

ERICH SCHMIDT VERLAG

Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen

Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über

http://dnb.d-nb.de abrufbar.

Weitere Informationen zu diesem Titel finden Sie im Internet unterESV.info/978 3 503 13686 5

Die Hinweise, Ratschläge und Wertungen sind von den Herausgebern, den

Autoren und dem Verlag sorgfältig erwogen und geprüft, dennoch kann eine

Garantie nicht übernommen werden. Eine Haftung der Herausgeber, der

Autoren bzw. des Verlags und ihrer Beauftragten für Personen-, Sach- und

Vermögensschäden ist ausgeschlossen.

Gedrucktes Werk: ISBN 978 3 503 13686 5

eBook: ISBN 978 3 503 13687 2

Alle Rechte vorbehalten

© Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012

www.ESV.info

Dieses Papier erfüllt die Frankfurter Forderungen

der Deutschen Nationalbibliothek und der Gesellschaft für das Buch

bezüglich der Alterungsbeständigkeit und entspricht sowohl den

strengen Bestimmungen der US Norm Ansi/Niso Z 39.48-1992

als auch der ISO Norm 9706.

Gesetzt aus der 10/12 Swift

Satz: Peter Wust, Berlin

Druck und Bindung: Hubert & Co., Göttingen

Vorwort der Herausgeber

Die Interne Revision ist trotz der steigenden Regelungsdichte weiterhin

durch Best Practice und deren Austausch in der Community geprägt. Das

vorliegende Werk „Praxis der Internen Revision“ betrachtet daher die In-

terne Revision insbesondere aus dem Blickwinkel der Praxis. Ergänzend

zu unserem Grundlagenwerk „Handbuch der Internen Revision“ bietet

dieser Sammelband eine detaillierte Darstellung ausgewählter aktueller

Entwicklungen (z. B. Continuous Auditing) und eine Vertiefung fachlicher

Themen (z. B. Erstellung eines Jahresprüfungsplans).

Die „Praxis der Internen Revision“ ist in die fünf Kapitel „I. Grundla-

gen“, „II. Management der Internen Revision“, „III. Methoden, Techniken

und Instrumente“, IV. Ausgewählte Prüffelder“ und „V. Entwicklungen,

Tendenzen und Ausblick“ unterteilt.

Im ersten Kapitel (Grundlagen und Corporate Governance) werden

durch Amling/Bantleon die Grundlagen der Internen Revision, die Leitung

der Internen Revision und die „standardgerechte“ Prüfungsdurchführung

dargestellt. Diese Basis ermöglicht dem Leser das Verständnis und die

Einordnung der nachfolgenden Beiträge. Die Regelungsdichte des Rah-

mens der Internen Revision nimmt stetig zu. Die grundlegende Darstel-

lung hierzu geben Haas/Langer. Bantleon/Paul/Peter analysieren das Sonder-

problem des direkten Auskunftsrechts des Aufsichtsrats gegenüber der

Internen Revision. Dass Interne Revisoren einem gewissen Haftungsrisi-

ko unterliegen, war evident. Durch das BGH-Urteil vom 17.07.2009 – 5 StR

394/08 (Garantenhaftung eines Compliance Officers für betrügerische Ab-

rechnung) stand der Interne Revisor aber plötzlich scheinbar im Fokus

von Haftungsansprüchen. Münzenberg klärt die Rechtslage für den Inter-

nen Revisor in seinem Beitrag. Der öffentliche Sektor und damit die Inter-

ne Revision im öffentlichen Sektor gewinnt zunehmend an Bedeutung.

Die entsprechenden Rahmenbedingungen und ihre praktischen Heraus-

forderungen stellt Dieterle vor.

Das Management der Internen Revision stellt an den Leiter der Internen

Revision besondere Anforderungen. Im zweiten Kapitel (Management der Internen Revision) werden ausgewählte Anforderungen herausgegriffen.

Die ursprünglich ausschließliche Risikoorientierung einer Internen Revi-

sion wird sich um die Chancenorientierung erweitern. Die Folgen hieraus

werden von Unmuth dargestellt. Auch der Aufbau einer Konzernrevision

stellt besondere Anforderungen. Diese werden durch Meuwsen analysiert.

Obwohl man bei dem Begriff „Interne Revision“ unmittelbar an Groß-

unternehmen, Kreditinstitute und Versicherungen denkt, sind die wah-

ren Wachstumsmärkte für das Produkt „Interne Revision“ die öffentliche

Verwaltung (siehe Beitrag von Dieterle) und insbesondere der Mittelstand.

Röhrbein analysiert in seinem Beitrag die besonderen organisatorischen

Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.

6 Vorwort der Herausgeber

Herausforderungen für eine Interne Revision im Mittelstand. Bezüglich

des Qualitätsmanagements der eigenen Organisation und Prozesse muss

die Interne Revision Vorbild im Unternehmen sein. Der Beitrag von Geis stellt den methodischen und berufsrechtlichen Rahmen zur Qualitäts-

sicherung sowie Möglichkeiten der Umsetzung dar. Auf Basis einer Ex-

pertenbefragung beleuchten Amling/Knöchelmann die Möglichkeiten und

Grenzen in der praktischen Ausgestaltung.

Um den von der Organisationsleitung und dem Aufsichtsorgan sowie

den berufsrechtlichen Regelungen geforderten Qualitätsanforderungen

zu entsprechen, muss eine Interne Revision ihre Instrumente, Metho-

den und Techniken kontinuierlich weiterentwickeln. Im dritten Kapitel (Methoden, Techniken und Instrumente) werden sechs Beispiele aus der

Praxis dargestellt. Ausgangspunkt einer funktionsfähigen Internen Re-

vision ist immer eine standardisierte und risikoorientierte Prüfungspla-

nung. Das Autorenteam Dörfler/Neels/Heine/Kademann stellt die Umsetzung

am Beispiel der Konzernrevision der Volkswagen AG dar. Rosenberg/Reineke/Schöllmann stellen in ihrem Beitrag „Continuous Auditing“ als Instrument

zur Erhöhung der Effizienz der Internen Revision vor. Professionelle Revi-

sionsarbeit kann nur auf der Plattform eines leistungsstarken IT-Tools ge-

lingen. Becker stellt in seinem Beitrag in der Praxis eingesetzte Revisions-

programme vor. Keiner Herausforderung stellt sich der Interne Revisor so

ungern, wie der Anwendung mathematisch-statistischer Prüfungsverfah-

ren. Letztlich kann ein fundiertes Prüfungsurteil effizient aber nur auf

Basis statistisch unterlegter Bewertungen erfolgen. Herold zeigt in seinem

Beitrag Möglichkeiten der Umsetzung auf. Der Beitrag von Brombacher dis-

kutiert die Wirkungsanalyse als Instrument der Internen Revision zur

Evaluierung von Prozessen. Dies wird am Beispiel des internen Kontroll-

systems vertieft. Jackmuth beschreibt den Status Quo der Prozessanalyse

mittels Process Mining und stellt diesem neue Ansätze gegenüber.

Das vierte Kapitel (Ausgewählte Prüffelder) zeigt einen Ausschnitt

aus der Vielfalt der Prüfungsfelder der Internen Revision. Corporate So-

cial Responsibility ist eine vielfach gewählte Nebenbedingung für unter-

nehmerisches Handeln. Deren Einhaltung ist durch die Interne Revision

zu beurteilen. Dies stellen Faust/Lamboy in ihrem Beitrag unter Verwen-

dung eines konsequent COSO-orientierten Prüfungsansatzes dar. Die Be-

urteilung der Rechnungslegung (Financial Auditing) ist schon immer eine

Aufgabenstellung der Internen Revision. Aber erst seit der Umsetzung des

BilMoG, insbesondere die Berichtspflicht zum rechnungslegungsbezo-

genen internen Kontrollsystem im Lagebericht gemäß § 289 Abs. 5 HGB,

rückt das Prüffeld „Rechnungswesen“ wieder stärker in den Fokus der In-

ternen Revision. Aspekte aus diesem Prüffeld beleuchten Kullmann/Nolte.

Die umfangreiche Durchdringung des Unternehmens und fast aller Pro-

jekte durch IT-Anwendungen fordert die Interne Revision in besonderem

Maße. Odenthal stellt ausgehend von einer SAP®-Umgebung die Grundla-

gen IT-bezogener Prüfungshandlungen dar. Neben IT-Risiken sind Fraud-

Risiken in jedem Prüffeld zu beurteilen. Göbel stellt die Herausforderun-


Vorwort der Herausgeber 7

gen der Bekämpfung von Fraud im Mittelstand und die Einbindung der

Internen Revision hierbei dar.

Auch für die Interne Revision gilt, dass Stillstand Rückschritt bedeutet.

Das fünfte Kapitel (Entwicklungen, Tendenzen und Ausblick) beleuch-

tet ausgewählte Treiber der anstehenden Veränderungen. Einen wesent-

lichen Orientierungspunkt stellen die berufsrechtlichen Entwicklungen

dar. Internationaler Taktgeber ist hierbei das Institute of Internal Auditors

(IIA). Der Beitrag von Meggeneder zeichnet die Intension des internationalen

Standardsetters und die kommenden Veränderungen auf. Die europäische

Vision des DIIR – Deutsches Institut für Interne Revision e. V. stellt der Bei-

trag von Schartmann/Unmuth vor. Für die Zukunftsfähigkeit der Internen Re-

vision ist die weitere Professionalisierung, insbesondere die Entwicklung

eines Berufsbilds und klar strukturierter Aus- und Fortbildungskonzep-

te, notwendig. Die Überlegungen des DIIR werden im Beitrag von Hampel/Schermer beleuchtet. Durch den Bedeutungsgewinn des Prüfungsausschus-

ses wird auch die Abstimmung und die Zusammenarbeit zwischen dem

Abschlussprüfer und der Internen Revision befeuert. Heese untersucht die

Professionalisierung der Internen Revision aus Sicht des Abschlussprüfers.

Amling/Petri entwickeln mit Hilfe der Szenariotechnik und integrierter Ex-

pertenbefragung Zukunftsbilder 2020 für die Interne Revision. Der Leser

ist aufgefordert, diese mit seinen Prognosen zu spiegeln.

Mit diesem Handbuch möchten die Herausgeber einen Beitrag zur pra-

xisorientierten Vermittlung aktueller Entwicklungen liefern und eine

entsprechende Fachdiskussion anstoßen. Die Herausgeber sind daher für

Kritik und Anregun gen unter

Prof. Dr. Thomas Amling WP/StB Prof. Ulrich Bantleon

HTWK Leipzig DHBW Villingen-Schwenningen

Gustav-Freytag-Straße 42A Friedrich-Ebert-Straße 30

04277 Leipzig 78054 Villingen-Schwenningen

dankbar; gerne auch als E-Mail unter [email protected] und

[email protected].

Unser Dank gilt allen Autoren für ihr Engagement und die unkompli-

zierte und sehr harmonische Zusammenarbeit sowie Herrn Dr. Joachim

Schmidt, Frau Anja Ludwig und dem Team des Erich Schmidt Verlags für

die gewohnt routinierte Betreuung und Umsetzung der Manuskripte.

Besonderer Dank gilt unseren Familien und Freunden, die uns mit viel

Geduld und Verständnis den Rücken freigehalten haben.

Alle Angaben wurden sorgfältig erarbeitet und geprüft. Durch gesetz-

liche Änderungen, Rechtsprechung und Veröffentlichungen von Stan-

dardsettern (z. B. dem IIA oder dem DIIR) etc. ergeben sich zwangsläufig

Ver änderungen. Für die Richtigkeit und Vollständigkeit des Inhalts kann

keine Gewähr über nommen werden.

Leipzig/Villingen-Schwenningen, im Januar 2012.


Inhaltsübersicht

Vorwort der Herausgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

I Grundlagen und Corporate Governance . . . . . . . . . . . . . . . . . . . . . . 13

Thomas Amling/Ulrich BantleonInterne Revision – Grundlagen, Normen und Tätigkeitsfelder . . . . . . 13

Christian Haas/Andreas LangerRechtliche Rahmenbedingungen für die Interne Revision . . . . . . . . . 43

Ulrich Bantleon/Angelika Paul/Anita Peter Empirische Untersuchung zum direkten Auskunftsrecht des

Aufsichtsrats gegenüber der Internen Revision bei Kreditinstituten 67

Thomas MünzenbergHaftungsrisiken für Interne Revisoren . . . . . . . . . . . . . . . . . . . . . . . . . . . 99

Oliver Dieterle Grundlagen der Internen Revision in der öffentlichen Verwaltung 129

II Management der Internen Revision . . . . . . . . . . . . . . . . . . . . . . . . . 157

Anja UnmuthChancenmanagement in der Internen Revision . . . . . . . . . . . . . . . . . . . 157

Petra Meuwsen Aufbau einer Internen Revision am Beispiel einer Konzernrevision 177

Stefan RöhrbeinBesonderheiten der „kleinen“ Internen Revision im Mittelstand –

Eine Bestandsaufnahme mit Thesen und Lösungsansätzen . . . . . . . . 201

Astrid GeisQualitätsmanagement in der Internen Revision . . . . . . . . . . . . . . . . . . 223

Thomas Amling/Swen KnöchelmannProblemfelder des Quality Assessments der Internen Revision –

Eine empirische Untersuchung zum Status Quo auf Grundlage

von Experteninterviews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249

III Methoden, Techniken und Instrumente . . . . . . . . . . . . . . . . . . . . 277

Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin KademannRisikoanalyse und Programmplanung im Volkswagen Konzern . . . . 277


10 Inhaltsübersicht

Bernd Rosenberg/Ines Reineke/Carina SchöllmannContinuous Auditing als Instrument einer modernen Internen

Revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297

Axel BeckerRevisionsmanagementsysteme der Internen Revision im

Praxiseinsatz – am Beispiel eines Kreditinstituts . . . . . . . . . . . . . . . . . . 323

Marcus HeroldStatistische Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349

Judith BrombacherWirkungsanalyse als Instrument der Internen Revision zur

Evaluierung von Prozessen: Schwerpunkt Internes Kontrollsystem 391

Hans-Willi JackmuthProzessanalyse mittels innovativer Technologien . . . . . . . . . . . . . . . . . 419

IV Ausgewählte Prüffelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Martin Faust/Christian de LamboyCorporate Social Responsibility als neue Herausforderung der

Internen Revision. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443

Stefan Kullmann/Wulf-Matthias NoltePrüfung des Rechnungswesens durch die Interne Revision . . . . . . . . 469 Roger OdenthalSAP®-Software im Blickpunkt der Internen Revision . . . . . . . . . . . . . . 493

Matthias Kopetzky/Klaus-Dieter GöbelSelbstverständnis der Internen Revision bei Sonderuntersuchungen –

Eine empirische Untersuchung im Mittelstand der D-A-CH-Region 519

V Entwicklungen, Tendenzen und Ausblick . . . . . . . . . . . . . . . . . . . . 549

Günther MeggenederEntwicklung der IIA-Standards – Von der Bedeutung der

berufsständischen Grundsätze für die Interne Revision . . . . . . . . . . . 549

Bernd Schartmann/Anja UnmuthDas DIIR – Deutsches Institut für Interne Revision e. V. –

ein führendes europäisches Revisionsinstitut . . . . . . . . . . . . . . . . . . . . 575

Volker Hampel/Daniela SchermerProfessionalisierung der Internen Revision unter Nutzung eines

Qualifikationsmodells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599

Klaus HeeseProfessionalisierung der Internen Revision –Die Interne Revision

aus Sicht des Abschlussprüfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621


Inhaltsübersicht 11

Thomas Amling/Isabel PetriInterne Revision 2020 – Kreative Zukunftsbilder . . . . . . . . . . . . . . . . . . 653

Autorenangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683

Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693


III Methoden, Techniken und Instrumente

Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann

Risikoanalyse und Programmplanung im Volkswagen Konzern

Inhalt

1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278

2 Der Volkswagen Konzern im Überblick . . . . . . . . . . . . . . . . . . . . 278

3 Revisionsarbeit bei Volkswagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 279

4 Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

4.1 Ziel der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

4.2 Audit Universe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281

4.3 Bewertung der Prüfungsfelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284

4.4 Einbezug von Prüfungsvorschlägen . . . . . . . . . . . . . . . . . . . . . . . 287

5 Programmplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

5.1 Analyse der Risikolandschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288

5.2 Definition von Prüfungsthemen . . . . . . . . . . . . . . . . . . . . . . . . . . 288

5.3 Kapazitätsplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290

5.4 Harmonisierung der Prüfungsprogramme . . . . . . . . . . . . . . . . . 290

5.5 Freigabe des Prüfungsprogramms . . . . . . . . . . . . . . . . . . . . . . . . . 291

6 Außerplanmäßige Prüfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291

7 Prüfungsablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

7.1 Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292

7.2 Prüfungsdurchführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

7.3 Prüfungsberichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293

8 Follow-Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294

9 Rollierende Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295

10 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295



http://www.esv.info/978%203%20503%2013686%205

278 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann

1 Einleitung

Die Interne Revision ist in den letzten Jahren von einer eher unauffälligen

Tätigkeit verstärkt in die Wahrnehmung im Unternehmen, insbesondere

der Leitungs - und Aufsichtsgremien, gerückt. Dies ist nicht zuletzt eine

Folge des KontraG1 sowie der aktuellen Gesetzgebungen (z. B. BilMoG2) auf-

grund der Vorfälle in den Unternehmen in der jüngeren Vergangenheit.

Themen der Unternehmensüberwachung, z. B. die Wirksamkeit des Inter-

nen Kontrollsystems, spielen seitdem eine wesentlich wichtigere Rolle.

Damit gingen erhöhte Anforderungen an die Durchführung und Do-

kumentation der ordnungsgemäßen und qualitativ hochwertigen Arbeit

der Internen Revision einher. Diese wird gemäß den vom Institute of In-

ternal Auditors (IIA) herausgegebenen und vom Deutschen Institut für In-

terne Revision (DIIR) übernommenen „Standards for the Professional Prac-

tice of Internal Auditing“ durchgeführt. Im Revisionsstandard Nr. 3 des

DIIR „Qualitätsmanagement in der Internen Revision“ sind die diesbezüg-

lichen Anforderungen an die Umsetzung und Überprüfbarkeit dokumen-

tiert.

Um die Erfüllung der Vorgaben zu nachvollziehbar dokumentierten

Prozessen in den Bereichen Risikoanalyse, Programmplanung, Prüfungs-

doku mentation und Follow-Up Prozess systemseitig zu unterstützen, hat

sich die Konzernrevision der Volkswagen AG entschieden, das Revisions-

Informations- und AnalyseSystem (RIAS) zu entwickeln.

Weitere Faktoren waren das rasante Wachstum des Unternehmens mit

den damit verbundenen Änderungen der Struktur und der zunehmen-

den Komplexität der Prozesse. Das System RIAS ermöglicht den effizien-

ten und risikogesteuerten Einsatz der Revision, um die wesentlichen Risi-

ken im Unternehmen systematisch und vollständig abzudecken.

Der folgende Beitrag gibt zunächst einen kurzen Überblick über den

Volkswagen Konzern und stellt die Revisionsarbeit bei Volkswagen vor. Im

Schwerpunkt des Beitrags wird dargestellt, wie die Revisionsprozesse Risi-

koanalyse und Programmplanung durch das System RIAS unterstützt wer-

den.

2 Der Volkswagen Konzern im Überblick

Der Volkswagen Konzern ist einer der führenden Automobilhersteller

weltweit und der größte Automobilproduzent Europas. Im Jahr 2010 lie-

ferte der Konzern 7.203 Millionen Fahrzeuge an Kunden aus. Das ent-

spricht einem Pkw-Weltmarktanteil von 11,4 Prozent.3

1 KontraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.

2 BilMoG: Gesetz zur Modernisierung des Bilanzrechts.

3 http://www.volkswagenag.com/vwag/vwcorp/content/de/the_group.html.



http://www.esv.info/978%203%20503%2013686%205

Risikoanalyse und Programmplanung im Volkswagen Konzern 279

Zum Konzern gehören neun Marken aus sieben europäischen Ländern:

Volkswagen, Audi, SEAT, Skoda, Volkswagen Nutzfahrzeuge, Bentley, Bu-

gatti, Lamborghini und Scania.

In 15 Ländern Europas und in sieben Ländern Amerikas, Asiens und Af-

rikas betreibt der Konzern 62 Fertigungsstätten. Fast 400.000 Beschäftigte

produzieren an jedem Arbeitstag rund um den Globus rund 30.000 Fahr-

zeuge oder sind mit fahrzeugbezogenen Dienstleistungen befasst. Seine

Fahrzeuge bietet der Volkswagen Konzern in mehr als 153 Ländern an.4

Der Struktur des Volkswagen Konzerns entsprechend ist die Konzern-

revision mit ihrer Zentrale in Wolfsburg und dezentralen Revisionen an

13 Konzernstandorten mit insgesamt 213 Mitarbeitern ebenso weltweit

vertreten. Die Konzernrevision in Wolfsburg ist funktional in die Berei-

che Treasury/Finanzdienstleistungen, Rechnungswesen/Controlling, Per-

sonal, Informationssysteme/Organisation, Technische Prozesse/Baupro-

jekte, Beschaffung/Logistik und Vermarktungsprozesse gegliedert mit

jeweils auf das Fachgebiet spezialisierten Prüfern. Die dezentralen Revi-

sionen hingegen decken für ihren Standort die wesentlichen Bereiche ab

und werden bei Bedarf durch Spezialisten aus der Konzernrevision unter-

stützt. Im Rahmen der Risikobewertung wurde dieses Prinzip bei der Zu-

ordnung der Verantwortlichkeiten im Audit Universe herangezogen (vgl.

Abschnitt Risikoanalyse/Audit Universe).

3 Revisionsarbeit bei Volkswagen

Die Prozesse in der Revision bei Volkswagen sind – im Gegensatz zu den

oben dargestellten Unterschieden in der Organisation – für alle Revisions-

standorte gleich. Die Risikoanalyse erfolgt systematisch und anhand

eines konzernweit einheitlichen Audit Universe5. Die Risikobewertung

der identifizierten Risiken erfolgt ebenfalls nach einem konzernweit ein-

heitlichen Risikobewertungsmodell.

Im Rahmen der Programmplanung werden die Prüfungsprogramme

durch die Konzernrevision und die dezentralen Revisionen erstellt. Nach

der Genehmigung des Prüfungsprogramms durch den Vorstand der Volks-

wagen AG und die Geschäftsleitung der jeweiligen Tochtergesellschaft

werden die geplanten Prüfungen sukzessive durchgeführt. Die bei einer

Prüfung festgestellten Prozessschwächen und Defizite im Internen Kon-

trollsystem (IKS) werden in einem Bericht dargestellt und Maßnahmen

oder Empfehlungen zu deren Abstellung mit dem geprüften Bereich ver-

einbart. Im Rahmen der rollierenden Risikobewertung werden die geprüf-

ten Risikofelder nach Abschluss einer Prüfung unter Berücksichtigung

der im Verlauf der Prüfung gewonnenen Erkenntnisse erneut bewertet.

Das Follow-Up der vereinbarten Maßnahmen und Empfehlungen bildet

den Abschluss einer Prüfung. Sowohl die rollierende Risikobewertung als

auch das Ergebnis des Follow-Ups, bei dem festgestellt wird, ob die ver-

4 http://www.volkswagenag.com/vwag/vwcorp/content/de/the_group.html.

5 IIA/DIIR PA 2010-1.



http://www.esv.info/978%203%20503%2013686%205


einbarten Maßnahmen und Empfehlungen umgesetzt sind oder nach wie

vor Prozessschwächen oder Defizite im IKS bestehen, fließen direkt in die

Risikoanalyse und damit in die Programmplanung für die nächste Perio-

de ein. „Abbildung 1: Revisionsprozess bei Volkswagen“ veranschaulicht

den Prozess.

Abb. 1: Revisionsprozess bei Volkswagen

Der gesamte Revisionsprozess bei Volkswagen wird mit dem RevisionsIn-

formations- und AnalyseSystem (RIAS) abgebildet. Zunächst sollen einige

technische Aspekte von RIAS beschrieben werden, bevor in den folgenden

Abschnitten auf die einzelnen Komponenten näher eingegangen wird.

RIAS ist eine Webapplikation, die von Volkswagen konzeptioniert und

nach diesen Vorgaben entwickelt wurde. Der Entscheidung für eine Eigen-

entwicklung liegt zugrunde, dass bei der Erstellung des Basiskonzepts für

RIAS im Jahre 2003 eine Softwarelösung, die die geforderte Komplexität

einer Konzernlandschaft mit vielen Gesellschaften und Prozessen abbil-

den konnte, am Markt nicht verfügbar war.

Das Programm besteht aus den folgenden Komponenten, die in den je-

weiligen Abschnitten näher beschrieben werden:

• Risikoanalyse (Einreichung und Verwaltung von Prüfungsvorschlägen,

systematische Risikobewertung der Prüfungsfelder des Audit Universe),

• Prüfungsprogrammerstellung,

• Verwaltung von Prüfungen, Berichten und wesentlichen Prüfungsdo-

kumenten

• Follow-Up-Verwaltung.

RIAS kann als integriertes System bezeichnet werden. Zum einen sind alle

Komponenten und Abläufe in RIAS miteinander verknüpft. Zum anderen

nutzen alle Revisionsstandorte weltweit RIAS, so dass alle Informationen

in eine gemeinsame Datenbank fließen.



http://www.esv.info/978%203%20503%2013686%205


Das System RIAS wird von allen Revisionsmitarbeitern genutzt. Je nach-

dem, ob der Nutzer Revisionsleiter, Prüfungsleiter oder Prüfer ist, stehen

dem Nutzer in RIAS unterschiedliche Funktionen mit unterschiedlichen

Berechtigungen zur Verfügung.

4 Risikoanalyse

4.1 Ziel der Risikoanalyse

Ziel der Risikoanalyse ist es, eine Risikolandkarte des Volkswagen Kon-

zerns auf Basis eines einheitlichen und umfassenden Planungsmodells zu

erstellen.

4.2 Audit Universe

Zur Erstellung der Risikolandkarte müssen zunächst potenzielle Prü-

fungsfelder festgelegt werden. Das Audit Universe stellt dann die Ge-

samtheit dieser Prüfungsfelder dar und wird auch als Risikolandkarte be-

zeichnet. Mit dem Audit Universe wird eine vollständige Abdeckung der

Geschäftstätigkeit im Volkswagen Konzern durch die Konzernrevision si-

chergestellt. Ein weiterer Schritt ist die Umsetzung eines konzernweit ein-

heitlichen Risikobewertungsmodells. Somit soll eine konsistente und ver-

gleichbare Risikobeurteilung durch alle Revisionseinheiten sichergestellt

werden. Bei der Systementwicklung bestand eine besondere Herausfor-

derung darin, eine zweckmäßige, nicht zu komplexe Abbildung des Kon-

zerns herauszuarbeiten. Die Darstellung muss gleichzeitig vollständig

sein (ohne „weiße Flecken“), aber überschneidungsfrei (ohne Doppelbe-

trachtungen).

Das Audit Universe des Volkswagen Konzerns setzt sich aus Gesellschaf-

ten, Prozessen und Verantwortlichkeiten zusammen und bezeichnet da-

mit die „Gesamtheit der Prüfungsobjekte“. Insgesamt hat das Audit Uni-

verse des Volkswagen Konzerns aktuell 38.2596 Prüfungsfelder, die sich

aus einer Matrixdarstellung aus Gesellschaften und Prüfungsobjekten er-

geben.

Als Gesellschaften wurden alle wesentlichen Gesellschaften berück-

sichtigt, an denen die Volkswagen AG oder eine ihrer Tochtergesellschaf-

ten mit mind. 40 % beteiligt ist und deren Geschäftstätigkeit aktiv ist.

Diese Gesellschaften wurden anhand des Kapitalanteilsbesitzes der Volks-

wagen AG ermittelt. Im Dezember 2010 enthielt das Audit Universe 351

aktive Gesellschaften. Zur Abbildung der relevanten Prozesse im Audit

Universe wurde das Konzernprozessmodell herangezogen. Dieses Mo-

dell stellt die Kerngeschäftsprozesse in verschiedenen Detaillierungsebe-

nen dar. Die Basis für das Audit Universe bilden 96 Steuerungsprozesse

und unterstützende Prozesse, 121 Produktprozesse, 91 Kundenauftrags-

6 351 Gesellschaften x 109 Prüfungsobjekte und Prüfungsobjektgruppen =

38.259 Prüfungsfelder.



http://www.esv.info/978%203%20503%2013686%205


prozesse und 99 Serviceprozesse „vor Kunde“, insgesamt also 407 Kern-

geschäftsprozesse. Um diese Komplexität angemessen abdecken zu kön-

nen, wurden die Einzelprozesse in Prüfungsobjekte und Objektgruppen

zusammengefasst. Derzeit enthält das Audit Universe 74 aus dem Konzern-

prozessmodell abgeleitete Prüfungsobjekte für alle Revisionsabteilungen

(vgl. „Abbildung 2: Ausschnitt aus dem Audit Universe“). Die Prüfungsob-

jekte sind thematisch in 35 Prüfungsobjektgruppen gegliedert.

Abb. 2: Ausschnitt aus dem Audit Universe

Die Verantwortlichkeiten für die Risikobewertung der einzelnen Prü-

fungsfelder ist klar geregelt. Für jede Gesellschaft ist ein Revisionsstand-

ort als primär verantwortlich benannt, der die Bewertung durchführt.

Handelt es sich dabei um den Standort der Konzernrevision, Wolfsburg,

wird die Bewertung von acht spezialisierten Prüfungsleitern durchge-

führt. Jeder Prüfungsleiter bewertet die zu seinem Fachgebiet gehörenden

Prüfungsfelder. Diese sind meist 10 bis 15 Prüfungsobjektgruppen und

Prüfungsobjekten zugeordnet. Ist der verantwortliche Standort ein dezen-

traler Standort, ist der Revisionsleiter vor Ort für die Risikobewertung al-

ler Prüfungsfelder einer Gesellschaft verantwortlich (bis zu 140 Prüfungs-

felder pro Gesellschaft).

Dabei sind die Prüfungsleiter der Konzernrevision verantwortlich für

die horizontale Prozessebene, wie z. B. Treasury und Finanzdienstleistun-

gen, Informationssysteme und Organisation. Bei den 13 dezentralen Revi-

sionsstandorten erstreckt sich die Verantwortung auf sämtliche Prozesse

einer Gesellschaft (vertikale Ebene).

Aufgrund der Größe des Audit Universe ist eine vollständige Ansicht

sehr unübersichtlich und wäre für die Risikobewertung nicht geeignet.

Jedem Prüfungsleiter wird daher eine individuelle Ansicht bereitgestellt.

Diese ist auf seinen Verantwortungsbereich zugeschnitten. So sieht je-

der Prüfungsleiter in seinem Audit Universe-Ausschnitt nur die ihn be-

treffenden Prüfungsfelder. Dies führt dazu, dass ein Prüfungsleiter der

Konzernrevision in seinem Ausschnitt viele Gesellschaften, aber nur we-

nig Prüfungsobjekte sieht. Sein Audit Universe-Ausschnitt ist horizontal

orientiert. Der lokale Revisionsleiter, der in einer dezentralen Revision die

Risikobewertung durchführt, sieht hingegen nur wenige Gesellschaften,



http://www.esv.info/978%203%20503%2013686%205


aber dafür alle Prüfungsobjekte dieser Gesellschaften. Sein Audit Univer-

se-Ausschnitt ist vertikal orientiert. „Abbildung 3: Audit Universe – sche-matische Darstellung“ veranschaulicht die unterschiedlichen Ansichten.

Abb. 3: Audit Universe – schematische Darstellung

Darüber hinaus hat jeder Prüfungsleiter die Möglichkeit, zwischen den

Darstellungsvarianten zu wechseln. Dazu steht ihm das in „Abbildung 4: Audit Universe – Menü „Inhalte“ gezeigte Menü zur Verfügung. So kann

er z. B. die eigene Bewertung für einzelne Prüfungsfelder und die Bewer-

tung eines anderen Prüfungsleiters für die gleichen Prüfungsobjekte bei

einer vergleichbaren Gesellschaft nebeneinanderstellen.

Abb. 4: Audit Universe – Menü „Inhalte“



http://www.esv.info/978%203%20503%2013686%205


4.3 Bewertung der Prüfungsfelder

Die Bewertung der Prüfungsfelder erfolgt durch den Bewertungsverant-

wortlichen. Ein Prüfungsfeld kann vier verschiedene logische Zustände

annehmen:

• Nicht bewertet

• Nicht zutreffend

• Individuell bewertet

• Über Mutter bewertet bzw. über Tochter bewertet

„Nicht bewertet“ ist ein vorübergehender Zustand und stellt einen Aus-

nahmefall dar. Bei den als „nicht bewertet“ gekennzeichneten Prüfungs-

feldern ist der zuständige Prüfungsleiter aufgefordert, zeitnah eine

entsprechende Bewertung vorzunehmen. „Nicht zutreffend“ ist zu ver-

wenden, wenn es das Prüfungsfeld in der jeweiligen Gesellschaft nicht

gibt. Das betrifft z. B. die Prüfungsobjektgruppen in den Bereichen For-

schung, Entwicklung und Produktion bei Finanzgesellschaften wie z. B.

der Volkswagen Financial Services AG. Wenn ein Prüfungsfeld individuell

bewertet wird, sind dazu Risikowerte für fünf Kriterien festzulegen. Für je-

des Kriterium können zwischen 0 und 4 Punkte vergeben werden, wobei

4 für ein besonders hohes Risiko steht. Die fünf zu bewertenden Kriterien

sind (siehe auch „Abbildung 5: Audit Universe – Prüfungsfelddetails“):

• Indikator/Basis für mögliches Schadensausmaß

• Internes Kontrollsystem (IKS)/Prozess- und Organisationsstruktur/Kom-

plexität

• Neue Projekte/Vorhaben

• Datum letzte Prüfung

• Qualifizierte kritische Hinweise/Follow-Up-Feststellungen

Abb. 5: Audit Universe – Prüfungsfelddetails



http://www.esv.info/978%203%20503%2013686%205


Die fünf Kriterien sind aktuell mit je 20 % gewichtet. Die Gewichtung

kann im System geändert werden. Die einzelnen Risikopunkte der Krite-

rien werden mit 20 multipliziert und addiert. So ergibt sich für jedes Prü-

fungsfeld ein Risikowert zwischen 0 und maximal 400.

Bei dem Kriterium „Indikator/Basis für mögliches Schadensausmaß“ ist

das Ausmaß möglicher materieller und immaterieller Schäden anhand

von Hilfsgrößen (Indikatoren) abzuschätzen, die eine Bewertung unter-

stützen sollen. Beispiele für Indikatoren sind Umsatz, Einkaufs- oder Auf-

tragsvolumen, Mitarbeiterzahl, IT-Kosten. Diese Daten können von zen-

traler Stelle im System hinterlegt werden. Grundsätzlich sollten leicht

ermittelbare Indikatoren verwendet werden, um den Rechercheaufwand

im Rahmen zu halten. Die Schadensindikatoren sind von den Prüfungs-

leitern festzulegen. Die Gesellschaftsinformationen, als welche die Daten

im System hinterlegt sind, sind im System an zentraler Stelle zu finden.

Bei dem Kriterium „IKS/Prozess- und Organisationsstruktur/Komple-

xität“ nimmt der Prüfungsleiter bei der Bewertung eine Einschätzung

hinsichtlich des IKS bzw. der Komplexität von Prozess- und Organisa-

tionsstrukturen vor. Ein geringes Risiko von Manipulation oder Bearbei-

tungs- und Systemfehlern ist mit 0–1 Risikopunkten zu bewerten, ein

mittleres Risiko mit 2 Punkten und ein hohes Risiko mit 3–4 Punkten. Bei

neuen Prozessen und Organisationsstrukturen werden eher hohe Risiko-

werte (3–4) gewählt, bei „eingefahrenen“ Prozessen meist mittlere Werte

(2). Zusätzlich wird bei diesem Kriterium ein „länderspezifisches Risiko“

systematisch berücksichtigt. Hierbei werden nach einem festgelegten Ver-

fahren unter Berücksichtigung von Korruptionsindizes (z. B. Transparen-

cy International) jährlich die Länder ermittelt, in denen ein „länderspe-

zifisches Risiko“ besteht. Liegt ein länderspezifisches Risiko vor, erhalten

alle Konzerngesellschaften, die in dem jeweiligen Land ansässig sind, eine

Kennzeichnung. Diese bewirkt, dass bei Vergabe der Risikowerte 2 oder 3

für das Kriterium „IKS/Prozess- und Organisationsstruktur/Komplexität“

ein zusätzlicher Risikopunkt addiert wird. So wird dem erhöhten Risiko-

potenzial aufgrund kultureller Unterschiede Rechnung getragen.

Dem Kriterium „Neue Projekte/Vorhaben“ liegt die Annahme zugrun-

de, dass bei relevanten neuen Projekten und Vorhaben ein höheres Risiko-

potenzial vorliegt, da erfahrungsgemäß gerade in der Anfangsphase eine

höhere Wahrscheinlichkeit von System- und Bearbeitungsfehlern besteht.

Interne Kontrollsysteme sind in der Anfangsphase häufig (noch) nicht aus-

reichend eingerichtet bzw. nicht an die veränderten Rahmenbedingun-

gen angepasst. Geringfügige Innovationen/Änderungen in dem zu bewer-

tenden Prüfungsfeld mit vernachlässigbaren Auswirkungen sind daher

mit 0–1 Risikopunkten zu bewerten. Innovationen/Änderungen mit Aus-

wirkungen, die beherrschbar sein sollten, sind mit Risikowert 2 zu bewer-

ten und gravierende Innovationen/Änderungen mit dem Risiko kritischer,

nicht ausreichend kontrollierter Auswirkungen erhalten 3–4 Risikopunk-

te. Beispiele für neue Projekte können z. B. der Aufbau einer neuen Fabrik

an einem neuen Standort, neue Produkte oder die Neueinführung pro-

duktionsrelevanter IT-Systeme sein.



http://www.esv.info/978%203%20503%2013686%205


Das Kriterium „Datum letzte Prüfung“ bildet ab, dass bei länger nicht

bzw. noch nie geprüften Prüfungsfeldern und Prozessen ein erhöhtes Ri-

siko besteht. So soll verhindert werden, dass weiße Flecken in der Risi-

kolandkarte entstehen. Da die Information, wann die letzte Prüfung in

diesem Prüfungsfeld stattgefunden hat, systemtechnisch vorliegt, erfolgt

hier eine automatische Berechnung des Risikowerts für dieses Kriterium.

Dabei findet folgende Staffelung Anwendung:

• Letzte Prüfung vor max. 2 Jahren: 0 Punkte

• Letzte Prüfung vor 3 Jahren: 1 Punkt

• Letzte Prüfung vor 4 Jahren: 2 Punkte

• Letzte Prüfung vor 5 Jahren: 3 Punkte

• Letzte Prüfung vor mehr als 5 Jahren: 4 Punkte

Eine manuelle Übersteuerung ist möglich, wenn zwar eine Prüfung statt-

gefunden hat, diese aber nur einen Teilbereich des Prüfungsfelds tangiert

hat. In diesem Fall würde die Prüfung für die Berechnung des Risikowerts

nicht herangezogen. Berücksichtigt werden bei der Ermittlung des Risiko-

werts alle Prüfungen, d. h. Prüfungen der Konzernrevision und der dezen-

tralen Revisionen einschließlich Self-Assessments.

Das Kriterium „Qualifizierte kritische Hinweise/Follow-Up-Feststellun-

gen“ wird auf Grundlage von Unterlagen wie z. B. Prüfungsvorschlägen,

Wirtschaftsprüfer-Berichten, Follow-Up-Informationen, Ombudsmann-

hinweisen oder Geschäftsberichten bewertet. Auch Behördenanfragen

und direkt in der Konzernrevision eingehende Informationen können

hier eine Rolle spielen. Die Risikobewertung erfolgt im Hinblick auf mög-

liche dolose Handlungen, wirtschaftliche Risiken und Reputationsrisi-

ken. Keine bzw. kaum spezifizierte Hinweise mit geringer Glaubwürdig-

keit erhalten 0–1 Risikopunkte. Nachvollziehbare Hinweise auf mögliche

Schwachstellen ohne akute Sachverhalte erhalten 2 Punkte. Konkrete Hin-

weise bzw. bei einer Häufung von Hinweisen auf akute, kritische Sachver-

halte sind 3 Punkte zu vergeben. Gibt es glaubwürdige, konkrete Hinweise

auf unmittelbare akute Risiken bzw. Schäden, besteht eine starke Gefahr

von Reputationsrisiken und ist eine sofortige Prüfung unabdingbar, er-

hält das Kriterium 4 Punkte. In diesem Fall verändert sich die Gewichtung

aller Risikokriterien. Werden für dieses Kriterium 4 Punkte vergeben, er-

hält das Kriterium automatisch eine Gewichtung von 100 % und das Prü-

fungsfeld den maximalen Risikowert von 400. In dem Moment spielen die

Risikopunkte, die für die anderen vier Kriterien vergeben wurden, keine

Rolle mehr.

Darüber hinaus gibt es die Möglichkeit, in Einzelfällen statt einer indi-

viduellen Bewertung die Bewertung der Mutter- oder einer Tochtergesell-

schaft für das gleiche Prüfungsobjekt zu übernehmen. Dazu kann einer

Prüfungsobjektgruppe die Eigenschaft „über Mutter bewertet (MB)“ oder

„über Tochter bewertet (TB)“ zugeordnet werden. Dann wird für eine kom-

plette Prüfungsobjektgruppe auf den entsprechenden Risikowert der Mut-

ter- oder Tochtergesellschaft referenziert. Über den Präfix „MB“ bzw. „TB“,

der in diesem Fall dem Risikowert vorangestellt wird, ist die Referenz auf



http://www.esv.info/978%203%20503%2013686%205


die Mutter- oder eine Tochtergesellschaft klar als solche erkennbar. Die Be-

wertung über Mutter- bzw. Tochtergesellschaft kommt zur Anwendung,

wenn es sich z. B. um Gesellschaften mit gleichem Aufgabenbereich und

vergleichbarer Größe handelt.

4.4 Einbezug von Prüfungsvorschlägen

Jedes Jahr wird im Vorlauf zur Planung des Prüfungsprogramms durch

die Konzernrevision sowie die dezentralen Revisionen eine Abfrage von

Prüfungsvorschlägen durchgeführt. Alle Führungskräfte des Konzerns

sowie die Mitarbeiter der Revisionsabteilungen können konkrete Prü-

fungsvorschläge einreichen, die dann in die Risikobewertung sowie die

Prüfungsprogrammplanung einfließen. Die Einreichungsmaske (vgl. „Ab-bildung 6: Einreichungsmaske für Prüfungsvorschläge“) steht in sechs

Sprachen zur Verfügung. Im Durchschnitt gehen rd. 700–800 Vorschlä-

ge pro Jahr weltweit ein, wobei das Vorschlagsaufkommen nach Standort

und Prüfungsgebiet sehr unterschiedlich ist. Der Einreicher nimmt eine

erste Priorisierung in „normal“ oder „hoch“ vor. Die eingegangenen Prü-

fungsvorschläge werden im System dem für das betreffende Prüfungsfeld

zuständigen Prüfungsleiter zugewiesen, der dann im Bearbeitungskorb –

der Startseite, die direkt nach der Anmeldung angezeigt wird (vgl. „Abbil-dung 7: Bearbeitungskorb“) darüber informiert wird.

Abb. 6: Einreichungsmaske für Prüfungsvorschläge



http://www.esv.info/978%203%20503%2013686%205


Abb. 7: Bearbeitungskorb

Der Prüfungsleiter prüft jeden Vorschlag und ordnet ihn dann einzelnen

Prüfungsfeldern zu. Wenn der Inhalt des Vorschlags Einfluss auf den Ri-

sikowert des Prüfungsfelds hat, passt der Prüfungsleiter die entsprechen-

de Bewertung an. Eine unterjährige Einreichung von Vorschlägen ist eben-

falls möglich. Der zuständige Prüfungsleiter nimmt eine Klassifizierung

vor, um bei der Vielzahl der Prüfungsvorschläge den Überblick zu behal-

ten. Als Klassifizierung stehen ihm A, B und C zur Verfügung.

5 Programmplanung

Nach der Definition und Bewertung des Audit Universe ergibt sich eine Ri-

sikolandkarte für den gesamten Volkswagen Konzern. Ziel der Programm-

planung ist, ein Prüfungsprogramm zu erstellen, das systematisch und

zielgerichtet unter Berücksichtung der Prüfungskapazität die höchsten

Risiken in der Risikolandschaft adressiert. Zur Erstellung des Prüfungs-

programms geht der Prüfungsleiter in folgenden Arbeitsschritten vor:

5.1 Analyse der Risikolandschaft

Wie im vorangegangenen Abschnitt dargestellt, analysiert der Prüfungs-

leiter in diesem Schritt die Risikolandschaft für die Prüfungsfelder der Ge-

sellschaften, für die er die primäre Bewertungsverantwortung im Audit

Universe hat, dahingehend, dass er die höchsten Risiken einzelner Prozes-

se bzw. Prozessketten in seinem Verantwortungsbereich identifiziert (vgl.

„Abbildung 2: Ausschnitt aus dem Audit Universe“).

5.2 Definition von Prüfungsthemen

Im nächsten Schritt definiert der Prüfungsleiter Prüfungsthemen und

ordnet diese den Prüfungsfeldern bzw. Prüfungsvorschlägen aus dem Au-

dit Universe zu. Ein Prüfungsthema kann z. B. den Titel „Migration der



http://www.esv.info/978%203%20503%2013686%205


Mitarbeiterstammdaten in das neue Personalabrechnungssystem“ tragen.

Abgedeckt werden bei dieser Prüfung z. B. die Prüfungsfelder, die sich aus

der Schnittmenge der Prüfungsobjekte Zeit- und Entgeltabrechnung, Zu-

griffsschutz auf Personaldaten, IT-Projekte und Sicherheit der IT-Syste-

me mit der zu prüfenden Organisationseinheit, z. B. Audi AG, ergeben.

Ein Prüfungsthema kann im Rahmen der jährlichen Programmplanung

wahlweise als planmäßige Prüfung oder als planmäßiges Self-Assessment

definiert werden. Somit bietet das System dem Prüfungsleiter die Mög-

lichkeit, eine dem Risiko des Prüfungsfeldes angemessene Prüfungsart zu

wählen (vgl. Abbildung 8: Auswahl der Prüfungsart).

Abb. 8: Auswahl der Prüfungsart

Nach der Definition der Prüfungsthemen kann der Prüfungsleiter über

RIAS mit Hilfe eines „Risikoreports“ Lücken bzw. weiße Flecken im bis-

lang aufgestellten Prüfungsprogramm identifizieren. Der Risikoreport

ist eine tabellarische Auflistung aller Prüfungsfelder, absteigend sortiert

nach dem im Rahmen der Risikoanalyse bestimmten Risikowert im MS Ex-

celformat. Er verfügt zusätzlich über die Information, wann das Prüfungs-

feld das letzte Mal mit welchem Prüfungsthema geprüft wurde und ob

das Prüfungsfeld in der aktuell zu planenden Prüfungsperiode bereits Be-

rücksichtigung findet. Legt die Revisionsleitung fest, dass alle Prüfungs-

felder mit einem Risikowert von z. B. 300 oder mehr im Rahmen planmä-

ßiger Prüfungen bzw. Prüfungsfelder mit einem Wert zwischen 250 und

300 mit planmäßigen Self Assessments abzudecken sind, hilft der Risiko-

report, mögliche weiße Flecken in der Prüfungsprogrammplanung zu er-

kennen und zu korrigieren. Somit trägt der Risikoreport maßgeblich zur

Prozesssicherheit im Rahmen der Programmplanung bei.



http://www.esv.info/978%203%20503%2013686%205


5.3 Kapazitätsplanung

Um sicherzustellen, dass das aktuelle Prüfungsprogramm mit den ak-

tuell zur Verfügung stehenden Ressourcen umgesetzt werden kann, führt

der Prüfungsleiter eine Kapazitätsplanung durch. In dieser Kapazitätspla-

nung werden die definierten Prüfungsthemen den zur Verfügung stehen-

den Prüfungskapazitäten gegenüber gestellt. Die Prüfungskapazität be-

misst sich u. a. an der Anzahl der jährlichen Arbeitstage abzüglich der

Tage für Urlaub, Krankheit und Fortbildung. Jedoch spielt auch die ver-

anschlagte Zeit zur Durchführung von Follow-Ups zu Vorjahresprüfun-

gen (siehe Follow-Up) sowie ein Erfahrungswert für die Prüfungskapazi-

tät, die in einem Kalenderjahr für unvorhergesehene Sonderprüfungen

(siehe Außerplanmäßige Prüfungen) aufzuwenden ist, eine Rolle. Somit

wird das Prüfungsprogramm im Rahmen der Kapazitätsplanung auf sei-

ne Umsetzbarkeit hin überprüft. Sollten ausreichende Prüfungskapazitä-

ten nicht zur Verfügung stehen, ist entweder die Verfügbarkeit weiterer

Prüfungskapazität sicherzustellen oder das Niveau des akzeptierten Risi-

kos nach Rücksprache mit der Geschäftsführung sowie dem Prüfungsaus-

schuss anzuheben. Die Funktionalität zur Kapazitätsplanung ist in RIAS

nicht hinterlegt. Die Berechnungen werden vom Prüfungsleiter auf Basis

eines einheitlichen Schemas außerhalb des Systems vorgenommen. Aus-

schließlich die Dokumentation der geplanten sowie der tatsächlich benö-

tigten Prüfungsmanntage wird im System hinterlegt (vgl. „Abbildung 9: Dokumentation der Prüfungsdauer“).

Abb. 9: Dokumentation der Prüfungsdauer

5.4 Harmonisierung der Prüfungsprogramme

Nach der Definition der Prüfungsthemen sowie der Kapazitätsplanung

findet eine Harmonisierung der Prüfungsprogramme zwischen den Prü-

fungsleitern der Konzernrevision und den Revisionsleitern der dezentra-



http://www.esv.info/978%203%20503%2013686%205


len Revisionen statt. In dieser Phase wird sichergestellt, dass aus Konzern-

sicht ein durchgängiges Prüfungsprogramm erstellt wird, so dass weder

einzelne Prozesse noch zu prüfende Organisationseinheiten unverhältnis-

mäßig stark über- bzw. untergewichtet werden. Außerdem wird in die-

ser Phase ein Forum zur Verfügung gestellt, in dem Prüfungsleiter unter-

einander Joint-Audits, also Prüfungen durch fachbereichsübergreifende

Prüfungsteams, vereinbaren können. Bezugnehmend auf unser Beispiel-

Prüfungsthema „Migration der Mitarbeiterstammdaten in das neue Per-

sonalabrechnungssystem“ wäre ein Joint-Audit zwischen der Konzernre-

vision „Personalwesen“ und der Konzernrevision „Informationssysteme

und Organisation“ ebenso möglich wie ein Joint-Audit zwischen der Kon-

zernrevision „Personalwesen“ und einer dezentralen Revision.

Dieser Harmonisierungsprozess ist mehr ein kommunikativer als ein

systemgestützter Prozess. Dennoch bietet das System RIAS an dieser Stel-

le vielfältige Unterstützungsmöglichkeiten. So kann man in Echtzeit auf

alle Prüfungsprogramme der Revisionsabteilungen zugreifen, die entspre-

chenden Audit Universe-Ausschnitte anzeigen sowie die Abdeckung der

maßgeblichen Risiken durch die einzelnen Prüfungsprogramme anhand

eines Vergleichs mit dem Risikoreport überprüfen. Sämtliche an dieser

Stelle genannten Daten können entweder über die Systemoberfläche oder

als Export in Microsoft Office-Dokumenten dargestellt und abgespeichert

werden.

5.5 Freigabe des Prüfungsprogramms

Nach der Definition des Prüfungsprogramms, der Validierung im Rahmen

der Kapazitätsplanung sowie der Harmonisierung zwischen den Revisions-

einheiten und ggf. der Genehmigung durch die lokale Geschäftsleitung er-

folgt die Vorstellung des Prüfungsprogramms der Revision beim Vorstands-

vorsitzenden der Volkswagen AG, der es im Anschluss daran genehmigt. Im

System RIAS erhält dann das Prüfungsprogramm den Status „freigegeben“

und jedem Prüfungsthema wird eine eindeutige Prüfungsnummer zuge-

ordnet. Darüber hinaus wird das Audit Universe mit den der Programm-

planung zugrundeliegenden Risikowerten archiviert, so dass zu jedem

beliebigen Zeitpunkt die Risikoanalyse und das daraus abgeleitete Prü-

fungsprogramm jeder Prüfungsperiode nachvollzogen werden kann.

6 Außerplanmäßige Prüfungen

Ergibt sich unterjährig, z. B. aufgrund doloser Handlungen, die Notwen-

digkeit, über die im Prüfungsprogramm definierten Prüfungen hinaus

eine Prüfung durchzuführen, so bietet das System RIAS die Möglichkeit,

außerplanmäßige Prüfungen bzw. außerplanmäßige Self-Assessments an-

zulegen. Das Anlegen von außerplanmäßigen Prüfungen erfolgt identisch

zum Anlegen von planmäßigen Prüfungen mit dem Unterschied, dass der

Status „außerplanmäßig“ vergeben wird (vgl. „Abbildung 10: Auswahl der Prüfungsart“).



http://www.esv.info/978%203%20503%2013686%205


Abb. 10: Auswahl der Prüfungsart

7 Prüfungsablauf

Das aus der Risikoanalyse abgeleitete und durch den Vorstandsvorsitzen-

den genehmigte Prüfungsprogramm stellt den formalen Prüfungsauftrag

an die Revision dar. Ausgehend vom Prüfungsprogramm werden die ein-

zelnen Prüfungsthemen vom Revisionsleiter den verschiedenen Prüfungs-

teams der Revision zugewiesen. Die Prüfungsleiter der einzelnen Teams

geben dann den Revisoren die Abfolge sowie den zeitlichen Rahmen

der Einzelprüfungen vor. Dabei sind Prüfungen in den Prüfungsfeldern

mit hohen Risikowerten vordringlich zu bearbeiten. Der Prüfungsablauf

unterteilt sich in die Bereiche Prüfungsvorbereitung, Prüfungsdurchfüh-

rung sowie Prüfungsberichterstattung.

7.1 Prüfungsvorbereitung

Zu Beginn der Prüfungsvorbereitung werden gemeinsam zwischen Prü-

fungsleitung und den Revisoren die zu prüfenden Prozesse sowie das Prü-

fungsziel definiert. Anschließend erfolgt die schriftliche Anmeldung der

Prüfung beim jeweiligen Leiter des zu prüfenden Bereichs bzw. bei der

Geschäftsführung von Tochtergesellschaften. Die Anmeldung erfolgt mit

dem Ziel, den geprüften Bereich über das Prüfungsthema sowie die ver-

antwortlichen Prüfer zu informieren und die Einplanung der notwendi-

gen Ressourcen seitens des Fachbereichs für die Prüfungsdurchführung

sicherzustellen. Von der Anmeldung wird bei Sonder-, Bestands- und

Unterschlagungsprüfungen abgesehen, wenn durch die Anmeldung eine

Verfälschung der tatsächlichen Gegebenheiten befürchtet werden muss.

Die Anmeldung einer Prüfung wird in RIAS dokumentiert, womit die je-

weilige Prüfung den Status „begonnen“ erhält.



http://www.esv.info/978%203%20503%2013686%205


Ein weiterer Bestandteil der Prüfungsvorbereitung besteht in der Pla-

nung des zeitlichen und inhaltlichen Prüfungsablaufes in Form eines

Arbeitsprogramms, der Analyse der Prüfungsobjekte, der Beschaffung

von Informationen und Arbeitsmitteln sowie der Einarbeitung in die Prü-

fungsmaterie. Im Rahmen der Prüfungsvorbereitung wird ebenfalls eine

grundsätzliche Planung über die während der Prüfungsdurchführung zu

nehmenden sowie zu analysierenden Stichproben vorgenommen.

7.2 Prüfungsdurchführung

Während der Prüfungsdurchführung werden die im Rahmen des Arbeits-

programms definierten inhaltlichen Bestandteile der zu prüfenden Pro-

zesse auf Ordnungsmäßigkeit, Nachvollziehbarkeit und Wirtschaftlich-

keit hin überprüft. Hierzu werden entsprechende Stichproben genommen

und analysiert. Die Dokumentation der gesamten Prüfungstätigkeit er-

folgt in tabellarischer Form auf Basis der sogenannten Prüfungsmatrix.

Im Rahmen der Prüfungsmatrix werden für jede Prüfungsfeststellung die

sich ergebenden Risiken bzw. Konsequenzen dokumentiert. Im nächsten

Schritt schlagen die Revisoren Maßnahmen vor, mit denen die Risiken,

die sich aus den Prüfungsfeststellungen ergeben, beherrscht werden sol-

len. Am Ende der Prüfungsdurchführung werden die Prüfungsfeststellun-

gen mit der jeweiligen Fachbereichsleitung im Rahmen eines Abschluss-

gesprächs diskutiert. Ziel des Abschlussgespräches ist es, eine einheitliche

Wahrnehmung bezüglich der bestehenden Risiken zwischen Fachbereich

und Revision zu schaffen. Ist diese einheitliche Wahrnehmung etabliert,

können Maßnahmen, Umsetzungsverantwortlichkeiten sowie Implemen-

tierungstermine zur Beherrschung der Risiken vereinbart werden.

7.3 Prüfungsberichterstattung

An die Prüfungsdurchführung schließt sich die Prüfungsberichterstat-

tung an. Die Prüfungsberichterstattung wird mit RIAS nicht abgebildet.

Im Sinne einer vollständigen Darstellung soll im Folgenden dennoch kurz

auf die Prüfungsberichterstattung eingegangen werden. In dieser Phase

werden die Prüfungsfeststellungen, die sich daraus ergebenden Risiken

sowie die definierten Maßnahmen aus der Prüfungsmatrix in einen Be-

richtsentwurf übertragen. Der Berichtsentwurf aggregiert die Details, die

im Rahmen der Prüfungsmatrix dokumentiert wurden. Er enthält für

jede Maßnahme einen bzw. mehrere Umsetzungsverantwortliche sowie

den Umsetzungstermin. Der Berichtsentwurf wird den geprüften sowie

den für die Maßnahmenumsetzung verantwortlichen Fachbereichen zur

Stellungnahme zur Verfügung gestellt. Sollte sich aus den Stellungnah-

men der Fachbereiche die sachliche Notwendigkeit zur Anpassung des Be-

richtes ergeben, wird diese durch die Revision vorgenommen. Der Prozess-

schritt, den Berichtsentwurf den Fachbereichen vorab zur Stellungnahme

zur Verfügung zu stellen, stellt somit einen wichtigen Schritt zur Quali-

tätssicherung dar.



http://www.esv.info/978%203%20503%2013686%205


Im Anschluss wird der endgültige Bericht an den von der Revision fest-

gelegten Verteiler, das sind bei der Konzernrevision der Konzernvorstand,

die entsprechenden Kontrollorgane sowie die Leiter der entsprechenden

Bereiche, versandt. Bei dezentralen Revisionen beschränkt sich der Ver-

teiler auf die jeweilige Geschäftsführung, die Leiter der entsprechenden

Bereiche sowie den Leiter der Konzernrevision. Im Rahmen der Berichts-

veröffentlichung werden die Fachbereiche aufgefordert, die Arbeit der Re-

vision auf Basis eines standardisierten Feedback-Bogens zu bewerten. Die

Ergebnisse dieser Feedbacks dienen der Revision zur kritischen Reflekti-

on sowie zur stetigen Verbesserung der eigenen Prozesse. Der Prüfungsbe-

richt wird in RIAS abgespeichert. Als Anlage wird ebenfalls die Prüfungs-

matrix in RIAS archiviert. Die jeweilige Prüfung erhält in RIAS den Status

„abgeschlossen“.

8 Follow-Up

Wie „Abbildung 1: Revisionsprozess bei Volkswagen“ darstellt, bildet

das Follow-Up der vereinbarten Maßnahmen und Empfehlungen den Ab-

schluss einer Prüfung. Erst wenn die im Laufe einer Prüfung festgestellten

Prozessschwächen und Defizite im Internen Kontrollsystem (IKS) behoben

sind, entfallen oder minimieren sich die Risiken für das Unternehmen.

Sobald eine Prüfung abgeschlossen und der Bericht erstellt und veröf-

fentlicht ist, beginnt der Follow-Up-Prozess in RIAS. Dazu wird für jede

Maßnahme und Empfehlung des Berichts in RIAS ein Follow-Up-Daten-

satz erstellt. Jeder Follow-Up-Datensatz wird mit dem Fälligkeitsdatum

der Maßnahme bzw. Empfehlung versehen und erhält zunächst den Sta-

tus „nicht eingeleitet“. Liegen dem Prüfungsleiter zu diesem Zeitpunkt

bereits Informationen über einen anderen Status vor, so wird er diesen be-

rücksichtigen (Bsp.: Eine aufgedeckte Sicherheitslücke wird bereits wäh-

rend der Prüfung oder Berichtserstellung geschlossen).

Für jede Prüfung legt der zuständige Prüfungsleiter einen Follow-Up-

Verantwortlichen fest. Wird nun das Fälligkeitsdatum einer Maßnahme

oder Empfehlung überschritten, erhalten der in RIAS der Prüfung zuge-

ordnete Prüfungsleiter und der Follow-Up-Verantwortliche in ihrem Be-

arbeitungskorb (vgl. „Abbildung 7: Bearbeitungskorb“) – automatisch

eine Meldung. Der Prüfer kann dann mit wenigen Mausklicks die fälligen

Maßnahmen und Empfehlungen exportieren und mit der Bitte um eine

Statusmeldung und Umsetzungsdetails an den geprüften Fachbereich ver-

senden. Gemeinsam mit dem Prüfungsleiter bewertet der Prüfer die er-

haltenen Antworten. Führt die Bewertung zu dem Ergebnis, dass die Maß-

nahme oder Empfehlung umgesetzt ist, ändert der Prüfungsleiter den

Follow-Up-Status der Maßnahme oder Empfehlung auf „abgeschlossen“.

Ergibt die Bewertung, dass eine mit dem geprüften Fachbereich verein-

barte Maßnahme nicht oder noch nicht vollständig umgesetzt ist, erhält

das Follow-Up den Status „eingeleitet“. Stellt sich heraus, dass die Umset-

zung einer Maßnahme oder Empfehlung nicht praktikabel oder nicht

wirtschaftlich ist, können der Prüfungsleiter oder die Revisionsleitung im



http://www.esv.info/978%203%20503%2013686%205


Ausnahmefall entscheiden, dass diese Maßnahme oder Empfehlung nicht

weiter verfolgt wird. Das Follow-Up erhält dann den finalen Status „nicht

umgesetzt“ (vgl. auch „Abbildung 11: Follow-Up-Liste zu einer Prüfung“).

Abb. 11: Follow-Up-Liste zu einer Prüfung

RIAS unterstützt jedoch nicht nur Prüfungsleiter und Prüfer im Follow-

Up-Prozess, sondern auch die Revisionsleitung mit verschiedenen Repor-

tingfunktionen. Die Revisionsleitung kann sich jederzeit einen Überblick

über die Anzahl der in einem Zeitraum abgeschlossenen und fälligen Fol-

low-Ups verschaffen. Hierbei wird nach Prüfungsabteilung und Revisions-

standort unterschieden.

9 Rollierende Risikobewertung

Nach Abschluss einer Prüfung, d. h. wenn der Status der Prüfung im System

RIAS auf „abgeschlossen“ gesetzt wird, weist das System den Prüfungslei-

ter automatisch darauf hin, dass eine rollierende Risikobewertung durch-

zuführen ist. Hierbei wird der Prüfungsleiter bei jeder abgeschlossenen

Prüfung durch alle dem Prüfungsthema zugeordneten Prüfungsfelder

und Prüfungsvorschläge geleitet und aufgefordert, eine erneute Risikobe-

wertung auf Basis der im Rahmen der Prüfung gewonnenen Erkenntnisse

vorzunehmen. Somit stellt die in RIAS hinterlegte Systematik sicher, dass

das Audit Universe auf dem jeweils aktuellen, in der Revision verfügbaren

Wissensstand gehalten wird.

10 Fazit und Ausblick

Im Rahmen der Prozessanalyse und -definiton ist es gelungen, konzern-

weit einheitlich standardisierte, risikoorientierte Prozesse zur Risikoana-

lyse und zur Revisions programmplanung und -durchführung festzulegen.



http://www.esv.info/978%203%20503%2013686%205


Das darauf aufbauend entwickelte System RIAS unterstützt mit seinen

Funktionalitäten die definierten Strukturen.

RIAS leistet zur Erfüllung der sich aus den veränderten gesetzlichen An-

forderungen an das Qualitätsmanagement einer Revision ergebenden An-

forderungen einen wesentlichen Beitrag zur Dokumentation und damit

zur Nachvollziehbarkeit wesentlicher Arbeitsschritte. Die jeweils erforder-

lichen Informationen, z. B. Kennzahlen zur Risikoanalyse, Prüfungsthe-

men mit Begründungen und Prüfungsberichte, stehen ortsunabhängig je-

derzeit zur Verfügung.

Durch die strukturierte Erfassung und Bereitstellung wesentlicher In-

formationen und Dokumente trägt das System auch zur Effizienz der Re-

visionsarbeit bei. Wesentliche Informationen werden zusammengefasst

abgelegt und können entsprechend einfach und schnell wieder abgeru-

fen werden.

Für die Zukunft ist vorgesehen, in RIAS weitere Informationen zu Ein-

flussgrößen der Risikoanalyse zu integrieren. Darüber hinaus könnte

überlegt werden, RIAS als einheitliche Plattform für weitere mit dem Ri-

sikomanagement des Unternehmens beschäftigte Bereiche zu nutzen. Da-

mit könnten weitere Informationen direkt in das System eingegeben wer-

den und stünden auch der Revision direkt zur Verfügung.



http://www.esv.info/978%203%20503%2013686%205

^ Der Fortschritt der Internen Revision ist trotz der steigenden Regelungsdichte durch Best Practice und deren Austausch in der Community geprägt. Dieser Band betrachtet die Interne Revision aus dem Blickwinkel der Praxis; die Beiträge stammen aus-schließlich von erfahrenen Praktikern, ergänzt um empirische Forschungsergebnisse.

• Grundlagen und Corporate Governance: von aktuellem Recht bis zu den Besonderheiten im öffentlichen Sektor

• Management der Internen Revision: vom Aufbau einer Konzernrevision über Besonderheiten im Mittelstand zu Qualitätsmanagement

• Methoden und Instrumente: von der Programmplanung zu Continuous Auditing

• Ausgewählte Prüffelder: von Corporate Social Responsibility zu Fraud-Sonderuntersuchungen

• Entwicklungen und Tendenzen: von der Professionalisierung zu Szenarien 2020 der Internen Revision

Wertvolle Impulse – für Ihre eigene Revisionspraxis und die Weiterentwicklung des Fachwissens!

www.ESV.info


http://www.esv.info/978%203%20503%2013686%205

Praxis der Internen Revision - ESV · sionsarbeit kann nur auf der Plattform eines leistungsstarken...

Documents

Transcript of Praxis der Internen Revision - ESV · sionsarbeit kann nur auf der Plattform eines leistungsstarken...