Der Praktische Ratschlag „2200-2 Anwendung eines risikobasierten Top Down-Ansatzes zur Identifikation der im Rahmen eines Prüfungsauftrages zu identifizierten Kontrollen“ (2200-2 Using a Topdown, Risk-based Approach to Identify the Controls to Be Assessed in an Internal Audit Engagement) unterstützt die Interne Revision bei der Anwendung des Standards „2200 Planung einzelner Aufträge“ (2200 Engagement Planning), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.

Der Praktische Ratschlag empfiehlt zum besseren Verständnis die Ratschläge „2010-2 Nutzung des Risikomanagements durch die Interne Revision“, „2210-1 Ziele des Auftrags“, „2210.A1-1 Risikobeurteilung in der Prüfungsplanung“ sowie den Praxisleitfaden „GAIT 3 Analyse von IT-Geschäftsrisiken“ in ihrer Gesamtheit zu betrachten und leistet zugleich Hilfestellung bei der Identifikation von Schlüsselkontrollen, um diese im Anschluss in den Prüfungsumfang einzubeziehen.

Im Gegensatz zur Festlegung des Prüfungsumfangs auf Basis der Risiken eines – ggf. für die Gesamtorganisation unwesentlichen – Standorts, berücksichtigt ein Top Down-Ansatz nur wesentlichere Risiken der Organisation. Der Interne Revisor hat dabei zu beurteilen, ob eine angemessene Kombination von manuellen und automatisierten Kontrollen sowie IT-Kontrollen besteht, welche die Geschäftsrisiken innerhalb der von der Organisation festgelegten Grenzen beschränkt.

Der Prüfungsumfang muss alle Schlüsselkontrollen umfassen, die notwendig sind, um hinreichende Sicherheit zu gewährleisten, dass die Risiken wirksam gesteuert werden. Dabei können auch Nicht-Schlüsselkontrollen in Betracht gezogen werden. Sind die Schlüsselkontrollen bekannt, ist eine Beurteilung der Angemessenheit angebracht. Schlüsselkontrollen können folgende Formen annehmen:

• Organisationsbezogene Interne Kontrollen (manuell, vollständig oder teilweise automatisiert)
• Manuelle Kontrollen im Geschäftsprozess
• Vollständig automatisierte Kontrollen im Geschäftsprozess
• Teilweise automatisierte Kontrollen im Geschäftsprozess (sog. Hybride oder IT-abhängige Kontrollen)

Schlüsselkontrollen können entweder mit Hilfe eines einzelnen integrierten Prüfungsauftrages oder einer Kombination von Prüfungsaufträgen beurteilt werden. Eine Kombination von Prüfungsauftragen ist üblich, wenn für verschiedene Risikofelder auf gleiche Kontrollen zurückgegriffen wird. Umfasst eine Prüfung nicht alle Schlüsselkontrollen, sollte eine Beschränkung des Prüfungsumfangs in Betracht gezogen werden. Dieser Sachverhalt ist klar in der Prüfungs-ankündigung und im Schlussbericht zu kommunizieren.

Für den vollständigen Text des Praktischen Ratschlags „2200-2 Anwendung eines risikobasierten Top Down-Ansatzes zur Identifikation der im Rahmen eines Prüfungsauftrages zu identifizierten Kontrollen“ (2200-2 Using a Topdown, Risk-based Approach to Identify the Controls to Be Assessed in an Internal Audit Engagement) sowie dem zugehörigen Standard „2200 Planung einzelner Aufträge“ (2200 Engagement Planning) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2011, Altamonte Springs, Florida, USA
• Deutsches Institut für Interne Revision (DIIR), Frankfurt am Main, Institut für Interne Revision Österreich (IIA Austria), Wien und Schweizerischer Verband für Interne Revision (IIA Switzerland), Zürich (Hrsg.): Internationale Standards und Praktische Ratschläge für die berufliche Praxis der Internen Revision 2011