Der Praktische Leitfaden „Auditing the Control Environment” (Prüfung des Kontrollumfelds) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Nach dem Praktischen Leitfaden ist das Kontrollumfeld die Grundlage, auf der ein effektives Internes Kontrollsystem (IKS) einer Organisation basiert, die bestrebt ist,

• ihre strategischen Ziele zu erreichen,
• verlässliche Berichterstattung für interne und externe Stakeholder bereitzustellen,
• effektiv und effizient zu arbeiten,
• sich an alle betreffenden Gesetze und Regularien zu halten sowie
• ihre Vermögenswerte zu sichern.

In den Internationalen Standards für die berufliche Praxis der Internen Revision (Standards) ist das Kontrollumfeld definiert als die Haltung und die Maßnahmen des Überwachungsorgans / der Geschäftsführung bzgl. der Bedeutsamkeit von Kontrollen innerhalb der Organisation.

Das Kontrollumfeld bietet die Disziplin und die Struktur für das Erreichen der Hauptziele des IKS und umfasst die folgenden Elemente:

• Integrität und ethische Werte
• Managementphilosophie und Unternehmensstil
• Organisationsstruktur
• Zuordnung von Befugnissen und Verantwortlichkeiten
• Richtlinien und Praktiken im Personalwesen
• Kompetenz des Personals

Für diese Elemente bestehen Risiken, die vom Leiter der Internen Revision bewertet werden müssen; dabei muss sich der Leiter der Internen Revision entscheiden, ob er

• eine einzelne, organisationsweite Prüfung durchführt,
• mehrere Prüfungen durchführt, wobei jede ein bestimmtes Themenfeld betrifft,
• Prüfungen des Kontrollumfelds in ausgewählten Einheiten / Niederlassungen durchführt oder
• eine Mischung der oben genannten Prüfungen durchführt.

Der Leiter der Internen Revision sollte bei der Prüfung des Kontrollumfelds z.B. die folgenden Punkte beachten:

• Was sind die Schlüsselelemente des Kontrollumfelds?
• Wie werden diese Elemente und ihre Attribute im Tagesgeschäft umgesetzt?
• Können diese Elemente effektiv und effizient in einer großen Prüfung geprüft werden oder wären verschiedene konzentrierte Prüfungen effizienter und effektiver?
• Hat die Organisationsstruktur (zentral vs. dezentral) einen Einfluss auf das Kontrollumfeld und somit auf die Prüfung?
• Wie müssen verschiedene Prüfungen kombiniert werden, um den Führungskräften und der Geschäftsführung / dem Überwachungsorgan eine verlässliche Aussage über das IKS zu bieten?
• Wie häufig soll das Kontrollumfeld geprüft werden?
• Worauf soll der Prüfungsplan aufbauen, wenn zuvor noch keine Prüfung stattgefunden hat?
• Sollten einige Prüfungen unter Aufsicht von Rechtsbeistand stattfinden?
• Sind angemessene Ressourcen für die Prüfung verfügbar?
• Haben die Führungskräfte und die Geschäftsführung / das Überwachungsorgan besondere Präferenzen und Wünsche?

Werden mehrere einzelne Prüfungen durchgeführt, die im Zusammenspiel eine Gesamtbewertung ergeben, muss der Leiter der Internen Revision von Beginn an planen, wie das Personal einzusetzen ist, um Konsistenz zu wahren. Dabei ist abzuwägen, wie die einzelnen Ergebnisse in eine Gesamtbewertung des Kontrollumfelds zu integrieren sind.

Während der Planungsphase sollte der Leiter der Internen Revision folgendes beachten:

• Sind spezielle Kenntnisse erforderlich und müssen externe Prüfer eingesetzt werden?
• Sind Gespräche mit den Führungskräften zu führen und vertrauliche Dokumente zu prüfen, so dass nur erfahrene Prüfer eingesetzt werden sollten?
• Sind alle benötigen Informationen vorhanden, um die Prüfung durchzuführen und verstehen alle Beteiligten, warum sie das Prüfungsteam mit Informationen versorgen sollen?

Für die praktische Ausführung der Prüfung sind die folgenden Punkte von Bedeutung:

• Unterstützung durch die Führungskräfte und die Geschäftsführung / das Überwachungsorgan
• Stellung der Internen Revision in der Organisation
• Festlegung von Kriterien für die Bewertung des Kontrollumfelds
• Beachtung kultureller Unterschiede und verschiedener Werte an unterschiedlichen Standorten
• Koordination mit den Wirtschaftsprüfern

Einige zu prüfende Elemente sind besonders gut durch sog. „weiche Kontrollen“ zu prüfen, die folgende Techniken beinhalten können:

• Fragebögen an Mitarbeiter
• Nutzung des eigenen „Netzwerks“ durch den Leiter der Internen Revision
• Wissen über Arbeitsweisen in der Organisation
• Prüfung durch bloßes „herumlaufen“
• Durchsicht vorhandener Prüfungsergebnisse aus der Vergangenheit
• Mitgliedschaft von Internen Revisoren in Ausschüssen und Arbeitsgruppen

Mängel im Kontrollumfeld können bei der Prüfung des unternehmensweiten Kontrollumfelds, bei der Prüfung des Kontrollumfelds in einer Geschäftseinheit oder einer Niederlassung, oder bei der Prüfung verschiedener Elemente des Kontrollumfelds als Teil einer anderen internen Prüfung aufgedeckt werden. Der Prüfer sollte die Auswirkungen von Mängeln im Kontrollumfeld kennen und auch wissen, wie diese sich auf andere Elemente auswirken. Auch sollte der Interne Revisor wissen, ob in einer Geschäftseinheit auftretende Mängel auch in anderen Einheiten auftreten könnten, da sie auf Fehlern einer höheren Ebene beruhen.

Bei der Kommunikation der Prüfungsergebnisse sollte der Interne Revisor beachten,

• ob das Standard-Berichtsformat, eingeschlossen der üblichen Bewertungsskala, genutzt werden sollte,
• wann der Bericht als geheim einzustufen ist, die Verteilung eingeschränkt der Wirtschaftsprüfer über Feststellungen informiert werden sollte,
• wann zusätzliche Schutzmaßnahmen getroffen werden müssen, wenn alle wichtigen Bereiche geprüft wurden oder dass kommuniziert wird, wenn nicht alle wichtigen Bereiche geprüft wurden, und
• wann der richtige Zeitpunkt zur Herausgabe der Berichte ist.

Sensible Informationen über Mängel können als vertraulich oder geheim deklariert werden. Zudem können schwerwiegende Mängel das Risikoprofil der Organisation verändern. Empfehlungen sollten Probleme von der Basis her angehen, um diese zu beseitigen. Schwerwiegende Mängel sollten zudem auch in der Zukunft begutachtet werden, um festzustellen, ob eine Lösung gefunden wurde.

Für den vollständigen Text des Praktischen Leitfadens zur "Prüfung des Kontrollumfelds" vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
• IPPF – Practice Guide Auditing the Control Environment, April 2011, Altamonte Springs, Florida, USA