Der Praktische Leitfaden „Reliance by Internal Auditors on Other Assurance Providers” (Verlassen der Internen Revision auf andere Prüfungsdienstleister) gehört zu den dringend empfohlenen Richtlinien der internationalen Berufsgrundlagen (International Professional Practices Framework – IPPF) für die Interne Revision und enthält eine ausführliche Anleitung für die Durchführung von internen Revisionstätigkeiten sowie detaillierte Prozesse, Verfahren, Werkzeuge, Techniken, Programme, schrittweise Anleitungen und Ergebnisbeispiele.

Neben der Internen Revision, die verantwortlich für die Prüfung der Angemessenheit der Führung und Überwachung sowie des Risikomanagement und des relevanten Internen Kontrollsystems (IKS) ist, beschäftigen viele Unternehmen andere Prüfungsinstanzen, die über spezielle Fachkenntnisse in anderen Themengebieten verfügen. Der Praktische Leitfaden hilft festzustellen, wann und unter welchen Bedingungen sich der Leiter der Internen Revision auf andere Prüfungsdienstleister verlassen kann, um deren Arbeit zu nutzen und Überschneidungen oder Redundanzen von Prüfungshandlungen zu vermeiden.

Andere Prüfungsdienstleister können nach dem Praktischen Ratschlag 2050-2 – Bestätigungs- und Prüfungsübersichten in drei Klassen unterteilen:

• Prüfungsdienstleister, die an das Management berichten und/oder Teil des Management sind
• Prüfungsdienstleister, die an die Geschäftsführung / das Überwachungsorgan berichten
• Prüfungsdienstleister, die an externe Stakeholder berichten

Ein integrierter Prozess, bei dem die Interne Revision sich auf die Arbeit der anderen Prüfungsdienstleister verlässt, kann verschiedene Vorteile für die Organisation mit sich bringen, wie z.B.:

• Präzisere Prüfung durch spezielles Fachwissen der Prüfer
• Reduzierte Wiederholung von Prüfungen
• Weitere Abdeckung von Unternehmensrisiken ohne eine Ausweitung der Prüfungstätigkeit
• Schnellere Problembehebung durch das Management
• Qualitätssteigerung der Prüfungen

Sich auf andere Prüfungsdienstleister zu verlassen kann aber z.B. auch folgende Risiken mit sich bringen:

• Nichterkennung von Mängeln bei Kontrollen
• Falsche Schlussfolgerungen
• Falsche Einschätzung von Risiken
• Fehlende Unabhängigkeit der Prüfer vom Management

Andere Formen der Prüfung können Möglichkeiten bieten, innovative Kontrollformen einzuführen, was zu einer schnelleren Identifizierung und Behebung von Schwächen führen kann. Beispiele dafür sind die kontinuierliche Überwachung von durch Mitarbeiter gemeldeten Problemen und eine Prüfung in einem größeren Rahmen. Durch die Nutzung der gleichen Tools kann die Effektivität und Effizienz der Internen Revision und der anderen Prüfungsdienstleister gesteigert werden.

Inwiefern sich die Interne Revision auf andere Prüfungsdienstleister verlassen kann, hängt von fünf Kriterien ab:

1. Aufgabe: Die Prüfungsdienstleister sollten ihre Aufgaben und Verpflichtungen kennen und Prüfungen in einem speziellen Risikogebiet anbieten.
2. Unabhängigkeit und Objektivität: Die Prüfungsdienstleister sollten ein ausreichendes Maß an Unabhängigkeit und Objektivität aufweisen.
3. Kompetenz: Die Prüfungsdienstleister sollten wissen, welchen Risiken die Prozesse ausgesetzt sind, wie Kontrollen ausgestaltet sind und wann ein Mangel vorliegt.
4. Elemente der Praxis: Die Prüfungsdienstleister haben Prozesse, Richtlinien und Prüfungsprogramme entworfen, denen gefolgt wird.
5. Kommunikation der Ergebnisse und wirkungsvolle Mängelbeseitigung: Die Prüfungsdienstleister kommunizieren die Ergebnisse der Prüfung und stellen sicher, dass das Management zeitnah reagiert.

Der Leiter der Internen Revision muss diese Kriterien in ihrer Gesamtheit betrachten und auch im Hinblick auf die vorliegenden Risikofelder eine Entscheidung treffen, ob und in welchem Ausmaß er sich auf die Arbeit der anderen Prüfungsdienstleister verlassen kann. Auch das International Accounting Standard Board (IASB, IAS 610) und das Public Company Accounting Oversight Board (PCAOB) definieren Kriterien, die ausschlaggebend für die Nutzung der Arbeit anderer Prüfungsdienstleister sind.

Bei der Bewertung der Kompetenz anderer interner Prüfungsdienstleister sollte der Leiter der Internen Revision laut PCAOB folgende beispielhaft genannten Faktoren beachten:

• Bildungsstand und praktische Erfahrung der Prüfer
• Zertifizierungen und Weiterbildungen
• Überwachung und Begutachtung der Arbeit der Mitarbeiter
• Qualität der Arbeitspapiere, Berichte und Empfehlungen
• Beurteilung der Leistung der Mitarbeiter

Ein Prozess, der dem Internen Revisor hilft, sich auf andere Prüfungsdienstleister verlassen zu können, kann in folgender Abbildung zusammengefasst werden: Quelle: IPPF – Practice Guide „Reliance by Internal Audit on Other Assurance Providers”, December 2011, Altamonte Springs, Florida, USA, S.7.

Eine regelmäßige Prüfung und Kommunikation der Risiken im Verantwortungsbereich anderer Prüfungsdienstleister hilft der Internen Revision, Prüfungspläne und Prüfungsschwerpunkte zu festzulegen, aber führt nur zu einem geringen Maß an Verlässlichkeit für den Internen Revisor. Wenn ein effektives Prüfungsprogramm zusammen mit vertrauenswürdigen Überwachungsmechanismen vorliegt, kann der Interne Revisor vollständig auf die Arbeit anderer Prüfungsdienstleister vertrauen. Dennoch sollten die Prüfungshandlungen anderer Prüfungsdienstleister regelmäßig beurteilt werden, um Verbesserungsmöglichkeiten zu identifizieren.

Auch externe Dienstleister bieten Prüfungsdienstleistungen an, wie z.B.:

• Wirtschaftsprüfungsgesellschaften
• Rechnungshof
• Unternehmensberater
• Anwaltskanzleien
• Sicherheitsorganisationen
• Interne Revision von Dienstleistern
• Interne Revision von Kunden

Für den Leiter der Internen Revision ist die Bedeutung der von diesen Prüfungsdienstleistern ausgeführten Arbeiten zu verstehen, um feststellen zu können, ob die Arbeit der Internen Revision beeinflusst wird.

Zudem sollte der Leiter der Internen Revision feststellen, ob die externen Prüfungsdienstleister professionell arbeiten; dazu sollte der Leiter der Internen Revision folgende Fragen beantworten können:

• Sind die externen Prüfungsdienstleister ausreichend qualifiziert, objektiv und unabhängig?
• Welchen Einfluss hat die externe Prüfungstätigkeit auf den Prüfungsplan?
• Hat die Arbeit der externen Prüfungsdienstleister einen Einfluss auf die Hauptrisiken der Organisation?
• Sollte die Interne Revision weitere Prüfungshandlungen durchführen, um die Tätigkeit der externen Prüfer zu ergänzen?
• Sind die Prüfungshandlungen des externen Prüfungsdienstleisters durch die Interne Revision nachvollziehbar?
• Sollte Co-Sourcing mit externen Prüfungsdienstleistern betrieben werden?

Im Anhang des Praktischen Leitfadens sind beispielhafte Dienstleistungen von externen Prüfungsdienstleistern wie AICPA/CICA Systrust, ISO/IEC 27002:2500 Zertifizierungen, SSAE16/ISAE 3402 Prüfungen, Co-Sourcing der Internen Revision oder Tests der Netzwerksicherheit aufgeführt. Zudem ist eine Checkliste zur Prüfung der Vertrauenswürdigkeit und Verlässlichkeit von anderen Prüfungsdienstleistern angehängt.

Für den vollständigen Text des Praktischen Leitfadens zum "Verlassen der Internen Revision auf andere Prüfungsdienstleister" vgl. die Praktischen Leitfäden sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).

Literatur:

• The Institute of Internal Auditors (IIA): International Professional Practices Framework (IPPF) 2013, Altamonte Springs, Florida, USA
• IPPF – Practice Guide Reliance by Internal Auditors on Other Assurance Providers, December 2011, Altamonte Springs, Florida, USA