… sagte der Revisionsleiter zu dem QA-Auditor der soeben in seinem Türrahmen stand und eine Prüfung der Revision ankündigte. Sattelt die Pferde liebe Revisorengemeinde, es geht in den Krieg gegen alle Halunken, die es wagen neben uns, den glorreichen Revisoren, im Unternehmen dem Prüfungshandwerk frönen zu wollen.
Auf einem jüngst abgehaltenen revisorischen Arbeitskreis kam es zu einer durchaus interessanten Debatte, ob die Compliance-Organisation im Unternehmen das Recht auf Prüfung hätte.
Der Morgen graut und es steht zu befürchten – bei Tageslicht werden wir nicht mehr allein sein in diesem Prüferuniversum.
Die Sachlage scheint zunächst eindeutig: Der Artikel von Prof. Dr. Eulerich von 2012 aus der Zeitschrift für Interne Revision beschreibt recht unverblümt, dass die Überprüfung der Funktionsfähigkeit der finanziellen und operativen Kontrollen „traditionell“ der Internen Revision obliegt.
Neben der Vortragenden, die es wagte, der Compliance-Organisation ein Prüfrecht für das Interne Kontrollsystem einzuräumen, regte sich auch im praxisnahen Mittelstand die eine oder andere Stimme in Richtung einer weniger stringenten Auslegung der Tradition.
Nun beenden wir diese maßlose Übertreibung und widmen uns den sachlichen Argumenten.
Zunächst widmen wir uns als Startpunkt in aller Kürze dem Three-Lines of Defense Modell und versuchen die Argumente pro und contra „Wenn hier einer prüft, dann bin ich das!“ einzuordnen sowie anschließend einen kurzen Ausblick auf die Situation im Zeitalter von Continuous Monitoring zu werfen.
Das Three-Lines-of Defense Modell versucht Ordnung in die Risikoabwehr des Unternehmens zu bringen. Als Bestandteil der Corporate Governance stehen unterhalb der Unternehmensführung drei von einander unabhängige Verteidigungslinien zur Verfügung. Klar ist: Die Gesamtverantwortung (Accountability) für das Interne Kontrollsystem liegt bei der Geschäftsführung.
First Line of Defense
Die Verantwortung (Responsibility) für die erste Verteidigungslinie liegt beim operativen Management. Neben den klassischen Internen Kontrollen umfasst diese Line of Defense auch Steuerungselemente, die außerhalb der Kontrollen liegen. Die Risikoabwehr der ersten Verteidigungslinie ist durch die Steuerungs- und Kontrollelemente direkt in die operativen Prozesse integriert.
Die Aufgaben und Verantwortlichkeiten der ersten Verteidigungslinie sind sowohl in der Fachliteratur, als auch unter Revisoren unstrittig, da diese Funktion in jedem Unternehmen gleich funktioniert.
Second Line of Defense
Die Definition der Second Line of Defense ist unternehmensindividuell und hängt u.a. vom Geschäftsmodell sowie dem regulatorischen Umfeld ab. Die Geschäftsführung, respektive der Aufsichtsrat / Verwaltungsrat definiert in Abhängigkeit des Geschäftsmodells Geschäftseinheiten, die diese Funktion wahrnehmen. Beispielhaft seien hier in aller begrifflichen Unschärfe aufgezählt:
- Compliance
- Risikomanagement
- Recht
- Controlling
- Quality Management
- Sustainability Management
- Unternehmenssicherheit
- Fraud Management
Grundsätzlich lässt sich die Aufgabenstellung der Second Line als Berater und Unterstützer der ersten Verteidigungslinie sowie des Vorstands beschreiben. Neben der Aufsicht und der Kontrolle des operativen Managements hat die Second Line auch beratenden Charakter in Bezug auf die Risikosteuerung und Ausgestaltung der ersten Verteidigungslinie.
Die dadurch potentiell entstehende „Nähe“ zur ersten Verteidigungslinie ist Anstoß der Skeptiker, dass durch die fehlende Unabhängigkeit die Second Line of Defense gar nicht prüfen könne.
Neben der potentiell fehlenden Unabhängigkeit, stellen die unternehmensspezifische Ausprägung sowie die begrifflichen Unschärfen der Geschäftseinheiten die größte Herausforderung in dieser Diskussion dar.
Third Line of Defense
Die potentiell fehlende Unabhängigkeit der zweiten Verteidigungslinie ist Anstoß für die dritte und letzte risikosteuernde Instanz, die Interne Revision. Der Einsatz der Revision erfolgt risikoorientiert und absolut unabhängig von der ersten und zweiten Verteidigungslinie.
Der externe Prüfer, die Regulatoren, die Aufsichtsbehörden und natürlich der Aufsichtsrat bzw. Verwaltungsrat als potentielle vierte und fünfte Verteidigungslinie sollen im Folgenden nicht weiter Betrachtungsgegenstand sein.
Diese Umfrage wurde beendet. Einen Kommentar inkl. der Auswertung können Sie hier lesen.
„Es kann nur einen geben!“ könnte das Zwischenfazit an dieser Stelle lauten, wenn man die branchenübliche Literatur zu Rate zieht oder die Compliance-Organisation nicht explizit ihre unternehmensindividuelle oder sogar prozessbezogene Unabhängigkeit sowie natürlich ihre Prüfungskompetenz unter Beweis stellt. Um das Zwischenfazit weiter einzuordnen, geht es im Three-Lines of Defense Modell ausdrücklich um die Risikoabwehr.
An dieser Stelle darf die Frage erlaubt sein: Besteht der Mehrwert der Revision ausschließlich in der Risikoabwehr, wie es im Three-Lines of Defense Modell beschrieben ist?
Haben wir dieses Selbstbild nicht längst hinter uns gelassen? Wie steht es denn um Chancen und das Aufzeigen von Added Value? Gibt es einen besseren „Trusted Advisor“ im Unternehmen als die Revision? Was ist die Kernkompetenz der Revision? Wo leistet die Revision Mehrwert für die Organisation?
Wer prüft denn eigentlich das IKS, wenn die Revision eine Tochtergesellschaft mal 3 Jahre nicht auf Ihrem risikoorientierten Prüfungsplan hat?
Wenn wir die bisherige Diskussion erweitern um die Anwendungsdomäne Continuous Auditing wird es ungleich komplexer. Was passiert denn, wenn die Revision Datenanalysen auf Prüfungen intern perfektioniert und diese dauerhaft oder gar nahezu prozessintegriert anwendet? Ist das noch das Aufgabengebiet und die Kernkompetenz der Revision?
Ist die 08/15-Einkaufsprüfung oder das Prüfen von simplen Kontrollmatrizen wirklich unsere Kernkompetenz, oder besteht diese nicht vielmehr darin wirklich zu auditieren: Offene Fragen stellen, zuhören und durch die richtigen Nachfragen und Prüfungstechniken in jeder erdenklichen Situation Risiken und Chancen zu identifizieren. Die Königsdisziplin ist sodann das charismatische Verkaufen der soeben „gemeinsam erarbeiten Lösung“ an die Fachabteilung, die schon kaum mehr „Nein“ sagen mag. Und wenn schon die Fachabteilung die soeben übergebene Continuous Auditing Kontrolle nicht im Alltag übernehmen kann, dann kratzt doch schon Compliance um Anerkennung und Übernahme der von der Revision initiierten Kontrolle / Datenanalyse. Das freut auch die Geschäftsführung.
In meiner Prüferkarriere gab es keine langweiligeren Momente als das Prüfen vordefinierter, womöglich noch weltweit standardisierter Kontrollmatrizen, die exakt gar nicht auf den tatsächlichen Prozess gepasst haben.
Für uns Revisoren kann es doch gar nichts Besseres geben als eine Fachabteilung, die Eigenverantwortlich Ihre Prozesse überwacht, sei es durch Interne Kontrollen oder durch Datenindikatoren, die auf einen Ausnahmetatbestand hinweisen.
Wenn wir in der Revision an irgendeinem Zeitpunkt in der Lage wären, diese Indikationen ohne Fachabteilung final beurteilen zu können, dann sind wir in der Revision falsch. Dann gehören wir in die Fachabteilung.
Bitte seht dies als klares Plädoyer dafür, ausgereifte Datenananalysen entweder an die Fach- oder Compliance-Organisation zur Überwachung oder auch explizit zur prozessintegrierten oder prozessnahen Prüfung zu übergeben. Endlich wieder mehr Zeit, die Organisation mit neuen Themen, Chancen oder Risiken vor sich her zu treiben! Die Revision darf sich auch als Innovationspool und Inspirator der Fachabteilung und damit auch der Corporate Governance-Organisation insgesamt verstehen.
Was uns daran hindert, darf jeder Prüfer vor dem Spiegel selber beantworten. Spieglein, Spieglein an der Wand, wer ist der eitelste Prüfer im ganzen Land?
Wenn wir nicht der Innovator im Unternehmen sind, besteht tatsächlich die unterschwellig geäußerte Gefahr, dass wir im Unternehmen durch Innovationen in der Fachabteilung überholt werden und wir außer 08/15 – Einkaufsprüfungen, Kontrollmatrizen und dem Outsourcen schwieriger Themen keinen wirklichen „Added Value“ mehr erbringen.
Also los Ihr Revisoren, schwingt Euch aufs Pferd, verbrüdert Euch mit allen Prüfern und zeigt im Feld, wer außerhalb der Risiko-Kontroll-Matrix und Standardprüfungskatalogen das schärfste Schwert schwingt.
Quellen, denen ich mich bedient habe und weiterführende Literatur:
[3] ZIR Zeitschrift für Interne Revision, Prof. Dr. Marc Eulerich, Das Three Lines of Defence-Modell