Eine Frage treibt mich in letzter Zeit immer wieder um: Wieso planen wir risikoorientiert, wenn doch unsere "unabhängigen und objektiven Prüfungs- und Beratungsdienstleistungen [...] darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern"?

Ich würde Sie gerne mitnehmen auf meine eigene kleine Zeitreise zum Thema Risiko und Prüfungsplanung. Mitte der 90er Jahre erhielt ich die Verantwortung für eine Revisionsabteilung einer Bank, in der bis dato MS Excel so gut wie unbekannt war. Prüfungsplanung erfolgte auf einer halben Seite Word und man legte aus dem Bauch die Reihenfolge fest. Gefiel weder dem Abschlussprüfer noch dem Konzern.

Also habe ich in einem ersten Schritt eine Vollaufnahme der Prüfungsthemen durchgeführt und – auch um meine Mitarbeiter bei diesem „Change“ mitzunehmen – zuerst einmal mit einer simplen ABC-Analyse gestartet. Die eigenentwickelte Datenbank (in MS Access) konnte damals schon mehr, aber einem Risikomodell wollten wir uns langsam nähern.

Intuition oder Verstand?

Vielleicht ist aber ja auch der „Bauch“ grundsätzlich ein guter Indikator. Frank Urbaniok hat dazu gerade ein sehr empfehlenswertes Buch („Darwin schlägt Kant“) publiziert, in dem aus psychologischer Sicht erklärt wird, warum wir Entscheidungen mit dem Bauch treffen. Widersetzen sie sich also nicht der Postkarte, die ich in Zürich im Bahnhof gesehen habe – „Kopf sagt Sport – Bauch sagt Currywurst“ – sie würden gegen Ihr genetisches Programm handeln. Sehr verkürzt zusammengefasst: Die Evolution ist auf schnelle, intuitive Entscheidungen aus – auch wenn wir diese vermeintlich mit dem Kopf treffen. Im Nachhinein begründen wäre wohl die treffendere Formulierung.

Und machen wir uns nichts vor: Jeder noch so komplexe „risikobasierte“ Ansatz, um eine Reihenfolge der Prüfungen festzulegen, ist letztendlich eine Überführung von Meinungen und Erfahrungswerten in eine logische, quantitave Struktur.

Allein die Diskussion um den Indikator „bisherige Prüfungsergebnisse“ (Wer hat eigentlich was vor drei Jahren als Prüfungsergebnis produziert? – Wie!? Das ist schon so lange her? Das ist gar nicht mehr mit unseren heutigen Ergebnissen vergleichbar, da hatten wir ja noch andere Prozesse!) zeigt mir in Fachdiskussionen immer wieder, dass wir uns der Aufgabe Bewertung aus dem Aspekt „Mehrwerte schaffen“ der Definition der Internen Revision permanent neu stellen müssen.

Der Standard setzt den vermeintlichen Fokus

Bei der Frage, wie Prüfungen zu priorisieren sind, komme ich zwangsläufig zu der Frage: Ist der IPPF-Standard 2010.A1 noch zeitgemäß? Überspitzt formuliert: War er jemals zeitgemäß oder orientiert er sich an falschen Kriterien? Wieso steht an der Stelle eigentlich das Wort Risiko und nicht das Wort Mehrwert?

IPPF-Standard 2010.A1

Die Prüfungsplanung der Internen Revision muss auf Basis einer dokumentierten Risikobeurteilung erfolgen, die mindestens einmal pro Jahr durchzuführen ist. Der Input der leitenden Führungskräfte und der Geschäftsleitung bzw. des Überwachungsorgans müssen dabei berücksichtigt werden.

In unserer heutigen komplexen, volatilen Welt werden in den (Fach-)Prozessen diverse Werkzeuge genutzt. Von Robotern zur Automatisierung, Microservice-Architekturen in IT-Systemen, die bei Clouddienstleistern gehosted werden über etliche Kommunikationskanäle mit den Kunden. Das sind etliche Aspekte, die regelrecht nach einer interdisziplinären Sicht in der Internen Revision schreien. Ganzheitlich, statt einzelne Systeme mit den jeweiligen Risiken für sich genommen. Ggf. müssen wir sogar weitergehen, was auch einige Unternehmen schon tuen, weg von den Prozessen zu Wertschöpfungs- oder Produkterstellungsketten.

Mehrwert ist mehr wert

Aus meiner Perspektive müssen wir lernen, uns wieder auf die Definition der Internen Revision zu besinnen. Dieser heißt nur begrenzt „Risiko entdecken und vermeiden“, sondern sollte sich aus dem beratenden Ansatz heraus darauf konzentrieren, Mehrwerte zu schaffen. Dazu gehört es unsere hoffentlich interdisziplinäre Sicht mit den Fachabteilungen zu teilen und zu identifizieren, wo wir im Unternehmen den meisten Mehrwert stiften können.

Welche Methoden und Werkzeuge können diesen Ansatz unterstützen?
Wir haben gerade in unserer Software eine Seite implementiert, wo jedem Prüfungsleiter eine Aussage darüber abverlangt wird, wie die Prüfung den Ansatz des Mehrwertschaffens unterstützt. In den Quality Gates geht es auch um den Check, ob die Prüfung auf diese Mehrwerte einzahlt.

Dieses Unternehmen (>100.000 Mitarbeiter im Konzern) berichtet diese Sichtweise bis in den Prüfungsausschuss. Derartige Methoden, nicht das Risiko, sondern den Mehrwert zu artikulieren und sauber zu beschreiben, sollten allen Beteiligten den Auftrag der Internen Revision klarer machen.

Natürlich ist eine Interne Revision auch immer das schlechte Gewissen des Unternehmens. Aber ist es wirklich clever, ggf. ohne Toolunterstützung, zum xten-mal Berechtigungsstrukturen zu untersuchen, auch wenn wir wissen, dass das Risiko dort hoch ist? Die Täter – bestes aktuelles Beispiel Wirecard – werden wir damit sowieso nicht aufhalten können.

Wir sollten also wo immer möglich Standardprüfungen automatisieren und uns auf das Wesentliche konzentrieren – unternehmerisch die Organisation aus unserer Revisionsbrille heraus zu unterstützen, Wertschöpfung zu betreiben. Das verlangt einen Umdenkprozess, welchen wir über agile Projekte mit interdisziplinären Sichten in die richtige Richtung steuern können.

Fazit

Es geht nur bedingt um Risiken oder Schäden, also um die klassische Denkweise: Wenn Schaden neu definiert wird, als ausgelassene oder falsch genutzte Chancen, ist das unser eigentlicher Auftrag. Es geht also darum die Geschäftsleitung darin zu unterstützen, alle potenziellen Chancen auch wahrzunehmen. Lassen Sie uns gemeinsam „Mehrwert schaffen“.

Sie haben immer noch nicht genug
von strategischen Themen?

Mit unserem Newsletter erhalten Sie alle vier Wochen

  • aktuelle Artikel und Whitepaper,
  • unsere Kategorien "schon gewusst?" und "was uns gerade inspiriert"
  • und die aktuellen Termine unserer Audinare.

Was erhalten wir dafür?

  • Die Chance Sie von uns und unserem Know-how zu überzeugen