6 Corporate Governance696 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 696 bei gleichen Ertragschancen gesteigert wird. Risiko ist somit das Gegenstück zum Ertragsmanagement. Diese beiden Teile sind auch die wesentlichen Bestandteile einer wertorientierten Unternehmensführung (vgl. Kap. 4.5.5.3). Die in den letzten Kapiteln vorgestellte klassische Ausgestaltung des Controllingsystems und die damit verbundenen funktionalen, instrumentalen und institutionalen Aspekte sind entsprechend den zusätzlichen risikobezogenen Aufgaben anzupassen. So sind die controllingspezifischen Aufgaben im Planungs- und Kontroll-, sowie im Informationsversorgungssystem um Risikoaspekte zu ergänzen (vgl. Horváth, Gleich 2000, S. 109). Zusätzlich muss das bestehende Controllinginstrumentarium sinnvoll ergänzt werden. Institutionell besteht eine enge Verzahnung zwischen Risikomanagement und Controlling, d.h. das Controlling sollte die Unternehmensführung maßgeblich beim Aufbau (systembildend) und der Anwendung (systemkoppelnd) eines individuell geeigneten Risikomanagementsystems unterstützen. Wir werden noch etwas ausführlicher darstellen, welche Unterstützung das Controlling in den einzelnen Prozessphasen des Risikomanagements leistet (vgl. Kap. 6.3). 6.2 Interne Revision 6.2.1 Die Interne Revision als Teil des internen Kontrollsystems Nachdem wir bereits in Kap. 6.1 Interne Revision kurz bezüglich ihrer Aufgaben definiert haben, wollen wir für die nachfolgende Darstellung noch eine etwas allgemeinere Definition von v. Wysocki (1988, S. 1 ff.) einführen. Er definiert „Prüfung“ (= Revision) als „eine von natürlichen Personen durchgeführte Veranstaltung“, „die aus dem Vergleich von Ist-Objekten mit den entsprechenden Soll- Objekten und der daran anschließenden Urteilsbildung sowie ggf. Urteilsmitteilung besteht“ (v. Wysocki 1988, S. 7). Betriebliche Prüfungen lassen sich nach verschiedenen Gesichtspunkten differenzieren. Für unsere Darstellung ist zunächst die Unterscheidung nach der Unternehmungszugehörigkeit der Prüforgane zwischen unternehmungsinternen Prüfungen (= Interne Revision) und unternehmungsexternen Prüfungen (= externe Revision) wesentlich. Wesentliche externe Prüfungen betreffen die Ordnungsmäßigkeit des Jahresabschlusses und die steuerlichen Verhältnisse. Soll-Objekte und Prüfungsablauf stimmen z.T. mit denen der Internen Revision überein. Zwischen Interner und externer Revision bestehen mannigfaltige Formen der Zusammenarbeit. Die weitere Darstellung in diesem Kapitel bezieht sich ausschließlich auf Fragen der Internen Revision. Wir können definieren: Die Interne Revision „beinhaltet im funktionalen Sinn jede auf Veranlassung der Unternehmungsleitung nachträglich von internen, natürlichen, prozeßunabhängigen, neutralen und objektiven Personen durchgeführte Überwachungstätigkeit“ (Hoffmann 1983, Sp. 668). 6.2 Interne Revision 697 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 697 In den USA werden alle unternehmungsinternen Überwachungsaktivitäten unter der Bezeichnung Internal Control als Einheit gesehen. In der deutschen Literatur wird hierfür die Bezeichnung „internes Kontrollsystem“ (IKS) benutzt. Das Internal-Control-Konzept ist aus praktischen Notwendigkeiten als Reaktion auf die großen Betrugs- und Untersuchungsskandale in der amerikanischen Wirtschaftspraxis entstanden. Das „American Institute of Accountants“ (heute: The American Institute of Certified Public Accountants) definierte 1949 „Internal Control“ wie folgt: „Internal control comprises the plan of organization and all of the coordinate methods and measures adopted within a business to safeguard its assets, check the accuracy and reliability of its accounting data, promote operational efficiency, and encourage adherence to prescribed managerial policies.“ Internal Control formuliert vier Zielsetzungen (vgl. Abb. 6.3): r
Sicherung des Vermögens, r
Maßnahmen zwecks Verlässlichkeit und Genauigkeit der Zahlen des Rechnungswesens, r
Förderung der betrieblichen Effizienz, r
Unterstützung der Einhaltung der Geschäftspolitik. Träger, Prozess und Methoden zur Erreichung dieser Ziele sollen bestimmt und koordiniert werden. Üblicherweise wird Internal Control in der anglo-amerikanischen Literatur in drei Teilbereiche unterteilt (vgl. Willingham, Carmichael 1975, S.216 ff.; vgl. noch Horváth 1992): r
Internal Check (ausgedrückt durch „safeguard its assets“) bedeutet in erster Linie die Realisierung der Funktionentrennung in der Organisation. r Internal Accounting Control (ausgedrückt durch „check the accuracy and reliability of the accounting data“) hat die ordnungsmäßige und systematische Erfassung, Verarbeitung, Ausgabe und Dokumentation aller Abrechnungsdaten zum Gegenstand. Ziele der Internen Kontrolle (Ausgangspunkt zur Bestimmung der Kontrollobjekte) „Sicherung des Vermögens“ Träger der Internen Kontrolle „Organisationsplan“ Prozess der Internen Kontrolle „Maßnahmen“ Instrumente der Internen Kontrolle „Methoden“ „Verlässlichkeit und Genauigkeit des Rechnungswesens“ „Effizienz betrieblicher Abläufe“ „Einhaltung der Geschäftspolitik“ „aufeinander abgestimmt“ Abb. 6.3: System des Internal Control (Horváth 1992, Sp. 887 f.) 6 Corporate Governance698 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 698 r Internal Administrative Control (ausgedrückt durch „promote operational efficiency, and encourage adherence to prescribed managerial policies“) umfasst Kontrollen, die das Befolgen der Geschäftspolitik sicherstellen und fördern sollen. Internal Control umfasst nach gängiger Interpretation das gesamte System der betrieblichen Überwachung, also sowohl Kontrollen als auch die Interne Revision, wobei „internal auditing as a form of control over all other internal controls“ (Stettler 1970, S. 65) verstanden wird. Das zentrale Gestaltungsprinzip des internen Kontrollsystems stellt das Prinzip der Funktionstrennung dar. „Funktionstrennung bedeutet, daß miteinander unvereinbare Funktionen nicht in einer Person bzw. in einer Abteilung oder in einem Bereich vereinigt sein dürfen.“ (Huber 1992, S. 134.) Unvereinbare Funktionen in diesem Sinne sind z.B. Kassenanweisungsbefugnis und Kassenführung. Als Teilaspekt der Funktionstrennung wird das Vier-Augen-Prinzip angesehen. Es besagt, dass ein Vorgang jeweils von einer zweiten Person kontrolliert wird. Das Prinzip der Funktionstrennung ist mit dem Aufkommen der Idee des Reengineerings, der Aufgabenintegration, der Prozessorientierung und des Lean Managements in die Diskussion geraten (vgl. Brauch, Fritzsche 1992, Hofmann 1992, Huber 1992). Einigkeit besteht darüber, dass die Funktionstrennung als Prinzip für das interne Kontrollsystem unverzichtbar sei. Kontrovers wird erörtert, wie die funktionelle Sicherung der Funktionstrennung realisiert werden könne (z.B. durch automatisierte Kontrollen oder durch verstärkte Systemprüfung usw.). Die Überwachung wird informationsorientiert interpretiert. Die Kontrolle ist „der Vergleich zwischen geplanten und realisierten Werten zur Information über das Ergebnis des betrieblichen Handelns“ (Frese 1968, S. 53). Bei der ergebnisorientierten Kontrolle geht es um Informationen, die eine Anpassung an die veränderten Verhältnisse erfordern. Bei der verfahrensorientierten Kontrolle ist der Prozess der Informationsverarbeitung der Kontrollgegenstand. Die Grenzen dieses Konzeptes bestimmt die Planung: „Nur wo Planung herrscht, kann nach ihr auch kontrolliert werden“ (Zünd 1973, S.117). Auch bei der Revision lassen sich nach dem Objekt zwei Formen unterscheiden: r die „ergebnisorientierte“ Revision befasst sich mit Informationsinhalten, die die Ergebnisse der unternehmerischen Tätigkeit ausdrücken (vgl. Zünd 1973, S. 120), r
die „verfahrensorientierte“ Revision hat den Prozess der Informationsverarbeitung zum Gegenstand (vgl. Zünd 1973, S. 206). Unser Ausgangspunkt war der Begriff der Koordination. Revision haben wir definiert als Pendant der Koordination: Unter Revision verstehen wir die übergeordnete Kontrolle der systembildenden und der systemkoppelnden Koordination. Revision hat genauso wie die Koordination zwei funktionale Ebenen: r Revision der systembildenden Koordination bedeutet die Überwachung der Systemgestaltung. r
Revision der systemkoppelnden Koordination bedeutet die Überwachung der laufenden Informationsverarbeitungsaktivitäten in einem gegebenen Systemgefüge. 6.2 Interne Revision 699 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 699 Diese Unterscheidung hat eine wesentliche Entsprechung in der Revisionspraxis. Sie entspricht der bereits diskutierten Unterscheidung von verfahrensorientierter und ergebnisorientierter Prüfung. (Wir wollen im Weiteren auch von „Systemprüfung“ und von „Einzelfallprüfung“ sprechen.) Die geforderte „Unabhängigkeit“ der Revision ist nicht funktional, sondern institutional zu verstehen. Es geht um die Frage der organisatorischen Zuordnung der Revisionsaufgaben. Ein Beispiel mag unsere Auffassung beleuchten: Entwurf und Implementierung eines Budgetsystems betrachten wir funktional als eine systembildende Koordinationsaufgabe des Controllings. Das entworfene Budgetsystem beinhaltet auch Kontrollen, z.B. in Form von Soll-Ist-Vergleichen. Die Lösung von Koordinationsaufgaben im bestehenden Budgetsystem (z.B. Budgetabstimmungen) gehört zur systemkoppelnden Koordinationsaufgabe des Controllings. Den genannten Koordinationsaufgaben steht die Revisionsaufgabe gegenüber. Die Systemrevision überprüft das Budgetsystem auf seine Effektivität und Effizienz. Die Ergebnisrevision prüft die durch das Budgetsystem verarbeiteten Soll- und Ist-Informationen, wobei auch die Sollgrößen selbst einer kritischen Prüfung unterworfen werden. Institutional erhebt sich die Frage nach der Zuordnung der genannten Aufgaben zu einzelnen Aufgabenträgern. Hier wird man unter Berücksichtigung organisatorischer Prinzipien (z.B. Funktionstrennung, Unabhängigkeit) und Kontextgegebenheiten die Aufgaben bestimmten Stellen und Abteilungen zuordnen. Die Koordinationsproblematik besteht hierbei natürlich nicht nur funktional, sondern auch institutional. Funktional geht es um die Verknüpfung der Aufgaben, institutional steht die Verbindung der Stellen im Vordergrund. Die funktionale Verbindung von Koordination und Revision des Budgetsystems bedeutet also nicht, dass Budgetaufstellung und kritische Prüfung der vereinbarten Budget-Sollzahlen von derselben Stelle oder Abteilung erfolgen muss. Die Notwendigkeit von „Überwachung“ (das Wort ist sicher unglücklich) wird generell in Literatur und Praxis akzeptiert. Ihre Funktion wird in dem Ausgleich von Informationsasymmetrien („Rechenschaftsfunktion“, „Dokumentationsfunktion“) und in der Sicherung der Zielerreichung („Präventivfunktion“, „Korrekturfunktion“) gesehen (vgl. z.B. Freiling, Lück 1986). Das mehrstufige Regelkreissystem des Internal Control – ergänzt um die weitere Stufe externer Prüfungen – stellt eine wichtige Hilfe für die Führung bei der Steuerung der immer komplexer werdenden Unternehmung dar. Es bildet, wie oben gezeigt wurde, zudem ein wesentliches Element zur Beherrschung von Risiken. 6.2.2 Die Entwicklung der Internen Revision Die Entwicklungen, die die Controllingfunktion insgesamt stark erweitert haben (vgl. Kapitel 1), haben auch die Revisionsfunktion in der Unternehmung grundlegend gewandelt: r
Ursprünglich war die Interne Revision ausschließlich finanzorientiert („financial auditing“). Mit zunehmender Komplexität des Unternehmungsgeschehens wurden alle Bereiche der betrieblichen Tätigkeit Gegenstand ihrer Arbeit („operational auditing“). 6 Corporate Governance700 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 700 r Die Interne Revision hat sich früher ausschließlich mit Fragen der ausführenden Tätigkeit auseinandergesetzt. Heute ist auch die Führungsfunktion Objekt der Revision („management auditing“). r
Die früher ausschließlich finanzwirtschaftlich orientierte Revision befasste sich mit der Richtigkeit einzelner Informationen („Einzelfallprüfung“). Die Entwicklung führte zur umfassenden Überprüfung von Systemen („Systemprüfung“) mit dem Ziel der Systemverbesserung. r
Die Informationsverarbeitung ist nicht nur Gegenstand der Revision geworden, sondern wird selbst als Instrument bei bestimmten Prüfungshandlungen eingesetzt. r Die klassische Revision nahm ihre Prüfungshandlungen erst nach Implementierung der Systeme vor („ex post-Prüfung“). Die Komplexität und das Risiko der Systeme verlangt heute die zeitliche Vorverlegung von Prüfungshandlungen. Prüfungen finden u.U. schon vor dem Start eines Projektes statt („ex ante-Prüfung“). r
Die Zielsetzungen der Internen Revision haben sich stark erweitert. Früher standen Ordnungsmäßigkeit und Sicherheit im Vordergrund; heute ist die Wirtschaftlichkeit das dominierende Ziel. r
Die Interne Revision hat sich von einer autoritär auftretenden Prüfung zu einer internen Beratung gewandelt. Es wird zunehmend erkannt, dass sich die Interne Revision nicht punktuell auf bestimmte Teilsysteme der Unternehmung konzentrieren darf, sondern auch das Zusammenwirken von allen betrieblichen Teilsystemen und die Umwelteinflüsse hierauf zum Gegenstand ihrer Arbeit machen muss. Die Entwicklung zur heutigen Auffassung lässt sich anhand der „Statements of Responsibilities of the Internal Auditor“ des „Institute of Internal Auditors“ in New York verfolgen (vgl. z.B. Sawyer 1971, S.8 ff.; Pickett 1997, S. 3 ff.): r 1947: „It (internal auditing) deals primarily with accounting and financial matters but it may also properly deal with matters of an operating nature.“ r 1957: „Internal auditing is an independent appraisal activity within an organization for the review of accounting, financial and other operations as a basis for service to management.“ r 1971: „Internal auditing is an independent appraisal activity within an organization for the review of operations as a service to management.“ r 1994: „Internal auditing is an independent appraisal function established within an organisation to examine and evaluate its activities as a service to the organisation. The objective of internal auditing is to assist members of the organisation, including those in management and on the board, in the effective discharge of their responsibilities. To this end internal audit furnishes them with analysis, appraisals, recommendations, counsel, and information concerning the activities reviewed. The objective includes promoting effective control at reasonable cost.“ Um die wichtigsten Ansätze der Internen Revision in einheitliche Definitionen fassen zu können, hat der amerikanische Verband eine groß angelegte empirische Untersuchung durchgeführt. Die Ergebnisse sind u.a. die folgenden auch heute gültigen Definitionen (The Institute of Internal Auditors 1975, S. 51 f.): r
„Financial Auditing A financial audit is a historically oriented, independent evaluation performed by the internal auditor or the external auditor for the purpose of attesting to the fairness, 6.2 Interne Revision 701 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 701 accuracy, and reliability of the financial data; providing protection for the entity’s assets; and evaluating the adequacy and accomplishment of the system (internal control) designed to provide for the aforementioned fairness and protection. Financial data, while not being the only source of evidence, are the primary evidential source. The evaluation is performed on a planned basis rather than a request. r Operational Auditing An operational audit is a future-oriented, independent, and systematic evaluation performed by the internal auditor for management of the organizational activities and controlled by top-, middle-, and lower-level management for the purposes of improving organizational profitability and increasing the attainment of the other organizational objectives: achievement of program purposes, social objectives, and employee development. Areas in which efficiency and effectiveness may be improved are identified and recommendations made that are designed to enable realization of the improvements. The measure of effectiveness includes both an evaluation of compliance with prescribed entity operational policies and of the adequacy of them. Financial data may be a source of evidence, but the primary source is the operational policies as related to the organizational objectives. Included are an evaluation of the management control system in terms of existence, compliance, and adequacy and the management decision-making process in terms of existence, compliance, and relevance to the attainment of organizational objectives. r Management Auditing A management audit is a future-oriented, independent, and systematic evaluation of the activities of all levels of management performed by the internalauditor for the purposes of improving organizational profitability and increasing the attainment of the other organizational objectives through imrovements in the performance of the management function: achievement of program purposes, social objectives, and employee development. Financial data are some of the sources of evidence. The primary sources of evidence are the operational policies and the management decisions as related to the organizational objectives. Included are an evaluation of the management control system in terms of existence, compliance, and adequacy; the management decision-making process in terms of existence, compliance, and relevance to the attainment of organizational objectives; the management decision itself in relation to the organizational objectives; and the quality of management. The resultant audit report both identifies problems and recommends solutions.“ Die Interne Revision ist eine Funktion des „Management Service“ geworden (vgl. Zünd 1982, S. 379 ff.). In der amerikanischen Literatur ist seit längerem häufig die Rede vom „creative auditor“ (vgl. McPherson 1969, S. 54 ff.), der innovativ vorgeht, um ein „dynamic auditing in a changing world“ (vgl. Wilson 1970, S. 16) zu vollziehen. Eine Methodik zur systematischen Beschreibung aller Elemente eines operational audit bieten die von Chambers und Rand (vgl. im Folgenden 1997, S. 33 ff.) erarbeiteten Standard Audit Programme Guides (SAPG). Diese sind umfangreiche Checklisten, die als Grundlage der Revision in folgenden Unternehmensbereichen verwendet werden können: r
Management and administration, r
Financial and accounting, r
Personnel, r
Procurement, 6 Corporate Governance702 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 702 r Stock and materials handling, r Production/manufacturing, r Marketing and sales, r After sales support, r Research and development, r Information technology, r Contracting. Die SAPG bestehen aus Titelblatt, Risiko-/Kontrollformular und Schnittstellenformular. Das Titelblatt enthält die Beschreibung des zu untersuchenden Revisionsfeldes und der Revisionszielsetzungen. Das Risiko-/Kontrollformular besteht aus einer umfangreichen Tabelle, die die zu untersuchenden Risiko- und Kontrollaspekte sowie die hierfür verwendeten Kontrollmaßnahmen und deren Bedeutung hinsichtlich Testverfahren und Schwachstellen enthält. Mithilfe des Schnittstellenformulars sollen Verbindungen mit anderen Prüfbereichen untersucht werden. Die SAPG eignen sich nicht nur zur Unterstützung des internen Revisors, sondern können auch für die Selbstbeurteilung („self-assessment“) durch die Mitarbeiter verwendet werden. 6.2.3 Methodik der Internen Revision 6.2.3.1 Einzelfallprüfung Gegenstand der Einzelfallprüfung sind die einzelnen Ergebnisse von Informationsverarbeitungsvorgängen im bestehenden Systemgefüge. Insofern ist die Einzelfallprüfung das Gegenstück zur systemkoppelnden Koordination. Der Schwerpunkt liegt vornehmlich auf den Zahlen des Finanz- und Rechnungswesens. Die Ausdrücke „financial auditing“ und „ergebnisorientierte Prüfung“ können daher in etwa als Synonyme zur Umschreibung der Einzelfallprüfung verwendet werden. Typische Arbeitsgebiete einer Einzelfallprüfung in einer Großunternehmung sind nach Hofmann (1972, S. 84): „(1) Im Zusammenhang mit dem Jahresabschluß (Positionen der Bilanz sowie Gewinn- und Verlustrechnung, Bewertungsprobleme, betriebswirtschaftliche Auswertung und Beschleunigung der Abschlußprüfung durch die Wirtschaftsprüfer) (2) Geschäftsbuchhaltung (Kontokorrente, Saldenbestätigung) (3) Finanzplanung (4) Finanzierung (Kredite, flüssige Mittel, Finanzanlagen) (5) Zahlungsverkehr (Bargeld und bargeldloser Zahlungsverkehr, Banken, Wechsel, Schecks) (6) Anlagenabrechnung und -verwaltung (7) Rechnungsprüfung (8) Provisionen und Lizenzen (9) Frachtenabrechnung und -kontrolle (10) Lohnabrechnung (im weitesten Sinne) (11) Gehaltsabrechnung (im weitesten Sinne) (12) Verkaufsabrechnung 6.2 Interne Revision 703 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 703 (13) Betriebsbuchhaltung, Kostenrechnung und Kostenkontrolle (14) Kalkulation und Preisfindung (15) Inventuren (Aufnahme, Bewertung, Inventurdifferenzen) (16) Unterschlagungsprüfungen“. Die Soll-Objekte der Einzelfallprüfung beschreiben die entsprechenden gesetzlichen Vorschriften und die Grundsätze ordnungsmäßiger Buchführung und Bilanzierung, die auch durch unternehmungsinterne Richtlinien ergänzt werden. Wir wollen auf den umfangreichen Komplex der gesetzlichen Vorschriften hier nicht weiter eingehen. Vermerkt sei, dass sie häufig nicht nur Soll-Objekte von Prüfungen festlegen, sondern auch die Prüfungshandlungen selbst, die durch externe Prüfer vorzunehmen sind (vgl. z.B. Bussmann 1972). Die Interne Revision hat auf dem Gebiet dieser Prüfungen in starkem Maße mit externen Prüfungen zusammenzuarbeiten. Externe Prüfungen müssen oft mit internen Prüfungen koordiniert werden. Bei der Durchführung von Einzelfallprüfungen muss der Prüfer einige Entscheidungen hinsichtlich der anzuwendenden Prüfungsmethoden treffen (vgl. Institut der Wirtschaftsprüfer 1985, S. 946 ff.): r Formelle und materielle Prüfung: Die formelle Prüfung (auch Ordnungsprüfung genannt) hat die äußere Ordnungsmäßigkeit zum Gegenstand. Sie prüft z.B. ob sämtliche Geschäftsvorfälle im Sinne der GoB vollständig erfasst, richtig verarbeitet und den richtigen Konten zugeführt wurden. Materielle Prüfungen untersuchen die inhaltliche Richtigkeit und Wirtschaftlichkeit von Vorgängen. r Lückenlose und stichprobenweise Prüfung: Bei lückenloser Prüfung werden sämtliche Vorgänge eines bestimmten Zeitraumes und/oder Bereiches geprüft. Dies ist der Ausnahmefall. Bei umfangreichen Arbeitsgebieten kommt es darauf an, eine angemessene Stichprobenwahl zu treffen (vgl. hierzu v. Wysocki 1988, S. 170 ff.). In der Praxis findet eine große Zahl von Auswahlverfahren Anwendung, sowohl im Rahmen der bewussten Auswahl als auch im Rahmen der Zufallsauswahl der zu prüfenden Vorgänge. r
Progressive und retrograde Prüfung: Bei progressiver Prüfung wird die Ordnungsmäßigkeit der Zahlen vom Urbeleg über alle Rechnungsstufen bis zur aggregierten Rechnung geprüft. Die retrograde Prüfung nimmt den Weg von der aggregierten Rechnung (z.B. Jahresbilanz) bis zum Einzelvorgang. In der Praxis werden die beiden Methoden kombiniert angewendet. r Direkte und indirekte Prüfung: Direkte Prüfungen befassen sich unmittelbar mit dem einzelnen Vorgang. Sie stehen bei den meisten Prüfungen im Vordergrund. Bei indirekten Prüfungen gewinnt der Prüfer durch die Gegenüberstellung bestimmter Zahlen aus deren Relationen Informationen über bestimmte Sachverhalte (z.B. Ausschussquote). Diese Methode ist eine Plausibilitätsprüfung und wird als „Verprobung“ häufig bei steuerlichen Prüfungen eingesetzt. Bei Einzelfallprüfungen werden stets bestimmte formelle Prüfungshandlungen durchgeführt, die in vier Grundvarianten vorkommen (vgl. z.B. Institut der Wirtschaftsprüfer 1985, S. 946 ff.): r
Die Abstimmprüfung stellt fest, ob bestimmte Zahlen übereinstimmen oder nicht. Es werden Zahlen gegenübergestellt, die miteinander korrespondieren müssen (z.B. Soll-Haben-Abstimmung). 6 Corporate Governance704 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 704 r Die Übertragungsprüfung hat die ordnungsmäßige Übertragung und Kontierung von Zahlen zum Gegenstand. Sie ist eine Ergänzung zur Abstimmprüfung (z.B. Übertragung von Einzelsalden auf Sammelkonten). r Die rechnerische Prüfung ermittelt die Richtigkeit von bestimmten Rechenoperationen (z.B. Preis … Menge). r Die Belegprüfung stellt fest, ob die gespeicherten Daten mit den Belegangaben übereinstimmen. Auch der Beleginhalt wird geprüft. Die Analyse der Prüfungsteilhandlungen bei der Einzelfallprüfung (z.B. Auswahl einer Stichprobe, Abstimmungen, Belegprüfungen usw.) führt zur Frage nach deren Automatisierbarkeit (vgl. v. Wysocki 1988, S. 9). Lassen sich hier für Teiloperationen eindeutige, logische Strukturen formulieren, so sind die Voraussetzungen der Automatisierbarkeit gegeben (z.B. Auswählen, Sortieren, Vergleichen, Rechnen). Die Automatisierung von Prüfungen ist mit großen Vorteilen verbunden: r
Verbesserung der Wirtschaftlichkeit, r
Steigerung der Urteilsgerechtigkeit durch Gleichbehandlung gleicher Sachverhalte, r
Transparenz der Beurteilungsprozesse wird erhöht, r
Druck zur Standardisierung von Anwendungssystemen. Im Wesentlichen gibt es drei Ansatzpunkte zum Einsatz der Informationsverarbeitung bei Prüfungshandlungen (vgl. Institut der Wirtschaftsprüfer 1985, S. 969 ff.): r Auswahl von bestimmten Sachverhalten nach einem oder mehreren Merkmalen für weitere Prüfungshandlungen, r Bildung von Kennzahlen und Durchführung von Analysen, r Nachvollziehen bestimmter Arbeitsschritte. In der Praxis gibt es inzwischen eine große Anzahl von sog. Prüfprogrammen („Prüfsoftware“), die vor allem im Rahmen externer Prüfungen zur Durchführung einzelner Prüfungshandlungen eingesetzt werden. Es kommen hier nicht nur Programme in Frage, die eigens für Prüfzwecke entwickelt wurden. Auch für andere Zielsetzungen konzipierte Programme (z.B. Dienstprogramme) können für bestimmte Prüfungshandlungen eingesetzt werden. Reine Einzelfallprüfungen gibt es in der Praxis der Internen Revision selten. Die Prüfung des einzelnen Verarbeitungsergebnisses ist meist mit der Frage nach der Beschaffenheit des Systems als Ganzes verbunden. Wenn z.B. die Lohnerrechnung und die Lohnauszahlungen anhand der Lohnabrechnungs- und Lohnauszahlungsliste überprüft werden (Einzelfallprüfung), dann wird der Revisor auch fragen, wie der Ablauf insgesamt organisiert wurde (Systemprüfung). Einzelfall- und Systemprüfung stellen also keinen Gegensatz dar, sondern sie ergänzen sich. Zwar erlangt die Systemprüfung durch die Entstehung komplexer Informationssysteme in der Unternehmung eine überragende Bedeutung, aber auch die Möglichkeiten der einzelfallorientierten Prüfung steigen durch den Einsatz von Prüfsoftware. 6.2.3.2 Systemprüfung Systemprüfungen stellen „einen kritischen geistigen Nachvollzug der Problemlösungen“ (Zünd 1973, S. 208, vgl. auch 1982, S. 405 ff.) der systemgestaltenden Koordination dar. Systembildende Koordination und Systemprüfung ergänzen sich also. Die Begriffe 6.2 Interne Revision 705 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 705 „operational auditing“ und „verfahrensorientierte Prüfung“ wollen wir als Synonyme für „Systemprüfung“ verwenden. Unter „management auditing“ verstehen wir eine auf die Leistungen der Führung bezogene Systemprüfung. Wachstum und zunehmende Komplexität der Unternehmungen verlangen nach Prüfungen, die über das Finanz- und Rechnungswesen hinausgehen und auch über die Funktionsfähigkeit von Systemen informieren. Einzelfallorientierte Prüfungen haben hier ihre Grenzen. Prüfungen im Bereich der Informationsverarbeitung sind heute ohne die Methode der Systemprüfung nicht mehr aussagefähig genug. Systemprüfungen erstrecken sich auf alle wesentlichen Bereiche der Unternehmungen (vgl. z.B. Zünd 1982). Beispielhaft seien die Prüfungsgebiete im Bereich des operational Auditing in einer Großunternehmung genannt (Hofmann 1972, S. 85): „(1) Unternehmensplanung (2) Wirtschaftlichkeitsanalysen (3) Investitionen (4) Verläßlichkeit und Objektivität des Management-Informations-Systems (5) Organisationsfragen in Verwaltung, Vertrieb und Fertigung (6) Systemprüfungen (Kernproblem ist das innerbetriebliche Überwachungssystem) (7) Versicherungen (8) Allgemeine Verwaltung (9) Sozialbereich (10) Materialwirtschaft (Einkauf, Wareneingang, Magazinverwaltung, Vorratsentnahmen) (11) Absatzwirtschaft (Verkauf, Versand, Werbung) (12) Verkehr und Verteilung (13) Beurteilung von Werksabteilungen, Tochter- und Beteiligungsgesellschaften (14) Fertigung (Kapazitätsauslastung, Arbeitsablauf, Ausstattung mit Maschinen, angemessene Personalbesetzung) (15) Forschung und Entwicklung (16) Unternehmensbewertungen (17) Gründungs-, Umwandlungs-, Fusions-, Sanierungs- und Liquidationsprüfungen.“ Die Zielsetzung der Systemprüfung ist umfassend: „Endziel der verfahrensorientierten Überwachung ist die Systemverbesserung …“ (Zünd 1973, S.207). Als Einstieg zur „Systemverbesserung“ wird der Revisor in der Praxis die Überprüfung des Systems interner Kontrollen und Steuerungsmechanismen vornehmen. Der Prüfer muss also die einzelnen Kontrolleinrichtungen feststellen und die Wirksamkeit des Kontrollsystems erkunden. Ähnlich wie bei der systembildenden Koordination lassen sich auch bei der Systemprüfung der funktionale (prozessuale) und der institutionale Ansatz unterscheiden. r
Institutionale (organisatorische) Systeme erleichtern dem Revisor die Orientierung in der Unternehmung. Allerdings besteht die Gefahr, dass er bestimmte Aufgabenkomplexe übersieht. 6 Corporate Governance706 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 706 r Funktionen (im Sinne von Prozessen) stellen zwar abstrakte Subsysteme dar, sie erlauben jedoch dem Revisor, in bereichsübergreifenden Zusammenhängen zu denken. Als Vorgehensweise bei der Systemprüfung lassen sich die von Cadmus (1964, S. 25 ff.) angegebenen Schritte anwenden: r
„Familiarization“: Der Prüfer muss sich mit dem zu prüfenden Bereich vertraut machen. Er muss die Zielsetzungen kennenlernen. Er muss erfahren, wie diese erreicht werden. Die beste Orientierung über die Systemgestaltung bieten Organisationspläne und Prozessabwicklungsrichtlinien. In dieser Phase muss sich der Revisor als Gesprächspartner der Beteiligten bewähren. r
„Verification“: Der Prüfer muss die ihm aus Gesprächen und Unterlagen bekannt gewordenen Sachverhalte der Realität gegenüberstellen, d.h. verifizieren. Z.B. muss er feststellen, ob die in den Richtlinien festgelegten Abläufe tatsächlich in der vorgeschriebenen Art und Weise vor sich gehen. r
„Evaluation and Recommendation“: Der vorgefundene Istzustand der Systemgestaltung wird vom Prüfer mit den vorgegebenen Systemzielen verglichen. Sodann wird er das Systemziel selbst kritisch überprüfen. Die kritische Systembewertung soll mit Empfehlungen für Systemverbesserungen verbunden sein. Nicht zuletzt wird die Arbeit der Internen Revision an den vorgelegten Systemverbesserungsvorschlägen gemessen. r
„Reporting“: Die Arbeitsergebnisse der Internen Revision sind der Unternehmungsführung in geeigneter Form zu präsentieren. Dies ist häufig eine Schwachstelle der Revisionspraxis. In der täglichen Praxis werden zur Unterstützung der Arbeit zahlreiche sachgebietsbezogene Checklisten eingesetzt. Die Interne Revision ist in starkem Maße eine Revision der Informationssysteme. Dieser Trend wird sich verstärken. Die Revision der Informationsverarbeitung (IT-Revision) hat heute drei Ebenen (vgl. Grünwaldt 1991, S. 135): r
Operative Ebene: Prüfung des IT-Ressourcen-Einsatzes auf Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit. r
Taktische Ebene: Prüfung von IT-unterstützten Projekten auf Funktionalität und Wirtschaftlichkeit. r
Strategische Ebene: Beurteilung der Strategie und Zukunftssicherheit des IT-Einsatzes auf Übereinstimmung mit der Unternehmungsstrategie. Abb. 6.4 zeigt, dass der Kern des „Revisionsfelds“ aus Rechnern und Netzen besteht, ergänzt durch die Entwicklung, Bereitstellung und Nutzung von Soft- und Orgware sowie dem Informationsmanagement der Anwendungsgebiete. Aus der IT-Orientierung der gesamten Internen Revision ergeben sich neue Anforderungen an den Wissensstand des Revisors. War er früher eher ein Experte des Rechnungswesens, so ist heute der IT-Fachmann gefragt. Die IT-Revision stellt das zentrale Wissensgebiet des Revisors dar (vgl. Horváth, Schäfer 1983, Haschke 1989, Schuppenhauer 2004). 6.2 Interne Revision 707 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 707 6.2.4 Arbeitsweise der Internen Revision 6.2.4.1 Organisation Kennzeichnend für die organisatorische Strukturierung der verschiedenen Überwachungsaufgaben ist ihre Verteilung auf eine Mehrzahl von Stellen oder Abteilungen: r
Kontrollen erfolgen meist dezentral in den Linienabteilungen selbst. r Die Controllingabteilung kann zentralisiert Teile des Kontrollprozesses betreuen und darüber hinaus auch Revision betreiben. r Die Organisationsabteilung befasst sich häufig auch mit der Systemprüfung. r
In zahlreichen Unternehmungen ist die Interne Revision eine der Unternehmungsleitung unmittelbar unterstellte zentrale Abteilung. Auch unternehmungsexterne Stellen sind häufig an der Überwachung beteiligt. Abb. 6.4: Schwerpunkte im Revisionsfeld Informationsverarbeitung (Grünwaldt 1991, S. 135) 6 Corporate Governance708 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 708 Die Zentralisation und Dezentralisation sowie die Koordination der Überwachung stellen deshalb einen eigenständigen Problemkreis dar. Das organisatorische Entscheidungsproblem lässt sich wie folgt umschreiben (vgl. Zünd 1973, S.282): Eine zweckmäßige Überwachung fördert die Tendenz zur Dezentralisation; je stärker allerdings die Dezentralisation, umso notwendiger ist eine effiziente Überwachung. Im Folgenden wollen wir uns nicht mit allen Überwachungsaufgaben organisatorisch auseinandersetzen, sondern uns auf die Interne Revision konzentrieren (vgl. z.B. Zünd 1982, S. 503 ff. und Heigl 1990, S.192 ff.). Das organisatorische Hauptpostulat für die Interne Revision betrifft ihre „Unabhängigkeit“. Der Forderung nach organisatorischer Unabhängigkeit steht der Gesichtspunkt der fachlichen Nähe bei organisatorischer Eingliederung der Internen Revision gegenüber. Die Interne Revision soll organisatorisch in die Nähe des Bereichs plaziert werden, zu dem die stärksten fachlich-funktionalen Verbindungen bestehen. Dies ist zweifellos der Controllerbereich. Den höchsten Grad der Unabhängigkeit erreicht die Interne Revision dagegen, wenn sie unmittelbar der Geschäftsleitung unterstellt ist. Der Trend geht in den letzten Jahren eindeutig in diese Richtung (vgl. Kap. 6.2). Sofern der Controller unmittelbar der Unternehmungsspitze angehört, ist die Zuordnung zu ihm vorteilhaft, da der Controller derjenige ist, der durch seine Stellung und fachliche Autorität die Arbeit der Internen Revision am stärksten fördern kann. Die interne Organisation der Revisionsabteilung ist stark von der Unternehmungsgröße abhängig, da mit der Abteilungsgröße auch die Arbeitsteilung zunimmt. Die Revisionsabteilung kann strukturiert werden nach (vgl. Hofmann 1972, S. 55): r hierarchischen Gesichtspunkten, r Aufgabengebieten der Revision, r geografischen Gesichtspunkten. Mit einer gewissen Abteilungsgröße verselbständigen sich die sog. Innendienstaufgaben. Verwaltung, Planung und Überwachung bilden selbständige Bereiche innerhalb der Revision. Wir haben eingangs darauf hingewiesen, dass in der Unternehmung eine Reihe unterschiedlicher Überwachungsaktivitäten – ausgeübt durch unternehmungsinterne und unternehmungsexterne Stellen – stattfindet. Ihre systemkoppelnde Koordination bedarf eines organisatorischen Rahmens. Die organisatorische Klammer für die verschiedenen internen und externen Überwachungsaufgaben und der Unternehmungsführung bildet vor allem in US-Unternehmungen das „audit committee“ (vgl. Mautz, Neumann 1970; Auerbach 1976; Lovdal 1977). Revisionsausschüsse werden auch als Instrumente zur Unabhängigkeitswahrung der Internen Revision angesehen, da sie die Wünsche der Unternehmungsführung überschaubarer machen (vgl. Lovdal 1977, S.109 ff.). 6.2.4.2 Prüfungsplanung Zum Ablauf der Prüfungen ist eine sorgfältige Planung und Kontrolle mit Berücksichtigung von Ordnungsmäßigkeits- und Wirtschaftlichkeitsgesichtspunkten notwendig 6.2 Interne Revision 709 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 709 (vgl. hierzu v. Wysocki 1988, S. 256 ff.). Den Ausgangspunkt bildet dabei die Abgrenzung der Prüfobjekte und die Bildung eines realisierbaren Revisionsprogrammes. Dem steht die Planung der personellen und der sachlichen Ressourcen gegenüber. Die Planung und Durchführung eines einzelnen Revisionsauftrages erfolgt im Sinne eines phasenstrukturierten Projektes. Insgesamt lassen sich die Phasen r
Prüfungsplanung, r
Prüfungsdurchführung, r
Berichterstattung und r
Nachschauprüfung („follow up“) unterscheiden. Prüfungshandlungen sind nicht ohne Verhaltensprobleme. Die Tätigkeit von Revisoren stößt häufig auf Misstrauen und Widerstände. Das Spannungsverhältnis zwischen Prüfer und Geprüften ist deshalb häufiger Gegenstand von Überlegungen bei der Gestaltung der Überwachung. Das Institute of Internal Auditors ist im Rahmen eines Forschungsvorhabens frühzeitig den „behavioral patterns in internal audit relationships“ (vgl. 1972) empirisch nachgegangen. Das Ergebnis erscheint als Motto der Arbeit „The participative approach – the teamwork approach – the problem-solving partnership may well be the light at the end of a dreary tunnel.“ Gegenübergestellt wurden drei Ansätze (vgl. The Institute of Internal Auditors 1972, S. 24 ff.): r
„Traditional Audit Approach or Style“: Der Prüfer sieht seine Aufgabe darin, die Unternehmung vor möglichen Verlusten zu schützen. Gegenüber dem Geprüften nimmt er die Haltung eines Außenstehenden an. Die Arbeitsergebnisse werden nicht mit dem Geprüften besprochen. Verstöße gegen die „Vorschriften“ werden ungeschminkt weitergemeldet. r „Current Moderate Approach“: Der interne Revisor ist bemüht, vermögensschützend und konstruktiv zugleich zu sein. Dem Geprüften gegenüber tritt er freundlich und zuvorkommend auf. Die Revisionsziele werden mit dem Geprüften bis zu einem gewissen Ausmaß diskutiert, um seine Mitarbeit zu sichern. Auch die Ergebnisse werden erörtert. Gegenteilige Auffassungen des Geprüften werden in den Bericht mitaufgenommen. r „Participative Teamwork Approach“: Hier sieht der Revisor seine Hauptaufgabe darin, das Linienmanagement bei der Erreichung seiner Ziele zu unterstützen. Als Arbeitsansatz wird die Teambildung mit dem Geprüften angesehen. Der Prüfer sucht in Teamarbeit mit dem Geprüften nach besseren Wegen zur Zielerreichung. Er vermeidet jeden Anschein persönlicher Kritik. Die Empfehlungen der Revision werden ausführlich diskutiert. Der Bericht hebt die zur Systemverbesserung ergriffenen Maßnahmen hervor. Befragungen, Laborexperimente und Feldstudien haben die Überlegenheit des partizipativen Prüfungsstils bestätigt. Der „Participative Teamwork Approach“ lässt die eingangs diskutierte Frage nach der organisatorischen Einordnung der Internen Revision in neuem Licht erscheinen. Offenbar wird in der Diskussion der Begriff der „Unabhängigkeit“ häufig recht starr ausgelegt. Der Erfolg des partizipativen Prüfungsstiles weist darauf hin, dass organi- 6 Corporate Governance710 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 710 satorische Lösungen, die die Revision stark von anderen Bereichen trennen, überprüfungsbedürftig sind. 6.2.4.3 Revisionsrichtlinien und Revisionshandbuch Die Interne Revision wird als Organ der Unternehmensführung tätig. Diese wird der Überwachungsfunktion „nur dadurch gerecht, dass sie selbst die delegierten Aufgaben und deren wichtigste Elemente für die nachgeordneten Führungsebenen definiert“ (Bloth 1991, S. 143). Hierzu dienen Revisionsrichtlinien, die die Aufgabenstellung der Internen Revision, die wesentlichen Bedingungen ihrer Arbeit sowie ihre Vorgehensweise bestimmen. In Abb. 6.5 ist als Beispiel ein Auszug aus einer Revisionsrichtlinie einer mittelständischen Unternehmung dargestellt. Die Revisionsrichtlinien sowie die Einzelheiten der Revisionsarbeit werden in der Regel in einem Revisionshandbuch zusammengefasst. Ein Revisionshandbuch soll so detailliert gestaltet werden, dass es dem einzelnen Revisor eine klare Richtschnur für seine Arbeit liefert. Insgesamt dient es der Effektivität und der Effizienz der Revisionsarbeit. Das Beispiel in Abb. 6.6 verdeutlicht dies durch die Wiedergabe der Struktur eines solchen Revisionshandbuches (Hahn 1991). Das Revisionshandbuch enthält das von der Geschäftsleitung genehmigte Prüfungsprogramm, d.h. die nach Relevanz- und Risikokriterien definierte Liste der zu prüfenden Gebiete (z.B. Zahlungsverkehr-Inland). Ein PC-Programm („Planungs- und Steuerungsprogramm“) unterstützt den Arbeitsablauf des Revisors, indem es diesen durch Vorgabe der Arbeitsschritte strukturiert. Teil 5 Ziel und Aufgabenrahmen der Unternehmungsrevision Ziel der UR ist es, durch die Ergebnisse ihrer Arbeit die Geschäftsführung, das Management der Unternehmen der BORG-Gruppe und alle Mitarbeiter mit Führungsverantwortung in den Unternehmen wirksam bei der Erfüllung ihrer Aufgaben zu unterstützen, indem sie ihnen objektive Analysen, Stellungnahmen und Empfehlungen zu den jeweils geprüften Sachverhalten liefert. Zum Aufgabenrahmen der UR, der sich mit Ordnungsprüfungen, Systemprüfungen und Sonderaufgaben grundsätzlich auf alle Aktivitäten innerhalb der Unternehmen der BORG-Gruppe erstreckt, gehören als Hauptaufgaben: t
Prüfen und Beurteilen der Wirksamkeit, Angemessenheit und Wirtschaftlichkeit der in den Betriebs- und Verwaltungsabläufen sowie im Finanz- und Rechnungswesen installierten internen Kontrollen (internes Kontrollsystem). t
Feststellen, in welchem Maße die Grundsätze, Planungen und Verfahrens-Richtlinien der BORG-Gruppe bzw. der einzelnen Unternehmen beachtet werden, insbesondere ob die für die jeweiligen Führungsebenen bestimmten betrieblichen Daten und sonstigen Informationen zuverlässig ermittelt werden und gegen verändernde Eingriffe gesichert sind. t
Feststellen, in welchem Umfang Verantwortlichkeiten für die Vermögenswerte der Unternehmen festgelegt und wirksame Vorkehrungen gegen Verluste aller Art getroffen sind. t
Beurteilen der Ausführungsqualität delegierter Aufgaben und ggf. Empfehlen von konkreten Verbesserungen. t
Vorbereitendes und unterstützendes Mitwirken bei der Tätigkeit der gesetzlichen Abschlussprüfer im Rahmen von Jahresabschlussprüfungen. (UR = Unternehmungsrevision) Abb. 6.5: Auszug aus einer Revisionsrichtlinie (Bloth 1991, S. 149) 6.3 Risikomanagement und -controlling 711 Vahlens Handbücher – Horváth – Controlling (12. Auflage) – Herstellung: Frau Deuringer Stand: 19.09.2011 Status: Imprimatur Seite 711 des in Abb. 6.6 dargestellten Revisionshandbuches gibt Auskunft über Aufbau- und Ablauforganisation der zu prüfenden Gebiete. Dies geschieht in Form von Ablaufdiagrammen sowie mittels einer „Kontroll-Matrix“, die die vorgesehenen Kontrollarten je Prüfungsgebiet darstellt. 6.3 Risikomanagement und -controlling 6.3.1 Controlling zur Unterstützung des Risikomanagements Der Prozess des Risikomanagements besteht aus drei Phasen: r
Risikoanalyse, r
Risikoplanung und -steuerung r Risikoüberwachung. Einen Überblick über diese Phasen und die jeweils wesentlichen Instrumente gibt Abb. 6.7. Abb. 6.6: Beispiel der Strukturen eines Revisionshandbuches („RHB“) einer Bank (Hahn 1991, S. 163)