Outsourcing der Internen IT-Revision bei · PDF fileOutsourcing der Internen IT-Revision bei Banken 6 „Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistun

Ramin Niroumand

Outsourcing der Internen IT-Revision bei Banken

Voraussetzungen und Nutzenoptimierung Mit einem Vorwort von Elmar Schwager, The AuditFactory .

Outsourcing der Internen IT-Revision bei Banken 2

Inhaltsverzeichnis

1 Einleitung ____________________________________________________________ 5

2 Grundlagen___________________________________________________________ 8

2.1 Einordnung und Entwicklung der Internen Revision __________________________________ 8

2.2 Aufgaben und Ziele der Internen IT-Revision ______________________________________ 10

2.3 Risiken einer unsachgemäßen Internen IT-Revision _________________________________ 13

2.4 Gesetzliche Grundlagen _______________________________________________________ 15

2.5 Bedeutung von Outsourcing für Kreditinstitute _____________________________________ 17

2.6 Rechtliche Einschränkungen ___________________________________________________ 19

2.7 Outsourcing der Internen Revision_______________________________________________ 21

2.8 Formen des Outsourcings der Internen Revision ____________________________________ 23

3 Grundlagen für eine wirksame Auslagerung der Internen Revision ________________ 25

3.1 Organisatorische Voraussetzungen ______________________________________________ 25

3.2 Risikoorientierte Prüfungsplanung _______________________________________________ 29

4 Faktoren zur Optimierung des Nutzens _____________________________________ 35

4.1 Vorüberlegungen ____________________________________________________________ 35

4.2 Eignung des Outsourcingpartners als Faktor _______________________________________ 39

5 Schluss _____________________________________________________________ 43

5.1 Zusammenfassung der Ergebnisse _______________________________________________ 43

5.2 Kritische Würdigung __________________________________________________________ 45

5.3 Ausblick ___________________________________________________________________ 46


Abkürzungsverzeichnis Abkürzung Erläuterung

AO Abgabenordnung

AKtG Aktiengesetz

BaFin Bundesanstalt für Finanzdienstleistungen

BDSG Bundesdatenschutzgesetz

BSI Bundesamt für Sicherheit in der Informationstechnik

BMF Bundesministerium für Finanzen

CAE Chief Audit Executives

CIA Certified Internal Auditor

CIO Chief Information Officer

COBIT Control Objectives for Information and Related Technology

DIN Deutsches Institut für Normung e. V.

GoB Grundsätze ordnungsgemäßer Buchführung

GoDV Grundsätze ordnungsmäßiger Datenverarbeitung

GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme

GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen

HGB Handelsgesetzbuch

IBM International Business Machines (Corporation)

IDW Institut der Wirtschaftsprüfer in Deutschland e.V.

IIA Institute of Internal Auditor

IIR Deutsches Institut für Interne Revision e.V.

IR Interne Revision

ISO ISO - International Organization for Standardization

IT Informationstechnologie

ITIL IT Infrastructure Library (ITIL)

KonTraG Kontrolle und Transparenz im Unternehmensbereich

KWG Gesetz über das Kreditwesen

MaRisk Mindestanforderungen an das Risikomanagement

QA Quality Assessment

WP Wirtschaftsprüfer


Vorwort The AuditFactory ist eines der führenden Unternehmen für das Partnering und Outsourcing der Internen Revision. Partnering ist die Zusammenarbeit mit Revisionsabteilungen aller Branchen und Größen, wohingegen Outsourcing die komplette Übertragung der Revisionsfunktion auf einen Dienstleister meint. Die vor mehreren Jahren aus den USA aufkommende Diskussion um ein Teil- oder Komplettour-sourcing der Internen Revision wurde nicht immer sachlich geführt. Bereits zu ihrem Beginn for-mulierte der amerikanische Dachverband IIA seine Bedenken, die Interne Revision komplett auf einen Dienstleister auszulagern, in einem Positionspapier. Das war von der Reaktion her logisch, aber nicht in jedem Punkt überzeugend. Einige deutsche Autoren folgten dieser Position indem sie sie kopierten, ohne dass die thesenunermauernden Argumente besser wurden. Das Deutsche Institut für Interne Revision schweigt bis heute zu diesem wichtigen Thema. Hinter dieser Diskussion stand die Angst des Überflüssigwerdens etablierter Revisionsfunktionen, die externe Dienstleister zunächst einmal als Gefährdung ihrer eigenen Existenz begriffen, ohne die damit verbundenen Vorteile sehen zu wollen. Die Diskussion hat sich mittlerweile versachlicht, auch darum, weil die Revisionsabteilungen festgestellt haben, dass die externen Dienstleister ebenfalls nur mit Wasser kochen, wenn sie Tee trinken wollen. Und so mancher Hochglanzpros-pekt hat sich als das offenbart, was er ist: eine Packung heiße Luft. Insofern ist die Diskussion sachlicher und die Zusammenarbeit mit den externen Dienstleistern professioneller geworden. Bei Ausschreibungen wird mehr auf die Personen, ihre Vita und ihren fachlichen Hintergrund geachtet als auf den Firmennamen, der auf der Visitenkarte steht – Aus-nahmen selbstverständlich immer möglich, wie etwa bei dem Einkauf von Quality Assessments bei den Wirtschaftsprüfungsgesellschaften als Persilschein für die Revisionsabteilungen. Die Re-visionsabteilungen begreifen den Zugriff auf Externe für Spezialthemen oder auch schlichtweg als Kapazitätserweiterung mittlerweile zunehmend als Vorteil; dieser bewusstseinsbildende Prozess ist aber noch nicht abgeschlossen. Es muss auch gesagt werden, dass ein guter Dienstleister eine schlechte Revision natürlich gefährden kann. Insofern ist eine Modernisierung und Neuausrich-tung an der einen oder anderen Stelle sicherlich notwendig. Die Zusammenarbeit mit einem erfah-renen Dienstleister kann aber auch Know-how importieren, das für die Stärkung der Internen Re-vision genutzt werden kann. Und noch eine weitere Entwicklung ist festzustellen: Die kleinen Organisationen, die sich vor eini-gen Jahren mit dem Thema Interne Revision noch gar nicht beschäftigt haben, kommen vermehrt auf uns zu, um ihre Interne Revision in die Hände eines Externen zu legen. Dort überwiegen die Vorteile des Zugriffs auf erfahrene Experten den Nachteil des Außerhausgebens wohl immer noch. Ramin Niroumand hat, nicht zuletzt mit Unterstützung von The AuditFactory in Bezug auf die Lie-ferung von Materialien, aber auch als Gesprächspartner, eine Arbeit vorgelegt, die in zweierlei Hinsicht bemerkenswert und wichtig ist: Zum einen widmet er sich einem Thema, das klassi-scherweise zum Outsourcing geeignet ist – der IT-Revision – zum anderen beschäftigt er sich ausführlich mit der Branche der Finanzdienstleister. Wir veröffentlichen diese Arbeit in Abwei-chung von unseren sonst geltenden Grundsätzen, die Working Papers eigentlich als praxisorien-tierte Arbeiten von Fachkollegen definieren. Wir glauben, dass der Inhalt einem größeren Fach-publikum zugänglich gemacht werden sollte und dass er für ihn von Interesse ist. Auch darum sollte er nicht in der Schublade verschwinden. Wir freuen uns darüber, dass der Autor sich für eine Veröffentlichung bei uns entschieden hat und wünschen uns engagierte, aber entspannte Diskus-sionen. Elmar Schwager Bietigheim-Bissingen, 7. Dezember 2010 Geschäftsleitung The AuditFactory


1 Einleitung

„In der Krise soll man Ruhe bewahren, einen klaren Kopf behalten, die eigenen Stärken und Chancen analysieren, Verbündete suchen. Und immer wieder: richtig kommunizieren.”1, so der TUI-Chef Michael Frenzel in der Süddeutschen Zeitung. Die Banken müssen nach Verbesserungspotenzialen suchen, damit sie auch in Krisenzeiten handlungs- und wettbewerbsfähig bleiben. Nach einer aktuellen Studie2 der Hochschule Karlsruhe wollen Kreditinstitute deshalb vor allem mittels Optimierung ihrer IT-Prozesseffizienz reagieren.3 „Auch die Banken-IT-Studie 2009 der Unternehmensberatung Capgemini belegt: 56 Prozent pla-nen eine Prozessoptimierung, um die derzeitigen Aufgaben zu meistern. Das ist der Spitzenwert aller genannten Maßnahmen.“4 Weiterhin sollten die IT-Anwendungen im Risikomanagement ver-bessert werden, mit dem Ziel einer erhöhten Transparenz.5 In einer Studie des Institute of Internal Auditor (IIA) nehmen die Mehrheit der 524 befragten Chief Audit Executives (CAE)6 nicht an, dass ein besseres Risikomanagement die gegenwärtige Krise verhindert hätte, jedoch zeigt diese Stu-die die Existenz von Risiken mit weltweiter Vernetzung und den Bedarf einer notwendigen Steue-rung.7 Auch die Auslagerung ganzer IT-Bereiche an externe Anbieter wird vermehrt in den Banken diskutiert.8 Diese Diskussion wird von der vergleichsweise hohen Fertigungstiefe, d.h. dem Anteil selbst erbrachter Leistungen im Verhältnis zur Gesamtleistung, in Kreditinstituten9 verstärkt. Zur-zeit beträgt sie bei Kreditinstituten ca. 80 %, währenddessen die Fertigungstiefe z.B. in der Auto-mobilindustrie ca. 25 % beträgt10 und das obwohl Finanzgeschäfte traditionell eine hohe Abhän-gigkeit zur IT aufweisen und einen entscheidenden Vorteil besitzen: „Geld lässt sich ausgezeich-net digitalisieren.“ Hieraus resultiert die Frage, inwieweit ursprünglich interne Bankdienstleistungen unter Konzentra-tion auf das Kerngeschäft und Wahrung einer ordnungsmäßigen Geschäftstätigkeit auf Dritte aus-gelagert werden können, um Risiken besser zu steuern und Prozesse effizienter gestalten zu kön-nen.11 Zur wirksamen und angemessenen Überwachung der Risiken, aber auch zur Steigerung der Effi-zienz von IT-Prozessen/IT-Systemen, ist nach den Mindestanforderungen an das Risikomanage-ment (MaRisk) der Bundesanstalt für Finanzdienstleistungen (BaFin) ein Risikomanagement unter Berücksichtigung der Risikotragfähigkeit einzuführen, welches insbesondere die Festlegung an-gemessener Strategien und interner Kontrollverfahren umfasst. Diese bestehen aus dem Internen Kontrollsystem (IKS) und der Internen Revision.12 Die Leistungen der Internen Revision13 von Kre-ditinstituten können ausgelagert werden, unterliegen jedoch höheren rechtlichen und regulatori-schen Anforderungen als andere Unternehmensbereiche und –prozesse. Diese Problematik wird in Kapitel 2.3 und 3.1 vertieft. Eine Definition für Interne Revision, die unabhängig von Größe und Branche der Unternehmen allgemeinhin gilt, wird nach dem IIA, bzw. dem Deutschen Institut für Interne Revision e.V. (IIR), wie folgt formuliert:14:

1 Meite Thiede / Frenzel, Michael (2007), im Hauptframe (siehe Internet- / Intranetverzeichnis). 2 Nees befragte 165 Führungskräften privater Universalbanken, Direktbanken und Sparkassen. (Vgl. Hansch, Simon (2009), im Haupt-frame (siehe Internet- / Intranetverzeichnis). 3 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 4 Ebenda. 5 Vgl. ebenda. 6 Auf die Rollen und Aufgaben eines CAE wird in der Arbeit noch genauer eingegangen (siehe 3.1.2.3). 7 Vgl. Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (II) (2009), S.1. 8 Vgl. Hansch, Simon (2009), im Hauptframe (siehe Internet- / Intranetverzeichnis). 9 Kreditinstitute sind Unternehmen, die Bankgeschäfte gewerbsmäßig betreiben, § 1 Abs. 1 S. 1 KWG. 10 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. 11 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Hansch, Simon (2009), S.26. 12 Bafin (Hrsg.) (2007), S.3 (MaRisk AT 1 Tz. 1). 13 „Bisher hatte sich noch keine abschließende einheitliche Terminologie etabliert. Begriffe wie ‚Interne Revision‘, ‚Innenrevision‘ sowie ‚internes Revisionssystem‘ werden synonym verwendet. Zusätzlich variiert die Schreibweise.“ (Amling, Thomas / Bantleon, Ulrich (2007), S. 51.) 14 Peemöller, Voker H. (I) (2008), S. 3.


„Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistun-gen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu ver-bessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem sys-tematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.“15

Die Definition lässt bereits erkennen, welche Bandbreite der internen Leistungen die Interne Revi-sion als Querschnittsfunktion im Unternehmen erbringt16 und welchen Einfluss sie damit auf die Unternehmensentwicklung ausübt, um Ziele wie Wertsicherung und Wertsteigerung zu erreichen. Zur Bedeutungszunahme tragen die Ausweitungen der Organisationsverantwortung der Unter-nehmensleitung im Rahmen der Weiterentwicklung der Corporate Governance17 sowie die wach-sende Bedeutung der Bekämpfung von Wirtschaftskriminalität bei.18 Eine Voraussetzung, um der Internen Revision eine Erhöhung der Prozesseffizienz bei gleichzeitiger Einhaltung der regulatori-schen Anforderungen zu ermöglichen, ist die Risikoorientierung im Prüfungsansatz (siehe auch 3.2.1).19 Kreditinstitute sind zur Risikoorientierung aus den MaRisk verpflichtet:20:

„Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemes-senheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems im Besonde-ren sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. (…)“ 21

Die Durchführung der genannten Prüfungspflichten erfordert eine angemessene Kapazitätsaus-stattung der Internen Revision. Die Verantwortung hierfür obliegt der Geschäftsleitung und fällt in die Überwachungspflicht des Aufsichtsrates.22 In der Praxis besteht die Gefahr, dass z. B. durch unzureichende Ressourcen oder fehlendes Spezialwissen in der Revisionsabteilung für das Un-ternehmen kritische Prozesse und die damit verbundenen Risiken nicht angemessen erfasst und mögliche Potenziale nicht ausgeschöpft werden können.23 Hinzu kommt, dass Aufgabeninhalte und Zielsetzungen der Internen Revision durch zahlreiche gesellschaftliche, wirtschaftliche und gesetzliche Entwicklungen fortwährend angepasst werden müssen.24 „Diese Dynamik steigert die Anforderung an die Interne Revision“25 und stellt die Unternehmensführung vor Herausforderun-gen, die Überwachungsfunktion in angemessener und effizienter Weise auszuüben. „Die Ursa-chen dafür sind:

• Zeitmangel, • fehlendes Spezialwissen, • fehlendes Methodenwissen, • fehlende Unabhängigkeit oder Objektivität und • mangelndes Bewusstsein für die Notwendigkeit der umfassenden Überwachung.“26

15 Deutsches Institut für Interne Revision e.V. (Hrsg.) (II.I) (2008), im Hauptframe (siehe Internet- / Intranetverzeichnis). 16 Hölscher, Luise / Rosenthal, Johannes (I) (2008), S.258. 17 “Rechtlicher und faktischer Ordnungsrahmen zur Leitung und Entwicklung eines Unternehmens“ (Vgl. von Werder, Axel (2003), S.4) 18 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S. 25. 19 Vgl. Schwager, Elmar (I) (2003), S. 2133. 20 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 60. 21 Bafin (Hrsg.) (2007), S.52 (MaRisk AT 4.4 Tz. 3). 22 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 60. 23 Vgl. Schwager, Elmar (I) (2003), S. 2133. 24 Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.) (I) (2005), S. 29. 25 Amling, Thomas / Bantleon, Ulrich (2007), S. 25. 26 Peemöller, Voker H. (II) (2008), S. 147 ff. .


Diese Problembereiche einer etablierten Internen Revision können einen Einfluss auf die Ord-nungsmäßigkeit und Angemessenheit des Risikomanagements haben und somit auf die Ge-schäftsführung rückwirken. Unter Umständen führt dies zur Haftung oder anderen Sanktionsme-chanismen.27 Wird aufgrund von Flexibilitäts-, Kosten- oder Professionalitätsgesichtspunkten eine etablierte Revision durch die Geschäftsführung nicht gewünscht, „so kann ein Outsourcing der Revision diese Problematik verhindern oder zumindest vermindern.“28 Eine allgemeine Definition von Outsourcing im Zusammenhang mit Interner Revision liefert das Deutsche Institut für Interne Revision e.V. (IIR):

„Der Begriff Outsourcing (Outside Ressource Using) beinhaltet die Idee, betriebliche Funktionen auf externe Dritte auszulagern, die die betreffenden Funktionen für die Unternehmen selbständig erbringen. Outsourcing von Revisionsleistungen bedeutet, dass entweder nur einzelnen Revisi-onstätigkeiten oder die gesamten unternehmensinternen Revisionsfunktionen auf einen externen Dienstleister übertragen werden.“29

Besonders die Informationstechnologie stellt die Interne Revision aufgrund ihrer wachsenden Be-deutung und ihrer schnellen Entwicklungszyklen vor neue Herausforderungen. So benötigen In-formations- und Kommunikationstechniken als Prüfungsobjekt den Einsatz von Revisionsspezialis-ten in weit größeren Umfang als andere Prüfbereiche.30 Aus diesem Grund bezeichnet die Litera-tur den Teilbereich IT-Revision31 als besonders für das Outsourcing geeignet. Ferner ist die „IT-Revision eine wichtige Erfolgsdeterminante eines Kreditinstituts, wenn auch immer noch nicht als solche anerkannt.“32 Unter Voraussetzung der oben genannten Prämissen lässt sich die Annahme bilden, dass durch die Auslagerung der IT-Revision und einer damit verbundenen Steigerung der Expertise auf diesem Gebiet, die Prozesseffizienz im eigenen Unternehmen gesteigert werden kann. Das Ziel der Arbeit ist eine Veranschaulichung, welche Voraussetzungen erfüllt sein müssen, da-mit eine Auslagerung der Internen IT-Revision effektiv zur Erreichung der Unternehmensziele bei-tragen kann. Anschließend werden relevante Faktoren zur Optimierung des Nutzens näher be-leuchtet. Dazu wird in einem ersten Schritt auf grundlegende Eigenschaften der Internen IT-Revision, des Outsourcings sowie auf relevante gesetzliche und regulatorische Rahmenbedingun-gen eingegangen. Berücksichtigt werden hierbei insbesondere für Kreditinstitute spezifische Re-gelungen und Standards der Internen Revision. Anschließend werden die organisatorischen Vo-raussetzungen für die Auslagerung und die risikoorientierte Prüfungsplanung erläutert. Darauf aufbauend bildet der Autor im Hinblick auf die Forschungsfrage zwei Thesen, die in der Schluss-betrachtung unter Berücksichtigung der nutzenbeeinflussenden Faktoren analysiert werden. Die Erkenntnisse über die zur Diskussion stehenden Faktoren, Verbesserung des Informationsflusses und die Wahl des richtigen Outsourcingpartners, werden mittels Experteninterviews gewonnen. Die Meinungen der Experten werden dabei thematisch zugeordnet und entsprechend ihrer Wir-kung auf den Nutzen analysiert. Bei der Durchführung der Interviews wurde die Methodik des Leit-fadeninterviews, ein Mittel der qualitativen Forschung33, verwendet. Die Auswahl der Experten wurde unter der Prämisse einer angemessen Repräsentation für eine Gruppe34 getroffen. Gemäß dem induktiven Ansatz sollen von spezifischen Aussagen allgemeine Erkenntnisse gewonnen werden. So stellen Schwager, Wittjen und Lehmann jeweils einen Repräsentanten der potentiellen 27 Vgl. Schwager, Elmar (I) (2003), S. 2133. 28 Schwager, Elmar (I) (2003), S. 2133. 29 Deutsches Institut für Interne Revision e.V. (Hrsg.) (III) (1999), S.55. 30 Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.) (I) (2005), S. 29. 31 Vgl. u.a. Schwager, Elmar (I) (2003), S. 2133 / Peemöller, Voker H. (II) (2008), S. 153 ff. / KPMG (Hrsg.) (2009), S. 12. 32 Sowa, Alexandra S. 82. 33 Vgl. Mayer, Horst O. (2006), S. 37 34 Vgl. ebenda, S. 38. 35 In den im Anhang beigefügten Gesprächsprotokollen befindet sich jeweils eine Beschreibung der Befragten.


Outsourcingpartner dar. Kendel repräsentiert als Leiter der Internen IT-Revision bei der Com-merzbank AG die Unternehmensseite. Alle Befragten haben langjährige Erfahrungen im Bereich der Internen Revision oder IT-Revision und arbeiten in einer Position mit Führungsaufgaben.35 Abschließend erfolgen eine Bewertung der Ergebnisse, sowie ein Ausblick, der auch den weiteren Forschungsbedarf darstellt. Ergeben sich im Rahmen der vorliegenden Arbeit keine Differenzie-rung durch Prüfungsfokus Informationstechnologie werden die Begriffe Interne Revision und Inter-ne IT-Revision als Synonyme verwendet, d.h. solange keine Unterscheidung stattfindet, gelten die gültigen Regelungen oder Eigenschaften der Internen Revision auch für die IT-Revision, da diese als Teildisziplin anzusehen ist. Nicht Gegenstand dieser Arbeit sind Untersuchungen die zeigen, ob eine Auslagerung effizienter ist als eine In-House Lösung. Es werden auch nicht die theoretischen Ansätze zur Risikoidentifika-tion und -bewertung, die Theorien zur Dienstleisterqualität oder die Auswirkungen von Prüfungs-software weiter betrachtet.

2 Grundlagen

2.1 Einordnung und Entwicklung der Internen Revision

Die Interne Revision ist organisatorisch als eine Stabstelle der Unternehmensführung, die pro-zessunabhängige Überwachungsleistungen zur Unterstützung der Unternehmensführung erbringt sowie als integraler Bestandteil des Internen Kontrollsystems (IKS) zu verstehen. Amling / Bantleon halten eine stete und gründliche Überwachung für eine Grundvoraussetzung zur effizi-enten und zukunftsorientierten Unternehmensführung. „Überwachung: Systematischer mehrstufiger Informations- und Entscheidungsprozess, der alle Maßnahmen umfasst, durch die festgestellt werden soll, ob Zustände oder Prozesse einer Norm entsprechen sowie normgerecht und wirtschaftlich durchgeführt werden.“36

Alle Aktivitäten im Rahmen des unternehmerischen Überwachungsprozesses werden im Überwa-chungssystem gebündelt, wie Abb. 1 veranschaulicht. Dies zeigt, dass die Überwachung sowohl im Auftrag Dritter (extern), als auch im Auftrag der Unternehmensleitung (intern) erfolgen kann. Die Überwachung im Auftrag Dritter umfasst die Institutionen Aufsichtsrat, Abschlussprüfer, Auf-sichtsbehörden (z.B. BaFin bei Banken), Betriebsprüfungen und die Prüfstelle für Rechnungsle-gung nach § 342b HGB.37 Das interne Überwachungssystem setzt sich aus den Bereichen Orga-nisatorische Sicherungsmaßnahmen, Controlling, Interne Revision und der Querschnittsfunktion Risikomanagement zusammen.38

36 Korndörfer, W. / Peez, L. (1993), S. 36. 37 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S. 38. 38 Vgl. Paetzmann, Karsten (2008)


Abb. 1: Controlling und Risikomanagement als Komponenten des unternehmerischen Überwa-

chungssystems

Quelle: Freidank, Carl-Christian (Hrsg.) (2005), S.18.

Aufgrund ihrer prozessunabhängigen Überwachungshandlungen ist die Interne Revision eine Kernfunktion innerhalb des Internen Überwachungssystems.39 Die unternehmerische Überwachungsfunktion unterliegt aufgrund von Veränderungen im Unter-nehmen bzw. in dessen Umfeld einem stetigen Anpassungsprozess. „Dies gilt insbesondere für die Interne Revision als dem wichtigsten Instrument der internen Überwachung.“40 Die in Abschnitt 1 genannte Definition des IIR impliziert den eingeleiteten Wandel. Nicht mehr die Unternehmens-führung allein, sondern die gesamte Organisation wird von der IR unterstützt.41 Als Folge des ge-setzlichen und bankenaufsichtrechtlichen Paradigmenwechsels (u.a. Sarbanes-Oxley-Act, Basel II, KonTraG, KWG 25a) vollzog sich seit der Jahrtausendwende42 ein Wandel im Rollenverständ-nis der Revision. „Weg von einer reinen quantitativen Aufsicht, hin zu einer mehr prinzipienorien-tierten qualitativen und präventiven Aufsicht“43 lautet das Ziel. Die wertvollen Informationen, die ein Interner Revisor bei seiner Arbeit erlangt, sollen mittels Beratungsgesprächen, Berichten oder dem Einsatz von Prüfungswerkzeugen an die entsprechenden Fachabteilungen bzw. an das Ma-nagement übermittelt werden, um den Nutzen der Internen Revision zu steigern.44 Die Interne Re-vision bzw. die ihr zugeordnete IT-Revision hat sich zu einem „elementaren Bestandteil des Füh-

39 Freidank, Carl-Christian (Hrsg.) (2005), S.17. 40 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S.3. 41 Vgl. Peemöller, Voker H. (I) (2008), S. 3. 42 Solch ein Wandel ist ein schleichender Prozess und somit lässt sich kein exaktes Datum definieren. Jedoch verweisen mehreren Quellen auf einen Wandel zum Ende der 90er Jahre bzw. zu Beginn des 21 Jahrhunderts. (siehe hierfür u.a.: Schwager, Elmar (I) (2003), S. 2133 / Englisch, Rainer (2008), S. 77. / Amling, Thomas / Bantleon, Ulrich (2007), S. 202 ) 43 Englisch, Rainer (2008), S. 77. 44 Vgl. Peemöller, Voker H. (I) (2008), S. 3.


rungsprozesses“45 der Banken entwickelt. Während der IT-Controller direkt im Tagesgeschäft mit-wirkt, sollte die IT-Revision unabhängig und indirekt tätig sein. Die Prüfungs- und Beratungsleis-tungen decken nicht das Gesamtspektrum der IT ab, sondern konzentrieren sich auf bestimmte, besonders risikobehaftete Gebiete.46 Eine im März 2009 veröffentlichte Studie der Wirtschaftsprü-fungsgesellschaft KPMG zum Thema „IT Internal Audit functions in Europe, the Middle East and Africa“, kommt zur zentralen Aussage: „Many organizations face a continually changing set of pressures and dynamics in the current economic climate. Faced with shrinking markets, they can choose to rationalize, merge or contract. The technology thread which holds systems and processes together is at risk. As a consequence, IT Internal Audit plays an integral role in main-taining discipline and rigor across functions and geographies.“47 Dies verdeutlicht, dass die Interne IT-Revision sich weiterhin im Wandel befindet und vor dem Hintergrund der aktuellen Finanz-marktkrise zusätzlich an Bedeutung gewinnt. Der Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. fasste im Jahr 2006 die Anforderungen an eine Interne Revision, wie sie im Zuge der neueren Entwicklungen definiert werden müssen, in 14 Thesen zu-sammen.48 Der Autor verzichtet auf eine weitere Betrachtung, da die Entwicklung der Internen Revision nicht relevant im Hinblick auf diese Arbeit ist, und verweist auf die genannte Quelle und dessen kritische Betrachtung von Elmar Schwager49 und Udo Strauß50. Festzuhalten bleibt, dass Beruf und Berufsbild eines Internen Revisors nicht verbindlich beschrieben sind. Dies unterschei-det ihn etwa vom Abschlussprüfer, bei dem die Voraussetzungen zur Siegelführung verbindlich definiert sind. Folglich ist, neben einem Rückgriff auf die Standards für die berufliche Praxis der Internen Revision, eine Konsultation von Best Practices anderer Professionen notwendig. „Die ausschließliche Fokussierung auf kodifizierte Grundlagen (Standards, Rundschreiben, etc.) ist unzureichend, entspricht nicht Best Practice und kann auch zwingend nicht zu einem Best Practi-ce-Ansatz führen.“51 Deshalb ist es wichtig, die Praxis professioneller Interner Revisionsabteilun-gen in diese Arbeit einfließen zu lassen, weil viele und vor allem innovative Impulse aus der Praxis heraus kommen.52 In Kapitel 4 werden daher Aussagen von Revisoren mit ungleichen Blickwin-keln verwertet.

2.2 Aufgaben und Ziele der Internen IT-Revision

Aufgabenstellung und Verantwortung einer Internen Revision müssen von der Geschäftsführung selbst festgelegt werden.53 Zu dieser Verantwortung zählen insbesondere das Aufgabengebiet, die Struktur und das Qualitätsmanagement sowie die personelle und sachliche Ausstattung der Inter-nen Revision.54 Aus § 93 AktG und § 43 GmbHG ergeben sich Verpflichtungen hinsichtlich einer ordnungsgemä-ßen Geschäftsabwicklung. „Eine Geschäftsführung ist insbesondere verantwortlich für:

• die ausreichende qualitative und quantitative personelle Besetzung der internen Revision, • die Genehmigung der Revisionspläne, • die Überwachung der Tätigkeit der Internen Revision und

45 Sowa, Alexandra (2007), S. 82. 46 Vgl. ebenda (2007), S. 82 ff. . 47 KPMG (Hrsg.) (2009), S.3. 48 Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 225 ff. . 49Siehe Anhang: Genauere Personenangaben zu Elmar Schwager, Experte im Bereich Interne Revision. 50 Siehe: Schwager, Elmar / Strauß, Udo (2006), S. 3. 51 Schwager, Elmar / Strauß, Udo (2006), S. 3. 52 Vgl. Schwager, Elmar / Strauß, Udo (2006), S. 3. 53 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S. 341. 54 Vgl. Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 225.


• die Entscheidung über die Abstellung der in den Revisionsberichten aufgezeigten Män-gel.“55

Soweit die Interne Revision ausgelagert ist und durch eine externe Stelle wahrgenommen wird, bleiben die Prüfungsplanung, die Überwachung der Prüfungsdurchführung durch den externen Dienstleister sowie die Nachschau der Revisionsprojekte Aufgabe der Unternehmensleitung.56 Inwieweit die Auslagerung der Internen IT-Revision bei Kreditinstituten Einschränkungen unter-liegt, wird in Abschnitt 2.3.2 behandelt. Weiterhin sind die für die Jahresabschlussprüfung gelten-den Anforderungen zwangsläufig auch für die Interne Revision relevant. Sie können deshalb im Auftrag der Geschäftsleitung an die Interne Revision nicht unberücksichtigt bleiben. In Abschnitt 2.2 wird genauer auf die rechtliche Verankerung der Internen Revision eingegangen.57 Generell hat die Revision risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des internen Kontrollsystems (IKS) im Besonderen zu beurteilen und zu prüfen, unabhängig davon, ob diese ausgelagert ist oder nicht.58 Die gesetzli-che Vorgaben für das IKS befinden sich für Kreditinstitute in § 25a Abs. 1 KWG, welche in AT 4.3 „Internes Kontrollsystem“ der MaRisk präzisiert werden. Das IKS besteht aus den Regelungen zur Aufbau- und Ablauforganisation sowie den Prozessen zur Identifizierung, Beurteilung, Steuerung, Überwachung und Kommunikation der Risiken – kurz Risikosteuerungs- und -controllingprozesse.59 In Abschnitt 2.1.1 wurde bereits dargestellt, inwieweit sich der Fokus und dementsprechend auch das Aufgabenfeld der Internen Revision gewandelt hat. Die klassischen Felder Financial Auditing, Compliance und Operational Auditing wurden durch Management Audi-ting und Internal Consulting erweitert. Die Abb. 2 zeigt die Entwicklungslinie der Tätigkeitsfelder und erläutert diese kurz.

55 Schuppenhauer, Rainer (Hrsg.) (2006), S. 341. 56 Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 225. 57 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S. 341. 58 Vgl. Bafin (Hrsg.) (2007), S.14. 59 Vgl. ebenda, S.11.


Abb. 2: Entwicklungslinie der Tätigkeitsfelder der Internen Revision

Quelle: Eigene Darstellung, in Anlehnung an: Amling, Thomas / Bantleon, Ulrich (2007), S. 53.

Die Tätigkeitsfelder sind nicht überschneidungsfrei, wobei nicht von einer zwangsläufigen inhaltli-chen Abhängigkeit einzelner Aufgabefelder ausgegangen werden kann. Ein Financial bzw. Opera-tional Audit ist nicht zwingend eine Voraussetzung für ein Management Audit. Jedoch kann ein Management Audit zur Fehlerquellenanalyse beitragen, wenn vorab Probleme festgestellt wur-den.60 Die Bekämpfung der Wirtschaftskriminalität ist hierbei als ein Spezialfall des Compliance Auditing einzuordnen. Bezüglich der projektbegleitenden Revision bzw. dem Pre-Implementation-Audit handelt es sich nicht um ein eigenes Tätigkeitsfeld, sondern unterscheidet sich durch den Zeit-punkt der Prüfungsdurchführung.61 Obwohl die IT-Revision einen großen Bedarf an Spezialwissen erfordert, eine vergleichsweise hohe Komplexität aufweist und eine starke Bedeutung für die an-gestrebte IT-Prozessoptimierung besitzt, stellt sie kein eigenes Feld dar. Die Unterscheidung liegt lediglich im Prüfungsobjekt IT. Die verschiedenen Tätigkeitsfelder müssen wie bei jeder anderen Prozessprüfung durchlaufen werden. Die Einteilung in die genannten Felder spiegelt die Auffas-sung des Autors wieder und bildet die Grundlage für die weitere Bearbeitung. Sie stellt einen Kompromiss zwischen einer engeren62 und einer weiter63 gefassten Interpretation dar. Damit die Revision ihre Aufgaben sachgerecht wahrnehmen kann, sollte ihre Tätigkeit durch die Definition der Prüfungsziele, Festlegung der Prüfungsbereiche, Festlegung der notwendigen Prü-fungshandlungen sowie Bereitstellung geeigneter Prüfungshilfsmittel spezifiziert werden. Im Fol-

60 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S. 374. 61 Vgl. ebenda, S. 53. 62 Tätigkeitsfelder: Controlling, Risk Management, Governance (Vgl. Peemöller, Voker H. (I) (2008), S. 3 ff.). 63 Zusätzliche Tätigkeitsfelder: Risk Management, Unterschlagungsprüfung, Due Dilligence / Post Merger (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.77).


genden soll auf den Ersten der genannten Aspekte eingegangen werden.64 Denn einerseits unter-scheidet sich das Prüfungsziel maßgeblich von der Jahresabschlussprüfung, deren einziges Ziel die Sicherstellung der Ordnungsmäßigkeit ist, und andererseits ist die Einhaltung der Prüfungszie-le ständige Prämisse für die gegenwärtige Diskussion. Ferner werden die Aspekte Festlegung der Prüfungsbereiche und Festlegung der notwendigen Prüfungshandlungen im Weiteren näher erläu-tert. Definition der Prüfungsziele

Die Prüfungsziele der Internen Revision im Rahmen ihrer Überwachungsfunktion ergeben sich aus dem Auftrag der jeweiligen Geschäftsleitung. Ein durchgängiges Ziel der Internen Revision sollte es hierbei sein, Fehler bereits im Ansatz zu erkennen und zu verhindern. Zusätzlich wird von der Internen Revision eine Beurteilung der Wirtschaftlichkeit der IT-Prozesse gefordert,65 welche zu Kosteneinsparungen und Leistungssteigerungen führen soll. Rainer Schuppenhauer, Heraus-geber des GoDV-Handbuches, identifiziert fünf zentrale Prüfungsziele, die sich auch aus der oben genannten Definition des IIR ableiten lassen:

• „Ordnungsmäßigkeit nach gesetzlichen Gesichtspunkten • Verbesserung des IKS • Verbesserung des Berichtswesen und der Informationsqualität • Rationalisierung der Ablauforganisation • Wirtschaftlichkeit der DV-Organisation“66

Damit die Abarbeitung der Tätigkeitsfelder und der allgemeinen Prüfungsziele erfolgen kann, wer-den insbesondere die Methoden der IT-Systemprüfung67 und der Wirtschaftlichkeitsprüfung einge-setzt. Inwiefern eine Interne IT-Revision zur Verbesserung der Geschäftsprozesse beitragen kann, soll im Weiteren nicht zusätzlich behandelt werden, da im Rahmen der Arbeit die Effizienz der Prüfungsdurchführung bei einer Auslagerung der Internen IT-Revision im Vordergrund steht. Es wird von einer „leistungsfähigen, das heißt nach den Berufsgrundsätzen arbeitenden“68, mehr-wertschaffenden Internen Revision respektive Internen IT-Revision ausgegangen.

2.3 Risiken einer unsachgemäßen Internen IT-Revision

Eines der größten Probleme für Interne Revisionsabteilungen ist die Einschränkung ihrer Wirk-samkeit, das heißt eine Nicht-Erfüllung der ihr zugeordneten Aufgaben. Aufgrund ihrer gesetzli-chen Notwendigkeit, der zentralen Rolle im Überwachungssystem und der gestiegenen Bedeu-tung, darf die Interne Revision in der Erfüllung ihrer Aufgaben nicht eingeschränkt sein oder be-hindert werden. Insbesondere beim Outsourcing von Teilen der Innenrevision ist dies zu beach-ten.69 Die Vielzahl möglicher Einschränkungen unterscheidet sich dabei hinsichtlich ihrer Wirkung auf die Leistungsfähigkeit der IT-Revision. Folgend werden in Tabelle 1 Einschränkungen und daraus resultierende Gefahren beispielhaft aufgezeigt:

64 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S. 301. 65 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S. 301. 66 Ebenda, S. 301. 67 Detailierte Beschreibungen zur IT-Systemprüfung: siehe Anhang. 68 Schwager, Elmar (I) (2003), S. 2133. 69 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26 ff. .


Einschränkungen Gefahren

Mangelnde Unterstützung durch das Ma-

nagement Falsche Prüfungsziele, -ansätze, -

planung, und -techniken

Fehlende Akzeptanz durch das Manage-

ment und Fachabteilugen Fehlende / falsche Risikoanalyse; Ver-

nachlässigung risikobehafteter Bereiche

Nichteinhaltung des Kodex der Berufsethik Knappe Berichterstattung, unklare Fest-

stellungen, zweifelhafte Empfehlungen

Einschränkungen betreffend den Zugang

zu Informationen der Organisation Ungenügende Qualitätskontrolle und

Follow-Up70

Beschränkungen auf Grund sachlicher oder

personeller Engpässe Höherer Koordinationsaufwand in Ver-

bindung mit Kostensteigerung

Beeinträchtigungen der Objektivität und

Unabhängigkeit der Internen Revision. Beeinträchtigung des Überwachungs-

systems; gesetzliche Konsequenzen

Tab.1: Mögliche Einschränkungen der Internen Revision und die daraus resultierenden Gefahren Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwa-ger, Elmar (I) (2003), S. 2133 / Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 11 ff. .

Die Aufzählung der Einschränkungen ist nicht gewichtet, wobei herausgestellt werden muss, dass Beschränkungen des Informationszuganges sehr häufig zu falschen Prüfungsergebnissen führen können und darum als besonders kritisch anzusehen sind. In der Praxis könnte dies dazu führen, dass durch die fehlende Offenlegung aller für die Beurteilung eines Prüffeldes notwendigen Infor-mationen die Interne Revision zu einem falschen Prüfungsurteil kommen könnte. Aus diesem Prü-fungsurteil abgeleitete Maßnahmen wären dann nicht zielführend.71 Des Weiteren könnten man-gelnde Informationen zu einer falschen Risikoanalyse führen und somit mit Risiken verbundene Bereiche nicht abgedeckt werden. Auch die beratenden Tätigkeiten der Internen IT-Revision könnten Probleme in Bezug auf Objekti-vität und Unabhängigkeit mit sich bringen. Eine kritische Situation ergibt sich beispielsweise, wenn ein Interner Revisor die Wirtschaftlichkeit einer IT-Anwendung nachträglich in Frage stellt, obwohl er bei der Investitionsentscheidung mitwirkte und die Implementierung der entsprechenden Lö-sung unterstützte.72 Im Englischen wird deshalb zwischen „Advisory“, der unabhängigen Beurtei-lung von Konzepten und Prozessen, und „Consulting“, Erstellung von Konzeptionen und Umset-zung, unterschieden. Die Interne Revision sollte sich nach Meinung einiger Autoren auf „Advisory“ beschränken.73 Denn menschliche Schwächen wie Selbstgefälligkeit, Gleichgültigkeit und man-gelnde Selbstkritik stellen eine Gefahr für Objektivität und Unabhängigkeit dar.74 Inwieweit die Auslagerung der IT-Revision die Objektivität und die Unabhängigkeit beeinflusst, wird in Abschnitt 4.1 aufgegriffen.

70 Überwachung der fristgerechten Umsetzung des aufgezeigten Handlungsbedarfs durch die Interne Revision. (vgl. Berwanger, Jörg / Kullmann, Stefan (2007), S.192) 71 Vgl. Schwager, Elmar (2008), S. 8 ff. . 72 Vgl. Knapp, Eckhard (2005), S. 50. 73 Vgl. Rasmussen, Michael / Brown, Adam (2004), S.1 74 Vgl. Herzig, Andreas / Fabritius, Dieter (2008); S. 276.


Die Interne Revision ist ein Instrument der Geschäftsleitung, d. h., sie ist ihr im Idealfall, der in der Praxis nicht immer die Regel darstellt, unmittelbar unterstellt und berichtspflichtig. Ihr ist zur Erfül-lung ihrer Aufgaben ein vollständiges und uneingeschränktes Informationsrecht einzuräumen.75 Diese weiträumigen Befugnisse gelten allerdings nicht ohne Einschränkungen. Der im Januar 2009 bekanntgewordene Skandal über den möglichen Missbrauch von Mitarbeiter- und Kunden-daten bei der Deutschen Bahn AG legt einmal mehr die Diskrepanz zwischen Datenschutz und Überwachung offen. Die Notwendigkeit der Überwachung wird immer häufiger zur Rechtfertigung überzogener und rechtswidriger Überwachungsmethoden und Datenweitergabe vorgeschoben.76 Um den missbräuchlichen Gebrauch von Informationen oder unberechtigten Zugriffen vorzubeu-gen, sollte der Revision ein Informationsnutzungsrecht ausschließlich zur Wahrnehmung ihrer Aufgaben eingeräumt werden. Das bedeutet, dass Zugriffsberechtigungen der Internen Revision nach dem sogenannten Prinzip des notwendigen Wissens vergeben werden. Erhält ein Revisor im Rahmen einer Prüfung beispielsweise Administrationsrechte auf eine Anwendung, sind diese ge-nauso streng zu handhaben wie diejenigen eines jeden anderen Administrators im Institut. Das Informationsrecht muss sich auf die Prüfungs- und Beratungshandlungen beschränken und mit dem Abschluss der Prüfungstätigkeit erlöschen.77 Im Folgenden wird gezeigt, welche Vorausset-zungen, gesetzlich und organisatorisch, erfüllt sein müssen und welchen Nutzen Outsourcing bie-tet, damit sowohl die Interne IT-Revision als auch die durch sie geprüften Bereiche effizienter sind.

2.4 Gesetzliche Grundlagen

Grundsätzlich sollte sich, im Hinblick auf die Einhaltung der Ordnungsmäßigkeit, die Interne Revi-sion auf die bei einer externen Prüfung, insbesondere der Jahresabschlussprüfung, geltenden Vorschriften und Regelungen stützen. Die Jahresabschlussprüfung ist unmittelbar gesetzlich ver-ankert, wohingegen eine solche Kodifizierung durch den Gesetzgeber für die Interne Revision - mit Ausnahme der Sondervorschriften für die Kreditwirtschaft in § 25a Abs. 1 Satz 3 Nr. 1 KWG78 - bisher nicht erfolgt ist. Neben weiteren spezialgesetzlichen Regelungen79 enthalten insbesondere die §§ 316 ff. HGB Regelungen über das Spektrum80 der Abschlussprüfung. Im Zusammenhang mit einer Innenrevision findet sich lediglich die indirekte gesetzliche Normierung für Aktiengesell-schaften durch § 91 Abs. 2 AktG. Der Gesetzesbegründung zum KonTraG zufolge, möchte der Gesetzgeber mit dieser Regelung die Verpflichtung des Vorstands untermauern, für ein angemes-senes Überwachungssystem respektive Risikomanagement im Unternehmen sorgen. Zu diesem Überwachungssystem gehören organisatorische Sicherungsmaßnahmen, interne Kontrollen sowie die Interne Revision.81 Baut die Interne Revision ihre Prüfungshandlungen auf Basis der gesetzli-chen Verankerungen der Jahresabschlussprüfung auf, wird das notwendige Mindestmaß an Ord-nungsmäßigkeit fortlaufend überprüft. Außerdem vereinfacht es die Kooperation zwischen den externen und internen Prüfungsorganen, was zu einer Steigerung der Wirtschaftlichkeit beitragen kann.82 Neben den einzuhaltenden gesetzlichen Grundlagen, lassen sich bei der Durchführung von IT-Revision die Anforderungen an ein ordnungsgemäßes IT-System in drei Ebenen untertei-len, wie die folgende Abb. 3 veranschaulicht.

75 Vgl. BaFin (Hrsg.) (2007), S. 13. 76Vgl. Rödel&Partner (2009), 1. Abschnitt im Hauptframe (siehe Internet- / Intranetverzeichnis). 77 Vgl. Sowa, Alexandra, S. 82 ff. . 78 Auf die für Kreditinstitute spezifizierten Regelungen wird in Punkt 2.3.4 eingegangen. 79 Spezialgesetzliche Regelungen finden sich z. B. in §§ 33, 183 Abs. 3, 194 Abs. 4, 205 Abs. 3, 313 AktG, §§ 340k, 341k HGB, § 29 KWG, § 53 GenG oder § 53 HGrG. 80 U.a. Pflicht zur Prüfung, dem Prüfungsgegenstand und -umfang, der Auswahl der Abschlussprüfer oder der Formulierung des Prü-fungsergebnisses. 81 Vgl. Küting, Karlheinz / Boecker, Corinna (2008), S. 1583. 82 In diesem Zusammenhang ist auch der IDW PS 321 "Interne Revision und Abschlussprüfung“ des Instituts Deutscher Wirtschaftsprü-fer (IDW) und der IIR-Revisionsstandard Nr. 1 "Zusammenarbeit von Interner Revision und Abschlussprüfer" des Deutschen Instituts für Interne Revision (IIR) zu beachten.


Abb. 3: Überblick über die gesetzlichen Grundlagen, Grundsätze und Standards für die Prüfung einer IT Umgebung Quelle: Eigene Darstellung.

Die erste Ebene umfasst die gesetzlichen und aufsichtsrechtlichen Verankerungen: Die Ord-nungsvorschriften der §§ 238, 239 und 257 HGB sowie 145, 146 und 147 AO bilden die gesetzli-che Grundlage einer ordnungsmäßigen Buchhaltung. Hinzu kommen das bereits erwähnte KWG, relevant für alle Kreditinstitute, und das AktG. Weiter sind in diesem Zusammenhang das Bundes-datenschutzgesetz (BDSG) sowie die Landesdatenschutzgesetze zu beachten, welche die Ge-währleistung von Vertraulichkeit sicherstellen sollen, so dass personenbezogene Daten nur auf Grundlage rechtlicher Bestimmungen oder der Basis der Einwilligung der Betroffenen verarbeitet und weitergegeben werden dürfen.83 Die MaRisk der Bundesanstalt für Finanzdienstleistungsauf-sicht (BaFin) dienen als Leitfaden für das Stufenmodell des »Supervisory Review Process«, der zweiten Säule von Basel II.84 Aufgrund der Relevanz der MaRisk in Bezug auf die Thematik dieser Arbeit, werden die von ihr ausgehenden Einschränkungen und Anforderungen hinsichtlich einer Auslagerungen der Internen Revision in Kapitel 2.3.2 näher behandelt. Die zweite Ebene umschließt die aus den Gesetzen abgeleiteten Anforderungen an ordnungsge-mäße IT-Systeme und -Prozesse:85 Die Grundsätze ordnungsgemäßer Buchführung (GoB) sind ein unbestimmter Rechtsbegriff. Sie umfassen alle Buchführungs- und Bilanzierungsgrundsätze.86 Mit dem Begriff GoB verweist das Gesetz auf eine Wert- und Ordnungsvorstellung, die außerhalb der gesetzlichen Regelungen liegt. Folglich hat die kaufmännische Buchhaltung mit einem abs-trakten und über die gesetzliche Einzelregelung hinausgehenden Ordnungssystem übereinzu-

83 Vgl. Hoppe, Gabriela (2003), S. 1169 ff. . 84 Vgl. Sowa, Alexandra (2007), S. 83. 85 Vgl. Wähner, Gerd (2002), S. 48. 86 Vgl. Leffson, Ulrich (1980), S. 21 ff. / vgl. Kruse, Heinrich Wilhelm, S. 104 ff. .


stimmen. Die Grundsätze ordnungsmäßiger Datenverarbeitung (GoDV) wurden aus den GoB ab-geleitet und sollen diese unterstützen.87 Die GoDV dienen zur Regelung der Verantwortlichkeiten und der Pflichten des Buchführungspflichtigen beim Einsatz von IT im Rechnungswesen. Sie be-ziehen sich auf alle rechnungslegungsrelevanten Formen der Datenverarbeitung und deren An-wendungsgebiete.88 Die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) konkretisieren die Anforderungen an Kontrollen, Regelungen und Maßnahmen, die der Buchführungspflichtige je nach Stand der Technik (z.B. DIN oder ISO) beachten muss, um die GoB beim Einsatz IT-gestützter Buchführung einzuhalten. Für die Finanzverwaltung sind die GoBS bindend.89 Die Finanzverwaltung hat seit der Neufassung der §§ 146, 147, 200 AO die rechtliche Grundlage, im Rahmen von steuerlichen Außenprüfungen direkt auf die IT-Systeme der geprüften Steuerpflichtigen zuzugreifen.90 Die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) interpretieren und legen das Gesetz durch Beispiele und Ergänzun-gen aus. Weiter umfassen sie Anwendungsregeln zur Umsetzung des Rechts auf Datenzugriff.91 Die dritte Ebene umfasst Standards, Rundschreiben und Verlautbarungen, die Einfluss auf die Arbeit der Internen IT Revision haben: Hinsichtlich der Arbeitsweise und Best-Practice-Ansätze liefern sowohl das Institute of Internal Auditor (IIA)92 als auch das Deutsche Institut für Interne Re-vision e.V. (DIIR)93 in der Praxis anerkannte, berufsspezifische Empfehlungen. Zu den gängigen Standards hinsichtlich der Ausgestaltung des IKS gehören COSO94 und CobiT95. Darüber hinaus lässt sich insbesondere CobiT im Rahmen einer generellen Prüfungsplanung und bei der Erstel-lung eines Prüfungsplans/Prüfungsprogramms (Einzelfallprüfung) verwenden.96 Genaue Vorgaben hinsichtlich der Ausgestaltung einer IT-Umgebung in Kreditinstituten sind nur bedingt festgehalten. Nach MaRisk 7.2 soll bei der Ausgestaltung der IT-Systeme und der zugehö-rigen IT-Prozesse grundsätzlich auf gängige Standards abgestellt werden. Demnach muss die Prüfung dieser Prozesse an relevanten Standards ausgerichtet werden. Detaillierte Anforderungen enthalten z.B. die Standards des Berufsstandes der Wirtschaftsprüfer IDW FAIT 1, IDW PS 300 oder IDW EPS 850. Mit den handels- und steuerrechtlichen Vorschriften, den GoB und den IDW Stellungnahmen97 ist der Rahmen dessen abgesteckt, was beim Einsatz von IT im Rechnungswe-sen zu beachten ist, die wesentlichen Bereiche der IT-Organisation benannt und der Prüfungsbe-darf klar beschrieben.98

2.5 Bedeutung von Outsourcing für Kreditinstitute

Neben der hohen Anzahl der 2.400 Kreditinstitute ist die Kosteneffizienz in Deutschland im Ver-gleich zu ausländischen Wettbewerbern niedrig. Viele Dienstleistungen wie Zahlungsverkehr, Marktfolgetätigkeiten im Kreditgeschäft etc. werden von den Banken noch selbst erbracht, was sich in der vergleichsweise hohen Fertigungstiefe wiederspiegelt (siehe Abschnitt 1). Der große Nachholbedarf gegenüber dem produzierenden Gewerbe verstärkt den kontinuierlichen Trend zur Auslagerung von Dienstleistungen und Bankprozessen.99

87 Vgl. Bundesamt für Sicherheit in der Informationstechnik (2005). 88 Vgl. Schuppenhauer, Rainer (2000), S. 128. 89 Vgl. Wähner, Gerd (2002), S. 49. 90 Vgl. Taetzner, Tobias/ Büssow, Thomas (2002), S. 69. 91 Vgl. Harnichfeger, Walter (2005) S. 173 ff. . 92Institute of Internal Auditor (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 93 Deutsches Institut für Interne Revision e.V. (2009), 1. Hauptframe (siehe Internet- / Intranetverzeichnis). 94 COSO (Committee of Sponsoring Organizations of the Treadway Commission) 95 CobiT (Control Objectives for Information and Related Technology) ist ein international anerkanntes Framework zur IT-Governance und gliedert die Aufgaben der IT in Prozesse und Control Objectives (Steuerungsvorgaben). CobiT macht keine konkreten Vorgaben wie eine Umsetzung erfolgen soll, sondern was beachtet werden muss. (vgl. Kühle, Burkhard (2008)) 96 Vgl. Taubenberger, Stefan (2008), S. 206. 97 Siehe Abbildung 6. 98 Vgl. Schuppenhauer, Rainer (Hrsg.) (2006), S. 328. 99 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. / Vgl. Schwager, Elmar (III) (2008), S. 4 ff.


Die derzeitige Finanzkrise und der dadurch verstärkte Kosten- und Ertragsdruck auf Kreditinstitu-te wird den Trend zum Outsourcing und zum Bezug von externen Dienstleistungen in der nächs-ten Zeit verschärfen.100 Demnach entspringt Outsourcing von betrieblichen Funktionen oftmals dem Wunsch, Kosten zu reduzieren, interne Abläufe personell als auch strukturell zu optimieren, um sich auf seine Kern-kompetenzen zu konzentrieren und seine Marktchancen systematischer und effektiver wahrneh-men zu können. Dies belegen verschiedene Studien101 und Aussagen in der Fachliteratur102. Die Auslagerung von Tätigkeiten beinhaltet neben Chancen auch Risiken. Während Aspekte wie die Abhängigkeit vom Outsourcing-Anbieter zu einem gewissen Grad toleriert werden müssen, kön-nen viele potenzielle Risiken durch ein effizientes Projektmanagement und eine adäquate Ver-tragsgestaltung umgangen oder reduziert werden.103 Diese Gesichtspunkte werden in Abschnitt 3 und 4 genauer behandelt. Tabelle 2 stellt einige grundsätzliche Chancen und Risiken gegenüber. Chancen Risiken

Kostenreduktion Abhängigkeitseffekte

Skaleneffekte Bindung an den Outsourcing-Partner

Variabilisierung fixer Kosten Verlust von Know-How

Kostentransparenz Sicherheitseffekte

Liquiditäts- und Rentabilitätseffekte Leistungs-und Qualitätsdefizite

Geringere Personalkosten Einbußen durch Standardisierung

Mangelnde Kommunikation

Konzentration auf das Kerngeschäft Kostensteigerungen

Kernkompetenzen Unterschätzung der Transaktionskosten

Reduktion des Geschäftsrisikos Fehleinschätzung der direkten Kosten

Leistungsoptimierung Weiche Faktoren

Erschließung von neuem Know-How Angst vor Arbeitsplatzabbau

Flexibilisierung und definierte Service Levels Abgabe von Verantwortlichkeiten

Tab.2: Allgemeine Chancen und Risiken des Outsourcing

Quelle: Eigene Darstellung, in Anlehnung an: Schuppenhauer, Rainer (2006), S. 343 ff. / Schwa-ger, Elmar (I) (2003), S. 2133 / Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 11 ff. . Inwieweit eine Auslagerung von Funktionen der Internen Revision rechtlichen Einschränkungen unterliegt und ob diese sinnvoll ist, wird in den folgenden Abschnitten vertieft betrachtet.

100 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. 101 Vgl. IT Governance Institute (Hrsg.) (2005) / Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009) 102 Vgl. u.a Amling, Thomas / Bantleon, Ulrich (2007), S. 202 / vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 11 ff. / Peemöller, Voker H. (II) (2008), S.147 ff. / vgl. Schwager, Elmar (I) (2003), S. 2133 ff. . 103 Vgl. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005), S. 22.


2.6 Rechtliche Einschränkungen

Grundlage für die Anforderung an die Auslagerung respektive Weiterverlagerung von Unterneh-mensbereichen auf ein Auslagerungsunternehmen sind § 25a KWG sowie die Mindestanforderun-gen an das Risikomanagement (u. a. AT 9 Tz. 1) in der Fassung vom November 2007. Die Ma-Risk definieren: „Eine Auslagerung liegt vor, wenn ein anderes Unternehmen mit der Wahrnehmung solcher Aktivi-täten und Prozesse im Zusammenhang mit der Durchführung von Bankgeschäften, Finanzdienst-leistungen oder sonstigen institutstypischen Dienstleistungen beauftragt wird, die ansonsten vom Institut selbst erbracht würden.“104 Die BaFin hat durch die Überarbeitung der Outsourcing-Anforderungen für Kreditinstitute in den MaRisk im November 2007 die Grundlage für einheitliche Standards geschaffen. Nach MaRisk AT 9, Tz. 4 AT sind grundsätzlich alle Aktivitäten und Prozesse auslagerbar, solange dadurch die Ordnungsmäßigkeit der Geschäftsorganisation gemäß § 25a Abs. 1 KWG nicht beeinträchtigt wird. Nicht auslagerbar sind originäre Leitungsaufgaben der Geschäftsführung, denn die Verant-wortung der Geschäftsleitung darf nicht an das Auslagerungsunternehmen delegiert werden.105 „Zu den nicht auslagerbaren Leitungsaufgaben der Geschäftsleitung zählen:

• die Unternehmensplanung, • -koordination, • -kontrolle und • die Besetzung der Führungskräfte."106

Weiterhin dürfen keine Aufgaben, die der Geschäftsleitung durch den Gesetzgeber oder durch sonstige Regelungen explizit zugewiesen sind, z. B. die Entscheidung über Großkredite nach §§ 13 bis 13b KWG oder die Festlegung der Strategie, ausgelagert werden. Besondere Maßstäbe für Auslagerungsmaßnahmen können sich ferner aus spezialgesetzlichen Regelungen ergeben.107 Bei wesentlichen Auslagerungen108 von Prozessen und Dienstleistungen ist eine regelmäßige Ri-sikoanalyse durchzuführen, um sicherzustellen, dass Bankprodukte und -dienstleistungen sowie essentielle Prozesse in guter Qualität und zuverlässig erbracht werden.109 „Von den Leitungsaufgaben abzugrenzen sind Funktionen oder Organisationseinheiten, derer sich die Geschäftsleitung bei der Ausübung ihrer Leitungsaufgaben bedient. Diese können sowohl nach innen als auch durch Auslagerung nach außen delegiert werden.“110 Das Outsourcing von Funktionen der Internen Revision dient deshalb ausschließlich der Unterstützung der Unterneh-mensüberwachung, wobei die endgültige Verantwortung die Geschäftsleitung selbst trägt. In Ab-bildung 7 werden unterschiedliche Szenarien veranschaulicht.

104 BaFin (Hrsg.) (2007), S.20 (AT 9 Tz. 1). 105 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26.Vgl. BaFin (Hrsg.) (2007), S.20 ff.. 106 Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4). 107 „z. B. bei Bausparkassen hinsichtlich der Kollektivsteuerung oder bei Pfandbriefbanken hinsichtlich der Deckungsregisterführung und der Deckungsrechnung.“ (Vgl. Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4)) 108 „Der Begriff der wesentlichen Auslagerung [ist] jedoch nirgends eindeutig definiert worden und somit als unbestimmter Rechtsbegriff anzusehen. Seit dem Inkrafttreten der MaRisk in der Fassung 1. 11. 2007 ist nunmehr im Rahmen der Entscheidungsfindung über Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividu Entscheidungsfindung über eine etwaige Auslagerung eines Prozesses/Teilprozesses respektive einer Dienstleistung institutsindividuell ell festzulegen, ob es sich bei der Auslagerung um eine nicht wesentliche oder wesentliche Auslagerung handelt.“ (Becker, Axel / Mauer, Anette (2009), S. 28.) 109 Vgl. Becker, Axel / Mauer, Anette (2009), S. 26. 110 Bafin (Hrsg.) (2007), S.21 (AT 9 Tz. 4).


Überblick über die Fallgruppen nach AT 9 MaRisk

Quelle: Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S. 125.

Aufgrund der individuellen Gegebenheiten im jeweiligen Unternehmen, muss grundsätzlich jedes Institut im Rahmen eines Auslagerungsvorhabens eigenverantwortlich eine Risikoanalyse erstel-len. Hierbei muss unter Einbezug der maßgeblichen Organisationseinheiten festgelegt werden,


welche Auslagerungen von Aktivitäten und Prozessen als wesentlich zu betrachten sind (wesentli-che Auslagerungen).111 Bei der Auslagerung sind, im Rahmen der Risikoanalyse, alle für die Aus-lagerung relevanten Aspekte, z.B. Risiken der Auslagerung oder Eignung des Auslagerungsunter-nehmens, zu berücksichtigen.112 Die Interne IT-Revision kann wegen ihrer gesetzlichen Forderung und Relevanz für das Überwachungssystem immer als wesentlich eingestuft werden. 113 Die we-sentlichen Auslagerungen differenzieren sich weiter in den „Normalfall“ und Auslagerungen „mit erheblicher Tragweite“, die sich, wie in Abb. 7 dargestellt, unterscheiden. Bei allen wesentlichen Auslagerungen gelten:

• inhaltliche Anforderungen an den Auslagerungsvertrag (siehe Abschnitt 3.1.2.1), 114 • die Notwendigkeit einer angemessenen Steuerung der Risiken und ordnungsmäßigen

Überwachung der ausgelagerten Aktivitäten und Prozesse, insbesondere auch bezüglich der Funktion der Internen Revision, sowie115

• die Verpflichtung bei beabsichtigter Beendigung der Auslagerungsvereinbarung Vorkeh-rungen zu treffen, um die Kontinuität und Qualität der ausgelagerten Aktivitäten und Pro-zesse auch nach einer Beendigung zu gewährleisten.116

Für Auslagerungen, die vor November 2007 geschlossen wurden, ist keine neue Risikoanalyse erforderlich, solange sich keine Änderung der Risikosituation des Institutes ergibt. Ist allerdings eine wesentliche Änderung der Risikosituation erkennbar, so hat das Institut die vor dem 01. No-vember 2007 vorgenommene Auslagerung einer erneuten Analyse gemäß AT 9 Tz. 2 zu unterzie-hen bzw. die bereits erfolgte Risikoanalyse an die geänderten Bedingungen anzupassen. Außer-dem sind die Anzeigepflichten über Absicht, Vollzug bzw. Weiterverlagerung von Auslagerungen seit dem 01. November 2007 entfallen.117

2.7 Outsourcing der Internen Revision

Die obigen Argumente zeigen, dass die Interne Revision eine bedeutende und gesetzlich zwin-gende Aufgabe der Kreditinstitute (siehe 2.1), jedoch keine Kernkompetenz des Bankgeschäfts ist und somit als Auslagerungsmöglichkeit in Betracht gezogen werden kann. Die „2009 IT AUDIT BENCHMARKING STUDY“118 des Institute of Internal Auditor (IIA) zeigt, was die fünf Topgründe für die Auslagerung der IT-Revision sind:

111 Vgl. BaFin (Hrsg.) (2007), S.20 ff. (AT 9 Tz. 2). 112 Vgl. Becker, Axel / Mauer, Anette (2009), S. 28. 113 Vgl. u.a. Schwager, Elmar (I) (2003), S. / vgl. Becker, Axel / Mauer, Anette (2009), S. 28. 114 Vgl. BaFin (Hrsg.) (2007), S.20 ff. (MaRisk AT 9 Tz. 6). 115 Vgl. BaFin (Hrsg.) (2007), S.20 ff. (MaRisk AT 9 Tz. 7). 116 Vgl. Bafin (Hrsg.) (2007), S.22 (MaRisk AT 9 Tz. 5). 117 Becker, Axel / Mauer, Anette (2009), S. 26 ff. . 118 “A total of 138 chief audit executives (CAEs), audit directors or managers, and other internal audit professionals participated. The majority of study participants work in publicly listed companies (44.2 percent) located in the United States (76.1 percent) with annual revenues ranging from US $1billion to less than US $10 billion (46.3 percent) and internal audit activities ranging from 3–6 internal auditors(34.1 percent), immediately followed by 7–15 as the second highest response (31.2 percent) (refer to figure 1).The top five industries represented by study participants include financial services, banking, and real estate(19.7 percent); manufacturing (15.3 percent); educational services (10.2 percent); insurance carriers and agents (8 percent); and utilities (7.3 percent).“ (Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009))


Abb. 5: The top five reasons why IT audit activities are either co-sourced or outsourced

Quelle: Eigene Darstellung, in Anlehnung an: Institute of Internal Auditor / IIA Research Foundation (Hrsg.) (I) (2009) Das Outsourcing der Überwachungsfunktion stellt seit Ende der 90er Jahre einen kontrovers und „emotional“119 diskutierten Aspekt der Internen Revision dar.120 Dahinter steht die Befürchtung, dass insbesondere mittelständische Kreditinstitute keine eigene Revisionsabteilung unterhalten wollen und die externen Prüfungen nur von mangelnder Qualität sind. Der US-amerikanische Dachverband IIA hat in einem Thesenpapier Pro- und Contra- Argumente zusammengestellt, die von Schwager übersetzt und interpretiert wurden. Zu Teilen ergänzen diese die in der nachfolgen-den Tabelle dargestellten Argumente von Prof. Dr. Volker H. Peemöller:

Vorteile Nachteile

Peemöller: Stärkung der Unabhängigkeit/Objektivität Schwierige Informationsbeschaffung121 Möglichkeiten zum Management Auditing Gefahr der Abhängigkeit von ext. Prüfern Flexibilisierung der Kosten Verlust der Präsenz Synergieeffekte aus Prüfung und Beratung Verlust der Ausbildungsfunktion Hohe Professionalisierung, d.h. für jede Prü-fung werden Spezialisten eingesetzt.

Externe Berater setzten Erfahrungsgemäß An-fängerpersonal ein, welches ungenügend vorbe-reitet ist und stark fluktuiert

119 Schwager, Elmar (I) (2003), S. 2133. 120 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S. 202. 121 Vgl. Peemöller, Voker H. (III) (2004), S.178.


Interpretation von Schwager: Das Management kann sich auf Kernkompe-tenzen konzentrieren.

Kosten für Dienstleister können aufgrund der zunehmenden Abhängigkeit ansteigen.

Kostenflexibilisierung ist je nach sich ver-ändernder Risikolage möglich; es gibt keine Leerkosten beim Wegfall von Projekten.

Dienstleister sind aufgrund ihrer Stellung als externe Prüfer mit den Unternehmen nicht hin-reichend vertraut.

Dienstleister können durch ihre internationa-len Netzwerke überall auf der Welt Prüfun-gen ohne Sprach- oder Kulturprobleme durchführen. Die lokalen Prüfer besitzen gute Kenntnisse über die jeweilige Rechtsla-ge.

Strukturen könnten internes Wissen ersetzen, wodurch die Arbeitsergebnisse externer Prüfer nicht mehr den Anforderungen der Organisation entsprechen könnten. Im Umkehrschluss kann internes Wissen an Externe verloren gehen.

Dienstleister arbeiten nach Best Practice und haben eine klare Kundenorientierung, die einer IR möglicherweise fehlt.

Die Loyalität der Prüfer für das outsourcende Unternehmen könnte weniger hoch sein als bei etablierten Internen Revisoren.

Tab.3: Revisionsspezifische Vor- und Nachteile des Outsourcings

Quelle: Eigene Darstellung, in Anlehnung an: Schwager, Elmar (I) (2003), S. 2133 / Peemöller, Voker H. (II) (2008), S. 151. Die aufgeführten Argumente und Thesen des IIA dienen als Basis für die weitere Diskussion.

2.8 Formen des Outsourcings der Internen Revision

Die Formen der Auslagerung der IR reichen von einer etablierten Internen Revision in einem Un-ternehmen, die sich nicht von externen Dienstleistern unterstützen lässt, bis hin zu einem komplet-ten Outsourcing, bei dem sämtliche prüferischen Aktivitäten durch Dienstleister wahrgenommen werden.122 Herms und Schwarz untergliedern Outsourcing in die fünf Dimensionen Unterneh-menszugehörigkeit (Internes vs. Externes Oustsourcing), Lokation (Nearshoring vs. Offshoring), Zahl der Leistungsersteller (Single-Sourcing vs. Multi-Sourcing), Zeit (In- und Backsourcing) und Leistungsumfang, wobei diese Dimension in drei Konzepte unterteilt ist:

• Unternehmenseigene Revisionsfunktion – Vergabe von Spezialaufträgen • Teiloutsourcing der Internen Revision • Vollständige Übertragung der Revisionsfunktion123

Der Autor verzichtet auf eine Betrachtung weiterer Outsourcing-Dimensionen, da diese nicht rele-vant im Hinblick auf die Zielstellung dieser Arbeit sind und verweist auf weiterführende Literatur124. Unternehmenseigene Revisionsfunktion – Vergabe von Spezialaufträgen Die Überwachungsfunktion wird bei dieser Form über alle betrieblichen Prozesse durch die Abtei-lung Interne Revision ausgeübt. Um eine angemessene Überwachung sicherzustellen, muss die Interne Revision von ihrer personellen Besetzung und fachlichen Kompetenz hinreichend ausge-stattet sein. Die Abteilung benötigt zudem ausreichende Kapazitäten, um Sonderprüfungen ad hoc durchführen zu können.125 Jedoch gibt es auch bei einer vollumfänglich eingerichteten Abteilung eine Reihe von Anlässen, bei denen der Einsatz externer Dienstleister notwendig bzw. sinnvoll ist. Ein Beispiel dafür wäre eine intensive Prüfung der Sicherheit der IT-Systeme. Dafür werden in der

122 Schwager, Elmar (I) (2003), 2133 ff. . 123 Peemöller, Voker H. (II) (2008), 152 ff. . 124 Mehr: Vgl. z.B. Herms, Heinz-Josef / Schwarz, Gerd (Hrsg.) (2005) 125Vgl. Schwager, Elmar (I) (2003), 2133 ff. .


Regel IT-Sicherheitsexperten hinzugezogen, die andere Kompetenzen und Werkzeuge zur Identi-fikation von Sicherheitslücken besitzen als ein Interner IT-Revisor. Da ein White-Hacking-Test nicht regelmäßig durchgeführt werden muss, ist eine bedarfsbezogene Beschaffung dieser Dienst-leistung sinnvoll. Weiterhin kann eine Fremdvergabe zweckmäßig sein, wenn erhöhte Anforderun-gen an Objektivität und Unabhängigkeit bestehen, beispielsweise bedingt durch einen Verdacht auf kriminelle Handlungen.126

Teiloutsourcing

Für Teiloutsourcing haben sich in der Praxis verschiedene Bezeichnungen herausgebildet: Partne-ring, Strategic Sourcing oder Cosourcing.127 Im Fall des Teiloutsourcing beschränkt sich die Aus-lagerung der Internen Revision auf ausgewählte Bereiche. Dies wird notwendig, wenn die etablier-te Interne Revision nicht mehr in der Lage ist, selbstständig eine vollumfängliche Prüfung des Re-visionsuniversums, welches die Gesamtheit aller möglichen Prüfungsobjekte strukturiert dar-stellt,128 durchzuführen. Prüfgebiete und -felder müssen entsprechend den vorhandenen Kompe-tenzen und Kapazitäten aufgeteilt werden. Dabei muss eine genaue Trennung zwischen den Ver-antwortlichkeiten des Unternehmens und des externen Anbieters erfolgen. Diese exakte Abgren-zung ist dabei wichtig, da gerade die Schnittstellen zwischen Prüffeldern (siehe Abb. 3) unter Um-ständen Aufschluss über Fehler oder Manipulationen liefern können.129 Es müssen Regelungen getroffen werden, wie mit dieser Problematik umzugehen ist. Insbesondere die Durchführung von internationalen Prüfungen durch externe Dienstleister wird in Betracht gezogen, da diese durch ihre jeweiligen, lokalen Büros einerseits zeitgleiche Prüfungen ermöglichen und andererseits Wis-sen in Bezug auf lokale Spezifika wie länderspezifische Gesetze und Steuerregelungen besit-zen.130 In der Praxis werden vor allem bei IT-Prüfungen und Spezialthemen wie dolose Handlun-gen, bei denen umfassende Erfahrungen und Kenntnisse über die Prüfungsmethodik notwendig sind, externe Dienstleistungen in Anspruch genommen.131

Vollständige Auslagerung der Revisionsfunktion

Im Rahmen einer vollständigen Auslagerung der Internen Revision werden alle Prüfungen durch den Dienstleister abgewickelt. Die im Unternehmen verbleibende Funktion ist koordinierender Art. Die Geschäftsleitung muss einen Revisionsbeauftragten benennen, der eine ordnungsgemäße Funktion der Internen Revision zu gewährleisten hat. Dieser kann in Abhängigkeit der institutsindi-viduellen Situation eine Organisationseinheit, eine Person oder ein Geschäftsleiter sein.132 Jährlich sind Prüfungsobjekte und Jahresprüfungsplan mit der Geschäftsleitung abzustimmen. Der externe Prüfer kann Vorschläge erarbeiten, die endgültige Festlegung des Prüfungsumfanges muss durch die Unternehmensführung erfolgen.133 Die Umsetzung der Maßnahmen muss vom Revisionsbe-auftragten überwacht werden. Auch bei einem kompletten Outsourcing ändern sich die grundsätz-lichen Verantwortlichkeiten der Geschäftsführung nicht. Zur Steuerung der wesentlichen Risiken muss die Unternehmensleitung die Einrichtung einer funktionierenden, permanenten und lücken-losen Unternehmensüberwachung sicherstellen.134 Voraussetzung für ein derartig umfassendes Outsourcing ist eine breite Leistungspalette des Anbieters. Alternativ ist es möglich, die sich aus dem Revisionsuniversum ergebenden Aufgaben an mehrere Outsourcing-Partner zu verteilen, was allerdings zwangsläufig zu einem höheren Koordinationsaufwand führt. 126 Vgl. Peemöller, Voker H. (II) (2008), S. 152. 127 Vgl. Schwager, Elmar (III) (2008), 13 ff. . 128 Vgl. Dusha, Peter (I) (2007), S. 266 ff. . 129 Vgl. Peemöller, Voker H. (II) (2008), S. 152. 130 Vgl. Schwager, Elmar (III) (2008), 13 ff. . 131 Schwager, Elmar (I) (2003), S. 2134 132 Vgl. Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S. 130. 133 Vgl. Peemöller, Voker H. (II) (2008), S. 152. 134 Vgl. Schwager, Elmar (I) (2003), S. 2134.


3 Grundlagen für eine wirksame Auslagerung der Internen Revision

3.1 Organisatorische Voraussetzungen

3.1.1 Notwendige Vertragsbestandteile

Ein Auslagerungsvertrag soll die Verantwortlichkeiten der involvierten Parteien (z.B. Kreditinstitute und Wirtschaftsprüfungsgesellschaft) klären und damit die rechtliche Grundlage für die Umsetzung des Outsourcing-Vorhabens bilden.135 Grundsätzlich existieren für Outsourcingverträge keine ge-setzlichen Vorgaben, sie enthalten allerdings einzelne Elemente aus dem Kauf-, Werk-, Dienst- oder Mietvertrag. Darüber hinaus werden i.d.R. weitere Vereinbarungen getroffen, die sich aus verschiedenen Rechtsgebieten zusammensetzen oder frei vereinbart werden.136 Vertragliche Re-gelungen zum Outsourcing der Internen IT-Revision bei Banken ergeben sich demnach aus ge-setzlichen Normen (siehe auch 2.3), allgemeinen Anforderungen bei der Gestaltung eines Ausla-gerungsvertrags und bankspezifischen Regelungen der MaRisk: Allgemeine Anforderungen bei der Gestaltung eines Auslagerungsvertrags137

Regelmäßige Durchsicht des Vertragswerkes zur Verbesserung des Nutzens. Identifikation und Management der Beziehungen und Erwartungen aller Stakeholder - Festle-gung einer ständigen Kommunikation Allokation aller Ressourcen, Kosten und Dienstleistungsaufwendungen im Hinblick auf die Prio-rität des Vorhabens im Rahmen der Zielerreichung. Festlegung eindeutiger Rollen und Verantwortlichkeiten hinsichtlich Entscheidungslevel, Prob-lemlösung, Koordination, Leistungserbringung. Vermeidung unklarer Auftragsinhalte. Schätzung des Prüfungsaufwands (Zeit, Mitarbeitereinsatz etc.) durch Dienstleister. Bankspezifische Regelungen aus AT 9 Tz. 6 MaRisk (bei wesentlichen Auslagerungen)

Spezifizierung und ggf. Abgrenzung der vom Dienstleister zu erbringenden Leistung. Festlegung von Informations- und Prüfungsrechten der Internen Revision (In-House), falls vor-handen oder auch der Konzernrevision sowie externer Prüfer. Sicherstellung der Informations- und Prüfungsrechte und Kontrollmöglichkeiten der BaFin. Soweit erforderliche Weisungsrechte. Regelungen, die sicherstellen, dass datenschutzrechtliche Vorschriften beachtet werden. Kündigungsrechte und angemessene Kündigungsfristen. Regelungen über die Möglichkeit und über die Modalitäten einer Weiterverlagerung, die sicher-stellen, dass das Institut die bankaufsichtsrechtlichen Anforderungen weiterhin einhält Verpflichtung des Dienstleisters, das Institut über Entwicklungen zu informieren, die den ord-nungsgemäßen Ablauf der ausgelagerten Funktion und Prozesse beeinträchtigen können.

Tab.4: Allgemeine und bankspezifische Regelungen an einen Auslagerungsvertrag

Quelle: Eigene Darstellung, in Anlehnung an: Bafin (Hrsg.) (2007), S.22 / IT Governance Institute (Hrsg.) (2005), S. 8.

135 Vgl. IT Governance Institute (Hrsg.) (2005), S. 8. 136 Vgl. Schwager, Elmar (III) (2008), S. 16. 137 Siehe auch: „Checkliste Vertrag: Das sollten Sie regeln“ (vgl. Schwager, Elmar (III) (2008)).


Die vertragliche Vereinbarung von Haftungsregelungen stellt eine weitere Komponente eines Out-sourcing-Vertrags dar und spielt bei der Auswahl eines geeigneten Outsourcingpartner eine Rolle. (siehe 4.1). Das auslagernde Kreditinstitut kann auf eine ausdrückliche Vereinbarung von Wei-sungsrechten verzichten, wenn die vom Auslagerungsunternehmen zu erbringenden Leistungen hinreichend klar spezifiziert sind.138 Bei einer Auslagerung der Internen IT-Revision ist dies im Hinblick auf Objektivität und Unabhängigkeit besonders empfehlenswert (siehe auch 3.1.2).

3.1.2 Weisungsfreiheit und Geschäftsordnung der Internen Revision

„Objektivität bedeutet, dass die Interne Revision bei der Prüfungsplanung, bei der Prüfungsdurch-führung und bei der Bildung ihres Prüfungsurteils keinen Beeinflussungen oder Einschränkungen ausgesetzt sein darf“139, so der Arbeitskreis "Externe und Interne Überwachung der Unterneh-mung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V. in Ihrem Thesenpapier zur Best-Practice der Internen Revision. Weiterhin heißt es: „Die Interne Revision soll zur Wahrung der Unabhängigkeit dem Vorsitzenden der Unternehmensleitung unterstellt sein, …der direkte Zugang des Leiters der Internen Revision zum Vorsitzenden der Unternehmensleitung [soll] gewährleistet sein.“140 Beide Aussagen beweisen, dass eine Einflussnahme auf Mitarbeiter der Internen Revisi-on nicht zweckmäßig ist und deshalb auf Weisungen dieser Art verzichtet werden muss. Dabei bleibt festzuhalten, dass die endgültige Verantwortung bei der Geschäftsleitung liegt und dement-sprechend deren Weisungen bzw. Strategien umzusetzen sind. In MaRisk BT 2.2. Tz. 1 heißt es dazu: „Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesonde-re ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnis-se keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen.“141

Zur Reduktion solcher Spannungsverhältnisse und um die Zusammenarbeit zwischen Unterneh-mensleitung, Interner Revision und anderen Einheiten des Unternehmens zu regeln, ist die Schaf-fung einer Geschäftsordnung ‚Interne Revision‘ wertvoll. Sie wird in der Regel von der Unterneh-mensleitung erlassen und dem Überwachungsgremium zur Kenntnis vorgelegt. Die Geschäftsord-nung enthält:

• den Revisionsansatz der Internen Revision, • die der Internen Revision eingeräumten Rechte, vor allem das Recht zur passiven und ak-

tiven Information sowie • die Pflicht zur Berichterstattung, insbesondere eine Pflicht zur unverzüglichen Berichter-

stattung an die Leitungsgremien über wesentliche Feststellungen und Risiken.142

Außerdem wird verbindlich festgelegt, wie in der Organisation sichergestellt werden kann, dass die Objektivität und die Unabhängigkeit gewahrt bleibt.143 Grundsätzlich ist den internen Revisoren ein freier und uneingeschränkter Zugang zu Personen, Informationen, Systemen und Vermögens-

138 Vgl. Bafin (Hrsg.) (2007), S.22 (MaRisk AT 9 Tz. 6). 139 Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 226. 140 Vgl. ebenda. 141 Bafin (Hrsg.) (2007), S.52 (MaRisk BT 2.2 Tz. 1). 142 Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 226. 143 Arbeitskreis "Externe und Interne Überwachung der Unternehmung" der Schmalenbach-Gesellschaft für Betriebswirtschaft e.V., Köln (Hrsg.) (2006), S. 226.


gegenständen der Organisation einzuräumen, sofern diese für die Erfüllung ihrer Aufgaben not-wendig sind.144

3.1.3 Rolle des obersten Revisionsverantwortlichen bei einer Auslagerung

Risiken zu identifizieren, zu bewerten und zu steuern ist eine wesentliche Aufgabe der Unterneh-mensleitung. Die Risikoneigung des Kreditinstituts, d. h. in welchem Maße ein Unternehmen bereit ist, zur Erreichung seiner Wertsteigerungs- und Wachstumsziele Risiken einzugehen, kann nicht vom Management alleine festgelegt werden. Abstimmung und Transparenz mit Aufsichtsrat, An-teilseignern oder sonstigen Interessengruppen (Aufsichtsbehörden wie BaFin, Gesetzgeber, Ra-tingagenturen, Kunden, Lieferanten, Mitarbeiter) sind teilweise gesetzlich verankert und Teil einer verantwortungsvollen Unternehmensführung.145 Sofern das Outsourcing die Interne Revision be-trifft, hat die Unternehmensleitung einen Revisionsbeauftragten zu benennen, der eine ordnungs-gemäße Interne Revision gewährleisten soll.146 Der oberste Verantwortliche der Revision heißt im Original der Standards147 Chief Audit Executive (CAE). Der Begriff umfasst auch Bezeichnungen wie Höchster Prüfer, Leitender Revisor, General-inspekteur oder, in Bezug auf eine herkömmliche Interne Revision, Abteilungsleiter. 148 In Abhän-gigkeit von der institutsindividuellen Situation muss es sich dabei nicht zwangsläufig um eine Per-son handeln. Diese Funktion kann ebenfalls durch eine Organisationseinheit wahrgenommen werden, was im Sinne des Proportionalitätsprinzips bei steigender Größe, Komplexität und Risiko-situation der aufsichtsrechtlichen Erwartungshaltung entspricht.149 In der Praxis wird die Funktion teilweise, insbesondere bei kleinen und mittelständischen Unternehmen, durch die Leiter Rech-nungswesen, einen Assistenten des Vorstandes oder den Leiter der Rechtsabteilung wahrge-nommen. Diese Form der Besetzung eines Koordinators bleibt Kreditinstituten verwehrt, denn die MaRisk legen fest: „Die in der Internen Revision beschäftigten Mitarbeiter dürfen grundsätzlich nicht mit revisionsfremden Aufgaben betraut werden.“ Der Proportionalitätsgrundsatz gilt auch für das Aufgabenspektrum des Revisionsbeauftragten150. In dessen Verantwortungsbereich fallen Aufgaben wie:

• Erstellung des Prüfungsplans gemeinsam mit dem beauftragten Dritten, • Erstellung des Gesamtberichts, ggf. gemeinsam mit dem beauftragten Dritten, unter Be-

achtung von MaRisk BT 2.4 Tz. 4 und nach Maßgabe von MaRisk BT 2.5 prüfen, ob die festgestellten Mängel beseitigt wurden,151

• Erbringung des Nachweises der Überwachung des Dienstleistungsvertrages bzw. dessen Einhaltung sowie

• der Review und die Qualitätssicherung der Aktivitäten des Dienstleisters.152

Hierbei ist sicherzustellen, dass der Revisionsbeauftragte die jeweils erforderliche Unabhängigkeit besitzt und ausreichende Kenntnisse aufweist.153 Die Interpretation des unbestimmten Rechtsbegriffs „erforderliche Unabhängigkeit“ richtet sich an den Anforderungen der MaRisk aus, d.h. der Revisionsbeauftragte ist ein Instrument der Ge-schäftsleitung. Allgemein gilt, dass der CAE einer Instanz im Unternehmen untersteht, die si-

144 Vgl. Schwager, Elmar (IV) (2008), S. 7. 145 Vgl. Herzig, Andreas / Fabritius, Dieter (2008), S. 7 146 Vgl. Bafin (Hrsg.) (2007), S.22. (MaRisk 9 Tz. 8) 147 Vgl. Institute of Internal Auditor (2009). 148 Vgl. Schwager, Elmar (III) (2008), S. 5. 149 Vgl. Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S. 130. 150 Vgl. Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S. 130. 151 Vgl. Becker, Axel / Mauer, Anette (2009), S. 29. 152 Vgl. Schwager, Elmar (III) (2008), S. 5. 153 Vgl. Becker, Axel / Mauer, Anette (2009), S. 29.


cherstellen kann, dass die Interne Revision ihre Aufgaben objektiv, sachgerecht und prozessun-abhängig erfüllen kann.154 Er kann auch ein Mitglied der Geschäftsleitung sein und ist in diesem Fall idealerweise dem Vorstandsvorsitzendem direkt unterstellt.155 Hinsichtlich des unbestimmten Rechtsbegriffs „ausreichende Kenntnisse“ wird man unterstellen müssen, dass diese durch die Kompetenzen des Leiters der Internen Revision bzw. dessen Mitarbeiter erbracht werden müs-sen.156 Auch bei einer Auslagerung ist es erforderlich, dass ein Revisionsbeauftragter über hinrei-chende Qualifikationen verfügt, da er sonst die ihm zugewiesenen Aufgaben nicht angemessen erfüllen kann. Aus dem Standard 1200 „Fachkompetenz und berufliche Sorgfaltspflicht“ des IIA ergibt sich die Verpflichtung der Internen Revision, erteilte Prüfungsaufträge mit Fachkompetenz und der erforderlichen beruflichen Sorgfalt durchzuführen.157 Die folgende Abbildung 6 veran-schaulicht, in welche Teilbereiche die Fachkompetenz untergliedert werden kann.

Abb. 6 Kompetenzen des Internen Revisors insbesondere des Revisionsbeauftragten

Quelle: Eigene Darstellung, in Anlehnung an: Amling, Thomas / Bantleon, Ulrich (2007), S. 159 und Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S.130. In Analogie zu den Anforderungen an die Revisoren aus dem QA-Leitfaden des IIR könnten somit folgende Nachweise von den Revisionsbeauftragten verlangt werden:

• Nachweis der erfolgreichen Teilnahme an einer entsprechenden Qualifizierung, • Nachweis von Führungserfahrung und • Nachweis einer mindestens dreijährigen Praxiserfahrung in einer Internen Revision.158

Inwieweit die Anforderungen an die Kompetenzen des Dienstleisters für eine effektive bzw. effizi-ente Prüfung relevant sind und welchen Einfluss diese auf die Wahl des richtigen Outsourcingpartners haben, wird in Abschnitt 4.2 behandelt. Zur Erreichung der Unternehmensziele kann der CAE – unter Wahrung der Unabhängigkeit – auch als Berater und Coach eine tragende Rolle einnehmen. Grundlage für die Arbeit eines risiko-intelligenten CAE, d.h. einer umfassenden und ganzheitlichen Sichtweise der Risiken, ist die nach MaRisk geforderte, risikoorientierte Prüfungsplanung. Diese bildet die Basis für alle weiteren Prü-fungshandlugen und Überlegungen hinsichtlich des Outsourcings von Revisionsleistungen und wird im folgenden Abschnitt dargestellt.

154 Vgl. Amling, Thomas / Bantleon, Ulrich (2007), S. 159. 155 Vgl. Bantleon, Ulrich / Kranzbühler, Lutz / Ramke, Thomas (2008), S.130. 156 Vgl. ebenda. 157 Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.) (IV) (2008). 158 Vgl. Deutsches Institut für Interne Revision e.V. (Hrsg.) (II.II) (2007), S.3. (siehe Internet-/Intranetverzeichnis)


3.2 Risikoorientierte Prüfungsplanung

3.2.1 Definition

Wie bereits einleitend bemerkt, stellt die risikoorientierte Prüfungsplanung eine zentrale Voraus-setzung für die Funktionsfähigkeit einer Internen Revision dar159 und ergibt sich für Kreditinstitute direkt aus den MaRisk.160 Berufsrechtlich ergeben sich für den CAE Verpflichtungen aus dem Standard 2010 „Planung“ des Institute of Internal Auditors (IIA). Darin heißt es: The chief audit executive should establish risk-based plans to determine the priorities of the inter-nal audit activity, consistent with organization’s goals. The internal audit activity plan of engage-ments should be based on a risk assessment, undertaken at least annually.”161

Die Grundlage für die risikoorientierte Prüfungsplanung bildet das Revisionsuniversum.162 „Dabei ist ein Prüfungsobjekt definiert als ein Sachverhalt oder Gegenstand, der dazu geeignet ist, einer Prüfung unterzogen zu werden.“163 Die zentrale Basis zur Aufstellung des Risikouniversums stel-len alle im Unternehmen existierenden Abläufe, Funktionen, Systeme und Einheiten dar. Im Rah-men der IT-Revision schränkt sich der Umfang auf Objekte mit Bezug zur Informationstechnologie ein.

3.2.2 Prüfungsobjekte und Prüfungsfelder bei der Internen IT-Revision

Eine Bewertung der Prüfungsobjekte nach Risikogesichtspunkten führt zu einer risikoorientierten Prüfungsplanung, die sich an der Priorität der Prüfungshandlungen orientiert. Schwager konkreti-siert, dass die Risikoorientierung in der Prüfung zu einer Koordination der Revisionsaktivitäten unter den Generalzielen Erreichung der Unternehmensziele und Steigerung des Unternehmens-werts führt.164 Die Frage nach einer geeigneten Konstruktion von Prüfobjekten wird oft vernachläs-sigt, im Mittelpunkt steht häufig die Art der Risikobewertung.165 Jedoch sind die in den Prüfungs-plan aufzunehmenden Prüfungsobjekte, -felder und -gebiete stets institutsindividuell und erfordern somit eine gründliche Definitionsphase.166 Bei der Prüfungsplanung ist eine verstärkte Ausrichtung auf Geschäftsprozesse notwendig, eine ausschließliche Verwendung der Aufbauorganisation als Planungsgrundlage entspricht nicht dem heutigen Verständnis.167 „In jedem Unternehmen sind Prozesse zumindest implizit installiert, aber nicht immer vollständig und explizit dokumentiert.“168 Für eine Einschätzung des IKS oder opera-tioneller Risiken ist dies jedoch unerlässlich, wie es auch im allgemeinen Teil der MaRisk, u.a. AT 4.3.1, gefordert wird.169 Denn die schriftlich fixierte Ordnung (Aufbau- und Ablauforganisation), Sitzungsprotokolle und Beschlüsse der Geschäftsleitung oder Dokumentationen für Anwendungen bilden neben anderen Informationsquellen die Basis für die Herleitung der Prüfungsobjekte. In der Praxis findet sich häufig eine Mischform aus unterschiedlichen Prüfungsobjektarten, die aus-schließliche Planung auf Basis einer Objektart (z. B. Prozesse) ist untypisch.170 Darüber hinaus spielen unternehmenskulturelle oder managementbezogene Kriterien eine Rolle.171 Gegenstand der Prüfung können die in Tab. 5 aufgeführten Prüfungsobjektarten sein. Eine Übersicht über die

159 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 60. 160 Vgl. Bafin (Hrsg.) (2007), S.13 ff. (MaRisk AT 4.4 Tz. 3). 161 Institute of Internal Auditor (Hrsg.) (2009) (II.I), im Hauptframe (siehe Internet- / Intranetverzeichnis). 162 Vgl. Dusha, Peter (I) (2007), S. 266 ff. . 163 Dusha, Peter (I) (2007), S. 266. 164 Vgl. Schwager, Elmar (I) (2003), S. 2134. 165 Vgl. Dusha, Peter (I) (2007), S. 269. 166 Vgl. Sowa, Aleksandra (2007), S. 89 167 Vgl. Kunze, Britta (2007), S. 204. 168 Vgl. Dusha, Peter (I) (2007), S. 269. 169 Vgl. ebenda. 170 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 61. 171 Vgl. ebenda.


Auswahl der Prüfungsgebiete und -felder für eine Prüfungsplanung der IT-Revision könnte nach dem IIR wie in Abb. 7 dargestellt werden:

Abb. 7: Auswahl der Prüfungsfelder und –gebiete nach IIR

Quelle: Eigene Darstellung, in Anlehnung an: Deutsches Institut für Interne Revision e.V. (Hrsg.) (II) (2006).

Wenn bei der Konstruktion von Prüffeldern risikorelevante Themenbereiche in Felder fallen, die insgesamt mit niedrigerem Risiko bewertet sind, ergibt sich die Gefahr, dass bestimmte Prüfungen mit unzureichender Häufigkeit durchgeführt werden. Wird z.B. das Themengebiet IT-Sicherheit nur als Risikokriterium und nicht als eigenständiges Prüfungsgebiet erfasst, kann dies dazu führen,


dass dieses Risikogebiet nur unzureichend in der Planung berücksichtigt wird.172 Da solche Feh-lerquellen weitreichende Folgen für das Kreditinstitut haben können, wird in den folgenden Ab-schnitten sowohl auf relevante Risikoarten als auch auf Ansätze für eine Risikoanalyse eingegan-gen. Weiterhin werden die geforderte längerfristige Planung von Prüfungshandlungen und der daraus ableitbare Kapazitätsbedarf näher behandelt.

3.2.3 Risikoarten und Forderung nach einer Risikoanalyse nach MaRisk

„Unter dem Begriff Risiko im Sinne des risikoorientierten Prüfungsansatzes lassen sich alle Ereig-

nisse subsumieren, die die Unternehmen an der Erreichung ihrer strategischen Ziele und ihrer

ökonomischen Ausrichtung hindern.“ 173

Zu den typischen Unternehmensrisiken174 gehören nach Herzig/Fabritius u.a. operationelle Risi-ken, strategische Risiken, Umsetzungsrisiken sowie Governance- und Compliance-Risiken.175 Die MaRisk fordern in AT 2.2 vom Management der Kreditinstitute, sich einen „Überblick über das Gesamtrisikoprofil des Instituts“176 zu verschaffen und dabei u.a. folgende Risikoarten zu berück-sichtigen:

• „Adressenausfallrisiken (einschließlich Länderrisiken), • Marktpreisrisiken, • Liquiditätsrisiken und • operationelle Risiken.“177

Die hohe Bedeutung der Analyse bzw. der Steuerung der operationellen Risiken ist an dieser Stel-le bereits erkennbar, insbesondere weil die Unternehmensprozesse den Hauptgegenstand der Prüfungen durch die Interne Revision darstellen. Dusha konkretisiert: „Die in den Prozessen auf-tretenden Risiken sind definitionsgemäß operationeller Natur, da sie von den Prozessabläufen determiniert werden. …Insgesamt lässt sich also der Ansatz einer ausschließlich durch operatio-nelle Risiken getragenen Bewertung der relevanten Prüffelder des Revisionsuniversums rechtfer-tigen.“178 Aufgrund dieser Argumentation wird im Weiteren auf eine Betrachtung anderer Risikoka-tegorien verzichtet. Gemäß der Deutschen Bundesbank wird das operationelle Risiko nach Basel II wie folgt definiert: „Unter dem operationellen Risiko wird‚ die Gefahr von unmittelbaren oder mittelbaren Verlusten, die infolge der Unangemessenheit oder des Versagens von internen Verfahren, Menschen und Systemen oder von externen Ereignissen eintreten, verstanden“. 179

In einer Studie mit dem Titel „Das Management von operationellen Risiken bei Banken“ von Wal-ter Keck180 und Dean Jovic181 wurden fünf operationelle Risikoarten identifiziert:

172 Vgl. Sowa, Aleksandra (2007), S. 89 173 Deutsches Institut für Interne Revision e.V. (Hrsg.) (V) (2008), S. 108. 174 Eine detaillierte Beschreibung findet sich im Anhang. 175 Vgl. Herzig, Andreas / Fabritius, Dieter (2008), S. 277. 176 BaFin (Hrsg.) (2007), S. 5. 177 BaFin (Hrsg.) (2007), S. 5. 178 Vgl. Dusha, Peter (II) (2008), S. 16. 179 Deutsche Bundesbank (Hrsg.) (2001), S. 28. 180 Zur Zeit des Erscheinungsdatums: Walter Keck. lic. oec. publ. et MBA, dipl. Wirtschaftsprüfer, Partner und Leiter Bankenprüfung und -beratung Deutsche Schweiz, Arthur Andersen AG, Zürich. Vgl. Walter Keck, Dean Jovic (1999), S.963.


• „Personelle Risiken: menschliche Fehler, Betrug, Personalfluktuation usw.; • Technische Risiken: Ausfall von IT-Systemen, Virus-Probleme, inadäquate oder veraltete

Systeme usw. ; • Haftungsrisiken: Verluste im Zusammenhang mit rechtlichen Risiken; • Geschäftsrisiken: Unterbrüche im Geschäftsablauf; • Externe Risiken: Änderungen der relevanten Regulierung, Betrugsfälle im Zusammenhang

mit Drittparteien usw.“ 182

So gehören insbesondere auch die Risiken, die sich aus dem Einsatz von IT ergeben, zu den ope-rationellen Risiken.183 Deshalb kann man die IT-Revision hauptsächlich dem Gebiet des Operatio-nal Auditing zuordnen (siehe 2.1.2). Von diesem Tätigkeitsfeld der Internen Revision geht nach Aussage von Zwingmann184 insbesondere in großen Konzernen ein immenses Wertsteigerungs-potenzial aus.185 Hinsichtlich der einzusetzenden Methodik zur notwendigen Bewertung der ein-zelnen Prüffelder macht MaRisk folgende Aussage: „Die Wahl der Methoden zur Beurteilung der Risikotragfähigkeit liegt in der Verantwortung des Instituts. Die den Methoden zu Grunde liegen-den Annahmen sind nachvollziehbar zu begründen. Die Angemessenheit der Methoden ist zumin-dest jährlich durch die fachlich zuständigen Mitarbeiter zu überprüfen.“ Der Chief Information Officer (CIO), die CAE oder die jeweiligen Verantwortlichen für die Risiko-analyse in einer Bank müssen demnach sicherstellen, dass ihre Verfahren der spezifischen Risi-kosituation ihres Kreditinstituts gerecht werden. Weiterhin wird gefordert, dass die Bankenleitung zur Steuerung der Risikotragfähigkeit Strategien nach MaRisk AT 4.2 festlegt sowie Anpassungen stets berücksichtigt.186 In der Revisionspraxis bedingt dies die Notwendigkeit zur regelmäßigen Neubewertung der Risiken. Dabei kann entweder auf die unternehmensinterne, in den MaRisk geforderte, Risikobewertung zurückgegriffen werden oder es können eigene quantitative oder qua-litative Bewertungen vorgenommen werden. Darüber hinaus stehen der Internen IT-Revision standardisierte Modelle wie z.B. CobiT zur Verfügung.187 Da eine Vielzahl von Bewertungsmetho-den188 und -modellen existieren, können diese nicht erschöpfend im Rahmen dieser Arbeit behan-delt werden. Für das Verständnis der den Nutzen beeinflussenden Faktoren bei einem Outsour-cing, wie sie in Abschnitt 4 betrachtet werden, ist ein Wissen über die Durchführung einer Risiko-analyse nicht notwendig. Relevant ist lediglich, dass die institutsspezifischen Risiken angemessen bewertet werden, da sie die Grundvorrausetzung für eine risikoorientierte Prüfungsplanung und damit für eine effektive Interne Revision darstellen. Im Rahmen des Outsourcings der internen IT-Revision müssen demnach einerseits die Risiken aus dem Auslagerungsvorhaben (siehe 2.2 und 3.1) und andererseits die sich beim Einsatz von Informationstechnologie ergebenden Risiken beachtet werden. Verschiedenste Risikoaspekte haben demnach Einfluss auf den Nutzen des Auslagerungsvorhabens. Schwager konkretisiert: „Das primäre Ziel des risikoorientierten Prüfungsansatzes [ist] die gezielte Identifikation der Unter-nehmensrisiken als Entscheidungsgrundlage für das Management.“189

181 Zur Zeit des Erscheinungsdatums: Dean Jovic, Dr. oec. publ., Verfasser der Dissertation «Risikoorientierte Eigenkapitalallokation und Performancemessung bei Banken», Senior Risk Management Consultant, Infinity, a SunGard Company, Zürich. Vgl. Walter Keck, Dean Jovic (1999), S.964. 182 Walter Keck, Dean Jovic (1999), S.965 183 McKibben, Douglas / Furlonger, David (2009), S. 4. 184 Dr. Lorenz Zwingmann war zur Veröffentlichung seines Artikels „Erwartungen an die Wertsteigerungsbeiträge der Internen Revision“ Mitglied der Geschäftsleitung (Finanzen) bei der international agierenden Still GmbH. 185 Vgl. Zwingmann, Lorenz (2007): 186 BaFin (Hrsg.) (2007), S. 5 (MaRisk AT 4.1 Tz. 2). 187 Vgl. Sowa, Aleksandra (2007), S. 89. 188 Mehr: Vgl. Schumacher, Thomas (2008) / vgl. Howen, Larissa (2008) / vgl. Dusha, Peter (II) (2008). 189 Vgl. Schwager, Elmar (I) (2003), S. 2134.


3.2.4 Jährliche Fortschreibung der Prüfungshandlungen und Kapazitätsbedarf

Das Ziel einer jährlichen Fortschreibung stellt mittels Prüfungs- und Beratungsleistungen das früh-zeitige Erkennen von Schwachstellen dar, um Verbesserungspotenzial aufzeigen zu können und folglich den zukünftigen Unternehmenswert zu steigern.190 Die MaRisk verdeutlichen die Forde-rung nach einer vorausschauenden Planung in BT 2.3, Tz. 1: „Die Tätigkeit der Internen Revision muss auf einem umfassenden und jährlich fortzuschreibenden Prüfungsplan basieren. … Die Aktivitäten und Prozesse des Instituts sind, auch wenn diese aus-gelagert sind, in angemessenen Abständen, grundsätzlich innerhalb von drei Jahren, zu prüfen. Wenn besondere Risiken bestehen, ist jährlich zu prüfen.“191

Unter einem umfassenden Prüfungsplan wird die Mehrjahresplanung, basierend auf der Risiko-bewertung der Grundgesamtheit der Prüfungsobjekte respektive Prüfungsfelder sowie eine daraus abgeleitete Jahresplanung verstanden.192 Der Mehrjahresprüfungsplan ist nicht als statisches In-strument zu verstehen, sondern dynamisch und an die jeweiligen Veränderungen im Unternehmen risikoorientiert anzupassen.193 „Die Prüfungsthemen für das nächste Prüfungsjahr ergeben sich aus der letztjährigen Prüfung in Kombination mit dem entsprechenden Turnus, der in Abhängigkeit von der Risikokennziffer ermittelt wird.“194 Die Festlegung von Prüfungsschwerpunkten sollte sich weiterhin an Best Practice, den Prioritäten des Managements und ggf. an Erkenntnissen aus dem Einsatz IT-gestützter Entscheidungsverfahren, z.B. Datenanalysen, orientieren. Eine vollständige, gleich gewichtete, jährliche Prüfung aller Aspekte der IT-Revision ist nicht gefordert.195 Zur Fortschreibung der Mehrjahresplanung werden die in Abschnitt 3.2.2 genannten Informations-quellen herangezogen. In der Regel findet die Fortschreibung einmal jährlich in Vorbereitung der Jahresplanung für das nächste Jahr statt. Einzelne Institute führen darüber hinaus eine unterjähri-ge Überprüfung der Jahresplanung durch.196 Die Studie „Internal Audit functions in Europe, the Middle East and Africa“ der KPMG kommt zu dem Ergebnis, dass 86% aller befragten Unterneh-men einen formalen Rotationsplan einsetzen. 78% dieser Pläne werden auf einer jährlichen Basis geplant. Gleichzeitig stellen die Autoren in Frage, ob im Hinblick auf die derzeitige wirtschaftliche Lage, das sich immer schneller verändernde Umfeld und die daraus resultierende Evolution der Risiken, dieser Fokus ausreichend ist. Sie stellen fest, dass bisher lediglich 16% einen rollieren-den oder quartalsweisen Review des Prüfungsplans durchführen, um auf die genannte Herausfor-derung zu reagieren.197 Alternativ kann ein Institut auf die Festlegung eines Prüfungsturnus ver-zichten und unterzieht stattdessen alle Objekte einer jährlichen Risikoanalyse, auf deren Basis festgelegt wird, ob und welche weiteren Prüfungshandlungen erforderlich sind.198 Zur Prüfung der genannten Prüfungsbereiche/-objekte benötigt die Interne IT-Revision eine an-gemessene Kapazitätsausstattung, die Verantwortung hierfür obliegt der Unternehmensführung und fällt in die Überwachungspflicht des Aufsichtsrates.199 Die risikoorientierte Ausrichtung und die Unterteilung in Prüfungsbereiche/-objekte ermöglicht es, die Komplexität des betrieblichen Ge-schehens gedanklich zu reduzieren und vorhandene Ressourcen zielgerichtet und damit effektiv und effizient einzusetzen.200 Der IIR-Arbeitskreis bemerkt allerdings kritisch, dass eine unmittelba-re und ausschließliche Ableitung des Kapazitätsbedarfs aus einem risikoorientiert bewerteten Prü-fungsuniversum ein theoretisches Modell sei. In der Praxis würde die tatsächliche Kapazitätsaus- 190 Vgl. ebenda. 191 Vgl. Bafin (Hrsg.) (2007), S.53 (MaRisk BT 2.3, Tz. 1). 192 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 62. 193 Vgl. Morr, Marion / Schiwietz, Michael / Löhr, Gerhard (2008), S. 3. 194 Rohrmann, Jürgen / Schreiber, Arne (2008), S. 62. 195 Vgl. Schwager, Elmar (I) (2003), S. 2134. 196 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 62. 197 Vgl. KPMG (Hrsg.) (2009), S.7. 198 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 62. 199 Vgl. ebenda, S. 60. 200 Vgl. Schwager, Elmar (I) (2003), S. 2134.


stattung der Internen Revision auch mit dem Stellenwert der Funktion, d.h. die von der Geschäfts-leitung gewünschte Einbindung in weitergehende Prüfungs- und Beratungsbereiche, und dem damit verbundenen Aufgabenspektrum zusammenhängen.201

3.2.5 Sicherstellung der Effektivität der Prüfung

Die Effektivität einer Prüfung durch die Interne Revision im Rahmen einer Auslagerung ist dann gegeben, wenn sowohl die rechtlichen Aspekte (siehe 2.2 und 2.3.2) und die organisatorischen Rahmenbedingungen (siehe 3.1), sowie der risikoorientierte Prüfungsansatz beachtet werden. Werden die in Tab. 6, von Schwager entwickelten Fragen von Kreditinstituten mit ausgelagerten Bereichen mit „Ja“ beantwortet, so ist davon auszugehen, dass die Prüfungsplanung risikoorien-tiert ist: Generiert der Dienstleister in Zusammenarbeit mit dem Management einen mehrjährigen Prü-

fungsplan, und setzt er ggf. hierzu adäquate Software ein?

Werden für einzelne Prüfungen in Zusammenarbeit mit dem Management risikoorientiert dieje-

nigen Prüfungsobjekte ausgewählt, die unter Orientierung auf die Erreichung der Prozessziele

kritisch sind?

Stehen die zentralen Risiken, ihre Ursachen und ihre Steuerungsmechanismen im Fokus der

Prüfung?

Sind die ausgewählten Prüfobjekte nach Ansicht des Managements vom zeitlichen Aufwand her

angemessen berücksichtigt, um ein sicheres Prüfungsurteil abgeben zu können?

Ist der Ansatz prozessorientiert? In welcher Form werden Schnittstellen innerhalb des Unter-

nehmens oder nach außen hin berücksichtigt?

Tab.6: Checkliste zur Umsetzung des risikoorientierten Prüfungsansatzes

Quelle: Eigene Darstellung, in Anlehnung an: Schwager, Elmar (I) (2003), S. 2133 Die Interne IT-Revision ist unabhängig davon, ob sie ausgelagert wird, immer als Dienstleistung zu verstehen und hinsichtlich Effektivität und Effizienz der Prüfung von den Leistungen der Revi-soren abhängig. Diese sind zwar verpflichtet, ihre Arbeit an den Berufsgrundsätzen anzulehnen,202 jedoch schützt das nicht vor einer ungenügenden Leistungserbringung. Aus diesem Grunde wird im folgenden Abschnitt 4.2 u.a. auf die vorhandenen Kompetenzen von Outsourcinganbietern ein-gegangen. Je besser eine benötigte Kompetenz durch den Dienstleister abgedeckt werden kann, desto effizienter können ausgelagerte IR-Bereiche arbeiten.203

201 Vgl. Rohrmann, Jürgen / Schreiber, Arne (2008), S. 60. 202 Schwager, Elmar (I) (2003), S. 2133. 203 Hölscher, Luise / Rosenthal, Johannes (I) (2008), S. 261 ff. .


4 Faktoren zur Optimierung des Nutzens

4.1 Vorüberlegungen

4.1.1 Thesenbildung

Auf Basis der Literaturrecherche zu den Bereichen Grundlagen der Internen Revision und des Outsourcing, zu den rechtlichen und organisatorischen Rahmenbedingungen und insbesondere die Vertiefung mit dem risikoorientierten Prüfungsansatz lassen sich im Hinblick auf die For-schungsfrage folgende Thesen herleiten: These 1:

Wenn die Ordnungsmäßigkeit der IT-Prozesse und -Systeme sichergestellt ist, dann kann die Aufdeckung und Vermeidung potenzieller Risiken sowie die Qualität der Empfehlungen der Revi-soren als Effizienzkriterium hinsichtlich der erbrachten Revisionsleistung gewertet werden. Für die Effizienzmessung im Bereich der Internen IT-Revision haben sich bis jetzt keine aussagekräftigen Modelle durchgesetzt204, jedoch könnte jedes neu identifizierte Risiko respektive jede weitere zweckmäßige Handlungsempfehlung solange als Leistungszuwachs gelten, wie die Geschäftslei-tung und der CAE diese als relevant im Hinblick auf ihre gesetzten Ziele werten. These 2:

Der gezielte Einsatz von externen Spezialisten führt zu einer Steigerung des Nutzens der Internen IT-Revision, solange die Koordination der Prüfungshandlungen risikoorientiert durchgeführt wird. Das Maß der Effizienzsteigerung orientiert sich dabei an der Kompetenz der Internen Revisoren und der vorgelagerten Risikobewertung. Diese ist abhängig von einem ausgeprägten Informati-onsfluss zwischen Geschäftsleitung, Fachbereich und Dienstleister. Grundvoraussetzung ist dabei der vollumfängliche Zugang zu Informationen, die im Zusammenhang mit der Prüfung stehen.

4.1.2 Bestimmung des Leistungsspektrums

„Was will ich von meiner Internen Revision?“ Diese Frage sollte nach Schwager am Anfang jeder Diskussion zur Wirksamkeit von Interner Revision stehen. Es ist wichtig, dass die Geschäftsleitung unter Berücksichtigung des Unternehmenszwecks festlegt, in welchem Umfang sie das mögliche Leistungsspektrum nutzen will. Das Angebotsspektrum schwankt dabei zwischen Abteilungen, die ohne Beachtung von Berufsgrundsätzen oder Best Practice einen geringen Umfang an Revisions-leistungen erbringen, und einer professionellen Revision, die sich neben Forensik auch der Pro-zessoptimierung im Rahmen eines Internal Consulting widmet. Sind die Erwartungen an die Leis-tungen der Internen Revision festgelegt, erfolgt im nächsten Schritt eine Verständigung über Chancen und Risiken des Auslagerungsvorhabens im Hinblick auf die Steigerung des Nutzes der Auslagerung. Somit sollte zwischen Auslagerungsunternehmen und Dienstleister über die zu er-wartenden Ergebnisse der Internen IT-Revision Einigkeit bestehen. Bei etablierten Revisionsabteilungen besteht in der Praxis oftmals die Gefahr, dass „sie ihre eige-ne Brötchen backen, ohne sich hinreichend daran zu orientieren, was der Vorstand tatsächlich braucht.“205 Die in der Studie „Star oder Statist? Rolle und Zukunft der Internen Revision aus Sicht von Unternehmen und Interessengruppen“ der Ernst&Young GmbH ermittelte hohe Diskrepanz von 45 Prozentpunkten206 (100 % zu 55 %) im Bankensektor zwischen Eigenwahrnehmung ihrer Leistungsfähigkeit durch die Revisionsleiter und Wahrnehmung der Leistungsfähigkeit von Innen-revisionen durch das obere Management,207 unterstützt Schwagers Aussage. Er macht vor allem

204 Vgl. Schwager, Elmar (I) (2003), S. 2136. 205 Vgl. ebenda, Frage 5. 206 Vgl. Ernst & Young (Hrsg.) (2006), S. 29. 207 Vgl. Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 9.


die mangelnde Kundenorientierung für die Abweichung verantwortlich. Als einer der Vorteile einer Auslagerung der Internen IT-Revision gilt die höhere Kundenorientierung, welche sich darin be-gründet, dass sie für Dienstleister zur „Sicherung von Marktanteilen, Marktwachstum und letztend-lich zur Steigerung von Gewinn und Rentabilität“208 unabdingbar erscheint.209 Daraus lässt sich schließen, dass die Kundenorientierung für externe Revisoren eine wichtige Stellschraube zur Erhöhung der Leistungswahrnehmung ihrer Tätigkeit darstellt.

4.1.3 Effizienz im Rahmen einer Auslagerung der Internen IT-Revision

Nach den gewonnenen Erkenntnissen lässt sich der Begriff der Effizienz im Rahmen einer Ausla-gerung der Internen IT-Revision erklären. Wittjen stellt vereinfacht dar: „Effizienz ist, schnell und effektiv das gesteckte Ziel erreichen.“ Ist die gesetzlich geforderte Ordnungsmäßigkeit sicherge-stellt, werden die Ziele bei der Auslagerung der Internen IT-Revision durch den Fokus der Unter-nehmensleitung und die sich aus dem Outsourcingvorhaben versprochen Chancen bestimmt. Ef-fektivität kann im Rahmen der Revision auch mit der Qualität der erbrachten Leistung in Bezug auf die Erreichung der Ziele beschrieben werden. Zwar existiert in der Betriebswirtschaftlehre kein allgemeines Qualitätsverständnis, jedoch wird von einer strikten Bezugnahme auf die individuellen Erwartungen der Kunden an eine Leistung ausgegangen.210 Qualität ist danach „das Maß, in dem das Angebot Kundenanforderungen erfüllt, also erwarteten Anforderungen von Kunden ent-spricht.“211 Demnach ist die Kundenorientierung zentrale Stellschraube zur Erhöhung der Güte der Revisionsleistung. Es lässt sich festhalten, dass bei gleichbleibenden Bedingungen eine Steige-rung der Qualität unmittelbar zu einer Steigerung der Effizienz führt. Gleiches gilt, wenn die Quali-tät der erbrachten Leistungen gleich bleibt, aber die Zeit zur Bearbeitung des Prüffelds kürzer ist. Auf Nachfrage grenzt Wittjen ein, dass für viele Mandanten oftmals auch die Kosten, die bei der Durchführung entstehen, primäres Kriterium sind. Ob eine solche Kostenorientierung zu einer ho-hen Effizienz führt, stellt er jedoch in Frage. Hierbei ist zu berücksichtigen, dass bei einer Fremd-vergabe Zeit gleich Kosten sind, da die Vergütung externer Revisoren i.d.R. auf Stundenbasis erfolgt. Benötigt also ein Anbieter weniger Zeit zur Abarbeitung eines Prüffeldes als ein Wettbe-werber, ist dieser, bei gleicher Qualität, als effizienter zu werten. Das Verhältnis zwischen erbrach-ter Leistung, also der Qualität der Revisionsarbeit, und den entstehenden Kosten als Aufwendun-gen für die Revisionsdurchführung bestimmt demnach den Nutzen der Auslagerung, wobei die Kundenorientierung als wichtige Stellschraube identifiziert wurde.

Die folgenden zwei, vom Autor identifizierten, Faktoren sollen zeigen, inwiefern sie den Nutzen bei einer Auslagerung der Internen IT-Revision steigern können. Eine Überprüfung des Zusammen-hangs zwischen Thesen und Faktoren wird in der Schlussbetrachtung durchgeführt.

Faktor 1: Verbesserung des Informationsflusses

Die bereits aufgezeigte Diskrepanz zeigt, dass das Verständnis über Leistungsangebot und -nachfrage angeglichen werden muss. Die Qualität der Revisionsarbeit ist unbefriedigend, was an einer schwachen Kundenorientierung liegen kann, die aufgrund ungenügender Abstimmung ent-steht. Die Gründe dafür können in der Begrenzung des Informationszuganges, eine der größten Beeinträchtigungen für die Wirksamkeit der Internen Revision, und dem mangelnden Interesse seitens der Geschäftsleitung liegen. Aus diesem Grund werden Aspekte hinsichtlich der informati-ven Zusammenarbeit dargestellt, die zu einem besseren Verständnis zwischen der ausgelagerten Internen IT-Revision und den Verantwortlichen des Managements führen.

208 Seidel, Alina (2007), S. 1. 209 Vgl. Seidel, Alina (2007), S. 1. 210 Institut der Wirtschaftsprüfer (Hrsg.) (2007) (II), S. 1220. 211 Niehaus, Rudolf (1996), S.10.


Faktor 2: Eignung des Outsourcingpartners

Als Basisfaktor für eine Auslagerung gilt der jeweilige Outsourcingpartner, denn die Qualität seiner Arbeit hat direkten Einfluss auf die Zielerreichung des Unternehmens. Da die Fremdvergabe be-sonders bei notwendigem Spezialwissen als sinnvolle Maßnahme angesehen wird, gilt insbeson-dere die Kompetenz der Revisoren als zentrale Entscheidungskomponente. Diese wirkt sich direkt auf den Nutzen aus, denn es ist davon auszugehen, dass ein kompetenter Revisor ein Prüffeld mit besserer Leistung oder geringerem Aufwand erledigt. Der Autor versucht daher, grundlegende Unterscheidungen zwischen den verschiedenen Typen von Outsourcingpartnern zu finden und Kriterien aufzuzeigen, die eine Einschätzung hinsichtlich der vorhandenen Kompetenz ermögli-chen.

4.1.4 Verbesserung des Informationsflusses

Im Folgenden fasst der Autor die aus den Experteninterviews gewonnenen Erkenntnisse thema-tisch zusammen und untersucht den entsprechenden Einfluss auf den Nutzen. Grundsätzlich wer-den jedoch vor allem nutzensteigernde Aspekte vorgestellt, da dies das Ziel der Arbeit ist.

Förderung durch Geschäftsleitung

Die Erfahrung von Lehmann zeigen, dass Revisoren teilweise mit ihrer Revisionsfunktion allein gelassen werden. Oftmals fehlt die Unterstützung durch die Geschäftsleitung. Die Fachabteilun-gen sollten, z.B. mittels Workshops, dahingehend sensibilisiert werden, dass Interne IT-Revision nicht zwangsläufig etwas mit Kontrolle zu tun hat. Denn die Akzeptanz der Mitarbeiter führt zu einer Verbesserung der Qualität der Revision. Durch eigene Anregungen und das Aufzeigen selbsterkannter Risiken können die Ergebnisse verbessert werden. Schneider / Bennecke heben hervor, dass die Revisoren durch eine stärkere Visualisierung ihrer Ergebnisse und Potenzialbe-reiche212 zu einer verbesserten Wahrnehmung beitragen können.213 Dies ist insbesondere für Dienstleister zu berücksichtigen. Abschließend kommt Lehmann zu dem Fazit: „Je mehr eine Re-vision im Hause akzeptiert ist, desto effizienter ist ihr Handeln.“

Persönliche Bindung

Wittjen identifiziert wiederholt die persönliche Beziehung zu der Geschäftsleitung und den Fachab-teilungen des Mandanten als wichtiges Kriterium für eine Beauftragung. Darüber hinaus verbes-sert ein gutes Vertrauensverhältnis den Zugang zu Informationen. Ein ausgeprägtes Vertrauens-verhältnis darf aber unter keinen Umständen Unabhängigkeit oder Objektivität beeinträchtigen. Dies könnte zu einer Verringerung der Effizienz führen, wenn sich der Umfang der Feststellungen respektive der Empfehlungen reduziere und dadurch die Risiken weniger stark reduziert würden.

Unterstützung durch In-House Personal

Die Einbindung von Personal des Kreditinstituts kann vor allem dann förderlich sein, wenn der Aufgabenbereich klar abgetrennt ist und sie ihr internes Wissen über Abläufe, Beziehungen und bekannte Problembereiche einbringen. Nach Wittjen können solche Revisoren teilweise aber auch hinderlich sein, insbesondere wenn diese zuvor in der Hierarchie des geprüften Bereichs tätig wa-ren (mangelnde Unabhängigkeit), die Prüfvorgehensweise nicht den Revisionsstandards ent-spricht (mangelnde Qualifikation) oder eine andauernde Befragung und Überprüfung aufgrund der ständigen Anwesenheit der Inhouse-Revisoren die tägliche Arbeit behindern (mangelnde Effizi-

212 Mehr: Vgl. Scheider, Michael / Benneke, Wolf-Christian (2008): S.210 ff. . 213 Vgl. Scheider, Michael / Benneke, Wolf-Christian (2008), S. 217.


enz).214 Lehmanns Erfahrungen zeigen auch, dass nur bedingt neue Sachverhalte bei der Zu-sammenarbeit zwischen internen und externen Prüfern erschlossen werden. Die fachliche und persönliche Qualifikation des CAE besitzt in diesem Zusammenhang eine besondere Bedeutung, denn seine Aufgabe ist es, die Wirksamkeit der Internen Revision sicherzustellen und Kommuni-kationsbarrieren zwischen den Stakeholdern abzubauen.

Vorausschauende Planung

Die Prüfung der identifizierten Prüfobjekte ist unumgänglich, jedoch kann man nach Kendel mit den Fachabteilungen einen geeigneten Prüfungszeitraum abstecken, solange der jeweilige Risi-kogehalt des Objektes dies ermöglicht. Bei klar erkennbaren Risiken ist eine schnelle Prüfung der betreffenden Abteilung notwendig, wobei eine vorherige Abstimmung nicht fehlen darf. Lehmann führt weiter aus, dass eine frühe Abstimmung mit dem jeweiligen Unternehmen zur besseren Ak-zeptanz der Feststellungen und damit auch der vorgeschlagenen Maßnahmen führt. Schwager hält z.B. ein Kick-Off-Gespräch, die vorherige Erstellung eines Anforderungskatalogs oder eine Vorerhebung von Risiken für sinnvolle Instrumente, um der ständigen Prämisse der Qualitätser-höhung näher zu kommen.

Abstimmungen während der Prüfung

Auch innerhalb der Prüfung sollten regelmäßige Abstimmungen stattfinden, um sicherzustellen, dass die vereinbarten Prüfungsziele eingehalten werden. Eine besondere Form sind Jour-Fixes, festvereinbarte Termine, die in regelmäßigen, z.B. wöchentlichen Intervallen abgehalten werden. Im Rahmen dieser Treffen können Konflikte, wie beispielsweise Informationsengpässe zwischen Dienstleister und Fachabteilung, geklärt oder zu erwartende Feststellungen kommuniziert werden. So können potentielle Störquellen und Probleme bereits im Vorfeld verhindert werden. Schwager geht weiter und hält fest, dass Fairness und Offenheit wichtig seien, ohne dass eine objektive und unabhängige Sichtweise vernachlässigt wird. So schränkt auch Lehmann ein: „Abstimmungen sollten immer eine Grenze haben. Externe Prüfer müssen immer ihre Unabhängigkeit wahren.“

Berichterstattung

Der Abschlussbericht ist das finale Instrument zur Darstellung der Prüfungsergebnisse und wird nach der bereits gennannte KPMG Studie215 bei 97% aller IT-Prüfungen verwendet. Weiter heißt es, dass nur 20% der Befragten Executive Summary Reports anfertigen und nur 6% ihre Ergeb-nisse vor der Geschäftsleitung präsentieren,216 obwohl die im Bericht enthalt-enen Feststellungen und Empfehlungen von fundamentaler Bedeutung sind, weil sich in ihnen die Sorgfältigkeit der Prüfungsdurchführung und die fachliche Kompetenz des Dienstleisters niederschlagen.217 Die ge-ringe Beachtung der Berichte der Internen IT-Revision lässt auf eine geringe Wertschätzung des Managements schließen.218 Auch in diesem Zusammenhang gilt, dass, wenn das „Reporting sich an den Bedürfnissen des Kunden orientier[t], etwa in einer Zweiteilung in Form einer summari-schen Beurteilung des Prüfungsobjekts insgesamt, bestimmt für das Top-Management, und einem ausführlichen Teil für das operative Management“, eine verbesserte Leistungswahrnehmung er-reicht wird. Des Weiteren ist nach Kendel die Wirtschaftlichkeit der Empfehlungen zu berücksichtigen. Die Kosten für die Umsetzung sollten mit dem Risikogehalt in einem ausgewogenen Verhältnis stehen

214 Vgl. ebenda, Frage 16. 215 KPMG (Hrsg.) (2009), S.17. 216 Vgl. ebenda. 217 Schwager, Elmar (I) (2003), S. 2136. 218 KPMG (Hrsg.) (2009), S.17.


und darüber hinaus grundsätzlich machbar sein. Das Management nimmt in diesem Zusammen-hang eine wichtige Funktion ein, da es über die Umsetzung entscheiden muss.

Follow-Up-Prozess

In jedem Falle ist eine Nachverfolgung der Umsetzung von Feststellungen unabdingbar. Nach Lehmann muss sich ein Prüfer über die Auswirkungen einer Empfehlung stets bewusst sein und auf die Praktikabilität seiner Vorschläge achten. Deshalb wird seitens der Dienstleister bei Prüfun-gen darauf geachtet, dass Teammitglieder ihre Vorschläge aus dem Vorjahr nachverfolgen, um eine ständige Verbesserung bei der Orientierung an den Erwartungen der Abteilungen hinsichtlich der Praktikabilität von Empfehlungen erreichen zu können. Kendel konkretisiert, dass eklatante Feststellungen zeitnah behoben werden müssen. Bei nicht gravierenden Feststellungen werden Verbesserungsvorschläge gegeben. Schwager hält abschließend fest, dass externe Dienstleister unter Umständen effizienter arbeiten, da sie in der Regel nicht in unternehmensinterne Abhängig-keiten verstrickt sind und so ihre Meinung unabhängig kommunizieren können. Zwar sei es ein Problem, dass die Mitarbeiter des Unternehmens insbesondere am Anfang eines Mandats nicht offen gegenüber den Revisoren kommunizieren, jedoch zeigen seine Erfahrungen, dass in lang-jährigen Mandantenbeziehungen eine Transparenz über die Prüfungshandlung geschaffen wer-den konnte und sich so mittels Abstimmungsprozessen ein sehr guter Informationsfluss herausbil-dete. Da der Nutzen und die Chancen eines Auslagerungsvorhabens direkt an die Wahl eines geeigne-ten Dienstleisters gekoppelt sind, werden im nächsten Abschnitt verschiedene Typen von Outsourcingpartnern vorgestellt und Kriterien zur Beurteilung der Kompetenzen genannt.

4.2 Eignung des Outsourcingpartners als Faktor

4.2.1 Typ des Outsourcingpartners

Nach der Recherche in Fachliteratur und der Meinungsauswertung der im Rahmen dieser Arbeit befragten Experten kann zwischen vier unterschiedlichen Typen von Anbietern von Leistungen der Internen IT-Revision unterschieden werden. In der folgenden Tabelle 7. werden diese genannt und die aus den Experteninterviews erwähnten spezifischen Chancen und Risiken des jeweiligen Typs zusammengefasst dargestellt. Die allgemeinen Vorteile einer Auslagerung wurden bereits in Abschnitt 2.3 erläutert und werden hier nicht weiter beachtet. Chancen Risiken

Einzelpersonen

i.d.R. hohe Spezialisierung in einem Prüffeld i.d.R. Begrenzte Sichtweise; d.h. Vernachlässi-

gung der Schnittstellenproblematik

Keine Overhead-Kosten

Offenes Spezialistennetzwerk

Berufserfahrung 219 und Fachkompetenz Fehlen der für den Wirtschaftsprüfer übliche

Reputation als unabhängige Stelle Flexibilität

219 Bezogen auf die von Schwager geleitete The Auditfactory ist eine Berufserfahrung von mindestens 15 Jahren Voraussetzung, für die Arbeit im Netzwerk, da dadurch ein Anspruch an die Qualität ihrer Arbeit sichergestellt werden soll. Dies muss nicht zwangsläufig bei allen Netzwerken gelten, jedoch wird davon ausgegangen, dass die Erfahrung i.d.R. höher ist als bspw. in den Big Four Unterneh-men, da diese junges und unerfahrenes Personal einsetzten.


Kleine oder mittlere WP-Gesellschaft

Mitarbeiterkontinuität (weniger Fluktuation)c Geringere Anzahl an Mitarbeitern

Reputation des Berufsstandes der Wirt-

schaftsprüfer

Begrenztes Spektrum an Spezialwissen bzw.

Know-How

Nähe zu regulatorischen Bestimmungen Abhängig von Person in Führungsposition

Aufbau von persönlichen Beziehungen

International agierende WP-Gesellschaft (Big Four)220

Garantieren gewissen Qualitätsanspruch Mangelnde Berufserfahrung durch den

Einsatz junger Revisoren Außenwirkung

eigene entwickelte Prüfungssoftware Geringere Flexibilität am Markt

Internationalität

Weltweit einheitliche Prüfungsmethoden Durch hohe Verinnerlichung des Prüfungsfokus,

Vernachlässigung der Beratungsfunktion Weltweit vorhandene Prüfer

Meistens sehr spezialisiert

Tab.7: Vor- und Nachteile der Typen von Outsourcingpartnern

Quelle: Eigene Darstellung

Die aufgeführten Aspekte sind subjektive Meinungen der Befragten. Aus ihren Aussagen ist eine allgemeingültige Abgrenzung zwischen den Dienstleistern nicht ableitbar. Denn so können z.B. kleine WP-Gesellschaften Spezialisierungen herausbilden und sich im Netzwerk organisieren und damit die gleichen Vorteile wie ein offenes Spezialistennetzwerk aufweisen. Auch die oft angeführ-te Internationalität der großen Wirtschaftsprüfungsgesellschaften nimmt an Bedeutung ab, wenn die Netzwerke sich international verbinden. Weiterhin stellt Wittjen klar, dass bei kleinen und mitt-leren WP-Gesellschaften besonders der persönliche Kontakt zu den Stakeholdern und der Ge-schäftsleitung zur Entscheidung für oder gegen einen Dienstleister sprechen. Hierbei ist natürlich zu beachten, dass hinsichtlich der Qualität der Dienstleistung die notwendige Objektivität bei der Auswahl des Dienstleisters nicht leidet. Die Bedeutung der Preise ist dabei zweitrangig. In erster Linie ist die Breite des Leistungsspektrums entscheidend, d.h. dass das der Anbieter über das geforderte Spezialwissen verfügt. „Der gezahlte Preis ist zum Teil ein Indiz für die Kompetenz, die vom Prüfungsteam erwartet wird“, ergänzt Schwager. Kendel repräsentiert im Rahmen dieser Arbeit die Leistungsbezieher und stellt heraus, dass die Auswahl hinsichtlich eines Typs von Outsourcingpartnern aufgabenabhängig ist. Bisweilen ist es sinnvoll, auf große Gesellschaften mit einem großen Namen zurückzugreifen. Manchmal ist allerdings vor allem das Spezialwissen von vorrangiger Bedeutung und somit stehen die Erfahrungen im jeweiligen Aufgabenfeld im Fokus. Abschließend lässt sich herausstellen, dass der Einfluss des Typs des Outsourcingspartners eine untergeordnete Rolle spielt. Für die Steigerung der Qualität der Revision und damit der Leistung 220 Big Four: Die vier derzeit größten Wirtschaftsprüfungsgesellschaften, die überwiegende Mehrheit der börsennotierten Kapitalgesell-schaften weltweit prüfen und beraten. Die Big Four setzt sich zusammen aus: Deloitte Touche, Tohmatsu, PricewaterhouseCoopers, Ernst & Young und KPMG .


sind die persönlichen Kompetenzen der Revisoren relevant, unabhängig davon, bei welchem Ar-beitgeber sie beschäftigt sind. Diese sind ein Indiz, aber kein ausreichender Hinweis dafür, was das auslagernde Institut erwarten kann. Eine Messung der Kompetenzen würde hier Abhilfe schaf-fen, denn sie würde das Angebot der Dienstleister vergleichbar machen. Auch wenn auf diesem Gebiet geforscht wird, ist bis zum jetzigen Zeitpunkt keine „ausgereifte Systematik bzw. Konzepti-on“221 erkennbar. Einer der Gründe liegt darin, dass die Interne Revision „eine komplexe Dienst-leistung“222 ist und „die Qualität dieser Dienstleistung beeinflussenden Faktoren“223 nur schwer ermittelbar sind. Nach eigenen Aussagen haben Untersuchungen, wie z.B. das Forschungsprojekt aus dem Jahre 2008 der Frankfurt Schools of Finance an Management224 oder ein gleichartiges Projekt einer internationalen Wirtschaftsprüfungsgesellschaft225, nicht zu einer vollzufriedenen Lösung geführt. Der Autor verzichtet deshalb auf die Entwicklung eines eigenen Modells. So werden im Folgenden Eigenschaften aufgezeigt, die bei der Auswahl von Revisoren beachtet werden sollten. Diese können in die unternehmensindividuelle Beurteilung eines Dienstleisters einfließen. Auch wenn eine genaue Beschreibung der Auswirkungen an dieser Stelle nicht möglich ist, kann auf Grund der Experteninterviews davon ausgegangen werden, dass die folgenden, ge-wichtungsfreien Aspekte einen Einfluss auf den Nutzen haben.

4.2.2 Einflussnehmende Eigenschaften bei der Beurteilung der Kompetenz

Ausbildung

Als Grundvoraussetzung sollten nach Lehmann IT-Revisoren über ein informationstechnisches Studium verfügen, ohne das notwendige Basiswissen der Betriebswirtschaftslehre zu vernachläs-sigen. Ein Wirtschaftsinformatikstudium gilt deshalb als besonders geeignet. Ein wichtiges Kriteri-um bei der beruflichen Ausbildung ist nach Schwager ein fachgemäßes Curriculum. Die Prüfer sollten sich die Frage stellen „Was muss ich in den ersten Jahren meines beruflichen Daseins an Training und Schulungen erreichen?“ 226 Wittjen führt an, dass neben den beruflichen Erfahrungen „On the Job“ und den Referenzen, die sich daraus ergeben, insbesondere fachliche Examina ein gutes Mittel zur objektiven Beurteilung der Qualifikation darstellen. Letztere dokumentieren den Erwerb von fachlichem Wissen und for-dern teilweise eine beständige Weiterbildung. Die Abbildung 8 zeigt die für die Interne Revision bedeutenden Examina:227

221 Langer, Andreas / Herzig, Andreas / Pedell, Burkhard (2009), S. 110. 222 Schwager, Elmar (I) (2003), 2136 ff. . 223 Ebenda. 224 Vgl. Hölscher, Luise / Rosenthal, Johannes (I) (2008), S. 258 ff. . 225 Vgl. Langer, Andreas / Herzig, Andreas / Pedell, Burkhard (2009), S. 104. 226 Ebenda. 227 Vgl. Schwager, Elmar (I) (2003), S. 2137.


Abb. 8: Übersicht der für die Interne Revision relevanten Examina Quelle: Eigene Darstellung, in Anlehnung an: Schwager, Elmar (I) (2003), 2137.

Nach der Meinung von Lehmann sind diese Zertifikate nicht per se geeignet, um die fachliche Kompetenz eines Mitarbeiters zu beurkunden. Jedoch ist es ein Hinweis für das Engagement und Interesse des Revisors, dass er durch Weiterbildung versucht, sich neues Wissen anzueignen. Es ist ratsam, den Lebenslauf der potenziellen Prüfer einzusehen, da er einen Überblick der durch-laufenen Bildungsstufen und erlangten Erfahrungen gibt.

Erfahrung

Schwager stellt heraus, dass bei der Arbeit der Internen Revision Mehrwerte vor allem durch Emp-fehlungen zur Prozessverbesserung geschaffen werden. Wie groß die Nutzensteigerung tatsäch-lich ist, hänge stark von der Projekterfahrung des Revisors ab. So ist nach seiner Meinung davon auszugehen, dass erfahrene IT-Prüfer die IT-Architektur erfassen und somit mögliche Verbesse-rungen und Einsparungen aufzeigen können. Dem unerfahrenen Revisor fehlt der Bezugspunkt und somit ist es für ihn schwer, Potenziale zu erkennen. Kendel führt weiter an, dass die eigenen Revisoren des Kreditinstituts durch den Erfahrungsaus-tausch mit externen Revisoren an Qualität gewinnen können. Je größer die Erfahrung ist, desto höher fällt der mögliche Wissenstransfer aus, was eine Verbesserung der Qualität der Revision bedeutet. Kendel schlussfolgert, dass in „der Commerzbank AG sowohl Wert auf die Erfahrung eines Revisors, als auch auf Nachwuchskräfte, welche über das notwendige IT-Know-How verfü-gen, gelegt wird.“

Soft-Skills

„Offenheit und besonders zwischenmenschliches Verständnis“ sind für Wittjen wichtigen Kriterien bei der Auswahl des Partners. Denn wie auch Kendel anmerkt, ist die soziale Kompetenz wichtig, da für Revisoren im Rahmen der Kundenorientierung Kommunikations- und Präsentationsfähigkei-ten notwendig sind, um qualitative Nutzenzuwächse für den geprüften Bereichen aufzeigen zu können. Ergebnisse sollten aussagefähig präsentiert werden, wobei auch eine gewisse Moderati-onsfunktion der Revisoren hilfreich ist. Lehmann hebt hervor, dass ein grundsätzliches Verständ-nis für den Revisionsprozess vorhanden sein muss. Nicht jeder fachlich gut ausgebildete Mitarbei-ter eignet sich daher für die Prüfung. Deshalb sind für Kendel vor allem eine gesunde Risikoein-

Certified Internal Auditor (CIA) • Derzeit wichtigstes Examen für Interne Revisoren; aus den USA kommend,

vom Deutschen Verband ohne Anpassungen übernommen.Certified Information System Auditor (CISA)

• Fachexamen für EDV-Prüfer, mit Schwerpunkt auf Prüfungen in der elektronischen Datenverarbeitung.

Certified Fraud Examiner (CFE) • Fachexamen für Prüfer, die sich mit dolosen Handlungen wie

Unterschlagungen oder Korruption beschäftigen.Certified Control Self Assessment (CCSA)

• Fachexamen für die Durchführung von Self assessments; die Prüfer können solche Self assessments in einem Unternehmen etablieren helfen bzw. sie auch moderieren.


schätzung, das Verstehen von Wechselbeziehungen, sowie ein hohes Abstraktionsvermögen ent-scheidend.

Vorgehensweise

Es muss ein Verständnis der Revisoren fürs Unternehmen erkennbar werden, welches sich für Wittjen in einem treffenden Aufbau der Prüffelder ausdrückt. Werden in Interviews gezielt die rich-tigen Fragen gestellt und im Bericht wenig Prosa verwendet, ist dies ein Indiz für die Kompetenz, ebenso wie eine hohe Anzahl an Feststellungen und entsprechenden konstruktiven Empfehlun-gen. Außerdem sollte der Prüfer in der Lage sein, praktikable, d.h. umsetzbare und wirtschaftlich sinnvolle, Empfehlungen zu geben. Auch mit welchen Anwendungen, z.B. Prüfungssoftware oder Kollaborationsinstrumente, ein Dienstleister arbeitet und ob er beispielsweise zusammen mit Uni-versitäten an einer Verbesserung der Prüfungsmethodik forscht, können Hinweise auf die Kompe-tenz sein.

Werden bei der Beurteilung die genannten Eigenschaften nach den eigenen Prioritäten gewichtet und führt dies zur Bestimmung des geeigneten Outsourcingpartners, ist von einer Nutzensteige-rung auszugehen.

5 Schluss

5.1 Zusammenfassung der Ergebnisse

Bei der Thematik Steigerung des Nutzens bei der Auslagerung der Internen IT-Revision sind zwei unterschiedliche Betrachtungswinkel zu berücksichtigen. Einerseits sollen Arbeitsanweisungen, Regelungen und Normen bezüglich effizienter und effektiver Zielerreichung beurteilt werden, d.h. die Prozesse optimiert werden. Die moderne Revision (siehe 2.1.1) soll gelebt werden. Anderer-seits ist die Beurteilung der Wirtschaftlichkeit der Internen IT-Revision als Ganzes eine wichtige Komponente in der Prozessoptimierung.228 Denn da die Interne IT-Revision mit Aufwendungen verbunden ist, hat ein Kreditinstitut berechtigtes Interesse daran, einen greifbaren Nutzen in Form einer Wirtschaftlichkeitssteigerung zu erzielen. Das Ziel Wirtschaftlichkeit bietet die Chance den Fokus der Internen IT-Revision noch stärker in Richtung Nutzen, Effizienz und Akzeptanz zu ver-schieben.229 Weiterhin ist es aus betriebswirtschaftlicher Sicht selbstverständlich, dass Prüfungen und Kontrollen nur nach Abwägung der Effizienz stattfinden sollten. Aufgrund des gestiegen Komplexitätsniveaus kann nicht jedes IT-Risiko mittels eines IKS, der Internen IT-Revision oder einer anderen organisatorischen Maßnahme abgedeckt werden.230 Es gilt das ökonomische Prin-zip, nach dem ein gewisses Restrisiko bestehen kann, solange die Ordnungsmäßigkeit nicht ge-fährdet ist und die Kosten der Kontrolle einen potentiellen Schaden nicht übersteigen. Dies zeigt, dass die risikoorientierte Prüfung nicht nur eine gesetzlich geforderte Vorrausetzung ist, sondern bei entsprechender Anwendung auch zur einer Steigerung des Nutzens der Internen IT-Revision beitragen kann, solange sie sich an den Unternehmensrisiken orientiert. Denn diese Risiken ste-hen im Blickpunkt der Unternehmensführung. Da eine Abdeckung aller Prüfobjekte nicht möglich ist, wird durch das risikoorientierte Priorisieren gewährleistet, dass die relevanten Objekte als erstes behandelt werden. These 1 kann damit in-soweit verifiziert werden, dass die relevanten Risiken abgedeckt sind und die Behandlung weiterer Risiken einer Effizienzsteigerung darstellt. Dabei bleibt einzugrenzen, dass erst dann von einer Effizienzsteigerung gesprochen werden kann, wenn die Qualität der Empfehlungen hinreichend

228 Vgl. Sowa, Alexandra (2009) S. 85 und vgl. Knapp, Eckhard (2005), S. 39. 229 Vgl. Sowa, Alexandra (2009) S. 85 230 Vgl. Keck, Walter / Jovic, Dean (1999), S. 963 ff. .


ist. Diese setzt sich aus den Kompetenzen der Revisoren und den ihnen zugänglichen Informatio-nen zusammen. These 2 greift diesen Zusammenhang auf und ist damit auch insoweit zu verifizie-ren, dass die beiden Faktoren faktisch einen positiven Einfluss auf die Nutzensteigerung haben. So nimmt der Faktor Eignung des Outsourcingpartners vor allem Einfluss auf die oben genannte Prozessoptimierung, da ein geeigneterer Revisor eher Verbesserungspotenzial erkennen kann. Es wurde bereits festgestellt, dass der Typ des Outsourcingspartners hierbei eine untergeordnete Rolle spielt und besonders die Eigenschaften, die ein Prüfer aufweisen sollte, von Bedeutung sind. Dies liegt insbesondere an der Tatsache, dass die Interne IT-Revision ein „people business“ ist und keine klaren Abgrenzungskriterien zwischen den anbietenden Unternehmen bestehen. Der Faktor „Verbesserung des Informationsflusses“ bezieht sich vor allem auf die Steigerung der Effi-zienz der Internern IT-Revision an sich. Angemessene Abstimmungen zwischen Geschäftsleitung, Revisionsleiter und Dienstleister kann den Nutzen steigern und Reibungspunkte abbauen. Wie obig festgestellt ist Diskrepanz in der Leistungswahrnehmung hinderlich für eine effiziente Leistungserbringung. Um diese Lücke zu schließen sollte die Revision sich an den Zielen der Ge-schäftsleitung, d.h. ihrer Kunden orientieren. Die Kundenorientierung gilt als eine unentbehrliche Stellschraube für die Reduzierung dieses „GAPs“231. Mittels der untersuchten Faktoren, sowie der elementaren Risikoorientierung im Prüfungsansatz, kann diese Lücke geschlossen oder zumin-dest ihre Auswirkungen vermindert werden. Die Abbildung 9 veranschaulicht die Wechselwirkung und zeigt auch, dass es sich hierbei um einen fortwährenden Prozess handelt.

231 Im Rahmen des Forschungsprojektes „Leistungsmessung“ der Frankfurt School of Finance and Management wurde die Differenzen in der Leistungswahrnehmung untersucht und der Begriff GAP (engl. Lücke) für diese Diskrepanz eingeführt. (vgl. Hölscher, Luise / Rosenthal, Johannes (II) (2009), S. 9)


Abb. 9: Zusammenhang von Faktoren, Risikoorientierung und Reduzierung von Diskrepanzen der Wahrnehmung Quelle: Eigene Darstellung.

Damit die aus dem Auslagerungsvorhaben gewünschten Chancen genutzt werden können, sind neben allgemeinen Risiken der Durchführung, insbesondere die Risiken einer Auslagerung zu beachten. Nur wenn alle Ziele, die der Internen IT-Revision und des Outsourcings, respektive de-ren Risiken beachten werden, könnte das GAP geschlossen werden.

5.2 Kritische Würdigung

Unbestritten ist, dass eine größere Anzahl an befragten Experten weitere Erkenntnisse hervorge-bracht hätte. Jedoch ist nach Ansicht des Autors die Qualität der aus den durchgeführten Inter-views gewonnenen Erkenntnisse als hinreichend anzusehen, da die Auswahl der Gesprächspart-ner und die eigentliche Durchführung unter Berücksichtigung der wissenschaftlichen Methodik nach Mayer durchgeführt wurde. Darüber hinaus ist kritisch zu beachten, dass die gezeigten Fak-toren zwar Ansätze zur Steigerung des Nutzens bei der Auslagerung der Internen IT-Revision liefen, jedoch keine Quantifizierung der zu erwartenden Effizienzsteigerung dargestellt werden kann. Dies ist vor allem in einer mangelnden wissenschaftlichen Beschreibung der Leistung res-pektive der Leistungsmessung in der Internen Revision begründet. Der Autor stellte zwar seine Auffassung der Effizienz im Rahmen des Outsoucringvorhabens vor, jedoch sind die identifizierten Kriterien zur Bestimmung der Qualität der Revision, insbesondere die geforderte Kundenorientie-rung, als qualitative Faktoren anzusehen und somit schwer zu messen.


5.3 Ausblick

Die im März 2009 veröffentlichte und bereits zitierte KPMG Studie zur Internen IT-Revision kommt

zu dem Schluss:

„KPMG anticipates a rise in the use of external advisors – notably for ad hoc pieces of work – to

help address the skills gap. This approach can be risky, but with careful management can be a

cost-effective way of accessing the specialist skills.”232

Hier wird ersichtlich, dass eine Kompetenzmessung immer wichtiger wird. Denn nur wenn gewähr-leistet ist, dass die Revisoren mittels ihrer Fähigkeiten auf die sich aus den IT-Risiken und Zielen der Geschäftsleitung ergebenden Anforderungen angemessen reagieren, kann der Nutzen der Revision gesteigert werden. So sollte in Zukunft weiterhin an der Kompetenzmessung sowie der Leistungsmessung von Interner (IT-)Revision geforscht werden, denn die bisherigen Untersu-chungen waren nicht befriedigend. Insbesondere die Dienstleister sollten diese Themen vorantrei-ben, da einerseits der Bedarf an benötigten Kompetenzen aufzeigt wird und andererseits mögliche Mehrwerte ihrer Arbeit sichtbar gemacht werden können.

Wenn die Dienstleister sich an Kundenzielen orientieren, Risiken beachten und sich angemesse-ner Kompetenzen bedienen, dann kann der Nutzen der Internen IT-Revision gesteigert werden.

232 KMPG (Hrsg.) (2009), S.12.


Rechtliche Hinweise:

Die Rechte der als Working Papers erschienenen Beiträge liegen un-eingeschränkt bei The AuditFactory bzw. den Autoren. Eine Nutzung jedweder Art, sei sie für wissenschaftliche oder kommerzielle Zwecke,

ist nur nach ausdrücklicher, schriftlicher und im vornhinein der Nutzung abgegebenen Zustimmung durch die Geschäftsführung der AuditFacto-ry oder die Autoren erlaubt.

Sollten Sie Interesse an einer Nutzung der veröffentlichten Informatio-nen im Rahmen der Fortbildung für Interne Revisoren, bzw. als Grund-

lage für Facharbeit (Artikel und sonstige Texte, auch im Internet) ha-ben, so kontaktieren Sie uns bitte. Wir geben Ihnen gerne die Zustim-mung. Die Vorschriften des Urheberrechts werden hierdurch nicht be-rührt.

The AuditFactory übernimmt keinerlei Gewähr für die Aktualität, Kor-

rektheit, Vollständigkeit oder Qualität der bereitgestellten Informatio-nen.

Haftungsansprüche gegen uns, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der dargebotenen Informationen bzw. durch die Nutzung fehlerhafter

und unvollständiger Informationen verursacht wurden, sind ausge-schlossen.

Documents

Outsourcing der Internen IT-Revision bei · PDF fileOutsourcing der Internen IT-Revision bei Banken 6 „Die interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistun