Zusammenspiel von Interner Revision und Compliance-Office

​veröffentlicht am 29. August 2017

Gute Kommunikationswege und funktionierende Schnittstellen sowie ein schneller Austausch und eine enge Zusammenarbeit heben Synergien zwischen Interner Revision und Compliance-Office.

​Das Institute of Internal Auditors (IIA) und das Deutsche Institut für Interne Revision e.V. (DIIR) haben die Ziele und Aufgaben der Internen Revision wie folgt definiert:

„Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.”

Dabei erfüllt insbesondere die Interne Revision eine Präventivfunktion zur Erhöhung des Entdeckungsrisikos von dolosen Handlungen.

Compliance bzw. Regeltreue hingegen ist die Umschreibung für die Einhaltung von Gesetzen und Richtlinien, aber auch von freiwilligen Kodizes in Unternehmen.

Das Institut der Wirtschaftsprüfer in Deutschland (IDW) hat im Prüfungsstandard 980 „Grundsätze ordnungsmäßiger Prüfung von Compliance Management Systemen” die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln und damit zur Vermeidung von Regelverstößen in einem Unternehmen als Compliance Management System definiert.

Compliance ist ein Instrument, mit dem die Risiken für Regelverstöße minimiert werden sollen. Auf diese Weise trägt das Compliance-Management zu einer nachhaltigen und wirtschaftlich effizienten Unternehmenssteuerung bei.

Sowohl die Interne Revision als auch die Compliance-Organisation sind damit Bestandteile des internen Kontrollsystems des Unternehmens und dienen der Minimierung von Risiken und der Verhinderung und Aufdeckung von Verstößen gegen interne und externe Vorgaben. Beide Organisationseinheiten sind weitestgehend weisungsunabhängig und haben umfassende Informationsrechte. Die Ziele der Internen Revision und des Compliance-Managements überschneiden sich im Hinblick auf die Steuerung von Risiken und die Effizienz- und Effektivitätssteigerung im Unternehmen.

Die Aufgaben der Internen Revision umfassen die Prüfung und Beurteilung des internen Kontrollsystems, die Erstellung eines Prüfplans, die Durchführung der entsprechenden Prüfungen aus dem Prüfplan sowie anlassbezogener Prüfungen, die Abgabe von Empfehlungen und die Überprüfung der Einhaltung sowie die Berichterstattung.

Zu den Compliance-Aktivitäten zählen unter anderem die Erstellung eines Regelwerks (Richtlinie, Beschreibung des Compliance-Management-Systems, Ethikkodex), die Implementierung von Compliance-Prozessen, die Aufnahme, Inventarisierung und das Monitoring von Compliance-Risiken, die Beratung in Compliance-Fragestellungen, die Einrichtung und Unterhaltung eines Hinweisgebersystems sowie die Schulung der Mitarbeiter in Compliance-Themen und die Erstellung eines turnusmäßigen Compliance-Berichts.

Zu den Aufgabengebieten beider Unternehmenseinheiten gehören die Beurteilung von Geschäftsprozessen und implementierten Kontrollen, die Beratung zur Reduzierung von Risiken in Geschäftsprozessen und zur Optimierung von Kontrollen, die Minimierung von Geschäftsrisiken, die Begrenzung von Compliance-Risiken und die Aufarbeitung von Compliance-Vorfällen.

Wird dem Compliance-Office ein Compliance-Verstoß bekannt oder besteht ein Verdacht, etwa durch Mitteilung über das Hinweisgebersystem, kann das Compliance-Office die Interne Revision

zur weiterführenden Untersuchung und Aufklärung des Sachverhalts einschalten. Die Ergebnisse der Überprüfung sowie etwaige Maßnahmen zur künftigen Prävention werden dem Compliance-Office berichtet und anschließend ggf. Sanktionsmaßnahmen ergriffen.

Sollten bei einer Prüfung der Internen Revision Feststellungen getroffen werden, welche Compliance-Sachverhalte betreffen, unterrichtet die Interne Revision das Compliance-Office.

Trotz der vielen Überschneidungen gibt es auch Unterschiede in den Aufgabenbereichen. Während die Interne Revision einen Querschnitt aller Unternehmensbereiche und -prozesse prüft, fokussiert sich die Compliance-Tätigkeit auf Unternehmensbereiche, die besonders mit Compliance-Risiken behaftet sind. Generell steht dem prüfungszentrierten Auftrag der Revision eine Verantwortung des Compliance-Offices für die Gesamtheit der Handlungen und Maßnahmen des Unternehmens, die zur Regeltreue beitragen sollen, gegenüber. Daher sind vom Auftrag des Compliance-Managements auch das Management der Compliance-Risiken sowie die Aufgabe der compliance-bezogenen Kommunikation des Unternehmens umfasst.