praxis der internen revision - esv.info · schöllmann stellen in ihrem beitrag „continuous...
TRANSCRIPT
Management, Methoden, Prüffelder
Praxis der Internen Revision
Thomas Amling /Ulrich Bantleon (Hrsg.)
erich schmidt verl ag
ES
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Praxis der Internen RevisionManagement, Methoden, Prüffelder
Herausgegeben von
Prof. Dr. Thomas Amling und
WP/StB Prof. Ulrich Bantleon
Mit Beiträgen von
Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Axel Becker,
Dr. Judith Brombacher, Oliver Dieterle, Dr. Peter Dörfler,
Prof. Dr. Martin Faust, Dr. Astrid Geis, Philine Géronne-Neels,
Klaus Dieter Göbel, WP Christian Haas, Volker Hampel,
WP/StB Klaus Heese, Tobias Heine, Marcus Herold,
Hans-Willi Jackmuth, Martin Kademann, Swen Knöchelmann,
Dr. Matthias Kopetzky, Dr. Stefan Kullmann, Christian de Lamboy,
Dr. Andreas Langer, Günther Meggeneder, Petra Meuwsen,
Dr. Thomas Münzenberg, Wulf-Matthias Nolte, Roger Odenthal,
Angelika Paul, Anita Peter, Isabel Petri, Ines Reineke,
Dr. Stefan Röhrbein, WP/StB Bernd Rosenberg, Bernd Schartmann,
Daniela Schermer, Carina Schöllmann, Anja Unmuth
ERICH SCHMIDT VERLAG
Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen
Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über
http://dnb.d-nb.de abrufbar.
Weitere Informationen zu diesem Titel finden Sie im Internet unterESV.info/978 3 503 13686 5
Die Hinweise, Ratschläge und Wertungen sind von den Herausgebern, den
Autoren und dem Verlag sorgfältig erwogen und geprüft, dennoch kann eine
Garantie nicht übernommen werden. Eine Haftung der Herausgeber, der
Autoren bzw. des Verlags und ihrer Beauftragten für Personen-, Sach- und
Vermögensschäden ist ausgeschlossen.
Gedrucktes Werk: ISBN 978 3 503 13686 5
eBook: ISBN 978 3 503 13687 2
Alle Rechte vorbehalten
© Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012
www.ESV.info
Dieses Papier erfüllt die Frankfurter Forderungen
der Deutschen Nationalbibliothek und der Gesellschaft für das Buch
bezüglich der Alterungsbeständigkeit und entspricht sowohl den
strengen Bestimmungen der US Norm Ansi/Niso Z 39.48-1992
als auch der ISO Norm 9706.
Gesetzt aus der 10/12 Swift
Satz: Peter Wust, Berlin
Druck und Bindung: Hubert & Co., Göttingen
Vorwort der Herausgeber
Die Interne Revision ist trotz der steigenden Regelungsdichte weiterhin
durch Best Practice und deren Austausch in der Community geprägt. Das
vorliegende Werk „Praxis der Internen Revision“ betrachtet daher die In-
terne Revision insbesondere aus dem Blickwinkel der Praxis. Ergänzend
zu unserem Grundlagenwerk „Handbuch der Internen Revision“ bietet
dieser Sammelband eine detaillierte Darstellung ausgewählter aktueller
Entwicklungen (z. B. Continuous Auditing) und eine Vertiefung fachlicher
Themen (z. B. Erstellung eines Jahresprüfungsplans).
Die „Praxis der Internen Revision“ ist in die fünf Kapitel „I. Grundla-
gen“, „II. Management der Internen Revision“, „III. Methoden, Techniken
und Instrumente“, IV. Ausgewählte Prüffelder“ und „V. Entwicklungen,
Tendenzen und Ausblick“ unterteilt.
Im ersten Kapitel (Grundlagen und Corporate Governance) werden
durch Amling/Bantleon die Grundlagen der Internen Revision, die Leitung
der Internen Revision und die „standardgerechte“ Prüfungsdurchführung
dargestellt. Diese Basis ermöglicht dem Leser das Verständnis und die
Einordnung der nachfolgenden Beiträge. Die Regelungsdichte des Rah-
mens der Internen Revision nimmt stetig zu. Die grundlegende Darstel-
lung hierzu geben Haas/Langer. Bantleon/Paul/Peter analysieren das Sonder-
problem des direkten Auskunftsrechts des Aufsichtsrats gegenüber der
Internen Revision. Dass Interne Revisoren einem gewissen Haftungsrisi-
ko unterliegen, war evident. Durch das BGH-Urteil vom 17.07.2009 – 5 StR
394/08 (Garantenhaftung eines Compliance Officers für betrügerische Ab-
rechnung) stand der Interne Revisor aber plötzlich scheinbar im Fokus
von Haftungsansprüchen. Münzenberg klärt die Rechtslage für den Inter-
nen Revisor in seinem Beitrag. Der öffentliche Sektor und damit die Inter-
ne Revision im öffentlichen Sektor gewinnt zunehmend an Bedeutung.
Die entsprechenden Rahmenbedingungen und ihre praktischen Heraus-
forderungen stellt Dieterle vor.
Das Management der Internen Revision stellt an den Leiter der Internen
Revision besondere Anforderungen. Im zweiten Kapitel (Management der Internen Revision) werden ausgewählte Anforderungen herausgegriffen.
Die ursprünglich ausschließliche Risikoorientierung einer Internen Revi-
sion wird sich um die Chancenorientierung erweitern. Die Folgen hieraus
werden von Unmuth dargestellt. Auch der Aufbau einer Konzernrevision
stellt besondere Anforderungen. Diese werden durch Meuwsen analysiert.
Obwohl man bei dem Begriff „Interne Revision“ unmittelbar an Groß-
unternehmen, Kreditinstitute und Versicherungen denkt, sind die wah-
ren Wachstumsmärkte für das Produkt „Interne Revision“ die öffentliche
Verwaltung (siehe Beitrag von Dieterle) und insbesondere der Mittelstand.
Röhrbein analysiert in seinem Beitrag die besonderen organisatorischen
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
6 Vorwort der Herausgeber
Herausforderungen für eine Interne Revision im Mittelstand. Bezüglich
des Qualitätsmanagements der eigenen Organisation und Prozesse muss
die Interne Revision Vorbild im Unternehmen sein. Der Beitrag von Geis stellt den methodischen und berufsrechtlichen Rahmen zur Qualitäts-
sicherung sowie Möglichkeiten der Umsetzung dar. Auf Basis einer Ex-
pertenbefragung beleuchten Amling/Knöchelmann die Möglichkeiten und
Grenzen in der praktischen Ausgestaltung.
Um den von der Organisationsleitung und dem Aufsichtsorgan sowie
den berufsrechtlichen Regelungen geforderten Qualitätsanforderungen
zu entsprechen, muss eine Interne Revision ihre Instrumente, Metho-
den und Techniken kontinuierlich weiterentwickeln. Im dritten Kapitel (Methoden, Techniken und Instrumente) werden sechs Beispiele aus der
Praxis dargestellt. Ausgangspunkt einer funktionsfähigen Internen Re-
vision ist immer eine standardisierte und risikoorientierte Prüfungspla-
nung. Das Autorenteam Dörfler/Neels/Heine/Kademann stellt die Umsetzung
am Beispiel der Konzernrevision der Volkswagen AG dar. Rosenberg/Reineke/Schöllmann stellen in ihrem Beitrag „Continuous Auditing“ als Instrument
zur Erhöhung der Effizienz der Internen Revision vor. Professionelle Revi-
sionsarbeit kann nur auf der Plattform eines leistungsstarken IT-Tools ge-
lingen. Becker stellt in seinem Beitrag in der Praxis eingesetzte Revisions-
programme vor. Keiner Herausforderung stellt sich der Interne Revisor so
ungern, wie der Anwendung mathematisch-statistischer Prüfungsverfah-
ren. Letztlich kann ein fundiertes Prüfungsurteil effizient aber nur auf
Basis statistisch unterlegter Bewertungen erfolgen. Herold zeigt in seinem
Beitrag Möglichkeiten der Umsetzung auf. Der Beitrag von Brombacher dis-
kutiert die Wirkungsanalyse als Instrument der Internen Revision zur
Evaluierung von Prozessen. Dies wird am Beispiel des internen Kontroll-
systems vertieft. Jackmuth beschreibt den Status Quo der Prozessanalyse
mittels Process Mining und stellt diesem neue Ansätze gegenüber.
Das vierte Kapitel (Ausgewählte Prüffelder) zeigt einen Ausschnitt
aus der Vielfalt der Prüfungsfelder der Internen Revision. Corporate So-
cial Responsibility ist eine vielfach gewählte Nebenbedingung für unter-
nehmerisches Handeln. Deren Einhaltung ist durch die Interne Revision
zu beurteilen. Dies stellen Faust/Lamboy in ihrem Beitrag unter Verwen-
dung eines konsequent COSO-orientierten Prüfungsansatzes dar. Die Be-
urteilung der Rechnungslegung (Financial Auditing) ist schon immer eine
Aufgabenstellung der Internen Revision. Aber erst seit der Umsetzung des
BilMoG, insbesondere die Berichtspflicht zum rechnungslegungsbezo-
genen internen Kontrollsystem im Lagebericht gemäß § 289 Abs. 5 HGB,
rückt das Prüffeld „Rechnungswesen“ wieder stärker in den Fokus der In-
ternen Revision. Aspekte aus diesem Prüffeld beleuchten Kullmann/Nolte.
Die umfangreiche Durchdringung des Unternehmens und fast aller Pro-
jekte durch IT-Anwendungen fordert die Interne Revision in besonderem
Maße. Odenthal stellt ausgehend von einer SAP®-Umgebung die Grundla-
gen IT-bezogener Prüfungshandlungen dar. Neben IT-Risiken sind Fraud-
Risiken in jedem Prüffeld zu beurteilen. Göbel stellt die Herausforderun-
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Vorwort der Herausgeber 7
gen der Bekämpfung von Fraud im Mittelstand und die Einbindung der
Internen Revision hierbei dar.
Auch für die Interne Revision gilt, dass Stillstand Rückschritt bedeutet.
Das fünfte Kapitel (Entwicklungen, Tendenzen und Ausblick) beleuch-
tet ausgewählte Treiber der anstehenden Veränderungen. Einen wesent-
lichen Orientierungspunkt stellen die berufsrechtlichen Entwicklungen
dar. Internationaler Taktgeber ist hierbei das Institute of Internal Auditors
(IIA). Der Beitrag von Meggeneder zeichnet die Intension des internationalen
Standardsetters und die kommenden Veränderungen auf. Die europäische
Vision des DIIR – Deutsches Institut für Interne Revision e. V. stellt der Bei-
trag von Schartmann/Unmuth vor. Für die Zukunftsfähigkeit der Internen Re-
vision ist die weitere Professionalisierung, insbesondere die Entwicklung
eines Berufsbilds und klar strukturierter Aus- und Fortbildungskonzep-
te, notwendig. Die Überlegungen des DIIR werden im Beitrag von Hampel/Schermer beleuchtet. Durch den Bedeutungsgewinn des Prüfungsausschus-
ses wird auch die Abstimmung und die Zusammenarbeit zwischen dem
Abschlussprüfer und der Internen Revision befeuert. Heese untersucht die
Professionalisierung der Internen Revision aus Sicht des Abschlussprüfers.
Amling/Petri entwickeln mit Hilfe der Szenariotechnik und integrierter Ex-
pertenbefragung Zukunftsbilder 2020 für die Interne Revision. Der Leser
ist aufgefordert, diese mit seinen Prognosen zu spiegeln.
Mit diesem Handbuch möchten die Herausgeber einen Beitrag zur pra-
xisorientierten Vermittlung aktueller Entwicklungen liefern und eine
entsprechende Fachdiskussion anstoßen. Die Herausgeber sind daher für
Kritik und Anregun gen unter
Prof. Dr. Thomas Amling WP/StB Prof. Ulrich Bantleon
HTWK Leipzig DHBW Villingen-Schwenningen
Gustav-Freytag-Straße 42A Friedrich-Ebert-Straße 30
04277 Leipzig 78054 Villingen-Schwenningen
dankbar; gerne auch als E-Mail unter [email protected] und
Unser Dank gilt allen Autoren für ihr Engagement und die unkompli-
zierte und sehr harmonische Zusammenarbeit sowie Herrn Dr. Joachim
Schmidt, Frau Anja Ludwig und dem Team des Erich Schmidt Verlags für
die gewohnt routinierte Betreuung und Umsetzung der Manuskripte.
Besonderer Dank gilt unseren Familien und Freunden, die uns mit viel
Geduld und Verständnis den Rücken freigehalten haben.
Alle Angaben wurden sorgfältig erarbeitet und geprüft. Durch gesetz-
liche Änderungen, Rechtsprechung und Veröffentlichungen von Stan-
dardsettern (z. B. dem IIA oder dem DIIR) etc. ergeben sich zwangsläufig
Ver änderungen. Für die Richtigkeit und Vollständigkeit des Inhalts kann
keine Gewähr über nommen werden.
Leipzig/Villingen-Schwenningen, im Januar 2012.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Inhaltsübersicht
Vorwort der Herausgeber . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5
I Grundlagen und Corporate Governance . . . . . . . . . . . . . . . . . . . . . . 13
Thomas Amling/Ulrich BantleonInterne Revision – Grundlagen, Normen und Tätigkeitsfelder . . . . . . 13
Christian Haas/Andreas LangerRechtliche Rahmenbedingungen für die Interne Revision . . . . . . . . . 43
Ulrich Bantleon/Angelika Paul/Anita Peter Empirische Untersuchung zum direkten Auskunftsrecht des
Aufsichtsrats gegenüber der Internen Revision bei Kreditinstituten 67
Thomas MünzenbergHaftungsrisiken für Interne Revisoren . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
Oliver Dieterle Grundlagen der Internen Revision in der öffentlichen Verwaltung 129
II Management der Internen Revision . . . . . . . . . . . . . . . . . . . . . . . . . 157
Anja UnmuthChancenmanagement in der Internen Revision . . . . . . . . . . . . . . . . . . . 157
Petra Meuwsen Aufbau einer Internen Revision am Beispiel einer Konzernrevision 177
Stefan RöhrbeinBesonderheiten der „kleinen“ Internen Revision im Mittelstand –
Eine Bestandsaufnahme mit Thesen und Lösungsansätzen . . . . . . . . 201
Astrid GeisQualitätsmanagement in der Internen Revision . . . . . . . . . . . . . . . . . . 223
Thomas Amling/Swen KnöchelmannProblemfelder des Quality Assessments der Internen Revision –
Eine empirische Untersuchung zum Status Quo auf Grundlage
von Experteninterviews . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
III Methoden, Techniken und Instrumente . . . . . . . . . . . . . . . . . . . . 277
Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin KademannRisikoanalyse und Programmplanung im Volkswagen Konzern . . . . 277
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
10 Inhaltsübersicht
Bernd Rosenberg/Ines Reineke/Carina SchöllmannContinuous Auditing als Instrument einer modernen Internen
Revision . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 297
Axel BeckerRevisionsmanagementsysteme der Internen Revision im
Praxiseinsatz – am Beispiel eines Kreditinstituts . . . . . . . . . . . . . . . . . . 323
Marcus HeroldStatistische Verfahren . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 349
Judith BrombacherWirkungsanalyse als Instrument der Internen Revision zur
Evaluierung von Prozessen: Schwerpunkt Internes Kontrollsystem 391
Hans-Willi JackmuthProzessanalyse mittels innovativer Technologien . . . . . . . . . . . . . . . . . 419
IV Ausgewählte Prüffelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Martin Faust/Christian de LamboyCorporate Social Responsibility als neue Herausforderung der
Internen Revision. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 443
Stefan Kullmann/Wulf-Matthias NoltePrüfung des Rechnungswesens durch die Interne Revision . . . . . . . . 469 Roger OdenthalSAP®-Software im Blickpunkt der Internen Revision . . . . . . . . . . . . . . 493
Matthias Kopetzky/Klaus-Dieter GöbelSelbstverständnis der Internen Revision bei Sonderuntersuchungen –
Eine empirische Untersuchung im Mittelstand der D-A-CH-Region 519
V Entwicklungen, Tendenzen und Ausblick . . . . . . . . . . . . . . . . . . . . 549
Günther MeggenederEntwicklung der IIA-Standards – Von der Bedeutung der
berufsständischen Grundsätze für die Interne Revision . . . . . . . . . . . 549
Bernd Schartmann/Anja UnmuthDas DIIR – Deutsches Institut für Interne Revision e. V. –
ein führendes europäisches Revisionsinstitut . . . . . . . . . . . . . . . . . . . . 575
Volker Hampel/Daniela SchermerProfessionalisierung der Internen Revision unter Nutzung eines
Qualifikationsmodells . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 599
Klaus HeeseProfessionalisierung der Internen Revision –Die Interne Revision
aus Sicht des Abschlussprüfers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 621
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Inhaltsübersicht 11
Thomas Amling/Isabel PetriInterne Revision 2020 – Kreative Zukunftsbilder . . . . . . . . . . . . . . . . . . 653
Autorenangaben . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 683
Stichwortverzeichnis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 693
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
III Methoden, Techniken und Instrumente
Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Risikoanalyse und Programmplanung im Volkswagen Konzern
Inhalt
1 Einleitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 278
2 Der Volkswagen Konzern im Überblick . . . . . . . . . . . . . . . . . . . . 278
3 Revisionsarbeit bei Volkswagen . . . . . . . . . . . . . . . . . . . . . . . . . . . 279
4 Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.1 Ziel der Risikoanalyse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.2 Audit Universe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 281
4.3 Bewertung der Prüfungsfelder . . . . . . . . . . . . . . . . . . . . . . . . . . . . 284
4.4 Einbezug von Prüfungsvorschlägen . . . . . . . . . . . . . . . . . . . . . . . 287
5 Programmplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
5.1 Analyse der Risikolandschaft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 288
5.2 Definition von Prüfungsthemen . . . . . . . . . . . . . . . . . . . . . . . . . . 288
5.3 Kapazitätsplanung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 290
5.4 Harmonisierung der Prüfungsprogramme . . . . . . . . . . . . . . . . . 290
5.5 Freigabe des Prüfungsprogramms . . . . . . . . . . . . . . . . . . . . . . . . . 291
6 Außerplanmäßige Prüfungen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 291
7 Prüfungsablauf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
7.1 Prüfungsvorbereitung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 292
7.2 Prüfungsdurchführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
7.3 Prüfungsberichterstattung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 293
8 Follow-Up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 294
9 Rollierende Risikobewertung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
10 Fazit und Ausblick . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 295
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
278 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
1 Einleitung
Die Interne Revision ist in den letzten Jahren von einer eher unauffälligen
Tätigkeit verstärkt in die Wahrnehmung im Unternehmen, insbesondere
der Leitungs - und Aufsichtsgremien, gerückt. Dies ist nicht zuletzt eine
Folge des KontraG1 sowie der aktuellen Gesetzgebungen (z. B. BilMoG2) auf-
grund der Vorfälle in den Unternehmen in der jüngeren Vergangenheit.
Themen der Unternehmensüberwachung, z. B. die Wirksamkeit des Inter-
nen Kontrollsystems, spielen seitdem eine wesentlich wichtigere Rolle.
Damit gingen erhöhte Anforderungen an die Durchführung und Do-
kumentation der ordnungsgemäßen und qualitativ hochwertigen Arbeit
der Internen Revision einher. Diese wird gemäß den vom Institute of In-
ternal Auditors (IIA) herausgegebenen und vom Deutschen Institut für In-
terne Revision (DIIR) übernommenen „Standards for the Professional Prac-
tice of Internal Auditing“ durchgeführt. Im Revisionsstandard Nr. 3 des
DIIR „Qualitätsmanagement in der Internen Revision“ sind die diesbezüg-
lichen Anforderungen an die Umsetzung und Überprüfbarkeit dokumen-
tiert.
Um die Erfüllung der Vorgaben zu nachvollziehbar dokumentierten
Prozessen in den Bereichen Risikoanalyse, Programmplanung, Prüfungs-
doku mentation und Follow-Up Prozess systemseitig zu unterstützen, hat
sich die Konzernrevision der Volkswagen AG entschieden, das Revisions-
Informations- und AnalyseSystem (RIAS) zu entwickeln.
Weitere Faktoren waren das rasante Wachstum des Unternehmens mit
den damit verbundenen Änderungen der Struktur und der zunehmen-
den Komplexität der Prozesse. Das System RIAS ermöglicht den effizien-
ten und risikogesteuerten Einsatz der Revision, um die wesentlichen Risi-
ken im Unternehmen systematisch und vollständig abzudecken.
Der folgende Beitrag gibt zunächst einen kurzen Überblick über den
Volkswagen Konzern und stellt die Revisionsarbeit bei Volkswagen vor. Im
Schwerpunkt des Beitrags wird dargestellt, wie die Revisionsprozesse Risi-
koanalyse und Programmplanung durch das System RIAS unterstützt wer-
den.
2 Der Volkswagen Konzern im Überblick
Der Volkswagen Konzern ist einer der führenden Automobilhersteller
weltweit und der größte Automobilproduzent Europas. Im Jahr 2010 lie-
ferte der Konzern 7.203 Millionen Fahrzeuge an Kunden aus. Das ent-
spricht einem Pkw-Weltmarktanteil von 11,4 Prozent.3
1 KontraG: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich.
2 BilMoG: Gesetz zur Modernisierung des Bilanzrechts.
3 http://www.volkswagenag.com/vwag/vwcorp/content/de/the_group.html.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 279
Zum Konzern gehören neun Marken aus sieben europäischen Ländern:
Volkswagen, Audi, SEAT, Skoda, Volkswagen Nutzfahrzeuge, Bentley, Bu-
gatti, Lamborghini und Scania.
In 15 Ländern Europas und in sieben Ländern Amerikas, Asiens und Af-
rikas betreibt der Konzern 62 Fertigungsstätten. Fast 400.000 Beschäftigte
produzieren an jedem Arbeitstag rund um den Globus rund 30.000 Fahr-
zeuge oder sind mit fahrzeugbezogenen Dienstleistungen befasst. Seine
Fahrzeuge bietet der Volkswagen Konzern in mehr als 153 Ländern an.4
Der Struktur des Volkswagen Konzerns entsprechend ist die Konzern-
revision mit ihrer Zentrale in Wolfsburg und dezentralen Revisionen an
13 Konzernstandorten mit insgesamt 213 Mitarbeitern ebenso weltweit
vertreten. Die Konzernrevision in Wolfsburg ist funktional in die Berei-
che Treasury/Finanzdienstleistungen, Rechnungswesen/Controlling, Per-
sonal, Informationssysteme/Organisation, Technische Prozesse/Baupro-
jekte, Beschaffung/Logistik und Vermarktungsprozesse gegliedert mit
jeweils auf das Fachgebiet spezialisierten Prüfern. Die dezentralen Revi-
sionen hingegen decken für ihren Standort die wesentlichen Bereiche ab
und werden bei Bedarf durch Spezialisten aus der Konzernrevision unter-
stützt. Im Rahmen der Risikobewertung wurde dieses Prinzip bei der Zu-
ordnung der Verantwortlichkeiten im Audit Universe herangezogen (vgl.
Abschnitt Risikoanalyse/Audit Universe).
3 Revisionsarbeit bei Volkswagen
Die Prozesse in der Revision bei Volkswagen sind – im Gegensatz zu den
oben dargestellten Unterschieden in der Organisation – für alle Revisions-
standorte gleich. Die Risikoanalyse erfolgt systematisch und anhand
eines konzernweit einheitlichen Audit Universe5. Die Risikobewertung
der identifizierten Risiken erfolgt ebenfalls nach einem konzernweit ein-
heitlichen Risikobewertungsmodell.
Im Rahmen der Programmplanung werden die Prüfungsprogramme
durch die Konzernrevision und die dezentralen Revisionen erstellt. Nach
der Genehmigung des Prüfungsprogramms durch den Vorstand der Volks-
wagen AG und die Geschäftsleitung der jeweiligen Tochtergesellschaft
werden die geplanten Prüfungen sukzessive durchgeführt. Die bei einer
Prüfung festgestellten Prozessschwächen und Defizite im Internen Kon-
trollsystem (IKS) werden in einem Bericht dargestellt und Maßnahmen
oder Empfehlungen zu deren Abstellung mit dem geprüften Bereich ver-
einbart. Im Rahmen der rollierenden Risikobewertung werden die geprüf-
ten Risikofelder nach Abschluss einer Prüfung unter Berücksichtigung
der im Verlauf der Prüfung gewonnenen Erkenntnisse erneut bewertet.
Das Follow-Up der vereinbarten Maßnahmen und Empfehlungen bildet
den Abschluss einer Prüfung. Sowohl die rollierende Risikobewertung als
auch das Ergebnis des Follow-Ups, bei dem festgestellt wird, ob die ver-
4 http://www.volkswagenag.com/vwag/vwcorp/content/de/the_group.html.
5 IIA/DIIR PA 2010-1.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
280 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
einbarten Maßnahmen und Empfehlungen umgesetzt sind oder nach wie
vor Prozessschwächen oder Defizite im IKS bestehen, fließen direkt in die
Risikoanalyse und damit in die Programmplanung für die nächste Perio-
de ein. „Abbildung 1: Revisionsprozess bei Volkswagen“ veranschaulicht
den Prozess.
Abb. 1: Revisionsprozess bei Volkswagen
Der gesamte Revisionsprozess bei Volkswagen wird mit dem RevisionsIn-
formations- und AnalyseSystem (RIAS) abgebildet. Zunächst sollen einige
technische Aspekte von RIAS beschrieben werden, bevor in den folgenden
Abschnitten auf die einzelnen Komponenten näher eingegangen wird.
RIAS ist eine Webapplikation, die von Volkswagen konzeptioniert und
nach diesen Vorgaben entwickelt wurde. Der Entscheidung für eine Eigen-
entwicklung liegt zugrunde, dass bei der Erstellung des Basiskonzepts für
RIAS im Jahre 2003 eine Softwarelösung, die die geforderte Komplexität
einer Konzernlandschaft mit vielen Gesellschaften und Prozessen abbil-
den konnte, am Markt nicht verfügbar war.
Das Programm besteht aus den folgenden Komponenten, die in den je-
weiligen Abschnitten näher beschrieben werden:
• Risikoanalyse (Einreichung und Verwaltung von Prüfungsvorschlägen,
systematische Risikobewertung der Prüfungsfelder des Audit Universe),
• Prüfungsprogrammerstellung,
• Verwaltung von Prüfungen, Berichten und wesentlichen Prüfungsdo-
kumenten
• Follow-Up-Verwaltung.
RIAS kann als integriertes System bezeichnet werden. Zum einen sind alle
Komponenten und Abläufe in RIAS miteinander verknüpft. Zum anderen
nutzen alle Revisionsstandorte weltweit RIAS, so dass alle Informationen
in eine gemeinsame Datenbank fließen.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 281
Das System RIAS wird von allen Revisionsmitarbeitern genutzt. Je nach-
dem, ob der Nutzer Revisionsleiter, Prüfungsleiter oder Prüfer ist, stehen
dem Nutzer in RIAS unterschiedliche Funktionen mit unterschiedlichen
Berechtigungen zur Verfügung.
4 Risikoanalyse
4.1 Ziel der Risikoanalyse
Ziel der Risikoanalyse ist es, eine Risikolandkarte des Volkswagen Kon-
zerns auf Basis eines einheitlichen und umfassenden Planungsmodells zu
erstellen.
4.2 Audit Universe
Zur Erstellung der Risikolandkarte müssen zunächst potenzielle Prü-
fungsfelder festgelegt werden. Das Audit Universe stellt dann die Ge-
samtheit dieser Prüfungsfelder dar und wird auch als Risikolandkarte be-
zeichnet. Mit dem Audit Universe wird eine vollständige Abdeckung der
Geschäftstätigkeit im Volkswagen Konzern durch die Konzernrevision si-
chergestellt. Ein weiterer Schritt ist die Umsetzung eines konzernweit ein-
heitlichen Risikobewertungsmodells. Somit soll eine konsistente und ver-
gleichbare Risikobeurteilung durch alle Revisionseinheiten sichergestellt
werden. Bei der Systementwicklung bestand eine besondere Herausfor-
derung darin, eine zweckmäßige, nicht zu komplexe Abbildung des Kon-
zerns herauszuarbeiten. Die Darstellung muss gleichzeitig vollständig
sein (ohne „weiße Flecken“), aber überschneidungsfrei (ohne Doppelbe-
trachtungen).
Das Audit Universe des Volkswagen Konzerns setzt sich aus Gesellschaf-
ten, Prozessen und Verantwortlichkeiten zusammen und bezeichnet da-
mit die „Gesamtheit der Prüfungsobjekte“. Insgesamt hat das Audit Uni-
verse des Volkswagen Konzerns aktuell 38.2596 Prüfungsfelder, die sich
aus einer Matrixdarstellung aus Gesellschaften und Prüfungsobjekten er-
geben.
Als Gesellschaften wurden alle wesentlichen Gesellschaften berück-
sichtigt, an denen die Volkswagen AG oder eine ihrer Tochtergesellschaf-
ten mit mind. 40 % beteiligt ist und deren Geschäftstätigkeit aktiv ist.
Diese Gesellschaften wurden anhand des Kapitalanteilsbesitzes der Volks-
wagen AG ermittelt. Im Dezember 2010 enthielt das Audit Universe 351
aktive Gesellschaften. Zur Abbildung der relevanten Prozesse im Audit
Universe wurde das Konzernprozessmodell herangezogen. Dieses Mo-
dell stellt die Kerngeschäftsprozesse in verschiedenen Detaillierungsebe-
nen dar. Die Basis für das Audit Universe bilden 96 Steuerungsprozesse
und unterstützende Prozesse, 121 Produktprozesse, 91 Kundenauftrags-
6 351 Gesellschaften x 109 Prüfungsobjekte und Prüfungsobjektgruppen =
38.259 Prüfungsfelder.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
282 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
prozesse und 99 Serviceprozesse „vor Kunde“, insgesamt also 407 Kern-
geschäftsprozesse. Um diese Komplexität angemessen abdecken zu kön-
nen, wurden die Einzelprozesse in Prüfungsobjekte und Objektgruppen
zusammengefasst. Derzeit enthält das Audit Universe 74 aus dem Konzern-
prozessmodell abgeleitete Prüfungsobjekte für alle Revisionsabteilungen
(vgl. „Abbildung 2: Ausschnitt aus dem Audit Universe“). Die Prüfungsob-
jekte sind thematisch in 35 Prüfungsobjektgruppen gegliedert.
Abb. 2: Ausschnitt aus dem Audit Universe
Die Verantwortlichkeiten für die Risikobewertung der einzelnen Prü-
fungsfelder ist klar geregelt. Für jede Gesellschaft ist ein Revisionsstand-
ort als primär verantwortlich benannt, der die Bewertung durchführt.
Handelt es sich dabei um den Standort der Konzernrevision, Wolfsburg,
wird die Bewertung von acht spezialisierten Prüfungsleitern durchge-
führt. Jeder Prüfungsleiter bewertet die zu seinem Fachgebiet gehörenden
Prüfungsfelder. Diese sind meist 10 bis 15 Prüfungsobjektgruppen und
Prüfungsobjekten zugeordnet. Ist der verantwortliche Standort ein dezen-
traler Standort, ist der Revisionsleiter vor Ort für die Risikobewertung al-
ler Prüfungsfelder einer Gesellschaft verantwortlich (bis zu 140 Prüfungs-
felder pro Gesellschaft).
Dabei sind die Prüfungsleiter der Konzernrevision verantwortlich für
die horizontale Prozessebene, wie z. B. Treasury und Finanzdienstleistun-
gen, Informationssysteme und Organisation. Bei den 13 dezentralen Revi-
sionsstandorten erstreckt sich die Verantwortung auf sämtliche Prozesse
einer Gesellschaft (vertikale Ebene).
Aufgrund der Größe des Audit Universe ist eine vollständige Ansicht
sehr unübersichtlich und wäre für die Risikobewertung nicht geeignet.
Jedem Prüfungsleiter wird daher eine individuelle Ansicht bereitgestellt.
Diese ist auf seinen Verantwortungsbereich zugeschnitten. So sieht je-
der Prüfungsleiter in seinem Audit Universe-Ausschnitt nur die ihn be-
treffenden Prüfungsfelder. Dies führt dazu, dass ein Prüfungsleiter der
Konzernrevision in seinem Ausschnitt viele Gesellschaften, aber nur we-
nig Prüfungsobjekte sieht. Sein Audit Universe-Ausschnitt ist horizontal
orientiert. Der lokale Revisionsleiter, der in einer dezentralen Revision die
Risikobewertung durchführt, sieht hingegen nur wenige Gesellschaften,
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 283
aber dafür alle Prüfungsobjekte dieser Gesellschaften. Sein Audit Univer-
se-Ausschnitt ist vertikal orientiert. „Abbildung 3: Audit Universe – sche-matische Darstellung“ veranschaulicht die unterschiedlichen Ansichten.
Abb. 3: Audit Universe – schematische Darstellung
Darüber hinaus hat jeder Prüfungsleiter die Möglichkeit, zwischen den
Darstellungsvarianten zu wechseln. Dazu steht ihm das in „Abbildung 4: Audit Universe – Menü „Inhalte“ gezeigte Menü zur Verfügung. So kann
er z. B. die eigene Bewertung für einzelne Prüfungsfelder und die Bewer-
tung eines anderen Prüfungsleiters für die gleichen Prüfungsobjekte bei
einer vergleichbaren Gesellschaft nebeneinanderstellen.
Abb. 4: Audit Universe – Menü „Inhalte“
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
284 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
4.3 Bewertung der Prüfungsfelder
Die Bewertung der Prüfungsfelder erfolgt durch den Bewertungsverant-
wortlichen. Ein Prüfungsfeld kann vier verschiedene logische Zustände
annehmen:
• Nicht bewertet
• Nicht zutreffend
• Individuell bewertet
• Über Mutter bewertet bzw. über Tochter bewertet
„Nicht bewertet“ ist ein vorübergehender Zustand und stellt einen Aus-
nahmefall dar. Bei den als „nicht bewertet“ gekennzeichneten Prüfungs-
feldern ist der zuständige Prüfungsleiter aufgefordert, zeitnah eine
entsprechende Bewertung vorzunehmen. „Nicht zutreffend“ ist zu ver-
wenden, wenn es das Prüfungsfeld in der jeweiligen Gesellschaft nicht
gibt. Das betrifft z. B. die Prüfungsobjektgruppen in den Bereichen For-
schung, Entwicklung und Produktion bei Finanzgesellschaften wie z. B.
der Volkswagen Financial Services AG. Wenn ein Prüfungsfeld individuell
bewertet wird, sind dazu Risikowerte für fünf Kriterien festzulegen. Für je-
des Kriterium können zwischen 0 und 4 Punkte vergeben werden, wobei
4 für ein besonders hohes Risiko steht. Die fünf zu bewertenden Kriterien
sind (siehe auch „Abbildung 5: Audit Universe – Prüfungsfelddetails“):
• Indikator/Basis für mögliches Schadensausmaß
• Internes Kontrollsystem (IKS)/Prozess- und Organisationsstruktur/Kom-
plexität
• Neue Projekte/Vorhaben
• Datum letzte Prüfung
• Qualifizierte kritische Hinweise/Follow-Up-Feststellungen
Abb. 5: Audit Universe – Prüfungsfelddetails
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 285
Die fünf Kriterien sind aktuell mit je 20 % gewichtet. Die Gewichtung
kann im System geändert werden. Die einzelnen Risikopunkte der Krite-
rien werden mit 20 multipliziert und addiert. So ergibt sich für jedes Prü-
fungsfeld ein Risikowert zwischen 0 und maximal 400.
Bei dem Kriterium „Indikator/Basis für mögliches Schadensausmaß“ ist
das Ausmaß möglicher materieller und immaterieller Schäden anhand
von Hilfsgrößen (Indikatoren) abzuschätzen, die eine Bewertung unter-
stützen sollen. Beispiele für Indikatoren sind Umsatz, Einkaufs- oder Auf-
tragsvolumen, Mitarbeiterzahl, IT-Kosten. Diese Daten können von zen-
traler Stelle im System hinterlegt werden. Grundsätzlich sollten leicht
ermittelbare Indikatoren verwendet werden, um den Rechercheaufwand
im Rahmen zu halten. Die Schadensindikatoren sind von den Prüfungs-
leitern festzulegen. Die Gesellschaftsinformationen, als welche die Daten
im System hinterlegt sind, sind im System an zentraler Stelle zu finden.
Bei dem Kriterium „IKS/Prozess- und Organisationsstruktur/Komple-
xität“ nimmt der Prüfungsleiter bei der Bewertung eine Einschätzung
hinsichtlich des IKS bzw. der Komplexität von Prozess- und Organisa-
tionsstrukturen vor. Ein geringes Risiko von Manipulation oder Bearbei-
tungs- und Systemfehlern ist mit 0–1 Risikopunkten zu bewerten, ein
mittleres Risiko mit 2 Punkten und ein hohes Risiko mit 3–4 Punkten. Bei
neuen Prozessen und Organisationsstrukturen werden eher hohe Risiko-
werte (3–4) gewählt, bei „eingefahrenen“ Prozessen meist mittlere Werte
(2). Zusätzlich wird bei diesem Kriterium ein „länderspezifisches Risiko“
systematisch berücksichtigt. Hierbei werden nach einem festgelegten Ver-
fahren unter Berücksichtigung von Korruptionsindizes (z. B. Transparen-
cy International) jährlich die Länder ermittelt, in denen ein „länderspe-
zifisches Risiko“ besteht. Liegt ein länderspezifisches Risiko vor, erhalten
alle Konzerngesellschaften, die in dem jeweiligen Land ansässig sind, eine
Kennzeichnung. Diese bewirkt, dass bei Vergabe der Risikowerte 2 oder 3
für das Kriterium „IKS/Prozess- und Organisationsstruktur/Komplexität“
ein zusätzlicher Risikopunkt addiert wird. So wird dem erhöhten Risiko-
potenzial aufgrund kultureller Unterschiede Rechnung getragen.
Dem Kriterium „Neue Projekte/Vorhaben“ liegt die Annahme zugrun-
de, dass bei relevanten neuen Projekten und Vorhaben ein höheres Risiko-
potenzial vorliegt, da erfahrungsgemäß gerade in der Anfangsphase eine
höhere Wahrscheinlichkeit von System- und Bearbeitungsfehlern besteht.
Interne Kontrollsysteme sind in der Anfangsphase häufig (noch) nicht aus-
reichend eingerichtet bzw. nicht an die veränderten Rahmenbedingun-
gen angepasst. Geringfügige Innovationen/Änderungen in dem zu bewer-
tenden Prüfungsfeld mit vernachlässigbaren Auswirkungen sind daher
mit 0–1 Risikopunkten zu bewerten. Innovationen/Änderungen mit Aus-
wirkungen, die beherrschbar sein sollten, sind mit Risikowert 2 zu bewer-
ten und gravierende Innovationen/Änderungen mit dem Risiko kritischer,
nicht ausreichend kontrollierter Auswirkungen erhalten 3–4 Risikopunk-
te. Beispiele für neue Projekte können z. B. der Aufbau einer neuen Fabrik
an einem neuen Standort, neue Produkte oder die Neueinführung pro-
duktionsrelevanter IT-Systeme sein.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
286 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Das Kriterium „Datum letzte Prüfung“ bildet ab, dass bei länger nicht
bzw. noch nie geprüften Prüfungsfeldern und Prozessen ein erhöhtes Ri-
siko besteht. So soll verhindert werden, dass weiße Flecken in der Risi-
kolandkarte entstehen. Da die Information, wann die letzte Prüfung in
diesem Prüfungsfeld stattgefunden hat, systemtechnisch vorliegt, erfolgt
hier eine automatische Berechnung des Risikowerts für dieses Kriterium.
Dabei findet folgende Staffelung Anwendung:
• Letzte Prüfung vor max. 2 Jahren: 0 Punkte
• Letzte Prüfung vor 3 Jahren: 1 Punkt
• Letzte Prüfung vor 4 Jahren: 2 Punkte
• Letzte Prüfung vor 5 Jahren: 3 Punkte
• Letzte Prüfung vor mehr als 5 Jahren: 4 Punkte
Eine manuelle Übersteuerung ist möglich, wenn zwar eine Prüfung statt-
gefunden hat, diese aber nur einen Teilbereich des Prüfungsfelds tangiert
hat. In diesem Fall würde die Prüfung für die Berechnung des Risikowerts
nicht herangezogen. Berücksichtigt werden bei der Ermittlung des Risiko-
werts alle Prüfungen, d. h. Prüfungen der Konzernrevision und der dezen-
tralen Revisionen einschließlich Self-Assessments.
Das Kriterium „Qualifizierte kritische Hinweise/Follow-Up-Feststellun-
gen“ wird auf Grundlage von Unterlagen wie z. B. Prüfungsvorschlägen,
Wirtschaftsprüfer-Berichten, Follow-Up-Informationen, Ombudsmann-
hinweisen oder Geschäftsberichten bewertet. Auch Behördenanfragen
und direkt in der Konzernrevision eingehende Informationen können
hier eine Rolle spielen. Die Risikobewertung erfolgt im Hinblick auf mög-
liche dolose Handlungen, wirtschaftliche Risiken und Reputationsrisi-
ken. Keine bzw. kaum spezifizierte Hinweise mit geringer Glaubwürdig-
keit erhalten 0–1 Risikopunkte. Nachvollziehbare Hinweise auf mögliche
Schwachstellen ohne akute Sachverhalte erhalten 2 Punkte. Konkrete Hin-
weise bzw. bei einer Häufung von Hinweisen auf akute, kritische Sachver-
halte sind 3 Punkte zu vergeben. Gibt es glaubwürdige, konkrete Hinweise
auf unmittelbare akute Risiken bzw. Schäden, besteht eine starke Gefahr
von Reputationsrisiken und ist eine sofortige Prüfung unabdingbar, er-
hält das Kriterium 4 Punkte. In diesem Fall verändert sich die Gewichtung
aller Risikokriterien. Werden für dieses Kriterium 4 Punkte vergeben, er-
hält das Kriterium automatisch eine Gewichtung von 100 % und das Prü-
fungsfeld den maximalen Risikowert von 400. In dem Moment spielen die
Risikopunkte, die für die anderen vier Kriterien vergeben wurden, keine
Rolle mehr.
Darüber hinaus gibt es die Möglichkeit, in Einzelfällen statt einer indi-
viduellen Bewertung die Bewertung der Mutter- oder einer Tochtergesell-
schaft für das gleiche Prüfungsobjekt zu übernehmen. Dazu kann einer
Prüfungsobjektgruppe die Eigenschaft „über Mutter bewertet (MB)“ oder
„über Tochter bewertet (TB)“ zugeordnet werden. Dann wird für eine kom-
plette Prüfungsobjektgruppe auf den entsprechenden Risikowert der Mut-
ter- oder Tochtergesellschaft referenziert. Über den Präfix „MB“ bzw. „TB“,
der in diesem Fall dem Risikowert vorangestellt wird, ist die Referenz auf
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 287
die Mutter- oder eine Tochtergesellschaft klar als solche erkennbar. Die Be-
wertung über Mutter- bzw. Tochtergesellschaft kommt zur Anwendung,
wenn es sich z. B. um Gesellschaften mit gleichem Aufgabenbereich und
vergleichbarer Größe handelt.
4.4 Einbezug von Prüfungsvorschlägen
Jedes Jahr wird im Vorlauf zur Planung des Prüfungsprogramms durch
die Konzernrevision sowie die dezentralen Revisionen eine Abfrage von
Prüfungsvorschlägen durchgeführt. Alle Führungskräfte des Konzerns
sowie die Mitarbeiter der Revisionsabteilungen können konkrete Prü-
fungsvorschläge einreichen, die dann in die Risikobewertung sowie die
Prüfungsprogrammplanung einfließen. Die Einreichungsmaske (vgl. „Ab-bildung 6: Einreichungsmaske für Prüfungsvorschläge“) steht in sechs
Sprachen zur Verfügung. Im Durchschnitt gehen rd. 700–800 Vorschlä-
ge pro Jahr weltweit ein, wobei das Vorschlagsaufkommen nach Standort
und Prüfungsgebiet sehr unterschiedlich ist. Der Einreicher nimmt eine
erste Priorisierung in „normal“ oder „hoch“ vor. Die eingegangenen Prü-
fungsvorschläge werden im System dem für das betreffende Prüfungsfeld
zuständigen Prüfungsleiter zugewiesen, der dann im Bearbeitungskorb –
der Startseite, die direkt nach der Anmeldung angezeigt wird (vgl. „Abbil-dung 7: Bearbeitungskorb“) darüber informiert wird.
Abb. 6: Einreichungsmaske für Prüfungsvorschläge
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
288 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Abb. 7: Bearbeitungskorb
Der Prüfungsleiter prüft jeden Vorschlag und ordnet ihn dann einzelnen
Prüfungsfeldern zu. Wenn der Inhalt des Vorschlags Einfluss auf den Ri-
sikowert des Prüfungsfelds hat, passt der Prüfungsleiter die entsprechen-
de Bewertung an. Eine unterjährige Einreichung von Vorschlägen ist eben-
falls möglich. Der zuständige Prüfungsleiter nimmt eine Klassifizierung
vor, um bei der Vielzahl der Prüfungsvorschläge den Überblick zu behal-
ten. Als Klassifizierung stehen ihm A, B und C zur Verfügung.
5 Programmplanung
Nach der Definition und Bewertung des Audit Universe ergibt sich eine Ri-
sikolandkarte für den gesamten Volkswagen Konzern. Ziel der Programm-
planung ist, ein Prüfungsprogramm zu erstellen, das systematisch und
zielgerichtet unter Berücksichtung der Prüfungskapazität die höchsten
Risiken in der Risikolandschaft adressiert. Zur Erstellung des Prüfungs-
programms geht der Prüfungsleiter in folgenden Arbeitsschritten vor:
5.1 Analyse der Risikolandschaft
Wie im vorangegangenen Abschnitt dargestellt, analysiert der Prüfungs-
leiter in diesem Schritt die Risikolandschaft für die Prüfungsfelder der Ge-
sellschaften, für die er die primäre Bewertungsverantwortung im Audit
Universe hat, dahingehend, dass er die höchsten Risiken einzelner Prozes-
se bzw. Prozessketten in seinem Verantwortungsbereich identifiziert (vgl.
„Abbildung 2: Ausschnitt aus dem Audit Universe“).
5.2 Definition von Prüfungsthemen
Im nächsten Schritt definiert der Prüfungsleiter Prüfungsthemen und
ordnet diese den Prüfungsfeldern bzw. Prüfungsvorschlägen aus dem Au-
dit Universe zu. Ein Prüfungsthema kann z. B. den Titel „Migration der
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 289
Mitarbeiterstammdaten in das neue Personalabrechnungssystem“ tragen.
Abgedeckt werden bei dieser Prüfung z. B. die Prüfungsfelder, die sich aus
der Schnittmenge der Prüfungsobjekte Zeit- und Entgeltabrechnung, Zu-
griffsschutz auf Personaldaten, IT-Projekte und Sicherheit der IT-Syste-
me mit der zu prüfenden Organisationseinheit, z. B. Audi AG, ergeben.
Ein Prüfungsthema kann im Rahmen der jährlichen Programmplanung
wahlweise als planmäßige Prüfung oder als planmäßiges Self-Assessment
definiert werden. Somit bietet das System dem Prüfungsleiter die Mög-
lichkeit, eine dem Risiko des Prüfungsfeldes angemessene Prüfungsart zu
wählen (vgl. Abbildung 8: Auswahl der Prüfungsart).
Abb. 8: Auswahl der Prüfungsart
Nach der Definition der Prüfungsthemen kann der Prüfungsleiter über
RIAS mit Hilfe eines „Risikoreports“ Lücken bzw. weiße Flecken im bis-
lang aufgestellten Prüfungsprogramm identifizieren. Der Risikoreport
ist eine tabellarische Auflistung aller Prüfungsfelder, absteigend sortiert
nach dem im Rahmen der Risikoanalyse bestimmten Risikowert im MS Ex-
celformat. Er verfügt zusätzlich über die Information, wann das Prüfungs-
feld das letzte Mal mit welchem Prüfungsthema geprüft wurde und ob
das Prüfungsfeld in der aktuell zu planenden Prüfungsperiode bereits Be-
rücksichtigung findet. Legt die Revisionsleitung fest, dass alle Prüfungs-
felder mit einem Risikowert von z. B. 300 oder mehr im Rahmen planmä-
ßiger Prüfungen bzw. Prüfungsfelder mit einem Wert zwischen 250 und
300 mit planmäßigen Self Assessments abzudecken sind, hilft der Risiko-
report, mögliche weiße Flecken in der Prüfungsprogrammplanung zu er-
kennen und zu korrigieren. Somit trägt der Risikoreport maßgeblich zur
Prozesssicherheit im Rahmen der Programmplanung bei.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
290 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
5.3 Kapazitätsplanung
Um sicherzustellen, dass das aktuelle Prüfungsprogramm mit den ak-
tuell zur Verfügung stehenden Ressourcen umgesetzt werden kann, führt
der Prüfungsleiter eine Kapazitätsplanung durch. In dieser Kapazitätspla-
nung werden die definierten Prüfungsthemen den zur Verfügung stehen-
den Prüfungskapazitäten gegenüber gestellt. Die Prüfungskapazität be-
misst sich u. a. an der Anzahl der jährlichen Arbeitstage abzüglich der
Tage für Urlaub, Krankheit und Fortbildung. Jedoch spielt auch die ver-
anschlagte Zeit zur Durchführung von Follow-Ups zu Vorjahresprüfun-
gen (siehe Follow-Up) sowie ein Erfahrungswert für die Prüfungskapazi-
tät, die in einem Kalenderjahr für unvorhergesehene Sonderprüfungen
(siehe Außerplanmäßige Prüfungen) aufzuwenden ist, eine Rolle. Somit
wird das Prüfungsprogramm im Rahmen der Kapazitätsplanung auf sei-
ne Umsetzbarkeit hin überprüft. Sollten ausreichende Prüfungskapazitä-
ten nicht zur Verfügung stehen, ist entweder die Verfügbarkeit weiterer
Prüfungskapazität sicherzustellen oder das Niveau des akzeptierten Risi-
kos nach Rücksprache mit der Geschäftsführung sowie dem Prüfungsaus-
schuss anzuheben. Die Funktionalität zur Kapazitätsplanung ist in RIAS
nicht hinterlegt. Die Berechnungen werden vom Prüfungsleiter auf Basis
eines einheitlichen Schemas außerhalb des Systems vorgenommen. Aus-
schließlich die Dokumentation der geplanten sowie der tatsächlich benö-
tigten Prüfungsmanntage wird im System hinterlegt (vgl. „Abbildung 9: Dokumentation der Prüfungsdauer“).
Abb. 9: Dokumentation der Prüfungsdauer
5.4 Harmonisierung der Prüfungsprogramme
Nach der Definition der Prüfungsthemen sowie der Kapazitätsplanung
findet eine Harmonisierung der Prüfungsprogramme zwischen den Prü-
fungsleitern der Konzernrevision und den Revisionsleitern der dezentra-
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 291
len Revisionen statt. In dieser Phase wird sichergestellt, dass aus Konzern-
sicht ein durchgängiges Prüfungsprogramm erstellt wird, so dass weder
einzelne Prozesse noch zu prüfende Organisationseinheiten unverhältnis-
mäßig stark über- bzw. untergewichtet werden. Außerdem wird in die-
ser Phase ein Forum zur Verfügung gestellt, in dem Prüfungsleiter unter-
einander Joint-Audits, also Prüfungen durch fachbereichsübergreifende
Prüfungsteams, vereinbaren können. Bezugnehmend auf unser Beispiel-
Prüfungsthema „Migration der Mitarbeiterstammdaten in das neue Per-
sonalabrechnungssystem“ wäre ein Joint-Audit zwischen der Konzernre-
vision „Personalwesen“ und der Konzernrevision „Informationssysteme
und Organisation“ ebenso möglich wie ein Joint-Audit zwischen der Kon-
zernrevision „Personalwesen“ und einer dezentralen Revision.
Dieser Harmonisierungsprozess ist mehr ein kommunikativer als ein
systemgestützter Prozess. Dennoch bietet das System RIAS an dieser Stel-
le vielfältige Unterstützungsmöglichkeiten. So kann man in Echtzeit auf
alle Prüfungsprogramme der Revisionsabteilungen zugreifen, die entspre-
chenden Audit Universe-Ausschnitte anzeigen sowie die Abdeckung der
maßgeblichen Risiken durch die einzelnen Prüfungsprogramme anhand
eines Vergleichs mit dem Risikoreport überprüfen. Sämtliche an dieser
Stelle genannten Daten können entweder über die Systemoberfläche oder
als Export in Microsoft Office-Dokumenten dargestellt und abgespeichert
werden.
5.5 Freigabe des Prüfungsprogramms
Nach der Definition des Prüfungsprogramms, der Validierung im Rahmen
der Kapazitätsplanung sowie der Harmonisierung zwischen den Revisions-
einheiten und ggf. der Genehmigung durch die lokale Geschäftsleitung er-
folgt die Vorstellung des Prüfungsprogramms der Revision beim Vorstands-
vorsitzenden der Volkswagen AG, der es im Anschluss daran genehmigt. Im
System RIAS erhält dann das Prüfungsprogramm den Status „freigegeben“
und jedem Prüfungsthema wird eine eindeutige Prüfungsnummer zuge-
ordnet. Darüber hinaus wird das Audit Universe mit den der Programm-
planung zugrundeliegenden Risikowerten archiviert, so dass zu jedem
beliebigen Zeitpunkt die Risikoanalyse und das daraus abgeleitete Prü-
fungsprogramm jeder Prüfungsperiode nachvollzogen werden kann.
6 Außerplanmäßige Prüfungen
Ergibt sich unterjährig, z. B. aufgrund doloser Handlungen, die Notwen-
digkeit, über die im Prüfungsprogramm definierten Prüfungen hinaus
eine Prüfung durchzuführen, so bietet das System RIAS die Möglichkeit,
außerplanmäßige Prüfungen bzw. außerplanmäßige Self-Assessments an-
zulegen. Das Anlegen von außerplanmäßigen Prüfungen erfolgt identisch
zum Anlegen von planmäßigen Prüfungen mit dem Unterschied, dass der
Status „außerplanmäßig“ vergeben wird (vgl. „Abbildung 10: Auswahl der Prüfungsart“).
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
292 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Abb. 10: Auswahl der Prüfungsart
7 Prüfungsablauf
Das aus der Risikoanalyse abgeleitete und durch den Vorstandsvorsitzen-
den genehmigte Prüfungsprogramm stellt den formalen Prüfungsauftrag
an die Revision dar. Ausgehend vom Prüfungsprogramm werden die ein-
zelnen Prüfungsthemen vom Revisionsleiter den verschiedenen Prüfungs-
teams der Revision zugewiesen. Die Prüfungsleiter der einzelnen Teams
geben dann den Revisoren die Abfolge sowie den zeitlichen Rahmen
der Einzelprüfungen vor. Dabei sind Prüfungen in den Prüfungsfeldern
mit hohen Risikowerten vordringlich zu bearbeiten. Der Prüfungsablauf
unterteilt sich in die Bereiche Prüfungsvorbereitung, Prüfungsdurchfüh-
rung sowie Prüfungsberichterstattung.
7.1 Prüfungsvorbereitung
Zu Beginn der Prüfungsvorbereitung werden gemeinsam zwischen Prü-
fungsleitung und den Revisoren die zu prüfenden Prozesse sowie das Prü-
fungsziel definiert. Anschließend erfolgt die schriftliche Anmeldung der
Prüfung beim jeweiligen Leiter des zu prüfenden Bereichs bzw. bei der
Geschäftsführung von Tochtergesellschaften. Die Anmeldung erfolgt mit
dem Ziel, den geprüften Bereich über das Prüfungsthema sowie die ver-
antwortlichen Prüfer zu informieren und die Einplanung der notwendi-
gen Ressourcen seitens des Fachbereichs für die Prüfungsdurchführung
sicherzustellen. Von der Anmeldung wird bei Sonder-, Bestands- und
Unterschlagungsprüfungen abgesehen, wenn durch die Anmeldung eine
Verfälschung der tatsächlichen Gegebenheiten befürchtet werden muss.
Die Anmeldung einer Prüfung wird in RIAS dokumentiert, womit die je-
weilige Prüfung den Status „begonnen“ erhält.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 293
Ein weiterer Bestandteil der Prüfungsvorbereitung besteht in der Pla-
nung des zeitlichen und inhaltlichen Prüfungsablaufes in Form eines
Arbeitsprogramms, der Analyse der Prüfungsobjekte, der Beschaffung
von Informationen und Arbeitsmitteln sowie der Einarbeitung in die Prü-
fungsmaterie. Im Rahmen der Prüfungsvorbereitung wird ebenfalls eine
grundsätzliche Planung über die während der Prüfungsdurchführung zu
nehmenden sowie zu analysierenden Stichproben vorgenommen.
7.2 Prüfungsdurchführung
Während der Prüfungsdurchführung werden die im Rahmen des Arbeits-
programms definierten inhaltlichen Bestandteile der zu prüfenden Pro-
zesse auf Ordnungsmäßigkeit, Nachvollziehbarkeit und Wirtschaftlich-
keit hin überprüft. Hierzu werden entsprechende Stichproben genommen
und analysiert. Die Dokumentation der gesamten Prüfungstätigkeit er-
folgt in tabellarischer Form auf Basis der sogenannten Prüfungsmatrix.
Im Rahmen der Prüfungsmatrix werden für jede Prüfungsfeststellung die
sich ergebenden Risiken bzw. Konsequenzen dokumentiert. Im nächsten
Schritt schlagen die Revisoren Maßnahmen vor, mit denen die Risiken,
die sich aus den Prüfungsfeststellungen ergeben, beherrscht werden sol-
len. Am Ende der Prüfungsdurchführung werden die Prüfungsfeststellun-
gen mit der jeweiligen Fachbereichsleitung im Rahmen eines Abschluss-
gesprächs diskutiert. Ziel des Abschlussgespräches ist es, eine einheitliche
Wahrnehmung bezüglich der bestehenden Risiken zwischen Fachbereich
und Revision zu schaffen. Ist diese einheitliche Wahrnehmung etabliert,
können Maßnahmen, Umsetzungsverantwortlichkeiten sowie Implemen-
tierungstermine zur Beherrschung der Risiken vereinbart werden.
7.3 Prüfungsberichterstattung
An die Prüfungsdurchführung schließt sich die Prüfungsberichterstat-
tung an. Die Prüfungsberichterstattung wird mit RIAS nicht abgebildet.
Im Sinne einer vollständigen Darstellung soll im Folgenden dennoch kurz
auf die Prüfungsberichterstattung eingegangen werden. In dieser Phase
werden die Prüfungsfeststellungen, die sich daraus ergebenden Risiken
sowie die definierten Maßnahmen aus der Prüfungsmatrix in einen Be-
richtsentwurf übertragen. Der Berichtsentwurf aggregiert die Details, die
im Rahmen der Prüfungsmatrix dokumentiert wurden. Er enthält für
jede Maßnahme einen bzw. mehrere Umsetzungsverantwortliche sowie
den Umsetzungstermin. Der Berichtsentwurf wird den geprüften sowie
den für die Maßnahmenumsetzung verantwortlichen Fachbereichen zur
Stellungnahme zur Verfügung gestellt. Sollte sich aus den Stellungnah-
men der Fachbereiche die sachliche Notwendigkeit zur Anpassung des Be-
richtes ergeben, wird diese durch die Revision vorgenommen. Der Prozess-
schritt, den Berichtsentwurf den Fachbereichen vorab zur Stellungnahme
zur Verfügung zu stellen, stellt somit einen wichtigen Schritt zur Quali-
tätssicherung dar.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
294 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Im Anschluss wird der endgültige Bericht an den von der Revision fest-
gelegten Verteiler, das sind bei der Konzernrevision der Konzernvorstand,
die entsprechenden Kontrollorgane sowie die Leiter der entsprechenden
Bereiche, versandt. Bei dezentralen Revisionen beschränkt sich der Ver-
teiler auf die jeweilige Geschäftsführung, die Leiter der entsprechenden
Bereiche sowie den Leiter der Konzernrevision. Im Rahmen der Berichts-
veröffentlichung werden die Fachbereiche aufgefordert, die Arbeit der Re-
vision auf Basis eines standardisierten Feedback-Bogens zu bewerten. Die
Ergebnisse dieser Feedbacks dienen der Revision zur kritischen Reflekti-
on sowie zur stetigen Verbesserung der eigenen Prozesse. Der Prüfungsbe-
richt wird in RIAS abgespeichert. Als Anlage wird ebenfalls die Prüfungs-
matrix in RIAS archiviert. Die jeweilige Prüfung erhält in RIAS den Status
„abgeschlossen“.
8 Follow-Up
Wie „Abbildung 1: Revisionsprozess bei Volkswagen“ darstellt, bildet
das Follow-Up der vereinbarten Maßnahmen und Empfehlungen den Ab-
schluss einer Prüfung. Erst wenn die im Laufe einer Prüfung festgestellten
Prozessschwächen und Defizite im Internen Kontrollsystem (IKS) behoben
sind, entfallen oder minimieren sich die Risiken für das Unternehmen.
Sobald eine Prüfung abgeschlossen und der Bericht erstellt und veröf-
fentlicht ist, beginnt der Follow-Up-Prozess in RIAS. Dazu wird für jede
Maßnahme und Empfehlung des Berichts in RIAS ein Follow-Up-Daten-
satz erstellt. Jeder Follow-Up-Datensatz wird mit dem Fälligkeitsdatum
der Maßnahme bzw. Empfehlung versehen und erhält zunächst den Sta-
tus „nicht eingeleitet“. Liegen dem Prüfungsleiter zu diesem Zeitpunkt
bereits Informationen über einen anderen Status vor, so wird er diesen be-
rücksichtigen (Bsp.: Eine aufgedeckte Sicherheitslücke wird bereits wäh-
rend der Prüfung oder Berichtserstellung geschlossen).
Für jede Prüfung legt der zuständige Prüfungsleiter einen Follow-Up-
Verantwortlichen fest. Wird nun das Fälligkeitsdatum einer Maßnahme
oder Empfehlung überschritten, erhalten der in RIAS der Prüfung zuge-
ordnete Prüfungsleiter und der Follow-Up-Verantwortliche in ihrem Be-
arbeitungskorb (vgl. „Abbildung 7: Bearbeitungskorb“) – automatisch
eine Meldung. Der Prüfer kann dann mit wenigen Mausklicks die fälligen
Maßnahmen und Empfehlungen exportieren und mit der Bitte um eine
Statusmeldung und Umsetzungsdetails an den geprüften Fachbereich ver-
senden. Gemeinsam mit dem Prüfungsleiter bewertet der Prüfer die er-
haltenen Antworten. Führt die Bewertung zu dem Ergebnis, dass die Maß-
nahme oder Empfehlung umgesetzt ist, ändert der Prüfungsleiter den
Follow-Up-Status der Maßnahme oder Empfehlung auf „abgeschlossen“.
Ergibt die Bewertung, dass eine mit dem geprüften Fachbereich verein-
barte Maßnahme nicht oder noch nicht vollständig umgesetzt ist, erhält
das Follow-Up den Status „eingeleitet“. Stellt sich heraus, dass die Umset-
zung einer Maßnahme oder Empfehlung nicht praktikabel oder nicht
wirtschaftlich ist, können der Prüfungsleiter oder die Revisionsleitung im
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
Risikoanalyse und Programmplanung im Volkswagen Konzern 295
Ausnahmefall entscheiden, dass diese Maßnahme oder Empfehlung nicht
weiter verfolgt wird. Das Follow-Up erhält dann den finalen Status „nicht
umgesetzt“ (vgl. auch „Abbildung 11: Follow-Up-Liste zu einer Prüfung“).
Abb. 11: Follow-Up-Liste zu einer Prüfung
RIAS unterstützt jedoch nicht nur Prüfungsleiter und Prüfer im Follow-
Up-Prozess, sondern auch die Revisionsleitung mit verschiedenen Repor-
tingfunktionen. Die Revisionsleitung kann sich jederzeit einen Überblick
über die Anzahl der in einem Zeitraum abgeschlossenen und fälligen Fol-
low-Ups verschaffen. Hierbei wird nach Prüfungsabteilung und Revisions-
standort unterschieden.
9 Rollierende Risikobewertung
Nach Abschluss einer Prüfung, d. h. wenn der Status der Prüfung im System
RIAS auf „abgeschlossen“ gesetzt wird, weist das System den Prüfungslei-
ter automatisch darauf hin, dass eine rollierende Risikobewertung durch-
zuführen ist. Hierbei wird der Prüfungsleiter bei jeder abgeschlossenen
Prüfung durch alle dem Prüfungsthema zugeordneten Prüfungsfelder
und Prüfungsvorschläge geleitet und aufgefordert, eine erneute Risikobe-
wertung auf Basis der im Rahmen der Prüfung gewonnenen Erkenntnisse
vorzunehmen. Somit stellt die in RIAS hinterlegte Systematik sicher, dass
das Audit Universe auf dem jeweils aktuellen, in der Revision verfügbaren
Wissensstand gehalten wird.
10 Fazit und Ausblick
Im Rahmen der Prozessanalyse und -definiton ist es gelungen, konzern-
weit einheitlich standardisierte, risikoorientierte Prozesse zur Risikoana-
lyse und zur Revisions programmplanung und -durchführung festzulegen.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
296 Peter Dörfler/Philine Géronne-Neels/Tobias Heine/Martin Kademann
Das darauf aufbauend entwickelte System RIAS unterstützt mit seinen
Funktionalitäten die definierten Strukturen.
RIAS leistet zur Erfüllung der sich aus den veränderten gesetzlichen An-
forderungen an das Qualitätsmanagement einer Revision ergebenden An-
forderungen einen wesentlichen Beitrag zur Dokumentation und damit
zur Nachvollziehbarkeit wesentlicher Arbeitsschritte. Die jeweils erforder-
lichen Informationen, z. B. Kennzahlen zur Risikoanalyse, Prüfungsthe-
men mit Begründungen und Prüfungsberichte, stehen ortsunabhängig je-
derzeit zur Verfügung.
Durch die strukturierte Erfassung und Bereitstellung wesentlicher In-
formationen und Dokumente trägt das System auch zur Effizienz der Re-
visionsarbeit bei. Wesentliche Informationen werden zusammengefasst
abgelegt und können entsprechend einfach und schnell wieder abgeru-
fen werden.
Für die Zukunft ist vorgesehen, in RIAS weitere Informationen zu Ein-
flussgrößen der Risikoanalyse zu integrieren. Darüber hinaus könnte
überlegt werden, RIAS als einheitliche Plattform für weitere mit dem Ri-
sikomanagement des Unternehmens beschäftigte Bereiche zu nutzen. Da-
mit könnten weitere Informationen direkt in das System eingegeben wer-
den und stünden auch der Revision direkt zur Verfügung.
Aus: Prof. Dr. Thomas Amling, Prof. Ulrich Bantleon, Praxis der Internen Revision © Erich Schmidt Verlag GmbH & Co. KG, Berlin 2012.
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5
^ Der Fortschritt der Internen Revision ist trotz der steigenden Regelungsdichte durch Best Practice und deren Austausch in der Community geprägt. Dieser Band betrachtet die Interne Revision aus dem Blickwinkel der Praxis; die Beiträge stammen aus-schließlich von erfahrenen Praktikern, ergänzt um empirische Forschungsergebnisse.
• Grundlagen und Corporate Governance: von aktuellem Recht bis zu den Besonderheiten im öffentlichen Sektor
• Management der Internen Revision: vom Aufbau einer Konzernrevision über Besonderheiten im Mittelstand zu Qualitätsmanagement
• Methoden und Instrumente: von der Programmplanung zu Continuous Auditing
• Ausgewählte Prüffelder: von Corporate Social Responsibility zu Fraud-Sonderuntersuchungen
• Entwicklungen und Tendenzen: von der Professionalisierung zu Szenarien 2020 der Internen Revision
Wertvolle Impulse – für Ihre eigene Revisionspraxis und die Weiterentwicklung des Fachwissens!
www.ESV.info
Leseprobe, mehr zum Buch unter ESV.info/978-3-503-13686-5