standards for the professional standards für die
TRANSCRIPT
Standards for the ProfessionalPractice of Internal Auditing
THE INSTITUTE OF INTERNAL AUDITORS247 Maitland AvenueAltamonte Springs, Florida 32701-4201, USA
Copyright © 2001 by The Institute of InternalAuditors, 247 Maitland Avenue, AltamonteSprings, Florida 32701-4201, USA.
All rights reserved.
Under copyright laws and agreements, no partof this publication may be reproduced, stored in a retrieval system, or transmitted in any form by any means – electronic, mechanical,photocopying, recording, or otherwise – withoutprior written permission of the publisher.
To obtain permission to translate, adapt, orreproduce any part of this document, contact:
Administrator, Practices CenterThe Institute of Internal Auditors247 Maitland AvenueAltamonte Springs, Florida 32701-4201Phone: (407) 830-7600, Ext. 256Fax: (407) 831-5171
ISBN 0-89413-454-X
Standards für die beruflichePraxis der Internen Revision
THE INSTITUTE OF INTERNAL AUDITORS247 Maitland AvenueAltamonte Springs, Florida 32701-4201, USA
Copyright © 2001 The Institute of Internal Auditors, 247 Maitland Avenue, AltamonteSprings, Florida 32701-4201, USA.
Alle Rechte vorbehalten.
Die Genehmigung zur Veröffentlichung derdeutschsprachigen Übersetzung, die in jederHinsicht dem Original entspricht, wurde vomCopyright-Inhaber, dem Institute of Internal Auditors, 247 Maitland Avenue, Altamonte Springs,Florida 32701-4201, USA, eingeholt. Die Ori-ginalveröffentlichung ist unter dem Titel „Stan-dards for the Professional Practice of InternalAuditing“ mit der ISBN 0-89413-454-X erschie-nen.
Die (auch teilweise) Verwertung dieser Veröf-fentlichung, insbesondere ihre Vervielfältigung,Einspeicherung in Abfragesystemen sowie ihreÜbertragung in gleich welcher Form, ob elektro-nisch, mechanisch, durch Fotokopien, Bild- undTon-Aufnahmen oder in sonstiger Weise, ist nurmit schriftlicher Genehmigung des Heraus-gebers zulässig.
1
Introduction
Internal auditing is an independent, objectiveassurance and consulting activity designed toadd value and improve an organization’soperations. It helps an organization accomplishits objectives by bringing a systematic,disciplined approach to evaluate and improvethe effectiveness of risk management, control,and governance processes.
Internal audit activities are performed in diverselegal and cultural environments; withinorganizations that vary in purpose, size, andstructure; and by persons within or outside theorganization. These differences may affect the practice of internal auditing in eachenvironment. However, compliance with theStandards for the Professional Practice ofInternal Auditing (Standards) is essential if theresponsibilities of internal auditors are to be met.
The purpose of the Standards is to:
1. Delineate basic principles that represent thepractice of internal auditing as it should be.
2. Provide a framework for performing andpromoting a broad range of value-addedinternal audit activities.
3. Establish the basis for the measurement ofinternal audit performance.
4. Foster improved organizational processesand operations.
The Standards consist of Attribute Standards(the 1000 Series), Performance Standards (the2000 Series), and Implementation Standards(nnnn.Xn). The Attribute Standards address thecharacteristics of organizations and individualsperforming internal audit activities. ThePerformance Standards describe the nature ofinternal audit activities and provide qualitycriteria against which the performance of theseservices can be measured. The Attribute and
Einleitung
Die Interne Revision erbringt unabhängige undobjektive Prüfungs- („assurance“-) und Bera-tungsdienstleistungen, welche darauf ausge-richtet sind, Mehrwerte zu schaffen und dieGeschäftsprozesse zu verbessern. Sie unter-stützt die Organisation bei der Erreichung ihrerZiele, indem sie mit einem systematischen undzielgerichteten Ansatz die Effektivität des Risiko-managements, der Kontrollen und der Füh-rungs- und Überwachungsprozesse bewertetund diese verbessern hilft.
Die Interne Revision erfüllt ihre Aufgaben unterunterschiedlichen rechtlichen und gesellschaft-lichen Rahmenbedingungen in Unternehmen,deren Geschäftszweck, Größe und Struktur dif-ferieren. Die entsprechenden Tätigkeiten kön-nen von Mitarbeitern des Unternehmens oderexternen Stellen durchgeführt werden. DieseUnterschiede können die Tätigkeit der InternenRevision in ihrem jeweiligen Umfeld beeinflus-sen. Interne Revisoren müssen jedoch die Stan-dards für die berufliche Praxis der InternenRevision (Standards) einhalten, um ihrer Verant-wortung gerecht zu werden.
Die Standards dienen folgenden Zwecken:
1. Darstellung der Grundprinzipien der Praxisder Internen Revision wie sie sein sollte.
2. Schaffung von Rahmenbedingungen für dieDurchführung und Förderung vielfältiger wert-schöpfender Dienstleistungen der InternenRevision.
3. Aufstellung von Bewertungskriterien für dieLeistung der Internen Revision.
4. Förderung verbesserter organisatorischer Ge-schäftsprozesse und Arbeitsvorgänge.
Die Standards bestehen aus Attribut-Stan-dards („1000er Serie“), Performance-Stan-dards („2000er Serie“) und Implementierungs-Standards (nnnn.Xn). Die Attribut-Standardsbeschäftigen sich mit den typischen Merkmalenvon Unternehmen und Personen, die Aufgabender Internen Revision wahrnehmen. Die Perfor-mance-Standards beschreiben die Tätigkeitsfel-der der Internen Revision und stellen Quali-tätskriterien auf, mit denen die Dienstleistungen
2
Performance Standards apply to internal auditservices in general. The ImplementationStandards apply the Attribute and PerformanceStandards to specific types of engagements (for example, a compliance audit, a fraudinvestigation, or a control self-assessmentproject).
There is one set of Attribute and PerformanceStandards, however there may be multiple setsof Implementation Standards: a set for each ofthe major types of internal audit activity. Initially,the Implementation Standards are beingestablished for assurance activities (noted byan “A” following the Standard number, e. g.,1130.A1) and consulting activities (noted by a“C” following the Standard number, e. g.,nnnn.C1).
The Standards are part of the ProfessionalPractices Framework. This framework wasproposed by the Guidance Task Force andapproved by The IIA’s Board of Directors inJune 1999. This framework includes theDefinition of Internal Auditing, the Code ofEthics, the Standards, and other guidance. TheStandards incorporate the guidance previouslycontained in the “The Red Book”, recasting itinto the new format proposed by the GuidanceTask Force and updating it as recommended inthe Task Force’s report, A Vision for theFuture.
The Standards employ terms that have beengiven specific meanings that are included in theGlossary.
The Internal Auditing Standards Board iscommitted to extensive consultation in thepreparation of the Standards. Prior to issuingany document, the Standards Board issuesexposure drafts internationally for publiccomment. The Standards Board also seeksthose with special expertise or interests forconsultation where necessary. The developmentof standards is an ongoing process. The
gemessen werden können. Die Attributs- undPerformance-Standards gelten grundsätzlichfür alle Aktivitäten der Internen Revision. DieImplementierungs-Standards wenden die Attri-but- und Performance-Standards bei bestimm-ten Arten von Aufträgen an (beispielsweise diePrüfung der Einhaltung von Vorschriften, Unter-suchungen doloser Handlungen oder Durch-führung von Control-Self-Assessment-Projekten).
Während es nur eine Serie Attribut- und Perfor-mance-Standards gibt, können durchaus meh-rere Serien Implementierungs-Standards exi-stieren: jeweils eine Serie für die wichtigstenArten von Tätigkeiten der Internen Revision. Essind Implementierungs-Standards für Prüfung-stätigkeiten ([assurance-activities], durch ein„A“ nach der Nummer des Standards gekenn-zeichnet, z. B. 1130.A1) und Beratungstätig-keiten ([consulting-activities], durch ein „C“nach der Nummer des Standards gekennzeich-net, z. B. nnnn.C1) erstellt worden.
Die Standards sind Teil des Regelwerks derBeruflichen Praxis (Professional PracticesFramework). Dieses Regelwerk wurde von der„Guidance Task Force“ vorgeschlagen und imJuni 1999 vom Board of Directors des IIAgenehmigt. Das Regelwerk umfasst die Definiti-on des Begriffs Interne Revision, die Berufs-ethik, die Standards und weitere Anleitungen.Die Standards beinhalten die in den alten Stan-dards (oranges Buch) enthaltenen Anleitungenin einem neuen von der „Guidance Task Force“vorgeschlagenen Format. Sie sind außerdementsprechend den Empfehlungen des Berichtsder Task Force A Vision for the Future aktua-lisiert worden.
In den Standards werden Begriffe verwendet,deren spezifische Bedeutungen im Glossar auf-geführt sind.
Der „Internal Auditing Standards Board“ ist beider Abfassung der Standards zu einem intensi-ven Beratungsprozess verpflichtet. Bevor einDokument veröffentlicht wird, gibt der Stan-dards Board auf internationaler Ebene Arbeits-papiere heraus, zu denen die ÖffentlichkeitKommentare abgeben kann. Falls erforderlich,holt der Standards Board auch Fachmeinungenvon Experten ein. Die Entwicklung von Stan-
3
Standards Board welcomes input from IIAmembers and other interested parties to identifyemerging issues requiring new standards orrevision to current standards. Suggestionsshould be sent to:
Institute of Internal AuditorsSenior Manager Technical Services247 Maitland Ave.Altamonte Springs, Florida 32701USA
E-mail: [email protected]
Additional guidance regarding how theStandards might be put into practice can befound in Practice Advisories that are issued bythe Professional Issues Committee.
These Standards will be effective January 1, 2002. Earlier adoption is encouraged.
dards ist ein kontinuierlicher Prozess. Der Stan-dards Board begrüßt Beiträge von IIA-Mitglie-dern und anderen interessierten Kreisen, um soneue Entwicklungen zu identifizieren, die neueStandards oder die Überarbeitung aktuellerStandards erfordern. Vorschläge sind an folgen-de Anschrift zu richten:
Administrator, Global Practices CenterThe Institute of Internal Auditors247 Maitland Ave.Altamonte Springs, Florida 32701-4201USA
E-Mail: [email protected]
Zusätzliche Anleitungen bezüglich der prakti-schen Umsetzung der Standards sind den Prak-tischen Ratschlägen (Practice Advisories) zuentnehmen, die vom „Professional Issues Com-mittee“ herausgegeben werden.
Diese Standards sind seit 1. Januar 2002 inKraft.
4
Attribute Standards
1000 – Purpose, Authority, and Responsibility
The purpose, authority, and responsibility of theinternal audit activity should be formally definedin a charter, consistent with the Standards, andapproved by the board.
1000.A1 – The nature of assurance servicesprovided to the organization should bedefined in the audit charter. If assurances areto be provided to parties outside theorganization, the nature of these assurancesshould also be defined in the charter
1000.C1 – The nature of consulting servicesshould be defined in the audit charter.
1100 – Independence and Objectivity
The internal audit activity should beindependent, and internal auditors should beobjective in performing their work.
1110 – Organizational Independence
The chief audit executive should report to a levelwithin the organization that allows the internalaudit activity to fulfill its responsibilities.
1110.A1 – The internal audit activity should befree from interference in determining thescope of internal auditing, performing work,and communicating results.
1120 – Individual Objectivity
Internal auditors should have an impartial,unbiased attitude and avoid conflicts of interest.
1130 – Impairments to Independence orObjectivity
If independence or objectivity is impaired in factor appearance, the details of the impairmentshould be disclosed to appropriate parties. Thenature of the disclosure will depend upon theimpairment.
Attribute-Standards
1000 – Aufgabenstellung, Befugnisse undVerantwortung
Aufgabenstellung, Befugnisse und Verantwortungder Internen Revision sind offiziell und in Überein-stimmung mit den Standards in einer Geschäfts-ordnung (Charter) zu definieren und von der Unter-nehmensleitung bzw. dem Board zu genehmigen.
1000.A1 – Die Art der zu erbringenden Prü-fungsleistungen ist in der Geschäftsordnungfestzulegen. Wenn Prüfungsleistungen fürDritte erbracht werden, sind diese ebenfalls inder Geschäftsordnung zu definieren.
1000.C1 – Die Art der zu erbringendenBeratungsleistungen ist in der Geschäftsord-nung festzulegen.
1100 – Unabhängigkeit und Objektivität
Die Interne Revision muss unabhängig sein, unddie Internen Revisoren müssen bei der Durch-führung ihrer Aufgaben objektiv vorgehen.
1110 – Organisatorische Unabhängigkeit
Der Leiter der Revision (Chief Audit Executive)untersteht der Ebene innerhalb des Unterneh-mens, die dafür sorgt, dass die Interne Revisionihre Aufgaben sachgerecht erfüllen kann.
1110.A1 – Die Interne Revision darf bei derFestlegung des Umfangs der Internen Prü-fung, der Arbeitsdurchführung und derBerichterstattung nicht behindert werden.
1120 – Persönliche Objektivität
Interne Revisoren müssen unparteiisch und un-voreingenommen sein und Interessenkonfliktevermeiden.
1130 – Beeinträchtigungen von Unabhängigkeit oder Objektivität
Ist die Unabhängigkeit oder Objektivität tatsäch-lich oder dem Anschein nach beeinträchtigt, sosind den zuständigen Stellen die entsprechendenEinzelheiten offenzulegen. Die Art der Offenlegunghängt von der jeweiligen Beeinträchtigung ab.
5
1130.A1 – Internal auditors should refrainfrom assessing specific operations for whichthey were previously responsible. Objectivityis presumed to be impaired if an auditorprovides assurance services for an activity forwhich the auditor had responsibility within theprevious year.
1130.A2 – Assurance engagements forfunctions over which the chief audit executivehas responsibility should be overseen by aparty outside the internal audit activity.
1130.C1 – Internal auditors may provideconsulting services relating to operations forwhich they had previous responsibilities.
1130.C2 – If internal auditors have potentialimpairments to independence or objectivityrelating to proposed consulting services,disclosure should be made to theengagement client prior to accepting theengagement.
1200 – Proficiency and Due Professional Care
Engagements should be performed withproficiency and due professional care.
1210 – Proficiency
Internal auditors should possess the knowledge,skills, and other competencies needed toperform their individual responsibilities. Theinternal audit activity collectively should possessor obtain the knowledge, skills, and othercompetencies needed to perform itsresponsibilities.
1210.A1 – The chief audit executive shouldobtain competent advice and assistance if theinternal audit staff lacks the knowledge, skills,or other competencies needed to perform allor part of the engagement.
1210.A2 – The internal auditor should havesufficient knowledge to identify the indicatorsof fraud but is not expected to have theexpertise of a person whose primary
1130.A1 – Interne Revisoren sollten von derBeurteilung von Geschäftsprozessen abse-hen, für die sie zuvor verantwortlich waren.Die Objektivität gilt als beeinträchtigt, wennein Revisor Prüfungen eines Tätigkeitsbe-reichs durchführt, für den er im Verlauf desletzten Jahres verantwortlich war.
1130.A2 – Prüfungen von Organisationsein-heiten, für die der Leiter der Revision die Ver-antwortung trägt, sind von einer Stelle außer-halb der Internen Revision zu überwachen.
1130.C1 – Interne Revisoren können Bera-tungsleistungen für Geschäftsprozesse er-bringen, für die sie früher Verantwortunggetragen haben.
1130.C2 – Wenn Interne Revisoren in Verbin-dung mit einer Beratungsleistung eine mögli-che Beeinträchtigung der Unabhängigkeitoder Objektivität sehen, ist dies dem Kundenvor der Annahme des Auftrags offenzulegen.
1200 – Fachkompetenz und berufliche Sorgfaltspflicht
Die Aufträge sind mit Fachkompetenz und er-forderlicher beruflicher Sorgfalt durchzuführen.
1210 – Fachkompetenz
Interne Revisoren verfügen über das Wissen, dieFähigkeiten und sonstige Qualifikationen, dieerforderlich sind, um ihrer Verantwortung ge-recht zu werden. Die Interne Revision mussinsgesamt das Wissen, die Fähigkeiten und son-stige Qualifikationen besitzen oder sich beschaf-fen, die erforderlich sind, um der Verantwortungder Abteilung gerecht zu werden.
1210.A1 – Der Leiter der Revision holt kom-petenten Rat und Unterstützung ein, falls esseinen Mitarbeitern an Wissen, Fähigkeitenoder sonstigen Qualifikationen mangelt, diezur teilweisen oder vollständigen Erfüllung desPrüfungsauftrags erforderlich sind.
1210.A2 – Der Interne Revisor verfügt überausreichendes Wissen, um Indizien für doloseHandlungen zu erkennen. Es wird jedochnicht erwartet, dass er über den gleichen
6
responsibility is detecting and investigatingfraud.
1210.C1 – The chief audit executive shoulddecline the consulting engagement or obtaincompetent advice and assistance if theinternal audit staff lacks the knowledge, skills,or other competencies needed to perform allor part of the engagement.
1220 – Due Professional Care
Internal auditors should apply the care and skillexpected of a reasonably prudent andcompetent internal auditor. Due professionalcare does not imply infallibility.
1220.A1 – The internal auditor should exercisedue professional care by considering the:
■ Extent of work needed to achieve theengagement’s objectives.
■ Relative complexity, materiality, orsignificance of matters to which assuranceprocedures are applied.
■ Adequacy and effectiveness of riskmanagement, control, and governanceprocesses.
■ Probability of significant errors, irregularities,or noncompliance.
■ Cost of assurance in relation to potentialbenefits.
1220.A2 – The internal auditor should be alertto the significant risks that might affectobjectives, operations, or resources.However, assurance procedures alone, evenwhen performed with due professional care,do not guarantee that all significant risks willbe identified.
1220.C1 – The internal auditor shouldexercise due professional care during aconsulting engagement by considering the:
Umfang an Sachkenntnis und Erfahrung ver-fügt wie ein Experte für die Aufdeckung undUntersuchung doloser Handlungen.
1210.C1 – Der Leiter der Revision lehnt denBeratungsauftrag ab oder holt kompetentenRat und Unterstützung ein, wenn die Mitarbeiterder Internen Revision nicht über das Wissen,die Fähigkeiten oder sonstige Qualifikationenverfügen, die zur teilweisen oder vollständigenErfüllung des Auftrags erforderlich sind.
1220 – Berufliche Sorgfaltspflicht
Interne Revisoren haben jenes Maß an Sorgfaltund Sachkenntnis anzuwenden, das üblicher-weise von einem umsichtigen und kompetentenInternen Revisor erwartet werden kann. Beruf-liche Sorgfaltspflicht ist nicht gleichbedeutendmit Unfehlbarkeit.
1220.A1 – Der Interne Revisor nimmt seineberufliche Sorgfaltspflicht wahr, indem er fol-gende Punkte beachtet:
■ Den zur Erreichung der Prüfungsziele erfor-derlichen Arbeitsumfang.
■ Die relative Komplexität, Wesentlichkeitoder Bedeutung der Sachverhalte, dieGegenstand von Prüfverfahren sind.
■ Die Angemessenheit und Effektivität vonRisikomanagement-, Kontroll- sowie Füh-rungs- und Überwachungsprozessen.
■ Die Wahrscheinlichkeit des Vorliegensbedeutender Fehler, Unregelmäßigkeitenoder der Nichteinhaltung von Vorschriften.
■ Die Kosten der Prüfungstätigkeit im Verhält-nis zum möglichen Nutzen.
1220.A2 – Der Interne Revisor ist sich derwesentlichen Risiken bewusst, die sich aufgeschäftliche Ziele, Geschäftsprozesse oderRessourcen auswirken können. Jedoch kön-nen die Prüfverfahren der Internen Revisionallein, auch wenn sie mit der erforderlichenSorgfalt durchgeführt werden, nicht sicher-stellen, dass alle wesentlichen Risiken erkanntwerden.
1220.C1 – Der Interne Revisor nimmt seine be-rufliche Sorgfaltspflicht wahr, indem er bei einemBeratungsauftrag folgende Punkte beachtet:
7
■ Needs and expectations of clients, includingthe nature, timing, and communication ofengagement results.
■ Relative complexity and extent of workneeded to achieve the engagement’sobjectives.
■ Cost of the consulting engagement inrelation to potential benefits.
1230 – Continuing Professional Development
Internal auditors should enhance theirknowledge, skills, and other competenciesthrough continuing professional development.
1300 – Quality Assurance and ImprovementProgram
The chief audit executive should develop andmaintain a quality assurance and improvementprogram that covers all aspects of the internalaudit activity and continuously monitors itseffectiveness. The program should be designedto help the internal auditing activity add valueand improve the organization’s operations and toprovide assurance that the internal audit activityis in conformity with the Standards and theCode of Ethics.
1310 – Quality Program Assessments
The internal audit activity should adopt aprocess to monitor and assess the overalleffectiveness of the quality program. Theprocess should include both internal andexternal assessments.
1311 – Internal Assessments
Internal assessments should include:
■ Ongoing reviews of the performance of theinternal audit activity; and
■ Periodic reviews performed through self-assessment or by other persons within theorganization, with knowledge of internalauditing practices and the Standards.
■ Die Bedürfnisse und Erwartungen der Kun-den, die die Art der Beratung, die Zeitvorga-ben und die Berichterstattung über dieErgebnisse einschließen.
■ Die relative Komplexität und den Umfang derTätigkeiten zur Erreichung der Ziele desBeratungsauftrags.
■ Die Kosten des Beratungsauftrags im Ver-hältnis zum erwarteten Nutzen.
1230 – Regelmäßige fachliche Weiterbildung
Interne Revisoren erweitern ihr Wissen, ihreFähigkeiten und ihre sonstigen Qualifikationendurch regelmäßige fachliche Weiterbildung.
1300 – Programm zur Qualitätssicherungund -verbesserung
Der Leiter der Revision entwickelt und pflegt einProgramm zur Qualitätssicherung und -verbes-serung, das alle Aufgabengebiete der InternenRevision einbezieht und ihre Effektivität kontinu-ierlich überwacht. Dieses Programm ist so zukonzipieren, dass die Interne Revision zur Wert-schöpfung beiträgt und die Geschäftsprozessedes Unternehmens verbessert. Gleichzeitig solldas Programm sicherstellen, dass die InterneRevision in Übereinstimmung mit den Standardsund der Berufsethik (Code of Ethics) arbeitet.
1310 – Beurteilung des Qualitätsprogramms
Die Interne Revision wendet ein Verfahren zurÜberwachung und Beurteilung der allgemeinenEffektivität des Qualitätsprogramms an. DiesesVerfahren sollte sowohl interne als auch externeBeurteilungen umfassen.
1311 – Interne Beurteilungen
Interne Beurteilungen beinhalten:
■ Laufende Reviews der Aufgabenerfüllungder Internen Revision, und
■ Periodische Reviews durch Selbstbeurtei-lung oder durch Personen innerhalb desUnternehmens, die über entsprechendeKenntnisse der Arbeitsmethoden der Inter-nen Revision und der Standards verfügen.
8
1312 – External Assessments
External assessments, such as qualityassurance reviews, should be conducted atleast once every five years by a qualified,independent reviewer or review team fromoutside the organization.
1320 – Reporting on the Quality Program
The chief audit executive should communicatethe results of external assessments to the board.
1330 – Use of “Conducted in Accordance with the Standards”
Internal auditors are encouraged to report thattheir activities are “conducted in accordancewith the Standards for the Professional Practiceof Internal Auditing.” However, internal auditorsmay use the statement only if assessments ofthe quality improvement program demonstratethat the internal audit activity is in compliancewith the Standards.
1340 – Disclosure of Noncompliance
Although the internal audit activity shouldachieve full compliance with the Standards andinternal auditors with the Code of Ethics, theremay be instances in which full compliance is notachieved. When noncompliance impacts theoverall scope or operation of the internal auditactivity, disclosure should be made to seniormanagement and the board.
1312 – Externe Beurteilungen
Externe Beurteilungen, wie beispielsweise Qua-litätssicherungsreviews, sollten mindestens allefünf Jahre von einem qualifizierten unabhängigenPrüfer oder Prüfungsteam durchgeführt werden,der bzw. das nicht dem Unternehmen angehört.
1320 – Berichterstattung zum Qualitätsprogramm
Der Leiter der Revision sollte der Unternehmens-leitung bzw. dem Board die Ergebnisse derexternen Beurteilung mitteilen.
1330 – Gebrauch der Formulierung „In Übereinstimmung mit den Standards durchgeführt“
Interne Revisoren werden ermutigt, im Bericht zuerwähnen, dass ihre Revisionstätigkeiten „inÜbereinstimmung mit den Standards für dieberufliche Praxis der Internen Revision durchge-führt wurden“. Allerdings dürfen die InternenRevisoren diese Formulierung nur dann verwen-den, wenn die Beurteilungen durch das Qua-litätsverbesserungsprogramm ergeben, dass dieArbeit der Internen Revision den Standards ent-spricht.
1340 – Offenlegung von Fällen der Nichteinhaltung
Obwohl die Interne Revision in jeder Hinsichtden Standards entsprechen und die InternenRevisoren die Berufsethik einhalten sollten, kannes in Einzelfällen vorkommen, dass eine vollstän-dige Einhaltung nicht erreicht wird. Wenn dieNichteinhaltung sich auf den gesamten Umfangder Tätigkeit der Internen Revision auswirkt, soll-te dies der Unternehmensleitung und dem Boardberichtet werden.
9
Performance Standards
2000 – Managing the Internal Audit Activity
The chief audit executive should effectivelymanage the internal audit activity to ensure itadds value to the organization.
2010 – Planning
The chief audit executive should establish risk-based plans to determine the priorities of theinternal audit activity, consistent with theorganization’s goals.
2010.A1 – The internal audit activity’s plan ofengagements should be based on a riskassessment, undertaken at least annually. Theinput of senior management and the boardshould be considered in this process.
2010.C1 – The chief audit executive shouldconsider accepting proposed consultingengagements based on the engagement’spotential to improve management of risks,add value, and improve the organization’soperations. Those engagements that havebeen accepted should be included in the plan.
2020 – Communication and Approval
The chief audit executive should communicatethe internal audit activity’s plans and resourcerequirements, including significant interimchanges, to senior management and to theboard for review and approval. The chief auditexecutive should also communicate the impact ofresource limitations.
2030 – Resource Management
The chief audit executive should ensure thatinternal audit resources are appropriate,sufficient, and effectively deployed to achievethe approved plan.
Performance-Standards
2000 – Leitung der Internen Revision
Der Leiter der Revision führt die Interne Revisioneffektiv, um ihre wertschöpfende Wirkung fürdas Unternehmen sicherzustellen.
2010 – Planung
Der Leiter der Revision legt in der Planung diePrioritäten nach Risikokriterien und entspre-chend den Unternehmenszielen fest.
2010.A1 – Die Prüfungsplanung der InternenRevision erfolgt auf Basis einer Risikobeurtei-lung, die mindestens einmal pro Jahr durchzu-führen ist. Der Input der Unternehmensleitungund des Boards werden dabei berücksichtigt.
2010.C1 – Der Leiter der Revision beurteilt beider Annahme eines vorgeschlagenen Beratungs-auftrags dessen Chance, zur Verbesserungdes Risikomanagements, zur Wertschöpfungund zur Verbesserung der Geschäftsprozessebeizutragen. Die angenommenen Aufträge sindin die Planung einzubeziehen.
2020 – Berichterstattung und Genehmigung
Der Leiter der Revision berichtet der Unterneh-mensleitung und dem Board über die Planungder Internen Revision, über den Bedarf an Per-sonal und Sachmitteln sowie über zwischenzeit-liche wesentliche Änderungen und holt dafür dieentsprechende Genehmigung ein. Außerdemberichtet der Leiter der Revision über Folgenetwaiger Ressourcenbeschränkungen.
2030 – Ressourcen-Management
Der Leiter der Revision stellt sicher, dass dieRessourcen der Internen Revision angemessenund ausreichend sind und wirksam eingesetztwerden, um die genehmigte Planung erfüllen zukönnen.
10
2040 – Policies and Procedures
The chief audit executive should establishpolicies and procedures to guide the internalaudit activity.
2050 – Coordination
The chief audit executive should shareinformation and coordinate activities with otherinternal and external providers of relevantassurance and consulting services to ensureproper coverage and minimize duplication ofefforts.
2060 – Reporting to the Board and Senior Management
The chief audit executive should reportperiodically to the board and seniormanagement on the internal audit activity’spurpose, authority, responsibility, andperformance relative to its plan. Reportingshould also include significant risk exposuresand control issues, corporate governanceissues, and other matters needed or requestedby the board and senior management.
2100 – Nature of Work
The internal audit activity evaluates andcontributes to the improvement of riskmanagement, control and governance systems.
2110 – Risk Management
The internal audit activity should assist theorganization by identifying and evaluatingsignificant exposures to risk and contributing tothe improvement of risk management andcontrol systems.
2110.A1 – The internal audit activity shouldmonitor and evaluate the effectiveness of theorganization’s risk management system.
2110.A2 – The internal audit activity shouldevaluate risk exposures relating to theorganization’s governance, operations, andinformation systems regarding the
2040 – Richtlinien und Verfahren
Der Leiter der Revision legt Richtlinien und Ver-fahren für die Führung der Internen Revisionfest.
2050 – Koordinierung
Der Leiter der Revision gibt Informationen anandere interne und externe Stellen weiter, dierelevante Prüfungs- und Beratungsleistungenerbringen und koordiniert die Aktivitäten mit die-sen, damit eine ordnungsgemäße Abdeckungaller Bereiche erzielt und Doppelarbeiten vermie-den werden.
2060 – Berichterstattung an Unternehmens-leitung und Board
Der Leiter der Revision berichtet regelmäßig andie Unternehmensleitung und den Board überAufgabenstellung, Befugnisse und Verantwortungder Internen Revision sowie die Aufgabener-füllung im Vergleich zur Planung. Die Berichter-stattung bezieht auch wesentliche Risikopoten-ziale, Fragen der Kontrollen, der Führung undÜberwachung sowie andere Themen ein, die vonder Unternehmensleitung und vom Boardbenötigt oder angefordert werden.
2100 – Art der Arbeiten
Die Interne Revision bewertet Risikomanage-ment-, Kontroll- sowie Führungs- und Überwa-chungssysteme und trägt zu deren Verbesse-rung bei.
2110 – Risikomanagement
Die Interne Revision unterstützt das Unterneh-men bei der Erkennung und Bewertung wesent-licher Risikopotenziale und leistet Beiträge zurVerbesserung der Risikomanagement- und Kon-trollsysteme.
2110.A1 – Die Interne Revision überwacht undbewertet die Effektivität des Risikomanage-mentsystems des Unternehmens.
2110.A2 – Die Interne Revision bewertet dieRisikopotenziale in der Führung und Überwa-chung, in den Geschäftsprozessen und in denInformationssystemen des Unternehmens inBezug auf:
11
■ Reliability and integrity of financial andoperational information.
■ Effectiveness and efficiency of operations.
■ Safeguarding of assets.
■ Compliance with laws, regulations, andcontracts.
2110.C1 – During consulting engagements,internal auditors should address riskconsistent with the engagement’s objectivesand should be alert to the existence of othersignificant risks.
2110.C2 – Internal auditors shouldincorporate knowledge of risks gained fromconsulting engagements into the process ofidentifying and evaluating significant riskexposures of the organization.
2120 – Control
The internal audit activity should assist theorganization in maintaining effective controls byevaluating their effectiveness and efficiency andby promoting continuous improvement.
2120.A1 – Based on the results of the riskassessment, the internal audit activity shouldevaluate the adequacy and effectiveness ofcontrols encompassing the organization’sgovernance, operations, and informationsystems. This should include:
■ Reliability and integrity of financial andoperational information.
■ Effectiveness and efficiency of operations.
■ Safeguarding of assets.
■ Compliance with laws, regulations, andcontracts.
2120.A2 – Internal auditors should ascertainthe extent to which operating and programgoals and objectives have been establishedand conform to those of the organization.
■ Zuverlässigkeit und Integrität von Daten desRechnungswesens und anderen betriebli-chen Informationen.
■ Effektivität und Effizienz von Geschäftspro-zessen.
■ Sicherung des Betriebsvermögens.
■ Einhaltung von Gesetzen, Verordnungen undVerträgen.
2110.C1 – Interne Revisoren sprechen Risi-ken in Verbindung mit den Zielen des Bera-tungsauftrags an und achten auf anderewesentliche Risiken.
2110.C2 – Interne Revisoren lassen Erkennt-nisse über im Rahmen von Beratungsaufträ-gen entdeckte Risiken in die Prozesse derRisikoerkennung und -bewertung des Unter-nehmens einfließen.
2120 – Kontrollen
Die Interne Revision unterstützt das Unterneh-men bei der Aufrechterhaltung wirksamer Kon-trollen, indem sie deren Effektivität und Effizienzbewertet sowie kontinuierliche Verbesserungenfördert.
2120.A1 – Auf Basis der Ergebnisse der Risi-kobewertung beurteilt die Interne Revision dieAngemessenheit und Effektivität der Kontrol-len, die die Führung und Überwachung derGeschäftsprozesse und Informationssystemedes Unternehmens umfassen. Dabei sind fol-gende Faktoren zu berücksichtigen:
■ Zuverlässigkeit und Integrität von Daten desRechnungswesens und anderen betriebli-chen Informationen.
■ Effektivität und Effizienz von Geschäftspro-zessen.
■ Sicherung des Betriebsvermögens.
■ Einhaltung von Gesetzen, Verordnungenund Verträgen.
2120.A2 – Interne Revisoren ermitteln, inwie-weit Ziele für Geschäftsprozesse und Pro-gramme vorgegeben wurden und ob diese mitden Unternehmenszielen übereinstimmen.
12
2120.A3 – Internal auditors should reviewoperations and programs to ascertain theextent to which results are consistent withestablished goals and objectives to determinewhether operations and programs are beingimplemented or performed as intended.
2120.A4 – Adequate criteria are needed toevaluate controls. Internal auditors shouldascertain the extent to which managementhas established adequate criteria todetermine whether objectives and goals havebeen accomplished. If adequate, internalauditors should use such criteria in theirevaluation. If inadequate, internal auditorsshould work with management to developappropriate evaluation criteria.
2120.C1 – During consulting engagements,internal auditors should address controlsconsistent with the engagement’s objectivesand should be alert to the existence of anysignificant control weaknesses.
2120.C2 – Internal auditors shouldincorporate knowledge of controls gainedfrom consulting engagements into theprocess of identifying and evaluatingsignificant risk exposures of the organization.
2130 – Governance
The internal audit activity should contribute tothe organization’s governance process byevaluating and improving the process throughwhich (1) values and goals are established andcommunicated, (2) the accomplishment of goalsis monitored, (3) accountability is ensured, and(4) values are preserved.
2130.A1 – Internal auditors should reviewoperations and programs to ensureconsistency with organizational values.
2130.C1 – Consulting engagement objectivesshould be consistent with the overall valuesand goals of the organization.
2120.A3 – Interne Revisoren prüfen Geschäfts-prozesse und Programme, um zu ermitteln,inwieweit die Ergebnisse den gesetzten Zielenentsprechen. Damit wird festgestellt, ob Ge-schäftsprozesse und Programme wie beab-sichtigt umgesetzt bzw. ausgeführt werden.
2120.A4 – Zur Bewertung von Kontrollen sindangemessene Kriterien erforderlich. InterneRevisoren ermitteln, inwieweit das Manage-ment angemessene Kriterien zur Beurteilungder Zielerreichung festgelegt hat. Soweit dieKriterien angemessen sind, sind sie von Inter-nen Revisoren in der Bewertung zu verwen-den. Soweit die Kriterien nicht angemessensind, sollten die Internen Revisoren gemein-sam mit dem Management angemessene Kri-terien entwickeln.
2120.C1 – Interne Revisoren sprechen Kon-trollen, die im Einklang mit den Zielen desBeratungsauftrags stehen, an und achten dar-auf, ob andere wesentliche Schwächen beiden Kontrollen vorhanden sind.
2120.C2 – Interne Revisoren lassen die imRahmen von Beratungsaufträgen erlangtenKenntnisse über Kontrollen in die Prozesseder Risikoerkennung und -bewertung desUnternehmens einfließen.
2130 – Führung und Überwachung
Die Interne Revision trägt zum Führungs- undÜberwachungsprozess des Unternehmens bei,indem sie den Prozess bewertet und verbessert,durch den (1) Werte und Ziele vorgegeben undkommuniziert werden, (2) die Zielerreichungüberwacht wird, (3) die Verantwortung sicherge-stellt ist und (4) Werte erhalten werden.
2130.A1 – Interne Revisoren überprüfenGeschäftsprozesse und Programme, um dieÜbereinstimmung mit den Werten des Unter-nehmens sicherzustellen.
2130.C1 – Die Ziele eines Beratungsauftragssollten mit den Wert- und Zielvorstellungendes Unternehmens übereinstimmen.
13
2200 – Engagement Planning
Internal auditors should develop and record aplan for each engagement.
2201 – Planning Considerations
In planning the engagement, internal auditorsshould consider:
■ The objectives of the activity being reviewedand the means by which the activity controlsits performance.
■ The significant risks to the activity, itsobjectives, resources, and operations andthe means by which the potential impact ofrisk is kept to an acceptable level.
■ The adequacy and effectiveness of theactivity’s risk management and controlsystems compared to a relevant controlframework or model.
■ The opportunities for making significantimprovements to the activity’s riskmanagement and control systems.
2201.C1 – Internal auditors should establishan understanding with consultingengagement clients about objectives, scope,respective responsibilities, and other clientexpectations. For significant engagements,this understanding should be documented.
2210 – Engagement Objectives
The engagement’s objectives should addressthe risks, controls, and governance processesassociated with the activities under review.
2210.A1 – When planning the engagement,the internal auditor should identify and assessrisks relevant to the activity under review. Theengagement objectives should reflect theresults of the risk assessment.
2210.A2 – The internal auditor shouldconsider the probability of significant errors,irregularities, noncompliance, and other
2200 – Planung einzelner Aufträge
Interne Revisoren entwickeln für jeden Auftrageine schriftliche Planung.
2201 – Planungsüberlegungen
Bei der Planung eines Auftrags sollten InterneRevisoren folgende Faktoren berücksichtigen:
■ Die Ziele des zu prüfenden Tätigkeitsbe-reichs sowie die Mittel, mit denen dieserseine Leistung überprüft.
■ Wesentliche Risiken für den Tätigkeitsbe-reich, dessen Ziele, Ressourcen, Geschäfts-prozesse und die Mittel, mit denen möglicheFolgen der Risiken in einem vertretbarenRahmen gehalten werden.
■ Die Angemessenheit und Effektivität derRisikomanagement- und Kontrollsysteme desbetreffenden Tätigkeitsbereichs im Verhält-nis zu einem relevanten Risikorahmen oderRisikomodell.
■ Die Möglichkeiten, wesentliche Verbesse-rungen an den Risikomanagement- undKontrollsystemen des betreffenden Tätig-keitsbereichs vorzunehmen.
2201.C1 – Die Internen Revisoren vereinbarenmit den Kunden, die Beratungsaufträge ertei-len, Ziele, Umfang, jeweilige Verantwortungund andere Erwartungen. Bei größeren Auf-trägen ist diese Vereinbarung schriftlich fest-zuhalten.
2210 –Ziele des Auftrags
Die Ziele des Auftrags müssen sich auf die mitdem zu prüfenden Tätigkeitsbereich verbunde-nen Risiken und die vorhandenen Kontroll- sowieFührungs- und Überwachungsprozesse richten.
2210.A1 – Bei der Prüfungsplanung hat derInterne Revisor die mit dem zu prüfendenTätigkeitsbereich verbundenen Risiken zuidentifizieren und zu beurteilen. Die Prüfungs-ziele sollten die Ergebnisse der Risikobeurtei-lung wiedergeben.
2210.A2 – Der Interne Revisor berücksichtigtbei der Festlegung der Prüfungsziele dieWahrscheinlichkeit, dass wesentliche Fehler,
14
exposures when developing the engagementobjectives.
2210.C1 – Consulting engagement objectivesshould address risks, controls, andgovernance processes to the extent agreedupon with the client.
2220 – Engagement Scope
The established scope should be sufficient tosatisfy the objectives of the engagement.
2220.A1 – The scope of the engagementshould include consideration of relevantsystems, records, personnel, and physicalproperties, including those under the controlof third parties.
2220.C1 – In performing consultingengagements, internal auditors should ensurethat the scope of the engagement is sufficientto address the agreed-upon objectives. Ifinternal auditors develop reservations aboutthe scope during the engagement, thesereservations should be discussed with theclient to determine whether to continue withthe engagement.
2230 – Engagement Resource Allocation
Internal auditors should determine appropriateresources to achieve engagement objectives.Staffing should be based on an evaluation of thenature and complexity of each engagement, timeconstraints, and available resources.
2240 – Engagement Work Program
Internal auditors should develop work programsthat achieve the engagement objectives. Thesework programs should be recorded.
2240.A1 – Work programs should establishthe procedures for identifying, analyzing,evaluating, and recording information duringthe engagement. The work program shouldbe approved prior to the commencement of
Unregelmäßigkeiten sowie sonstige Risikopo-tenziale vorliegen und Vorschriften nicht ein-gehalten werden.
2210.C1 – Die Ziele eines Beratungsauftragssollten die Risiken, Kontrollen sowie die Füh-rungs- und Überwachungsprozesse in demAusmaß ansprechen, wie sie mit dem Kundenvereinbart wurden.
2220 – Umfang des Auftrags
Der festgelegte Umfang muss ausreichend sein,um das Erreichen der Auftragsziele zu ermögli-chen.
2220.A1 – Bei der Festlegung des Prüfungsum-fangs sollten relevante Systeme, Aufzeich-nungen, Personalausstattung und Vermögens-gegenstände einbezogen werden, einschließlichjener, die sich in der Kontrolle Dritter befinden.
2220.C1 – Bei der Durchführung von Bera-tungsaufträgen sollten Interne Revisorensicherstellen, dass der Umfang des Bera-tungsauftrags ausreicht, um die vereinbartenZiele zu erreichen. Wenn bei Internen Reviso-ren im Verlauf der Arbeiten Zweifel an derAngemessenheit des Umfangs auftreten, soll-ten diese mit dem Kunden diskutiert werden,um über die Fortführung des Beratungsauf-trags zu entscheiden.
2230 – Ressourcenzuteilung für den Auftrag
Interne Revisoren stellen fest, was an Ressour-cen erforderlich ist, um die Auftragsziele errei-chen zu können. Die personelle Ausstattunghängt von der Bewertung der Art und der Kom-plexität des Auftrags, den Zeitvorgaben und denzur Verfügung stehenden Ressourcen ab.
2240 – Arbeitsablaufprogramm
Interne Revisoren entwickeln schriftlicheArbeitsablaufprogramme zur Erreichung der Auf-tragsziele.
2240.A1 – In den Arbeitsablaufprogrammensind die Verfahrensschritte zur Identifizierung,Analyse, Bewertung und Aufzeichnung vonInformationen während der Prüfung festzuhal-ten. Das Arbeitsablaufprogramm ist vor
15
work, and any adjustments approvedpromptly.
2240.C1 – Work programs for consultingengagements may vary in form and contentdepending upon the nature of the engagement.
2300 – Performing the Engagement
Internal auditors should identify, analyze,evaluate, and record sufficient information toachieve the engagement’s objectives.
2310 – Identifying Information
Internal auditors should identify sufficient,reliable, relevant, and useful information toachieve the engagement’s objectives.
2320 – Analysis and Evaluation
Internal auditors should base conclusions andengagement results on appropriate analysesand evaluations.
2330 – Recording Information
Internal auditors should record relevantinformation to support the conclusions andengagement results.
2330.A1 – The chief audit executive shouldcontrol access to engagement records. Thechief audit executive should obtain theapproval of senior management and/or legalcounsel prior to releasing such records toexternal parties, as appropriate.
2330.A2 – The chief audit executive shoulddevelop retention requirements forengagement records. These retentionrequirements should be consistent with theorganization’s guidelines and any pertinentregulatory or other requirements.
2330.C1 – The chief audit executive shoulddevelop policies governing the custody andretention of engagement records, as well astheir release to internal and external parties.These policies should be consistent with theorganization’s guidelines and any pertinentregulatory or other requirements.
Beginn der Arbeiten zu genehmigen; alle spä-teren Anpassungen sind umgehend zurGenehmigung vorzulegen.
2240.C1 – Form und Inhalt der Arbeitsablauf-programme für Beratungsaufträge können,abhängig von der Art des Auftrags, variieren.
2300 – Durchführung des Auftrags
Interne Revisoren identifizieren, analysieren,bewerten und dokumentieren ausreichendeInformationen zur Erreichung der Auftragsziele.
2310 – Identifizierung von Informationen
Interne Revisoren identifizieren ausreichende,zuverlässige, relevante und nützliche Informatio-nen zur Erreichung der Auftragsziele.
2320 – Analyse und Bewertung
Interne Revisoren stützen ihre Schlussfolge-rungen und Revisionsergebnisse auf geeigneteAnalysen und Bewertungen.
2330 – Aufzeichnung von Informationen
Interne Revisoren zeichnen die relevanten Infor-mationen zur Begründung der Schlussfolge-rungen und Revisionsergebnisse auf.
2330.A1 – Der Leiter der Revision regelt denZugang zu den Prüfungsunterlagen. Vor derFreigabe dieser Unterlagen an externe Stellenhat der Leiter der Revision die Genehmigungder Unternehmensleitung, gegebenenfallsauch die Stellungnahme eines Rechtsbera-ters, einzuholen.
2330.A2 – Der Leiter der Revision legt für diePrüfungsunterlagen Aufbewahrungsfristen fest.Diese Aufbewahrungsfristen sollten denUnternehmensrichtlinien und anderen regulati-ven oder sonstigen Anforderungen entsprechen.
2330.C1 – Der Leiter der Revision erstelltRichtlinien für die Aufbewahrung der Bera-tungsunterlagen und legt die Fristen hierfürfest. Ebenso regelt er die Offenlegung dieserUnterlagen an interne und externe Stellen. DieKriterien sollten den Richtlinien des Unterneh-mens und anderen regulativen oder sonstigenAnforderungen entsprechen.
16
2340 – Engagement Supervision
Engagements should be properly supervised toensure objectives are achieved, quality isassured, and staff is developed.
2400 – Communicating Results
Internal auditors should communicate theengagement results promptly.
2410 – Criteria for Communicating
Communications should include theengagement’s objectives and scope as well asapplicable conclusions, recommendations, andaction plans.
2410.A1 – The final communication of resultsshould, where appropriate, contain theinternal auditor’s overall opinion.
2410.A2 – Engagement communicationsshould acknowledge satisfactory performance.
2410.C1 – Communication of the progressand results of consulting engagements willvary in form and content depending upon thenature of the engagement and the needs ofthe client.
2420 – Quality of Communications
Communications should be accurate, objective,clear, concise, constructive, complete, andtimely.
2421 – Errors and Omissions
If a final communication contains a significanterror or omission, the chief audit executiveshould communicate corrected information to allindividuals who received the originalcommunication.
2340 – Beaufsichtigung der Auftragsdurchführung
Die Durchführung der Aufträge ist in geeigneterWeise zu beaufsichtigen, um sicherzustellen,dass die Ziele erreicht werden, die Qualität gesi-chert ist und die Weiterentwicklung des Perso-nals gefördert wird.
2400 – Berichterstattung
Interne Revisoren berichten umgehend über dieErgebnisse der jeweiligen Prüfungs- bzw. Bera-tungsaufträge.
2410 – Berichterstattungskriterien
Die Berichterstattung enthält Ziele und Umfangsowie anwendbare Schlussfolgerungen, Emp-fehlungen und Aktionspläne.
2410.A1 – Der Revisionsschlussbericht ent-hält – soweit angebracht – eine zusammenfas-sende Stellungnahme des Internen Revisors.
2410.A2 – Die Berichterstattung enthält auchdie Bestätigung einer zufriedenstellenden Lei-stung.
2410.C1 – Form und Inhalt der Berichterstat-tung über den Fortschritt und die Ergebnissevon Beratungsaufträgen können, abhängigvon der Art des Auftrags und den Bedürfnis-sen des Kunden, variieren.
2420 – Qualität der Berichterstattung
Revisionsberichte müssen richtig, objektiv, klar,prägnant, konstruktiv und vollständig sein undzeitnah erstellt werden.
2421 – Fehler und Auslassungen
Enthält der Revisionsschlussbericht wesentlicheFehler oder Auslassungen, so hat der Leiter derRevision allen Personen, die den ursprünglichenBericht erhalten haben, die berichtigten Informa-tionen zu übermitteln.
17
2430 – Engagement Disclosure of Noncompliance with the Standards
When noncompliance with the Standardsimpacts a specific engagement, communicationof the results should disclose the:
■ Standard(s) with which full compliance wasnot achieved,
■ Reason(s) for noncompliance, and
■ Impact of noncompliance on the engagement.
2440 – Disseminating Results
The chief audit executive should disseminateresults to the appropriate individuals.
2440.A1 – The chief audit executive isresponsible for communicating the finalresults to individuals who can ensure that theresults are given due consideration.
2440.C1 – The chief audit executive isresponsible for communicating the finalresults of consulting engagements to clients.
2440.C2 – During consulting engagements,risk management, control, and governanceissues may be identified. Whenever theseissues are significant to the organization, they should be communicated to seniormanagement and the board.
2500 – Monitoring Progress
The chief audit executive should establish andmaintain a system to monitor the disposition ofresults communicated to management.
2500.A1 – The chief audit executive shouldestablish a follow-up process to monitor andensure that management actions have beeneffectively implemented or that seniormanagement has accepted the risk of nottaking action.
2500.C1 – The internal audit activity shouldmonitor the disposition of results of consultingengagements to the extent agreed upon withthe client.
2430 – Offenlegung der Nichteinhaltung derStandards im Rahmen des Auftrags
Falls die Nichteinhaltung der Standards sich aufeinen bestimmten Auftrag auswirkt, ist im Revisi-onsbericht Folgendes offenzulegen:
■ Standard(s), der bzw. die nicht vollständigeingehalten wurde(n),
■ Grund bzw. Gründe der Nichteinhaltungund
■ Auswirkung der Nichteinhaltung.
2440 – Weitergabe der Revisionsergebnisse
Der Leiter der Revision leitet die Revisionser-gebnisse an die zuständigen Personen weiter.
2440.A1 – Der Leiter der Revision ist dafürverantwortlich, dass die Revisionsergebnissean diejenigen Personen weitergegeben wer-den, die sicherstellen können, dass die Revisi-onsergebnisse gebührende Beachtung finden.
2440.C1 – Der Leiter der Revision ist verant-wortlich für die Berichterstattung über dieBeratungsergebnisse an die Kunden.
2440.C2 – Im Verlauf eines Beratungsauf-trags können Fragen auftreten, die das Risi-komanagement, die Kontrollen sowie dieFührung und Überwachung betreffen. Fallsdiese Fragen für das Unternehmen vonBedeutung sind, sind sie der Unternehmens-leitung und dem Board zu berichten.
2500 – Überwachung des weiteren Vorgehens
Der Leiter der Revision entwickelt und pflegt einSystem zur Überwachung der Erledigung derFeststellungen in Revisionsberichten, die demManagement übergeben wurden.
2500.A1 – Der Leiter der Revision richtet einFollow-up-Verfahren ein, mit dem überwachtund sichergestellt wird, dass Maßnahmen desManagements wirksam umgesetzt werdenoder die Unternehmensleitung das Risiko aufsich genommen hat, keine Maßnahmen zu ver-anlassen.
2500.C1 – Die Interne Revision überwachtdie Umsetzung der Beratungsergebnisse indem mit dem Kunden vereinbarten Umfang.
18
2600 – Management’s Acceptance of Risks
When the chief audit executive believes thatsenior management has accepted a level ofresidual risk that is unacceptable to theorganization, the chief audit executive shoulddiscuss the matter with senior management. Ifthe decision regarding residual risk is notresolved, the chief audit executive and seniormanagement should report the matter to theboard for resolution.
2600 – Risikoübernahme durch das Management
Ist der Leiter der Revision der Auffassung, dassdie Unternehmensleitung ein Restrisiko in einerGrößenordnung auf sich genommen hat, die fürdas Unternehmen nicht tragbar ist, so hat derLeiter der Revision diese Sachlage mit derUnternehmensleitung zu besprechen. Kann dabeibezüglich des Restrisikos keine gemeinsameEntscheidung getroffen werden, so legen derLeiter der Revision und die Unternehmensleitungdie Angelegenheit dem Board zur Entscheidungvor.
19
Glossary
Add Value – Organizations exist to create value or benefitto their owners, other stakeholders, customers, andclients. This concept provides purpose for their existence.Value is provided through their development of productsand services and their use of resources to promote thoseproducts and services. In the process of gathering data tounderstand and assess risk, internal auditors developsignificant insight into operations and opportunities forimprovement that can be extremely beneficial to theirorganization. This valuable information can be in the form ofconsultation, advice, written communications, or throughother products all of which should be properlycommunicated to the appropriate management oroperating personnel.
Adequate Control – Present if management has plannedand organized (designed) in a manner that providesreasonable assurance that the organization’s risks havebeen managed effectively and that the organization’s goalsand objectives will be achieved efficiently andeconomically.
Assurance Services – An objective examination ofevidence for the purpose of providing an independentassessment on risk management, control, or governanceprocesses for the organization. Examples may includefinancial, performance, compliance, system security, anddue diligence engagements.
Board – A board of directors, audit committee of suchboards, head of an agency or legislative body to whominternal auditors report, board of governors or trustees of anonprofit organization, or any other designated governingbodies of organizations.
Glossar
Add Value (Mehrwert) – Zu den geschäftlichen Zielen vonUnternehmen gehört die Schaffung von Mehrwert oder Nut-zen für ihre Eigentümer, andere Anspruchsgruppen undihre Kunden. Diese Konzeption bestimmt den Zweck ihresBestehens. Wert entsteht durch die Entwicklung von Pro-dukten und Dienstleistungen und durch den Einsatz vonRessourcen zur Förderung dieser Produkte und Dienstlei-stungen. Beim Zusammenführen von Daten zum Erkennenund Beurteilen des Risikos gewinnen Interne Revisorenwesentliche Einblicke in Geschäftsprozesse und Möglich-keiten zu deren Verbesserung, die für das betreffendeUnternehmen von größtem Nutzen sein können. Diese wert-vollen Informationen schlagen sich in der Beratung, schrift-lichen Berichten oder in anderen Produkten nieder, die andas zuständige Management oder Betriebspersonal in kor-rekter Form zu kommunizieren sind.
Adequate Control (Angemessene Kontrollen) – Ist gege-ben, wenn das Management durch die Art seiner Planungund Organisation (Aufbau) hinreichend sicherstellt, dassdie Risiken des Unternehmens wirksam zu „managen“ sindund seine Ziele effizient und wirtschaftlich erreicht werden.
Arbeitsablaufprogramm (siehe Engagement WorkProgram)
Assurance Services (Prüfungsleistungen) – Die objektiveErbringung von Prüfungsnachweisen, um eine unabhängi-ge Beurteilung des Risikomanagements, der Kontrollensowie der Führungs- und Überwachungsprozesse desUnternehmens zu erreichen. Beispielhaft seien hier Prüfun-gen in den Bereichen Finanzen, Leistungserbringung,Compliance, Sicherheit der Systeme und Due Diligencegenannt.
Anmerkung: Der in der Übersetzung für „assurance ser-vices“ gewählte Begriff „Prüfungsleistungen“ ist wie folgtzu interpretieren: „Assurance services“ werden im Engli-schen als unabhängige Dienstleistungen bezeichnet, wel-che die Qualität von Informationen erhöhen, die im Unter-nehmen benutzt werden, um Entscheidungen zu treffen.Die Qualität von Informationen ergibt sich hauptsächlichaus Zuverlässigkeit und Relevanz. In den durch die Stan-dards festgelegten Kriterien wie Unabhängigkeit, Objekti-vität, Fachkompetenz und Sorgfalt usw., liegen qualitätser-höhende Merkmale der Tätigkeit der Internen Revision.
Auftrag (siehe Engagement)
Auftragsziele (siehe Engagement Objectives)
Beeinträchtigungen (siehe Impairments)
Beratungsleistungen (siehe Consulting Services)
Berufsethik (siehe Code of Ethics)
Board (Board of Directors) – Aufsichtsrat (in Deutschlandund Österreich), Verwaltungsrat (in der Schweiz), AuditCommittee dieser Gremien, Leiter von Verwaltungsbehör-den oder gesetzgebenden Körperschaften, denen in USAInterne Revisoren berichten, Verwaltungsräte oderTreuhänder von gemeinnützigen Organisationen sowieandere designierte Gremien mit Weisungsrecht in Unter-nehmen.
20
Charter – The charter of the internal audit activity is aformal written document that defines the activity’s purpose,authority, and responsibility. The charter should (a)establish the internal audit activity’s position within theorganization; (b) authorize access to records, personnel,and physical properties relevant to the performance ofengagements; and (c) define the scope of internal auditactivities.
Chief Audit Executive – Top position within theorganization responsible for internal audit activities. In atraditional internal audit activity, this would be the internalaudit director. In the case where internal audit activities areobtained from outside service providers, the chief auditexecutive is the person responsible for overseeing theservice contract and the overall quality assurance of theseactivities, reporting to senior management and the boardregarding internal audit activities, and follow–up ofengagement results. The term also includes such titles asgeneral auditor, chief internal auditor, and inspectorgeneral.
Code of Ethics – The purpose of the Code of Ethics of TheInstitute of Internal Auditors (IIA) is to promote an ethicalculture in the global profession of internal auditing. A codeof ethics is necessary and appropriate for the profession ofinternal auditing, founded as it is on the trust placed in itsobjective assurance about risk, control, and governance.The Code of Ethics applies to both individuals and entitiesthat provide internal audit services.
Anmerkung: Aufgrund der im Vergleich zu einigen anderenLändern unterschiedlichen Organisationsstrukturen beste-hen in Deutschland und Österreich keine Verantwortlich-keiten der Internen Revision gegenüber dem Aufsichtsrat,dem Verwaltungsrat bzw. einem Audit Committee dieserGremien. Der Leiter der Revision ist in den beiden Ländernfachlich und disziplinarisch der Unternehmensleitungzugeordnet, der gegenüber auch die Berichterstattungerfolgt. Die im Originaltext genannten Aufgaben, die alleingegenüber dem Aufsichtsrat bzw. Audit Committee gelten,sind entsprechend den in den beiden Ländern bestehen-den Regelungen in der Übersetzung deshalb der Unter-nehmensleitung zugeordnet. Da in Ausnahmefällen, z.B.bei Tochtergesellschaften von US-Firmen, zumindestBerichtspflichten gegenüber dem Board oder einem AuditCommittee bestehen, wurde entsprechend dem Original-text auch in der Übersetzung „Board“ bzw. „Audit Com-mittee“ beibehalten.
Dies war auch notwendig wegen der Situation in derSchweiz, wo die Stellung der Internen Revision nur fürBanken gesetzlich geregelt ist: Sie muss dem Verwal-tungsrat unmittelbar unterstellt sein, an den auch dieBerichterstattung erfolgt. Bei den übrigen Unternehmen istdas Unterstellungsverhältnis für die Interne Revision unter-nehmensspezifisch geregelt. Sie berichtet teils an dieGeschäftsleitung, teils an den Verwaltungsrat.
Charter (Geschäftsordnung) – Die Geschäftsordnung(Reglement in der Schweiz) der Internen Revision ist einoffizielles schriftliches Dokument, das Aufgabenstellung,Befugnisse und Verantwortung der Internen Revision fest-legt. Die Geschäftsordnung muss (a) die Stellung der Inter-nen Revision innerhalb des Unternehmens festlegen, (b)den Zugang zu den Aufzeichnungen, zur Belegschaft undzu den Vermögensgegenständen sichern, die für die Erfül-lung von Prüfungs- und Beratungsaufträgen relevant sindund (c) den Umfang der Tätigkeiten der Internen Revisionfestlegen.
Chief Audit Executive (Leiter der Revision) – Spitzenpo-sition innerhalb des Unternehmens mit der Verantwortungfür die Interne Revision. In der traditionellen Revisionsabtei-lung ist dies der Leiter der Revision. Wenn Leistungen imBereich der Internen Revision von externen Dienstleisternerbracht werden, ist der Leiter der Revision die Person, diefür die Überwachung des Dienstleistungsvertrages und dieQualitätssicherung dieser Aktivitäten insgesamt zuständigist. Er berichtet auch an die Unternehmensleitung undgegebenenfalls auch an den Board über die Aktivitäten derInternen Revision und ist für die Nachschauprüfung (Fol-low-up) der Revisionsergebnisse verantwortlich.
Code of Ethics (Berufsethik) – Zweck der vom Institute ofInternal Auditors (IIA) aufgestellten Berufsethik ist die För-derung einer ethischen Kultur innerhalb des gesamtenBerufsstandes der Internen Revision. Ein Code of Ethics istnotwendig und zweckmäßig für den weltweiten Berufs-stand der Internen Revision, damit das Vertrauen in ihreobjektive Prüfung des Risikomanagements, der Kontrollenund der Führung und Überwachung begründet werdenkann. Die Berufsethik gilt sowohl für Einzelpersonen alsauch für Unternehmen, die Dienstleistungen im BereichInterne Revision erbringen.
21
Compliance – The ability to reasonably ensure conformityand adherence to organization policies, plans, procedures,laws, regulations, and contracts.
Conflict of Interest – Any relationship that is or appears tobe not in the best interest of the organization. A conflict ofinterest would prejudice an individual’s ability to perform hisor her duties and responsibilities objectively.
Consulting Services – Advisory and related client serviceactivities, the nature and scope of which are agreed uponwith the client and which are intended to add value andimprove an organization’s operations. Examples includecounsel, advice, facilitation, process design, and training.
Control – Any action taken by management, the board, andother parties to enhance risk management and increase thelikelihood that established objectives and goals will beachieved. Management plans, organizes, and directs theperformance of sufficient actions to provide reasonableassurance that objectives and goals will be achieved.
Control Environment – The attitude and actions of theboard and management regarding the significance ofcontrol within the organization. The control environmentprovides the discipline and structure for the achievement ofthe primary objectives of the system of internal control. Thecontrol environment includes the following elements:
■ Integrity and ethical values.
■ Management’s philosophy and operating style.
■ Organizational structure.
■ Assignment of authority and responsibility.
■ Human resource policies and practices.
■ Competence of personnel.
Control Processes – The policies, procedures, andactivities that are part of a control framework, designed toensure that risks are contained within the risk tolerancesestablished by the risk management process.
Engagement – A specific internal audit assignment, task,or review activity, such as an internal audit, Control Self-Assessment review, fraud examination, or consultancy. Anengagement may include multiple tasks or activitiesdesigned to accomplish a specific set of related objectives.
Engagement Objectives – Broad statements developedby internal auditors that define intended engagementaccomplishments.
Compliance (Einhaltung von Vorschriften) – Die Fähig-keit, in hinreichendem Maß die Übereinstimmung und dieEinhaltung von Unternehmensrichtlinien, Plänen, Verfahren,Gesetzen, Verordnungen und Verträgen sicherzustellen.
Conflict of Interest (Interessenkonflikt) – Jegliche Bezie-hung, die tatsächlich oder dem Anschein nach dem bestenInteresse des Unternehmens entgegensteht. Ein Interes-senkonflikt würde die Fähigkeit einer Person beeinträchti-gen, ihren Aufgaben und Pflichten objektiv nachzugehen.
Consulting Services (Beratungsleistungen) – Beratungs-und ähnliche Kundendienstleistungen, deren Art undUmfang mit dem Kunden vereinbart sind und die zur Wert-schöpfung und Verbesserung der Geschäftsprozesse desUnternehmens dienen sollen. Beispielhaft seien Beratung,Moderation, Prozessgestaltung und Schulung genannt.
Control (Kontrollen) – Jede vom Management, Board oderanderen Stellen eingeleitete Maßnahme, die das Risikoma-nagement verbessert und die Wahrscheinlichkeit erhöht,dass gesetzte Ziele erreicht werden. Das Managementplant, organisiert und steuert die Durchführung ausreichen-der Maßnahmen, durch die die Zielerreichung soweit wiemöglich gewährleistet wird.
Control Environment (Kontrollumfeld) – Die Einstellungund die Handlungen von Board und Management im Hin-blick auf die Bedeutung der Kontrollen im Unternehmen.Das Kontrollumfeld bestimmt den Rahmen und die Strukturfür das Erreichen der Hauptziele eines Internen Kontrollsy-stems. Zum Kontrollumfeld gehören folgende Elemente:
■ Integrität und ethische Werte.
■ Philosophie und Arbeitsstil des Managements.
■ Organisatorische Struktur.
■ Zuordnung von Befugnissen und Verantwortung.
■ Personalpolitik und deren Umsetzung.
■ Fachkompetenz der Mitarbeiter.
Control Processes (Kontrollprozesse) – Richtlinien, Ver-fahren und Aktivitäten, die Teil des Kontrollsystems sind undden Zweck verfolgen, dass die Risiken die im Risikomana-gementprozess vorgegebenen Risikotoleranzen nicht über-steigen.
Dolose Handlungen (siehe Fraud)
Einhaltung von Vorschriften (siehe Compliance)
Engagement (Auftrag) – Ein bestimmter Prüfungsauftrag,eine spezielle Aufgabe oder Prüftätigkeit wie beispielswei-se eine interne Prüfung, Review des Kontroll-Self-Assess-ment, Untersuchung doloser Handlungen oder Beratung.Ein Auftrag kann eine Vielzahl an Aufgaben oder Aktivitätenumfassen, die auf das Erreichen bestimmter Ziele ausge-richtet sind.
Engagement Objectives (Auftragsziele) – WeitgefassteAussagen, die von Internen Revisoren erarbeitet werdenund in denen die beabsichtigte Zielrealisierung des Auf-trags festgelegt wird.
22
Engagement Work Program – A document that lists theprocedures to be followed during an engagement,designed to achieve the engagement plan.
External Service Provider – A person or firm, independentof the organization, who has special knowledge, skill, andexperience in a particular discipline. Outside serviceproviders include, among others, actuaries, accountants,appraisers, environmental specialists, fraud investigators,lawyers, engineers, geologists, security specialists,statisticians, information technology specialists, externalauditors, and other auditing organizations. The board,senior management, or the chief audit executive mayengage an outside service provider.
Fraud – Any illegal acts characterized by deceit,concealment or violation of trust. These acts are notdependent upon the application of threat of violence or ofphysical force. Frauds are perpetrated by individuals andorganizations to obtain money, property or services; toavoid payment or loss of services; or to secure personal orbusiness advantage.
Governance Process – The procedures utilized by therepresentatives of the organization’s stakeholders (e. g.,shareholders, etc.) to provide oversight of risk and controlprocesses administered by management.
Impairments – Impairments to individual objectivity andorganizational independence may include personalconflicts of interest, scope limitations, restrictions onaccess to records, personnel, and properties, andresource limitations (funding).
Internal Audit Activity – A department, division, team ofconsultants, or other practitioner(s) that providesindependent, objective assurance and consulting servicesdesigned to add value and improve an organization’soperations. The internal audit activity helps an organizationaccomplish its objectives by bringing a systematic,disciplined approach to evaluate and improve theeffectiveness of risk management, control, and governanceprocesses.
Engagement Work Program (Arbeitsablaufprogramm) –Schriftstück, in dem die Verfahrensschritte aufgeführt sind,die zur Realisierung der Planung durchgeführt werden müs-sen.
External Service Provider (Externer Dienstleister) – VomUnternehmen unabhängige Person oder Firma, die überSpezialwissen, Fähigkeiten und Erfahrungen in einembestimmten Fachgebiet verfügt. Zu den Externen Dienstlei-stern gehören u. a. Versicherungsmathematiker, Fachleutedes Rechnungswesens, Schätzer, Umweltschutzexperten,Ermittler in Fällen doloser Handlungen, Rechtsanwälte,Ingenieure, Geologen, Sicherheitsexperten, Statistiker,Informationstechnologie-Fachleute, Wirtschaftsprüfer desUnternehmens und andere Revisionsorganisationen. DerBoard, die Unternehmensleitung oder der Leiter der Revisi-on können einen externen Dienstleister beauftragen.
Fraud (Dolose Handlungen) – Illegale Handlungen, diedurch vorsätzliche Täuschung, Verschleierung oder Ver-trauensmissbrauch gekennzeichnet sind. Diese Handlun-gen sind nicht abhängig von Gewaltandrohung oderAnwendung körperlicher Gewalt. Dolose Handlungen wer-den von Personen und Unternehmen begangen, um in denBesitz von Geldern, Vermögensgegenständen oder Dienst-leistungen zu gelangen, um Zahlungen oder den Verlust vonDienstleistungen zu vermeiden oder um sich einen persön-lichen oder geschäftlichen Vorteil zu verschaffen.
Führungs- und Überwachungsprozess (siehe Gover-nance Process)
Geschäftsordnung (siehe Charter)
Governance Process (Führungs- und Überwachungs-prozess) – Die von den Vertretern der Anspruchsgruppendes Unternehmens (z. B. Aktionäre) genutzten Verfahrenzur Überwachung der vom Management eingesetzten Risi-ko- und Kontrollprozesse.
Impairments (Beeinträchtigungen) – Beeinträchtigungender individuellen Objektivität sowie der organisatorischgeforderten Unabhängigkeit können durch persönlicheInteressenkonflikte, Einschränkungen des Prüfungsum-fangs, Zugangsbeschränkungen zu Unterlagen, Beleg-schaft und Vermögensgegenständen sowie Ressourcenbe-schränkungen (Geldmittel) entstehen.
Interessenkonflikt (siehe Conflict of Interest)
Internal Audit Activity (Interne Revision) – Eine Abteilung,ein Unternehmensbereich, Team von Beratern oder ande-ren Fachleuten, die unabhängige, objektive Prüfungs- undBeratungsleistungen erbringen, die darauf ausgerichtetsind, Mehrwerte zu schaffen und die Geschäftsprozesse zuverbessern. Die Interne Revision unterstützt die Unterneh-men bei der Erreichung ihrer Ziele, indem sie mit einemsystematischen und zielgerichteten Ansatz die Effektivitätdes Risikomanagements, der Kontrollen und der Führungs-und Überwachungsprozesse bewertet und diese verbes-sern hilft.
Kontrollen (siehe Control)
Kontrollprozesse (siehe Control Processes)
Kontrollumfeld (siehe Control Environment)
Leiter der Revision (siehe Chief Audit Executive)
23
Objectivity – An unbiased mental attitude that requiresinternal auditors to perform engagements in such a mannerthat they have an honest belief in their work product andthat no significant quality compromises are made.Objectivity requires internal auditors not to subordinatetheir judgment on audit matters to that of others.
Risk – The uncertainty of an event occurring that couldhave an impact on the achievement of objectives. Risk ismeasured in terms of consequences and likelihood.
Management (Management) – Die Gesamtheit derFührungskräfte, die Aktivitäten steuern und Mitarbeiterüberwachen, um gemeinsame geschäftliche Ziele zu verfol-gen.
Zusätzlich: Alle Führungskräfte, die im Organigramm in denEbenen unterhalb der Unternehmensleitung angesiedeltsind.
Mehrwert (siehe Add Value)
Objectivity (Objektivität) – Eine unvoreingenommene gei-stige Haltung, die von den Internen Revisoren verlangt, dieAufträge so durchzuführen, dass sie vom Ergebnis ihrerArbeit selbst überzeugt sind und dass keine Kompromissebezüglich der Qualität eingegangen werden. Objektivitätverlangt von Internen Revisoren, sich bei der Beurteilungvon Prüfungsangelegenheiten nicht von der Meinung ande-rer Personen beeinflussen zu lassen.
Organization (Unternehmen) – Der Begriff „Unterneh-men“ umfasst alle in der Rechtsform der Kapitalgesellschaftund Personengesellschaft geführte Firmen, sowie Körper-schaften, Verwaltungsbehörden, Non- Profit- Organisatio-nen und sonstige Organisationen.
Programs (Programme) – Ein definiertes Projekt, eineReihe koordinierter Aktivitäten, vorgegebene Pläne, Ablaufvon Tätigkeiten oder Verfahren, jeweils mit der Absicht, einZiel oder ein gewünschtes Ergebnis anzustreben.
Prüfungsleistungen (siehe Assurance Services)
Risk (Risiko) – Die Ungewissheit, dass ein Ereignis eintritt,das sich auf die Zielerreichung auswirken könnte. Das Risi-ko wird im Hinblick auf seine Auswirkungen und seine Ein-trittswahrscheinlichkeit gemessen.
Senior Management (Unternehmensleitung) – Vorge-setzte des Leiters der Revision oder Personen, die in einemOrganigramm in der Ebene über dem Leiter der Revisionangesiedelt sind. Der Begriff „Unternehmensleitung“ istsynonym mit: Vorstand einer AG, Geschäftsleitung einerschweizerischen AG, Geschäftsführer einer GmbH., Vor-stand einer Genossenschaft, Leitung einer Verwaltungs-behörde, Leitung einer Körperschaft, Vorstand eines einge-tragenen Vereins.
Unternehmen (siehe Organization)
Unternehmensleitung (siehe Seniormanagement)
24