"Sind Sie bereit für den Start zu den neuen Global Internal Audit Standards?" Das ist die Frage, die wir den Teilnehmern unseres jüngsten Webinars Internal Audit Insights gestellt haben. Und es ist eine Frage, die sich Führungskräfte und Vorstandsmitglieder der Internen Revision jetzt stellen sollten. In unserem Webinar haben wir die wichtigsten Änderungen skizziert, die die neuen Standards für den Berufsstand mit sich bringen, und sind zu dem Schluss gekommen, dass IA-Funktionen die Übergangszeit bis 2024 nutzen sollten, um sich auf die neuen Anforderungen vorzubereiten, sie umzusetzen und sie mit ihren Vorständen zu diskutieren. In diesem Artikel heben wir die Bereiche hervor, auf die Sie sich jetzt konzentrieren sollten, um für 2025 gerüstet zu sein.
Nach einem umfassenden öffentlichen Konsultationsprozess im vergangenen Jahr wurden die neuen Globalen Normen für die Interne Revision schliesslich am 9. Januar 2024 vom Institute of Internal Auditors (IIA) veröffentlicht. Die neuen Standards werden nach einer 12-monatigen Übergangsfrist Anfang Januar 2025 in Kraft treten. Die aktuellen Standards (die sogenannten "IPPF" von 2017) bleiben bis 2024 anwendbar, aber das IIA empfiehlt die frühzeitige Annahme der neuen Standards.
Mehr als 80 % der IA-Funktionen, die an unserem Webinar teilgenommen haben, haben die Auswirkungen der neuen Standards noch nicht abgeschätzt, und 75 % verfügen noch nicht über ein Budget für die Umsetzung der neuen Standards im Jahr 2024. Wir wiederholen daher die Aufforderung des IIA zur frühzeitigen Einführung und glauben, dass es für IA-Funktionen und Vorstände wichtig ist, die Auswirkungen der neuen Standards eher früher als später zu bewerten. Der Aufwand, der für die Einhaltung der neuen Anforderungen erforderlich ist, sollte nicht unterschätzt werden.
Das Ausmass der Lücken, die geschlossen werden müssen, hängt davon ab, wie ausgereift Ihre IA-Funktion derzeit ist. Aber auch Funktionen mit relativ wenigen Lücken werden viel zu tun haben, denn die Struktur und das Nummerierungssystem der neuen Standards unterscheidet sich völlig von dem des aktuellen IPPF.
In der Abbildung oben finden Sie den Kreis, den wir alle kennen: den IPPF 2017. Die neuen Globalen Normen für die Interne Revision enthalten die fünf obligatorischen Elemente des Rahmenwerks von 2017 und den Leitfaden für die Umsetzung. Diese Elemente sind nun in fünf Bereiche, 15 Grundsätze und 52 Standards unterteilt. Jeder Standard ist in drei Teile gegliedert: die obligatorischen "Anforderungen", die die "Muss"-Erklärungen enthalten; die "Überlegungen zur Umsetzung", die die üblichen und bewährten Praktiken aufzeigen, die erwartet werden, aber nicht obligatorisch sind; und schliesslich die "Beispiele für den Nachweis der Konformität", die eine nicht erschöpfende Liste von Anleitungen enthalten, wie der Nachweis der Konformität mit den Anforderungen erbracht werden kann.
Ein völlig neues Element sind die "Thematischen Anforderungen", die darauf abzielen, die Kohärenz und Qualität der internen Auditdienste zu verbessern. Dies ist eine interessante Erweiterung des Fokus durch die Standardsetzer, da das IIA nun zusätzliche verbindliche Anforderungen hinzufügt, die bei der Durchführung von Prüfungen in den von diesen Anforderungen abgedeckten Themenbereichen zu beachten sind. Die thematischen Anforderungen gibt es noch nicht, aber es ist beabsichtigt, sie bald einzuführen, zum Beispiel in den Bereichen Cybersicherheit, Nachhaltigkeit und ESG, Management von Drittparteien und IT-Governance, um nur einige zu nennen.
Die gute Nachricht ist, dass es vor ihrer Veröffentlichung einen öffentlichen Konsultationsprozess für diese Anforderungen geben wird, und wir ermutigen alle Fachleute mit Fachkenntnissen in diesen Bereichen, sich an ihrer Ausarbeitung zu beteiligen. Die Existenz der neuen thematischen Anforderungen und ihr sich entwickelnder Charakter werden die IA-Funktionen dazu verpflichten, einen regelmässigen Überwachungsprozess durchzuführen. Andernfalls könnten neue obligatorische Elemente übersehen werden.
Wie bereits erwähnt, müssen viele Innenrevisionsabteilungen die Auswirkungen der neuen Standards erst noch in vollem Umfang abschätzen, und ihre Schlussfolgerungen werden auch von der relativen Reife ihrer derzeitigen Praktiken und Methoden abhängen. Unserer Meinung nach sollten die Leiter und Vorstände der Innenrevision diese Chance für einen Wandel nutzen. Die Standards geben Ihnen ein Instrumentarium an die Hand, mit dem Sie die Marke der Internen Revision prägen und zu einem strategischen Partner für die Führung Ihrer Organisation werden können.
Beginnen Sie damit, Ihre derzeitigen Praktiken zu bewerten und festzustellen, was erforderlich ist, um die neuen Mindestanforderungen zu erfüllen, und besprechen Sie Ihre Schlussfolgerungen, Visionen und strategischen Ziele mit dem Vorstand. Sprechen Sie auch über das benötigte Budget. Sobald Sie sich einen Überblick über die Auswirkungen verschafft haben, erstellen Sie einen Aktionsplan für die Umsetzung der von Ihnen identifizierten Lücken. Und überlegen Sie für jede Lücke, wie die Schliessung dieser Lücken Ihre Praktiken verbessern, Ihre Prozesse optimieren, Ihre Mitarbeiter befähigen und den Einsatz von Technologie erhöhen kann, um Ihre IA-Funktion aufzuwerten.
Wenn Ihre nächste Externe Qualitätsprüfung (EQA) im Jahr 2024 ansteht, bitten Sie Ihren Prüfer, die Lückenbewertung zu den neuen Standards als Teil der EQA durchzuführen. Dies kann leicht mit der Konformitätsbewertung kombiniert werden und wird Ihre eigenen Ressourcen freisetzen. Wenn Ihr Ringversuch für 2025 geplant ist, sollten Sie darüber nachdenken, ihn auf 2024 vorzuverlegen oder ihn Anfang 2025 anzusetzen, so dass die Bewertung immer noch anhand der Standards von 2017 durchgeführt wird, aber die Möglichkeit besteht, sie mit der Bewertung der Lücke zu den neuen Standards zu kombinieren.