Direkt zum Inhalt

Globale Standards für die Interne Revision

Sind Sie bereit für sie?

2024 ist das Jahr der Strategie und des Wandels für die Interne Revision (IA). Die neuen Global Internal Audit Standards sind eine hervorragende Gelegenheit, den Wert und die Wirkung der Internen Revision zu erhöhen.

"Sind Sie bereit für den Start zu den neuen Global Internal Audit Standards?" Das ist die Frage, die wir den Teilnehmern unseres jüngsten Webinars Internal Audit Insights gestellt haben. Und es ist eine Frage, die sich Führungskräfte und Vorstandsmitglieder der Internen Revision jetzt stellen sollten. In unserem Webinar haben wir die wichtigsten Änderungen skizziert, die die neuen Standards für den Berufsstand mit sich bringen, und sind zu dem Schluss gekommen, dass IA-Funktionen die Übergangszeit bis 2024 nutzen sollten, um sich auf die neuen Anforderungen vorzubereiten, sie umzusetzen und sie mit ihren Vorständen zu diskutieren. In diesem Artikel heben wir die Bereiche hervor, auf die Sie sich jetzt konzentrieren sollten, um für 2025 gerüstet zu sein.

Der Hintergrund der Herausforderung

 

Nach einem umfassenden öffentlichen Konsultationsprozess im vergangenen Jahr wurden die neuen Globalen Normen für die Interne Revision schliesslich am 9. Januar 2024 vom Institute of Internal Auditors (IIA) veröffentlicht. Die neuen Standards werden nach einer 12-monatigen Übergangsfrist Anfang Januar 2025 in Kraft treten. Die aktuellen Standards (die sogenannten "IPPF" von 2017) bleiben bis 2024 anwendbar, aber das IIA empfiehlt die frühzeitige Annahme der neuen Standards.

Mehr als 80 % der IA-Funktionen, die an unserem Webinar teilgenommen haben, haben die Auswirkungen der neuen Standards noch nicht abgeschätzt, und 75 % verfügen noch nicht über ein Budget für die Umsetzung der neuen Standards im Jahr 2024. Wir wiederholen daher die Aufforderung des IIA zur frühzeitigen Einführung und glauben, dass es für IA-Funktionen und Vorstände wichtig ist, die Auswirkungen der neuen Standards eher früher als später zu bewerten. Der Aufwand, der für die Einhaltung der neuen Anforderungen erforderlich ist, sollte nicht unterschätzt werden.

Das Ausmass der Lücken, die geschlossen werden müssen, hängt davon ab, wie ausgereift Ihre IA-Funktion derzeit ist. Aber auch Funktionen mit relativ wenigen Lücken werden viel zu tun haben, denn die Struktur und das Nummerierungssystem der neuen Standards unterscheidet sich völlig von dem des aktuellen IPPF.

Was genau ändert sich also?
 

Änderungen an der Struktur

In der Abbildung oben finden Sie den Kreis, den wir alle kennen: den IPPF 2017. Die neuen Globalen Normen für die Interne Revision enthalten die fünf obligatorischen Elemente des Rahmenwerks von 2017 und den Leitfaden für die Umsetzung. Diese Elemente sind nun in fünf Bereiche, 15 Grundsätze und 52 Standards unterteilt. Jeder Standard ist in drei Teile gegliedert: die obligatorischen "Anforderungen", die die "Muss"-Erklärungen enthalten; die "Überlegungen zur Umsetzung", die die üblichen und bewährten Praktiken aufzeigen, die erwartet werden, aber nicht obligatorisch sind; und schliesslich die "Beispiele für den Nachweis der Konformität", die eine nicht erschöpfende Liste von Anleitungen enthalten, wie der Nachweis der Konformität mit den Anforderungen erbracht werden kann.

Einführung neuer thematischer Anforderungen
 

Ein völlig neues Element sind die "Thematischen Anforderungen", die darauf abzielen, die Kohärenz und Qualität der internen Auditdienste zu verbessern. Dies ist eine interessante Erweiterung des Fokus durch die Standardsetzer, da das IIA nun zusätzliche verbindliche Anforderungen hinzufügt, die bei der Durchführung von Prüfungen in den von diesen Anforderungen abgedeckten Themenbereichen zu beachten sind. Die thematischen Anforderungen gibt es noch nicht, aber es ist beabsichtigt, sie bald einzuführen, zum Beispiel in den Bereichen Cybersicherheit, Nachhaltigkeit und ESG, Management von Drittparteien und IT-Governance, um nur einige zu nennen.

Die gute Nachricht ist, dass es vor ihrer Veröffentlichung einen öffentlichen Konsultationsprozess für diese Anforderungen geben wird, und wir ermutigen alle Fachleute mit Fachkenntnissen in diesen Bereichen, sich an ihrer Ausarbeitung zu beteiligen. Die Existenz der neuen thematischen Anforderungen und ihr sich entwickelnder Charakter werden die IA-Funktionen dazu verpflichten, einen regelmässigen Überwachungsprozess durchzuführen. Andernfalls könnten neue obligatorische Elemente übersehen werden.
 

  • Zweck und Strategie
    Einer der Hauptschwerpunkte für Chief Audit Executives (CAE) ist sicherlich die Anforderung, eine Vision für die IA-Funktion für die nächsten 3-5 Jahre zu definieren. Dies sollte durch einen detaillierten und dokumentierten strategischen Plan untermauert werden, der mit den Erwartungen der Stakeholder übereinstimmt und regelmässig vom Vorstand überprüft werden sollte. Dazu gehören Überlegungen zu einer digitalen Strategie und die Entwicklung von aussagekräftigen Leistungsindikatoren, die gemessen und dem Vorstand berichtet werden müssen. Eine Umfrage unter unseren Webinar-Teilnehmern hat ergeben, dass 80 % der IA-Funktionen bereits eine dokumentierte Strategie haben. Dies ist ein guter Ausgangspunkt, aber ob diese Dokumente ausreichend detailliert sind und alle Anforderungen der neuen Standards erfüllen, bleibt abzuwarten.
  • Gestärkte Rolle und Verantwortlichkeiten des CAE und engere Beziehungen zum Vorstand
    Eine weitere wichtige Änderung ist die Einführung von mehr Anforderungen für Vorstände und insbesondere die Förderung der Anerkennung der Funktion der Internen Revision in der Organisation. Die Verwaltungsräte sollten häufiger mit ihren CAEs interagieren und in die Definition der Strategie und die Überwachung der KPIs einbezogen werden. Die neuen Standards empfehlen eine starke, auf Vertrauen basierende Beziehung zwischen dem CAE und dem Vorstand. Der CAE muss seinerseits die Verpflichtung der Innenrevision zu angemessener Sorgfalt und angemessener Verwaltung ihrer Ressourcen nachweisen und dem Verwaltungsrat regelmässig Erkenntnisse mitteilen, die über die blossen Ergebnisse der Prüfungsaufträge hinausgehen.
  • Technologie und Methodik
    Es gibt viele weitere neue Anforderungen, die sich mehr auf die Durchführung von Audits, den Einsatz von Technologie und die Art und Weise der Berichterstattung über Feststellungen und Empfehlungen (einschliesslich Ursachenanalyse) konzentrieren. Die CAEs müssen die von der IA-Funktion genutzte Technologie regelmässig bewerten und Möglichkeiten zur Verbesserung ihrer Effektivität und Effizienz verfolgen sowie dem Vorstand und der Geschäftsleitung alle technologischen Einschränkungen mitteilen.

Was können Sie jetzt tun, um für 2025 gerüstet zu sein?
 

Wie bereits erwähnt, müssen viele Innenrevisionsabteilungen die Auswirkungen der neuen Standards erst noch in vollem Umfang abschätzen, und ihre Schlussfolgerungen werden auch von der relativen Reife ihrer derzeitigen Praktiken und Methoden abhängen. Unserer Meinung nach sollten die Leiter und Vorstände der Innenrevision diese Chance für einen Wandel nutzen. Die Standards geben Ihnen ein Instrumentarium an die Hand, mit dem Sie die Marke der Internen Revision prägen und zu einem strategischen Partner für die Führung Ihrer Organisation werden können.

Beginnen Sie damit, Ihre derzeitigen Praktiken zu bewerten und festzustellen, was erforderlich ist, um die neuen Mindestanforderungen zu erfüllen, und besprechen Sie Ihre Schlussfolgerungen, Visionen und strategischen Ziele mit dem Vorstand. Sprechen Sie auch über das benötigte Budget. Sobald Sie sich einen Überblick über die Auswirkungen verschafft haben, erstellen Sie einen Aktionsplan für die Umsetzung der von Ihnen identifizierten Lücken. Und überlegen Sie für jede Lücke, wie die Schliessung dieser Lücken Ihre Praktiken verbessern, Ihre Prozesse optimieren, Ihre Mitarbeiter befähigen und den Einsatz von Technologie erhöhen kann, um Ihre IA-Funktion aufzuwerten.

Wenn Ihre nächste Externe Qualitätsprüfung (EQA) im Jahr 2024 ansteht, bitten Sie Ihren Prüfer, die Lückenbewertung zu den neuen Standards als Teil der EQA durchzuführen. Dies kann leicht mit der Konformitätsbewertung kombiniert werden und wird Ihre eigenen Ressourcen freisetzen. Wenn Ihr Ringversuch für 2025 geplant ist, sollten Sie darüber nachdenken, ihn auf 2024 vorzuverlegen oder ihn Anfang 2025 anzusetzen, so dass die Bewertung immer noch anhand der Standards von 2017 durchgeführt wird, aber die Möglichkeit besteht, sie mit der Bewertung der Lücke zu den neuen Standards zu kombinieren.

  • Wir können eine Bereitschaftsbewertung oder eine Lückenbewertung für die neuen Standards durchführen.
  •  Wir können unseren Ringversuch mit einer Bewertung der Lücken in Bezug auf die neuen Standards kombinieren und Sie beraten, wie Sie eventuelle Lücken auf die effizienteste Weise schliessen können.
  • Wir bieten massgeschneiderte Schulungen für die Innenrevision und die Verwaltungsräte zu den neuen Standards an.
  • Wir bieten Internal Audit Strategy Lab Workshops an, um Sie bei der Definition Ihrer Vision und Ihres strategischen Plans, der Festlegung aussagekräftiger KPIs, der Ausrichtung auf die strategischen Ziele Ihres Unternehmens und der Steigerung des Einflusses Ihrer Funktion durch Transformation zu unterstützen.

Bitte setzen Sie sich mit uns in Verbindung, wenn Sie die Möglichkeiten besprechen möchten, die die neuen Standards für Ihre Interne Revision bieten können. Wir würden uns freuen, Sie durch die neuen Anforderungen zu führen und Ihnen vorzuschlagen, wie Sie eventuelle Lücken am effektivsten schliessen können.

Fanden Sie dies hilfreich?

Vielen Dank für Ihr Feedback