Geopolitische Krisen, volatile Märkte, Cyberbedrohungen und regulatorische Umbrüche erhöhen den Druck auf Unternehmen enorm. Management und Aufsicht stehen vor der Herausforderung, inmitten wachsender Komplexität verantwortungsvoll, krisenfest und mit klarer Risikosicht zu steuern. Die Interne Revision spielt dabei eine zentrale Rolle. Sie soll nicht nur Schwachstellen erkennen, sondern auch als "Third Line of Defense" die Wirksamkeit des gesamten Governance- und Risikomanagementsystems bestätigen. Wer das Wichtige richtig macht, kann Unternehmen schützen – wer versagt, riskiert persönliche Haftung und sogar den Verlust des beruflichen Versicherungsschutzes, so das Autorenteam Josef Scherer, Gülşah Atay und Anna Klinger in dem aktuellen Beitrag "Interne Revision, risikobasierter Ansatz und Kardinalpflicht zur Governance-Compliance" (Zeitschrift Interne Revision, ZIR, 2025).
Revision, Compliance und Risikomanagement als Grundpfeiler guter Governance
Die Autoren stellen heraus, dass interne Kontroll- und Überwachungsinstanzen nicht als bürokratische Hürde, sondern als integraler Bestandteil verantwortungsbewusster Unternehmensführung verstanden werden müssen. Revision, Compliance und Risikomanagement gelten längst als Grundpfeiler nachhaltiger Governance. Ihre Aufgaben sind breit gefächert: von der Begleitung strategischer Entscheidungen über die Prävention wirtschaftlicher Schäden bis hin zur Sicherstellung regulatorischer Pflichten.
Haftungspflichten verschärfen die Verantwortung der Führungsgremien
Die rechtlichen Rahmenbedingungen wurden in den vergangenen Jahren schrittweise verschärft. Eine konsolidierte Rechtsprechung des Bundesgerichtshofs verlangt: Vorstände müssen Risiken aktiv erkennen, bewerten und steuern – einschließlich "Worst-Case-Szenarien". Delegation schützt nicht vor Verantwortung. Auch Aufsichtsräte geraten bei Kontrollversagen stärker in die Haftung.
Fokussierung und Priorisierung in Krisenzeiten unerlässlich
In wirtschaftlich schwierigen Zeiten wird Risikomanagement komplexer, während Ressourcen schwinden. Die Interne Revision muss stärker priorisieren, Transparenz schaffen und ihre Prüfstrategie eng an das Geschäftsmodell und die Unternehmensziele anlehnen – ohne ihre unabhängige Rolle zu verlieren.
Ein aktuelles Beispiel unterstreicht diese Risiken: Die im November 2024 öffentlich gewordene BaFin-Prüfung der BayWa-Bilanz zeigt, wie schnell mangelhafte Risikoberichterstattung gravierende rechtliche, finanzielle und reputative Folgen nach sich ziehen kann – und wie stark dabei Revision, Vorstand und Aufsichtsrat in den Fokus geraten.
Cyberrisiken als führende Governance-Herausforderung
Cyberangriffe zählen seit Jahren zu den größten Bedrohungen für Unternehmen aller Branchen und auch die öffentliche Hand. Gesetzliche Vorgaben verpflichten Unternehmen zu angemessenen Schutzmaßnahmen. Unterlassene Sicherheitsvorkehrungen können nicht nur wirtschaftliche Schäden verursachen, sondern auch straf- und haftungsrechtliche Konsequenzen nach sich ziehen. Governance-Compliance betrifft damit direkt das operative Kerngeschäft.
Mehr Regulierung – aber Wirksamkeit statt Papierflut
Diverse Normen wie StaRUG, KWG, WpHG und IDW PS 340 n.F. definieren präzise Anforderungen für Risikofrüherkennung, Krisenmanagement und Berichtspflichten. Der Gesetzgeber fordert Wirksamkeit statt Symbolpolitik: Risikosteuerung soll nachweislich funktionieren und Resilienz stärken – nicht nur gut dokumentiert sein.
Mit dem Fokus auf gelebte Governance reagieren Gesetzgeber und Aufsichtsinstitutionen auf zahlreiche Unternehmenskrisen der vergangenen Jahre, in denen Kontrollsysteme zwar formal existierten, aber praktisch versagten. Die Autoren stellen klar: Das bloße Erfüllen von Mindeststandards reicht nicht mehr aus. Entscheidend ist, dass Risiken im Gesamtzusammenhang verstanden und aktiv gesteuert werden. Tools, Richtlinien und Prozesse müssen also einen echten Governance-Nutzen erzeugen – messbar, überprüfbar und in der operativen Realität wirksam.
Governance-Compliance ist kein Selbstzweck
Diese Entwicklung zeigt: Governance-Compliance ist kein Selbstzweck, sondern Fundament strategischer Unternehmensführung. Gute Governance schützt Wertschöpfung, verhindert Management- und Aufsichtsfehler und stärkt das Vertrauen von Kapitalmarkt, Aufsichtsbehörden und Öffentlichkeit. Unternehmen, die sich ausschließlich auf Formalismen verlassen, laufen Gefahr, genau das zu verlieren, was Governance eigentlich sichern soll: unternehmerische Sicherheit und Handlungsfähigkeit.
Unternehmen müssen eine Governance-Kultur etablieren, die Risiken offen adressiert und kontinuierlich steuert. Die Interne Revision übernimmt dabei eine Schlüsselrolle: Sie prüft, ob das Unternehmen wirksam geführt wird – und ob Führungskräfte vor haftungsrechtlichen Fallstricken geschützt sind. Governance-Compliance ist nicht das Notfallnetz, sondern das Fundament verlässlicher Unternehmensführung.
