Neben einem Risikomanagement-System, einem Compliancemanagement-System, einem Internen Kontrollsystem zählt auch die Interne Revision zu den wesentlichen Komponenten der Corporate Governance eines Unternehmens. Dass die Kontrollfunktion des Managements an die Interne Revision delegiert wird, ist inzwischen weit verbreiteter Ansatz in der Praxis.
"Eine professionell arbeitende und effektive Interne Revision (IR) ist ein unverzichtbares Instrument, um Unternehmen dauerhaft auf Kurs zu halten", so die Autoren. Jüngste Betrugsskandale, von FTX bis Wirecard, bestätigen diese Aussage. Das Buch ist in 12 Kapitel gegliedert. Das erste Kapitel liefert mit den "Gründen für die Einrichtung einer Internen Revision" ein Fundament für alle folgenden Kapitel. Das anschließende zweite Kapitel setzt sich mit den Zielen und Aufgaben sowie Rechten und Pflichten der IR auseinander. Das dritte Kapitel Zweck setzt sich mit den ethischen Grundsätzen im Berufsstand der Internen Revision auseinander.
"Die Interne Revision erbringt unabhängige und objektive Prüfungs- und Beratungsdienstleistungen, welche darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern. Sie unterstützt die Organisation bei der Erreichung ihrer Ziele, indem sie mit einem systematischen und zielgerichteten Ansatz die Effektivität des Risikomanagements, der Kontrollen und der Führungs- und Überwachungsprozesse bewertet und diese verbessern hilft.", so die internationalen Standards für die berufliche Praxis der Internen Revision aus dem Jahr 2017. Relevante Standards und Grundsätzen des IIA (The Institute of Internal Auditors) und DIIR (Deutsches Institut für Interne Revision e.V.) skizziert das vierte Kapitel. Das fünfte Kapitel beschreibt nationale, europäische, US-amerikanische und internationale Regelungen und Initiativen zur Internen Revision.
Entwicklungstendenzen und potenzielle Zukunftsperspektiven werden im sechsten Kapitel diskutiert. Im siebten Kapitel werden die Strategie und Organisation der Internen Revision präsentiert. In einem Anhang werden relevante IIA- und DIIR-Standards zusammengefasst.
Eine risikoorientierte Prüfungsplanung ist ein anerkannter Standard der Revisionsarbeit. Hierbei wird das Ziel verfolgt, dass die knappen Resourcen einer Internen Revision so eingesetzt werden, dass die risikoreichsten Bereiche geprüft werden. Mit den Ansätzen einer risikoorientierten Revisionsplanung setzt sich das achte Kapitel auseinander. Auch hier werden die relevanten IIA- und DIIR-Standards zusammengefasst. Leider setzt sich das Kapitel nicht mit quantitativen Methoden eines wirksamen Risikomanagements auseinander. Stattdessen wird auf Seite 224 eine Risikomatrix präsentiert, die einem wirksamen Risikomanagement entgegensteht. Existenzbedrohende Szenarien, die das Risikodeckungspotenzial eines Unternehmens in der Aggregation überschreiten, können mit Hilfe einer "einfachen" Risikomatrix nicht erkannt werden. Hier wäre ein stärkerer Bezug zum DIIR Revisionsstandard Nr. 2 (Prüfung des Risikomanagementsystems durch die interne Revision). Die neue Version (2.1) unterscheidet erstmals die Prüfung von Organisation und Prozessen einerseits sowie die Methoden (beispielsweise für Risikoquantifizierung und Risikoaggregation). Zudem wird in Folge der Implikationen aus § 93 AktG gefordert, dass das Risikomanagement mit Risikoanalysen in die Vorbereitung "unternehmerischer Entscheidungen" einzubeziehen ist, um "angemessene Informationen" in den Entscheidungsvorlagen belegen zu können.
Die Revisionsobjekt-(RO)-planung und mögliche Prüfungsarbeiten vor Ort werden in Kapitel 9 vorgestellt. Inhalt vom zehnten Kapitel sind die Anforderungen an eine professionelle Berichterstattung, Präsentationstechniken, Revisionspsychologie sowie die Überwachung von Prüfungsergebnissen. Auch hier werden die wesentlichen IIA- und DIIR-Standards in einem Anhang zusammengefasst. Mit dem Qualitätsmanagement in der IT setzt sich Kapitel 11 auseinander. Das Buch schließt mit einer Außensicht (national und international) im zwölften Kapitel ab. Für Risikomanager dürfte hier vor allem das Kapitel 12.1.5 "Zusammenarbeit mit dem Bereich Risikomanagement" von Interesse sein.
Fazit: Das Autorenduo liefert mit dem 470 Seiten umfassenden Grundlagenwerk eine solide und strukturierte Einführung in die Welt der Internen Revision. In der aktualisierten dritten Auflage wurden gesetzliche Änderungen und Aktualisierungen in Standards (beispielsweise FISG, Lieferkettenpflichtensorgfaltsgesetz, EU-Taxonomie, ESG-Compliance, COSO ICS, COSO ERM, GeschGehG, EU-RL zum Schutz von Whistleblowern etc.) berücksichtigt.
