Dieser Beitrag beleuchtet die Governance-Rolle der Internen Revision im neuen Three Lines Model (TLM) des Institute of Internal Auditors (IIA). Die Überarbeitung des IIA ist eine Weiterentwicklung des Three Lines of Defense Model (TLoDM) als Antwort auf die Kritik aus der Praxis. Zunächst werden die wesentlichen Änderungen zwischen den Modellen beschrieben. Danach werden eine Abgrenzung der verschiedenen organisationalen Governance-Rollen vorgenommen und insbesondere die Rolle der Internen Revi sion vor dem Hintergrund des TLM analysiert.
Die Frage, inwiefern das Three Lines of Defense Model (TLoDM) einen Beitrag zu einer besseren Corporate Governance leistet, wurde in Literatur und Praxis intensiv und kontrovers diskutiert. Als ein Hauptkritikpunkt des TLoDM wurde die Ausrichtung auf drei starre Verteidigungslinien (Operative Kontrollen, Risikomanagement und Interne Revision) angeführt. Unter anderem stellte die Kritik darauf ab, dass diese drei Verteidigungslinien nicht als effektiv angesehen wurden und ein falsches und trügerisches Gefühl der Sicherheit vermittelt werde. Zudem wurde bemängelt, dass das TLoDM zu statisch sei und den Anforderungen einer dynamischen Umgebung nicht entspräche. Des Weiteren wurden die mehrdeutigen Verantwortlichkeiten der Verteidigungslinien, eine unzureichende Zusammenarbeit und Abgrenzung zwischen der zweiten und dritten Verteidigungslinie (Silodenken) sowie redundante Kontrollen kritisch hinterfragt.
Das neue TLM - eine Evolution, keine Revolution - ist im Vergleich zum TLoDM einerseits dadurch charakterisiert, dass anstelle der Verteidigungslinien nun Governance-Rollen definiert werden. Diese Namensänderung adressiert den Hauptkritikpunkt am traditionellen TLoDM, dass dieses ausschließlich darauf abstelle, gegen Risiken zu verteidigen (value protection), anstatt auch Wertschöpfung (value creation) und ein vorausschauendes Risikomanagement zu inkludieren. Zweitens soll ein verstärkt prinzipienorientierter Ansatz des neuen Modells Geschäftsleitungen, Aufsichtsräten und Internen Revisionen einen flexibleren Rahmen des Zusammenspiels der ersten und zweiten Linie im jeweiligen organisationsspezifischen Kontext bieten. Drittens bestätigt und erhellt das TLM die Unabhängigkeit der dritten Linie (Interne Revision): Unabhängigkeit bleibt essenziell, Independence ist allerdings nicht mit Isolation zu verwechseln. Das ist eine wichtige Klarstellung, insbesondere relevant für Revisionsfunktionen in der Praxis, die Un abhängigkeit als Vorwand nutzten, vorgeblich nicht dabei behilflich sein zu können, erfolgskritische, interne Prozesse verbessern zu helfen. Vielmehr wird der regelmäßige Austausch zwischen Interner Revision und dem Management hervorgehoben und eingefordert.
Orientierung an internen Unternehmenszwecken
Die Interne Revision darf und soll grundsätzlich helfen, wenn sie kann. Sie dient schließlich primär internen Unternehmenszwecken. Die Arbeit der Internen Revision sollte so ausgestaltet sein, dass sich diese an den strategischen und operativen Anforderungen der Organisation orientiert.
Im Folgenden wird die inhaltliche Weiterentwicklung des Modells zum TLM beschrieben. Daraufhin wird speziell auf die Governance-Rolle der Internen Revision und Möglichkeiten der Implementierung abgestellt und schließlich ein Fazit gezogen.
Das TLM ist grundsätzlich auf alle Organisationen anwendbar. Es ist durch die sechs Grundsätze "Governance", "Rollen des Leitungsorgans", "Management und Rollen der ersten und zweiten Linie", "Rolle der dritten Linie", "Unabhängigkeit der dritten Linie" und "Wertschöpfung und Schutz von Werten" charakterisiert. Durch einen solchen auf Grundsätze basierenden Ansatz wird den Anwendern hilfreiche Orientierung gegeben und zugleich ein höheres Maß an Flexibilität eingeräumt. Als zentrale Governance-Rollen werden die Leitungsorgane, das Management, die Interne Revision und Externe Prüfungsdienstleister angesehen. Diese Rollen sind aus Abbildung 1 ersichtlich.
Die Leitungsorgane geben die Richtung in einer Organisation vor. Dies umfasst unter anderem Vorgaben zu Strukturen und Prozesse für die Governance, die Delegation von Verantwortung und der zur Verfügungstellung von Ressourcen an das Management und die Einhaltung rechtlicher, regulatorischer oder ethischer Rahmenbedingungen. Ferner wird die Risikobereitschaft der Organisation durch das Leitungsorgan bestimmt, inklusive der damit verbundenen Überwachung des Risikomanagements einschließlich entsprechender Kontrollen. Von daher bestimmt das Leitungsorgan nicht nur die Geschäftsstrategie, sondern leitet daraus eine entsprechende Risikostrategie für die jeweilige Organisation ab.
Um die Organisationsziele zu erreichen, erfolgt eine Delegation der Verantwortung mit den erforderlichen Ressourcen an das Management. Das Management verantwortet definitionsgemäß im TLM die Rollen der ersten und zweiten Linie: In Bezug auf die erste Linie hat es die Aufgabe, die Tätigkeiten unter Berücksichtigung des Risikomanagements zu leiten, zu lenken und berichtet über geplante, tatsächliche und zu erwartende Ergebnisse im Kontext der Zielerreichung und den damit verbundenen Risiken an das Leitungsorgan. Ferner ist das Management für die Einführung und den Betrieb von adäquaten Strukturen und Prozessen unter Berücksichtigung von Risiken und Kontrollen verantwortlich.
Aufgabenverteilung
In den Bereich der zweiten Linie fallen gemäß TLM ergänzende Tätigkeiten, die sich vor allem auf risikobezogene Sachverhalte konzentrieren. Dies wird auch in der Definition der zweiten Linie deutlich. Demnach bietet die zweite Linie "ergänzende Fachkenntnisse, Unterstützung, Überwachung und Aufgaben im Zusammenhang mit dem Risikomanagement." Folglich können diese Funktionen beispielweise die Compliance-Funktion oder die Risikomanagement-Funktion sein. Nach dem TLM umfasst dies folgende Gesichtspunkte:
- Entwicklung, Implementierung und kontinuierliche Verbesserung von Risikomanagementpraktiken (einschließlich interner Kontrollen) auf Prozess-, System- und Organisationsebene;
- Erreichung von Risikomanagementzielen, zum Beispiel Einhaltung von Gesetzen, Regulierungen und akzeptablem ethischem Verhalten, interner Kontrollen, Informations- und Technologiesicherheit, Nachhaltigkeit und Qualitätssicherung.
Nach den nationalen und internationalen Berufsstandards der Internen Revision erbringt diese "unabhängige und objektive Prüfungs- und Beratungsleistungen, die darauf ausgerichtet sind, Mehrwerte zu schaffen und die Geschäftsprozesse zu verbessern".18) Das TLM sieht die dritte Linie, die Interne Revision, als unabhängig an. Diese soll Prüfungs- und Beratungsleistungen in Bezug auf zielgefährdende Prozesse und Aktivitäten erbringen, dies inkludiert die Angemessenheit und Wirksamkeit der Governance und des Risikomanagements. Die Dienstleistung der Internen Revision soll gemäß TLM der Erreichung von Zielen dienen.
Das TLM stellt in der Einordnung der Internen Revision die Unabhängigkeit vom Management besonders heraus. Die Unabhängigkeit der dritten Linie ist unter anderem dadurch gekennzeichnet, dass die Interne Revision in der Prüfungsplanung und Prüfungsdurchführung frei von Behinderungen und Voreingenommenheit agieren können soll. Dies ist dann regelmäßig gegeben, wenn Revisoren Sachverhalte uneingeschränkt und von allen Seiten, sozusagen holistisch, beleuchten können und sollen, und dies mit gesunder Skepsis, mit kritischer Geisteshaltung. Die Neutralität und gesunde Skepsis wird in der gegenwärtigen Literatur und den International Standards of Auditing (ISA) als vorherrschende Sichtweise für eine kritische Geisteshaltung eines Prüfers angesehen. Um die Erreichung der Ziele zu ermöglichen, ist ferner ein uneingeschränkter Zugang zu den erforderlichen Ressourcen, Personen und Informationen eine notwendige Bedingung.
Der IIA hat in seiner Veröffentlichung klargestellt, dass die Unabhängigkeit der Internen Revision nicht zu deren Insolation führen soll. Um die strategischen und operativen Bedürfnisse einer Organisation in die Ausrichtung ihrer Internen Revision mit einzubeziehen, ist ein aktiver Austausch und Dialog zwischen dem Management und der Internen Revision nicht nur hilfreich, sondern erforderlich. Interne Revisoren sind dann regelmäßig erfolgreicher, wenn sie im engen Austausch mit dem Management agieren, wenn sie sozusagen "wissen, was läuft". Dieser Austausch fördert den Aufbau von Wissen, dient dem Verständnis im Rahmen der Organisation und führt damit zu einer Stärkung der Prüfungssicherheit und einer vertrauensvollen Beratung (trusted advisor). Nicht zuletzt werden durch eine aktive Zusammenarbeit und Kommunikation zwischen den ersten beiden Linien und der Internen Revision Redundanzen vermieden.
Prüfungsqualität erhöhen
Schließlich stellt das TLM auf die Governance-Rolle der Externen Prüfungsdienstleister ab. Diese sollen die Prüfungsqualität und -sicherheit ergänzend erhöhen. Diesbezüglich wird auf zwei Punkte abgestellt - zum einen auf die Erfüllung regulatorischer und gesetzlicher Erwartungen, zum Schutz der Stake holder-Interessen einer Organisation und zum anderen soll die Prüfungssicherheit interner Quellen ergänzt werden.
Die Art der Ausgestaltung der Internen Revision im TLM lässt ihre Schlüsselfunktion als dritte Linie erkennen, die ihre Aufgabe unabhängig und objektiv wahrzunehmen hat. Dabei ist zu unterstreichen, das wird ausdrücklich betont, dass die Unabhängigkeit nicht mit einem Silodenken oder Isolation zu verwechseln ist. Die TLM sieht eine regelmäßige und wirksame Koordination, Zusammenarbeit und Kommunikation der drei Linien als Grundvoraussetzung für ein erfolgreiches Zusammenwirken. Diese Form der koordinierten und integrierten Zusammenarbeit, um Risiken effektiv und effizient zu überwachen, wird auch im Kontext von Combined Assurance hervorgehoben. Dieser Ansatz bietet mannigfaltige Potenziale:
- Die Möglichkeit einer gemeinsamen Sprache über alle Governance-Rollen und Funktionen;
- Das Aufbrechen von bekanntem Silodenken, mit dem Ziel einer effizienteren Erfassung und eines effizienteren Berichtswesens von Informationen;
- Eine gemeinsame Sichtweise auf Risiken und Probleme über das gesamte Unternehmen.
Combined Assurance ist im Kontext der Internen Revision, speziell der Zusammenarbeit mit anderen Organisationseinheiten, ein relatives junges Themenfeld. Die Interne Revision kann die führende Rolle in der Koordination der Zusammenarbeit verschiedenen anderen Governance-Rollen und Organisationseinheiten einnehmen. Die Interne Revisionsfunktion ist grundsätzlich sehr gut positioniert, eine Koordinations- und Vermittlerfunktion zu übernehmen. Behilflich ist dabei, dass die dritte Linie alle erfolgskritischen Kernprozesse einer Organisation "auf dem Radar" haben sollte/muss. Darüber hinaus ist die Interne Revision unabhängig von Organisationsprozessen, was eine größere Objektivität und Neutralität ermöglicht.
Sie kann so zu einem kompetenten, äußerst wertvollen und sehr geschätzten Ratgeber für das Leitungsorgan und das Management werden. Unabhängig vom Rest der Organisation und vom Management hat diese Funktion traditionell die Aufgabe, dem Audit Committee und der Geschäftsleitung signifikante Probleme zeitnah aufzuzeigen - und auch bei der Lösungsfindung konkret behilflich zu sein. Zentrale Funktion der Internen Revision ist es, in Kenntnis von Risiken, Kontrollen und Kontext, Leitungsorgan und Management zu unterstützen, Probleme zu lösen, Handlungsoptionen aufzuzeigen und bewerten zu helfen, nach Durchführung adäquater Prüfungs- und Beratungsaktivitäten.
Die Ausgestaltung von Combined Assurance im Bereich der Internen Revision kann an drei Stellen ansetzen (siehe Abbildung 2), die jedoch jeweils eine eigenständige und unabhängige dritte Linie berücksichtigen:
- Integrierte Prüfungen: Prüfungstätigkeiten erfolgen gemeinsam mit anderen Governance-Akteuren.
- Prozessintegration: Im Rahmen der Prüfungs- und Berichtserstattung der Internen Revision erfolgt eine intensive Koordination mit anderen Akteuren. Ausrichtung auf Geschäftsprozesse: Die Koordination erfolgt punktuell im Rahmen einer strukturierten oder Ad-hoc
- Ausrichtung ausgewählter Geschäftsprozesse. Informationen anderer Governance-Rollen kann die Interne Revision im Rahmen ihrer Prüfung nutzen.
Während das TLoDM eindimensional und zu starr auf die Verteidigung (value protection) von Werten fokussiert war, weist das überarbeitete TLM auf die Notwendigkeit und den Nutzen der Zusammenarbeit zwischen den Governance-Rollen hin. Das TLM berücksichtigt somit verstärkt den menschlichen Faktor der Unternehmenswirklichkeit, den Willen zur Zusammenarbeit. Erfolgreiche Governance und Risikomanagement werden sozusagen zum Teamsport. Dies kommt der Lebenspraxis in Organisationen näher und das erhöht grundsätzlich die Chancen der Internen Revision auch wirksam zu werden.
Eine Studie des Deutschen Instituts für Interne Revision über die Zusammenarbeit und Kooperation zeigt, dass eine zwar relative hohe Kooperationsbereitschaft grundsätzlich vorhanden ist, bei der Intensität und Qualität der Zusammenarbeit gibt es noch ungenutzte Möglichkeiten.
Die neue, intensivere Art der Zusammenarbeit und des konstruktiven Dialogs zwischen den Governance-Rollen ist ausdrücklich gewollt und kann gegebenenfalls in einen Combined-Assurance-Ansatz münden. Dieser noch relativ neue und unerforschte Ansatz könnte für die Interne Revisionsfunktion eine Erweiterung und Stärkung ihrer Rolle bedeuten. Als "Combined Assurance Champion" könnte die dritte Linie eine Koordinierungsfunktion einnehmen und somit die Zusammenarbeit aktiv fördern. Die Dimensionen Unabhängigkeit und Objektivität bleiben wichtig, sollten allerdings nicht als Ausreden missbraucht werden.
Die Interne Revision soll und muss den Finger in die Wunde legen, soll und muss sich aber auch zugleich - will sie anerkannt und erfolgreich sein und bleiben - in der organisatorischen Praxis als Lösungsanbieter einbringen. Dabei sind etwaige Interessenkonflikte zu vermeiden. Die anzustrebende Neutralität und Objektivität ist ein hohes Gut, wohlwissend, dass auch der Blick und die Perspektive der Internen Revision nicht frei von Subjektivität sein kann.
Gelungene Evolution des TLoD-Modells
Abschließend ist festzuhalten, dass sich die Zielerreichung einer wirksamen Internen Revision und eine effektive Corporate Governance regelmäßig wechselseitig bedingen. Erfolgreiche Organisationen müssen sicherstellen, dass existenzgefährdende Risiken frühzeitig erkannt werden, bevor Illiquidität und/oder Überschuldung drohen. Die konstruktive Zusammenarbeit aller Akteure ist dazu regelmäßig zweckdienlich: gemeinsame Ziele, regelmäßiger Wissensaustauch und wechselseitiger Respekt kennzeichnen die effektive Interne Revisionsfunktion.
Regelmäßige und zeitnahe Kommunikation mit dem Management und dem Leitungsorgan sind hilfreich bei dem Bestreben, konstruktive Problemlösungen zu erarbeiten. Redundante Insellösungen unterschiedlicher Rollen können in einem dynamischen Umfeld weder effizient noch effektiv sein. Combined Assurance bietet vielversprechende Ansätze, stetig wachsenden organisatorischen Herausforderungen zu begegnen. Das zur verstärkten Zusammenarbeit einladende TLM ist eine zu begrüßende und gelungene Evolution des TLoDM. Das TLM bietet Potenziale, die Wirksamkeit der Internen Revision und der Corporate Governance insgesamt zu stärken.
Fußnoten
1) Vgl. IIA (2020a), IIA Issues Important Update to Three Lines Model, Online, IIA, The IIA's Three Lines Model. An Update of the Three Lines of Defense, S. 1 ff.
2) Vgl. IIA (2013), IIA Position Paper, The Three Lines of Defence in Effective Risk Management and Control, S. 1 ff. Online
3) Vgl. Chamber, AD./Oder, M. (2015): A New Vision for Internal Audit, Managerial Auditing Journal, S. 34 ff., CBOK, Global Pulse of Internal Audit embracing opportunities in a dynamic environment, The IIA Research Foundation, S. 4 ff.
4) Vgl. Bantleon, U. et al. (2017): Das Three-Lines-of-Defence-Modell: Ein Beitrag zu einer besseren Corporate Governance? - Entstehung und Rezeption durch Standardsetzer und Regulatoren, Die Wirtschaftsprüfung, S. 682 ff., Bantleon, U. et al. (2017): Das Three-Lines-of-Defence-Modell: Ein Beitrag zu einer besseren Corporate Governance? - Empirische Befunde, Die Wirtschaftsprüfung, S. 873 ff.
5) Vgl. Chamber, AD./Oder, M. (2015), a.a.O., S. 34 ff.
6) Vgl. CBOK (2015): Global Pulse of Internal Audit embracing opportunities in a dynamic environment, The IIA Research Foundation, S. 4 ff. Online
7) Vgl. Lenz, R. (2017): The Traditional Model vs. The Modern Play, ECIIA Conference, S. 9.
8) Vgl. Jaeger, J. (2020): Analysis. Comparing the IIA's New 'Three Lines Model' to the Old One, Compliance Week. Online, 29.07.2020.
9) Vgl. IIA (2020b): Das Drei Linien Model des IIA. Eine Aktualisierung des Three Lines of Defense, S. 1.
10) Vgl. IIA (2020b), a.a.O., S. 2 ff.
11) Vgl. IIA (2020b), a.a.O., S. 4.
12) Vgl. IIA (2020b), a.a.O., S. 5.
13) Vgl. Schmidt, C./Reuse, S. (2018): MaRisk 6.0: Ausgestaltung und Quantifizierung einer angemessenen Risikokultur, Zeitschrift für das gesamte Kreditwesen, S. 3.
14) Vgl. IIA (2020b), a.a.O., S. 7.
15) Vgl. IIA (2020b), a.a.O., S. 5.
16) IIA (2020b), a.a.O., S. 6.
17) IIA (2020b), a.a.O., S. 6.
18) Vgl. Schmidt, C. (2016): Steigerung der Objektivität Interner Revisoren, Rotation als ein effektives Instrument, Springer Fachmedien, Wolfsburg, Band 91, S. 1.
19) Vgl. IIA (2020b), a.a.O., S. 3.
20) IIA (2020b), a.a.O., S. 4.
21) Vgl. Schmidt, C. (2016): Steigerung der Objektivität Interner Revisoren, Rotation als ein effektives Instrument, Springer Fachmedien, Wolfsburg, Band 91, 2016. S. 1, vgl. Quadackers, L./Groot, T./Wright, A. (2013): Auditors Professional Skepticism: Neutrality versus Presumptive Doubt, Contemporary Accounting Research. S. 2.
22) Vgl. IIA (2020b), a.a.O., S. 7.
23) Vgl. IIA (2020b), a.a.O., S. 8.
24) Vgl. Eulerich, M. (2012): Combined Assurance: Ein ganzheitlicher Ansatz zur Minimierung der Risikoposition, Zeitschrift Interne Revision, S. 194 ff.
25) Vgl. Huibers, S. (2015): Combined Assurance: One Language, One Voice, One View. The Institute of Internal Auditors Research Foundation, S. 4.
26) Vgl. Decaux, L./Sarens, G. (2015) Implementing combined assurance: Insights from multiple case studies, In: Managerial Auditing Journal. S. 57.
27) Vgl. Sarens, G./Decaux, L./Lenz, R. (2012): Combined Assurance: Case Studies on a Holistic Approach to Organizational Governance, IIA Research Foundation. S. 102.
28) Vgl. Sarens, G./Decaux, L./Lenz, R. (2012), a.a.O., S. 103.
29) Vgl. Sarens, G./Decaux, L./Lenz, R. (2012), a.a.O., S. 105.
30) Vgl. Huibers, S. (2015), a.a.O., S. 8. Online
31)Vgl. DIIR (2020): Combined Assurance. Koordinierte Zusammenarbeit der Governance-Funktionen, Version 1.0., S. 8.
32) Vgl. Sarens, G./Decaux, L./Lenz, R. (2012), a.a.O., S. 101.
33) Vgl. DIIR (2020), a.a.O., S. 14.
34) Vgl. Hoos, F./Lenz, R. (2015): Welche Faktoren erhöhen die Wirksamkeit der Internen Revision und stärken damit die Corporate Governance? Eine empirische Analyse "harter" und "weicher" Faktoren, Zeitschrift für Corporate Governance, S. 107 ff.
