Verwaltungsrats-Lexikon

Leiter Internal Audit

Leiter der internen Revision mit Verantwortung für die unabhängige und objektive Prüfung des internen Kontroll- und Risikomanagement-Systems.

Definition

Der Leiter Internal Audit (Chief Audit Executive, CAE) ist die Leitungsperson der internen Revision einer Gesellschaft. Er verantwortet die unabhängige und objektive Prüfung des internen Kontrollsystems, des Risikomanagement-Systems und der Compliance-Funktion. Seine Funktion ist in den IIA-Standards des Institute of Internal Auditors definiert.

Die interne Revision ist die "dritte Verteidigungslinie" im Three-Lines-of-Defense-Modell: die erste Linie sind operative Kontrollen, die zweite Linie sind Risk Management und Compliance, die dritte Linie ist Internal Audit. Sie liefert dem Audit Committee und der Geschäftsleitung unabhängige Assurance über die Wirksamkeit der ersten beiden Linien.

Aufgaben und Rechtsgrundlage

In der Schweiz ist die Funktion nicht in einem einzigen Gesetzesartikel kodifiziert. Die Pflichten ergeben sich aus mehreren Quellen:

  • OR Art. 716a Abs. 1 Ziff. 5: Oberaufsicht des VR.
  • OR Art. 728a Abs. 1 Ziff. 3: Internes Kontrollsystem.
  • FINMA-Rundschreiben 2017/1: Corporate Governance Banken.
  • Versicherungsaufsichtsgesetz VAG für Versicherungen.
  • Swiss Code of Best Practice für börsenkotierte Gesellschaften.
  • IIA-Standards (International Standards for the Professional Practice of Internal Auditing).
  • Internal-Audit-Charter der jeweiligen Gesellschaft.

Die Kernaufgaben:

  1. Risiko-basierten Prüfungsplan erstellen.
  2. Prüfungen durchführen (operativ, finanziell, IT, Compliance, Cyber, ESG, Procurement).
  3. Prüfungsberichte mit Befunden und Empfehlungen erstellen.
  4. Massnahmen-Tracking und Follow-up.
  5. Reporting an Audit Committee (quartalsweise) und Geschäftsleitung.
  6. Externe Schnittstellen zu Revisionsstelle und Aufsichtsbehörden.
  7. Internal-Audit-Strategie entwickeln und implementieren.
  8. Aus- und Weiterbildung des Internal-Audit-Teams.
  9. Externe Qualitätsüberprüfung (Quality Assessment) alle 5 Jahre.
  10. Beratungsaufträge zu Governance-Themen (im Rahmen der Unabhängigkeit).

Praxis Schweiz

In Schweizer Konzernen ist Internal Audit Standard. Bei den SMI-Unternehmen verfügen alle über eine eigenständige Internal-Audit-Funktion mit fachlicher Berichtslinie zum Audit Committee. Die Teamgrösse variiert von 5 bis 50 Mitarbeitenden, je nach Konzerngrösse und Komplexität.

Bei mittelgrossen Schweizer Unternehmen ist Internal Audit zunehmend etabliert, oft beginnend mit einer Co-Sourcing-Lösung (interne Leitung mit externer Unterstützung). Bei KMU wird die Funktion häufig outgesourct, mit gelegentlichem Co-Sourcing mit Big-4-Wirtschaftsprüfern oder spezialisierten Anbietern.

Best Practice umfasst:

  • Internal-Audit-Charter vom Audit Committee genehmigt.
  • Duale Berichtslinie (fachlich Audit Committee, administrativ CEO).
  • Risiko-basierter Drei-Jahres-Plan mit jährlicher Aktualisierung.
  • Mindestens 20-30% Prüfungs-Abdeckung pro Jahr nach Risiko.
  • Standardisierte Prüfungsmethodik nach IIA-Standards.
  • Strukturiertes Reporting an Audit Committee (quartalsweise).
  • Massnahmen-Tracking mit klaren Verantwortlichkeiten und Fristen.
  • Cyber- und IT-Audit-Kompetenz aufbauen.
  • ESG-Audit-Kompetenz aufbauen.
  • Aus- und Weiterbildung mit CIA-Zertifizierung (Certified Internal Auditor).
  • Externe Qualitätsüberprüfung alle 5 Jahre.
  • Klare Trennung von Linien-Aufgaben (Internal Audit ist nicht für operative Themen verantwortlich).

Bei FINMA-beaufsichtigten Banken sind die Anforderungen weiter konkretisiert: Internal Audit muss eine Mindestgrösse, einen direkten Zugang zur Geschäftsleitung und ein dokumentiertes Eskalationsverfahren haben.

Häufige Fehler

Klassische Schwächen in der Praxis:

  • Fehlende Unabhängigkeit, Internal Audit berichtet nur an operative Vorgesetzte.
  • Risikoeinschätzung ohne breite Stakeholder-Einbindung.
  • Prüfungsplan ohne strategische Risiken (Cyber, ESG, Geopolitik).
  • Prüfungen ohne Tiefgang oder mit zu standardisierten Checklisten.
  • Massnahmen-Tracking ohne konsequente Eskalation bei Verzögerungen.
  • Mangelnde Kompetenz in spezialisierten Bereichen (IT, Cyber, ESG).
  • Verwischen mit Linien-Aufgaben.
  • Vermischung mit Compliance- und Risk-Management-Funktion.
  • Fehlende externe Quality Assessment.
  • Schwache Berichts-Qualität ohne klare Empfehlungen.
  • Keine Eskalation kritischer Befunde an VR-Präsidenten.
  • Unzureichende Ressourcen für den Auftrag.

Abgrenzung

  • Revisionsstelle: externes Prüforgan mit gesetzlichem Auftrag, Internal Audit ist interne Funktion.
  • Audit Committee: VR-Aufsichtsorgan, Internal Audit ist operative Prüffunktion.
  • Compliance Officer: fokussiert auf Compliance-Einhaltung, Internal Audit prüft die Wirksamkeit aller Funktionen.
  • Risk Manager: bewertet Risiken, Internal Audit prüft die Wirksamkeit des Risikomanagements.
  • Controlling: liefert Managementinformationen, Internal Audit prüft die Datenqualität.

Häufige Fragen

Was ist der Leiter Internal Audit?
Der Leiter Internal Audit (Chief Audit Executive, CAE) ist die Leitungsperson der internen Revision einer Gesellschaft. Er verantwortet die unabhängige und objektive Prüfung des internen Kontrollsystems, des Risikomanagement-Systems und der Compliance-Funktion. Er berichtet typischerweise an das Audit Committee des Verwaltungsrats und administrativ an den CEO. Seine Funktion ist in den IIA-Standards (Institute of Internal Auditors) definiert.
Ist der Leiter Internal Audit gesetzlich vorgeschrieben?
In der Schweiz nicht generell. In regulierten Branchen ist die Funktion zwingend (FINMA-Rundschreiben 2017/1 für Banken, VAG für Versicherungen). Bei börsenkotierten Gesellschaften ist sie durch den Swiss Code of Best Practice empfohlen. Bei grossen Konzernen ergibt sie sich faktisch aus der Pflicht zur Einrichtung eines wirksamen internen Kontrollsystems (OR Art. 728a Abs. 1 Ziff. 3). Bei KMU ist sie selten in dedizierter Form.
Welche Aufgaben hat ein Leiter Internal Audit?
Kernaufgaben sind: Risiko-basierten Prüfungsplan erstellen, Prüfungen durchführen (operative, finanzielle, IT, Compliance, Cyber, ESG), Prüfungsberichte mit Befunden und Empfehlungen erstellen, Massnahmen-Tracking und Follow-up, Reporting an Audit Committee und Geschäftsleitung, externe Schnittstellen zu Revisionsstelle und Aufsichtsbehörden, Internal-Audit-Strategie entwickeln, Aus- und Weiterbildung des Internal-Audit-Teams.
Wie ist der Leiter Internal Audit organisatorisch eingebettet?
Best Practice ist die fachliche Berichtslinie direkt an das Audit Committee und die administrative Berichtslinie an den CEO. Diese duale Linie sichert die Unabhängigkeit von operativen Bereichen. Die Berichtslinien sind in der Internal-Audit-Charter festgehalten, die vom Audit Committee genehmigt wird. Der Leiter hat direkten Zugang zum VR-Präsidenten in kritischen Situationen.
Was unterscheidet Internal Audit und externe Revisionsstelle?
Die Revisionsstelle ist ein externes Organ, von der GV gewählt, mit gesetzlichem Prüfauftrag zur Jahresrechnung (OR Art. 727 ff.). Internal Audit ist eine interne Funktion mit breiterem Prüfauftrag: operative Prozesse, IT, Compliance, Risikomanagement, IKS-Wirksamkeit. Internal Audit prüft kontinuierlich, die Revisionsstelle prüft jährlich. Beide Funktionen ergänzen sich und tauschen sich regelmässig aus, ohne ihre Unabhängigkeit aufzugeben.
Welche Standards gelten für Internal Audit?
Internationale Standards sind die IIA-Standards (International Standards for the Professional Practice of Internal Auditing) des Institute of Internal Auditors. Sie definieren Attribute-Standards (Unabhängigkeit, Kompetenz, Sorgfalt) und Performance-Standards (Prüfungsplanung, Durchführung, Berichterstattung). Eine externe Qualitätsüberprüfung (Quality Assessment) alle fünf Jahre ist Standard. In regulierten Branchen kommen branchenspezifische Anforderungen hinzu.
Welche Haftung hat der Leiter Internal Audit?
Als Mitarbeiter haftet er nach Arbeitsrecht (OR Art. 321e) für Pflichtverletzungen. Bei groben Pflichtverletzungen können zivilrechtliche Ansprüche der Gesellschaft entstehen. Eine Organhaftung nach OR Art. 754 entsteht in der Regel nicht, ausser bei faktischer Organstellung. Strafrechtliche Verantwortung kann ihn treffen, wenn er Erkenntnisse pflichtwidrig nicht eskaliert (insbesondere bei kritischen Compliance-Verstössen).
Wie wird die Wirksamkeit gemessen?
Typische Indikatoren sind: Prüfungsabdeckung (Anteil geprüfter Prozesse), Rechtzeitigkeit von Prüfungen, Qualität der Berichte (Akzeptanz im Audit Committee), Implementierungsrate der Massnahmen, Bedeutung der entdeckten Befunde, externes Quality Assessment (alle 5 Jahre nach IIA), Mitarbeiter-Zufriedenheit, Ausbildungsstand. Eine reine Anzahl-Metrik (Anzahl Prüfungen pro Jahr) ist unzureichend.

Verwandte Einträge

  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • RevisionsstelleExterne Prüfungsstelle der Aktiengesellschaft — gesetzlich zwingend, prüft Jahresrechnung und IKS, berichtet an die Generalversammlung.
  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
  • Verwaltungsrat (VR)Oberstes Leitungsorgan der Aktiengesellschaft mit unübertragbaren und unentziehbaren Aufgaben gemäss Obligationenrecht.

Fehlt etwas oder ist ein Fehler im Eintrag? Feedback zu diesem Begriff geben →