Verwaltungsrats-Lexikon

Interne Revision

Unabhängige Prüfungsfunktion im Unternehmen zur Beurteilung von Risiken, Kontrollen und Prozessen.

Definition

Interne Revision (Internal Audit) ist eine unabhängige, objektive Prüfungs- und Beratungsfunktion innerhalb des Unternehmens. Sie beurteilt die Wirksamkeit von Risikomanagement, internen Kontrollen und Governance-Prozessen und unterstützt damit den Verwaltungsrat und das Audit Committee bei ihrer Aufsichtsverantwortung.

International prägend sind die Standards des Institute of Internal Auditors (IIA), insbesondere die International Professional Practices Framework (IPPF). In der Schweiz wird die Funktion vom Swiss Code of Best Practice und in regulierten Branchen direkt aufsichtsrechtlich gefordert.

Rechtsgrundlage und Pflicht

In der Schweiz ist Interne Revision nicht generell gesetzlich verpflichtend, aber:

  • Swiss Code: Empfehlung für börsenkotierte und grössere Gesellschaften.
  • FINMA-Rundschreiben: Pflicht für Banken, Versicherungen und beaufsichtigte Institute.
  • OR Art. 716a: indirekt durch die Pflicht zur angemessenen Organisation.

Bei mittleren Unternehmen sind ausgelagerte oder schlanke Lösungen üblich, z.B. ein periodischer Audit durch externe Spezialisten.

Organisation

Eine wirksame Interne Revision basiert auf:

Berichtswege

  • Funktional an VR oder Audit Committee.
  • Administrativ an CEO.
  • Direkter Zugang zum VRP bei kritischen Befunden.

Bestellung und Abberufung

  • Chief Audit Executive (CAE) durch VR oder Audit Committee.
  • Performance-Review und Vergütung durch Audit Committee.
  • Schutz vor operativer Einflussnahme durch CEO.

Ressourcen

  • Unabhängiges Budget, vom Audit Committee genehmigt.
  • Personal mit relevanter Expertise (Finanzen, IT, Cyber, Compliance).
  • Zugang zu Personen und Dokumenten ohne Filterung.

Prüffelder

Typische Schwerpunkte:

Finanzielle Prüfungen

  • Wirksamkeit des IKS für Rechnungslegung.
  • Zahlungsprozesse und Vier-Augen-Prinzip.
  • Bewertungsprozesse und kritische Schätzungen.

Operative Prüfungen

  • Geschäftsprozesse auf Effizienz und Kontrolle.
  • Beschaffung und Lieferantenmanagement.
  • HR-Prozesse und Spesen.

Compliance-Prüfungen

  • Regulatorische Anforderungen (GwG, DSG, branchenspezifisch).
  • Code of Conduct und Anti-Korruption.
  • Sanktions-Compliance.

IT- und Cyber-Prüfungen

  • Access Management und Change Management.
  • Cyber-Schutzmassnahmen.
  • Datenschutz und Backup.

Spezialprüfungen

  • Sonderprüfungen bei Verdacht oder Vorfällen.
  • Forensische Untersuchungen.
  • Post-Mortem-Analysen nach Krisen.

Audit-Prozess

Typischer Ablauf einer Prüfung:

  1. Risikobasierte Planung im jährlichen Audit Plan.
  2. Scoping und Prüfungsplanung pro Engagement.
  3. Feldarbeit: Interviews, Dokumentenprüfung, Datentests.
  4. Befundsynthese und Bewertung.
  5. Berichterstattung an Management und Audit Committee.
  6. Follow-up: Überwachung der Umsetzung der Empfehlungen.

Unabhängigkeit

Die Unabhängigkeit ist der Kern-Wert der Internen Revision. Sie wird gesichert durch:

  • Funktionale Berichterstattung an VR oder Audit Committee.
  • Direkte Personalentscheide durch Audit Committee.
  • Unabhängiges Budget.
  • Charter mit klaren Rechten.
  • Verbot operativer Verantwortung im geprüften Bereich.
  • IIA-konforme Standards.

Ohne echte Unabhängigkeit ist Internal Audit wirkungslos und gefährlich, weil sie eine Scheinsicherheit erzeugt.

Zusammenspiel mit anderen Funktionen

Audit Committee

  • Genehmigung des Audit Plans und Budgets.
  • Würdigung der Audit-Berichte.
  • Steuerung des CAE.

Externe Revision

  • Koordination zur Effizienzgewinnung.
  • Reliance der externen Revision auf interne Arbeit (bei IKS-Tests).
  • Gemeinsames Risikoverständnis.

Risk Management und Compliance

  • Three Lines Model: Operatives Management (1st Line) — Risk and Compliance (2nd Line) — Internal Audit (3rd Line).
  • Klare Rollenabgrenzung.

VR-Verantwortung

Der VR (oder Audit Committee) muss:

  • Charter der Internen Revision genehmigen.
  • CAE bestellen und seine Performance beurteilen.
  • Audit Plan und Budget verabschieden.
  • Audit-Berichte ernsthaft würdigen.
  • Follow-up auf Befunde überwachen.
  • Unabhängigkeit schützen.

Häufige Schwächen

  • Internal Audit als CFO-Werkzeug ohne echte Unabhängigkeit.
  • Unterressourciert ohne Branchen-Expertise.
  • Box-Ticking-Prüfungen ohne strategische Tiefe.
  • Berichte ohne Konsequenz im Management.
  • Keine Follow-up-Disziplin bei Befunden.
  • Mangelnde Spezialisierung in IT, Cyber, Daten.
  • Tone-Probleme zwischen CAE und CEO.

Abgrenzung

  • Externe Revision (Revisionsstelle): jährliche gesetzliche Prüfung der Rechnungslegung — Interne Revision ist ganzjährige Prüfung von Prozessen und Risiken.
  • Compliance-Funktion: operative Sicherstellung der Regeleinhaltung — Interne Revision prüft die Wirksamkeit.
  • Risk Management: operative Risikosteuerung — Interne Revision prüft die Wirksamkeit der Risikoprozesse.

Häufige Fragen

Was ist Interne Revision?
Interne Revision (Internal Audit) ist eine unabhängige, objektive Prüfungs- und Beratungsfunktion innerhalb des Unternehmens. Sie beurteilt die Wirksamkeit von Risikomanagement, internen Kontrollen und Governance-Prozessen und unterstützt damit den VR und das Audit Committee bei ihrer Aufsichtsverantwortung. International prägend sind die Standards des Institute of Internal Auditors (IIA).
Ist Interne Revision Pflicht?
In der Schweiz nicht generell, aber Best Practice gemäss Swiss Code für börsenkotierte und grössere Gesellschaften. Bei FINMA-beaufsichtigten Instituten (Banken, Versicherungen) ist sie aufsichtsrechtlich vorgeschrieben. Bei mittleren Unternehmen ist eine ausgelagerte oder schlanke Lösung üblich. Die Verantwortung des VR für die Wirksamkeit des IKS bleibt unabhängig davon bestehen.
An wen berichtet Internal Audit?
Funktional an den VR oder das Audit Committee, administrativ an den CEO. Diese Doppelunterstellung sichert Unabhängigkeit: Der CEO darf Internal Audit nicht im Sinne seines eigenen Interesses steuern. Die Bestellung und Abberufung des Chief Audit Executive sollte durch den VR oder das Audit Committee erfolgen, ebenso die Genehmigung des Audit Plans und Budgets.
Was prüft die Interne Revision?
Typische Prüffelder: Wirksamkeit des IKS, Risikomanagement-Prozesse, Compliance mit Gesetzen und internen Regeln, IT- und Cyber-Kontrollen, Finanzberichterstattung, operative Prozesse, Betrugsprävention, Drittparteien-Risiken und Sonderprüfungen bei Verdacht oder Vorfällen. Die Prüfungen sind risikobasiert priorisiert und folgen einem jährlichen Audit Plan.
Was ist der Unterschied zur externen Revision?
Die externe Revision (Revisionsstelle gemäss OR Art. 727 ff.) prüft jährlich die Rechnungslegung und bestätigt sie gegenüber Aktionären. Die interne Revision prüft Prozesse, Risiken und Kontrollen ganzjährig für den VR. Beide ergänzen sich: Externe Revision liefert Bestätigung, interne Revision liefert kontinuierliche Verbesserung. Eine Koordination über das Audit Committee ist Best Practice.
Wie wird die Unabhängigkeit gesichert?
Durch funktionale Berichterstattung an den VR oder Audit Committee, durch direkte Personalentscheide des Audit Committee zum Chief Audit Executive, durch unabhängiges Budget, durch klare Charter mit definierten Rechten (Zugang zu Personen und Dokumenten), durch Verbot operativer Verantwortung im geprüften Bereich und durch IIA-konforme Standards. Ohne Unabhängigkeit ist Internal Audit wirkungslos.
Was sind häufige Schwächen?
Häufig: Internal Audit als CFO-Werkzeug ohne echte Unabhängigkeit, unterressourciert ohne Branchen-Expertise, Box-Ticking-Prüfungen ohne strategische Tiefe, Berichte ohne Konsequenz im Management, keine Follow-up-Disziplin bei Befunden, mangelnde Spezialisierung in IT/Cyber/Daten. Eine reife Internal Audit braucht klare Charter, kompetente Personen und VR-Rückhalt.

Verwandte Einträge

  • Audit Committee (Prüfungsausschuss)Spezialisierter Ausschuss des Verwaltungsrats für Finanzberichterstattung, internes Kontrollsystem und Beziehung zur Revisionsstelle.
  • IKS (Internes Kontrollsystem)Firmeninternes System aus Kontrollmechanismen zur Sicherstellung der Zielerreichung, Compliance und ordnungsgemässen Berichterstattung — gesetzlich gefordert nach OR.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.
  • Corporate GovernanceGesamtsystem der Führung und Kontrolle einer Gesellschaft — Verhältnis zwischen Verwaltungsrat, Geschäftsleitung, Aktionären und weiteren Stakeholdern.