Tobias Siebert, Referent, Steuerungs- und IT-Revision, Kasseler Sparkasse
I. Einleitung
Projekte gewinnen als Instrument einer effizienten und effektiven Entwicklung beziehungsweise Optimierung von Produkten, Organisationsstrukturen, Prozessen und IT-Systemen auch in Kreditinstituten weiterhin an Bedeutung.
Um die gesetzten Projektziele im Einklang mit den aufsichtsrechtlichen Anforderungen zu erreichen, ist ein frühzeitiges, angemessenes und wirksames Risikomanagement zwingend erforderlich. Die Interne Revision ist gemäß MaRisk verpflichtet, bei wesentlichen Projekten begleitend tätig zu sein.
Ebenfalls wird die Interne Revision zunehmend durch den Abschlussprüfer und die Bankenaufsicht geprüft und beurteilt. Der Fokus liegt dabei auf der frühzeitigen Einbindung der Revision in den bankinternen Change-Prozess. Daher spielen die Projektrevision sowie auch die Projektbegleitung eine zentrale Rolle in der täglichen Revisionspraxis.
Dabei ist es für die Interne Revision wichtig, die wesentlichen Projekte zu identifizieren und unter Berücksichtigung ihrer „prozessunabhängigen Funktion“ projektbegleitend und prüfend tätig zu sein. Vor allem durch den „Ex-Ante-Ansatz“ können Revisionseinheiten einen erheblichen Nutzen stiften, indem sie sich aktiv in das Tätigkeitsfeld der Projektrevision einbringen.
Das DIIR[1] hat mit dem Revisionsstandard Nr. 4 eine wesentliche Grundlage geschaffen und wichtige Rahmenbedingungen für die Revisionsarbeit definiert. Ergänzt wird dieser u. a. durch (banken-)verbandsspezifische Dokumente wie z. B. die DSGV[2]-Stellungnahme zur „Projektbegleitenden Prüfung der Internen Revision“.
Der folgende Beitrag beschäftigt sich mit der Rolle der Internen Revision bei Projekten unter der Berücksichtig der regulatorischen Anforderungen. Zudem werden Prüfungsansätze sowie Vorteile der Projektrevision aufgezeigt.[3]
II. Ziele der Projektrevision/-begleitung
1. Definition
Zunächst gilt es, das Prüfobjekt „Projekt“ zu definieren. Ein Projekt ist ein einzigartiges Vorhaben mit spezifischen Zielen, zeitlichen, finanziellen und personellen Begrenzungen sowie einer eigenen Organisation. Es umfasst eine temporäre Struktur und Management-Umgebung, um einen bestimmten Business Case (Geschäftsplan) zu erfüllen.[4] Laut dem DIIR Revisionsstandard Nr. 4 ist ein Projekt durch einmalige Bedingungen wie eine klare Zielvorgabe, eine begrenzte Dauer sowie eine spezifische Organisation gekennzeichnet. Die Interne Revision unterstützt hierbei die Einhaltung gesetzlicher, regulatorischer und unternehmensinterner Vorgaben, um Risiken frühzeitig zu identifizieren und entgegenzuwirken.
Weitergehend lässt sich ein Projekt in die folgenden fünf (klassischen) Projektphasen einteilen:
[...]
Beitragsnummer: 22922 | Projektphase | (Kurz-)Erläuterung |
| Findung/Initialisierung | Identifizierung des Bedarfs und Nutzens eines geplanten Projekts, inkl. Überprüfung der Machbarkeit. Benennung des Projektleiters sowie weiterer beteiligter Personen. |
| Planung | Definition des Projektauftrags, Formulierung der Ziele und Rahmenvorgaben unter Berücksichtigung potenzieller Risiken. |
| Durchführung | Realisierung des Projektvorhabens, Steuerung und Überwachung der Arbeitsergebnisse im Hinblick auf das Projektziel (Soll-Ist-Abgleich). |
| Abschluss | Strukturierte und kontrollierte (im Normalfall) Beendigung des Projekts durch die Projektleitung inkl. Abnahme des Projektergebnisses. |
| Nachschau | Nachgelagertes Resümee (u. a. Kosten-Nutzen-Nachkalkulation, Abweichungsanalysen). |
Diese Projektphasen bieten für die Interne Revision verschiedene Prüfungsansätze (siehe Abbildung Nr. 1), welche je nach Projektstand variieren können.
2. Ziele und Vorteile
Die Ziele bzw. Motivationen für eine Projektrevision/-begleitung können aus unterschiedlichen Beweggründen entstehen. Nachfolgenden Kriterien können für eine Projektprüfung/-begleitung in den einzelnen Instituten sprechen:
| Kriterium | (Kurz-)Erläuterung |
| Regulatorik | Neue Vorschriften wie CRR III, MaRisk oder DORA führen zu verschiedenen Projekten im Institut. |
| Wirtschaftlichkeit | Interne Projekte zur Umsetzung bankstrategischer Ziele, z. B. neue Ertragsfelder erschließen und Prozesse optimieren. |
| Wettbewerb | Neue Märkte zur Kundengewinnung und Verbesserung des Bankservices entwickeln. |
| ITK[5] | Einführung neuer Technik und IT-Sicherheit sowie wesentlicher Anwendungen. |
Ebenfalls ergeben sich aufgrund einer Projektprüfung/-begleitung diverse Vorteile für die Interne Revision.
Bei Projektprüfungen/-begleitungen kann vor allem der wesentliche Vorteil genutzt werden, sich bereits frühzeitig (Ex-Ante) in den Einführungsprozess mit einzubringen. Dabei liegt der Fokus darauf, bereits bei Entwicklung/Entstehen von neuen Prozessen und Produkten oder der Umsetzung regulatorischer Anforderungen, Anmerkungen der Internen Revision in der Entstehungsphase aufzunehmen und entsprechende Hinweise zur Lösung zu adressieren.
III. Regulatorische Anforderungen und Revisionstätigkeiten
Im Hinblick auf die regulatorischen Anforderungen bezüglich projektbegleitender Prüfungen hat die BaFin bereits im Fachartikel „Interne Revision: Erwartungen der Bankenaufsicht“ vom 04.03.2014 ihre Erwartungen konkretisiert. Die Aufsicht verweist darauf, dass die MaRisk ausdrücklich vorschreiben, dass die Interne Revision wesentliche Projekte begleitet. Ebenfalls hat sie (die Interne Revision) dafür die erforderlichen Kapazitäten einzuplanen, sowohl was die Anzahl der Mitarbeiter angeht als auch deren Qualifikation.
Diese Begleitung bietet Vorteile: Die federführenden Bereiche profitieren vom Know-how der Revision, während die Interne Revision frühzeitig Einblicke in geplante Strukturen erhält und Projekte (frühzeitig) beeinflussen kann.
Unbedingt dabei zu beachten ist, dass die Interne Revision ihre Unabhängigkeit wahren muss. Die Verantwortung bleibt bei den projektinitiierenden Einheiten – die Revision darf keine leitenden oder entscheidungsrelevanten Funktionen übernehmen, da sie diese Einheiten später prüfen muss.
Aus den regulatorischen Anforderungen ergeben sich verschiedene indirekte und direkte Anforderungen und Vorgaben, welche für die Projektrevision/-begleitung von Bedeutung sind:
| direkt | Regelung der MaRisk | Erläuterung |
| Begleitung wesentlicher Projekte BT 2.1, Tz. 2 | Die Interne Revision hat unter Wahrung ihrer Unabhängigkeit und unter Vermeidung von Interessenkonflikten bei wesentlichen Projekten begleitend tätig zu sein. Die Internen Revision können so früh i. R. des Projektes aufgenommen werden und bspw. bei der Modellierung von Arbeitsanweisungen Berücksichtigung finden. „Ex-Ante-Ansatz“ |
| indirekt | Regelung der MaRisk | Erläuterung |
| Prüfung aller Aktivitäten und Prozesse AT 4.4.3, Tz. 3 | Die Interne Revision hat risikoorientiert und prozessunabhängig die Wirksamkeit und Angemessenheit des Risikomanagements im Allgemeinen und des Internen Kontrollsystems im Besonderen sowie die Ordnungsmäßigkeit grundsätzlich aller Aktivitäten und Prozesse zu prüfen und zu beurteilen, unabhängig davon, ob diese ausgelagert sind oder nicht. |
| Vollständiges Informationsrecht AT 4.4.3, Tz. 4 | Zur Wahrnehmung ihrer Aufgaben ist der Internen Revision ein vollständiges und uneingeschränktes Informationsrecht einzuräumen. Dieses Recht ist jederzeit zu gewährleisten. Der Internen Revision sind insoweit unverzüglich die erforderlichen Informationen zu erteilen, die notwendigen Unterlagen zur Verfügung zu stellen und Einblick in die Aktivitäten und Prozesse sowie IT-Systeme des Instituts zu gewähren |
| Risikoorientierter Prüfungsansatz BT 2.1, Tz. 1 | Die Prüfungstätigkeit der Internen Revision hat sich auf Grundlage eines risikoorientierten Prüfungsansatzes grundsätzlich auf alle Aktivitäten und Prozesse des Instituts zu erstrecken. |
| Grundsatz der Unabhängigkeit BT 2.2, Tz. 1 | Die Interne Revision hat ihre Aufgaben selbständig und unabhängig wahrzunehmen. Insbesondere ist zu gewährleisten, dass sie bei der Berichterstattung und der Wertung der Prüfungsergebnisse keinen Weisungen unterworfen ist. Das Direktionsrecht der Geschäftsleitung zur Anordnung zusätzlicher Prüfungen steht der Selbständigkeit und Unabhängigkeit der Internen Revision nicht entgegen. |
| Vermeidung von Interessenkonflikten BT 2.2, Tz. 2 | Die in der Internen Revision beschäftigten Mitarbeiter dürfen insbesondere keine Aufgaben wahrnehmen, die mit der Prüfungstätigkeit nicht im Einklang stehen. Soweit die Unabhängigkeit der Internen Revision gewährleistet ist, kann sie i. R. ihrer Aufgaben für die Geschäftsleitung oder andere Organisationseinheiten wie Projektleitung oder Fachbereiche des Instituts beratend tätig sein. |
In der Praxis wird allerdings deutlich, dass oftmals keine klar abgegrenzten Vorgaben zur Rolle der Internen Revision i. R. von Projekten definiert sind. Aus den aufgeführten regulatorischen Anforderungen der MaRisk ergeben sich jedoch verschiedene und klar voneinander abzugrenzende Tätigkeiten:
- Prüfung von Projekten (BT 2.1 Tz. 2 Satz 1),
- Begleitung von wesentlichen Projekten (BT 2.1 Tz. 2 Satz 2),
- Projektberatung (BT 2.2 Tz. 2 Satz 3).
Unter Berücksichtigung der jeweiligen Projektphase lassen sich diese Tätigkeit in der Praxis wie folgt umsetzen[6]:
Abbildung 1: Projektphasen inkl. revisorische Begleitung/Prüfung
IV. Prüfungsansätze
1. Prüfung von Projekten
Eine Projektprüfung folgt denselben Anforderungen wie eine „Standard-Prüfung“. Der DIIR-Prüfungsstandard Nr. 4 empfiehlt, die folgenden Prüfgebiete als Grundlage zu wählen, welche sich ebenfalls in der Praxis bewiesen haben.
| Prüfungsansätze bei Projektprüfungen |
| Prüfung des Projektmanagements | Prüfung der fachlichen Anforderungen | Prüfung des Business Cases (Geschäftsplan) |
| Revisionsseitige Prüfung von u. a. Organisation und Prozessen des Projektmanagements. | Prüferische Beurteilung der fachlichen Spezifikationen des Projekts sowie deren Umsetzung i. R. der Projektarbeit. Fachliche Anforderungen umfassen u. a. die technischen Anforderungen (z. B. IT-Anforderungen), aber auch nichttechnische Anforderungen. | Untersuchung der Prozesse zur Erstellung des Geschäftsplans (GP) eines Projektes oder die Beurteilung des GP. |
Eine projektbegleitende Prüfung bewertet fortlaufend die Projektergebnisse hinsichtlich Ordnungsmäßigkeit, Sicherheit und Kontrolle. Die Ergebnisse werden im Prüfungsbericht festgehalten. Identifizierte Schwachstellen können Maßnahmenvorschläge zur Verbesserung des Instituts hervorbringen.
Aus Gründen der Risikoorientierung oder auf Wunsch der Geschäftsleitung (Stichwort: „Sonderprüfung“) kann eine Projektbegleitung jederzeit in eine Projektprüfung umgewandelt werden. Gründe hierfür sind:
- Terminabweichungen,
- Budgetüberschreitungen,
- Qualitätsmängel,
- Nichteinhaltung gesetzlicher oder vertraglicher Normen.
2. Projektbegleitung und -beratung
Im Hinblick auf die verschiedenen Rollen und Tätigkeiten der Internen Revision ist es wichtig die Abgrenzung zwischen Projektprüfung und einer Projektbegleitung/-beratung zu definieren.
Auslöser für die Begleitung oder Beratung eines Projektes durch die Interne Revision können unterschiedlicher Herkunft sein, beispielsweise lassen sich die Folgenden definieren:
- Anforderung der Geschäftsführung oder der Projektleitung,
- das Erkennen besonderer Risiken aus den Projektzielen bzw. -aktivitäten durch die Prüfung oder
- die Erfüllung von regulatorischen Anforderungen.
Diese unterschiedlichen Auslöser führen in der Folge zu verschiedenen Arten der Begleitung. Im Hinblick darauf lassen sich die folgenden Formen herausstellen:
- Sichtung der relevanten Projektunterlagen,
- Prüfung des Projektmanagements und der jeweiligen Projektinhalte,
- Einbeziehung von (Fach-)Revisoren in das ausgewählte Projekt.
Anzumerken ist, dass sich im Hinblick auf die Praxis feststellen lässt, dass eine Projektbegleitung oftmals eine Vermischung von Projektprüfung, Projektberatung und weiteren Tätigkeiten der Internen Revision ist.
Das Hauptziel der Projektbegleitung und -beratung ist es, Informationen zu sammeln, damit die Interne Revision in besonderen Risikosituationen, insbesondere bei dem Verdacht auf ein nicht funktionsfähiges Internes Kontrollsystem (IKS) im Projekt, flexibel reagieren kann. In Abgrenzung zu einer Projektprüfung ist eine abschließende Beurteilung nicht das primäre Ziel der Begleitung, vordergründig ist die bereits erwähnte Informationsaufnahme.
Im Gegensatz zu den Projektprüfungen werden Ergebnisse aus der Projektbegleitung häufig nur innerhalb der Internen Revision und ggf. des Projektes verwendet, sodass keine Berichterstattung im herkömmlichen Sinne erfolgt. Dabei ist es essenziell (im Vorfeld sowie im Projektverlauf) die Rolle der Internen Revision i. R. der Projektbegleitungen zu klären und angemessen zu dokumentieren. Hierzu gehört, wie in den MaRisk BT 2.2 Tz. 1 geregelt, die Wahrung der Unabhängigkeit. Dies bedeutet, dass die Interne Revision ihren fachlichen und inhaltlichen Beitrag in das Projekt gibt, allerdings verfügt der Vertreter der Internen Revision im Projekt nicht über eine Entscheidungsbefugnis.
Anzumerken ist, dass der formelle Rahmen, welcher für Projektprüfungen gilt, ebenfalls in angepasster Form auch für die Projektbegleitung gelten sollte. Dies kann bspw. die Nutzung von Begleitaufträgen (einschließlich der Ziele und des Umfangs etc.) bedeuten.
Gemäß DIIR Revisionsstandard Nr. 4 lassen sich hierbei die in der folgenden Abbildung dargestellten Formen der Projektbegleitung identifizieren:
Abbildung 2: Arten der Projektbegleitung nach DIIR Revisionsstandard 4
Die Berichterstattung ist i. R. der Projektbegleitung/-beratung an die jeweilige Rolle der Internen Revision anzupassen. In der Praxis hat es sich bewährt, das Beratungsziel im Vorfeld mit dem Auftraggeber abzustimmen und idealerweise zu dokumentieren sowie die Berichterstattung an die Revisionsleitung in Form von kurzen und prägnanten Zwischenberichten über z. B. Umfang und Ergebnisse der Aktivitäten zeitnah nach Prüfungsdurchführung (oder auch ggf. im Prüfungsverlauf) stattfinden zu lassen.
3. Begleitung von wesentlichen Projekten
Die Begleitung wesentlicher Projekte ist nicht gleichzusetzen mit denen einer „Standard-Projektprüfung“. Bezogen auf die von der BaFin verfolgten Ziele soll die Interne Revision hierdurch Zugang zu für ihre Tätigkeiten wesentlichen Information erhalten sowie bei Bedarf präventiv und bedarfsgerecht tätig werden und ggf. Risiken und Schwachstellen aufzeigen.
In Bezug auf die vorgenommene Risikoeinschätzung und -analyse sollten insbesondere die identifizierten oder angenommenen Risiken, i. R. der Projektprüfung, fokussiert werden. Schwerpunkt der Betrachtung sind hierbei i. d. R. das Interne Kontrollsystem sowie das Risikomanagement.
Entscheidungen über die Wesentlichkeit von Projekten und den Einsatz der Revisionsressourcen sollten rechtzeitig mit den Projektverantwortlichen erörtert werden. Hierbei sollte das Ziel sein, ein gemeinsam getragenes Risikoverständnis zu erreichen.
Mit Genehmigung des Projektstarts bzw. bei Vorliegen aller hierfür erforderlichen Informationen sollte sich die Interne Revision mit dem Einzelprojekt auseinandersetzen. Aus Gründen der Nachvollziehbarkeit (Dokumentation) bietet es sich an, Projektprüfungen (analog zu Standard-Prüfungen) in der Revisionssoftware zu erfassen. Es empfiehlt sich, diejenigen Projekte zu identifizieren, welche für das Institut unter Risikogesichtspunkten von besonderer Bedeutung sind. Diese sind unter Verwendung eines institutsspezifischen Risikobewertungsverfahrens inkl. der dazugehörigen Dokumentation zu ermitteln.
Die Risikobewertung zu einem Projekt sollte weitergehend mit dem Projektbeginn abgeschlossen sein und anlassbezogen aktualisiert werden. Schlüssigerweise sollte die erstellte Risikobewertung auf Basis der in den Projektunterlagen beschriebenen Informationen möglich sein. Bei Bedarf kann diese in einer zu definierenden Frequenz wiederholt werden. Mit der regelmäßigen Validierung des Risikobewertungsverfahrens wird die Effektivität und Effizienz des prüferischen Vorgehens sichergestellt.
Eine beispielhafte Darstellung einer Risikoanalyse kann wie folgt aussehen[7]:
| Risikoanalyse zur Bestimmung des Projektrisikos (schematische Darstellung) |
| Nr. | Risikoart | Ja | Nein | Begründung |
| 1 | Hohe wirtschaftliche Bedeutung | | | |
| 2 | Hohe Auswirkungen durch regulatorische Vorgaben | | | |
| 3 | Hohe Komplexität | | | |
| 4 | Hohe Strategische Auswirkungen/Bedeutung | | | |
| 5 | Hohe Bedeutung von ESG-Risiken | | | |
| | Zusammenfassende Beurteilung Bestimmung der Wesentlichkeit i. S. BT 2.1 Tz. 2 MaRisk | | | |
Eine Begleitung von wesentlichen Projekten hat stets eine beratende Komponente. Hierbei können Hinweise und Anregungen der Internen Revision Mehrwerte darstellen sowie das Fachwissen der Internen Revision nutzenbringend für das Institut eingesetzt werden (Synergien aus der täglichen Revisionsarbeit können miteinbracht werden).
Im Hinblick auf die tägliche Revisionspraxis lässt sich anmerken, dass die Abgrenzung von Projektbegleitung und beratender Funktion im Ergebnis zweitrangig ist, da die Grenzen oftmals fließend sind. Essenziell ist hierbei die Dokumentation der Prüfungs- bzw. Beratungsleistung!
In diesem Zusammenhang sind zwei wesentliche Anforderungen an die Dokumentation sicherzustellen. Zum einen eine angemessene Dokumentation der Begleitung sowie die Erstellung einer Dokumentation für jedes wesentliche Projekt.
Weitergehen sind die folgenden Bestandteile in eine den Anforderungen entsprechende Dokumentation aufzunehmen:
- Projektauftrag (ggf. kann auf die Projektdateien verwiesen werden),
- vorgenommene[8] Risikoeinschätzung und -analyse,
- Protokolle der Projektsitzungen sowie Projektstatusberichte,
- eigene Aufzeichnungen zu risikorelevanten Diskussionen/Projektergebnissen, inkl. eigener Berichte.
Vor dem Hintergrund der Bedeutung von wesentlichen Projekten sollte grundsätzlich eine Teilnahme an den Projektsitzungen erfolgen sowie eine Teilnahme an den Sitzungen des Lenkungsausschusses durch einen Vertreter der Internen Revision sichergestellt sein (jeweils ohne Entscheidungs- bzw. Stimmrecht).
V. Prüfungsplanung und Berichterstattung
1. Prüfungsplanung
Die Jahresprüfungsplanung der Revision betrifft auch das Projektportfolio eines Instituts. Ziel ist, die Prüfungen des Projektportfolios zeitlich, sachlich und personell zu planen. Zum Zeitpunkt der Erstellung der Jahresprüfungsplanung liegen häufig noch keine detaillierten Projektinformationen für die zu startenden Projekte vor. Eine detaillierte risikoorientierte Jahres- oder Mehrjahresplanung der Prüfung von einzelnen Projekten ist in diesem Fall wegen der noch unzureichenden Datenbasis nicht möglich. In diesem Fall kann i. R. der Jahresprüfungsplanung zunächst ein angemessener Puffer für die Prüfung von Projekten ermittelt und berücksichtigt werden.[9]
Eine Ermittlung der Aufwände für die Prüfung von Projekten kann auf Basis der allgemeinen Informationen des Projektportfolios pauschal erfolgen (u. a. Anzahl der Projekte oder Anzahl der eingeplanten Personentage). Eine Mehrjahresbetrachtung ermöglicht weitergehend die Berücksichtigung von Informationen zur Entwicklung des Projektportfolios sowie zur Entwicklung des Kapazitätspuffers für die Prüfung von Projekten.
2. Berichterstattung
Die Berichterstattung der Internen Revision in Bezug auf Projekte entspricht im Grundsatz dem Berichtswesen zu anderen Prüfungstätigkeiten der Revision (Prüfungsbericht, Quartalsbericht, Jahresbericht). Bei allen projektbegleitenden Prüfungen ist ein projektbegleitender Prüfungsbericht zu erstellen (Einschränkungen können nach Risikoeinschätzung/-bewertung vorgenommen werden).
Sofern Reviews von Projekten durchgeführt werden, sollten diese Ergebnisse an die Projektverantwortlichen kommuniziert werden. Eine Berichterstattung an weitere Instanzen ist unter Berücksichtigung der Wesentlichkeit der Feststellungen ebenfalls in Betracht zu ziehen. Auffälligkeiten oder Risiken, welche i. R. der Begleitung von Projekten identifiziert werden, sollten den Projektverantwortlichen zeitnah kommuniziert werden. Bei wesentlichen Feststellungen ist auch hier eine Berichterstattung an weitere Instanzen in Betracht zu ziehen. Zudem kann eine regelmäßige Berichterstattung über die Ergebnisse der Projektbegleitung stattfinden. Sinnvoll ist es, bei langfristigen Projektbegleitungen (z. B. über den Jahreswechsel hinausgehende Tätigkeiten der Revision), Zwischenberichte zu erstellen, um hier die nach den MaRisk geforderte zeitliche Nähe zu beachten.
Bei allen Berichtsformaten ist darauf zu achten, dass analog zu allen anderen Prüfungstätigkeiten der Internen Revision in angemessenem Umfang und in nachvollziehbarer Weise Arbeitspapiere zum Nachweis der eigenen Feststellungen oder Erkenntnisse dokumentiert werden.
Zusammenfassend lässt sich festhalten, dass aus dem Prüfungsbericht (Abschluss- und Zwischenbericht) mindestens die folgenden Inhalte hervorgehen sollten:
- Prüfungsgegenstand und Ziele der projektbegleitenden Prüfung,
- fachlicher und zeitlicher Umfang der Beteiligung der Internen Revision,
- prüferische Beurteilung bedeutender Sachverhalte,
- Gesamtbeurteilung und eventuelle weitere Maßnahmen bzw. Empfehlungen.
VI. Fazit und Herausforderungen
Die Interne Revision spielt eine wesentliche Rolle in der Steuerung und Überwachung von Projekten. Durch eine frühzeitige Einbindung kann sie nicht nur Risiken minimieren, sondern auch zur Effizienzsteigerung von Projekten beitragen. Dabei ist stets auf die Wahrung der Unabhängigkeit zu achten, um eine objektive Prüfung sicherzustellen. Ein strukturierter und risikoorientierter Ansatz ermöglicht eine gezielte und effektive Prüfung, die den regulatorischen Anforderungen gerecht wird und gleichzeitig den Projekterfolg fördert.
Die Projektrevision steht derzeitig und auch in Zukunft vor der Herausforderung, sich an sich wandelnde regulatorische Anforderungen und neue Technologien anzupassen. Aktuell stehen vor allem die neuen Anforderungen aus der EU-Verordnung DORA, welche die Institute vor neue Herausforderungen im Hinblick auf Governance, Risk und Compliance stellt, im Fokus.
Die Digitalisierung bietet dabei neue Möglichkeiten zur Steigerung der Effizienz, stellt aber auch neue Anforderungen an die Kompetenz der Revisoren. Zukünftig wird die Rolle der Internen Revision in Projekten weiter an Bedeutung gewinnen, insbesondere im Hinblick auf die Sicherstellung einer nachhaltigen und effizienten Projektsteuerung.
Praxistipps
Die wichtigsten Tipps und Hinweise i. R. der Projektprüfung/-beratung sind u. a.:
- Machen Sie sich im Vorfeld die regulatorischen Anforderungen bewusst.
- Definieren Sie die eigene Rolle (der Internen Revision) unter Beachtung des Grundsatzes der Unabhängigkeit (Prüfung eines wesentlichen Projekts, Projektbegleitende Prüfung, Beratungstätigkeit).
- Machen Sie sich bewusst, dass die Projektbegleitung oft eine Vermischung von Projektprüfungen, Projektberatung und weiteren Tätigkeiten der Internen Revision sein kann.
- Beachten Sie das Prüfungsziele einer Projektprüfung die Risiken und Inhalte der jeweiligen Prüfungsgebiete sich im Projektverlauf verändern können und somit fortlaufend validiert und ggf. angepasst werden sollten.
- Prüfungsunterlagen sind fortlaufend zu erstellen. Beachten Sie, dass bei der Teilnahme an Projektsitzungen ein eigenerstelltes Protokoll (= Prüfungsdokumentation), im Hinblick auf die Einordnung und Beurteilung von Prüfungsergebnissen, von Vorteil sein kann.
- Strukturieren Sie sich das Projekt i. S. der jeweiligen Projektphase, dies erleichtert u. a. die Einordnung von Prüfungsergebnissen und im weiteren Verlauf ebenfalls die Berichterstattung.
- Beurteilung von Projektrisiken: Entscheidungen über die Wesentlichkeit von Projekten und den Einsatz der Revisionsressourcen sollten rechtzeitig mit den Projektverantwortlichen erörtert werden.
- Verwenden Sie eine an die individuellen Institutseigenschaften angepasste Risikoanalyse.
- Wählen Sie eine geeignete und angemessene Form der Berichterstattung.
[1] Deutsches Institut für Interne Revision.
[2] Deutscher Sparkassen- und Giroverband.
[3] Dieser Beitrag soll keine endgültigen Antworten auf spezifische individuelle Umstände geben und erhebt deshalb keinen Anspruch auf Vollständigkeit. Der Autor gibt mitunter seine persönlichen Einschätzungen und Erfahrungen wieder – hierbei wird kein Anspruch auf Richtigkeit erhoben.
[4] DIN 69901 des Deutschen Instituts für Normung e.V.
[5] Informations- und Kommunikationstechnik.
[6] Vgl. Deutsches Institut für Interne Revision e.V. (2019). DIIR Revisionsstandard Nr. 4: Prüfung von Projekten durch die Interne Revision (Version 3.0). In Verbindung mit DIIR-Arbeitskreis „MaRisk“ (2010). Die Begleitung wesentlicher Projekte in Kreditinstituten.
[7] Das Beispiel der Risikoanalyse ist stark vereinfacht dargestellt und dient vordergründig als schematische Orientierung, die aufgeführten Risikoarten müssen nicht unbedingt abschließend sein. In der Praxis bietet es sich an, eine Gewichtung der Risiken zu etablieren, um durch die dadurch ermittelte Risikokennzahl eine Projektkategorie abzuleiten.
[8] Durch die Interne Revision.
[9] In der Praxis empfiehlt sich eine Abstimmung mit der Organisationseinheit, welche die Projekte im Gesamthaus steuert und koordiniert (bspw. das Projektmanagement).