Sie sind auf Seite 1von 3

http://www.diir.

de/fachwissen/revisionshandbuch-
marisk/standardrevisionsprozess/

IIA-Standards 2013

Angemessene Kontrolle

1. Begriffe

„Kontrolle“ ist der zentrale Begriff in der Arbeit der Internen Revision. Kontrolle
ist grundsätzlich der Vergleich eines angestrebten Zustands bzw. Objekts (Soll)
mit einem tatsächlich erreichten Zustand bzw. Objekt (Ist). Kontrolle besteht
aus drei Schritten: erstens die Erhebung der Ist-Daten, zweitens der Soll-Ist-
Vergleich (Ermittlung von Abweichungen) und drittens die Analyse der
Abweichungen.

Das Adjektiv „angemessen“ ist ein relativer Begriff, d.h. es braucht einen
Bezugspunkt bzw. Maßstab, aufgrund dessen Ausprägung in der
Klientenorganisation die (Nicht-) Angemessenheit zu beurteilen ist.

Der Ausführungsstandard 2130.A1 der internationalen Standards nennt auch


die Maßstäbe: „Die Interne Revision muss die Angemessenheit und
Wirksamkeit der Kontrollen … beurteilen in Bezug auf:

 Zuverlässigkeit und Integrität von Daten des Rechnungswesens und von


operativen Informationen ,
 Effektivität und Effizienz von Geschäftsprozessen und Programmen
 Sicherung des Betriebsvermögens
 Einhaltung von Gesetzen, Verordnungen, Richtlinien, Verfahren und
Verträgen.

Zu beachten ist hier die Komplexität der Aufgabe, die Angemessenheit zu


beurteilen, befinden sich die vier genannten Maßstäbe doch auf
unterschiedlichen Gebieten, in unterschiedlichen Strukturen und auf
unterschiedlichen Ebenen.

Gemäß Glossar ist „angemessene Kontrolle“ gegeben, wenn das Management


durch gezielte Planung und Organisation hinreichend zuverlässig sicherstellt,

1
dass die Risiken der Organisation wirksam zu steuern sind und ihre Ziele
effizient und wirtschaftlich erreicht werden.

Die im zweiten Satzteil genannten zwei Wunsch-Zustände sollen im Folgenden


kurz kommentiert werden:

2. Wirksame Steuerung der Risiken

Risiko ist die mögliche negative Abweichung eines Ist vom Ziel bzw.
angestrebten Soll. Risiken können wie folgt unterteilt werden. Spekulative
Risiken entstehen z.B. bei Entscheidungen, wo sich eine Entscheidung als gut
oder weniger gut herausstellen kann. Reine Risiken sind mögliche
Schadensfälle, die nur zu Vermögensverlusten führen können, z. Brand oder
Ausfall einer Kundenforderung.

Beide Arten lassen sich zumindest weitgehend steuern, d. h. managen bzw.


kann versucht werden, sie durch Maßnahmen in den Griff zu bekommen;
Steuerung umfasst Vermeiden, Begrenzen, auf Partner Verteilen, Überwälzen
(z.B. auf Versicherer oder durch hedging) und das bewusste Selbst-Tragen von
Risiken.

Und wirksames Steuern bezieht sich stets auf das Ergebnis (i.S. von
Jahresüberschuss bzw. Cashflow) und ist wirkungs- und nicht
ursachenorientiert. Implizit ist auch ein systematisches, geplantes und
kontrolliertes Steuern und nicht nur rudimentäres oder unsystematisches
Steuern gemeint.

3. Effiziente und wirtschaftliche Zielerreichung

Hiermit wird der zweite Ideal-Zustand umschrieben.

Dazu eine wichtige Unterscheidung zwischen Effektivität und Effizienz:


Effektivität ist das Verhältnis zwischen den angestrebten und den tatsächlich
erreichten Leistungswirkungen und misst den Zielerreichungsgrad. Effizienz
hingegen ist das Verhältnis von bewertetem Output zu bewertetem Input bzw.
von – bei gegebener Qualität – Ist- und Soll-Aufwand bzw. -kosten und stellt
ein Maß für Wirtschaftlichkeit und Sparsamkeit dar.

2
Somit decken sich die obigen Begriffe effizient und wirtschaftlich
weitestgehend. Daher gilt die Vermutung, dass hier eine effektive und
wirtschaftliche Zielerreichung gemeint sein dürften.

4. Mittel zur Erreichung angemessener Kontrollen

Als Mittel werden gezielte Planung und Organisation genannt. Beides sind zwar
weitgehend delegierbare Managementaufgaben; aber die Letztverantwortung
ist nicht delegierbar. „Gezielt“ meint fokussiert und konzentriert. Und
„Organisation“ bezieht sich auf die planmäßige Zusammensetzung, Struktur
bzw. Beschaffenheit der Funktionstüchtigkeit eines Systems oder eines
Prozesses. Also auch (Systeme zum) Risikomanagement und Kontrollen sind zu
organisieren.

Der Standard fordert aber keine 100% zuverlässige Planung und Organisation,
sondern eine „hinreichende“ Zuverlässigkeit. Nicht hinreichend wäre z.B. wenn
trotz eines auf dem Papier existierenden IKS in praxi Doppelarbeiten,
Prozesslücken oder Qualitätsmängel auftreten und damit negative
Abweichungen auftreten.