Ein risikoorientierter Prüfungsplan ist ein elementarer Bestandteil einer Internen Revisionsfunktion. Nach den IPPF und den Global Internal Audit Standards ist dieser ein nicht wegzudenkendes Qualitätskriterium. Aber was genau ist ein risikoorientierter Revisionsplan und wie erstellt man ihn? In diesem Beitrag erklären wir, was sich hinter diesem Begriff verbirgt und warum er für Unternehmen so wichtig ist.
Definition des risikoorientierten Prüfungsplan
Unter einem risikoorientierten Prüfungsplan versteht man einen systematischen Ansatz zur Identifizierung und Bewertung von Risiken in einem Unternehmen. Durch diese Planung kann der Leiter der Internen Revision die Bereiche mit dem höchsten Risiko identifizieren und ihre zeitliche Prüfungsplanung entsprechend ausrichten.
Bedeutung eines risikoorientierten Prüfungsplan
Ein risikoorientierter Prüfungsplan dient als Risikobewertung. Mit der Identifizierung von Risiken kann das Unternehmen Prüfungsobjekte professionell identifizieren und priorisieren. Daraus leitet sich das Audit Universe ab.
Erstellung und Vorgehensweise
Die Erstellung eines risikoorientierten Prüfungsplans erfordert eine umfassende Kenntnis des Unternehmens und seiner Geschäftsprozesse. Interne Revisoren müssen die Risikolandschaft des Unternehmens verstehen und in der Lage sein, die Auswirkungen verschiedener Risiken auf die Unternehmensziele zu bewerten.
Die Erstellung erfolgt dabei in mehreren Schritten. Die Revisionsplanung wird in der Regel dreijährig erfolgen und ist somit ein fortlaufender Prozess. Dieser ist an veränderte Gegebenheiten im Unternehmen und im Geschäftsumfeld anzupassen.
In einem ersten Schritt identifiziert die Interne Revision potenzielle Risiken. Diese Risiken können sowohl intern als auch externer Natur sein und auf verschiedene Bereiche des Unternehmens wirken.
In einem zweiten Schritt erfolgt die Bewertung der Risiken. In diesem Zusammen bewertet die Interne Revision die identifizierten Risiken hinsichtlich ihrer potentiellen Auswirkungen auf das Unternehmen und der Eintrittswahrscheinlichkeit. Diese Bewertung ermöglicht es der Internen Revision, Risiken zu priorisieren und festzulegen, welche Prüfungsobjekte zeitnäher im Fokus stehen werden.
Auf Grundlage der Risikobewertung erstellt die Interne Revision einen Prüfungsplan. Dieser legt fest, welche Bereiche und Prozesse des Unternehmens geprüft werden und in welcher zeitlichen Reihenfolge dies geschehen soll. Der Revisionsplan sollte auch festlegen, welche Prüfungstechniken angewendet werden und wie die Prüfungsergebnisse kommuniziert und genutzt werden.
Ein risikoorientierter Prüfungsplan ist kein statisches Dokument. Er sollte regelmäßig überprüft und angepasst werden, um Veränderungen in der Risikolandschaft des Unternehmens Rechnung zu tragen. Diese Überprüfung und Anpassung kann aufgrund neuer Informationen, die durch die Prüfungstätigkeit der internen Revision oder durch Änderungen im Geschäftsumfeld des Unternehmens gewonnen wurden, erforderlich sein.
siehe hierzu auch DIIR Risikoorientierte Prüfungsplanung, Best Pratice.