Seit Juni liegen drei Prüfungsstandards des Instituts der Wirtschaftsprüfer in Deutschland e.V. (IDW) in der Entwurfsfassung vor, die sich mit den Themen Prüfung von Risikomanagementsystemen (IDW EPS 981), Internen Kontrollsystemen (IDW EPS 982) und Internen Revisionssystemen (IDW EPS 983) befassen. Zusammen mit dem IDW PS 980 zur Prüfung von Compliance-Managementsystemen schafft das IDW damit eine breite Basis zur Prüfung von GRC-Systemen.
IDW PS 980: Standard zur Prüfung von Compliance-Managementsystemen
Bereits im April 2011 veröffentlicht, enthält der IDW PS 980 die Grundsätze ordnungsmäßiger Prüfung von Compliance-Management-Systemen (CMS). Der Prüfungsstandard legt erstmalig einen einheitlichen und standardisierten Maßstab für Compliancemanagement-Systeme fest. Zudem erlaubt er eine Prüfung dieser Vorgaben durch einen externen Wirtschaftsprüfer. Dabei wird den Unternehmen ausreichend Gestaltungsspielraum in der Auslegung der einzelnen Elemente gelassen.
Die Grundelemente eines Compliance-Managements-Systems bestehen gemäß Prüfungsstandard aus den folgenden Komponenten: Compliance-Kultur, Compliance-Ziele, Compliance-Risiken, Compliance-Programm, Compliance-Organisation, Compliance-Kommunikation sowie den Prozess der Compliance-Überwachung und –Verbesserung.
Die Prüfung des CMS nach IDW PS 980 ist freiwillig und ist prinzipiell für den deutschsprachigen Raum gedacht. Er steht jedoch im Einklang mit den International Framework for Assurance Engagements (ISAE) 3000 und wird daher auch international anerkannt.
IDW EPS 981: Standard zur Prüfung von Risiko-Managementsystemen
Seit März dieses Jahres ist der IDW EPS 981 der Öffentlichkeit zugänglich und definiert die Grundsätze ordnungsgemäßer Prüfung von Risiko-Managementsystemen (RMS). Die Prüfung umfasst sowohl die strategischen als auch die operativen Risiken, die aus der Geschäftstätigkeit der Organisation entstehen. Dabei wird nicht auf einzelne Elemente fokussiert, sondern es werden sämtliche Grundelemente des Risiko-Managementsystems betrachtet.
Die Zielsetzung des IDW EPS 981 “liegt in der Beurteilung, inwieweit das Unternehmen durch Einrichtung eines RMS Vorsorge getroffen hat, wesentliche Risiken, die dem Erreichen der festgelegten Ziele des RMS entgegenstehen, rechtzeitig zu identifizieren, zu bewerten, zu steuern und zu überwachen.” (IDW EPS 981, Punkt 8). Es ist jedoch nicht Aufgabe der Prüfung festzustellen, ob die Risikoidentifikation alle Risiken erfasst hat bzw. die im Rahmen der Risikosteuerung ergriffenen Maßnahmen geeignet oder wirtschaftlich sinnvoll sind.
Der Prüfungsstandard ist in Ergänzung zur Prüfung des RMS gemäß KonTrAG zu sehen. Verlangt das KonTraG lediglich die Prüfung bestandsgefährdender Risiken und umfasst die Grundelemente Risikoidentifikation, Risikobeurteilung, Risikokommunikation und Überwachung, so beinhaltet die Prüfung nach IDW EPS 981 zusätzlich die Risikosteuerung und geht auch auf alle weiteren Zielkategorien ein.
IDW EPS 982: Standard zur Prüfung von Internen Kontrollsystemen der Unternehmensberichterstattung
Im Juni wurde der IDW EPS 982 veröffentlicht. Bei der Prüfung auf Grundlage dieses Standards sind sämtliche Grundelemente des internen Kontrollsystems der Unternehmensberichterstattung zu berücksichtigen. Dabei werden alle zugrunde liegenden Kerngeschäfts- bzw. Unterstützungsprozesse mit ihren Steuerungs- und Kontrollmaßnahmen betrachtet.
Ziel der IKS-Prüfung ist es, ein Prüfungsurteil abzugeben, ob “die Regelungen des internen Kontrollsystems in der Beschreibung des internen Kontrollsystems der Unternehmensberichterstattung in allen wesentlichen Belangen angemessen dargestellt sind und die dargestellten Regelungen in allen wesentlichen Belangen geeignet und implementiert bzw. geeignet und wirksam waren.” (IDW EPS 982, Punkt 13).
Geprüft werden also nicht die Berichtsinhalte, sondern das implementierte System auf seine Eignung und Wirksamkeit hin.
IDW EPS 983: Standard zur Prüfung von Internen Revisionssystemen
Gemeinsam mit dem DIIR (Deutsches Institut für Interne Revision e.V.) wurde der EPS 983 erarbeitet und ebenfalls im Juni 2016 der Öffentlichkeit zugänglich gemacht.
Gemäß internationalen Regelungen (IIA AS 1312) muss die Interne Revision von einem externen, unabhängigen und qualifizierten Beurteiler geprüft werden. Diese weltweit anerkannten Regelungen soll der IDW EPS 983 als Standard zur Prüfung von Internen Revisionssystemen umsetzen.
Der Internen Revision kommt dabei eine wesentliche Funktion innerhalb der Corprorate Gorvernance Systeme der Unternehmen zu. Basierend auf dem vom Dachverband der europäischen Revisionsinstitute (ECIIA) herausgegebenen “Three Lines of Defense Modell” agiert die Interne Revision als dritte Verteidigungslinie. In der ersten Verteidigungslinie dieses Modells sollen Kontrollaktivitäten der operativen Prozesse Schaden vom Unternehmen abwenden. Aufgabe der zweiten Verteidigungslinie ist die Überwachung der Kontrollaktivitäten der ersten Linie im Rahmen der Risiko- und Compliance-Managementprozesse. Der Internen Revision kommt dann als dritte Verteidigungslinie die Überprüfung der ersten beiden Linien zu. Sie muss unabhängig sein und darf weder in die operativen Prozesse noch in die Steuerungs- und Kontrollaktivitäten des Unternehmens eingebunden sein.
Auch bei Prüfungen nach diesem Standard handelt es sich um eine umfassende, alle relevanten Elemente berücksichtigende Systemprüfung, die von der Beurteilung im Rahmen einer Abschlussprüfung zu unterscheiden sind. Zudem wird nicht betrachtet, ob Revisionsaufträge fehlerfrei durchgeführt wurden und die empfohlenen Maßnahmen geeignet bzw. wirtschaftlich sinnvoll waren.
Als Ziel der IRS-Prüfungen definiert der Standard vielmehr eine “Beurteilung, inwieweit das Unternehmen durch Einrichtung eines IRS Vorsorge getroffen hat, dass die Einrichtung einer Internen Revisionsfunktion und die unabhängige und objektive Erbringung von Prüfungs- und Beratungsdienstleistungen durch die Interne Revision in Übersteinstimmung mit den verbindlichen Elementen des IPPF (Internationale Grundlagen für die berufliche Praxis der Internen Revision) erfolgt.” (IDW EPS 983, Punkt 12)
Mitarbeit an den Entwürfen
Alle drei vorliegenden Entwürfe lehnen sich an das COSO-Rahmenwerk zum unternehmensweiten Risikomanagement an, stehen in Einklang mit dem International Standard on Assurance Engagements (ISAE) 3000 (Revised) und sind erstmals für Prüfungsaufträge ab Januar 2017 anzuwenden.
Wer an den Entwürfen EPS 981, EPS 982 und EPS 983 mitarbeiten möchte, kann seine Änderungs- oder Ergänzungsvorschläge schriftlich an die Geschäftsstelle des IDW (Postfach 32 05 80, 40420 Düsseldorf oder stellungnahme@idw.de) bis zum 30. September 2016 für den EPS 981 sowie bis zum 31. Dezember 2016 für den EPS 982 und 983 einreichen.