• 1000

Die vom Institute of Internal Auditors (IIA) im Januar 2024 veröffentlichten "Global Internal Audit Standards" (kurz: Standards) sind ab dem 9. Januar 2025 für die Qualitätsbeurteilung wirksam. Zugleich lösen sie die „Internationalen Standards für die berufliche Praxis der Internen Revision“ (IPPF) von 2017 damit ab.

Die Standards im Überblick

Die Standards gliedern sich in fünf Domains mit 15 Prinzipien und weitere 52 konkretisierende Anforderungen („essential conditions“) sowie Überlegungen zur Implementierung und Beispielen.

Die fünf Domains sind:

  1. Zielsetzung der Internen Revision
  2. Ethik und Professionalität
  3. Governance der Internen Revision
  4. Leitung der Internen Revision
  5. Erbringen von Revisionsdienstleistungen

Ergänzt werden die Standards um die sogenannten „Topical Requirements“. Dabei handelt es sich um Anforderungen des IIA zu derzeit acht bekannten Risikothemen (u.a. Cybersecurity, Third-Party, Organizational Behavior, Organizational Resilience). Als Reaktion auf die immer komplexer werdende Risikolandschaft von Unternehmen sollen sie verpflichtend in die Prüfungstätigkeit einbezogen werden1. So werden beispielsweise die Cybersecurity Topical Requirements die im Februar 2025 veröffentlicht wurden, ab dem 5. Februar 2026 in Kraft treten. Basierend auf der KPMG GIAS-Umfrage gaben 45 Prozent der Teilnehmenden an, dass ihre internen Prüfer die erforderlichen Fähigkeiten und Kenntnisse der Topical Requirements weitgehend oder vollständig abdecken. Nach Angaben des IIA wird die öffentliche Konsultation zu den Topical Requirements in Bezug auf Organizational Behavior Organizational Resilienz für 2025/2026 erwartet.

Relevante Neuerungen der Global Internal Audit Standards sind beispielsweise: 

  • Erstmals verbindliche Vorgaben zur (Weiter-)Entwicklung eines Revisionsleitbildes und einer Revisionsstrategie (Standard 6.2, 9.2)
  • Erforderliche Einbindung und Interaktion zwischen der Internen Revision und dem Management beziehungsweise Aufsichtsorgan sowie Empfehlung einer Berichtslinie an den Vorstand („Essential conditions“ im Bereich III).
  • Kenntnis der GRC-Prozesse und des organisatorischen GRC Risikoprofils (Standard 9.1)
  • Erhöhte Zusammenarbeit mit anderen Governance-Funktionen (2nd line) innerhalb der Organisation sowie mit externem Assurance Provider (Standard 9.5)
  • Verstärkter Einsatz technologischer Ressourcen, wie die Nutzung von Datenanalysen und KI-Tools in Revisionsaktivitäten zur Steigerung der Effizienz und Effektivität (Standard 10.3)
  • Aktualisierte Berichterstattungsanforderungen für ein verpflichtendes Gesamturteil zur Wirksamkeit der GRC-Prozesse im Prüfungsumfang und ein fachliches Urteil über die Gesamtbedeutung der Feststellungen auf Basis einer vor-definierten Methodik (Standard 14.5)
  • Konkretisierung der Informationsschutzanforderungen (Standard 5.1, 5.2)
  • Stärkerer Fokus auf die Messung der Leistung von internen Revisionstätigkeiten (Standard 12.2)
  • Erhöhte Anforderungen an externe Qualitätsbewertungen („Quality Assessments“) (Standard 8.4)
Mark Frederik Schmidt

Mark Frederik Schmidt

Senior Manager, Audit - Regulatory Advisory, Sustainability Reporting & Governance

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 89 9282 4907 Mark Frederik Schmidt Telefonnummer
Marc Stauder

Marc Stauder

Partner, Audit, Regulatory Advisory, Sustainability Reporting & Governance

KPMG AG Wirtschaftsprüfungsgesellschaft
+49 211 475-8249 Marc Stauder Telefonnummer
Angebotsanfrage (RfP) einreichen

Worauf es für eine gelungene Implementierung ankommt

Für Unternehmen sind einige Maßnahmen notwendig, um die Konformität mit den neuen IIA Global Internal Audit Standards sicherzustellen. Dieser Prozess ist zugleich auch eine passende Gelegenheit für Interne Revisionen, ihr bestehendes Revisionssystem zu bewerten und zu hinterfragen, um sie mit den aktualisierten Anforderungen in Einklang zu bringen. Darüber hinaus ermöglicht er eine stärkere Konzentration auf die Erbringung eines Mehrwerts und die Erfüllung der Anforderungen der Interessengruppen. Dieser Prozess kann auch als Katalysator für zukunftsorientierte Veränderungen dienen, wie zum Beispiel erhöhte Flexibilität, um auf neu auftretende Risiken zu reagieren, verstärkte Zusammenarbeit mit GRC-Funktionen innerhalb der Organisation2 und integrierte neue Technologien in die Aktivitäten der Internen Revision3.

In diesem Zusammenhang empfehlen wir den folgenden Ansatz:

Identifizieren Sie notwendige Änderungen, bewerten und klassifizieren Sie Anpassungen basierend auf dem aktuellen internen Revisionssystem (IRS) und entwickeln Sie einen Fahrplan für die Umsetzung.

Definieren Sie Aufgaben und Prioritäten als Arbeitspakete, binden Sie Stakeholder ein, führen Sie die Umsetzung neuer Anforderungen durch und überwachen Sie diese regelmäßig.

Kommunizieren Sie Änderungen an die Stakeholder, schulen Sie Auditoren in den neuen und aktualisierten Standards und Maßnahmen und befähigen Sie sie, diese Änderungen umzusetzen.

Analyse der Angemessenheit des aktualisierten IRS nach DIIR Nr. 3 / IDW EPS 983 n.F.. Die Analyse liefert Ihnen einen wichtigen Beitrag zur Qualitätsbeurteilung des IRS und setzt Impulse für mögliche Optimierungsmaßnahmen. Sie dient Vorstand und Aufsichtsrat als Hilfestellung bei der Ausgestaltung des IRS.

Darüber hinaus haben wir Herausforderungen gesammelt, die bei der Umsetzung der GIAS-Anforderungen durch die Interne Revision auftreten können:

  • Bemühungen, während des Aktualisierungsprozesses die Konsistenz der gesamten IA-Dokumentation einschließlich Strategie, Manual, Anweisungen, Vorlagen, Checklisten usw. sicherzustellen
  • Zeitdruck und Kapazitätsengpässe – Gleichgewicht zwischen der GIAS-Implementierung und den laufenden Prüfungsaktivitäten
  • Veränderungsmanagement, insbesondere in Bezug auf Menschen und Kultur, Schulung und Kompetenzentwicklung
  • Kommunikationsplan und -strategie, um die wichtigsten Interessengruppen einzubinden und ihre Zustimmung zu gewinnen
  • Fehlen von Leading-Practice-Praxisbeispielen und Benchmarking-Informationen innerhalb der Peer-Gruppe des Unternehmens

KPMG-Ansatz zum Sparring bei der Implementierung von GIAS-Konformität

KPMG-Ansatz zum Sparring bei der Implementierung von GIAS-Konformität

Für das Ableiten und Abstimmen der Maßnahmen mit den relevanten Stakeholdern sowie die wirksame Implementierung der neuen Standards ist ein gewisses Maß an Kapazität innerhalb der Internen Revision notwendig. Dies sollte als laufendes Projekt in der Prüfungsplanung 2025/2026 berücksichtigt werden. Zudem kann eine Revisionsprüfung als eine Art „Dry Run“ im Jahr 2025 durchgeführt werden, um die Angemessenheit und Wirksamkeit der umgesetzten Maßnahmen zu überwachen, potenzielle Lücken zu ermitteln und vor den anstehenden Qualitätsprüfungen Verbesserungsmaßnahmen zu ergreifen.

Ausblick: Externe Qualitätsbeurteilung / Quality Assessment

Die Konformität mit den IIA Global Internal Audit Standards als integraler Bestandteil des hohen Qualitätsanspruchs an die Tätigkeit von Internen Revisionen ist unerlässlich. Mit der Veröffentlichung der neuen Global Internal Audit Standards (GIAS) haben das IIA und das DIIR die Rahmenbedingungen für die externe Qualitätsbeurteilung interner Revisionssysteme überarbeitet, die nun im IIA QA Manual und im anwendbaren Entwurf des DIIR Nr. 3 dargestellt sind. Darüber hinaus wurde der Entwurf der aktualisierten Fassung mit eine Kommentierungsfrist vom Hauptfachausschuss (HFA) freigegeben, (IDW EPS 983 n.F.). Die endgültige Fassung (IDW PS 983 n.F.) wird voraussichtlich im vierten Quartal 2025 folgen und veröffentlicht. Die bestehenden Grundsätze der Internen Revision wurden nicht grundlegend geändert, jedoch gibt es einige Modifikationen, die zu beachten sind.

  • Die Qualitätsanforderungen umfassen nicht nur die "Konformität" mit GIAS, Topical Requirements, Global Guidance und anderen gesetzlichen Anforderungen, sondern auch die "Leistungsfähigkeit" des IRS.
  • Stärkere Betonung der strategischen Ausrichtung, "echte" Risikoorientierung der Prüfungstätigkeit (Standard 9.1 Organisatorisches Risikoprofil) und Berücksichtigung der Erwartungen der Interessengruppen.
  • Keine Mindestanforderungen für die Feststellung von wesentlichen Mängeln und keine K.O.-Kriterien. Alle Kriterien sind somit gleich gewichtet.
  • Überprüfung der Konformität und Überlegung, ob das Ziel der Norm erreicht werden konnte.
  • Das EQA muss alle fünf Jahre durchgeführt werden, und die Wirksamkeitsprüfung erfordert die Abdeckung eines angemessenen Zeitraums. Darüber hinaus sollte mindestens ein CIA im Bewertungsteam sein.
  • Aktualisiertes Qualitätsbewertungsmodell, vorgeschlagen in DIIR Nr. 3 (Entwurf):
    • Die 110 Kriterien in DIIR Nr. 3 (Entwurf) sind vollständig von GIAS abgeleitet und decken alle GIAS-Anforderungen einschließlich der wesentlichen Bedingungen ab.
    • Der hierarchische Bewertungsprozess beginnt mit der Bewertung der Einhaltung der 110 Kriterien, geht über zur Bewertung der Einhaltung und Erreichung der Ziele für 52 Standards und 15 Prinzipien und gipfelt in einer Gesamtbewertung der Wirksamkeit des IRS.
    • Das DIIR schlägt eine Vier-Punkte-Skala für die optionale Punktebewertung vor. Die volle Punktzahl von 3 bedeutet vollständige Einhaltung oder Erreichung der Ziele, während die Punktzahlen 2 und 1 eine teilweise Einhaltung mit Verbesserungspotenzial bzw. Verbesserungsbedarf widerspiegeln. Bei Nichteinhaltung wird die Punktzahl 0 vergeben.

In diesem Zusammenhang kann es durchaus sinnvoll sein, vor der anstehenden Angemessenheits- und Wirksamkeitsprüfung des IRS ein Readiness Assessment auf der Grundlage der neuen Standards wie dem DIIR Nr. 3 oder EPS 983 n.F. durchzuführen. Darüber hinaus ist ein Peer Group Benchmarking wertvoll, um den Reifegrad der Internen Revision in den Bereichen Methodik, Performance und Strategie zu analysieren. Dies kann eine weitere fundierte Grundlage für die strategische Ausrichtung der Weiterentwicklung der Internen Revision darstellen.

Pfeilgrafik zu GIAS

Fazit

Die Notwendigkeit, im Sinne einer effizienten Corporate Governance Informationen zu teilen und intensiv funktionsübergreifend zusammenzuarbeiten, ist unübersehbar – auch weil Compliance ein Kostenfaktor ist.

Die neuen Standards bieten eine gute Möglichkeit, die Interne Revision weiterzuentwickeln, die Interaktion mit den Stakeholdern weiter zu intensivieren sowie die Integration der Governance-, Risk- und Compliance-Systeme unter Wahrung der Unabhängigkeit und Objektivität zu stärken. Folgende Maßnahmen sind in diesem Zusammenhang empfehlenswert:

  • Diskussion mit der Geschäftsleitung und dem Aufsichtsorgan über ihre Erwartungshaltung, das Leitbild und den strategischen Beitrag der Internen Revision zur Unterstützung der Unternehmensvision, zur Absicherung der Unternehmenswerte und zur Steigerung der Resilienz
  • Diskussion der unternehmensweiten Risikolandkarte und die Analyse und Steuerung dieser (neuen) Risiken durch das Risikomanagement
  • Einsatz von Tools, Technologie sowie Data & Analytics, um einen Mehrwert in der Prüfungstätigkeit zu generieren (D&A Stratgie)
  • Klares Bekenntnis zu einem hohen Qualitätsanspruch der Internen Revision
  • Training & Weiterentwicklung der Revisionsmitarbeitenden (Kompetenzmatrix)

Die Ausprägung und der Reifegrad der Corporate Governance und im Besonderen der Internen Revision ist je nach Branche und Unternehmensgröße unterschiedlich. 

Abschließend kann festgehalten werden, dass die neuen Global Internal Audit Standards des IIA einen erheblichen Einfluss auf das Zusammenspiel und die Arbeitsweise der Internen Revision haben werden - mit einem klaren Bekenntnis zur Prüfungsqualität, dem Umgang mit relevanten Unternehmensrisiken, Technologie und Data & Analytics sowie der zunehmenden Integration der GRC-Funktion und der Interaktion mit den relevanten Stakeholdern wie Geschäftsführung und Aufsichtsorgan.

Unterlagen
Rechnungslegungsstandards category
KPMG Internal Audit Hot Topics 2025/2026

Aktuelle Themen für die Interne Revision bei der risikoorientierten Prüfungsplanung

1 Die IIA hat im August 2025 die „Topical Requirements Application Guidance“ veröffentlicht, die Anleitungen zur Anwendung der Topical Requirements im gesamten Audit Lifecycle bietet.

2 Laut der KPMG-GIAS-Umfrage vom August 2024 planen 74 % der Teilnehmer, den angepassten Assurance-Ansatz weiterzuentwickeln. Allerdings haben 55 % der Teilnehmer weder eine Assurance-Landschaft aufgebaut noch eine White-Spot-Bewertung durchgeführt.

3 Laut KPMG GIAS Survey im August 2024 haben 43 % der Teilnehmer digitale Tools (z. B. Data Analytics, Process Mining) in ihrer Prüfungstätigkeit umfassend oder vollständig eingesetzt.