Die jährliche risikoorientierte Prüfungsplanung ist Pflicht und Kür zugleich. In einer Welt des Wandels, geprägt von Globalisierung, Klimawandel, geopolitischen Risiken und fortschreitender Digitalisierung, ist es die primäre Aufgabe der Internen Revision, neue Risiken zu antizipieren und die eigenen Ansätze und Methoden konsequent danach auszurichten. Die VUKA-Risiken (Volatilität, Unsicherheit, Komplexität und Ambiguität) führen zu einer herausfordernden Dynamik für die Risikoorientierung der Internen Revision, die insbesondere in der risikoorientierten Prüfungsplanung zum Ausdruck gebracht wird.
Die risikoorientierte Prüfungsplanung soll auf Grundlage des Risikoprofils der Organisation bestimmt werden („organizational risk profile“, GIAS Standard 9.1). Die Prüfungsplanung basiert u.a. auf Daten aus vergangenen Prüfungen, Risikomanagement, Compliance, Rechnungswesen und Geschäftsprozessen. Zudem fließen individuelle Faktoren sowie EHS-Informationen (Umwelt, Gesundheit, Sicherheit) in die Planung ein. Darüber hinaus ist das Einhalten der Topical Requirements[1] in den zutreffenden Prüfungsbereichen zu berücksichtigen. Ungefähr 40 Prozent der Teilnehmenden einer Umfrage[2], die wir durchgeführt haben, geben an, dass die Topical Requirements bereits in der aktuellen Prüfungsplanung zu weiten Teilen oder vollständig berücksichtigt wurden.
Die folgenden KPMG Internal Audit Hot Topics stellen aus unserer Sicht einen Ausschnitt an aktuellen Themen, Trends und Treibern dar.
Sie lassen sich in vier Betrachtungsfelder untergliedern:
Mark Frederik Schmidt
Senior Manager, Audit - Regulatory Advisory, Sustainability Reporting & Governance
KPMG AG Wirtschaftsprüfungsgesellschaft
Compliance
- EU AI Act – Risikobasierte Klassifizierung, Anforderungen an KI-Systeme mit hohem Risiko, Regeln für KI-Modelle für allgemeine Zwecke
- NIS2 – Ausgeweiteter Anwendungsbereich, Definition von Risiko- und Krisenmanagementbestandteilen, erweiterte Meldepflichten für Vorfälle
- Cyber Resilience Act – Digitale Produkte müssen dem CRA entsprechen und Sicherheitsmaßnahmen durch Design, Schwachstellenmanagement und Vorfallberichterstattung integrieren.
- Hinweisgeberschutzgesetz – Meldekanäle, Case Management, Schutzmaßnahmen für Hinweisgeber
FISG und DCGK A.5 Compliance – Grundlage und Validierungsprozess für die Aussage zur Angemessenheit und Wirksamkeit der Corporate-Governance-Systeme im Lagebericht
- Sanktionen und Embargos – Compliance-Anforderungen für Unternehmen, Strategien und Verfahren zur Bewältigung der damit verbundenen Risiken, Überwachung/Handhabung von falsch-positiven Screening-Alerts
Risikomanagement – Prozessunabhängige Überwachung des Risikofrüherkennungssystems
Operational
Resilienz und Geschäftskontinuität – Analyse der Auswirkungen auf das Geschäft und die Geschäftskontinuitätsstrategie
Makroökonomische und geopolitische Unsicherheiten – Unterbrechung der Lieferkette, finanzielle Resilienz, Inflation und Liquidität, Embargos und Sanktionen
Zollstrategie – Komplexität, Störungen und schnelle Veränderungen aufgrund von neuen oder veränderten Zollankündigungen (beispielsweise Auswirkungen, Risikomanagement, Szenarien und Strategie)
Umgang mit externen Risiken – Identifikation, Bewertung, Steuerung und Überwachung von externen Risiken, Re-Priorisierung des Prüfungsplans
Stakeholder-Beziehungen – Business Partner Due Diligence und Know Your Customer
Finanztransformation – Neues ERP, Automatisierung, Digitalisierung
HR-Transformation – Diversität, Talentmanagement, Mitarbeiterbindung
IT-Systeme und Data-Governance
Industrielles Kontrollsystem – Effizienter und sicherer Betrieb von Maschinen und Anlagen sowie IT-Sicherheit in den Bereichen Fabrikautomation und Prozesssteuerung
Cybersecurity und Datenschutz – Reifegrad der Cybersecurity, angemessene Maßnahmen zum Verhindern von Datenverlustvorfällen
KI-Governance (GenAI) – Anforderungen an den Einsatz und die Verwendung von GenAI Tools, KI Risk & Compliance Assessment, KI-Sicherheits- und Datenschutzstrategie, KI-Assurance und Überwachung der KI-Risiken
DAC 7 – Einhalten von E-Invoicing- und steuerlichen Pflichten
Hybrides Arbeiten – Datenschutz- und Sicherheitsanforderungen
ESG Reporting – Integration von ESG Reporting Tools in die bestehende IT-Struktur
ESG
ESG-Regulierungen und -Transformation – Überwachen regulatorischer Änderungen und Anpassen etablierter Prozesse
ESG Governance – Target-Operating-Modell, Bewerten und Überwachen des Erreichens von Zielen der sozialen Unternehmensverantwortung (Corporate Social Responsibilities)
ESG-Risikomanagement – Integration der ESG-Risiken in das unternehmensweite Risikomanagementsystem unter Berücksichtigung von physischen Risiken und Übergangsrisiken in Bezug auf den Klimawandel und weitere Umweltthemen, soziale und Governance-Risiken
ESG Data Governance – Sammeln, Verarbeiten und Validieren von nicht finanziellen Daten, die von verschiedenen Einheiten generiert werden, Implementieren von internen Kontrollen (COSO Framework)
- EU CSDDD – Readiness (Bereitschaft) und Einhalten von gesetzlichen Vorgaben in Bezug auf Menschenrechte und Umweltschutz
- CSRD und/oder freiwillige Berichterstattung (VSME) – Ordnungsgemäße ESG-Berichterstattung
- EU Deforestation Regulation (EU-Entwaldungsverordnung) – Lieferkette und Due Dilligence (Sorgfaltspflicht)
- EU Green Deal Compliance – Ressourceneffizienz, grüne Technologien, Transparenz der Berichterstattung
- Perfluoroalkyl and Polyfluoroalkyl Substances (PFAS) – Readiness (Bereitschaft) für zukünftige Anforderungen
- Carbon Border Adjustment Mechanism (CBAM) – Erfüllen der Anforderungen im Zusammenhang mit CO2-Grenzausgleichsabgabe
- Energy Transition – Energiestrategie, Änderungsprogramme, Überwachung
