International Standards for the Professional Practice of Internal ...

International Standards for theProfessional Practice of InternalAuditing 2011(English / German Translation)Internationale Standards für dieberufliche Praxis der InternenRevision 2011(Englisch / Deutsche Übersetzung)

Bibliographische Informationen der Deutschen BibliothekDie Deutsche Bibliothek verzeichnet diese Publikation in derDeutschen Nationalbibliographie; detaillierte bibliographische Datensind im Internet über http://dnb.ddb.de abrufbar.Dieses Werk ist urheberrechlich geschützt. Alle Rechte, insbesondere die auch auszugsweise Rechte der Verbreitung, derVervielfältigung, der Übersetzung, des Nachdrucks und der Wiedergabe auf fotomechanischem oder ähnlichem Weg, durchFotokopie, Mikrofilm oder elektronische Verfahren sowie die Speicherung in EDV-Anlagen oder Datenbanken bleiben demHerausgeber vorbehalten.Englischsprachiges Original © 2010 byThe Institute of Internal Auditors (IIA Inc.)247 Maitland AvenueAltamonte SpringsFlorida 32701-4201, USADie Genehmigung zur Veröffentlichung der deutschsprachigen Übersetzung, die bis auf genehmigte Abweichungen in jederHinsicht dem Original entspricht, wurde vom Copyright-Inhaber, dem Institute of Internal Auditors, 247 Maitland Avenue,Altamonte Springs, Florida 32701-4201, USA, eingeholt.Die (auch teilweise) Verwertung dieser Veröffentlichung, insbesondere ihre Vervielfältigung, Einspeicherung inAbfragesystemen sowie ihre Übertragung in gleich welcher Form, ob elektronisch, mechanisch, durch Fotokopien, Bild- undTon-Aufnahmen oder in sonstiger Weise, ist nur mit schriftlicher Genehmigung des IIA Inc. oder des Deutschen Instituts fürInterne Revision e.V., Frankfurt am Main, zulässig.Alle Rechte vorbehalten.Deutsche Auflage:Internationale Grundlagen für die berufliche Praxis der Internen Revision 2011Herausgeber:Institut für Interne Revision Österreich (IIA Austria), WienSchweizerischer Verband für Interne Revision (IIA Switzerland), Zürich2. Auflage, Wien, Zürich 2011 ISBN 978-3-9502676-03-1

IndexDefinition of Internal Auditing.................................................................................................... 5Preface ......................................................................................................................................... 7Code of Ethics ........................................................................................................................... 15International Standards for the Professional Practice of Internal Auditing - Introduction 19Attribute Standards .................................................................................................................. 231000 Purpose, Authority, and Responsibility ....................................................................................... 231100 Independence and Objectivity .................................................................................................... 241200 Proficiency and Due Professional Care ...................................................................................... 281300 Quality Assurance and Improvement Program .......................................................................... 31Performance Standards ........................................................................................................... 352000 Managing the Internal Audit Activity ........................................................................................... 352100 Nature of Work............................................................................................................................ 382200 Engagement Planning ................................................................................................................ 422300 Performing the Engagement ....................................................................................................... 452400 Communicating Results .............................................................................................................. 472500 Monitoring Progress ................................................................................................................... 512600 Resolution of Senior Management's Acceptance of Risks ......................................................... 52Glossary ..................................................................................................................................... 53InhaltDefinition Interne Revision ........................................................................................................ 5Vorwort ........................................................................................................................................ 7Ethikkodex ................................................................................................................................. 15Internationale Standards für die berufliche Praxis der Internen Revision - Einleitung ..... 19Attributstandards ...................................................................................................................... 231000 Aufgabenstellung, Befugnisse und Verantwortung .................................................................... 231100 Unabhängigkeit und Objektivität ................................................................................................. 241200 Fachkompetenz und berufliche Sorgfaltspflicht .......................................................................... 281300 Programm zur Qualitätssicherung und -verbesserung ............................................................... 31Ausführungsstandards ............................................................................................................ 352000 Leitung der Internen Revision ..................................................................................................... 352100 Art der Arbeiten .......................................................................................................................... 382200 Planung einzelner Aufträge ........................................................................................................ 422300 Durchführung des Auftrags ......................................................................................................... 452400 Berichterstattung ........................................................................................................................ 472500 Überwachung des weiteren Vorgehens ..................................................................................... 512600 Entscheidung über die Risikoübernahme durch die Geschäftsleitung ....................................... 52Glossar ....................................................................................................................................... 533

4 1/2011

DefinitionDefinition of InternalAuditingInternal auditing is an independent, objectiveassurance and consulting activitydesigned to add value and improve anorganization’s operations. It helps anorganization accomplish its objectivesby bringing a systematic, disciplinedapproach to evaluate and improve theeffectiveness of risk management, control,and governance processes.Definition Interne RevisionDie Interne Revision erbringt unabhängigeund objektive Prüfungs- undBeratungsdienstleistungen, welche daraufausgerichtet sind, Mehrwerte zuschaffen und die Geschäftsprozesse zuverbessern. Sie unterstützt die Organisationbei der Erreichung ihrer Ziele,indem sie mit einem systematischenund zielgerichteten Ansatz die Effektivitätdes Risikomanagements, der Kontrollenund der Führungs- und Überwachungsprozessebewertet und dieseverbessern hilft.1/2011 5

6 1/2011

VorwortPrefaceVorwortGiven the pace of change in our globalprofession, in 2006 the Board ofDirectors (Board) of The Institute ofInternal Auditors (IIA) established aninternational steering committee andtask force to review the ProfessionalPractices Framework (PPF) and TheIIA’s guidance structure along with therelated processes. The task force’sefforts were focused on reviewing thescope of the framework and increasingthe transparency and consistency of theguidance’s development, review, andissuance processes. The results culminatedin a new International ProfessionalPractices Framework (IPPF) anda reengineered Professional PracticesCouncil (PPC). The PPC coordinatesthe approval and issuance of IPPFguidance as stated in the council’supdated mission statement which wasapproved by the Board in June 2007.In general, a framework provides astructural blueprint of how a body ofknowledge and guidance fits together.As a coherent system, a frameworkfacilitates consistent development, interpretation,and application of concepts,methodologies, and techniques useful toa discipline or profession. Specifically,the purpose of the IPPF is to organizeThe IIA’s authoritative guidance in amanner that is readily accessible on atimely basis while strengthening thepositioning of The IIA as the standardsetting body for the internal auditprofession globally. By encompassingcurrent internal audit practice as well asallowing for future expansion, the IPPFAuf Grund der schnell fortschreitendenEntwicklung des internationalen Berufsstandeshat der Vorstand des Institute ofInternal Auditors (IIA) im Jahr 2006einen internationalen Lenkungsausschussund eine Arbeitsgruppe eingerichtet,um die Berufsgrundlagen derInternen Revision (Professional PracticesFramework), die Struktur desRegelwerks sowie den Regelsetzungsprozessselbst zu überarbeiten. Die Anstrengungender Arbeitsgruppe konzentriertensich auf das Hinterfragen desRegelungsumfangs sowie auf das Erhöhenvon Transparenz und Konsistenzdes Entwicklungs-, Abstimmungs- undVeröffentlichungsprozesses der Regelungen.Die Ergebnisse führten zuneuen Internationalen Berufsgrundlagender Internen Revision (International ProfessionalPractices Framework - IPPF)und einem restrukturierten Fachbeirat(Professional Practices Council - PPC).Der Fachbeirat koordiniert die Genehmigungund die Herausgabe von Berufsgrundlagenim Einklang mit dem aktualisierten,vom Vorstand im Juni 2007genehmigten Auftrag des Fachbeirats.Prinzipiell stellt ein Rahmenwerk denStrukturplan für das Zusammenführeneiner Erkenntnisbasis und eines Regelwerksdar. Als zusammenführendesSystem ermöglicht das Rahmenwerkkonsistente Entwicklung, Auslegung undAnwendung von Konzepten, Methodenund Techniken zur Nutzung durch einFachgebiet oder einen Berufsstand.Insbesondere ist der Zweck der InternationalenBerufsgrundlagen, die vomIIA festgelegten Regelungen so zustrukturieren, dass diese einfach undunverzüglich zugänglich sind sowiegleichzeitig die Positionierung des IIAals globale Regelungsinstanz für denBerufsstand der Internen Revision1/2011 7

Grundlagen für die berufliche Praxis der Internen Revision 2011is intended to assist practitioners andstakeholders throughout the world inbeing responsive to the expandingmarket for high quality internal auditservices.As the conceptual framework thatorganizes guidance promulgated by TheIIA, the IPPF’s scope has beennarrowed to include only authoritativeguidance developed by IIA internationaltechnical committees following appropriatedue process. Authoritative guidanceconsists of two categories:Mandatory. Conformance is requiredand the guidance is developed followingthe appropriate due process, whichincludes public exposure. Conformancewith the principles set forth in mandatoryguidance is essential for the professionalpractice of internal auditing.Strongly Recommended. Conformanceis strongly recommended, andthe guidance is endorsed by The IIA. Itdescribes practices for the effectiveimplementation of The IIA’s Code ofEthics and the International Standardsfor the Professional Practice of InternalAuditing (Standards).unterstreichen. Durch Aufnahme gängigerRevisionspraktiken und Offenhaltenfür zukünftige Ergänzungen bezweckendie Internationalen Berufsgrundlagendie weltweite Unterstützung von InternenRevisoren und Interessengruppenbei der Reaktion auf den zunehmendenBedarf an qualitativ hochwertigen Leistungender Internen Revision.Als konzeptionelles Rahmenwerk, dasdie vom IIA verkündeten Regelungenstrukturiert, wurde der Umfang der InternationalenBerufsgrundlagen auf festgelegteRegelungen beschränkt, diedurch internationale IIA-Ausschüsse imRahmen eines angemessenen Verabschiedungsprozesseserstellt wurden.Die vom IIA festgelegten Regelungensetzen sich aus zwei Kategorienzusammen:Verbindlich. Übereinstimmung isterforderlich. Die Regelungen werden imRahmen eines angemessenen Verabschiedungsprozessesentwickelt, dereine öffentliche Kommentierungsphaseumfasst. Das Einhalten der in den verbindlichenRegelungen niedergelegtenPrinzipien ist unverzichtbar für denBerufsstand der Internen Revision.Dringend empfohlen. Übereinstimmungwird dringend empfohlen. DieseRegelungen werden vom IIA befürwortet.Die Regelungen beschreibenVorgehensweisen für die wirksameUmsetzung des Ethikkodex des IIA undder Internationalen Standards für dieberufliche Praxis der Internen Revision(Standards).8 1/2011

VorwortThe IPPF now comprises the followingelements:DefinitionThe Definition of Internal Auditing statesthe fundamental purpose, nature, andscope of internal auditing.Code of EthicsThe Code of Ethics states the principlesand expectations governing behavior ofindividuals and organizations in theconduct of internal auditing. It describesthe minimum requirements for conduct;and behavioral expectations rather thanspecific activities.International Standards for theProfessional Practice of InternalAuditing (Standards)Standards are principle-focused andprovide a framework for performing andpromoting internal auditing. The structureof the Standards includes Attribute,Performance, and Implementation Standards.The Standards are mandatoryrequirements consisting of:• Statements of basic requirements forthe professional practice of internalauditing and for evaluating theeffectiveness of its performance,which are internationally applicable atorganizational and individual levels.• Interpretations, which clarify terms orconcepts within the Statements.It is necessary to consider both theStatements and their Interpretations tounderstand and apply the Standardscorrectly. The Standards employ termsthat have been given specific meaningsthat are included in the Glossary.Die neuen Internationalen Berufsgrundlagenbestehen aus folgenden Elementen:DefinitionDie Definition der Internen Revision beschreibtden grundlegenden Zweck, dieArt und den Arbeitsbereich der InternenRevision.EthikkodexDer Ethikkodex beschreibt die Prinzipienfür und Erwartungen an Einzelpersonenund Organisationen bei der Durchführungvon Revisionsaufträgen. DerEthikkodex beschreibt die Minimalanforderungenan das Verhalten; er enthälteher Verhaltenserwartungen als spezifischeHandlungen.Internationale Standards für dieberufliche Praxis der InternenRevision (Standards)Standards sind prinzipienbasiert undstellen ein Rahmenwerk für die Durchführungund Förderung der InternenRevision zur Verfügung. Die Struktur derStandards umfasst Attribut-, Ausführungs-und Umsetzungsstandards. DieStandards sind verbindliche Anforderungen,die aus folgenden Komponentenbestehen:• Festlegungen grundlegender Anforderungenan die Berufsausübung derInternen Revision und zur Beurteilungder Wirksamkeit ihrer Ausübung, dieinternational sowohl von Einzelpersonenals auch von Organisationenanwendbar sind.• Erläuterungen, die in den Festlegungenenthaltene Begriffe oder Konzepteverdeutlichen.Es ist notwendig, sowohl die Festlegungenals auch ihre Erläuterungen zuberücksichtigen, um die Standards zuverstehen und sachgerecht anzuwenden.Die Standards verwendenBegriffe mit festgelegten Bedeutungen,die im Glossar festgehalten sind.1/2011 9

Grundlagen für die berufliche Praxis der Internen Revision 2011Position PapersPosition Papers assist a wide range ofinterested parties, including those not ininternal auditing profession, in understandingsignificant governance, risk orcontrol issues and delineating relatedroles and responsibilities of internalauditing.Practice AdvisoriesPractice Advisories address approach,methodology and considerations, butnot detailed processes and procedures.They are guidance to assist internalauditors in applying the Code of Ethicsand the Standards and to promote goodpractices. They include practices relatingto: international, country, or industryspecific issues; specific types of engagements;and legal or regulatory issues.Practice GuidesPractice Guides are detailed guidancefor conducting internal audit activities.They include detailed processes andprocedures, such as tools and techniques,programs, and step-by-stepapproaches, including examples ofdeliverables.PositionspapierePositionspapiere helfen einer Vielzahlverschiedener Parteien, zu denen auchNicht-Prüfer gehören, die wesentlichenFührungs- und Überwachungs-, RisikosowieKontrollaspekte einschließlich derdamit verbundenen Rollen und Verantwortlichkeitender Internen Revision zuverstehen.Praktische RatschlägePraktische Ratschläge beschreiben Ansätze,Methoden und Überlegungen,nicht aber detaillierte Verfahren undVorgehensweisen. Sie bieten InternenRevisoren Hilfestellung bei der Anwendungdes Ethikkodex und der Standards,um gute Praktiken zu fördern. Sieumfassen Praktiken in Bezug auf globale,nationale oder branchenspezifischeFragestellungen, spezifische Auftragstypenund rechtliche oderAufsichtsaspekte.PraxisleitfädenPraxisleitfäden sind detaillierte Hilfestellungenfür die Durchführung von Prüfungstätigkeiten.Sie umfassen detaillierteVerfahren und Vorgehensweisen wieetwa Instrumente und Methoden,Arbeitsprogramme sowie schrittweiseArbeitsabläufe einschließlich Ergebnisbeispiele.The most significant changes in the newIPPF are:Process ImprovementsEnhancements to the various elements,increased transparency, and definedreview cycles for all guidance. Thereview cycle for the IPPF has beendetermined to be three years. Althoughthe guidance enunciated in the IPPF willnot necessarily change every threeyears, The IIA is committed to ensuringthat it is reviewed completely everythree years and that changes are madeDie wesentlichen Änderungen derneuen Internationalen Berufsgrundlagensind:ProzessverbesserungenVerbesserung verschiedener Elemente,erhöhte Verständlichkeit und festgelegteÜberarbeitungszyklen für alle Regelungen.Der Überarbeitungszyklus für dieInternationalen Berufsgrundlagen ist aufdrei Jahre festgelegt worden. Obwohlsich die in den Internationalen Berufsgrundlagenaufgenommenen Regelungennicht unbedingt alle drei Jahreändern werden, hat sich das IIA zu einer10 1/2011

Vorwortif necessary.Development and Practice AidsThis element is no longer included in theframework. It previously encompassedall resources (e.g., training, publications,and research reports) that internalauditors might use in the course of theirwork. Because the scope of the newIPPF includes only authoritative guidance,as defined above, this category didnot fit within the new framework.InterpretationsThese have been added to theStandards to provide further clarity toterms and phrases. Interpretations,where required, will immediately followthe associated Standard.Position PapersThis element has been added to theIPPF. Position Papers are IIA statementsthat assist a wide range ofinterested parties, including those not inthe internal audit profession, to understandsignificant governance, risk, orcontrol issues, and delineate the relatedroles and responsibilities of the internalaudit profession.Practice AdvisoriesThese have been narrowed in scope toinclude only the methodology andapproach for implementing the Code ofEthics and Standards. Current contentthat addresses tools or techniques hasbeen moved into the Practice Guideselement.vollständigen Durchsicht innerhalb einesDreijahreszeitraums sowie zur Durchführungerforderlicher Anpassungen verpflichtet.Entwicklungs- und PraxishilfenDiese Elemente sind nicht länger in denInternationalen Berufsgrundlagen enthalten.Sie enthielten bisher alle Ressourcen(d.h. Schulungen, Veröffentlichungenund Forschungsberichte) dieInterne Revisoren im Rahmen ihrerArbeit hätten nutzen können. Da dieneuen Internationalen Berufsgrundlagenlediglich die oben bestimmten, festgelegtenRegelungen umfassen, passendiese Elemente nicht mehr in das neueRahmenwerk.ErläuterungenDiese wurden den Standards hinzugefügt,um Begriffe und Aussagen klarzustellen.Wo Erläuterungen erforderlichsind, sind diese direkt im Anschluss anden entsprechenden Standard aufgeführt.PositionspapiereDiese Elemente sind den InternationalenBerufsgrundlagen hinzugefügtworden. Positionspapiere sind Erklärungendes IIA, die verschiedenen Parteien,einschließlich solcher außerhalb desBerufsstandes der Internen Revision,helfen, wesentliche Führungs- undÜberwachungs-, Risiko- sowie Kontrollaspektezu verstehen, und die damitverbundenen Rollen und Verantwortlichkeitender Internen Revision darlegen.Praktische RatschlägeDiese wurden vom Umfang herbeschränkt und umfassen nur nochMethoden und Ansätze zur Umsetzungdes Ethikkodex und der Standards.Inhalte, die Arbeitsinstrumente und-techniken beschreiben, sind den Praxisleitfädenzugeordnet worden.1/2011 11

Grundlagen für die berufliche Praxis der Internen Revision 2011Practice GuidesThis element has been added to theIPPF. Practice Guides allow guidance tobe issued at the tools and techniqueslevel, and includes detailed processesand procedures, programs, and step-bystepapproaches (e.g., examples ofdeliverables).By definition, internal auditing is anindependent, objective assurance andconsulting activity designed to add valueand improve an organization’s operations.It helps an organization accomplishits objectives by bringing a systematic,disciplined approach to evaluateand improve the effectiveness of riskmanagement, control, and governanceprocesses.Throughout the world, internal auditingis performed in diverse environmentsand within organizations that vary inpurpose, size, and structure. In addition,the laws and customs within variouscountries differ from one another. Thesedifferrences may affect the practice ofinternal auditing in each environment.The implementation of the IPPF,therefore, will be governed by theenvironment in which the internal auditactivity carries out its assigned responsibilities.No information contained withinthe IPPF should be construed in amanner that conflicts with applicablelaws or regulations. If a situation ariseswhere information contained within theIPPF may be in conflict with legislationor regulation, internal auditors areencouraged to contact The IIA or legalcounsel for further guidance.PraxisleitfädenDieses Element ist den InternationalenBerufsgrundlagen hinzugefügt worden.Praxisleitfäden dienen dazu, Hilfsmittelauf der Ebene von Arbeitsinstrumentenund -techniken zu verbreiten. Sieumfassen detaillierte Abläufe und Verfahren,Arbeitsprogramme und schrittweiseArbeitsabläufe einschließlichErgebnisbeispiele.Per Definition ist die Interne Revisioneine unabhängige und objektive Prüfungs-und Beratungsfunktion, die daraufausgerichtet ist, Mehrwerte zuschaffen und die Geschäftsprozesseeiner Organisation zu verbessern. Sieunterstützt die Organisation bei derErreichung ihrer Ziele, indem sie miteinem systematischen und zielgerichtetenAnsatz die Effektivität desRisikomanagements, der Kontrollen undder Führungs- und Überwachungsprozessebewertet und diese verbessernhilft.Die Tätigkeit der Internen Revision wirdweltweit unter den unterschiedlichstenUmfeldbedingungen und in Organisationen,deren Zweck, Größe und Strukturverschieden sind, ausgeübt. Zusätzlichweichen Gesetze und Bräuche inden verschiedenen Ländern voneinanderab. Diese Unterschiede können dieBerufsausübung der Internen Revisionin jedem Umfeld beeinflussen. DieUmsetzung der Internationalen Berufsgrundlagenwird daher durch dasUmfeld, in dem die Interne Revision dieihr zugewiesene Tätigkeit ausübt, bestimmt.Keine Bestimmung in denInternationalen Berufsgrundlagen soll soausgelegt werden, dass sie anwendbarenGesetzen oder Vorschriften zuwiderläuft.Sollten Bestimmungen in denInternationalen Berufsgrundlagen, Gesetzenoder Vorschriften zuwiderlaufen,wird Internen Revisoren empfohlen, mitdem IIA oder einem RechtsbeistandRücksprache zu nehmen.12 1/2011

As indicated above, the IPPF containstwo types of guidance.VorwortWie oben dargestellt, beinhalten dieInternationalen Berufsgrundlagen zweiArten von Regelungen:1. Mandatory guidance includes: 1. Verbindliche Regelungen umfassen:• The Definition of Internal Auditing,• The Code of Ethics, and• The Standards.The mandatory nature of the Standardsis emphasized by the use of the word“Must.” The Standards use the word“must” to specify an unconditionalrequirement. In some exceptional cases,the Standards use the terminology“Should.” The Standards use the word“should” where conformance is expectedunless, when applying professionaljudgment, circumstances justify deviation.Conformance with the concepts enunciatedin the mandatory guidance isessential before the responsibilities ofinternal auditors can be met. As statedin the Code of Ethics, internal auditorsshall perform internal audit services inaccordance with the Standards. Internalauditors refers to Institute members,recipients of or candidates for IIA professionalcertifications, and those whoprovide internal auditing services withinthe Definition of Internal Auditing.• die Definition der Internen Revision,• den Ethikkodex und• die Standards.Die Verbindlichkeit der Standards wirddurch die Verwendung des Begriffs„muss“ unterstrichen. Die Standardsverwenden den Begriff „muss“, um eineunbedingte Anforderung zu bezeichnen.In einigen Ausnahmefällen verwendendie Standards den Begriff „soll“. DieStandards verwenden den Begriff „soll“,wo Übereinstimmung erwartet wird,soweit nicht die Umstände bei Anwendungberufsüblicher Sorgfalt das Abweichensachgerecht erscheinen lässt.Übereinstimmung mit den in den verbindlichenRegelungen niedergelegtenKonzepten ist eine wesentliche Grundlagedafür, dass Interne Revisoren ihrenVerantwortlichkeiten gerecht werden.Wie im Ethikkodex festgehalten, sollenInterne Revisoren Leistungen derInternen Revision im Einklang mit denStandards erbringen. Der Begriff "InterneRevisoren" bezieht sich auf Mitgliederder Fachverbände, Träger von oderKandidaten für Zertifizierungen des IIAsowie alle, die Leistungen der InternenRevision im Rahmen der Definition derInternen Revision erbringen.Mandatory guidance is intended to be Verbindliche Regelungen binden sowohlapplicable to both individuals and Personen als auch Organisationen, dieentities that provide internal auditingservices.Leistungen der Internen Revision anbieten.2. Recommended Guidance includes: 2. Empfohlene Regelungen umfassen:• Position Papers• Practices Advisories• Practice GuidesWhile endorsed by The IIA and developedby an IIA international technical committeeand/or institute following due• Positionspapiere• Praktische Ratschläge• PraxisleitfädenObwohl durch das IIA befürwortet unddurch internationale Fachausschüssedes IIA und/oder einen Mitgliedsver-1/2011 13

Grundlagen für die berufliche Praxis der Internen Revision 2011process, strongly recommended guidanceis not mandatory and has beendeveloped to provide a wide range ofapplicable solutions to meet therequirements of The IIA’s mandadoryguidance. Strongly recommended materialis not intended to provide definitiveanswers to specific individual circumstancesand as such is intended to beused as a guide. The IIA recommendsthat independent expert advice besought relating directly to any specificsituation. This guidance is expected tobe applied by competent internalauditors, exercising professional judgment.bands im Rahmen eines geregelten Verfahrensentwickelt, sind dringendempfohlene Regelungen nicht verbindlich.Sie wurden entwickelt, um einbreites Spektrum von Lösungen für dieUmsetzung der verbindlichen Regelungenzur Verfügung zu stellen. Dringendempfohlenes Material soll nicht dazudienen, definitive Lösungen für spezifischeSituationen zu liefern und ist dazugedacht als Leitlinie angewendet zuwerden. Das IIA empfiehlt, für diejeweilige Situation kompetente, unabhängigeExperten zu Rate zu ziehen.Diese Regelungen sind dazu gedacht,von erfahrenen Internen Revisoren mitberufsüblicher Sorgfalt angewandt zuwerden.During the coming years, internalauditors can help to ensure that theIPPF will continue to grow more robustthrough their active involvement inguidance development. All interestedparties are invited to provide commentsand suggestions about any aspect of theIPPF. For professional guidance, comments,and suggestions, send an e-mailto guidance@theiia.org. To find outabout coming updates to the IPPF,internal auditors are encouraged tomonitor the Professional Guidancepages at http://www.theiia.org.In den kommenden Jahren könnenInterne Revisoren durch ihre aktiveBeteiligung helfen, die InternationalenBerufsgrundlagen weiter zu verbessern.Alle interessierten Parteien sind aufgerufen,Kommentierungen und Vorschlägezu jedem Aspekt der InternationalenBerufsgrundlagen zu machen.Für Regelungen des Berufsstandes,Kommentare und Vorschläge sendenSie bitte eine Email anguidance@theiia.org. Um sich über anstehendeAktualisierungen der InternationalenBerufsgrundlagen auf demLaufenden zu halten, wird InternenRevisoren empfohlen, die Fachseitenauf www.theiia.org regelmäßig einzusehen.14 1/2011

EthikkodexCode of EthicsEthikkodexIntroductionThe purpose of The Institute's Code ofEthics is to promote an ethical culture inthe profession of internal auditing.Internal auditing is an independent,objective assurance and consultingactivity designed to add value andimprove an organization's operations. Ithelps an organization accomplish itsobjectives by bringing a systematic,disciplined approach to evaluate andimprove the effectiveness of riskmanagement, control, and governanceprocesses.A code of ethics is necessary andappropriate for the profession of internalauditing, founded as it is on the trustplaced in its objective assurance aboutrisk management, control, and governance.The Institute's Code of Ethicsextends beyond the Definition of InternalAuditing to include two essential components:1. Principles that are relevant to theprofession and practice of internalauditing;2. Rules of Conduct that describebehavior norms expected of internalauditors. These rules are an aid tointerpreting the Principles into practicalapplications and are intended toguide the ethical conduct of internalauditors.The Code of Ethics together with TheInstitute's International ProfessionalPractices Framework and other relevantInstitute pronouncements provide guidanceto internal auditors servingEinleitungZweck dieses Ethikkodex ist die Förderungeiner von ethischen Grundsätzengeprägten Kultur im Berufsstand derInternen Revision.Die Interne Revision erbringt unabhängigeund objektive Prüfungs- undBeratungsdienstleistungen, welche daraufausgerichtet sind, Mehrwerte zuschaffen und die Geschäftsprozesse zuverbessern. Sie unterstützt die Organisationbei der Erreichung ihrer Ziele,indem sie mit einem systematischenund zielgerichteten Ansatz die Effektivitätdes Risikomanagements, der Kontrollenund der Führungs- und Überwachungsprozessebewertet und dieseverbessern hilft.Ein Ethikkodex ist notwendig undzweckmäßig für den Berufsstand derInternen Revision, damit das Vertrauenin seine objektive Prüfung des Risikomanagements,der Kontrollen sowie derUnternehmensführung und -überwachungbegründet werden kann. DerEthikkodex geht mit zwei wesentlichenBestandteilen über die Definition derInternen Revision hinaus:1. Grundsätze, die den Berufsstand unddie Prüfungspraxis der Internen Revisionbetreffen.2. Regeln, die beschreiben, wie sichInterne Revisoren verhalten sollen.Diese Regeln sollen helfen, dieGrundsätze in die Praxis umzusetzenund sind dazu bestimmt, für dieInternen Revisoren ein Wegweiser fürethisches Verhalten zu sein.Der Ethikkodex in Verbindung mit denInternationalen Berufsgrundlagen für dieInterne Revision und anderen entsprechendenVerlautbarungen des Institutsdienen als Anleitung für Interne Revi-1/2011 15

Grundlagen für die berufliche Praxis der Internen Revision 2011others. "Internal auditors" refers toInstitute members, recipients of or candidatesfor IIA professional certifications,and those who provide internal auditingservices within the Definition of Internalauditing.soren bei ihrer Tätigkeit für Andere. Als„Interne Revisoren" gelten die Mitgliederdes Instituts, Inhaber von oder Kandidatenfür Zertifizierungen des IIA undAndere, die Dienstleistungen entsprechendder Definition der InternenRevision erbringen.Applicability and EnforcementThis Code of Ethics applies to both individualsand entities that provide internalauditing services.For Institute members and recipients ofor candidates for IIA professional certifications,breaches of the Code of Ethicswill be evaluated and administeredaccording to The Institute's Bylaws andAdministrative Guidelines. The fact thata particular conduct is not mentioned inthe Rules of Conduct does not prevent itfrom being unacceptable or discreditable,and therefore, the member,certification holder, or candidate can beliable for disciplinary action.Anwendung und DurchsetzungDieser Ethikkodex gilt sowohl für Einzelpersonenals auch für Organisationen,die Dienstleistungen im Bereich InterneRevision erbringen.Bei Mitgliedern des Instituts und Inhabernvon oder Kandidaten für Zertifizierungendes IIA werden Verstößegegen den Ethikkodex entsprechend derSatzung und den Richtlinien des Institutsbeurteilt und behandelt. Die Tatsache,dass ein spezielles Verhalten inden Verhaltensregeln nicht erwähntwird, ist kein Hinderungsgrund, diesestrotzdem als nicht akzeptabel oder alsstandeswidrig zu betrachten. Gegen dengenannten Personenkreis kann deshalbdennoch ein Disziplinarverfahren eingeleitetwerden.PrinciplesInternal auditors are expected to applyand uphold the following principles:GrundsätzeVon Internen Revisoren wird erwartet,dass sie folgende Grundsätze anwendenund aufrecht erhalten:1. Integrity 1. RechtschaffenheitThe integrity of internal auditors establishestrust and thus provides the basisfor reliance on their judgment.2. Objectivity 2. ObjektivitätInternal auditors exhibit the highest levelof professional objectivity in gathering,evaluating, and communicating informationabout the activity or process beingexamined. Internal auditors make abalanced assessment of all the relevantDie Rechtschaffenheit von Internen Revisorenbegründet Vertrauen und schafftdamit die Grundlage für die Zuverlässigkeitihres Urteils.Interne Revisoren zeigen ein Höchstmaßan sachverständiger Objektivitätbeim Zusammenführen, Bewerten undWeitergeben von Informationen über geprüfteAktivitäten oder Geschäftsprozesse.Interne Revisoren beurteilen alle16 1/2011

Ethikkodexcircumstances and are not undulyinfluenced by their own interests or byothers in forming judgments.relevanten Umstände mit Ausgewogenheitund lassen sich in ihrem Urteilnicht durch eigene Interessen oderdurch Andere beeinflussen.3. Confidentiality 3. VertraulichkeitInternal auditors respect the value andownership of information they receiveand do not disclose information withoutappropriate authority unless there is alegal or professional obligation to do so.4. Competency 4. FachkompetenzInternal auditors apply the knowledge,skills, and experience needed in the performanceof internal auditing services.Interne Revisoren beachten den Wertund das Eigentum der erhaltenen Informationenund legen diese ohne entsprechendeBefugnis nicht offen, es seidenn, es bestehen dazu rechtliche oderberufliche Verpflichtungen.Interne Revisoren setzen das für dieDurchführung ihrer Arbeit erforderlicheWissen und Können sowie entsprechendeErfahrung ein.Rules of ConductVerhaltensregeln1. Integrity 1. RechtschaffenheitInternal auditors:Interne Revisoren:1.1 Shall perform their work with honesty,diligence, and responsibility.1.2 Shall observe the law and makedisclosures expected by the law and theprofession.1.3 Shall not knowingly be a party to anyillegal activity, or engage in acts that arediscreditable to the profession of internalauditing or to the organization.1.4 Shall respect and contribute to thelegitimate and ethical objectives of theorganization.2. Objectivity 2. ObjektivitätInternal auditors:Interne Revisoren:2.1. Shall not participate in any activityor relationship that may impair or bepresumed to impair their unbiasedassessment. This participation includesthose activities or relationships that maybe in conflict with the interests of the1.1 Müssen ihre Aufgabe korrekt, sorgfältigund verantwortungsbewusst wahrnehmen.1.2 Müssen die Gesetze beachten undrechtliche sowie berufliche Offenlegungspflichtenerfüllen.1.3 Dürfen nicht wissentlich in illegaleAktivitäten involviert sein oder beiHandlungen mitwirken, die den Berufsstandder Internen Revision oder ihreOrganisation in Misskredit bringen.1.4 Müssen die legitimen und ethischenZiele ihrer Organisation beachten undfördern.2.1 Dürfen nicht an Aktivitäten beteiligtsein oder Beziehungen unterhalten, dieihr unparteiisches Urteil beeinträchtigenkönnten, wobei selbst der Anschein zuvermeiden ist. Dies schließt auch Aktivitätenoder Beziehungen ein, die im1/2011 17

Grundlagen für die berufliche Praxis der Internen Revision 2011organization.2.2 Shall not accept anything that mayimpair or be presumed to impair theirprofessional judgment.2.3 Shall disclose all material factsknown to them that, if not disclosed,may distort the reporting of activitiesunder review.Widerspruch zu den Interessen derOrganisation stehen könnten.2.2 Dürfen nichts annehmen, was ihrfachliches Urteil beeinträchtigen könnte,wobei selbst der Anschein zu vermeidenist.2.3 Müssen alle ihnen bekannten wesentlichenFakten offenlegen, die - fallsnicht mitgeteilt - die Berichterstattungüber die geprüften Aktivitäten verfälschenkönnten.3. Confidentiality 3. VertraulichkeitInternal auditors:Interne Revisoren:3.1 Shall be prudent in the use andprotection of information acquired in thecourse of their duties.3.2 Shall not use information for anypersonal gain or in any manner thatwould be contrary to the law ordetrimental to the legitimate and ethicalobjectives of the organization.4. Competency 4. FachkompetenzInternal auditors:Interne Revisoren:4.1 Shall engage only in those servicesfor which they have the necessaryknowledge, skills, and experience.4.2 Shall perform internal auditingservices in accordance with the InternationalStandards for the ProfessionalPractice of Internal Auditing.4.3 Shall continually improve their proficiencyand the effectiveness and qualityof their services.3.1 Müssen umsichtig und interessewahrendmit den im Verlauf ihrer Tätigkeiterhaltenen Informationen umgehen.3.2 Dürfen Informationen nicht zu ihrempersönlichen Vorteil oder in einer Weiseverwenden, die ungesetzlich ist bzw.den legitimen und ethischen Zielen derOrganisation schadet.4.1 Dürfen nur solche Aufgaben übernehmen,für die sie das erforderlicheWissen, Können und die entsprechendeErfahrung haben.4.2 Müssen die Revisionsarbeit in Übereinstimmungmit den InternationalenStandards für die berufliche Praxis derInternen Revision durchführen.4.3 Müssen ständig ihre Fachkenntnissesowie die Effektivität und Qualität ihrerArbeit verbessern.18 1/2011

Standards - EinleitungInternational Standards forthe Professional Practiceof Internal AuditingInternationale Standards fürdie berufliche Praxisder Internen RevisionIntroductionEinleitungInternal audit engagements are conductedin diverse legal and cultural environments;within organizations that vary inpurpose, size, complexity, and structure;and by persons within or outside theorganization. While differences mayaffect the practice of internal auditing ineach environment, conformance withThe IIA’s International Standards for theProfessional Practice of Internal Auditing(Standards) is essential if the responsibilitiesof internal auditors are to bemet. If internal auditors are prohibited bylaws or regulations from conforming withcertain parts of the Standards, theyshould conform with all other parts ofthe Standards and make appropriatedisclosures.If internal auditors use the Standards inconjunction with standards issued byother authoritative bodies, they may alsocite the use of other standards in theiraudit communications, as appropriate. Ifinconsistencies exist between the Standardsand other standards, internal auditmust conform with the Standards, andmay conform with the other standards ifthey are more restrictive.Die Interne Revision führt ihre Aufgabenunter unterschiedlichen rechtlichen undgesellschaftlichen Rahmenbedingungenaus, und in Organisationen, deren Geschäftszweck,Größe, Komplexität undStruktur differieren. Obwohl die Ausübungder Revisionstätigkeit von denjeweiligen Rahmenbedingungen beeinflusstwird, muss ein Interner Revisordie Internationalen Standards für dieberufliche Praxis der Internen Revisiondes IIA (Standards) einhalten, um seinerVerantwortung gerecht zu werden.Wenn Interne Revisoren aufgrund vonGesetzen und Vorschriften Teile derStandards nicht einhalten können, sinddie Abweichungen zu kommunizierenund die darüber hinaus gehenden Standardseinzuhalten.Wenn Interne Revisoren die Standardsgemeinsam mit Standards anderer Regelungsinstanzennutzen, können siezusätzlich auf die Anwendung dieserStandards hinweisen, soweit dies sachgerechtist. Sollten Unterschiede zwischenden Standards und den anderenStandards bestehen, muss sich dieInterne Revision an die Standards haltenund kann andere Standards berücksichtigen,sofern diese restriktiver sind.1/2011 19

Grundlagen für die berufliche Praxis der Internen Revision 2011The purpose of the Standards is to: Die Standards dienen folgendenZwecken:1. Delineate basic principles that representthe practice of internal auditingas it should be.2. Provide a framework for performingand promoting a broad range ofvalue-added internal audit activities.3. Establish the basis for the evaluationof internal audit performance.4. Foster improved organizational processesand operations.The Standards are principles-focused,mandatory requirements consisting of:• Statements of basic requirements forthe professional practice of internalauditing and for evaluating theeffectiveness of its performance,which are internationally applicable atorganizational and individual levels.• Interpretations, which clarify terms orconcepts within the Statements.The Standards employ terms that havebeen given specific meanings that areincluded in the Glossary. Specifically,the Standards use the word “must” tospecify an unconditional requirementand the word “should” where conformanceis expected unless, when applyingprofessional judgment, circumstancesjustify deviation.It is necessary to consider both theStatements and their Interpretations andthe specific meanings from the Glossaryto understand and apply the Standardscorrectly.1. Darstellen der verbindlichen Grundprinzipiender Berufsausübung derInternen Revision.2. Bereitstellen eines Rahmenwerks fürAusführung und Förderung einesbreiten Spektrums wertschöpfenderAktivitäten der Internen Revision.3. Festlegen von Beurteilungskriterienfür die Leistung der Internen Revision.4. Fördern von verbesserten Prozessenund Ergebnissen einer Organisation.Die Standards sind prinzipienbasierte,verbindliche Anforderungen, die ausfolgenden Komponenten bestehen:• Festlegungen grundlegender Anforderungenan die Berufsausübung derInternen Revision und zur Beurteilungder Wirksamkeit ihrer Ausübung, dieinternational sowohl auf Ebene vonEinzelpersonen als auch von Organisationenanwendbar sind.• Erläuterungen, die in den Festlegungenenthaltene Begriffe oder Konzepteverdeutlichen.Die Standards nutzen Begriffe mit festgelegtenBedeutungen, die im Glossarfestgehalten sind. Insbesondere verwendendie Standards den Begriff“muss”, um eine unbedingte Anforderungzu bezeichnen und den Begriff„soll“, wo die Einhaltung der Standardserwartet wird, soweit nicht die Umständebei Anwendung berufsüblicher Sorgfaltdas Abweichen sachgerecht erscheinenlassen.Es ist erforderlich, sowohl die Festlegungenals auch ihre Erläuterungenund die spezifischen, im Glossar festgehaltenenBedeutungen zu berücksichtigen,um die Standards vollständigzu verstehen und anzuwenden.20 1/2011

Standards - EinleitungThe structure of the Standards includesAttribute, Performance, and ImplementationStandards. Attribute Standardsaddress the attributes of organizationsand individuals performing internal auditservices. The Performance Standardsdescribe the nature of internal auditservices and provide quality criteriaagainst which the performance of theseservices can be measured. The Attributeand Performance Standards apply to allinternal audit services. The ImplementationStandards expand upon theAttribute and Performance Standards,providing the requirements applicable toassurance (A) or consulting (C) activities.Die Struktur der Standards umfasst Attributstandards,Ausführungsstandardsund Umsetzungsstandards. Die Attributstandardsbeschreiben die Merkmalevon Organisationen und Personen, dieAufgaben der Internen Revision wahrnehmen.Die Ausführungsstandards beschreibendie Tätigkeitsfelder der InternenRevision und stellen Qualitätskriterienauf, mit denen die Ausführung dieserLeistungen bewertet werden kann.Die Attribut- und Ausführungsstandardsbeziehen sich auf alle Arten der Revisionstätigkeit.Die Umsetzungsstandardsergänzen die Attribut- und Ausführungsstandardsum Anforderungenan Prüfungstätigkeiten (A) und Beratungstätigkeiten(C).Assurance services involve the internalauditor’s objective assessment of evidenceto provide an independent opinionor conclusions regarding an entity,an operation, a function, a process,system, or other subject matter. Thenature and scope of the assuranceengagement are determined by theinternal auditor. There are generallythree parties involved in assuranceservices: (1) the person or group directlyinvolved with the entity, operation, function,process, system, or other subjectmatter - the process owner, (2) theperson or group making the assessment- the internal auditor, and (3) the personor group using the assessment - theuser.Consulting services are advisory innature, and are generally performed atthe specific request of an engagementclient. The nature and scope of theconsulting engagement are subject toagreement with the engagement client.Consulting services generally involvetwo parties: (1) the person or groupoffering the advice - the internal auditor,and (2) the person or group seeking andreceiving the advice - the engagementPrüfungsleistungen umfassen die objektiveAnalyse von Prüfnachweisen durchden Internen Revisor, um eine unabhängigeMeinung oder Schlussfolgerungbezüglich einer Einheit, eines Geschäfts,einer Funktion, eines Prozesses,Systems oder Sachverhalts abzugeben.Art und Umfang der Prüfungenwerden durch den Internen Revisorfestgelegt. Drei Parteien sind in derRegel bei Prüfungsleistungen beteiligt:(1) direkt mit der Einheit, dem Geschäft,der Funktion, dem Prozess, Systemoder Sachverhalt beschäftigte Personenoder Gruppen - Prozessbeteiligte,(2) die beurteilende Person oder Gruppe- der Interne Revisor, und (3) die Beurteilungnutzende Personen oder Gruppe- die Nutzer.Beratungsleistungen sind vom Wesenher beratender Art und werden imAllgemeinen auf Anfrage eines Kundenerbracht. Art und Umfang des Beratungsauftrageswerden mit dem Kundenabgestimmt. Zwei Parteien sind anBeratungsleistungen beteiligt: (1) dieBeratung leistende Person oder Gruppe- der Interne Revisor, (2) die Beratungsuchende Person oder Gruppe - derKunde. Im Rahmen von Beratungslei-1/2011 21

Grundlagen für die berufliche Praxis der Internen Revision 2011client. When performing consulting servicesthe internal auditor should maintainobjectivity and not assume managementresponsibility.stungen soll der Interne Revisor objektivbleiben und keine Ausführungsverantwortungübernehmen.The review and development of theStandards is an ongoing process. TheInternal Audit Standards Board engagesin extensive consultation and discussionprior to issuing the Standards. Thisincludes worldwide solicitation for publiccomment through the exposure draftprocess. All exposure drafts are postedon The IIA’s Web site as well as beingdistributed to all IIA institues.Suggestions and comments regardingthe Standards can be sent to:The Institute of Internal AuditorsStandards and Guidance247 Maitland AvenueAltamonte SpringsFL 32701-4201, USAE-mail: guidance@theiia.orgWeb: http://www.theiia.orgÜberarbeitung und Weiterentwicklungder Standards ist ein andauernderProzess. Vor dem Veröffentlichen vonStandards führt das Internal Audit StandardsBoard breit angelegte Befragungenund Beratungen durch. Dies umfasstdie weltweite, öffentliche Abfragevon Kommentaren im Rahmen desEntwurfsverfahrens. Jeder Entwurf wirdauf der Website des IIA zur Kommentierungveröffentlicht und an alle dem IIAangeschlossenen Institute verbreitet.Vorschläge und Kommentare betreffendder Standards sind an folgende Anschriftzu richten:The Institute of Internal AuditorsStandards and Guidance247 Maitland AvenueAltamonte SpringsFL 32701-4201, USAE-mail: guidance@theiia.orgWeb: http://www.theiia.orgFür Vorschläge und Anregungen bezüglichder deutschen Übersetzung wendenSie sich bitte an:IIA AustriaE-mail: sekreteriat@internerevision.at22 1/2011

Standards - AttributstandardsAttribute StandardsAttributstandardsPurpose, Authority, andResponsibilityThe purpose, authority, and responsibilityof the internal audit activity must beformally defined in an internal auditcharter, consistent with the Definition ofInternal Auditing, the Code of Ethics,and the Standards. The chief auditexecutive must periodically review theinternal audit charter and present it tosenior management and the board forapproval.InterpretationThe internal audit charter is a formaldocument that defines the internal auditactivity's purpose, authority, andresponsibility. The internal audit charterestablishes the internal audit activity'sposition within the organization,including the nature of the chief auditexecutive’s functional reportingrelationship with the board; authorizesaccess to records, personnel, andphysical properties relevant to theperformance of engagements; anddefines the scope of internal auditactivities. Final approval of the internalaudit charter resides with the board.1000.A1 - The nature of assuranceservices provided to the organizationmust be defined in the internal auditcharter. If assurances are to be providedto parties outside the organization, thenature of these assurances must also bedefined in the internal audit charter.Aufgabenstellung, Befugnisse undVerantwortungAufgabenstellung, Befugnisse und Verantwortungder Internen Revision müssenformell in einer Geschäftsordnungder Internen Revision bestimmt sein, derdie Definition der Internen Revision, derEthikkodex und die Standards zuGrunde liegen. Der Leiter der InternenRevision muss die Geschäftsordnungregelmäßig überprüfen und der Geschäftsleitungbzw. dem Überwachungsorganzur Genehmigung vorlegen.ErläuterungDie Geschäftsordnung der InternenRevision ist ein förmliches Dokument,das den Zweck, die Befugnisse und dieVerantwortung der Revisionsfunktion beschreibt.Die Geschäftsordnung derInternen Revision bestimmt die Stellungder Internen Revision in der Organisationeinschließlich der funktionalenBerichtslinie des Leiters der InternenRevision an Geschäftsleitung und Überwachungsorgan,gestattet den Zugriffauf Aufzeichnungen, Personal undVermögensgegenstände soweit dies zurAuftragsdurchführung erforderlich ist,und bestimmt den Umfang derRevisionstätigkeit. Die Verantwortung fürdie Genehmigung der Geschäftsordnungder Internen Revision liegt beiGeschäftsleitung und Überwachungsorgan.1000.A1 - Die Art der zu erbringendenPrüfungsleistungen muss in der Geschäftsordnungder Internen Revisionfestgelegt werden. Wenn Prüfungsleistungenfür Dritte erbracht werden,müssen diese ebenfalls in der Geschäftsordnungder Internen Revisiondefiniert werden.10001/2011 23

Grundlagen für die berufliche Praxis der Internen Revision 20111000.C1 - The nature of consulting servicesmust be defined in the internal auditcharter.1010 Recognition of the Definition ofInternal Auditing, the Code of Ethics,and the Standards in the InternalAudit CharterThe mandatory nature of the Definitionof Internal Auditing, the Code of Ethics,and the Standards must be recognizedin the internal audit charter. The chiefaudit executive should discuss theDefinition of Internal Auditing, the Codeof Ethics, and the Standards with seniormanagement and the board.1000.C1 - Die Art der zu erbringendenBeratungsleistungen muss in der Geschäftsordnungder Internen Revisionfestgelegt werden.Berücksichtigen der Definition derInternen Revision, des Ethikkodexund der Standards in derGeschäftsordnung der InternenRevisionDie Verbindlichkeit der Definition derInternen Revision, des Ethikkodex undder Standards muss in der Geschäftsordnungder Internen Revision berücksichtigtsein. Der Leiter der InternenRevision soll die Definition der InternenRevision, den Ethikkodex sowie dieStandards mit Geschäftsleitung undÜberwachungsorgan besprechen.1100 Independence and Objectivity Unabhängigkeit und ObjektivitätThe internal audit activity must beindependent, and internal auditors mustbe objective in performing their work.Die Interne Revision muss unabhängigsein, und die Internen Revisoren müssenbei der Durchführung ihrer Aufgabenobjektiv vorgehen.InterpretationIndependence is the freedom fromconditions that threaten the ability of theinternal audit activity to carry out internalaudit responsibilities in an unbiasedmanner. To achieve the degree ofindependence necessary to effectivelycarry out the responsibilities of theinternal audit activity, the chief auditexecutive has direct and unrestrictedaccess to senior management and theboard. This can be achieved through adual-reporting relationship. Threats toindependence must be managed at theindividual auditor, engagement,functional, and organizational levels.Objectivity is an unbiased mental attitudethat allows internal auditors toperform engagements in such a mannerthat they believe in their work productand that no quality compromises areErläuterungUnabhängigkeit bedeutet, dass keineUmstände vorliegen, die die Fähigkeitder Internen Revision beeinträchtigen,ihre Aufgaben für die Interne Revisionunbeeinflusst wahrzunehmen. Um einenfür die wirksame Ausführung der Revisionsaufgabenhinreichenden Grad derUnabhängigkeit zu erzielen, hat derLeiter der Internen Revision direkten undunbeschränkten Zugang zu Geschäftsleitungund Überwachungsorgan. Dieskann durch parallele Berichtswegeerreicht werden. Bedrohungen der Unabhängigkeitsind auf Prüfer-, Prüfungs-,Funktions- und Organisationsebene zusteuern.Objektivität bezeichnet eine unbeeinflussteGeisteshaltung, die es InternenRevisoren erlaubt, ihre Aufgaben dergestaltauszuführen, dass sie ihre Arbeitsergebnisseund deren Qualität vorbehalt-24 1/2011

Standards - Attributstandardsmade. Objectivity requires that internalauditors do not subordinate their judgmenton audit matters to others. Threatsto objectivity must be managed at theindividual auditor, engagement, functional,and organizational levels.los vertreten können. Objektivität erfordert,dass Interne Revisoren ihreBeurteilung prüferischer Sachverhaltenicht anderen Einflüssen unterordnen.Bedrohungen der Objektivität sind aufPrüfer-, Prüfungs-, Funktions- und Organisationsebenezu steuern.Organizational Independence Organisatorische Unabhängigkeit 1110The chief audit executive must report toa level within the organization that allowsthe internal audit activity to fulfill itsresponsibilities. The chief audit executivemust confirm to the board, at leastannually, the organizational independenceof the internal audit activity.Der Leiter der Internen Revision mussder Ebene innerhalb der Organisationunterstehen, die sicherstellen kann, dassdie Interne Revision ihre Aufgabensachgerecht erfüllen kann. Der Leiter derInternen Revision muss Geschäftsleitungund Überwachungsorgan mindestensjährlich die organisatorische Unabhängigkeitbestätigen.InterpretationOrganizational independence iseffectively achieved when the chief auditexecutive reports functionally to theboard. Examples of functional reportingto the board involve the board:• Approving the internal audit charter;• Approving the risk based internalaudit plan;• Receiving communications from thechief audit executive on the internalaudit activity’s performance relative toits plan and other matters;• Approving decisions regarding theappointment and removal of the chiefaudit executive; and• Making appropriate inquiries ofmanagement and the chief auditexecutive to determine whether thereare inappropriate scope or resourcelimitations.ErläuterungOrganisatorische Unabhängigkeit istsichergestellt, wenn der Leiter der InternenRevision funktional an Geschäftsleitungund/oder Überwachungsorganberichtet. Beispiele für funktionale Unterstellungsind folgende Aktivitäten vonGeschäftsleitung oder Überwachungsorgan:• Genehmigung der Geschäftsordnungder Internen Revision;• Genehmigung der risikoorientiertenPrüfungsplanung;• Annahme von Berichten des Leitersder Internen Revision über die Aufgabenerfüllungder Internen Revision inBezug auf ihren Plan und andereAspekte.• Genehmigen von Entscheidungenbezüglich der Bestellung oderEntlassung des Leiters der InternenRevision sowie• Sachgerechte Abklärungen bei Führungskräftenund dem Leiter der InternenRevision, dass keine unverhältnismässigenEinschränkungen vonPrüfungsumfang oder Mittelausstattungvorliegen.1110.A1 - The internal audit activity must 1110.A1 - Die Interne Revision darf bei1/2011 25

Grundlagen für die berufliche Praxis der Internen Revision 2011be free from interference in determiningthe scope of internal auditing, performingwork, and communicating results.der Festlegung des Umfangs der internenPrüfungen, bei der Auftragsdurchführungund bei der Berichterstattungnicht behindert werden.1111 Direct Interaction with the Board Direkte Zusammenarbeit mitGeschäftsleitung undÜberwachungsorganThe chief audit executive must communicateand interact directly with theboard.Der Leiter der Internen Revision mussdirekt mit Geschäftsleitung und Überwachungsorgankommunizieren undzusammenarbeiten.1120 Individual Objectivity Persönliche ObjektivitätInternal auditors must have an impartial,unbiased attitude and avoid any conflictof interest.Interne Revisoren müssen unparteiischund unvoreingenommen sein und jedenInteressenkonflikt vermeiden.InterpretationConflict of interest is a situation in whichan internal auditor, who is in a position oftrust, has a competing professional orpersonal interest. Such competing interestscan make it difficult to fulfill his orher duties impartially. A conflict of interestexists even if no unethical or improperact results. A conflict of interest cancreate an appearance of impropriety thatcan undermine confidence in the internalauditor, the internal audit activity, andthe profession. A conflict of interestcould impair an individual's ability toperform his or her duties and responsibilitiesobjectively.1130 Impairment to Independence orObjectivityIf independence or objectivity is impairedin fact or appearance, the details of theimpairment must be disclosed toappropriate parties. The nature of thedisclosure will depend upon the impairment.InterpretationImpairment to organizational independenceand individual objectivity mayErläuterungInteressenkonflikte sind Situationen, indenen ein Interner Revisor in einerVertrauensstellung ein konkurrierendesberufliches oder privates Interesse hat.Solche konkurrierenden Interessen könnenes schwierig machen, Verpflichtungenuneingeschränkt nachzukommen.Ein Interessenkonflikt besteht bereits,ohne dass tatsächlich unethischeoder nicht sachgerechte Aktivitäten erfolgen.Ein Interessenkonflikt kann dasVertrauen in den Internen Revisor, dieRevisionsfunktion und den Berufsstandschädigen. Ein Interessenkonflikt kanndie Fähigkeit eines Prüfers einschränken,seinen Verpflichtungen unvoreingenommennachzukommen.Beeinträchtigung von Unabhängigkeitoder ObjektivitätIst die Unabhängigkeit oder Objektivitättatsächlich oder dem Anschein nach beeinträchtigt,so müssen den zuständigenStellen die entsprechenden Einzelheitenoffen gelegt werden. Die Art der Offenlegunghängt von der jeweiligen Beeinträchtigungab.ErläuterungBeeinträchtigung der organisatorischenUnabhängigkeit und der individuellen26 1/2011

Standards - Attributstandardsinclude, but is not limited to, personalconflict of interest, scope limitations,restrictions on access to records, personnel,and properties, and resourcelimitations, such as funding.The determination of appropriate partiesto which the details of an impairment toindependence or objectivity must bedisclosed is dependent upon the expectationsof the internal audit activity’s andthe chief audit executive’s responsibilitiesto senior management and theboard as described in the internal auditcharter, as well as the nature of theimpairment.1130.A1 - Internal auditors must refrainfrom assessing specific operations forwhich they were previously responsible.Objectivity is presumed to be impaired ifan internal auditor provides assuranceservices for an activity for which theinternal auditor had responsibility withinthe previous year.1130.A2 - Assurance engagements forfunctions over which the chief audit executivehas responsibility must be overseenby a party outside the internal auditactivity.1130.C1 - Internal auditors may provideconsulting services relating to operationsfor which they had previous responsibilities.1130.C2 - If internal auditors have potentialimpairments to independence orobjectivity relating to proposed consultingservices, disclosure must be madeto the engagement client prior to acceptingthe engagement.Objektivität kann unter anderem persönlicheInteressenkonflikte, Beschränkungendes Prüfungsumfangs, eingeschränktenZugang zu Informationen,Personal, Vermögensgegenständen sowieRessourcenbeschränkungen wieetwa beschränkte Finanzmittel umfassen.Die richtigen Adressaten, denen Detailsbezüglich einer Einschränkung von Unabhängigkeitund Objektivität kommuniziertwerden müssen, hängen von denin der Geschäftsordnung der InternenRevision niedergelegten Erwartungender Geschäftsleitung und des Überwachungsorgansan die Interne Revision,den Verantwortlichkeiten des Leiters derInternen Revision sowie von der Art derBeeinträchtigung ab.1130.A1 - Interne Revisoren müssenvon der Beurteilung von Geschäftsprozessenabsehen, für die sie zuvorverantwortlich waren. Die Objektivitätkann als beeinträchtigt angenommenwerden, wenn ein Interner Revisor eineAktivität prüft, für die er im Verlauf desvorangegangenen Jahres verantwortlichwar.1130.A2 - Prüfungen von Organisationseinheiten,für die der Leiter der InternenRevision die Verantwortung trägt,müssen von einer Stelle außerhalb derInternen Revision überwacht werden.1130.C1 - Interne Revisoren können Beratungsleistungenfür Geschäftsprozesseerbringen, für die sie früher Verantwortunggetragen haben.1130.C2 - Wenn Interne Revisoren inVerbindung mit einer Beratungsleistungeine mögliche Beeinträchtigung der Unabhängigkeitoder Objektivität sehen,muss dies dem Kunden vor der Annahmedes Auftrags offen gelegt werden.1/2011 27

Grundlagen für die berufliche Praxis der Internen Revision 20111200 Proficiency and Due ProfessionalCareEngagements must be performed withproficiency and due professional care.Fachkompetenz und berufliche SorgfaltspflichtAufträge müssen mit Fachkompetenzund der erforderlichen beruflichen Sorgfaltdurchgeführt werden.1210 Proficiency FachkompetenzInternal auditors must possess theknowledge, skills, and other competenciesneeded to perform their individualresponsibilities. The internal audit activitycollectively must possess or obtainthe knowledge, skills, and other competenciesneeded to perform its responsibilities.Interne Revisoren müssen über das Wissen,die Fähigkeiten und sonstige Qualifikationenverfügen, die erforderlich sind,um ihrer Verantwortung gerecht zuwerden. Die Interne Revision mussinsgesamt das Wissen, die Fähigkeitenund sonstige Qualifikationen besitzenoder sich beschaffen, die erforderlichsind, um ihre Aufgaben wahrzunehmen.InterpretationKnowledge, skills, and other competenciesis a collective term that refers tothe professional proficiency required ofinternal auditors to effectively carry outtheir professional responsibilities. Internalauditors are encouraged to demonstratetheir proficiency by obtaining appropriateprofessional certifications andqualifications, such as the CertifiedInternal Auditor designation and otherdesignations offered by The Institute ofInternal Auditors and other appropriateprofessional organizations.1210.A1 - The chief audit executive mustobtain competent advice and assistanceif the internal auditors lack the knowledge,skills, or other competenciesneeded to perform all or part of theengagement.ErläuterungWissen, Fähigkeiten und sonstige Qualifikationensind eine zusammenfassendeEinheit, die sich auf die Fachkompetenzbezieht, die Interne Revisoren benötigen,um den beruflichen Anforderungenwirksam zu genügen. Internen Revisorenwird empfohlen, ihre Fachkompetenzdurch Erlangen von beruflichenKenntnis- und Befähigungsnachweisenzu belegen, wie beispielsweise durchdas „Certified Internal Auditor“-Examenund weitere vom IIA oder andereneinschlägigen Fachverbänden angeboteneZertifizierungen.1210.A1 - Der Leiter der Internen Revisionmuss kompetenten Rat und Unterstützungeinholen, falls es Internen Revisorenan Wissen, Fähigkeiten odersonstigen Qualifikationen mangelt, diezur teilweisen oder vollständigen Erfüllungdes Prüfungsauftrags erforderlichsind.28 1/2011

Standards - Attributstandards1210.A2 - Internal Auditors must havesufficient knowledge to evaluate the riskof fraud and the manner in which it ismanaged by the organization, but arenot expected to have the expertise of aperson whose primary responsibility isdetecting and investigating fraud.1210.A3 - Internal auditors must havesufficient knowledge of key informationtechnology risks and controls and availabletechnology-based audit techniquesto perform their assigned work.However, not all internal auditors are expectedto have the expertise of aninternal auditor whose primary responsibilityis information technology auditing.1210.C1 - The chief audit executivemust decline the consulting engagementor obtain competent advice andassistance if the internal auditors lackthe knowledge, skills, or other competenciesneeded to perform all or part ofthe engagement.1210.A2 - Interne Revisoren müssenüber ausreichendes Wissen verfügen,um Risiken für dolose Handlungen unddie Art, wie diese Risiken in der Organisationgehandhabt werden, zu beurteilen.Es werden jedoch nicht in gleichemUmfang Sachkenntnis und Erfahrungerwartet wie bei Experten für dieAufdeckung und Untersuchung doloserHandlungen.1210.A3 - Interne Revisoren müssenKenntnisse der grundlegenden Risikenund Kontrollen von Informationstechnologien(IT) sowie der verfügbaren technologiegestütztenPrüfungstechniken besitzen,um ihre Aufgaben erfüllen zukönnen. Allerdings wird nicht von allenInternen Revisoren erwartet, dass siedieselben Kenntnisse besitzen wie spezialisierteIT-Revisoren.1210.C1 - Der Leiter der Internen Revisionmuss einen Beratungsauftragablehnen oder kompetenten Rat undUnterstützung einholen, wenn InterneRevisoren nicht über das Wissen, dieFähigkeiten oder sonstige Qualifikationenverfügen, die zur teilweisen odervollständigen Erfüllung des Auftragserforderlich sind.Due Professional Care Berufliche Sorgfaltspflicht 1220Internal auditors must apply the care andskill expected of a reasonably prudentand competent internal auditor. Due professionalcare does not imply infallibility.1220.A1 - Internal auditors must exercisedue professional care by consideringthe:• Extent of work needed to achieve theengagement’s objectives;• Relative complexity, materiality, orsignificance of matters to which assuranceprocedures are applied;Interne Revisoren müssen jenes Maß anSorgfalt und Sachkunde anwenden, dasüblicherweise von einem sorgfältigenund sachkundigen Internen Revisorerwartet werden kann. Berufliche Sorgfaltspflichtist nicht gleichbedeutend mitUnfehlbarkeit.1220.A1 - Interne Revisoren müssenihre berufliche Sorgfaltspflicht ausüben,indem sie folgende Punkte beachten:• Den zum Erreichen der Prüfungszieleerforderlichen Arbeitsumfang,• die relative Komplexität, Wesentlichkeitoder Bedeutung der Sachverhalte,die Gegenstand von Prüfungshandlungensind,1/2011 29

Grundlagen für die berufliche Praxis der Internen Revision 2011• Adequacy and effectiveness of governance,risk management, and controlprocesses;• Probability of significant errors, fraud,or noncompliance; and• Cost of assurance in relation to potentialbenefits.1220.A2 - In exercising due professionnalcare internal auditors must considerthe use of technology-based audit andother data analysis techniques.1220.A3 - Internal auditors must be alertto the significant risks that might affectobjectives, operations, or resources.However, assurance procedures alone,even when performed with dueprofessional care, do not guarantee thatall significant risks will be identified.1220.C1 - Internal auditors must exercisedue professional care during a consultingengagement by considering the:• Needs and expectations of clients,including the nature, timing, and communicationof engagement results;• Relative complexity and extent ofwork needed to achieve the engagement’sobjectives; and• Cost of the consulting engagement inrelation to potential benefits.• die Angemessenheit und Effektivitätvon Führungs- und Überwachungs-,Risikomanagement- und Kontrollprozessen,• die Wahrscheinlichkeit des Vorliegensbedeutender Fehler, doloser Handlungenoder der Nichteinhaltung vonVorschriften und• die Kosten der Prüfungstätigkeit imVerhältnis zum möglichen Nutzen.1220.A2 - Im Rahmen ihrer beruflichenSorgfaltspflicht müssen Interne Revisorenden Einsatz technologiegestützterund anderer Datenanalysemethoden berücksichtigen.1220.A3 - Interne Revisoren müssensich der wesentlichen Risiken bewusstsein, die Auswirkungen auf Geschäftsziele,Geschäftsprozesse oder Ressourcenhaben können. Jedoch können diePrüfverfahren der Internen Revision allein,auch wenn sie mit der erforderlichenSorgfalt durchgeführt werden,nicht sicherstellen, dass alle wesentlichenRisiken erkannt werden.1220.C1 - Interne Revisoren müssenihre berufliche Sorgfaltspflicht wahrnehmen,indem sie bei einem Beratungsauftragfolgende Aspekte beachten:• Die Bedürfnisse und Erwartungen derKunden, einschließlich der Art derBeratung, die Zeitvorgaben und dieBerichterstattung über die Ergebnisse,• die relative Komplexität und den Umfangder Tätigkeiten zum Erreichender Ziele des Beratungsauftrags und• die Kosten des Beratungsauftrags imVerhältnis zum erwarteten Nutzen.1230 Continuing Professional Development Regelmäßige fachliche WeiterbildungInternal auditors must enhance theirknowledge, skills, and other competenciesthrough continuing professionaldevelopment.Interne Revisoren müssen ihr Wissen,ihre Fähigkeiten und ihre sonstigenQualifikationen durch regelmäßige fachlicheWeiterbildung erweitern.30 1/2011

Standards - AttributstandardsQuality Assurance and ImprovementProgramThe chief audit executive must developand maintain a quality assurance andimprovement program that covers allaspects of the internal audit activity.InterpretationA quality assurance and improvementprogram is designed to enable anevaluation of the internal audit activity’sconformance with the Definition ofInternal Auditing and the Standards andan evaluation of whether internal auditorsapply the Code of Ethics. The programalso assesses the efficiency andeffectiveness of the internal audit activityand identifies opportunities for improvement.Requirements of the QualityAssurance and Improvement ProgramThe quality assurance and improvementprogram must include both internal andexternal assessments.Programm zur Qualitätssicherungund -verbesserungDer Leiter der Internen Revision mussein Programm zur Qualitätssicherungund -verbesserung, das alle Aufgabengebieteder Internen Revision umfasst,entwickeln und pflegen.ErläuterungEin Programm zur Qualitätssicherungund -verbesserung ist so gestaltet, dasses die Beurteilung der Internen Revisionin Bezug auf ihre Übereinstimmung mitder Definition der Internen Revision undden Standards sowie eine Beurteilung,ob Interne Revisoren den Ethikkodexeinhalten, ermöglicht. Das Programmbeurteilt weiter die Wirtschaftlichkeit undFunktionsfähigkeit der Internen Revisionund identifiziert Verbesserungsmöglichkeiten.Anforderungen an das Qualitätssicherungs-und -verbesserungsprogrammDas Programm zur Qualitätssicherungund -verbesserung muss sowohl interneals auch externe Beurteilungen umfassen.13001310Internal Assessments Interne Beurteilungen 1311Internal assessments must include: Interne Beurteilungen müssen umfassen:• Ongoing monitoring of the performanceof the internal audit activity; and• Periodic reviews performed throughself-assessment or by other personswithin the organization with sufficientknowledge of internal audit practices.• Laufende Überwachung der Aufgabenerfüllungder Internen Revisionund• regelmäßige Beurteilungen durchSelbstbeurteilung oder durch Personeninnerhalb der Organisation, dieüber ausreichende Kenntnisse derArbeitsmethoden der Internen Revisionverfügen.InterpretationOngoing monitoring is an integral part ofthe day-to-day supervision, review, andmeasurement of the internal audit activity.Ongoing monitoring is incorporatedinto the routine policies and practicesErläuterungLaufende Überwachung ist ein wesentlicherBestandteil der täglichen Beaufsichtigung,Bewertung und Messung derInternen Revision. Laufende Überwachungist in Routineverfahren und -vor-1/2011 31

Grundlagen für die berufliche Praxis der Internen Revision 2011used to manage the internal audit activityand uses processes, tools, and informationconsidered necessary to evaluateconformance with the Definition ofInternal Auditing, the Code of Ethics,and the Standards.Periodic reviews are assessments conductedto evaluate conformance with theDefinition of Internal Auditing, the Codeof Ethics, and the Standards.Sufficient knowledge of internal auditpractices requires at least an understandingof all elements of the InternationalProfessional Practices Framework.gehensweisen berücksichtigt, die zurFührung der Internen Revision angewandtwerden und nutzt Abläufe, Instrumenteund Informationen, die für dieBeurteilung der Übereinstimmung mitder Definition der Internen Revision,dem Ethikkodex und den Standardserforderlich sind.Regelmäßige Beurteilungen sind Beurteilungen,die durchgeführt werden, umdie Übereinstimmung mit der Definitionder Internen Revision, dem Ethikkodexund den Standards zu bestimmen.Ausreichende Kenntnis von Vorgehensweisender Internen Revision erfordertzumindest das Verständnis aller Elementeder Internationalen Grundlagenfür die berufliche Praxis der InternenRevision.1312 External Assessments Externe BeurteilungenExternal assessments must be conductedat least once every five years by aqualified, independent reviewer or reviewteam from outside the organization.The chief audit executive must discusswith the board:• The need for more frequent externalassessments; and• The qualifications and independenceof the external reviewer or reviewteam, including any potential conflictof interest.Externe Beurteilungen müssen mindestensalle fünf Jahre von einem qualifizierten,unabhängigen Prüfer oder Prüfungsteamdurchgeführt werden, derbzw. das nicht der Organisation angehört.Der Leiter der Internen Revisionmuss folgende Aspekte mit der Geschäftsleitungund dem Überwachungsorganbesprechen:• Den möglichen Bedarf häufigerer externerBeurteilungen und• die Fachkenntnis und Unabhängigkeitdes externen Prüfers oder Prüfungsteamseinschließlich möglicherInteressenkonflikte.InterpretationA qualified reviewer or review teamdemonstrates competence in two areas:the professional practice of internalauditing and the external assessmentprocess. Competence can bedemonstrated through a mixture ofexperience and theoretical learning.Experience gained in organizations ofsimilar size, complexity, sector orindustry, and technical issues is morevaluable than less relevant experience.ErläuterungQualifizierte Beurteiler oder Beurteilungsteamsverfügen über Sachkunde inBezug auf die berufliche Praxis derInternen Revision und das Verfahren derexternen Beurteilung. Sachkunde beruhtsowohl auf Erfahrungen als auch aufKenntnissen. Erfahrung, die in Organisationenvergleichbarer Größe, Komplexitätund Branche sowie hinsichtlich relevantertechnischer Aspekte gesammeltwurde, ist wertvoller als Erfahrung aus32 1/2011

Standards - AttributstandardsIn the case of a review team, not allmembers of the team need to have allthe competencies; it is the team as awhole that is qualified. The chief auditexecutive uses professional judgmentwhen assessing whether a reviewer orreview team demonstrates sufficientcompetence to be qualified.An independent reviewer or review teammeans not having either a real or anapparent conflict of interest and notbeing a part of, or under the control of,the organization to which the internalaudit activity belongs.Reporting on the Quality Assuranceand Improvement ProgramThe chief audit executive must communicatethe results of the quality assuranceand improvement program to seniormanagement and the board.InterpretationThe form, content, and frequency ofcommunicating the results of the qualityassurance and improvement program isestablished through discussions withsenior management and the board andconsiders the responsibilities of theinternal audit activity and chief auditexecutive as contained in the internalaudit charter. To demonstrate conformancewith the Definition of InternalAuditing, the Code of Ethics, and theStandards, the results of external andperiodic internal assessments arecommunicated upon completion of suchassessments and the results of ongoingmonitoring are communicated at leastannually. The results include thereviewer’s or review team’s assessmentwith respect to the degree of conformance.anderen Bereichen. Im Fall einesBeurteilungsteams müssen nicht alleTeammitglieder über Erfahrungen insämtlichen Bereichen verfügen, sonderndas Team als Ganzes muss hinreichendqualifiziert sein. Bei der Bewertung derSachkunde des Beurteilers beziehungsweisedes Beurteilungsteams wendetder Leiter der Internen Revision dieberufsübliche Sorgfalt an.Unabhängiger Beurteiler oder Beurteilungsteambedeutet, das kein tatsächlicheroder scheinbarer Interessenkonfliktvorliegt, sowie dass diese nichtTeil oder unter Kontrolle der Organisationsind, zu der die beurteilteRevisionsfunktion gehört.Berichterstattung zum Qualitätssicherungs-und -verbesserungsprogrammDer Leiter der Internen Revision mussdie Ergebnisse des Qualitätssicherungsund-verbesserungsprogramms an dieleitenden Führungskräfte, die Geschäftsleitungund das Überwachungsorganberichten.ErläuterungForm, Inhalt und Häufigkeit der Berichterstattungüber die Ergebnisse desQualitätssicherungs- und Verbesserungsprogrammswerden in Gesprächenmit Geschäftsleitung und Überwachungsorganfestgelegt; dabei werdendie in der Geschäftsordnung der InternenRevision bestimmten Verantwortlichkeitender Revisionsfunktion und desLeiters der Internen Revisionberücksichtigt. Um die Übereinstimmungmit der Definition der Internen Revision,dem Ethikkodex und den Standardsnachzuweisen, werden die Ergebnisseexterner und regelmäßiger internerBeurteilungen nach deren Abschlussberichtet; die Ergebnisse der laufendenÜberwachung werden mindestens einmaljährlich berichtet. Die Ergebnisseumfassen die Beurteilung der Übereinstimmungdurch den Beurteiler oderdas Beurteilungsteam.13201/2011 33

Grundlagen für die berufliche Praxis der Internen Revision 20111321 Use of “Conforms with theInternational Standards for theProfessional Practice of InternalAuditing”The chief audit executive may state thatthe internal audit activity conforms withthe International Standards for theProfessional Practice of Internal Auditingonly if the results of the quality assuranceand improvement program supportthis statement.InterpretationThe internal audit activity conforms withthe Standards when it achieves theoutcomes described in the Definition ofInternal Auditing, Code of Ethics, andStandards. The results of the qualityassurance and improvement programinclude the results of both internal andexternal assessments. All internal auditactivities will have the results of internalassessments. Internal audit activities inexistence for at least five years will alsohave the results of external assessments.Gebrauch der Formulierung „übereinstimmendmit den InternationalenStandards für die berufliche Praxisder Internen Revision“Der Leiter der Internen Revision kanndie Übereinstimmung mit den InternationalenStandards für die beruflichePraxis der Internen Revision nur behaupten,wenn die Ergebnisse des Programmszur Qualitätssicherung und-verbesserung diese Feststellung stützen.ErläuterungDie Interne Revision ist in Übereinstimmungmit den Standards, wennsie die in der Definition der InternenRevision, dem Ethikkodex und denStandards beschriebenen Ergebnisseerzielt. Die Ergebnisse des Qualitätssicherungs-und Verbesserungsprogrammsumfassen die Resultate sowohlinterner als auch externer Beurteilungen.Alle Internen Revisionen verfügen überResultate interner Beurteilungen. Längerals fünf Jahre bestehende InterneRevisionen verfügen zusätzlich überResultate externer Beurteilungen.1322 Disclosure of Nonconformance Offenlegen von AbweichungenWhen nonconformance with theDefinition of Internal Auditing, the Codeof Ethics, or the Standards impacts theoverall scope or operation of the internalaudit activity, the chief audit executivemust disclose the noncomformance andthe impact to senior management andthe board.Wenn sich Abweichungen von derDefinition der Internen Revision, demEthikkodex oder den Standards auf denTätigkeitsbereich oder die Durchführungder Internen Revision auswirken, mussder Leiter der Internen Revision Abweichungund Auswirkungen an die Geschäftsleitungund das Überwachungsorganberichten.34 1/2011

Standards - AusführungsstandardsPerformance StandardsAusführungsstandardsManaging the Internal Audit Activity Leitung der Internen Revision 2000The chief audit executive must effecttivelymanage the internal audit activityto ensure it adds value to the organization.InterpretationThe internal audit activity is effectivelymanaged when:• The results of the internal auditactivity’s work achieve the purposeand responsibility included in theinternal audit charter;• The internal audit activity conformswith the Definition of Internal Auditingand the Standards; and• The individuals who are part of theinternal audit activity demonstrateconformance with the Code of Ethicsand the Standards.The internal audit activity adds value tothe organization (and its stakeholders)when it provides objective and relevantassurance, and contributes to theeffectiveness and efficiency of governance,risk management, and controlprocesses.Der Leiter der Internen Revision mussdie Interne Revision wirksam führen, umihren Wertbeitrag für die Organisationsicherzustellen.ErläuterungDie Interne Revision ist wirksam geführt,wenn:• die Arbeitsergebnisse der InternenRevision den in der Geschäftsordnungder Internen Revision festgelegtenZielen und Aufgaben entsprechen,• die Tätigkeit der Internen Revision mitder Definition der Internen Revisionund den Standards übereinstimmtund• die an der Revisionsfunktion beteiligtenPersonen im Einklang mit demEthikkodex und den Standards handeln.Die Interne Revision erbringt einenWertbeitrag für Organisation (und ihreInteressengruppen) wenn sie objektiveund zweckdienliche Sicherheit vermitteltsowie darüber hinaus zur Funktionsfähigkeitund Wirtschaftlichkeit derFührungs- und Überwachungs-, Risikomanagement-und Kontrollprozessebeiträgt.Planning Planung 2010The chief audit executive must establishrisk-based plans to determine the prioritiesof the internal audit activity, consistentwith the organization’s goals.Der Leiter der Internen Revision legt inder Planung die Prioritäten nach Risikokriterienund im Einklang mit den Organisationszielenfest.InterpretationThe chief audit executive is responsiblefor developing a risk-based plan. Thechief audit executive takes into accountthe organization’s risk managementErläuterungDer Leiter der Internen Revision ist fürdie Entwicklung einer risikoorientiertenPlanung verantwortlich. Der Leiter derInternen Revision berücksichtigt das1/2011 35

Grundlagen für die berufliche Praxis der Internen Revision 2011framework, including using risk appetitelevels set by management for thedifferent activities or parts of the organization.If a framework does not exist,the chief audit executive uses his/herown judgment of risks after consultationwith senior management and the board.2010.A1 - The internal audit activity’splan of engagements must be based ona documented risk assessment, undertakenat least annually. The input ofsenior management and the board mustbe considered in this process.2010.A2 - The chief audit executivemust identify and consider theexpectations of senior management, theboard, and other stakeholders forinternal audit opinions and otherconclusions.2010.C1 - The chief audit executiveshould consider accepting proposedconsulting engagements based on theengagement’s potential to improve managementof risks, add value, andimprove the organization’s operations.Accepted engagements must be includedin the plan.Risikomanagementkonzept der Organisation,einschließlich der vom Managementfestgesetzten Risikoakzeptanzniveausfür die verschiedenen Aktivitätenund Teile der Organisation. Wennein solches Konzept nicht existiert,bewertet der Leiter der Internen Revisionnach Rücksprache mit leitendenFührungskräften, Geschäftsleitung undÜberwachungsorgan die Risiken nacheigenem Ermessen.2010.A1 - Die Prüfungsplanung der InternenRevision muss auf Basis einerdokumentierten Risikobeurteilung erfolgen,die mindestens einmal pro Jahrdurchzuführen ist. Der Input der leitendenFührungskräfte, der Geschäftsleitungund des Überwachungsorgansmüssen dabei berücksichtigt werden.2010.A2 - Der Leiter der Internen Revisionmuss feststellen und berücksichtigen,welche Erwartungen bezüglichder Beurteilungen und Schlussfolgerungender Internen Revision beileitenden Führungskräften, der Geschäftsleitung,dem Überwachungsorganund anderen Interessengruppenbestehen.2010.C1 - Der Leiter der Internen Revisionbeurteilt bei der Annahme einesvorgeschlagenen Beratungsauftragsdessen Chance, zur Verbesserung desRisikomanagements, zur Wertschöpfungund zur Verbesserung der Geschäftsprozessebeizutragen. Die angenommenenAufträge müssen in diePlanung einbezogen werden.2020 Communication and Approval Berichterstattung und GenehmigungThe chief audit executive must communicatethe internal audit activity’s plansand resource requirements, includingsignificant interim changes, to seniormanagement and the board for reviewand approval. The chief audit executivemust also communicate the impact ofresource limitations.Der Leiter der Internen Revision mussden leitenden Führungskräften, der Geschäftsleitungund dem Überwachungsorgandie Planung der Internen Revision,den Bedarf an Personal und Sachmittelnsowie zwischenzeitliche wesentlicheÄnderungen zur Kenntnisnahmeund Genehmigung berichten. Außerdemmuss der Leiter der Internen Revisiondie Folgen etwaiger Ressourcenbe-36 1/2011

Standards - Ausführungsstandardsschränkungen erläutern.Resource Management Ressourcen-Management 2030The chief audit executive must ensurethat internal audit resources are appropriate,sufficient, and effectively deployedto achieve the approved plan.Der Leiter der Internen Revision musssicherstellen, dass die Ressourcen derInternen Revision angemessen und ausreichendsind und wirksam eingesetztwerden, um die genehmigte Planungerfüllen zu können.InterpretationAppropriate refers to the mix of knowledge,skills, and other competenciesneeded to perform the plan. Sufficientrefers to the quantity of resourcesneeded to accomplish the plan. Resourcesare effectively deployed when theyare used in a way that optimizes theachievement of the approved plan.ErläuterungAngemessen bezieht sich auf dieGesamtheit von Wissen, Fähigkeitenund sonstigen Qualifikationen, die zurErfüllung des Plans erforderlich sind.Ausreichend bezieht sich auf denUmfang der Ressourcen, die zurErfüllung des Plans erforderlich sind.Ressourcen sind wirksam zugeordnet,wenn sie so verwendet werden, dassder genehmigte Plan bestmöglich umgesetztwird.Policies and Procedures Richtlinien und Verfahren 2040The chief audit executive must establishpolicies and procedures to guide theinternal audit activity.Der Leiter der Internen Revision mussRichtlinien und Verfahren für die Führungder Internen Revision festlegen.InterpretationThe form and content of policies andprocedures are dependent upon the sizeand structure of the internal audit activityand the complexity of its work.ErläuterungForm und Inhalt von Richtlinien und Verfahrensind von der Größe und Struktureiner Internen Revision sowie von derKomplexität ihrer Aufgaben abhängig.Coordination Koordination 2050The chief audit executive should shareinformation and coordinate activitieswith other internal and externalproviders of assurance and consultingservices to ensure proper coverage andminimize duplication of efforts.Der Leiter der Internen Revision gibtInformationen an andere interne undexterne Stellen weiter, die PrüfungsundBeratungsleistungen erbringen undkoordiniert die Aktivitäten mit diesen,damit eine angemessene Abdeckungerzielt und Doppelarbeiten vermiedenwerden.Reporting to Senior Management andthe BoardThe chief audit executive must reportperiodically to senior management andthe board on the internal audit activity’sBerichterstattung anGeschäftsleitung undÜberwachungsorganDer Leiter der Internen Revision mussregelmäßig an die leitenden Führungskräfte,die Geschäftsleitung und das20601/2011 37

Grundlagen für die berufliche Praxis der Internen Revision 2011purpose, authority, responsibility, andperformance relative to its plan.Reporting must also include significantrisk exposures and control issues, includingfraud risks, governance issues, andother matters needed or requested bysenior management and the board.InterpretationThe frequency and content of reportingare determined in discussion with seniormanagement and the board and dependon the importance of the information tobe communicated and the urgency ofthe related actions to be taken by seniormanagement or the board.2070 External Service Provider andOrganizational Responsibility forInternal AuditingWhen an external service providerserves as the internal audit activity, theprovider must make the organizationaware that the organization has theresponsibility for maintaining aneffective internal audit activity.InterpretationThis responsibility is demonstratedthrough the quality assurance andimprovement program which assessesconformance with the Definition ofInternal Auditing, the Code of Ethics,and the Standards.Überwachungsorgan über Aufgabenstellung,Befugnisse und Verantwortungder Internen Revision sowie über dieAufgabenerfüllung im Vergleich zurPlanung berichten. Die Berichterstattungmuss auch wesentliche Risikopotenziale,Fragen der Kontrolle einschließlichdes Risikos doloser Handlungen,der Führung und Überwachung sowieandere Themen berücksichtigen, dievon den leitenden Führungskräften, derGeschäftsleitung und dem Überwachungsorganbenötigt oder angefordertwerden.ErläuterungDie Häufigkeit und der Inhalt der Berichterstattungwerden in Absprache mitden leitenden Führungskräften, der Geschäftsleitungund dem Überwachungsorganfestgelegt. Sie hängen von derBedeutung der zu berichtenden Sachverhaltesowie von der Dringlichkeit dererforderlichen Maßnahmen, die vonleitenden Führungskräften, Geschäftsleitungund Überwachungsorgan zuergreifen sind, ab.Dienstleister und Verantwortung fürdie ausgelagerte Interne RevisionSofern ein externer Dienstleister dieAufgaben der Internen Revision übernommenhat, muss dieser die Organisationauf ihre Verwantwortung zumAufrechterhalten einer funktionsfähigenInternen Revision hinweisen.ErläuterungDiese Verantwortung wird durch einQualitätssicherungs- und -verbesserungsprogrammnachgewiesen, dasdie Übereinstimmung mit der Definitionder Internen Revision, dem Ethikkodexund den Standards nachweist.2100 Nature of Work Art der ArbeitenThe internal audit activity must evaluate Die Interne Revision muss durch die38 1/2011

Standards - Ausführungsstandardsand contribute to the improvement ofgovernance, risk management, and controlprocesses using a systematic anddisciplined approach.Anwendung eines systematischen undzielgerichteten Vorgehens Führungs-,Überwachungs-, RisikomanagementundKontrollprozesse bewerten und zuderen Verbesserung beitragen.Governance Führung und Überwachung 2110The internal audit activity must assessand make appropriate recommendationsfor improving the governance process inits accomplishment of the followingobjectives:• Promoting appropriate ethics andvalues within the organization;• Ensuring effective organizational performancemanagement and accounttability;• Communicating risk and control informationto appropriate areas of theorganization; and• Coordinating the activities of and communicatinginformation among theboard, external and internal auditors,and management.2110.A1 - The internal audit activitymust evaluate the design, implementtation,and effectiveness of the organization’sethics-related objectives, programs,and activities.2110.A2 - The internal audit activitymust assess whether the informationtechnology governance of the organizationsupports the organization’sstrategies and objectives.Die Interne Revision muss FührungsundÜberwachungsprozesse bewertenund Verbesserungsvorschläge machen,damit durch diese Prozesse folgendeZiele erreicht werden können:• Fördern ethisch angemessener Normenund Werte in der Organisation,• Sicherstellen der Steuerung von Leistungsmessungund Leistungssteuerungsowie klarer Verantwortlichkeitenin der Organisation,• Kommunikation von Risiko- und Kontrollinformationenan die in der Organisationzuständigen Funktionen und• Koordination der Aktivitäten undKommunikation von Geschäftsleitung,Überwachungsorgan, internen undexternen Prüfern sowie operativemManagement.2110.A1 - Die Interne Revision mussGestaltung, Umsetzung und Wirksamkeitder ethikbezogenen Ziele, Programmeund Aktivitäten der Organisationbeurteilen.2110.A2 - Die Interne Revision mussbeurteilen, ob die IT-Führung und -Überwachungder Organisation die Strategienund Ziele der Organisation fördert.Risk Management Risikomanagement 2120The internal audit activity must evaluatethe effectiveness and contribute to theimprovement of risk management processes.Die Interne Revision muss die Funktionsfähigkeitder Risikomanagementprozessebeurteilen und zu deren Verbesserungbeitragen.InterpretationDetermining whether risk managementprocesses are effective is a judgmentresulting from the internal auditor’sassessment that:ErläuterungDie Feststellung, ob Risikomanagementprozessefunktionsfähig sind, wirdanhand der Beurteilung des InternenRevisors getroffen, dass:1/2011 39

Grundlagen für die berufliche Praxis der Internen Revision 2011• Organizational objectives support andalign with the organization’s mission;• Significant risks are identified andassessed;• Appropriate risk responses are selectedthat align risks with the organization’srisk appetite; and• Relevant risk information is capturedand timely communicated in a timelymanner across the organization,enabling staff, management, and theboard to carry out their responsebilities.The internal audit activity may gatherthe information to support thisassessment during multiple engagements.The results of these engagements,when viewed together, providean understanding of the organization’srisk management processes and theireffectiveness.Risk management processes are monitoredthrough ongoing managementactivities, separate evaluations, or both.2120.A1 - The internal audit activitymust evaluate risk exposures relating tothe organization’s governance, operations,and information systems regardingthe:• Reliability and integrity of financialand operational information.• Effectiveness and efficiency of operations,and programs.• die Ziele der Organisation mit derenMission im Einklang stehen und dieseunterstützen,• wesentliche Risiken erkannt und bewertetsind,• angemessene Risikomaßnahmen ergriffenworden sind, die mit der Risikoakzeptanzder Organisation imEinklang stehen und• wesentliche risikobezogene Informationenerfasst und rechtzeitig in derOrganisation kommuniziert werden,so dass es Mitarbeitern, Führungskräften,Geschäftsleitung und Überwachungsorganmöglich ist, ihrenVerantwortlichkeiten gerecht zuwerden.Die Interne Revision kann die Informationenzur Begründung dieser Beurteilungim Rahmen mehrerer Aufträgeerlangen. Die gesamthaft betrachtetenErgebnisse dieser Aufträge begründendas Verständis der Risikomanagementprozesseder Organisation sowievon deren Funktionsfähigkeit.Risikomanagementprozesse werdendurch laufende Aktivitäten von Führungskräften,durch gezielte Beurteilungenoder durch beides überwacht.2120.A1 - Die Interne Revision muss dieRisikopotenziale in Führung und Überwachung,in Geschäftsprozessen und inden Informationssystemen der Organisationbewerten in Bezug auf:• Zuverlässigkeit und Integrität vonDaten des Rechnungswesens undvon operativen Informationen,• Effektivität und Effizienz von Geschäftsprozessenund Programmen,• Safeguarding of assets; and • Sicherung des Betriebsvermögensund• Compliance with laws, regulations,policies, procedures, and contracts.2120.A2 - The internal audit activitymust evaluate the potential for the• Einhaltung von Gesetzen, Verordnungen,Richtlinien, Verfahren undVerträgen.2120.A2 - Die Interne Revision muss dieMöglichkeit des Auftretens doloser40 1/2011

Standards - Ausführungsstandardsoccurrence of fraud and how theorganization manages fraud risk.2120.C1 - During consulting engagements,internal auditors must addressrisk consistent with the engagement’sobjectives and be alert to the existenceof other significant risks.2120.C2 - Internal auditors must incurporateknowledge of risks gained fromconsulting engagements into their evaluationof the organization’s risk managementprocesses.2120.C3 - When assisting managementin establishing or improving risk managementprocesses, internal auditorsmust refrain from assuming any managementresponsibility by actually managingrisks.Handlungen und die Vorgehensweiseder Organisation bei der Steuerung desRisikos doloser Handlungen beurteilen.2120.C1 - Im Verlauf von Beratungsaufträgenmüssen Interne Revisoren Risikenvor dem Hintergrund der Ziele desBeratungsauftrags berücksichtigen undaufmerksam bezüglich anderer wesentlicherRisiken sein.2120.C2 - Interne Revisoren müssenErkenntnisse über im Rahmen vonBeratungsaufträgen entdeckte Risikenin ihre Beurteilung der Risikomanagementprozesseder Organisation einfließenlassen.2120.C3 - Im Rahmen der Unterstützungder Führungskräfte beim Aufbauoder der Verbesserung von Risikomanagementprozessenmüssen Interne Revisorenvon der Übernahme jeglicherFührungsverantwortung durch operativeRisikomanagementaktivitäten Abstandnehmen.Control Kontrollen 2130The internal audit activity must assistthe organization in maintaining effectivecontrols by evaluating their effectivenessand efficiency and by promotingcontinuous improvement.2130.A1 - The internal audit activitymust evaluate the adequacy and effectivenessof controls in responding torisks within the organization’s governance,operations, and information systemsregarding the:• Reliability and integrity of financialand operational information;• Effectiveness and efficiency of operationsand programs;Die Interne Revision muss die Organisationbei der Aufrechterhaltung wirksamerKontrollen unterstützen, indemsie deren Effektivität und Effizienz bewertetsowie kontinuierliche Verbesserungenfördert.2130.A1 - Die Interne Revision muss dieAngemessenheit und Wirksamkeit derKontrollen, die Risiken von Führung undÜberwachung, der Geschäftsprozesseund Informationssysteme der Organisationbeurteilen in Bezug auf:• Zuverlässigkeit und Integrität von Datendes Rechungswesens und vonoperativen Informationen,• Effektivität und Effizienz von Geschäftsprozessenund Programmen,• Safeguarding of assets; and • Sicherung des Betriebsvermögensund• Compliance with laws, regulations,policies, procedures, and contracts.• Einhaltung von Gesetzen, Verordnungen,Richtlinien, Verfahren undVerträgen.1/2011 41

Grundlagen für die berufliche Praxis der Internen Revision 20112130.C1 - Internal auditors must incorporateknowledge of controls gainedfrom consulting engagements into evaluationof the organization’s controlprocesses.2130.C1 - Interne Revisoren müssen dieim Rahmen von Beratungsaufträgen erlangtenKenntnisse über Kontrollen indie Beurteilung der Kontrollprozesse derOrganisation einfließen lassen.2200 Engagement Planning Planung einzelner AufträgeInternal auditors must develop anddocument a plan for each engagement,including the engagement’s objectives,scope, timing, and resource allocations.Interne Revisoren müssen für jeden Auftrageine Planung entwickeln und dokumentieren,die Ziele, Umfang, Zeitplanund zugeordnete Ressourcen umfasst.2201 Planning Considerations PlanungsüberlegungenIn planning the engagement, internalauditors must consider:• The objectives of the activity being reviewedand the means by which theactivity controls its performance;• The significant risks to the activity, itsobjectives, resources, and operationsand the means by which the potentialimpact of risk is kept to an acceptablelevel;• The adequacy and effectiveness ofthe activity’s risk management andcontrol processes compared to a relevantcontrol framework or model; and• The opportunities for making significantimprovements to the activity’srisk management and control processes.Bei der Planung eines Auftrags müssenInterne Revisoren folgende Faktoren berücksichtigen:• Die Ziele des zu prüfenden Tätigkeitsbereichssowie die Mittel, mitdenen dieser seine Leistung überprüft,• wesentliche Risiken für den Tätigkeitsbereich,dessen Ziele, Ressourcen,Geschäftsprozesse und dieMittel, mit denen mögliche Folgen derRisiken in einem vertretbaren Rahmengehalten werden,• die Angemessenheit und Effektivitätder Risikomanagement- und Kontrollprozessedes betreffenden Tätigkeitsbereichsim Verhältnis zu einem relevantenRisikorahmenwerk oder Risikomodellund• die Möglichkeiten, wesentliche Verbesserungenan den Risikomanagement-und Kontrollprozesse des betreffendenTätigkeitsbereichs vorzunehmen.2201.A1 - When planning an engagementfor parties outside the organization,internal auditors must establish awritten understanding with them aboutobjectives, scope, respective responsibilities,and other expectations, includingrestrictions on distribution of the resultsof the engagement and access to engagementrecords.2201.A1 - Wenn Interne Revisoren einenAuftrag für organisationsexterneDritte planen, muss mit dem Dritten eineschriftliche Vereinbarung betreffs Ziel,Umfang, der Verantwortlichkeiten sowieanderer Erwartungen einschließlich Beschränkungder Ergebnisverbreitungund Zugang zu den Auftragsakten getroffenwerden.42 1/2011

Standards - Ausführungsstandards2201.C1 - Internal auditors must establishan understanding with consultingengagement clients about objectives,scope, respective responsibilities, andother client expectations. For significantengagements, this understanding mustbe documented.2201.C1 - Interne Revisoren müssen mitden Kunden, die Beratungsaufträgeerteilen, Ziele, Umfang, jeweilige Verantwortungund andere Erwartungenvereinbaren. Bei größeren Aufträgenmuss diese Vereinbarung schriftlichfestgehalten werden.Engagement Objectives Auftragsziele 2210Objectives must be established for eachengagement.2210.A1 - Internal auditors must conducta preliminary assessment of therisks relevant to the activity underreview. Engagement objectives mustreflect the results of this assessment.2210.A2 - Internal auditors must considerthe probability of significant errors,fraud, noncompliance, and other exposureswhen developing the engagementobjectives.2210.A3 - Adequate criteria are neededto evaluate controls. Internal auditorsmust ascertain the extent to whichmanagement has established adequatecriteria to determine whether objectivesand goals have been accomplished. Ifadequate, internal auditors must usesuch criteria in their evaluation. If inadequate,internal auditors must work withmanagement to develop appropriateevaluation criteria.2210.C1 - Consulting engagement objectivesmust address governance, riskmanagement, and control processes tothe extent agreed upon with the client.2210.C2 - Consulting engagement objectivesmust be consistent with theorganization’s values, strategies, andobjectives.Für jeden Auftrag müssen Ziele festgelegtwerden.2210.A1 - Vor der Auftragsdurchführungmüssen Interne Revisoren eine Einschätzungder Risiken des zu prüfendenTätigkeitsbereiches vornehmen. DieAuftragsziele müssen diese Einschätzungwiderspiegeln.2210.A2 - Interne Revisoren müssen beider Festlegung der Prüfungsziele dieWahrscheinlichkeit, dass wesentlicheFehler, dolose Handlungen, Regelverstößesowie sonstige Risikopotenzialevorliegen und Vorschriften nicht eingehaltenwerden, berücksichtigen.2210.A3 - Zur Bewertung von Kontrollensind angemessene Kriterien erforderlich.Interne Revisoren müssen ermitteln,inwieweit das Management angemesseneKriterien zur Beurteilung der Zielerreichungfestgelegt hat. Soweit dieKriterien angemessen sind, müssen sievon Internen Revisoren in der Bewertungverwendet werden. Soweit dieKriterien nicht angemessen sind, müssendie Internen Revisoren gemeinsammit dem Management geeignete Kriterienentwickeln.2210.C1 - Die Ziele eines Beratungsauftragsmüssen die Führungs- undÜberwachungs-, RisikomanagementsowieKontrollprozesse, in dem Ausmaßansprechen, wie sie mit dem Kundenvereinbart wurden.2210.C2 - Die Ziele eines Beratungsauftragsmüssen mit den Werten,Strategien und Zielen der Organisationübereinstimmen.1/2011 43

Grundlagen für die berufliche Praxis der Internen Revision 20112220 Engagement Scope Umfang des AuftragsThe established scope must be sufficientto satisfy the objectives of theengagement.2220.A1 - The scope of the engagementmust include consideration of relevantsystems, records, personnel, and physicalproperties, including those under thecontrol of third parties.2220.A2 - If significant consulting opportunitiesarise during an assurance engagement,a specific written understandingas to the objectives, scope, respectiveresponsibilities, and other expectationsshould be reached and the results of theconsulting engagement communicatedin accordance with consulting standards.2220.C1 - In performing consulting engagements,internal auditors mustensure that the scope of the engagementis sufficient to address the agreeduponobjectives. If internal auditorsdevelop reservations about the scopeduring the engagement, these reservationsmust be discussed with the clientto determine whether to continue withthe engagement.2220.C2 - During consulting engagements,internal auditors must addresscontrols consistent with the engagement’sobjectives and be alert significantcontrol issues.Der festgelegte Umfang muss ausreichendsein, um das Erreichen der Auftragszielezu ermöglichen.2220.A1 - Bei der Festlegung des Prüfungsumfangsmüssen relevante Systeme,Aufzeichnungen, Personalausstattungund Vermögensgegenständeeinbezogen werden, einschließlichjener, die sich in der Kontrolle Dritterbefinden.2220.A2 - Sollte im Verlauf eines Prüfungsauftragesein wesentlicher Beratungsbedarfauftreten, sollte eine gezielteschriftliche Vereinbarung getroffenwerden, die Ziele, Umfang, Verantwortlichkeitenund weitere Erwartungenumfasst; die daraus resultierenden Ergebnissewerden unter Zugrundelegender Beratungsstandards kommuniziert.2220.C1 - Bei der Durchführung von Beratungsaufträgenmüssen Interne Revisorensicherstellen, dass der Umfangdes Beratungsauftrags ausreicht, um dievereinbarten Ziele zu erreichen. Wennbei Internen Revisoren im Verlauf derArbeiten Zweifel an der Angemessenheitdes Umfangs auftreten, müssendiese mit dem Kunden besprochenwerden, um über die Fortführung desBeratungsauftrags zu entscheiden.2220.C2 - Im Verlauf von Beratungsaufträgenmüssen Interne Revisoren Kontrollenim Einklang mit den Zielen desBeratungsauftrags berücksichtigen undauf das Vorhandensein anderer wesentlicherKontrollschwächen achten.2230 Engagement Resource Allocation Ressourcenzuteilung für den AuftragInternal auditors must determine appropriateand sufficient resources toachieve engagement objectives basedon an evaluation of the nature andcomplexity of each engagement, timeconstraints, and available resources.Interne Revisoren müssen eine angemesseneund zum Erreichen der Auftragszieleausreichende Ressourcenausstattungfestlegen. Dabei sind Artund Komplexität des Auftrags, Zeitvorgabenund die zur Verfügung stehendenRessourcen zu berücksichtigen.44 1/2011

Standards - AusführungsstandardsEngagement Work Program Arbeitsprogramm 2240Internal auditors must develop anddocument work programs that achievethe engagement objectives.2240.A1 - Work programs must includethe procedures for identifying, analyzing,evaluating, and documenting informationduring the engagement. The workprogram must be approved prior to itsimplementation, and any adjustmentsapproved promptly.2240.C1 - Work programs for consultingengagements may vary in form andcontent depending upon the nature ofthe engagement.Interne Revisoren müssen Arbeitsprogrammeentwickeln und dokumentieren,die dem Erreichen der Auftragszieledienen.2240.A1 - Die Arbeitsprogrammen müssendie Verfahrensschritte zur Identifikation,Analyse, Bewertung und Aufzeichnungvon Informationen währendder Prüfung enthalten. Das Arbeitsprogrammmuss vor Beginn seiner Umsetzunggenehmigt werden; alle späterenAnpassungen sind umgehend zurGenehmigung vorzulegen.2240.C1 - Form und Inhalt der Arbeitsprogrammefür Beratungsaufträge könnenin Abhängigkeit von der Art desAuftrags variieren.Performing the Engagement Durchführung des Auftrags 2300Internal auditors must identify, analyze,evaluate, and document sufficient informationto achieve the engagement’sobjectives.Interne Revisoren müssen Informationenidentifizieren, analysieren, bewertenund dokumentieren, die ausreichendzum Erreichen der Auftragsziele sind.Identifying Information Identifikation von Informationen 2310Internal auditors must identify sufficient,reliable, relevant, and useful informationto achieve the engagement’s objectives.Interne Revisoren müssen zum Erreichender Auftragsziele ausreichende,zuverlässige, relevante und konstruktiveInformationen identifizieren.InterpretationSufficient information is factual, adequate,and convincing so that aprudent, informed person would reachthe same conclusions as the auditor.Reliable information is the best attainableinformation through the use ofappropriate engagement techniques.Relevant information supports engagementobservations and recommendationsand is consistent with the objecttivesfor the engagement. Useful informationhelps the organization meet itsgoals.ErläuterungAusreichende Informationen sind sachlich,angemessen und überzeugend, sodass eine umsichtige und sachverständigePerson die gleichen Schlussfolgerungenwie der Prüfer ziehenwürde. Zuverlässige Information ist diebestmögliche Information, die sich mitgeeigneten Prüfungstechniken erlangenlässt. Relevante Informationen stützenPrüfungsfeststellungen und -empfehlungenund sind mit den Prüfungszielenkonsistent. Konstruktive Informationenhelfen der Organisation bei der Realisierungihrer Ziele.1/2011 45

Grundlagen für die berufliche Praxis der Internen Revision 20112320 Analysis and Evaluation Analyse und BewertungInternal auditors must base conclusionsand engagement results on appropriateanalyses and evaluations.Interne Revisoren müssen ihre Schlussfolgerungenund Revisionsergebnisseauf geeignete Analysen und Bewertungenstützen.2330 Documenting Information Aufzeichnung von InformationenInternal auditors must document relevantinformation to support the conclusionsand engagement results.2330.A1 - The chief audit executivemust control access to engagement records.The chief audit executive mustobtain the approval of senior managementand/or legal counsel prior toreleasing such records to externalparties, as appropriate.2330.A2 - The chief audit executivemust develop retention requirements forengagement records, regardless of themedium in which each record is stored.These retention requirements must beconsistent with the organization’s guidelinesand any pertinent regulatory orother requirements.2330.C1 - The chief audit executivemust develop policies governing thecustody and retention of consulting engagementrecords, as well as theirrelease to internal and external parties.These policies must be consistent withthe organization’s guidelines and anypertinent regulatory or other requirements.Interne Revisoren müssen die zur Begründungder Schlussfolgerungen undRevisionsergebnisse relevanten Informationenaufzeichnen.2330.A1 - Der Leiter der Internen Revisionmuss den Zugang zu den Prüfungsunterlagenregeln. Vor der Freigabedieser Unterlagen an externe Stellenmuss der Leiter der Internen Revisiondie Genehmigung der Geschäftsleitung,ggf. auch die Stellungnahmeeines Rechtsberaters, einholen.2330.A2 - Der Leiter der Internen Revisionmuss für die Prüfungsunterlagen,ungeachtet des verwendeten Mediums,Aufbewahrungsfristen festlegen. DieseAufbewahrungsfristen müssen denRichtlinien der Organisation und alleneinschlägigen behördlichen oder sonstigenAnforderungen genügen.2330.C1 - Der Leiter der Internen Revisionmuss Richtlinien für die Aufbewahrungund Aufbewahrungsfristen derUnterlagen von Beratungsaufträgenfestlegen, wie auch für die Offenlegungdieser Unterlagen an interne und externeStellen. Diese Vorgaben müssenden Richtlinien der Organisation undallen einschlägigen behördlichen odersonstigen Anforderungen genügen.2340 Engagement Supervision Überwachung derAuftragsdurchführungEngagements must be properly supervisedto ensure objectives are achieved,quality is assured, and staff is developed.Die Durchführung der Aufträge ist ingeeigneter Weise zu überwachen, umsicherzustellen, dass die Auftrags- undQualitätsziele erreicht werden sowie dieWeiterentwicklung des Personals gefördertwird.46 1/2011

Standards - AusführungsstandardsInterpretationThe extent of supervision required willdepend on the proficiency and experienceof internal auditors and the complexityof the engagement. The chiefaudit executive has overall responsibilityfor supervising the engagement,whether performed by or for the internalaudit activity, but may designate appropriatelyexperienced members of theinternal audit activity to perform thereview. Appropriate evidence of supervisionis documented and retained.ErläuterungDas Maß der erforderlichen Überwachunghängt von der Fachkompetenzund Erfahrung der Internen Revisorensowie der Komplexität des Auftrags ab.Der Revisionsleiter hat, egal ob durchoder für die Interne Revision durchgeführt,die Gesamtverantwortung fürdie Überwachung eines Auftrags. Erkann aber hinreichend erfahrene Revisionsmitarbeitermit der Überwachungbeauftragen. Angemessene Nachweiseder Überwachung sind zu dokumentierenund aufzubewahren.Communicating Results Berichterstattung 2400Internal auditors must communicate theresults of engagements.Interne Revisoren müssen über dieErgebnisse von Prüfungs- bzw. Beratungsaufträgenberichten.Criteria for Communicating Berichterstattungskriterien 2410Communications must include the engagement’sobjectives and scope as wellas applicable conclusions, recommendations,and action plans.2410.A1 - Final communication of engagementresults must, where appropriate,contain the internal auditors’ opinionand/or conclusions. When issued, anopinion or conclusion must take accountof the expectations of senior management,the board, and other stakeholdersand must be supported by sufficient,reliable, relevant, and useful information.Die Berichterstattung muss Ziele undUmfang sowie diesbezügliche Schlussfolgerungen,Empfehlungen und Aktionspläneenthalten.2410.A1 - Der Schlussbericht eines Auftragesmuss, soweit angebracht, dieBeurteilung und/oder Schlussfolgerungdes Internen Revisors enthalten. BeiVerbreitung von Beurteilungen oderSchlussfolgerungen müssen diese dieErwartungen der leitenden Führungskräfte,der Geschäftsleitung und desÜberwachungsorgans sowie von anderenInteressengruppen berücksichtigenund durch ausreichende, zuverlässige,relevante und konstruktive Informationenbelegt sein.InterpretationOpinions at the engagement level maybe ratings, conclusions, or otherdescriptions of the results. Such anengagement may be in relation tocontrols around a specific process, risk,or business unit. The formulation ofsuch opinions requires consideration ofErläuterungAuftragsbezogene Beurteilungen könnenEinstufungen, Schlussfolgerungenoder andere Beschreibungen der Ergebnissesein. Ein Auftrag kann sich aufKontrollen eines spezifischen Geschäftsprozesses,ein Risiko oder eineOrganisationseinheit beziehen. Das Ab-1/2011 47

Grundlagen für die berufliche Praxis der Internen Revision 2011the engagement results and theirsignificance.2410.A2 - Internal auditors are encouragedto acknowledge satisfactory performancein engagement communications.2410.A3 - When releasing engagementresults to parties outside the organization,the communication must includelimitations on distribution and use of theresults.2410.C1 - Communication of the progressand results of consulting engagementswill vary in form and contentdepending upon the nature of the engagementand the needs of the client.fassen solcher Beurteilungen erfordertdie Berücksichtigung der Auftragsergebnisseund ihrer Bedeutung.2410.A2 - Internen Revisoren wird empfohlen,zufrieden stellende Leistungenim Rahmen der Berichterstattung anzuerkennen.2410.A3 - Beim Offenlegen von Auftragsergebnissenan organisationsexterneStellen muss auf Verbreitungs- undNutzungsbeschränkungen hingewiesenwerden.2410.C1 - Form und Inhalt der Berichterstattungüber den Fortschritt und dieErgebnisse von Beratungsaufträgenkönnen, abhängig von der Art desAuftrags und den Bedürfnissen desKunden, variieren.2420 Quality of Communications Qualität der BerichterstattungCommunications must be accurate, objective,clear, concise, constructive,complete, and timely.Revisionsberichte müssen richtig, objektiv,klar, prägnant, konstruktiv und vollständigsein und zeitnah erstellt werden.InterpretationAccurate communications are free fromerrors and distortions and are faithful tothe underlying facts. Objective communicationsare fair, impartial, and unbiasedand are the result of a fair-mindedand balanced assessment of all relevantfacts and circumstances. Clear communicationsare easily understood and logical,avoiding unnecessary technicallanguage and providing all significantand relevant information. Concise communicationsare to the point and avoidunnecessary elaboration, superfluousdetail, redundancy, and wordiness. Constructivecommunications are helpful tothe engagement client and the organizationand lead to improvements whereneeded. Complete communications lacknothing that is essential to the targetaudience and include all significant andrelevant information and observations tosupport recommendations and conclusions.Timely communications are opportuneand expedient, depending onErläuterungRichtige Berichte sind frei von Fehlernund Verzerrungen und entsprechen denzu Grunde liegenden Tatsachen. ObjektiveBerichte sind sachlich, unparteiisch,unvoreingenommen und dasErgebnis einer sachlichen und ausgewogenenBeurteilung aller relevantenTatsachen und Umstände. Klare Berichtesind leicht verständlich und logisch;sie vermeiden unnötige Fachausdrückeund legen alle wesentlichen und relevantenInformationen dar. PrägnanteBerichte kommen direkt zur Sache undvermeiden unnötige Ausführungen,überflüssige Einzelheiten, Doppelaussagenund Langatmigkeit. KonstruktiveBerichte unterstützen den Auftraggebersowie die Organisation und führen zuden erforderlichen Verbesserungen.Vollständige Berichte lassen keinerleifür die Berichtsempfänger wichtige Informationenaus und enthalten alle wesentlichenund relevanten Informationen undFeststellungen zur Erläuterung der Em-48 1/2011

Standards - Ausführungsstandardsthe significance of the issue, allowingmanagement to take appropriate correctiveaction.pfehlungen und Schlussfolgerungen.Zeitnahe Berichte sind abhängig von derProblemstellung zweckdienlich undrechtzeitig, so dass Führungskräfte angemesseMaßnahmen ergreifen können.Errors and Omissions Fehler und Auslassungen 2421If a final communication contains asignificant error or omission, the chiefaudit executive must communicatecorrected information to all parties whoreceived the original communication.Enthält ein Schlussbericht wesentlicheFehler oder Auslassungen, muss derLeiter der Internen Revision allen Parteien,die den ursprünglichen Bericht erhaltenhaben, die berichtigten Informationenübermitteln.Use of “Conducted in Conformancewith the International Standards forthe Professional Practice of InternalAuditing”Internal auditors may report that theirengagements are “conducted in conformancewith the International Standardsfor the Professional Practice of InternalAuditing” only if the results of the qualityassurance and improvement programsupport the statement.Engagement Disclosure of NoncomplianceWhen noncompliance with the Code ofEthics or the Standards impacts aspecific engagement, communication ofthe results must disclose the:• Principle or rule of conduct of theCode of Ethics or Standard(s) withwhich full compliance was notachieved;• Reason(s) for nonconformance; and• Impact of noncoformance on theengagement and the communicatedengagement results.Gebrauch der Formulierung „in Übereinstimmungmit den InternationalenStandards für die berufliche Praxisder Internen Revision durchgeführt“Interne Revisoren können darauf hinweisen,dass ihre Aufträge „in Übereinstimmungmit den Internationalen Standardsfür die berufliche Praxis der InternenRevision durchgeführt“ wurden,wenn die Beurteilung ihres Qualitätssicherungs-und Verbesserungsprogrammsdiese Aussage zulässt.Offenlegung der Nichteinhaltung derStandards im Rahmen des AuftragsFalls sich ein Abweichen vom Ethikkodexoder von den Standards aufeinen bestimmten Auftrag auswirkt,muss im Revisionsbericht Folgendesoffen gelegt werden:• Prinzipien oder Regelungen desEthikkodex oder Standard(s), derbzw. die nicht vollständig eingehaltenwurde(n),• Grund bzw. Gründe für das Abweichenund• Auswirkung des Abweichens auf denAuftrag und die berichteten Auftragsergebnisse.24302431Disseminating Results Verbreitung der Ergebnisse 2440The chief audit executive must communicateresults to the appropriate parties.Der Leiter der Internen Revision mussalle zweckmäßigen Parteien über dieErgebnisse informieren.1/2011 49

Grundlagen für die berufliche Praxis der Internen Revision 2011InterpretationThe chief audit executive or designeereviews and approves the final engagementcommunication before issuanceand decides to whom and how it will bedisseminated.2440.A1 - The chief audit executive isresponsible for communicating the finalresults to parties who can ensure thatthe results are given due consideration.2440.A2 - If not otherwise mandated bylegal, statutory, or regulatory requirements,prior to releasing results to partiesoutside the organization the chiefaudit executive must:• Assess the potential risk to the organization;• Consult with senior managementand/or legal counsel as appropriate;and• Control dissemination by restrictingthe use of the results.2440.C1 - The chief audit executive isresponsible for communicating the finalresults of consulting engagements toclients.2440.C2 - During consulting engagements,governance, risk management,and control issues may be identified.Whenever these issues are significant tothe organization, they must be communicatedto senior management and theboard.ErläuterungDer Leiter der Internen Revision oderein von ihm bestimmter Vertreter siehtdie Schlussberichterstattung durch, genehmigtsie vor der Herausgabe undentscheidet an wen und wie sie verbreitetwerden.2440.A1 - Der Leiter der Internen Revisionist dafür verantwortlich, dass dieEndergebnisse an diejenigen Beteiligtenkommuniziert werden, die sicherstellenkönnen, dass die Ergebnisse angemesseneBeachtung finden.2440.A2 - Soweit durch rechtliche, gesetzlicheoder behördliche Regelungennicht anders vorgesehen, muss derLeiter der Internen Revision vor Weitergabevon Ergebnissen an organisationsexterneStellen:• das Risiko für die Organisation bewerten,• sich mit der Geschäftsleitungund/oder wenn erforderlich mit einemRechtsbeistand abstimmen und• die Verbreitung durch Nutzungsbeschränkungeneinschränken.2440.C1 - Der Leiter der Internen Revisionist verantwortlich für die Berichterstattungüber Beratungsergebnisse andie Kunden.2440.C2 - Im Verlauf eines Beratungsauftragskönnen Schwachstellen imBereich Führung und Überwachung,Risikomanagement und Kontrolle festgestelltwerden. Falls diese für die Organisationvon Bedeutung sind, müssensie den leitenden Führungskräften, derGeschäftsleitung und dem Überwachungsorganberichtet werden.2450 Overall Opinions Zusammenfassende BeurteilungenWhen an overall opinion is issued, itmust take into account the expectationsof senior management, the board, andother stakeholders and must besupported by sufficient, reliable,Wenn eine zusammenfassende Beurteilungabgegeben wird, muss diese dieErwartungen der leitenden Führungskräfte,der Geschäftsleitung und desÜberwachungsorgans sowie von anderenInteressengruppen berücksich-50 1/2011

Standards - Ausführungsstandardsrelevant, and useful information.Interpretation• The scope, including the time periodto which the opinion pertains;• Scope limitations;• Consideration of all related projectsincluding the reliance on other assuranceproviders;• The risk or control framework or othercriteria used as a basis for the overallopinion; and• The overall opinion, judgment, orconclusion reached.The reasons for an unfavorable overallopinion must be stated.tigen und durch ausreichende, zuverlässige,relevante und konstruktive Informationenbelegt sein.Erläuterung• Den Umfang und Zeitraum auf densich die Beurteilung bezieht;• Beschränkungen des Prüfungsumfangs;• Berücksichtigung aller relevantenProjekte einschließlich des Vertrauensauf andere Bestätigungs- undPrüffunktionen.• Das Risiko- oder Kontrollmodell oderandere Kriterien, die für die gesamthafteBeurteilung zu Grunde gelegtwurden; sowie• Die zusammenfassende Beurteilung,Bewertung oder Schlussfolgerung.Negative Gesamtbeurteilungen müssenbegründet werden.Monitoring ProgressThe chief audit executive must establishand maintain a system to monitor thedisposition of results communicated tomanagement.2500.A1 - The chief audit executivemust establish a follow-up process tomonitor and ensure that managementactions have been effectively implementedor that senior management hasaccepted the risk of not taking action.2500.C1 - The internal audit activitymust monitor the disposition of results ofconsulting engagements to the extentagreed upon with the client.Überwachung des weiteren VorgehensDer Leiter der Internen Revision musszur Überwachung der Erledigung derFeststellungen in den dem Managementübergebenen Revisionsberichten einentsprechendes System entwickeln undpflegen.2500.A1 - Der Leiter der Internen Revisionmuss ein Follow-up-Verfahren einrichten,mit dem überwacht und sichergestelltwird, dass vereinbarte Maßnahmenwirksam umgesetzt werden oderdie Geschäftsleitung das Risiko auf sichgenommen hat, keine Maßnahmendurchzuführen.2500.C1 - Die Interne Revision muss dieUmsetzung der Beratungsergebnisse indem mit dem Kunden vereinbarten Umfangüberwachen.25001/2011 51

Grundlagen für die berufliche Praxis der Internen Revision 2011Resolution of Senior Management’sAcceptance of RisksWhen the chief audit executive believesthat senior management has accepted alevel of residual risk that may beunacceptable to the organization, thechief audit executive must discuss thematter with senior management. If thedecision regarding residual risk is notresolved, the chief audit executive mustreport the matter to the board forresolution.Entscheidung über die Risikoübernahmedurch die GeschäftsleitungIst der Leiter der Internen Revision derAuffassung, dass die Geschäftsleitungein Restrisiko in einer Größenordnungauf sich genommen hat, das für dieOrganisation nicht tragbar sein könnte,so muss der Leiter der Internen Revisiondiese Sachlage mit der Geschäftsleitungbesprechen. Kann dabei bezüglichdes Restrisikos keine Einigung gefundenwerden, muss der Leiter derInternen Revision die Angelegenheitdem Überwachungsorgan zur Entscheidungvorlegen.260052 1/2011

GlossarGlossaryGlossarAdd ValueThe internal audit activity adds value to theorganization (and its stakeholders) when itprovides objective and relevant assurance,and contributes to the effectiveness andefficiency of governance, risk management,and control processes.Adequate ControlPresent if management has planned andorganized (designed) in a manner thatprovides reasonable assurance that theorganization’s risks have been managedeffectively and that the organization’s goalsand objectives will be achieved efficientlyand economically.(Mehrwert schaffen)Die Interne Revision erbringt einenWertbeitrag für die Organisation (und ihreInteressengruppen) wenn sie objektive undzweckdienliche Sicherheit vermittelt sowiedarüber hinaus zur Effektivität und Effizienzder Führungs- und Überwachungs-, Risikomanagement-und Kontrollprozessebeiträgt.(Angemessene Kontrolle)Ist gegeben, wenn das Management durchgezielte Planung und Organisation hinreichendzuverlässig sicherstellt, dass dieRisiken der Organisation wirksam zusteuern sind und ihre Ziele effizient undwirtschaftlich erreicht werden.Arbeitsprogramm(siehe Engagement Work Program)Assurance ServicesAn objective examination of evidence for thepurpose of providing an independentassessment on governance, risk management,and control processes for the organization.Examples may include financial,performance, compliance, system security,and due diligence engagements.BoardA board is an organization’s governingbody, such as a board of directors, supervisoryboard, head of an agency orlegislative body, board of governors ortrustees of a nonprofit organization, or anyother designated body of the organization,including the audit committee to whom thechief audit executive may functionallyreport.CharterThe internal audit charter is a formaldocument that defines the internal audit(Prüfungsleistungen)Eine objektive Beurteilung von Prüfnachweisenmit dem Ziel einer unabhängigenBewertung der Unternehmensführung, desRisikomanagements und der Kontrollprozesseder Organisation. Beispiele umfassenPrüfungen des Rechungswesens,der Wirtschaftlichkeit und Zielerreichung,der Regeleinhaltung (Compliance), derSystemsicherheit und Transaktionsprüfungen(Due Diligence).(Überwachungsorgan)Überwachungsorgan ist das leitendeGremium einer Organisation, zum Beispielein Verwaltungsrat, Aufsichtsrat, die Leitungeiner Behörde oder einer gesetzgebendenKörperschaft, das Direktorium oder Kuratoriumeiner Non Profit-Organisation oderjedes andere definierte Organ, einschließlichdes Prüfungsausschusses (AuditCommittee), an das der Leiter der InternenRevision funktional berichtet.(Geschäftsordnung)Die Geschäftsordnung der Internen Revisionist ein förmliches Dokument, das1/2011 53

Grundlagen für die berufliche Praxis der Internen Revision 2011activity’s purpose, authority, and responsibility.The internal audit charter establishesthe internal audit activity’s positionwithin the organization; authorizes access torecords, personnel, and physical propertiesrelevant to the performance ofengagements; and defines the scope ofinternal audit activities.Chief Audit ExecutiveChief audit executive describes a person ina senior position responsible for effectivelymanaging the internal audit activity inaccordance with the internal audit charterand the Definition of Internal Auditing, theCode of Ethics, and the Standards. Thechief audit executive or others reporting tothe chief audit executive will haveappropriate professional certifications andqualifycations. The specific job title of thechief audit executive may vary acrossorganizations. The specific job title of thechief audit executive may vary acrossorganizations.Code of EthicsThe Code of Ethics of The Institute ofInternal Auditors (IIA) are Principles relevantto the profession and practice of internalauditing, and Rules of Conduct thatdescribe behavior expected of internalauditors. The Code of Ethics applies to bothparties and entities that provide internalaudit services. The purpose of the Code ofEthics is to promote an ethical culture in theglobal profession of internal auditing.ComplianceAdherence to policies, plans, procedures,laws, regulations, contracts, or otherrequirements.Conflict of InterestAny relationship that is, or appears to be,not in the best interest of the organization. Aconflict of interest would prejudice anindividual’s ability to perform his or herduties and responsebilities objectively.Aufgabenstellung, Befugnisse und Verantwortungder Internen Revision festlegt. DieGeschäftsordnung der Internen Revisionbestimmt die Stellung der Internen Revisioninnerhalb der Organisation, das Recht zumZugriff auf Aufzeichnungen, auf Belegschaftund auf Vermögensgegenstände, soweitdies für die Erfüllung von Prüfungs- undBeratungsaufträgen relevant ist und legtden Umfang der Tätigkeiten der InternenRevision fest.(Leiter der Internen Revision)Der Leiter der Internen Revision ist einePerson in leitender Funktion, die für diewirksame Führung der Internen Revision inÜbereinstimung mit der Geschäftsordnungder Internen Revision, der Definition derInternen Revision, dem Ethikkodex sowieden Standards verantwortlich ist. Der Leiterder Internen Revision oder Personen, diedem Leiter der Internen Revision unterstehenhaben angemessene fachbezogeneZertifizierungen und Qualifikationen. Dietatsächliche Stellenbezeichnung des Leitersder Internen Revision kann in denverschiedenen Organisationen abweichen.(Ethikkodex)Der Ethikkodex des Institute of InternalAuditors (IIA) enthält die Prinzipien für denBerufsstand und die Berufsausübung derInternen Revision sowie Regeln für das vonInternen Revisoren erwartete Verhalten. DerEthikkodex gilt sowohl für Personen alsauch für Organisationen, die InterneRevisionsleistungen erbringen. Zweck desEthikkodex ist es, eine ethische Kulturinnerhalb des weltweiten Berufsstandes derInternen Revision zu fördern.(Regeleinhaltung)Einhalten von Richtlinien, Planungen, Verfahrensanweisungen,Gesetzen, Verordnungen,Verträgen und anderen Vorgaben.(Interessenkonflikt)Jegliche Beziehung, die tatsächlich oderdem Anschein nach dem besten Interesseder Organisation entgegensteht. Ein Interessenkonfliktwürde die Fähigkeit einerPerson beeinträchtigen, ihren Aufgaben undPflichten objektiv nachzugehen.54 1/2011

GlossarConsulting ServicesAdvisory and related client service activities,the nature and scope of which are agreedwith the client, are intended to add valueand improve an organization’s governance,risk management, and control processeswithout the internal auditor assumingmanagement responsibility. Examplesinclude counsel, advice, facilitation, andtraining.ControlAny action taken by management, theboard, and other parties to manage risk andincrease the likelihood that establishedobjectives and goals will be achieved.Management plans, organizes, and directsthe performance of sufficient actions toprovide reasonable assurance thatobjectives and goals will be achieved.Control EnvironmentThe attitude and actions of the board andmanagement regarding the importance ofcontrol within the organization. The controlenvironment provides the discipline andstructure for the achievement of the primaryobjectives of the system of internal control.The control environment includes the followingelements:• Integrity and ethical values.• Management’s philosophy and operatingstyle.• Organizational structure.• Assignment of authority and responsibility.• Human resource policies and practices.• Competence of personnel.Control ProcessesThe policies, procedures, and activities thatare part of a control framework, designed toensure that risks are contained within therisk tolerances established by the riskmanagement process.(Beratungsleistungen)Beratungs- und ähnliche Kundendienstleistungen,deren Art und Umfang mit demKunden vereinbart sind und die derWertschöpfung sowie der Verbesserungvon Führung und Überwachung, Risikomanagementund Kontroll- und Steuerungsprozessender Organisation dienen sollen,ohne Übernahme von Ausführungsverantwortungdurch den Internen Revisor.Beispielhaft seien Beratung, Moderationund Schulung genannt.(Kontrolle)Jede Maßnahme der Geschäftsleitung, desÜberwachungsorgans oder anderer Stellen,die dazu dient, Risiken zu steuern und dieWahrscheinlichkeit zu erhöhen, dassgesetzte Ziele erreicht werden. Das Managementplant, organisiert und steuert dieDurchführung ausreichender Maßnahmen,durch die die Zielerreichung soweit wiemöglich gewährleistet wird.(Kontrollumfeld)Die Einstellung und die Handlungen vonÜberwachungsorgan, Geschäftsleitung undManagement im Hinblick auf die Bedeutungder Kontrollen in der Organisation. DasKontrollumfeld bestimmt den Rahmen unddie Struktur für das Erreichen der Hauptzieleeines Internen Kontrollsystems. ZumKontrollumfeld gehören folgende Elemente:• Integrität und ethische Werte.• Philosophie und Arbeitsstil des Managements.• Organisationstruktur.• Zuordnung von Befugnissen und Verantwortung.• Personalpolitik und deren Umsetzung.• Fachkunde der Mitarbeiter.(Kontrollprozesse)Richtlinien, Verfahren und Aktivitäten, dieTeil des Kontrollsystems sind und denZweck verfolgen, dass Risiken die imRisikomanagementprozess vorgegebenenRisikotoleranzen nicht übersteigen.Dolose Handlungen(siehe Fraud)1/2011 55

Grundlagen für die berufliche Praxis der Internen Revision 2011EngagementA specific internal audit assignment, task, orreview activity, such as an internal audit,control self-assessment review, fraudexamination, or consultancy. An engagementmay include multiple tasks or activitiesdesigned to accomplish a specific set ofrelated objectives.Engagement ObjectivesBroad statements developed by internalauditors that define intended engagementaccomplishments.Engagement Work ProgramA document that lists the procedures to befollowed during an engagement, designedto achieve the engagement plan.(Auftrag)Ein bestimmter Prüfungsauftrag, einespezielle Aufgabe oder Prüftätigkeit wiebeispielsweise eine interne Revision,Selbstbeurteilung von Kontrollen, Untersuchungdoloser Handlungen oder Beratung.Ein Auftrag kann eine Vielzahl an Aufgabenoder Aktivitäten umfassen, die aufdas Erreichen bestimmter Ziele ausgerichtetsind.(Auftragsziele)Allgemein gehaltene Aussagen, die vonInternen Revisoren erarbeitet werden unddie mit einem Auftrag beabsichtigten Zielefestlegen.(Arbeitsprogramm)Dokument, das die im Verlauf eines Auftrageszur Umsetzung des Auftragsplansauszuführenden Tätigkeiten aufführt.Ethikkodex(siehe Code of Ethics)External Service ProviderA person or firm outside of the organizationthat has special knowledge, skill, andexperience in a particular discipline.FraudAny illegal act characterized by deceit,concealment, or violation of trust. Theseacts are not dependent upon the threat ofviolence or physical force. Frauds areperpetrated by parties and organizations toobtain money, property, or services; toavoid payment or loss of services; or tosecure personal or business advantage.Externer DienstleisterEine Person oder ein Unternehmen außerhalbder Organisation, welche(s) überspezielle Kenntnisse, Fähigkeiten und Erfahrungenin einem bestimmten Fachgebietverfügt.(Dolose Handlungen)Illegale Handlungen, die sich in vorsätzlicherTäuschung, Verschleierung oderVertrauensmissbrauch ausdrücken. DieseHandlungen sind nicht abhängig vonGewaltandrohung oder Anwendung körperlicherGewalt. Dolose Handlungen werdenvon Beteiligten und Organisationen begangen,um in den Besitz von Geldern, Vermögensgegenständenoder Dienstleistungenzu gelangen, um Zahlungen oder denVerlust von Leistungen zu vermeiden oderum sich einen persönlichen oder geschäftlichenVorteil zu verschaffen.Führung und Überwachung(siehe Governance)Geschäftsordnung(siehe Charter)56 1/2011

GlossarGovernanceThe combination of processes andstructures implemented by the board toinform, direct, manage, and monitor theactivities of the organization toward theachievement of its objectives.ImpairmentImpairment to organizational independenceand individual objectivity may includepersonal conflict of interest, scopelimitations, restrictions on access to records,personnel, and properties, and resourcelimitations (funding).IndependenceThe freedom from conditions that threatenthe ability of the internal audit activity tocarry out internal audit responsibilities in anunbiased manner.(Führung und Überwachung)Die Gesamtheit der Abläufe und Strukturen,die von der Geschäftsleitung und dem Überwachungsorganeingeführt sind, um die zurZielerreichung der Organisation erforderlichenAktivitäten zu informieren, zu leiten,zu betreiben und zu überwachen.(Beeinträchtigung)Beeinträchtigung der organisatorischenUnabhängigkeit und der individuellenObjektivität kann persönliche Interessenkonflikte,Einschränkungen des Prüfungsumfangs,Zugangsbeschränkungen zuUnterlagen, Belegschaft und Vermögensgegenständensowie Ressourcenbeschränkungen(Geldmittel) umfassen.(Unabhängigkeit)Fehlen von Umständen, die die Fähigkeitder Internen Revision bedrohen, ihreInnenrevisionsaufgaben unbeeinflusstauszuüben.Interessenkonflikt(siehe Conflict of Interest)IT-Führung und -Überwachung(siehe Information Technology Governance)Information Technology ControlsControls that support business managementand governance as well as provide generaland technical controls over informationtechnology infrastructures such asapplications, information, infrastructure, andpeople.Information Technology GovernanceConsists of the leadership, organizationalstructures, and processes that ensure thatthe enterprise’s information technologysupports the organization’s strategies andobjectives.Internal Audit ActivityA department, division, team of consultants,or other practitioner(s) that providesindependent, objective assurance andconsulting services designed to add valueand improve an organization’s operations.The internal audit activity helps anorganization accomplish its objectives byIT-KontrollenKontrollen, die operative Führungskräfteund Unternehmensführung unterstützensowie allgemeine und technische Kontrollenvon IT-Systemen wie Anwendungen,Informationen, Infrastruktur und Personen.IT-Führung und -ÜberwachungUmfasst Führung, Aufbauorganisation undAbläufe, die sicherstellen, dass die Informationstechnologieeiner Organisation dieStrategien und Ziele einer Organisationfördert.(Interne Revision)Eine Abteilung, ein Bereich der Organisation,Team von Beratern oder anderenFachleuten, die unabhängige, objektivePrüfungs- und Beratungsleistungen erbringen,die darauf ausgerichtet sind, Mehrwertezu schaffen und die Geschäftsprozessezu verbessern. Die Interne1/2011 57

Grundlagen für die berufliche Praxis der Internen Revision 2011bringing a systematic, disciplined approachto evaluate and improve the effectiveness ofgovernance, risk management and controlprocesses.International Professional PracticesFrameworkThe conceptual framework that organizesthe authoritative guidance promulgated byThe IIA. Authoritative Guidance iscomprised of two categories - (1) mandatoryand (2) endorsed and strongly recommended.Revision unterstützt die Organisation beider Erreichung ihrer Ziele, indem sie miteinem systematischen und zielgerichtetenAnsatz die Wirksamkeit der Unternehmensführung,des Risikomanagements und derKontrollprozesse bewertet und verbessert.Internationale BerufsgrundlagenDas Rahmenmodell, das die vom IIAfestgelegten und herausgegebenen Regelungenstrukturiert. Die festgelegten Regelungenteilen sich in zwei Kategorien auf, (1)verbindlich und (2) befürwortet und dringendempfohlen.Kontrolle(siehe Control)Kontrollprozesse(siehe Control Processes)Kontrollumfeld(siehe Control Environment)Leiter der Internen Revision(siehe Chief Audit Executive)Mehrwert schaffen(siehe Add Value)MustThe Standards use the word “must” tospecify an unconditional requirement.ObjectivityAn unbiased mental attitude that allowsinternal auditors to perform engagements insuch a manner that they believe in theirwork product and that no quality compromisesare made. Objectivity requires thatinternal auditors do not subordinate theirjudgment on audit matters to others.MussDie Standards verwenden den Begriff“muss”, um eine uneingeschränkte Anforderungzu bezeichnen.(Objektivität)Eine unvoreingenommene geistige Haltung,die es Internen Revisoren ermöglicht,Aufträge so durchzuführen, dass sie vonihrem Arbeitsergebnis und davon, dasskeine Kompromisse bezüglich der Qualitäteingegangen sind, überzeugt sind. Objektivitätverlangt von Internen Revisoren, sichbei der Beurteilung von geprüftenSachverhalten nicht von der Meinunganderer Personen beeinflussen zu lassen.Prüfungsleistungen(siehe Assurance Services)Regeleinhaltung(siehe Compliance)58 1/2011

GlossarResidual RisksThe risk remaining after management takesaction to reduce the impact and likelihood ofan adverse event, including control activitiesin responding to a risk.RiskThe possibility of an event occurring that willhave an impact on the achievement ofobjectives. Risk is measured in terms ofimpact and likelihood.Risk AppetiteThe level of risk that an organization iswilling to accept.Risk ManagementA process to identify, assess, manage, andcontrol potential events or situations toprovide reasonable assurance regarding theachievement of the organization’s objectives.ShouldThe Standards use the word “should” whereconformance is expected unless, whenapplying professional judgment,circumstances justify deviation.SignificanceThe relative importance of a matter withinthe context in which it is being considered,including quantitative and qualitative factors,such as magnitude, nature, effect, relevance,and impact. Professional judgmentassists internal auditors when evaluating thesignificance of matters within the context ofthe relevant objectives.(Restrisiken)Unter Berücksichtigung risikobezogenerKontrollen verbleibendes Risiko, nachdemdas Management Maßnahmen ergriffen hat,um Auswirkungen und Wahrscheinlichkeiteines unerwünschten Ereignisses zuverringern.(Risiko)Die Möglichkeit des Eintretens einesEreignisses, das sich auf das Erreichen vonZielen auswirkt. Risiko wird im Hinblick aufseine Auswirkungen und deren Eintrittswahrscheinlichkeitbewertet.RisikoakzeptanzDer Grad, bis zu dem eine Organisationbereit ist, Risiken zu tragen.(Risikomanagement)Ein Prozess zur Identifikation, Beurteilung,Steuerung, und Kontrolle möglicher Ereignisseoder Situationen mit dem Ziel, eineangemessene Sicherheit in Bezug auf dasErreichen der Ziele einer Organisation zuerreichen.(Soll)Die Standards verwenden den Ausdruck„soll“, wenn Übereinstimmung erwartet wird,soweit die Umstände nicht beiZugrundelegen berufsüblicher Sorgfalt einAbweichen erfordern.(Wesentlichkeit)Die relative Bedeutung eines Sachverhaltsvor dem jeweiligen Beurteilungshintergrundund unter Berücksichtigung quantitativerund qualitativer Faktoren wie Umfang, Art,Folgen, Bedeutung und Auswirkung, BerufsüblicheSorgfalt unterstützt Prüfer bei derBeurteilung der Wesentlichkeit von Sachverhaltenvor dem Hintergrund zugrundeliegender Ziele.Soll(siehe Should)StandardA professional pronouncement promulgatedby the Internal Audit Standards Board thatdelineates the requirements for performinga broad range of internal audit activities,StandardEine vom Internal Audit Standards Boarddes IIA verkündete berufsständische Verlautbarung,welche die Anforderungen andas Ausführen eines breiten Spektrums von1/2011 59

Grundlagen für die berufliche Praxis der Internen Revision 2011and for evaluating internal audit performance.Technology-based Audit TechniquesAny automated audit tool, such as generalizedaudit software, test data generators,computerized audit programs, specializedaudit utilities, and computer-assisted audittechniques (CAATs).Aktivitäten der Internen Revision sowie dieBeurteilung von deren Qualität beschreibt.Technologiegestützte PrüftechnikenJedes automatisierte Prüfinstrument wieetwa allgemeine Prüfsoftware, Testdatengeneratoren,IT-gestützte Prüfprogramme,zweckgebundene Prüfsysteme und computergestütztePrüftechniken (CAATs).Wesentlichkeit(siehe Significance)60 1/2011

Glossar1/2011 61