Audits und interne Kontrollen zukunftssicher machen: ein kluger Schachzug im turbulenten Jahr 2023

Das Risikoumfeld im Jahr 2023 wird ein neues Ausmaß an Volatilität, Ungewissheit, Komplexität und Mehrdeutigkeit erreichen, da ein breites Spektrum ineinandergreifender Risiken einen erheblichen Einfluss auf Wirtschaft und Gesellschaft ausübt. Die anhaltende geopolitische Instabilität, die Inflation und die drohende wirtschaftliche Rezession, die Unterbrechung der Versorgungskette, zunehmende Cybersicherheitsrisiken und klimabezogene Probleme bereiten der Innenrevision Kopfzerbrechen, wenn sie versuchen muss, Risiken, die über Nacht auftreten können, vorherzusehen und zu kontrollieren.

Die European Confederation of Institutes of Internal Auditing (ECIIA) hat vor kurzem ihren Bericht „Risk in Focus 2023“ veröffentlicht, der einen Blick auf die Bereiche wirft, die für interne Revisionsteams im aktuellen Umfeld von entscheidender Bedeutung sind. Aus der Sicht von 834 Leitungen der Innenrevision (Chief Audit Executives, CAEs) sind dies die zehn größten Risiken für 2023:

1. Cyber- und Datensicherheit
2. Humankapital, Vielfalt und Talentmanagement
3. Makroökonomische und geopolitische Unsicherheit
4. Änderungen von Gesetzen und Vorschriften
5. Digitale Disruption, neue Technologien und künstliche Intelligenz (KI)
6. Klimawandel und ökologische Nachhaltigkeit
7. Geschäftskontinuität, Krisenmanagement und Katastrophenschutz
8. Lieferkette, Outsourcing und Drittparteirisiko
9. Finanzielle Liquiditäts- und Insolvenzrisiken
10. Organisationsführung und Unternehmensberichterstattung

Quelle: ECIIA 2023 Risk in Focus, Hot topics for internal auditors

Mit Blick auf das Jahr 2026 erwarten die CAEs, dass der Klimawandel auf der Tagesordnung nach oben rückt, vielleicht im Vorgriff auf die Auswirkungen der EU-Richtlinie zur Nachhaltigkeitsberichterstattung von Unternehmen (CSRD). Andererseits glauben sie (oder hoffen vielleicht), dass die makroökonomische und geopolitische Unsicherheit abnimmt.

Diskrepanz zwischen Einschätzung der Hauptrisiken und Fokus der Innenrevision 

Interessanterweise wurde in der Studie auch nach den fünf Risiken gefragt, für die die Innenrevision die meiste Zeit und Mühe aufwendet. Dabei zeigte sich eine Diskrepanz zwischen den Bereichen, die viel Aufmerksamkeit bekommen, und den Bereichen, die als wichtige Risiken erachtet werden.

Cyber- und Datensicherheitsrisiken stehen weiterhin an erster Stelle und erfordern die meiste Zeit und Aufmerksamkeit der Teams. An zweiter Stelle stehen jedoch Organisationsführung und Unternehmensberichterstattung, obwohl dieses Risiko auf der Prioritätenskala nur an zehnter Stelle steht. Umgekehrt rangieren Klimawandel und ökologische Nachhaltigkeit zwar an sechster Stelle der Prioritätenliste, aber nur an elfter Stelle, wenn es um die Zeit geht, die dafür aufgewendet wird.

Diese Diskrepanzen müssen den Sachkundigen für die Innenrevision bewusst werden, und die Gründe dafür bedürfen der Analyse. Liegt es an der mangelnden Datentransparenz in Bereichen, die in letzter Zeit zu Prioritäten geworden sind, wie Klima- und ESG-Berichterstattung? Oder daran, dass ESG-Überwachungs- und Berichterstattungsdaten in Silos stecken und nur stückweise erhoben werden, was die Aufgabe, einen vollständigen Überblick zu erhalten, erschwert.