Zurück zur Inhaltsseite

      Die jährliche risikoorientierte Prüfungsplanung ist Pflicht und Kür zugleich. In einer Welt des Wandels, geprägt von Globalisierung, Klimawandel, geopolitischen Risiken und fortschreitender Digitalisierung, ist es die primäre Aufgabe der Internen Revision, neue Risiken zu antizipieren und die eigenen Ansätze und Methoden konsequent danach auszurichten. Die VUKA-Risiken (Volatilität, Unsicherheit, Komplexität und Ambiguität) führen zu einer herausfordernden Dynamik für die Risikoorientierung der Internen Revision, die insbesondere in der risikoorientierten Prüfungsplanung zum Ausdruck gebracht wird.

      Die risikoorientierte Prüfungsplanung soll auf Grundlage des Risikoprofils der Organisation bestimmt werden („organizational risk profile“, GIAS Standard 9.1). Die Prüfungsplanung basiert u.a. auf Daten aus vergangenen Prüfungen, Risikomanagement, Compliance, Rechnungswesen und Geschäftsprozessen. Zudem fließen individuelle Faktoren sowie EHS-Informationen (Umwelt, Gesundheit, Sicherheit) in die Planung ein. Darüber hinaus ist das Einhalten der Topical Requirements[1] in den zutreffenden Prüfungsbereichen zu berücksichtigen. Ungefähr 40 Prozent der Teilnehmenden einer Umfrage[2], die wir durchgeführt haben, geben an, dass die Topical Requirements bereits in der aktuellen Prüfungsplanung zu weiten Teilen oder vollständig berücksichtigt wurden. 

      Die folgenden KPMG Internal Audit Hot Topics stellen aus unserer Sicht einen Ausschnitt an aktuellen Themen, Trends und Treibern dar

      Sie lassen sich in vier Betrachtungsfelder untergliedern:

      • Compliance
        • EU AI Act – Risikobasierte Klassifizierung, Anforderungen an KI-Systeme mit hohem Risiko, Regeln für KI-Modelle für allgemeine Zwecke
        • NIS2 – Ausgeweiteter Anwendungsbereich, Definition von Risiko- und Krisenmanagementbestandteilen, erweiterte Meldepflichten für Vorfälle
        • Cyber Resilience Act – Digitale Produkte müssen dem CRA entsprechen und Sicherheitsmaßnahmen durch Design, Schwachstellenmanagement und Vorfallberichterstattung integrieren.
        • Hinweisgeberschutzgesetz – Meldekanäle, Case Management, Schutzmaßnahmen für Hinweisgeber

        • FISG und DCGK A.5 Compliance – Grundlage und Validierungsprozess für die Aussage zur Angemessenheit und Wirksamkeit der Corporate-Governance-Systeme im Lagebericht

        • Sanktionen und Embargos  Compliance-Anforderungen für Unternehmen, Strategien und Verfahren zur Bewältigung der damit verbundenen Risiken, Überwachung/Handhabung von falsch-positiven Screening-Alerts

        • Risikomanagement – Prozessunabhängige Überwachung des Risikofrüherkennungssystems

      • Operational

        • Resilienz und Geschäftskontinuität – Analyse der Auswirkungen auf das Geschäft und die Geschäftskontinuitätsstrategie

        • Makroökonomische und geopolitische Unsicherheiten  Unterbrechung der Lieferkette, finanzielle Resilienz, Inflation und Liquidität, Embargos und Sanktionen

        • Zollstrategie – Komplexität, Störungen und schnelle Veränderungen aufgrund von neuen oder veränderten Zollankündigungen (beispielsweise Auswirkungen, Risikomanagement, Szenarien und Strategie)

        • Umgang mit externen Risiken  Identifikation, Bewertung, Steuerung und Überwachung von externen Risiken, Re-Priorisierung des Prüfungsplans

        • Stakeholder-Beziehungen – Business Partner Due Diligence und Know Your Customer

        • Finanztransformation  Neues ERP, Automatisierung, Digitalisierung

        • HR-Transformation  Diversität, Talentmanagement, Mitarbeiterbindung

      • IT-Systeme und Data-Governance

        • Industrielles Kontrollsystem – Effizienter und sicherer Betrieb von Maschinen und Anlagen sowie IT-Sicherheit in den Bereichen Fabrikautomation und Prozesssteuerung

        • Cybersecurity und Datenschutz – Reifegrad der Cybersecurity, angemessene Maßnahmen zum Verhindern von Datenverlustvorfällen

        • KI-Governance (GenAI)  Anforderungen an den Einsatz und die Verwendung von GenAI Tools, KI Risk & Compliance Assessment, KI-Sicherheits- und Datenschutzstrategie, KI-Assurance und Überwachung der KI-Risiken

        • DAC 7 – Einhalten von E-Invoicing- und steuerlichen Pflichten

        • Hybrides Arbeiten  Datenschutz- und Sicherheitsanforderungen

        • ESG Reporting – Integration von ESG Reporting Tools in die bestehende IT-Struktur

      • ESG

        • ESG-Regulierungen und -Transformation – Überwachen regulatorischer Änderungen und Anpassen etablierter Prozesse

        • ESG Governance – Target-Operating-Modell, Bewerten und Überwachen des Erreichens von Zielen der sozialen Unternehmensverantwortung (Corporate Social Responsibilities)

        • ESG-Risikomanagement  Integration der ESG-Risiken in das unternehmensweite Risikomanagementsystem unter Berücksichtigung von physischen Risiken und Übergangsrisiken in Bezug auf den Klimawandel und weitere Umweltthemen, soziale und Governance-Risiken

        • ESG Data Governance  Sammeln, Verarbeiten und Validieren von nicht finanziellen Daten, die von verschiedenen Einheiten generiert werden, Implementieren von internen Kontrollen (COSO Framework)

        • EU CSDDD  Readiness (Bereitschaft) und Einhalten von gesetzlichen Vorgaben in Bezug auf Menschenrechte und Umweltschutz
        • CSRD und/oder freiwillige Berichterstattung (VSME) – Ordnungsgemäße ESG-Berichterstattung
        • EU  Deforestation Regulation (EU-Entwaldungsverordnung) – Lieferkette und Due Dilligence (Sorgfaltspflicht)
        • EU Green Deal Compliance – Ressourceneffizienz, grüne Technologien, Transparenz der Berichterstattung
        • Perfluoroalkyl and Polyfluoroalkyl Substances (PFAS) – Readiness (Bereitschaft) für zukünftige Anforderungen
        • Carbon Border Adjustment Mechanism (CBAM) – Erfüllen der Anforderungen im Zusammenhang mit CO2-Grenzausgleichsabgabe
        • Energy Transition – Energiestrategie, Änderungsprogramme, Überwachung
      Bereit für ein Gespräch? Kontaktieren Sie uns

      Weitere interessante Inhalte zum Thema

      Die neuen Global Internal Audit Standards

      Die Standards sind eine Weiterentwicklung der Internen Revisionspraxis und haben Auswirkungen auf Interaktion und Arbeitsweise der Internen Revision.
      Mehr erfahren
      Zwei Kollegen schauen auf ein Tablet

      Ihre Ansprechperson

      Mark Frederik Schmidt
      Mark Frederik Schmidt

      Senior Manager, Audit - Regulatory Advisory, Sustainability Reporting & Governance

      KPMG AG Wirtschaftsprüfungsgesellschaft

      [1] Topical Requirements sind spezifische Standards, die die Qualität und Kohärenz der internen Revision verbessern sollen. Bei spezifischen Themen müssen die Anforderungen bei der Durchführung der Revisionsaufträge eingehalten werden.

      [2] KPMG GIAS Survey (August 2024)