Global Internal Audit Standards (GIAS) – Was gilt es zu beachten?

Seit dem 9. Januar 2025 gelten die neuen Global Internal Audit Standards (GIAS) des Institute of Internal Auditors (IIA). Sie markieren einen Wendepunkt für die Interne Revision und setzen neue Maßstäbe für Transparenz, Effizienz und strategische Ausrichtung. Unternehmen stehen damit vor der Aufgabe, ihre Revisionsprozesse neu zu denken und die Rolle der Internen Revision als strategischen Partner zu stärken.
Doch was bedeutet das konkret für die Organisation? Und wie lässt sich die geforderte strategische Ausrichtung der Internen Revision umsetzen? Dieser Beitrag gibt einen umfassenden Überblick über die wichtigsten Neuerungen, die Anforderungen an die Entwicklung einer Revisionsstrategie und die praktischen Implikationen für Unternehmen.

Warum die neuen Standards relevant sind

Die GIAS sind weit mehr als ein weiteres Regelwerk. Sie bieten Unternehmen die Chance, ihre Interne Revisionsfunktion neu zu positionieren und als echten Businesspartner zu etablieren. In einer Welt, die von schnellen Veränderungen und wachsenden Risiken geprägt ist, helfen die Standards, Risiken gezielt zu managen und gleichzeitig Mehrwert für die Unternehmensführung zu schaffen. Die Interne Revision wird damit stärker in die Unternehmensstrategie eingebunden und unterstützt aktiv die Corporate Governance. Die neuen Vorgaben sind nicht nur eine formale Pflicht, sondern ein strategischer Hebel für nachhaltige Unternehmensführung.

Die wichtigsten Neuerungen der GIAS im Überblick

Die neuen GIAS bringen zahlreiche Anpassungen mit sich. Im Fokus stehen eine engere Verzahnung mit der Unternehmensleitung, eine klare strategische Ausrichtung und spezielle Anforderungen für besonders relevante Risikobereiche.

Schutz sensibler Informationen

Der Standard 5.2 fordert die Berücksichtigung detaillierter Anforderungen an den Schutz von Informationen. Die Interne Revision muss sicherstellen, dass vertrauliche Daten während des gesamten Prozesses vor unbefugtem Zugriff geschützt sind.

Intensiver Austausch mit der Unternehmensleitung

Die Standards 6.1 bis 8.4 definieren klare Bedingungen für den Austausch zwischen dem Chief Audit Executive (CAE) und der Unternehmensleitung. Dieser Dialog ist entscheidend, um die Interne Revision eng mit den übergeordneten Unternehmenszielen zu verzahnen – ein Schritt, der in der Praxis bisher oft vernachlässigt wurde.

Einführung einer Internal Audit-Strategie

Standard 9.2 fordert die Entwicklung einer eigenständigen Strategie für die Interne Revision, die sich an der Unternehmensstrategie orientiert. So wird sichergestellt, dass Prüfungs- und Beratungsleistungen nicht isoliert erfolgen, sondern direkt zur Erreichung der Unternehmensziele beitragen.

Fundament des Revisionsplans

Nach Standard 9.4 muss der Revisionsplan künftig auf den Einschätzungen der Geschäftsleitung basieren und die Organisationsziele aktiv unterstützen. Prüfungsprojekte werden damit nicht nur risikobasiert, sondern auch strategisch ausgerichtet.

Detaillierte Kommunikation von Ergebnissen

Der Standard 11.3 legt detaillierte Vorgaben zur Kommunikation von Feststellungen fest. Neben den Ergebnissen müssen auch Ursachen und Auswirkungen für die geprüften Einheiten klar dargestellt werden.

Erweiterte Qualitätsanforderungen

Der Standard 12.1 sieht umfangreichere Vorgaben zur Performance-Messung der Internen Revisionsfunktion vor. Dazu gehören interne Bewertungen, externe Reviews und kontinuierliche Verbesserungsmaßnahmen.

Integration von Data Analytics

Der Standard 14.2 fordert die Berücksichtigung von Data Analytics und IT-Tools bei der Erstellung von Arbeitspapieren und der Analyse von Prüfungsergebnissen.

Priorisierung von Feststellungen

Der Standard 14.5 verlangt die Erstellung konkreter Ratings zu einzelnen Feststellungen sowie die Angabe von Prioritäten für die Nachschau. Dies erhöht die Transparenz und Nachverfolgbarkeit.

„Topical Requirements“ für Schlüsselrisiken

Das IIA hat Risikobereiche definiert, die besondere Aufmerksamkeit verdienen, darunter Nachhaltigkeit (ESG), Cybersecurity, Fraud Risk Management und Third Party Management. Für diese Themen gelten spezielle Prüfungsanforderungen. Damit wird die Interne Revision gezielt auf die größten Herausforderungen der heutigen Unternehmenswelt ausgerichtet.

Strukturelle und inhaltliche Änderungen der GIAS

Die neuen Standards unterscheiden sich nicht nur inhaltlich, sondern auch strukturell von den bisherigen Vorgaben. Die bisherige Unterteilung in Attribut-, Leistungs- und Umsetzungsstandards entfällt. Alle Vorgaben sind nun in einem umfassenden Dokument zusammengefasst, was die Anwendung erleichtert. Interpretationen sind kein separater Abschnitt mehr und die Nummerierung wurde vollständig überarbeitet.
Inhaltlich sind die Änderungen ebenso bedeutend: Die „wesentlichen Bedingungen“ definieren nun klare Vorgaben für Verwaltungsrat und Geschäftsleitung, um die Interne Revision zu unterstützen. Der CAE muss eine Strategie entwickeln und umsetzen, die die strategischen Ziele der Organisation unterstützt. Der Prüfungsplan muss die Strategie, Ziele und Risiken der Organisation berücksichtigen. Zudem gibt es neue Anforderungen an die Berichterstattung: Prüfungsberichte müssen ein Gesamturteil enthalten, das die Ergebnisse in Bezug auf die Ziele des Prüfungsauftrags zusammenfasst, und Feststellungen sind zu priorisieren.
Auch die Anforderungen an externe Qualitätsbewertungen wurden erweitert: Mindestens ein Mitglied des externen Qualitätsteams muss eine aktive „Certified Internal Auditor“-Zertifizierung besitzen.

Entwicklung einer Revisionsstrategie gemäß GIAS

Die neuen Standards verlangen nicht nur eine strategische Ausrichtung, sondern auch deren Nachweis. Die Leitung der Internen Revision muss eine Strategie entwickeln, die die Unternehmensziele unterstützt und den Erwartungen von Vorstand, Aufsichtsrat und weiteren Stakeholdern entspricht.

Strukturiertes Vorgehen für die Strategieentwicklung

Die GIAS geben klare Vorgaben für die Dokumentation des Prozesses. Im Kern umfasst er drei zentrale Schritte:
  1. Analyse von Governance-, Risikomanagement- und Kontrollprozessen
    Grundlage für die Strategie ist ein tiefes Verständnis der bestehenden Strukturen. Governance, Risikomanagement und interne Kontrollsysteme müssen analysiert werden, um die Ausgangslage der Organisation und die Erwartungen der Stakeholder zu erfassen.
  2. Entwicklung einer Vision
    Die Interne Revision benötigt ein klares Zielbild: Wo soll die Funktion in den nächsten drei bis fünf Jahren stehen? Die Vision definiert die Rolle der Internen Revision im Unternehmen und gibt Orientierung für die strategische Ausrichtung.
  3. SWOT- oder Gap-Analyse
    Um die strategische Richtung festzulegen, ist eine Analyse der aktuellen Situation unerlässlich. Dazu gibt es zwei Optionen:
    • SWOT-Analyse: Stärken, Schwächen, Chancen und Risiken der Internen Revision werden identifiziert.
    • Gap-Analyse: Abweichungen zwischen Ist- und Soll-Zustand werden sichtbar gemacht.
Diese Analysen helfen, Handlungsfelder zu priorisieren und die Strategie auf die tatsächlichen Bedürfnisse des Unternehmens auszurichten.

Kernaspekte einer Revisionsstrategie

Die GIAS definieren klare Anforderungen an die Inhalte der Strategie. Sie muss folgende Elemente umfassen:
  • Vision der Internen Revision
  • Rahmenbedingungen und Umfeldanalyse
  • Strategische Ziele und unterstützende Initiativen
  • Maßnahmen zur Umsetzung der strategischen Ziele
  • Governance und Qualitätsmanagement
  • Ressourcenplanung
  • Leistungsmessung und Überprüfung der Strategie

Von der Strategie zum Revisionsplan

Die Strategie ist die Basis für den Prüfungsplanung. Diese muss gemäß GIAS folgende Punkte berücksichtigen:
  • Methoden zur Umsetzung der Strategie und relevanter Standards
  • Erstellung eines Revisionsplans auf Basis der Unternehmensstrategie, Ziele und Risiken
  • Management von personellen, finanziellen und technologischen Ressourcen
Die Dokumentation aller Schritte ist verpflichtend, um die Einhaltung der GIAS nachzuweisen. Jede Analyse, jede Entscheidung und jede Maßnahme muss nachvollziehbar festgehalten werden, um Transparenz gegenüber Vorstand, Aufsichtsrat und externen Stakeholdern zu gewährleisten.

Weitere Herausforderungen und neue Anforderungen

Die Umsetzung der GIAS bringt zusätzliche Anforderungen mit sich, die in der Praxis oft unterschätzt werden:
  • Regelmäßige Überprüfung des Mandats der Internen Revision
  • Enge Kommunikation mit dem Aufsichtsorgan
  • Einführung eines umfassenden Qualitäts- und Leistungsmanagements
  • Bewertung technologischer Ressourcen und Tools
  • Erweiterte Anforderungen an externe Qualitätsbewertungen
  • Prüfberichte mit Gesamturteil und priorisierten Feststellungen
Diese Punkte erfordern nicht nur organisatorische Anpassungen, sondern auch eine klare Kommunikation zwischen allen Beteiligten.

Fazit: Mehr als Compliance – ein Impuls für Transformation

Die neuen GIAS sind mehr als ein Update – sie sind ein Transformationsimpuls. Wer die Standards konsequent umsetzt, stärkt nicht nur die Compliance, sondern schafft echten strategischen Mehrwert. Die Interne Revision wird so zum Partner für nachhaltiges Wachstum und Risikomanagement. Unternehmen sollten die Gelegenheit nutzen, ihre Revisionsfunktion neu zu denken und die Anforderungen der GIAS als Chance für eine zukunftssichere Organisation begreifen.
Sie möchten Ihre Revisionsstrategie auf die neuen GIAS ausrichten?
Kontaktieren Sie uns – wir unterstützen Sie bei der Analyse, Entwicklung und Umsetzung einer Strategie, die den Anforderungen entspricht und echten Mehrwert schafft.
Justus Franke

Justus Franke

Geschäftsführer & Wirtschaftsprüfer

📧 jfranke@advanta.de
📞 +49 157 92474390
Lena Franke

Lena Franke

Geschäftsführerin & Wirtschaftsprüferin

📧 lfranke@advanta.de
📞 +49 176 6279 8118
Kostenloses Erstgespräch

Die ADVANTA GmbH Wirtschaftsprüfungsgesellschaft ist als gesetzlicher Abschlussprüfer bei der Wirtschaftsprüferkammer eingetragen

Vorheriger Beitrag
MaRisk für Wertpapierinstitute: Was der neue BaFin-Entwurf bedeutet
Diese Website verwendet Cookies, um Ihr Erlebnis zu verbessern. Wenn Sie diese Website weiter nutzen, erklären Sie sich damit einverstanden.