Zum Hauptinhalt springen

7. Juli 2026

GIAS-Update 2026 für die Interne Revision: Schützt Ihre Prüfpraxis noch vor der C-Level-Haftung?

I. Hinführung zur Thematik

Dieser Text richtet sich an Verantwortliche, die 2026 Governance, Haftung und Prüfungsfähigkeit nicht dem Zufall überlassen wollen. Er zeigt, warum die neuen Global Internal Audit Standards für Compliance, Interne Revision und C‑Level zum strategischen Dreh‑ und Angelpunkt werden, wie sie AML‑Risiken prüfbar machen und welche konkreten Schritte nötig sind, um externe Quality Assessments zu bestehen und persönliche Haftungsfallen zu vermeiden.

GIAS titel deutsch _15

FAQ: GIAS-Update 2026 – Interne Revision, Quality Assessment und C-Level-Haftung

Warum ist das GIAS-Update 2026 für C-Level, Compliance und Interne Revision so wichtig?

Das GIAS-Update macht die Interne Revision zu einem zentralen Governance- und Haftungsthema. Ab 2026 werden externe Quality Assessments und Prüfungen von Internen Revisionssystemen faktisch an den neuen Global Internal Audit Standards, IDW PS 983 n.F. und DIIR-Revisionsstandard Nr. 3 ausgerichtet. Für Vorstand, Geschäftsführung, Aufsichtsrat und Compliance bedeutet das: Eine nur formal vorhandene Revision reicht nicht mehr aus. Entscheidend ist, ob Mandat, Prüfungsplanung, Qualitätssicherung, Dokumentation und Eskalationsprozesse nachweisbar wirksam funktionieren.

Welche GIAS-Fristen und Stichtage sind 2025 und 2026 besonders relevant?

Wichtige Stichtage sind der 9. Januar 2025, ab dem die GIAS für Qualitätsbeurteilungen maßgeblich sind, der 15. Dezember 2025 für die Neufassung des DIIR-Revisionsstandards Nr. 3 sowie der 6. Januar 2026, ab dem IDW PS 983 n.F. erstmals verbindlich für nach diesem Datum erteilte Prüfungsaufträge gilt. Zusätzlich müssen externe Qualitätsbeurteilungen der Internen Revision mindestens alle fünf Jahre oder als Selbstbeurteilung mit unabhängiger Validierung erfolgen.

Welche Topical Requirements werden 2026 für die Interne Revision verbindlich?

Die Topical Requirements werden 2026 schrittweise relevant: Ab dem 5. Februar 2026 ist das Cybersecurity Topical Requirement zu berücksichtigen. Ab dem 15. September 2026 folgt das Third-Party Topical Requirement für Auslagerungen, Dienstleister und Drittparteienrisiken. Ab dem 15. Dezember 2026 wird das Organizational Behavior Topical Requirement wirksam. Damit müssen Cyber-, Third-Party- und Kultur- beziehungsweise Verhaltensrisiken in der Prüfungsplanung, Prüfungsdurchführung und Dokumentation belastbar abgebildet werden.

Welche Pflichten entstehen aus den neuen Global Internal Audit Standards?

Die Interne Revision muss an den fünf Domains, 15 Prinzipien und 52 Anforderungen der GIAS ausgerichtet werden. Dazu gehören eine klare schriftlich fixierte Ordnung, eine GIAS-konforme Revisionsstrategie, dokumentierte Methoden, wirksame Prozesse, geeignete Vorlagen und ein Qualitätssicherungs- und Verbesserungsprogramm. Die Anforderungen müssen nicht nur beschrieben, sondern im Revisionsalltag tatsächlich umgesetzt und durch Nachweise belegbar sein.

Welche Verantwortung tragen Vorstand und Geschäftsführung für das Interne Revisionssystem?

Vorstand und Geschäftsführung verantworten die Einrichtung, Angemessenheit, Wirksamkeit und Dokumentation des Internen Revisionssystems. Diese Verantwortung ergibt sich insbesondere aus den Organisations- und Sorgfaltspflichten nach § 93 AktG und § 43 GmbHG. In regulierten Unternehmen kommen Anforderungen aus § 25a KWG, § 25b KWG und den MaRisk hinzu. Eine nicht ausreichend unabhängige, nicht angemessen ausgestattete oder nicht GIAS-konforme Revision kann im Haftungsfall als Organisationsverschulden gewertet werden.

Welche Rolle spielt der Aufsichtsrat beim GIAS-Update?

Der Aufsichtsrat muss überwachen, ob Risikomanagement, internes Kontrollsystem, Compliance und Interne Revision angemessen ausgestaltet sind. Nach § 107 Abs. 3 AktG gehört die Überwachung dieser Systeme zu den zentralen Aufgaben des Aufsichtsrats beziehungsweise Prüfungsausschusses. Erkennt der Aufsichtsrat Schwächen in der Internen Revision, negative QA-Ergebnisse oder GIAS-Non-Conformance und bleibt untätig, kann dies eigene Überwachungs- und Haftungsrisiken auslösen.

Warum ist IDW PS 983 n.F. für die Haftungsvermeidung so bedeutend?

IDW PS 983 n.F. setzt die GIAS als Referenzrahmen für die Prüfung von Internen Revisionssystemen. Gesetzliche Vertreter müssen eine belastbare IRS-Beschreibung vorlegen und sicherstellen, dass das Interne Revisionssystem nicht nur angemessen konzipiert, sondern je nach Prüfungsauftrag auch wirksam implementiert ist. Werden bekannte Schwächen, fehlende GIAS-Konformität oder unzureichende Dokumentation nicht offen adressiert, kann die Entlastungswirkung einer IRS-Prüfung erheblich geschwächt werden.

Was ändert sich durch den DIIR-Revisionsstandard Nr. 3?

Der DIIR-Revisionsstandard Nr. 3 in der Neufassung stellt Quality Assessments auf einen GIAS-basierten Kriterienkatalog um. Alte Checklisten und frühere Anlagen sind damit als alleiniger Prüfmaßstab nicht mehr tragfähig. Für Unternehmen bedeutet das: Selbstbeurteilungen, externe Qualitätsbeurteilungen und interne Readiness-Checks müssen auf die neue Kriterienlogik ausgerichtet werden. Nur so entsteht eine belastbare Grundlage für Governance, Qualitätssicherung und Haftungsentlastung.

Welche Haftungsrisiken entstehen bei einer nicht GIAS-konformen Internen Revision?

Haftungsrisiken entstehen vor allem bei Governance-Versagen, fehlender Unabhängigkeit, veralteten Prüfungsrastern, unzureichender Qualitätssicherung oder mangelhafter Dokumentation. Arbeitet die Revision 2026 weiterhin nach alten IPPF-2017-Strukturen ohne aktualisierte Strategie, ohne aktuelle schriftlich fixierte Ordnung und ohne externe Quality Assessment-Planung, kann das im Schadensfall als Organisationsverschulden ausgelegt werden. Besonders kritisch sind Cybervorfälle, Outsourcing-Probleme, AML-Schwächen oder Conduct-Risiken, wenn diese trotz erkennbarer Relevanz nicht geprüft wurden.

Warum sind Dokumentation und Nachweise für die Enthaftung so wichtig?

Im Haftungsfall zählt nicht nur, ob Maßnahmen ergriffen wurden, sondern ob sie prüfungssicher nachgewiesen werden können. Wichtige Nachweise sind Mandat, Geschäftsordnung, schriftlich fixierte Ordnung, Revisionsstrategie, Prüfungspläne, QA-Berichte, Maßnahmenregister, Eskalationen, Management-Entscheidungen und Ressourcenbeschlüsse. Fehlen diese Unterlagen oder sind sie widersprüchlich, wird die Entlastungsposition von Vorstand, Geschäftsführung und Aufsichtsrat deutlich geschwächt.

Welche Maßnahmen sollten Unternehmen kurzfristig priorisieren?

Priorität haben ein GIAS-Readiness-Check, die Aktualisierung von Mandat und schriftlich fixierter Ordnung, eine risikoorientierte Revisionsstrategie, ein verbindliches Qualitätssicherungs- und Verbesserungsprogramm sowie ein Mapping der Topical Requirements. Zusätzlich sollten Unternehmen alte Checklisten abschalten, ein Maßnahmenregister einführen, Berichtslinien und Eskalationswege klären und die Ressourcen- sowie Kompetenzplanung für Cyber, Third-Party, AML und Kultur- beziehungsweise Verhaltensrisiken dokumentieren.

Wie sieht eine 90-Tage-Roadmap für das GIAS-Update aus?

In den ersten 30 Tagen sollte ein Gap-Assessment durchgeführt werden, inklusive Prüfung alter Checklisten und Identifikation kritischer Non-Conformance. Zwischen Tag 31 und 60 sollten Mandat, schriftlich fixierte Ordnung, Revisionsstrategie, Berichtslinien und Ressourcenbeschlüsse aktualisiert werden. Zwischen Tag 61 und 90 sollten Qualitätssicherungsprogramm, KPI-Raster, Topical-Requirements-Mapping und Maßnahmenregister operativ umgesetzt werden.

Wie kann die Interne Revision zur Haftungsresilienz des C-Levels beitragen?

Eine wirksame Interne Revision stärkt die Haftungsresilienz, wenn sie unabhängig, risikoorientiert, qualitätsgesichert und strategisch in Governance und Compliance eingebunden ist. Sie dient als Frühwarnsystem für wesentliche Risiken, macht Schwachstellen transparent und unterstützt Vorstand, Geschäftsführung und Aufsichtsrat bei belastbaren Entscheidungen. Entscheidend ist, dass Feststellungen priorisiert, Maßnahmen konsequent nachverfolgt und kritische Ergebnisse offen an Management oder Prüfungsausschuss eskaliert werden.

Was ist der wichtigste Quick-Check für Unternehmen im Jahr 2026?

Der zentrale Quick-Check lautet: Ist die Interne Revision nicht nur formal vorhanden, sondern nachweisbar GIAS-konform, risikoorientiert, unabhängig, qualitätsgesichert und wirksam in Governance- und Eskalationsprozesse eingebunden? Unternehmen sollten besonders prüfen, ob Cybersecurity, Third-Party-Risiken, Organizational Behavior, externe Quality Assessments, Maßnahmen-Tracking, Ressourcenplanung und Dokumentation revisionssicher umgesetzt sind. Fehlen diese Elemente, steigt das Risiko persönlicher Organhaftung deutlich.

II. Wichtige Zeitfenster, zeitliche Vorgaben und verstrichene sowie bevorstehende Fristen

Wesentliche Fristen aus deinem GIAS‑Set, die 2025/2026 für Compliance, Interne Revision, C‑Level und AML relevant sind:

1.) Kernfristen GIAS / IDW / DIIR

  • 09.01.2025 – GIAS wirksam für die Qualitätsbeurteilung, IPPF 2017 als Prüfmaßstab faktisch abgelöst.

  • 15.12.2025 – DIIR‑Revisionsstandard Nr. 3 (Neufassung) veröffentlicht, weitgehend gleichlautend mit IDW PS 983 n.F.; neue Kriterienliste, alte Anlagen 1/2 obsolet.

  • 06.01.2026 – IDW PS 983 n.F. erstmals verbindlich für Prüfungsaufträge, die nach diesem Datum erteilt werden; vorzeitige Anwendung ausdrücklich zulässig.

  • Mindestens alle 5 Jahre – externe Qualitätsbeurteilung der Internen Revision bzw. Selbstbeurteilung mit unabhängiger Validierung nach GIAS / DIIR‑3 / IDW PS 983 n.F.

2.) Topical Requirements (GIAS) – gestaffelte Pflicht

  • 05.02.2026 – Cybersecurity Topical Requirement wirksam; Verzahnung mit DORA und NIS2, Pflichtberücksichtigung in Prüfung von IT‑/Cyber‑Risiken.

  • 15.09.2026 – Third‑Party Topical Requirement wirksam; kritische Dienstleister/Auslagerungen verpflichtend im Prüfungsuniversum, Andockung an MaRisk AT 9 und EBA‑Leitlinien.

  • 15.12.2026 – Organizational Behavior Topical Requirement wirksam; Kultur‑ und Verhaltensrisiken, Risikokultur nach MaRisk verpflichtend in Planung/Durchführung.

3.) Praktische Konsequenz für 2026

  • Ab 2026 werden externe QA und IRS‑Prüfungen faktisch gegen GIAS und die neue IDW‑/DIIR‑Fassung durchgeführt; alte Selbst‑Checklisten und Prüf‑Raster sind als Entlastungsnachweis nicht mehr tragfähig.

  • C‑Level muss vor Prüfungen 2026/2027 Mandat, Geschäftsordnung, Revisionsstrategie, QS‑Programm und Topical‑Requirements‑Mapping GIAS‑konform aufsetzen, um Governance‑ und Haftungsrisiken zu vermeiden.

III. Pflichten für C-Level und Compliance samt normative Bezüge

Die wesentlichen Pflichten lassen sich in vier Blöcke clustern – jeweils mit klaren normativen Bezügen für Vorstand, Aufsichtsrat, Compliance und Interne Revision.

1. GIAS als neuer Maßstab (ab 09.01.2025)

a.) Pflichteninhalt

  • Internes Revisionssystem (IRS) an 5 Domains, 15 Prinzipien, 52 Anforderungen der GIAS ausrichten.

  • Schriftlich fixierte Ordnung, Revisionsstrategie, Methoden, Prozesse und Vorlagen GIAS‑konform dokumentieren und tatsächlich leben.

  • Externe Qualitätsbeurteilung mindestens alle fünf Jahre bzw. Selbstbeurteilung mit unabhängiger Validierung; QS‑ und Verbesserungsprogramm etablieren.

b.) Normative Bezüge

  • § 93 Abs. 1 AktG – Organisations‑ und Sorgfaltspflicht des Vorstands.

  • § 43 Abs. 1 GmbHG – Pflicht zur Sorgfalt eines ordentlichen Geschäftsführers.

  • § 107 Abs. 3 AktG – Überwachungspflichten des Aufsichtsrats (Risikomanagement, IKS, Compliance; IRS als Teil davon).

  • § 25a, § 25b KWG, MaRisk AT 4.3.2, BT 2.3 – angemessene Ausgestaltung und Unabhängigkeit der Internen Revision in Instituten.

2. Pflichten aus IDW PS 983 n.F. (Aufträge ab 06.01.2026)

a.) Pflichteninhalt

  • Gesetzliche Vertreter verantworten Einrichtung, Angemessenheit, Wirksamkeit und Dokumentation des IRS.

  • Vorlage einer belastbaren IRS‑Beschreibung; Entscheidung über Angemessenheits‑ vs. Wirksamkeitsprüfung auf Basis eines tatsächlich implementierten IRS.

  • Sicherstellen, dass im Prüfungsteam mindestens eine Person eine aktive CIA‑Zertifizierung hält (Anknüpfung an GIAS Standard 8.4).

b.) Normative Bezüge

  • § 93 AktG, § 43 GmbHG – Pflicht zur angemessenen Organisation inkl. IRS; IRS‑Prüfung dient dem Nachweis ermessensfehlerfreier Pflichterfüllung.

  • KWG, WpIG, MaRisk – Pflicht zur wirksamen Internen Revision als Bestandteil des Gesamt‑Risikomanagements.

  • IDW PS 983 n.F. – berufsrechtlicher Prüfungsstandard, der die GIAS als Referenzrahmen für IRS‑Prüfungen setzt.

3. Pflichten aus DIIR‑Revisionsstandard Nr. 3 (Neufassung 15.12.2025)

Pflichteninhalt

  • Quality Assessments der Internen Revision gegen einen GIAS‑basierten Kriterienkatalog durchführen; alte Kataloge/Anlagen 1/2 sind obsolet.

  • Neue Kriterienlogik auch für interne Selbstbeurteilungen nutzen; Präger der IRS‑Qualität sind unabhängige, qualifizierte Prüfer für Interne Revisionssysteme (DIIR).

  • § 93 AktG, § 43 GmbHG, § 107 Abs. 3 AktG – Pflicht, sich bei der eigenen Entlastungsbasis aktueller, anerkannter Fachstandards zu bedienen.

  • GIAS Domain II (Ethik/Professionalität) – Pflicht zur Anwendung anerkannter Berufsstandards und Sicherstellung der Unabhängigkeit externer QA‑Prüfer.

4. Pflichten aus den Topical Requirements (Cyber, Third‑Party, Organizational Behavior)

a.) Pflichteninhalt

  • Verbindliche Berücksichtigung der Topical Requirements in Planung, Durchführung und Dokumentation von Prüfungen, deren Gegenstand dem jeweiligen Thema zuzuordnen ist (Cyber, Auslagerung/Drittparteien, Kultur/Verhaltensrisiken).

  • Erweiterung des Prüfungsuniversums, Anpassung der Prüfprogramme und gezielter Kompetenzaufbau im IR‑Team für diese Themen.

  • Konsistente Verzahnung mit DORA, NIS2, MaRisk und EBA‑Leitlinien für regulierte Institute.

b.) Normative Bezüge

  • GIAS / IPPF – Topical Requirements sind verbindlicher Bestandteil des Berufsrahmens; Nichtbeachtung ist ein Verstoß gegen berufliche Standards.

  • § 93 AktG, § 43 GmbHG – Organpflicht zur Beherrschung wesentlicher Risiken, insbesondere IT‑, Outsourcing‑ und Kultur‑/Verhaltensrisiken.

  • DORA, NIS2‑Umsetzung, MaRisk AT 7.2, BT 2.1 ff. – spezifische Anforderungen an IT‑Resilienz, Auslagerungsmanagement und Risikokultur.

IV. Haftungsrisiken, kritische Felder und persönliche Haftung

Die Haftungsrisiken entstehen vor allem dort, wo Vorstand, Aufsichtsrat und Compliance ihre Pflichten aus GIAS, IDW PS 983 n.F., DIIR‑3 und den Topical Requirements nicht erfüllen oder nur formal abdecken.

1. Governance‑Versagen bei der Internen Revision

  • Risiko persönlicher Organhaftung, wenn Vorstand/Aufsichtsrat keine angemessene, unabhängige und GIAS‑konforme Interne Revision einrichten (§ 93 AktG, § 43 GmbHG, § 107 Abs. 3 AktG, KWG/MaRisk).

  • Typische Konstellation: Revision arbeitet weiter nach IPPF 2017, ohne GIAS‑Strategie, ohne aktuelles sfO und ohne externe QA – im Schadensfall kann das als Organisationsverschulden gewertet werden.

2. Entlastungsstory scheitert an IRS‑Prüfung

  • IDW PS 983 n.F. stellt klar, dass die Verantwortung für Einrichtung und Dokumentation des IRS ausdrücklich bei den gesetzlichen Vertretern verbleibt; der WP beurteilt die Richtigkeit der IRS‑Beschreibung.

  • Wenn bekannte Schwächen oder GIAS‑Non‑Conformance verschwiegen werden, droht Haftung aus unzutreffender Entlastungsbasis (Pflicht zur wahrheitsgemäßen Berichterstattung und ordnungsgemäßen Organisation).

3. Auswahl‑ und Überwachungsverschulden bei QA

  • Einsatz externer QA‑Prüfer ohne die geforderte Qualifikation (mindestens eine Person mit aktiver CIA, GIAS‑Kenntnis, DIIR‑Qualifikation) oder mit Interessenkonflikten kann als Verstoß gegen Auswahl‑ und Überwachungspflichten gewertet werden.

  • Aufsichtsrat/C‑Level, die ein negatives DIIR‑3/IDW‑PS‑983‑Gutachten ohne Konsequenz lassen, laufen in Haftungsrisiken wegen ignorierter Warnsignale zur Unwirksamkeit des IRS.

4. Nichtbeachtung der Topical Requirements (Cyber, Third‑Party, Behavior)

  • Werden Cyber‑Risiken, kritische Dienstleister oder Kultur‑/Verhaltensrisiken trotz geltender Topical Requirements (ab 05.02., 15.09., 15.12.2026) und DORA/NIS2/MaRisk systematisch nicht geprüft, drohen Haftungsfälle bei entsprechenden Schadensereignissen (IT‑Ausfall, Lieferkettenstörung, Conduct‑Skandal).

  • Hier wirkt GIAS als Berufsmaßstab: Nichtberücksichtigung der Topical Requirements ist zugleich Verstoß gegen berufliche Standards und gegen Organpflicht zur Beherrschung wesentlicher Risiken.

5. Dokumentations‑ und Nachweisrisiko

  • Unvollständige oder widersprüchliche Dokumentation (Mandat, Geschäftsordnung, Revisionsstrategie, QA‑Berichte, Maßnahmenregister) schwächt im Streitfall die Entlastungsposition des C‑Levels.

  • Fehlen belastbare Nachweise für Ethikschulungen und Kompetenzaufbau nach GIAS Domain II, können persönliche Haftung und Aufsichtsrats‑Verantwortung bei Compliance‑Verstößen schwerer abgewehrt werden.

Quick-Check: GIAS-Update 2026 – Interne Revision, Quality Assessment & C-Level-Haftung

Check Zentrale Fragestellung zur Haftungsvermeidung nach GIAS, DIIR-3 & IDW PS 983 n.F.
GIAS-Readiness-Check mit Haftungsfokus durchgeführt?
Wurde ein systematischer Soll-Ist-Abgleich gegen die 15 Prinzipien und 52 Anforderungen der Global Internal Audit Standards erstellt und mit den Organpflichten von Vorstand, Geschäftsführung, Aufsichtsrat, Compliance und Interner Revision gespiegelt?
Revisionsmandat und schriftlich fixierte Ordnung aktualisiert?
Sind Mandat, Geschäftsordnung, schriftlich fixierte Ordnung, Unabhängigkeit, Berichtslinien, Zugriffsrechte, Ressourcen und Eskalationswege der Internen Revision GIAS-konform dokumentiert?
Revisionsstrategie als C-Level-Dokument verabschiedet?
Gibt es eine schriftliche, risikoorientierte Revisionsstrategie, die mit Geschäftsstrategie, Risikoappetit, Compliance-Schwerpunkten und Aufsichtserwartungen verzahnt und durch C-Level bzw. Aufsichtsorgan freigegeben ist?
Externe Qualitätsbeurteilung im Fünfjahres-Turnus eingeplant?
Wurde geprüft, ob eine externe Qualitätsbeurteilung oder Selbstbeurteilung mit unabhängiger Validierung nach GIAS, DIIR-3 und IDW PS 983 n.F. erforderlich ist und rechtzeitig beauftragt werden muss?
IDW-PS-983-n.F.-Prüfung belastbar vorbereitet?
Liegt eine prüffähige IRS-Beschreibung vor und ist entschieden, ob eine Angemessenheits- oder Wirksamkeitsprüfung des Internen Revisionssystems durchgeführt werden soll?
Qualifikation des Prüfungsteams abgesichert?
Ist sichergestellt, dass externe QA- oder IRS-Prüfungsteams ausreichend qualifiziert sind, insbesondere mit GIAS-Kenntnis, DIIR-Kompetenz und mindestens einer aktiven CIA-Zertifizierung, sofern einschlägig gefordert?
Alte IPPF-2017-Checklisten und Prüfungsraster abgeschaltet?
Wurden veraltete Selbst-Checklisten, frühere DIIR-Anlagen und alte Prüfungsraster durch eine GIAS-basierte Kriterienlogik ersetzt, damit sie 2026 nicht als schwache Entlastungsbasis wirken?
QS- und Verbesserungsprogramm wirksam etabliert?
Gibt es ein verbindliches Qualitätssicherungs- und Verbesserungsprogramm mit internen Reviews, KPI-Set, Management-Reviews, Selbstbeurteilungen und konsequentem Maßnahmen-Tracking?
Topical Requirements 2026 vollständig gemappt?
Sind Cybersecurity ab 05.02.2026, Third-Party-Risiken ab 15.09.2026 und Organizational Behavior ab 15.12.2026 im Prüfungsuniversum, in Prüfprogrammen und in der Dokumentation verbindlich berücksichtigt?
Cyber-, DORA-, NIS2- und MaRisk-Anforderungen verzahnt?
Werden IT-Resilienz, Cyber-Risiken, Auslagerungen, kritische Dienstleister und Risikokultur konsistent mit DORA, NIS2, MaRisk AT 7.2, MaRisk AT 9 und einschlägigen EBA-Leitlinien geprüft?
Risk-&-Compliance-Integration sichergestellt?
Ist festgelegt, wie Revisionsfeststellungen in Compliance-Risikoanalyse, Legal Inventory, AML-Steuerung, DORA-Governance und Maßnahmenmanagement zurückgespielt werden?
Haftungsrelevante Eskalationslinien definiert?
Gibt es rote Linien für wiederholte oder kritische Feststellungen zu Governance, Cyber, Third-Party, AML oder Compliance, die automatisch an C-Level, Prüfungsausschuss oder Aufsichtsrat eskaliert werden?
Ressourcen- und Kompetenzplanung freigegeben?
Sind Kapazitäten, Technologie, externe Spezialisten und Kompetenzaufbau für Cyber, Third-Party, AML, Kultur- und Verhaltensrisiken nachvollziehbar geplant und durch das C-Level freigegeben?
Schulungs- und Zertifizierungspfad dokumentiert?
Gibt es eine Kompetenzmatrix mit GIAS-Schulung, Ethikbaustein, Methodentraining, Topical-Requirements-Training und nachvollziehbaren Nachweisen für Revisionsleitung und Revisoren?
Maßnahmenregister und Follow-up revisionssicher umgesetzt?
Werden QA-Ergebnisse, Prüfungsfeststellungen, Verantwortlichkeiten, Fristen, Management-Antworten, Umsetzungsstatus und Wirksamkeitsnachweise zentral verfolgt und regelmäßig berichtet?
Enthaftungsdokumentation vollständig und konsistent?
Sind Protokolle, Mandatsfreigaben, QA-Beauftragung, IRS-Beschreibung, Revisionsstrategie, Ressourcenbeschlüsse, Maßnahmenregister, Eskalationen und Schulungsnachweise so dokumentiert, dass sie im Haftungsfall belastbar vorgelegt werden können?

🚦 Haftungsstatus der Internen Revision aus Sicht von Governance, Compliance & Aufsicht

ROT
Akute Haftungsgefahr: GIAS-Non-Conformance, veraltete Prüfungsraster, schwaches Quality Assessment und fehlende Entlastungsdokumentation
GELB
Wesentliche Gaps vorhanden: Mandat, Prüfmethodik, Ressourcen, Topical Requirements oder Maßnahmen-Tracking nicht ausreichend belastbar
GRÜN
GIAS-konforme, risikoorientierte und dokumentierte Interne Revision als starke Governance- und Enthaftungsbasis

V. Handlungsempfehlungen

Sinnvolle Lösungsansätze sind in deinem Kontext ein strukturierter Maßnahmenkatalog auf fünf Ebenen: Governance, Qualität/Prüfarchitektur, Risk & Compliance‑Integration, Organisation/Skills und Dokumentation/Beweisvorsorge.

1. Governance und Strategie sauber aufsetzen

  • GIAS‑Readiness‑Check mit Haftungsfokus: systematischer Soll‑Ist‑Abgleich gegen die 15 Prinzipien und 52 Anforderungen, gespiegelt an Organpflichten sowie an den Rollen von Vorstand, Aufsichtsrat, Compliance und Interner Revision.

  • Mandat, Geschäftsordnung und schriftlich fixierte Ordnung der Internen Revision aktualisieren, inklusive Unabhängigkeit, Ressourcen, Berichtslinien und Eskalationswegen.

  • Schriftliche Revisionsstrategie als C‑Level‑Dokument verabschieden und mit Geschäftsstrategie, Risikoappetit und Compliance‑Schwerpunkten verzahnen.

2. Qualität, QA und Prüfarchitektur härten

  • Verbindliches QS‑ und Verbesserungsprogramm etablieren: interne Reviews, KPI‑Set, Management‑Reviews und externe Quality Assessments in einen festen Zyklus bringen.

  • IDW‑PS‑983‑ bzw. DIIR‑3‑Prüfung früh einplanen, die IRS‑Beschreibung vorab robust aufsetzen und die Qualifikation des Prüfungsteams rechtzeitig absichern.

  • Alte Raster und Checklisten abschalten und eine GIAS‑basierte Selbstbeurteilung als neues Monitoring‑Instrument einführen.

3. Risk & Compliance konsequent integrieren

  • IRS klar mit dem Compliance‑Management‑System verknüpfen: festlegen, wie Revisionsfeststellungen in Compliance‑Risikoanalyse, Legal Inventory, AML‑ und DORA‑Steuerung zurückgespielt werden.

  • Haftungsrelevante rote Linien definieren, etwa bei wiederholten Feststellungen zu Cyber, Third‑Party, AML oder Governance, mit automatischer Eskalation an C‑Level oder Prüfungsausschuss.

  • Regelmäßige C‑Level‑Berichte etablieren, die Reifegrad, Non‑Conformance, Maßnahmenstatus und Umsetzung der Topical Requirements transparent machen.

4. Organisation, Ressourcen und Skills

  • Ressourcenplan der Internen Revision mit C‑Level‑Freigabe aufsetzen: Kapazitäten, Technologie und externe Spezialisten für Cyber, Third‑Party, AML und Kultur/Verhalten klar dokumentieren.

  • Zertifizierungs‑ und Schulungspfad etablieren, einschließlich GIAS‑Schulung, Ethikbaustein, Methoden‑ und Topical‑Training sowie nachvollziehbarer Kompetenzmatrix.

  • Rollenklarheit zwischen C‑Level, Aufsichtsrat und Interner Revision schriftlich festhalten, etwa in einer Governance‑Policy.

5. Dokumentation und Beweisvorsorge

  • Protokolle zu Mandat, Freigaben, QA‑Beauftragung, IRS‑Beschreibung, Ressourcenbeschlüssen und Revisionsstrategie so führen, dass sie im Haftungsfall als Entlastungsnachweis tragfähig sind.

  • Zentrales Maßnahmenregister aus QA‑Berichten und Prüfungen mit Verantwortlichkeiten, Fristen und Status einführen.

  • Klare Kommunikationslinie festlegen: wesentliche Mängel, Non‑Conformance und kritische QA‑Ergebnisse werden offen adressiert und nicht beschönigt.

Eine praktische Verdichtung wäre eine 90‑Tage‑Roadmap:

  • 0–30 Tage: Gap‑Assessment, alte Checklisten aussortieren, kritische Non‑Conformance identifizieren.

  • 31–60 Tage: Mandat, sfO, Revisionsstrategie, Berichtslinien und Ressourcenbeschluss aktualisieren.

  • 61–90 Tage: QS‑Programm, KPI‑Raster, Topical‑Requirements‑Mapping und Maßnahmenregister operativ umsetzen.

VI. Abschließende Zusammenfassung

Eine gute Interne Revision ist heute weit mehr als eine reine Kontrollinstanz: Sie ist Sparringspartner des Managements, Frühwarnsystem für Risiken und wichtiges Element der Haftungsvorsorge. Damit sie diese Rolle wirklich ausfüllen kann, braucht es klare Rahmenbedingungen, professionelle Methoden und eine starke Einbindung in Governance und Compliance. Entscheidend ist, dass Revision nicht nur formal „existiert“, sondern nachweisbar wirksam arbeitet. Wer das konsequent umsetzt, gewinnt sowohl an Sicherheit als auch an Leistungsfähigkeit.

  • Klarer Auftrag und Unabhängigkeit: Mandat, Berichtslinien und organisatorische Stellung müssen so geregelt sein, dass die Revision frei von sachfremden Einflüssen prüfen und berichten kann.

  • Kompetentes Team mit moderner Methodik: Fachliche Tiefe, Verständnis für das Geschäft, Daten‑ und IT‑Kompetenz sowie aktuelle Prüfungsstandards und Tools sind durchgängig vorhanden.

  • Risiko‑ und strategieorientierte Prüfungsplanung: Der Prüfungsplan orientiert sich an wesentlichen Risiken, der Geschäftsstrategie und regulatorischen Schwerpunkten – nicht nur an Historie und Bequemlichkeit.

  • Wirksames Qualitäts‑ und Verbesserungsprogramm: Es gibt definierte Standards, interne Reviews, Kennzahlen und regelmäßige externe Beurteilungen, aus denen tatsächlich Verbesserungen abgeleitet werden.

  • Klare, lösungsorientierte Berichterstattung: Feststellungen sind nachvollziehbar, priorisiert und mit umsetzbaren Maßnahmen versehen; die Kommunikation mit Management und Aufsichtsorganen ist offen und konstruktiv.

Wenn eine Organisation diese Punkte ernst nimmt und ihre Revision Schritt für Schritt entlang moderner Standards weiterentwickelt, wird aus einer „Pflichtfunktion“ ein echter Werttreiber: Risiken werden früher erkannt, Entscheidungen besser vorbereitet und Vorstand wie Aufsichtsrat können mit mehr Zuversicht nach vorne schauen.


VI. Quellenverzeichnis

Institute of Internal Auditors (IIA), Global Internal Audit Standards (GIAS), veröffentlicht am 09.01.2024: https://www.theiia.org/globalassets/site/standards/editable-versions/global-internal-audit-standards-german.pdf, abgerufen am 03.07.2026.

Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW), IDW PS 983 n.F. (12.2025) – Grundsätze ordnungsmäßiger Prüfung von Internen Revisionssystemen: https://www.idw.de/idw/idw-aktuell/pruefung-von-internen-revisionssystemen-neufassung-des-idw-pruefungsstandards-idw-ps-983-n-f-12-2025.html, abgerufen am 03.07.2026.

Deutsches Institut für Interne Revision e.V. (DIIR), DIIR-Revisionsstandard Nr. 3 (Neufassung vom 15.12.2025): https://www.diir.de/content/uploads/2025/12/DIIR-Revisionsstandard-Nr.-3-20251215.pdf, abgerufen am 03.07.2026.

AI Compliance Officer – S+P Seminare

Verwandte Hubs & Programme

Future Governance & Performance Hub

Steuere DORA, ESG und KI mit System. Der zentrale Hub für C-Level-Führungskräfte, die Governance in messbare Performance übersetzen.

Zum Hub

DORA Compliance Expert

Baue IKT-Resilienz auf und erfülle die Anforderungen des DORA Acts mit praxiserprobten Tools.

Zum Lehrgang

KI-Governance & AI Act

Setze KI rechtskonform ein und erfülle die Anforderungen des EU AI Acts.

Mehr erfahren

ESG-Compliance Manager

Integriere ESG- und CSRD-Anforderungen wirksam in deine Governance-Struktur.

Zum ESG-Lehrgang

Compliance Excellence (C-Level)

Strategische Compliance-Kompetenz für Geschäftsführung und Aufsichtsorgane.

Zu den Seminaren

Cyber & Mentale Resilienz

Stärkung der organisatorischen Widerstandskraft durch BCM und Krisenmanagement.

Zum Resilience-Lehrgang

AI Compliance Officer

Praxisnahe Umsetzung des EU AI Acts mit Policies, Vorlagen und Governance-Frameworks.

Zum Seminar

S+P C.O.R.E.

Strategische Exzellenz auf C-Level erfordert kontinuierliche Orientierung. Damit du nach deinem Lehrgang nicht allein gelassen wirst, haben wir S+P C.O.R.E. entwickelt.

S+P Mehrwert-Garantie: Dein Wissens-Vorsprung für 2026

Jede Buchung eines S+P Seminars beinhaltet automatisch den kostenfreien Zugang zum quartalsweisen S+P C.O.R.E. Executive Update. Warum? Weil wir wissen, dass die regulatorische Welt nicht stillsteht. Wir halten dein Wissen aktuell – garantiert.

S+P C.O.R.E

Dein Mehrwert mit S+P C.O.R.E.

Fokusbereich Dein konkreter Mehrwert
Compliance Sicherheit im Handeln: Einordnung aktueller Anforderungen (z. B. DORA / NIS 2, EU AI Act, ESG, Compliance), damit du genau weißt, was für Haftung und Praxis tatsächlich relevant ist.
Optimization Effizienz statt Bürokratie: Umsetzung regulatorischer Vorgaben mit smarten Prozessen, geeigneten Tools und effizienten Outsourcing-Strukturen.
Regulatory Frühwarnsystem nutzen: Strukturierte Bewertung neuer Aufsichtsschwerpunkte und regulatorischer Trends, bevor sie zum akuten Handlungsdruck werden.
Exchange Vorsprung durch Dialog: Austausch im geschützten Raum mit Fach- und Führungskräften auf Augenhöhe – mit praxiserprobten Lösungsansätzen aus dem Kreis deiner Peers.
Bekannt aus

S+P als Fachexperte in den Medien – Governance & Haftung für Geschäftsführer