Die Interne Revision hat verschiedene Möglichkeiten, im Rahmen ihrer Prüfungen zu Prüfungsaussagen zu gelangen. Hierbei können grundsätzlich die Ansätze im Rahmen von planmäßigen Prüfungen und zu forensischen Prüfungen unterschieden werden.

Zu den Möglichkeiten der Internen Revision, geschäftsschädigende Handlungen aufzudecken, zählen u.a. Whistleblowing, Fraud Due Diligence Prüfungen, Lernende Systeme und Corporate Intelligence (CI).

Im Rahmen der Corporate Intelligence kommt dem Einsatz von CAATs, d.s. computergestützte Prüfungstinstrumente, wachsende Bedeutung zu. Hierbei werden mit Hilfe von statistischen Auswertungen oder lernenden Systemen Informationen, Muster oder Erkenntnisse aus elektronisch auswertbaren Quellen analysiert.

Schwächen traditioneller Prüfungsansätze

Traditionelle Ansätze der Internen Revision werden – meist zu Recht – dafür kritisiert, dass Prüfungsurteile teilweise ohne oder mit unzureichender statistischer Signifikanz zwischen Stichprobe (Sample, „n“) und Grundgesamtheit („N“) getroffen werden. Die Signifikanz bezeichnet die Wahrscheinlichkeit eines systematischen Zusammenhangs (r) zwischen Variablen. Sie drückt aus, ob ein Zusammenhang  zufälliger Natur sein kann oder aber mit hoher Wahrscheinlichkeit tatsächlich vorliegt. Ist das Sample  sehr klein, muss die Korrelation stark sein, um signifikant sein zu können. Hingegen kann auch eine Korrelation von r=0,2 bei sehr großen Stichproben signifikant sein.

Das Problem unzureichender statistischer Signifikanz tritt i.d.R. bei der Prüfung von  Massendaten, wie z.B. Beschaffungsbuchungen, Forderungen, Verbindlichkeiten oder Umsatzerlösen, auf. Es ist nicht ungewöhnlich, dass ein Revisor beispielsweise 50 Vorgänge manuell aus einer Grundgesamtheit von zig Tausend oder gar Millionen Vorgängen zieht und - wenn er in dieser Stichprobe keine Fehler feststellt – zum Urteil gelangt, die systemimmanenten Kontrollen seien wirksam. 

Problematisch kann für einen Revisor auch sein, wenn im Nachgang zu einer Prüfung Unregelmäßigkeiten oder Zweifel an seinem Urteil auftreten. In diesem Falle wird er sich nur verteidigen können, wenn er sein Prüfungsurteil aus den durchgeführten – meist manuellen –  Prüfungshandlungen zweifelsfrei und lückenlos ableiten kann.

Die sich hier abzeichnende Problematik ist grundsätzlicher Natur: Eine Erhöhung des Stichprobenumfangs kostet wertvolle Prüfungszeit; ist die Grundgesamtheit allerdings sehr groß, so wird der Prüfer unter Umständen gar nicht in der Lage sein, die notwendige Stichprobe zu untersuchen, will er seinen Prüfungsauftrag fristgerecht abschließen.

Alternative bzw. Ergänzung: CAATs

Durch CAATs soll versucht werden, diese Schwächen der traditionellen Prüfung zu überwinden. Der Begriff CAATs beschreibt alle Methoden der computergestützten Analyse von Massendaten mit dem Ziel, Auffälligkeiten  aufzudecken. Der Computer (PC oder Laptop) wird damit selbst zum Audit-Tool. Dies wird auch als „White Box-Ansatz“ der Prüfung bezeichnet.

Grundidee dieses Konzepts ist die Prüfung des Systems der Kontrollen, die Prüfung der Kontrollen auf ihre tatsächliche Wirksamkeit und die Prüfung der tatsächlichen Arbeitsweise der Software im zu prüfenden Bereich bzw. Unternehmen.

Einsatzgebiete sind z.B. die Prüfung von Massendaten (wie oben erwähnt), die Prüfung von  Bestellvorgängen auf statistische Ausreißer, die Ermittlung der wirtschaftlich Berechtigten in jeder einzelnen Transaktion (bei Geldwäscheverdacht), und Unterschlagungsprüfungen.

Durch CAATs sollen zeitaufwändige manuelle Vollprüfungen von Belegen oder großen Datenmengen durch eine Analyse der Prozesse und der Funktionsfähigkeit von Kontrollen ersetzt werden. Dadurch kann ein Interner Revisor zu einer höheren Urteilssicherheit (Audit Comfort) gelangen.

Eine gut konzipierte CAATs-Prüfung erfolgt nicht nur auf Basis von Stichproben, sondern berücksichtigt alle Vorgänge (Transaktionen) und Wahrscheinlichkeiten. Zum einen erlaubt eine CAATs-Prüfung die Prüfung des gesamten Datenbestandes (Vollprüfung) hinsichtlich Auffälligkeiten, zum anderen den Einsatz von mathematisch-statistischen Stichprobenverfahren zur Ermittlung des erforderlichen Stichprobenumfangs für manuelle Prüfungshandlungen.

Beispiele für Vollprüfungen:

• Überprüfung der Abschreibungsbeträge im Anlagevermögen
• Überprüfung der Reichweiten einzelner Vorratspositionen
• Prüfung der Belegnummern auf Vollständigkeit bzw. Lücken.

Beispiele für mathematisch-statistische Stichprobenverfahren:

• Saldenbestätigungen bei Debitoren und Kreditoren
• Prüfung der korrekten Periodenabgrenzung am Ende der zu prüfenden Periode
• Prüfung des Inhalts des Kreditbuchs bei Kreditinstituten.

Folgende Arten von CAATs können unterschieden werden:

• Datenanalyse-Software
• Sicherheitsanalyse-Software
• Quellcodeanalyse-Software.

Voraussetzungen und Grenzen des Einsatzes von CAATs

Der Einsatz von CAAT hängt vor allem von folgenden Faktoren ab:

1. IT-Kenntnisse, Kompetenz und Erfahrungen des Revisors in Planung, Durchführung und Ziehen von Schlüssen aus den Ergebnissen
2. Verfügbarkeit von – vom zu prüfenden Bereich unabhängigen – IT-Einrichtungen, elektronisch verfügbaren Dateien und geeigneten CAATs
3. Manuelle Prüfungshandlungen sind nicht durchführbar, so z.B., wenn keine Output-Berichte vorliegen, zu Buchungen keine Belege oder Verträge vorhanden sind, oder kein Audit Trail festgestellt werden kann. 
4. Manuelle Prüfungshandlungen dauern zu lang (mangelnde Effizienz) oder lassen kein befriedigendes Prüfurteil zu (mangelnde Effektivität).

Wenn Transaktionsdateien in maschinenlesbarer Form nur für einen beschränkten Zeitraum zur Verfügung stehen, sind CAAT oft die einzige Option für den Revisor.

Ausreichend Anwendungskompetenz des Revisors vorausgesetzt – können CAATs i.d.R. eine wichtige ergänzende Rolle zur Aufdeckung von Unregelmäßigkeiten oder Delikthandlungen spielen.

Es muss allerdings auch gesagt werden, dass die Aufbereitung von Daten für solche Untersuchungen sorgfältig geschehen muss. Analysiert die Interne Revision die falschen Daten, wird sie auch zu den falschen Schlüssen kommen; das muss vermieden werden. Es ist darum nicht zu empfehlen, dass unerfahrene Revisoren CAATs nutzen, vielmehr muss sichergestellt sein, dass die Datenaufbereitung und -analyse durch erfahrene IT-Prüfer durchgeführt wird.