Internal Audit Einkauf
Internal Audit Einkauf
Der Internal Audit Einkauf ist die unabhängige, objektive Prüfungs- und Beratungstätigkeit der Internen Revision, die den Beschaffungsprozess auf Wirksamkeit interner Kontrollen, Einhaltung von Regelwerken und Effizienz der Mittelverwendung untersucht. Sie folgt im DACH-Raum den seit 9. Januar 2024 verbindlichen Global Internal Audit Standards des Institute of Internal Auditors (IIA), den DIIR-Revisionsstandards des Deutschen Instituts für Interne Revision sowie den methodischen Vorgaben aus IDW PS 261 nF zur risikoorientierten Prüfung. Die Funktion ist organisatorisch direkt der Geschäftsführung oder dem Prüfungsausschuss unterstellt und liefert die zweite Verteidigungslinie gegen Compliance-, Fraud- und Effizienzrisiken im Einkauf.
Detaillierte Erklärung
Methodische Grundlage ist der risikoorientierte Prüfungsansatz: Aus dem COSO-ERM-Framework von 2017 leitet die Revision ein Universum an Auditthemen ab, bewertet diese nach Eintrittswahrscheinlichkeit und Schadenshöhe und priorisiert die Jahresplanung. Für den Einkauf typische Risikofelder sind Maverick Buying, [[funktionstrennung-im-einkauf]], Lieferantenbestechung, manipulierte Ausschreibungen, [[delegation-of-authority-doa]]-Verstöße und IT-General-Controls in ERP-Systemen wie SAP MM oder Oracle Fusion. IDW PS 261 nF definiert die Identifikation und Beurteilung von Fehlerrisiken auf Aussagen-Ebene und unterscheidet bedeutsame Risiken von Standardrisiken; auf dieser Logik baut die funktionsorientierte Prüfung der Beschaffung auf, die Stichproben aus den Subprozessen Bedarfsermittlung, Lieferantenauswahl, Vertrag und Zahlung zieht. Die IIA-Standards 2024 lösten in 142 Ländern das alte IPPF von 2017 ab und gliedern sich in 15 Prinzipien und 52 Standards entlang fünf Domänen, darunter Domäne IV (Managing the Internal Audit Function) und Domäne V (Performing Internal Audit Services). Das DIIR mit Sitz in Frankfurt am Main, gegründet 1958 und mit über 4.000 Mitgliedern, übersetzt die IIA-Standards für den deutschsprachigen Markt und veröffentlicht ergänzende Revisionsstandards wie DIIR Nr. 3 (Qualitätsmanagement) und DIIR Nr. 5 (Konzernrevision). Die Personalstärke einer mittelständischen Revisionsabteilung liegt typischerweise bei 0,5 bis 1,5 Vollzeitstellen je 1.000 Mitarbeiter, und ein Einkaufsaudit umfasst je nach Materialität 8 bis 25 Personentage.
Praxisbeispiel (konkretes Einkaufsszenario)
Ein süddeutscher Hersteller von Werkzeugmaschinen mit 1.350 Mitarbeitern und einem Einkaufsvolumen von 287 Millionen Euro plant für das Geschäftsjahr 2026 das erste vollumfängliche Einkaufsaudit nach IIA-Standards 2024. Die zweiköpfige Revision priorisiert auf Basis einer Risikomatrix drei Themen: indirekte Beschaffung über 12.500 Einzelbestellungen pro Jahr, Approval-Workflows in SAP S/4HANA und die Lieferantenstammdatenpflege. Das Audit dauert 18 Personentage, prüft eine Stichprobe von 60 Bestellungen über 25.000 Euro und zieht zusätzlich 240 Kreditorenstammsätze für eine GAP-Analyse. Die Revision identifiziert 14 Feststellungen, davon drei mit Wesentlichkeitsstufe hoch: ein Lieferant ohne Sanktionslistenprüfung, eine Umgehung der Vier-Augen-Genehmigung in 2,4 Prozent der Bestellungen und unzureichende [[stammdatenmanagement-mdm]]-Pflege bei Bankverbindungen. Der Maßnahmenkatalog umfasst 23 Verbesserungen mit Umsetzungsfristen zwischen 30 und 270 Tagen; die Nachschau im Folgejahr bestätigt die Erledigung von 19 Maßnahmen. Die Revisionskosten von 165.000 Euro stehen einem dokumentierten Cost-Avoidance-Effekt von 1,8 Millionen Euro gegenüber.
Typische Fehler & Verhandlungskontext
Drei Fehler treten in der Praxis besonders häufig auf. Erstens berichtet die Revision an den CFO statt direkt an den Prüfungsausschuss; das verletzt das IIA-Unabhängigkeitsprinzip aus Standard 1110, weil der CFO selbst Prüfobjekt der Einkaufsprüfung sein kann. Zweitens wählt die Revisionsleitung Stichproben rein zufällig statt risikoorientiert; das widerspricht IDW PS 261 nF und erzeugt Prüfungsergebnisse ohne hinreichende Aussagekraft, weil die wenigen bedeutsamen Risiken statistisch nicht getroffen werden. Drittens fehlt die externe Qualitätsprüfung nach IIA-Standard 1312, die mindestens alle fünf Jahre durch einen unabhängigen Dritten durchgeführt werden muss; das DIIR bietet hierfür ein zertifiziertes Quality-Assessment-Verfahren an, das je nach Größe der Revision zwischen 12.000 und 45.000 Euro kostet. In der Anbieterauswahl für GRC-Software wie SAP GRC, Workiva, AuditBoard oder TeamMate+ ist ein Punkt zentral: Die Plattform muss IIA-Standard 2330 zur Dokumentation der Arbeitsergebnisse erfüllen und revisionssichere Audit Trails liefern, sonst sind die Prüfungsergebnisse vor Gericht oder im Prüfungsausschuss schwer zu verteidigen.
Verwandte Begriffe
[[iso-37301-compliance]], [[compliance-officer-einkauf]], [[forensik-einkauf]], [[audit-trail-einkauf]], [[funktionstrennung-im-einkauf]], [[vier-augen-prinzip]], [[delegation-of-authority-doa]], [[tone-at-the-top]]