Interne Revision und Compliance Officer: Karrieren, Risikobeurteilung, Regulierung
Eine Karriere in interner Revision und Compliance ist eine strategische Governance-Funktion, nicht ein Detektiv-Job. Ein Internal Auditor oder Compliance Officer arbeitet mit dem Management zusammen, um Risiken zu identifizieren, regulatorische Anforderungen einzuhalten und Kontrollsysteme zu stärken. Anders als externe Auditoren (die finanzielle Ordnung bestätigen) prüfen interne Auditor laufende Prozesse, Kontrollen und Risiken, kontinuierliche Wachsamkeit, nicht Jahresschluss-Arbeit. Für global tätige Schweizer Firmen ist Sarbanes-Oxley (SOX) ein kritischer Standard, vor allem für US-börsennotierte Unternehmen, und das eröffnet internationale Karriereperspektiven. Dieser Leitfaden deckt Rollen, Karrierepfade, erforderliche Zertifikate und Gehaltsentwicklung ab.
In der Schweiz ist die interne Revision formell nicht obligatorisch, nur Aktiengesellschaften mit bestimmten Bilanzsummen sind verpflichtet, einen Revisor zu wählen. Allerdings fordern Banken, Investoren und regulatorische Behörden zunehmend ein Audit-Komitee und eine interne Audit-Funktion. Börsennotierte Unternehmen sind streng reguliert (SIX und FINMA); Finanzinstitute (Banken, Versicherungen) unterliegen der FINMA und BAG; Versicherungen und Pensionskassen haben eigene Standards. Was vor 10 Jahren optional war, ist heute Baseline: Interne Revision ist ein Geschäfts-Muss, nicht Luxus. Das treibt Nachfrage nach Audit- und Compliance-Fachleuten nach oben.
Das Gehalt ist attraktiv: Ein Junior Internal Auditor (0–2 Jahre) in Zürich oder Bern verdient CHF 75k–100k; ein Senior (3–5 Jahre) CHF 110k–145k; ein Manager CHF 140k–200k; ein Head of Internal Audit CHF 180k–280k. Compliance Officer folgen einer ähnlichen Skala. Pharma, Finanz und Tech zahlen am höchsten; KMU zahlen weniger. Die Schweiz ist höher als Deutschland oder Österreich, ein Grund, warum deutsche und österreichische Fachleute nach Schweiz wechseln.
- Rollen: Internal Auditor, Compliance Officer, Risk Manager, Audit Manager, Head of Internal Audit, alle nicht-exekutiv, berichten direkt an Audit Committee.
- Erforderliche Zertifikate: CIA (Certified Internal Auditor), CRMA (Risk Management Assurance), CPA, oder SOX-Spezialisierung.
- Gehalt: Junior CHF 75k–100k, Senior CHF 110k–145k, Manager CHF 140k–200k, Head CHF 180k–280k+.
- Karrierepfade: Big 4 (Deloitte, PwC, EY, KPMG) → In-House Audit, dann Head of Audit, oder spezialisieren (SOX, Fintech-Compliance).
- Regulierung: Sarbanes-Oxley (SOX) für US-börsennotiert, FINMA für Finanzinstitute, COSO-Framework für Risiko.
- Zeitaufwand: 40–50 Std./Woche regulär, intensiv bei Compliance-Projekten oder Audits.
Unterschied: Interner Auditor vs. Compliance Officer vs. Risk Manager
Alle drei sind Governance-Funktionen, aber mit unterschiedlichen Fokus. Ein Internal Auditor prüft Prozesse, Kontrollen und Risiken, operativ, kontinuierlich, prädiktiv. Ein Compliance Officer stellt sicher, dass Gesetze und Standards eingehalten werden, reaktiv, dokumentativ, normativ. Ein Risk Manager identifiziert Gesamtrisiken (strategisch, operativ, finanziell) und entwickelt Strategien. In kleinen Unternehmen ist eine Person oft alle drei; in grossen Firmen sind das separate Teams mit unterschiedlichen Kultur und Zielen.
Übergänge sind häufig: Ein Internal Auditor mit 5 Jahren Erfahrung wird oft zum Compliance Officer oder Risk Manager befördert, weil die Basiskompetenz (Prüfmethoden, Dokumentation, Kontrolle-Denken) transferabel ist. In der Big 4 lautet der typische Weg: Junior Consultant (Internal Audit) → Senior Consultant → Manager (spezialisiert auf Compliance oder Risk) → Partner.
Zertifikate und Qualifikation
CIA (Certified Internal Auditor) ist der Goldstandard, international anerkannt, obligatorisch für Top-Positionen. Die CIA-Prüfung hat drei Teile: Governance & Risk, Risk Assessment & Mitigation, Audit Practice. Kosten: CHF 2500–4000 für alle drei Teile (Material + Prüfungsgebühren). Vorbereitung: 6–12 Monate neben dem Job. Schweizer Fachleute sitzen für CIA oft in Zürich oder online, Organisation ist international (The IIA, Institute of Internal Auditors).
CRMA (Certification in Risk Management Assurance) ist eine Spezialvariante für Risk-fokussierte Auditor. CPA oder Wirtschaftsprüfer-Diplom ist auch respektiert, vor allem in der Schweiz (VSB-Diplom). SOX-Spezialisierung ist ein weiteres Zertifikat, nicht formal, aber als Expertise anerkannt. Für Compliance Officer ist oft auch ein rechtliches Diplom oder Kurse in Regulierung hilfreich (z.B. FINMA-Compliance-Programme).
Karrierepfade: Big 4 vs. In-House
Die typische Karriere beginnt in der Big 4 (Deloitte, PwC, EY, KPMG) oder einer mittleren Audit-Firma. Dort lernst Du Frameworks (COSO, COBIT), arbeitet auf Projekte mit unterschiedlichen Industrien und entwickelst Netzwerk. Nach 3–5 Jahren wechselst Du in ein grosses Unternehmen als Senior Auditor oder Manager, um vertieft in einer Branche zu arbeiten. Nach weiteren 3–5 Jahren kannst Du Head of Internal Audit werden, oder zurück in die Beratung als Partner oder Managing Director. Der Big-4-Weg ist schneller für Gehalt und Netzwerk; der In-House-Weg bietet mehr Stabilität und Einfluss auf eine einzelne Organisation.
Spezialisierungen entstehen von selbst: Jemand, der viel mit Fintech-Compliance arbeitet, wird Fintech-Experte; jemand mit SOX-Projekten wird SOX-Spezialist. Das eröffnet Chancen, Fintech und regulierte Industrien zahlen Premium für Expertise. Ein CIA mit 10 Jahren Erfahrung in SOX kann CHF 200k+ verdienen und hat globale Jobmöglichkeiten.
Sarbanes-Oxley und globale Compliance-Standards
SOX (Sarbanes-Oxley Act 2002, USA) ist kein Schweizer Standard, aber es betrifft Schweizer Firmen mit US-Börsennotierung oder US-Tochtergesellschaften. SOX verpflichtet zu detaillierten internen Kontrollen, Audit-Dokumentation und Zertifizierung durch CEO/CFO. Für ein global tätiges Schweizer Pharmaunternehmen oder ein Fintech mit US-Expansion ist SOX-Compliance kritisch. Das treibt Demand nach SOX-Experten. FINMA-Anforderungen (für Schweizer Banken und Versicherungen) sind ähnlich streng und verlangen auch Governance-Dokumentation und Audit-Trails.
COSO-Framework (Committee of Sponsoring Organizations) ist das globale Standard für Internal Control, einheitlich über Industrien. Ein Auditor, der COSO kennt, kann überall arbeiten. Das ist ein Vorteil: Wer COSO und CIA hat, kann zwischen Schweiz, EU und USA jobben.
Häufig gestellte Fragen
Muss ich CIA haben, um Internal Auditor zu werden?
Nein, aber es ist ein starker Vorteil. Junior Positionen erfordern meist nur Hochschulabschluss + etwas Audit-Erfahrung (praktika). Aber ab Senior-Level (3–5 Jahre) ist CIA oder vergleichbare Zertifizierung erwartet. Top-Positionen (Head of Audit) setzen CIA als Grundlage voraus.
Wie lange dauert die CIA-Prüfung und wie schwer ist sie?
Drei Teile, je 2.5 Stunden. Schwierigkeit: Mittel bis Hoch, ähnlich wie CPA, aber fokussiert auf Audit-Praxis. Bestehensquote ist etwa 40–50 % pro Teil weltweit. Mit 6–12 Monaten Vorbereitung ist sie für jemanden mit Audit-Erfahrung machbar.
Was ist der Unterschied zwischen internem und externem Auditor?
Externer Auditor (Wirtschaftsprüfer) prüft abgeschlossene finanzielle Rechnungen, eine Jahres-Aktivität. Interner Auditor prüft laufende Prozesse, Risiken und Kontrollen, kontinuierlich, präventiv, strategisch. Externe arbeiten für unabhängige Kanzleien; Interne für das Unternehmen selbst (aber mit Unabhängigkeit).
Kann ich vom Compliance Officer zum CEO wechseln?
Selten direkt, aber möglich als Zwischenschritt. Ein Compliance Officer mit breitem Verständnis kann zum COO oder CFO wechseln. Zur Geschäftsführung ist aber ein tieferes Business-Verständnis nötig, nicht nur Kontroll-Denken. Manche machen diesen Schritt nach 10+ Jahren.