Aktuelle Anforderungen an die Prüfung von IT-Systemen

Inhaltsverzeichnis

  Abkürzungsverzeichnis..........................................................................................................III  

Abbildungsverzeichnis............................................................................................................V

1.  Problemorientierte Einführung 1  

1.1  Die Bedeutung der IT im Unternehmen 1  

1.2  Die  Vertrauenskrise.......................................................................................................2

1.3  Zielsetzung und Gang der Untersuchung 3  

1.4  Vorüberlegungen zu den rechtlichen Grundlagen 4  

1.4.1  Gesetzliche Regelungen 4  

1.4.2  Berufsständische Regelungen 5  

1.4.3  Weitere Regelungen 7  

2.  Die IT-Systemprüfung im Kontext der Abschlussprüfung 9  

2.1  Prüfungsnachweise 9  

2.2  Prüfungshandlungen 9  

2.2.1  Systemprüfungen 10  

2.2.2  Aussagebezogene Prüfungshandlungen 10  

2.3  Der risikoorientierte Prüfungsansatz 11  

2.3.1  Risiken in der Abschlussprüfung 11  

2.3.2  Begriff der Wesentlichkeit 13  

2.4  Das Interne Kontrollsystem 14  

2.4.1  Begriff und Aufgaben 16  

2.4.2  Grenzen für die Wirksamkeit 18  

2.4.3  Komponenten 18  

2.4.4  Die Prüfung des Internen Kontrollsystems 20  

2.4.5  Bezug zur Prüfung von  IT-Systemen.................................................................23

3.  Anforderungen an die  IT-Systemprüfung...........................................................................24

3.1  Regelungen zur Abschlussprüfung beim Einsatz von  IT.............................................24

3.1.1  Ziele und Umfang der  IT-Systemprüfung..........................................................24

3.1.2  Risiken aus dem Einsatz von  IT.........................................................................26

3.1.3  Besondere Anforderungen in der Rechnungslegung 29  

3.1.3.1  Die Grundsätze ordnungsmäßiger Buchführung 29  

3.1.3.2  IT-spezifische Sicherheitsanforderungen 35  

  - I -  

3.1.4  Besonderheiten des risikoorientierten Prüfungsansatzes 38  

3.1.5  Vorgehensweise bei der  IT-Systemprüfung.......................................................39

3.1.6  Anforderungen an die Durchführung der  IT-Systemprüfung............................42

3.1.6.1  Auftragsannahme und Prüfungsplanung 42  

3.1.6.2  Kenntniserwerb über das  IT-System.....................................................46

3.1.6.3  Prüfung von IT-Strategie -Umfeld und -Organisation 47  

3.1.6.4  Prüfung der  IT-Infrastruktur..................................................................48

3.1.6.5  Prüfung der  IT-Anwendungen...............................................................52

3.1.6.6  Prüfung IT-gestützer Geschäftsprozesse 56  

3.1.6.7  Prüfung des  IT-Überwachungssystems.................................................57

3.1.6.8  Prüfung des  IT-Outsourcing..................................................................58

3.1.7  IT-gestützte Abschlussprüfung 59  

3.2  Besondere Anforderungen bei E-Business 61  

3.2.1  Erscheinungsformen des E-Business 61  

3.2.2  Chancen und Risiken aus E-Business 63  

3.2.3  Anforderungen an die Ordnungsmäßigkeit 65  

3.2.4  Anforderungen an die Sicherheit 66  

3.3  WebTrust-Prüfungen 68  

3.3.1  Risiken im Online-Handel 69  

3.3.2  Principles 70  

3.3.3  Anforderungen an den Prüfer 70  

3.3.4  Durchführung der WebTrust-Prüfung 70  

3.4  Weitere Anforderungen an die  IT-Systemprüfung......................................................71

3.4.1  Anforderungen durch den Peer Review 72  

3.4.2  Anforderungen durch den Sarbanes-Oxley Act of  2002....................................74

4.  Zusammenfassung 78  

  Literaturverzeichnis................................................................................................................VI  

  Erklärung zur Diplomarbeit XVII  

  - II -  

a.a.O. am angegebenen Ort

Betriebs Berater (Zeitschrift)

Bundesministerium der Finanzen

Der Betrieb (Zeitschrift)

Deutsches Steuerrecht (Zeitschrift) Elektronische Datenverarbeitung

Fachausschuss Informationstechnologie

Grundsätze ordnungsmäßiger Buchführung Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme herrschende(r) Meinung

i.S.d. im Sinne des

- III -

i.V.m. in Verbindung mit

Institut der Wirtschaftsprüfer e.V. in Deutschland

IDW Entwurf Prüfungsstandard

IDW Rechnungslegungsstandard

International Federation of Accountants

Gesetz zur Kontrolle und Transparenz im Unternehmensbereich

Sarbanes-Oxley Act of 2002

Die Wirtschaftsprüfung (Zeitschrift)

z.B. zum Beispiel

- IV -

Abbildungsverzeichnis

  Abb 1: Prüfungshandlungen 9  

  Abb 2: Risiken der Abschlussprüfung 12  

  Abb 3: Risikomanagement 15  

  Abb 4: Internes Kontrollsystem 16  

  Abb 5: Komponenten des Internen Kontrollsystems 20  

  Abb 6: Elemente des  IT-Systems..........................................................................................25

  Abb 7: Risikomatrix der  IT-Systemprüfung..........................................................................29

  Abb 8: GoB und GoBS 30  

  Abb 9: Kriterien des  IT-Sicherheitskonzeptes.......................................................................36

  Abb 10: Prüfungsansatz in der Systemprüfung 39  

  Abb 11: Stufen der  IT-Systemprüfung..................................................................................40

  Abb 12: Studie zum Wissensstand  IT...................................................................................44

  Abb 13: Prüfung der  IT-Infrastruktur....................................................................................49

  Abb 14: Projektbegleitende Prüfung 56  

  Abb 15: Evolution des E-Business 61  

  Abb 16: WebTrust-Seal 71  

  - V -  

1. Problemorientierte Einführung

1.1 Die Bedeutung der IT im Unternehmen

Heutzutage müssen Unternehmen vielen Herausforderungen entgegentreten, um auch in Zukunft erfolgreichen operieren zu können. Im Zuge der zunehmenden Globalisierung verändern sich auf der einen Seite Märkte, Angebot und Nach- frage, andererseits aber auch die in den Unternehmen zur Bewältigung ihrer Ge-

schäfte eingesetzte Technologie. 1 Nicht nur Produktions- und Dienstleistungspro-

zesse werden immer effizienter, sondern auch die Technologie, die im Unterneh- men selbst eher unterstützende Wirkung hat. Insbesondere in Bezug auf die Rech- nungslegung und alle Systeme, die mit ihr zusammenhängen, ist die Technologie von wesentlicher Bedeutung. Eine moderne Unternehmensorganisation ist ohne den Einsatz moderner Informationstechnologie kaum noch vorstellbar.

IT-Systeme in Unternehmen dienen heute nicht mehr nur der Buchführung, son- dern im Besonderen auch einer zeitgemäßen Rechnungslegung, um die einzelnen Geschäftsbereiche steuern und überwachen zu können. Die IT ermöglicht es da- bei, Informationen aus verschiedensten Quellen zeitnah zu erfassen, zu verarbei- ten und aussagefähig auszuwerten. Auf Grundlage dieser Informationen werden Entscheidungen getroffen, die letztlich von strategischer Bedeutung für das Un- ternehmen sind.

Darüber hinaus ermöglichen die neuen Technologien, Unternehmensgruppen über die physischen Grenzen des Unternehmens hinaus zu vernetzen. Der Handel mit anderen Unternehmen oder Privatkunden kann dadurch auf eine neue (virtuelle) Plattform gestellt werden, welche logistisch und organisatorisch ganz neue Her- ausforderungen darstellt, aber auch ungemeine Chancen für die Entwicklung des Unternehmens bietet.

Neben diesen Chancen ergeben sich zwangsläufig aber auch Risiken, die berück- sichtigt werden müssen. Die Komplexität der Vernetzung von Technologie und operativem Geschäft birgt neue Gefahren in sich, die durch den zunehmenden Einsatz von Informationstechnologie bedeutend werden. Aus Sicht der gesetz- lichen Anforderungen an den Jahresabschluss eines Unternehmens muss die

1 Vgl. Heese: (IT-Systemprüfung), 2002, S. 3

- 1 -

Rechnungslegung v.a. verlässlich sein. Sie muss klaren und eindeutigen Ord-

nungs- und Sicherheitsprinzipien unterliegen. 2 Neben den Einzelfall- und Plausibilitätsprüfungen gewinnen in diesem Zusammenhang Systemprüfungen

zunehmend an Bedeutung. 3 IT-Systeme sind dabei in einer gesamtheitlichen Be-

trachtung zu untersuchen: 4 Nicht nur die Funktionsfähigkeit einzelner Komponen- ten der IT, sondern gerade die Interdependenzen einzelner Teilsysteme sowie die

Abhängigkeit der operativen Systeme von der IT sind für eine solche Sichtweise

zwingend notwendig.

Ein zeitgemäßer Prüfungsansatz muss dabei risikoorientiert sein und die wesent-

lichen kritischen Bereiche der IT-gestützten Rechnungslegung untersuchen. Bei

komplexen und integrierten IT-Systemen kann die erforderliche Aussagensicher-

heit ohne die Prüfung dieser Systeme nicht ausreichend sichergestellt werden. Ein

Qualitätsverlust bei der Abschlussprüfung wäre die Folge.

1.2 Die Vertrauenskrise

Qualität ist aber ein sehr wichtiges Kriterium, das vom Abschlussprüfer erfüllt

werden muss. Sie zählt daher auch seit jeher zu den wichtigsten Grundsätzen im

Berufsstand der Wirtschaftsprüfer. Eine Verpflichtung dazu ergibt sich schon aus

den allgemeinen Berufspflichten, nach denen der Wirtschafsprüfer seinen Beruf

unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich auszuüben hat. 5 Ein hohes Qualitätsniveau ist auch insofern angemessen, als dass die Abschluss-

prüfung eine Kontrollfunktion für die Öffentlichkeit und der Unternehmen sowie

für den Kapitalanleger- und Gläubigerschutz darstellt. 6

Die Qualität der Abschlussprüfung wird allerdings immer dann in Frage gestellt,

wenn die Öffentlichkeit die Erteilung eines Bestätigungsvermerks 7 trotz erkennba- rer Unternehmenskrise nicht nachvollziehen

Unternehmenskrisen in der jüngeren Vergangenheit (z.B. Balsam, Schneider) so-

wie die Krisen im Zusammenhang mit FlowTex und Phillip Holzmann brachten

den Berufsstand der Wirtschaftsprüfer, dessen Merkmal es über Jahrzehnte war,

2 Vgl. Heese: (IT-Systemprüfung), 2002, S. 18

3 Vgl. die Ausführungen zu den Prüfungshandlungen im IDW PS 300, Wpg 17/2001, S. 898 ff. 4 Vgl. Heese: (E-Business), 2002, S.8 5 Vgl. § 43 I WPO 6 Vgl. Marks/Schmidt: (Regierungsentwurf), WPg 2000, S. 409 7 Vgl. § 322 HGB i.V.m. IDW PS 450, Wpg 20/2203, S.1127 ff.

8 Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073

- 2 -

keine Rolle im Bewusstsein der Öffentlichkeit zu spielen 9 , zunehmend in die Kri- tik. Jüngstes Beispiel sind die Zusammenbrüche der amerikanischen Konzerne

Worldcom und Enron, die die Diskussion um eine Verbesserung der Qualität der

Prüfung wieder entfacht hatten, 10 wenngleich die Krise im Falle Enron nachweis- lich auch zum Teil durch konsequentes Ausnutzen der Schwächen im System der

US-GAAP bedingt war. 11

Die anhaltende Kritik begründet sich in einer Erwartungslücke 12 , d.h. der Diskre- panz zwischen den Erwartungen der Nachfrager (Öffentlichkeit, Unternehmen)

nach Prüfungsleistungen an den Bestätigungsvermerk und der tatsächlichen Aus-

sage des Bestätigungsvermerks. 13 Die Öffentlichkeit und v.a. die Investoren sehen den Bestätigungsvermerk als Garantie für den Fortbestand des Unternehmens und

interpretieren diesen somit auch qualitativ. 14 Der Berufsstand der Wirtschaftsprü- fer dagegen versteht unter Prüfungsqualität v.a. die Erfüllung der vom Gesetzge-

ber und Berufsstand vorgegebenen Kriterien. 15

Um die bestehenden Erwartungen an die Abschlussprüfung erfolgreich erfüllen zu

können, ist es notwendig, dass sich sowohl Prüfungsansatz, Prüfungsstrategie als

auch Prüfungshandlungen an den jeweiligen Stand der Technik anpassen. Neue

und komplexe Technologien innerhalb der immer globaler operierenden Unter-

nehmen lassen es notwendig erscheinen, dass auch Regelungen für die Ab-

schlussprüfungen stetig an die Entwicklung adaptiert werden.

Unter diesen Voraussetzungen gilt es zu untersuchen, welche Anforderungen er-

füllt werden müssen, um die Qualität der Abschlussprüfung – und hier insbeson-

dere im Rahmen der IT-Systemprüfung - sicherzustellen.

1.3 Zielsetzung und Gang der Untersuchung

Ziel dieser Arbeit ist es, im Wesentlichen darzustellen, welche Anforderungen an die Prüfung von IT-Systemen gestellt werden. Dazu werden nach grundsätzlichen Überlegungen zu den in Frage kommenden Normen und Regelungen die Grund-

9 Vgl. Niehus: (Peer Review), DB 2000, S. 1133

10 Vgl. Süddeutsche Zeitung vom 22.01.2002 11 Vgl. Lüdenbach: (Kausalität), DB 2002, S. 1169 ff.

12 umfassend dargelegt bei Biener: (Erwartungslücke), 2003, S. 37 ff.

13 Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073 14 Vgl. Marten: (Berufsstand), BB 1999, S.1594 15 Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073

- 3 -

lagen der Abschlussprüfung kurz dargelegt. Um die Stellung der IT-Systemprü- fung in den Kontext der Abschlussprüfung einordnen zu können, werden die we- sentlichen Aspekte und Anforderungen mit Zielrichtung auf die Prüfung des In- ternen Kontrollsystems erläutert; die IT-Systemprüfung stellt nämlich einen Teil- ausschnitt der IKS-Prüfung dar und unterliegt somit auch den Anforderungen, die an eine IKS-Prüfung gestellt werden.

Im weiteren Verlauf werden die Anforderungen, die konkret im Zusammenhang mit IT-Systemprüfungen zu beachten sind, dargelegt und erläutert. Dabei werden auch die besonderen Regelungen untersucht werden, die sich aus dem E-Business ergeben.

Gesondert werden die Anforderungen im Zusammenhang mit sog. WebTrust-Prü- fungen dargelegt, die zwar keine vorgeschriebene Prüfung im Rahmen der gesetz- lichen Abschlussprüfung darstellen, jedoch in enger Korrelation zur IT-System- prüfung stehen.

Schließlich werden die indirekten Anforderungen, die sich aus den Regelungen zum Peer Review und dem Sarbanes-Oxley Act of 2002 ergeben, hinsichtlich ih- rer Auswirkungen auf die IT-Systemprüfung analysiert.

Eine Zusammenfassung der wichtigsten Ergebnisse dieser Arbeit bilden den Ab- schluss

1.4 Vorüberlegungen zu den rechtlichen Grundlagen

1.4.1 Gesetzliche Regelungen

Normen zur Rechnungslegung und Abschlussprüfung finden sich im Handelsge-

setzbuch. Eine grundsätzliche Pflicht zur Prüfung ergibt sich für Kapitalgesell-

schaften aus den Regelungen des § 316 I HGB. Dabei ist die Buchführung in die

Prüfung gem. § 317 I 1 HGB einzubeziehen. Diese Regelungen sind insofern von

Bedeutung, da IT-Systeme gerade im Bereich der Buchführung eine wesentliche

Rolle spielen. Diesbezügliche Regelungen des Gesetzgebers spiegeln sich in den

§§ 238-241 HGB wider, in denen auch die kodifizierten Grundsätze ordnungsmä-

ßiger Buchführung (GoB) zu finden sind 16 . Anpassungen an diese vom Gesetzge- ber gestellten Anforderungen sind durch die „Grundsätze ordnungsmäßiger DV-

16 Vgl. dazu insbesondere die Regelungen des § 239 II HGB

- 4 -

gestützter Buchführungssysteme (GoBS)“ des Bundesministeriums für Finanzen

konkretisiert worden. 17

Die Regelungen zur Buchführung sind allerdings auch im Zusammenhang mit steuerlichen Bestimmungen zu sehen. Die §§ 146 und 147 AO definieren die An- forderungen an die Buchführung hinsichtlich Aufzeichnung und Aufbewahrung aus steuerlicher Sicht und sind somit auch für die Prüfung der IT-Systeme eines Unternehmens zu berücksichtigen.

Aus Sicht der Anforderungen an die Sicherheit der IT ist die Einführung des Ge- setzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 1.1.1998 sehr bedeutsam. Die eingeführten Regelungen sehen nämlich u.a. vor, dass geeignete Maßnahmen zu treffen sind - insbesondere die Installation eines Überwachungssystems innerhalb des Unternehmens -, um für das Unternehmen gefährliche Entwicklungen frühzeitig erkennen und somit den Fortbestand des

Unternehmens dauerhaft sichern zu können. 18 Allerdings ist das KonTraG im Hin-

blick auf das einzurichtende Risikomanagement sehr allgemein gehalten. Es sagt nichts konkret darüber aus, aus welchen Elementen es bestehen und auf welche Bereiche es sich erstrecken muss. Für den Fortbestand des Unternehmens ist dem- nach grundsätzlich jedes Risiko zu beachten. Daraus folgt die Verpflichtung des Unternehmens, sich auch gegen IT-Sicherheitsrisiken ausreichend abzusichern, sofern sie den Bestand gefährden können. Dies dürfte in einer globalisierten Welt mit zunehmender Abhängigkeit von der IT für nahezu jedes größere Unternehmen zutreffen.

1.4.2 Berufsständische Regelungen

Neben diesen wichtigsten gesetzlichen Regelungen können sich auch aus den be- rufsständischen Regelungen Anforderungen für IT-Systemprüfung ergeben.

Hier sind die Stellungnahmen zur Rechnungslegung (RS) und die Prüfungsstan- dards (PS) des IDW von überragender Bedeutung für die Prüfung der IT-Systeme. Mit dem Prüfungsstandard 330 zur „Abschlussprüfung bei Einsatz von Informati- onstechnologie“ hat der Hauptfachausschuss (HFA) am 24.9.2002 einen zentralen Standard verabschiedet, der speziell auf die Problematik hinsichtlich des Einsatzes von IT im Rahmen der Abschlussprüfung eingeht. Darüber hinaus existieren wei-

17 Vgl. BMF: (GoBS), S. 738 ff.

18 Vgl. § 91 Abs. 2 AktG

- 5 -

tere sehr wichtige Standards, die das Themenfeld der Informationstechnologie be- rühren. Beispielhaft sei an dieser Stelle der IDW PS 331 zur „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunterneh- men“ sowie der IDW PS 880 zur „Erteilung von Softwarebescheinigungen“ ge- nannt. Ferner ist der IDW PS 890 zur „Durchführung von WebTrust-Prüfungen“ von Bedeutung, da sich hier ein Betätigungsfeld für Wirtschaftsprüfer ergibt, wel- ches ebenfalls nicht ohne die Prüfung der im Unternehmen vorhandenen IT-Sys- teme auskommt.

Es ist zu beachten, dass es sich bei den IDW Prüfungsstandards nicht um gesetzli- che Verpflichtungen, sondern um die Berufsauffassung des IDW handelt. Diese Standards erzielen insofern verbindliche Wirkung, als dass Abweichungen davon nur in begründeten Einzelfällen möglich sind und diese im Prüfungsbericht her-

vorgehoben und erläutert werden müssen. 19 Abweichungen können in Streit- fällen 20 zum Nachteil des Abschlussprüfers ausgelegt werden.

Die Prüfungsstandards des IDW berücksichtigen auch die internationalen Be- lange: Die Globalisierung der Wirtschaft und Kapitalmärkte erfordert neben der Anwendung internationaler Standards für die Rechnungslegung auch internatio- nale Standards für die Prüfung, um für die internationalen Kapitalmärkte verläss- liche und vergleichbare Finanzinformationen liefern zu können. Prüfungsurteile sollen international vergleichbar sein.

Aus diesem Grund empfiehlt das vom Public Oversight Board 21 eingesetzte Panel on Audit Effectiveness 22 den großen WP-Gesellschaften, die International

Accounting Standards (ISA) als international anerkannte Prüfungsstandards bei

der Entwicklung der Prüfungsgrundsätze zu beachten. 23 Die ISA werden von der International Federation of Accountants (IFAC) entwickelt 24 , deren deutsche Mit-

glieder die Wirtschaftsprüferkammer (WPK) als Berufsorganisation der Wirt- schaftsprüfer und das IDW sind. Zu den Aufgaben des IDW gehört es u.a., die

ISA in nationale Prüfungsstandards zu transformieren 25 sowie die Arbeit und

Ziele der IFAC zu unterstützen. 26 Im Ergebnis dieser Tätigkeit des IDW, die 1998

begonnen worden ist, existieren derzeit über 40 Prüfungsstandards; weitere sind

19 Vgl. Klein/Bruhne: (Abschlussprüfung), 2003, S. 26

20 z.B. Regress, Berufs- und Strafgerichtsbarkeit

21 Der POB übt in der SEC Practice Sectice des American Institute of Certified Public Accountants

eine Überwachungsfunktion aus.

22 Kommission, die vom POB eingesetzt wurde, um eine umfassende Studie zur Qualität der

Abschlussprüfung durchzuführen

23 Schmidt: (Empfehlungen), 2000, S.793

24 Vgl. Hulle: (Bilanzrichtlinien zu ISA), Wpg 18/2003

25 Vgl. Kompenhaus: (Transformation), S. 9

26 Vgl. Ebenda

- 6 -

im Stadium des Entwurfs. 27 Allerdings stellen diese Transformationen keine kon-

gruenten Umsetzungen der ISA dar, sondern gehen meist – in Abhängigkeit von

den Anforderungen deutscher Rechtsnormen – über diese hinaus. 28

Zu den für diese Arbeit bedeutendsten Rechnungslegungsstandards zählen zum einen der IDW RS FAIT 1 als Stellungnahme zu den „Grundsätzen ordnungsmä- ßiger Buchführung bei Einsatz von Informationstechnologie“. Zum anderen ist der

sehr aktuelle 29 IDW RS FAIT 2 zu nennen, der die „Grundsätze ordnungsmäßiger

Buchführung bei Einsatz von Electronic Commerce“ behandelt.

1.4.3 Weitere Regelungen

Abschließend soll an dieser Stelle noch auf zwei weitere wichtige in Frage kom- mende Regelungsbereiche hingewiesen werden, die eher mittelbar auf die Anfor- derungen an den Abschlussprüfer bei der Prüfung von IT-Systemen wirken:

Die Vorschriften der in § 57a WPO geregelten externen Qualitätskontrolle sind im Zuge der Einführung des sog. Peer Reviews in Deutschland in die WPO aufge- nommen worden. Von Bedeutung ist im Zusammenhang mit dieser Arbeit u.a. das Erfordernis einer vernünftigen Prüfungsplanung und Prüfungsdurchführung sowie einer angemessenen Dokumentation. Sind diese Voraussetzungen, die auch bei der Prüfung von IT-Systemen eine wichtige Rolle spielen, nicht erfüllt, erhält der dem Review unterzogene Prüfer keine Teilnahmebescheinigung und verliert auf- grund dieser fehlenden Bescheinigung das Recht, Abschlussprüfungen durchzu-

führen. 30

Abschließend sind auch die Auswirkungen des sog. Sarbanes-Oxley Act of 2002 zu berücksichtigen, einem Maßnahmenkatalog, der nach den wirtschaftlichen Zu- sammenbrüchen bedeutender amerikanischer Unternehmen am 30.07.2002 durch die amerikanische Regierung erlassen worden ist. In diesem Zusammenhang wird über die Unabhängigkeit des Abschlussprüfers zu diskutieren sein, die nicht zu- letzt in einer relativ rigorosen Trennung von Beratungs- und Prüfungsleistungen ihren Ausdruck findet. Auch diese Regelungen stellen Anforderungen an die IT- Systemprüfung im Rahmen der Abschlussprüfung dar und werfen mitunter Fragen zur Umsetzung auf.

28 Vgl. die Position: „Übereinstimmung mit ISA“ am Ende eines jeden Prüfungsstandards

29 vom HFA am 29.9.2003 verabschiedet

30 Vgl. § 319 II HGB i.V.m. § 57a WPO

- 7 -

Im Verlauf dieser Arbeit wird an gegebener Stelle auf die einzelnen Regelungen –

soweit sie das fachliche Thema betreffen – konkret eingegangen werden.

- 8 -

2. Die IT-Systemprüfung im Kontext der Abschlussprüfung

Um die Prüfung der IT-Systeme inhaltlich in den Kontext der Abschlussprüfung einordnen zu können, werden im Folgenden grundlegende Prüfungserforderisse kurz abgehandelt, um dem Wesen der IT-System-Prüfung näher zu kommen und die bestehenden Anforderungen aus den unterschiedlichsten Perspektiven be- leuchten zu können.

2.1 Prüfungsnachweise

Um zu einem abschließenden Prüfungsergebnis über die Richtigkeit und Ord- nungsmäßigkeit des Jahresabschlusses zu gelangen, muss der Abschlussprüfer Er- kenntnisse gewinnen, die fundierte Aussagen über die Erfüllung der gesetzlichen Anforderungen ermöglichen.

Prüfungsnachweise sind solche Informationen, die der Abschlussprüfer verwen- det, um zu Prüfungsfeststellungen zu kommen, auf denen die Prüfungsaussagen

im Prüfungsbericht und Bestätigungsvermerk beruhen. 31 Hierzu ist es notwendig,

geeignete und ausreichende Prüfungshandlungen durchzuführen, um zu begrün- deteten Schlussfolgerungen zu gelangen und somit die Prüfungsaussagen mit hin-

reichender Sicherheit treffen zu können. 32

2.2 Prüfungshandlungen

Angemessene Prüfungshandlungen bestehen in diesem Zusammenhang aus einer

Kombination aus Systemprüfungen und aussagebezogenen Prüfungshandlungen. 33

31 Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 1

32 Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 6 i.V.m. IDW PS 200 (Ziele und allgemeine

Grundsätze) Tz. 9 ff.

33 Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 14 ff.

34 Eigene Darstellung in Anlehnung an IDW PS 300, Tz. 14

- 9 -

2.2.1 Systemprüfungen

Durch Systemprüfungen hat der Abschlussprüfer Aussagen über das auf die

Rechnungslegung bezogene Interne Kontrollsystem (IKS) 35 zu treffen. Hier sind

sowohl Ausgestaltung (im Rahmen einer Aufbauprüfung) und Wirksamkeit (im Rahmen einer Funktionsprüfung) zu untersuchen. Die Systemüberprüfung soll dabei erkennen lassen, ob

• das Interne Kontrollsystem angemessen gestaltet ist, um wesentliche fal- sche Angaben in den zu prüfenden Unterlagen zu verhindern oder zu ent-

decken 36

• das Interne Kontrollsystem im Geschäftsjahr kontinuierlich bestanden hat und wirksam ist

• die das Internen Kontrollsystems hinsichtlich der Rechnungslegung den gesetzlichen Anforderungen entspricht.

2.2.2 Aussagebezogene Prüfungshandlungen

Unter aussagebezogenen Prüfungshandlungen versteht man analytische Prüfungs- handlungen sowie Einzelfallprüfungen.

Analytische Prüfungshandlungen sind Plausibilitätsbeurteilungen von Verhältnis- zahlen und Trends, durch die Beziehungen von Unternehmensdaten dargelegt und somit auffällige Abweichungen festgestellt werden können. Hier sind z.B. inner- betriebliche Vergleiche mit Vorjahresdaten ebenso wie der Vergleich mit bran- chenspezifischen Kennzahlen als zwischenbetriebliche Vergleichsmöglichkeiten

denkbar. 37 Es handelt sich somit um eine indirekte Methode, die sachlogische Plausibilität feststellen soll. 38

Einzelfallprüfungen zielen dagegen auf einen unmittelbaren Soll-Ist-Vergleich von einzelnen Geschäftsvorfällen und Beständen ab, die somit Aussagen in der

35 Vgl. IDW PS 260 (Internes Kontrollsystem) und nähere Beschreibungen dazu unter Punkt 2.4

36 Vgl. IDW PS 450 (Berichterstattung), Tz. 37

37 Vgl. IDW PS 312 (Analytische Prüfungshandlungen), Tz. 7

38 Vgl. Plendl: (Präsentation Abschlussprüfung), 2002, S. 11

- 10 -

Rechnungslegung stützen. Sie sind insbesondere dann erforderlich, wenn allein durch analytische Prüfungshandlungen keine ausreichende Prüfungssicherheit er-

zielt werden kann. 39 Einzelfallprüfungen können z.B. mittels Einsichtnahme in

Unterlagen, Inaugenscheinnahme von Vermögensgegenständen, der Einholung

von Bestätigungen oder auch eigenen Berechnungen durchgeführt werden. 40

2.3 Der risikoorientierte Prüfungsansatz

Eine Abschlussprüfung ist darauf auszurichten, dass die Prüfungsaussagen mit

hinreichender Sicherheit getroffen werden können. 41 Zu diesem Zweck muss das

Risiko der Abgabe eines positiven Prüfungsurteils trotz vorhandener Fehler in der Rechnungslegung (das sog. Prüfungsrisiko) auf ein akzeptables Maß reduziert werden. Fehler können dabei unabsichtlich und absichtlich entstanden sein. Es ist deshalb Pflicht des Prüfers, die einzelnen Komponenten des Prüfungsrisikos zu

analysieren, um darauf aufbauend eine geeignete Prüfungsstrategie zu wählen. 42

Da sich aus den gesetzlichen Vorschriften keine Bestimmungen über die Art und den Umfang der Prüfung ergeben, liegt es im pflichtgemäßen Ermessen des Ab- schlussprüfers, im Einzelfall Art und Umfang der Prüfungsdurchführung selbst zu bestimmen. Eine lückenlose Prüfung ist allerdings nicht erforderlich, was auch aus Gründen der Wirtschaftlichkeit angemessen ist. Vielmehr werden vom Ab- schlussprüfer bei der Planung seiner Prüfungsstrategie Prüfungsschwerpunkte zu setzen sein, die die jeweils kritischen Bereiche des Unternehmens berücksichti- gen.

2.3.1 Risiken in der Abschlussprüfung

Aus dieser Sichtweise ergeben sich Risiken für den Jahresabschluss: Einerseits könnte der Jahresabschluss wesentliche Fehler enthalten; zum anderen besteht die Gefahr, dass diese Fehler während der Prüfung nicht entdeckt werden. Das Prü- fungsrisiko lässt sich somit als Kombination des Fehlerrisikos und des Entde-

39 Vgl. IDW PS 312 (Analytische Prüfungshandlungen), Tz. 11

40 Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 26

41 Vgl. IDW PS 200 (Ziele und allgemeine Grundsätze), Tz. 24

42 Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 23

- 11 -

ckungsrisikos darstellen. 43 Diese Differenzierung des Prüfungsrisikos gilt nicht

nur auf der Ebene des Jahresabschlusses insgesamt, sondern auch auf der Ebene der einzelnen Prüffelder.

Dem Fehlerrisiko auf der Ebene der Prüffelder ist der Abschlussprüfer schon mit Beginn der Prüfung ausgesetzt. Die Ursachen liegen hier zunächst in den dem Prüffeld innewohnenden Fehlerrisiken, den sog. inhärenten Risiken. Dieses Risiko bedeutet, dass gewollt oder ungewollt signifikante Fehlaussagen auftreten können, die z.B. durch makroökonomische Umweltbedingungen verursacht werden, sei es

durch gesetzliche oder konjunkturelle Entwicklungen. 45 Auch geänderte

Bedingungen innerhalb der Branche (z.B. technologische Änderungen, die zu ei- ner notwendigen Abwertung des Vorratsvermögens führen) oder betriebliche Be- dingungen (z.B. die wirtschaftliche Lage oder die Einführung neuer Produkte) können Risikofaktoren für die Abschlussprüfung darstellen.

Das Fehlerrisiko wird aber auch durch innerbetriebliche Faktoren beeinflusst. Es erhöht sich, wenn Fehler in einem Prüffeld oder Fehler aus mehreren Prüffeldern zusammen wesentlich sind, und diese Fehler auch durch das Interne Kontrollsys- tem des Unternehmens nicht verhindert werden. Es handelt sich somit auch um ein Kontrollrisiko. Der Abschlussprüfer kann diese Risiken nicht direkt beeinflus-

43 Vgl. Stibi: (Prüfungsrisikomodell), 1995, S. 54

44 Eigene Darstellung in Anlehnung an ISW PS 260, Tz. 24

45 Beispielsweise kann eine rückläufige Konjunktur die Zahlungsfähigkeit der Kunden des zu

prüfenden Unternehmens negativ beeinflussen, so dass Forderungen zweifelhaft oder

uneinbringlich werden können.

- 12 -

sen, gleichwohl sie messbar sind und eine wichtige Grundlage für die Entwick-

lung der geeigneten Prüfungsstrategie darstellen. 46 Hier zeigt sich schon, dass das

Kontrollrisiko und somit das Fehlerrisiko von einem funktionierenden internen Kontrollsystem abhängig ist: Ist das Kontrollsystem wirksam, ergibt sich ein ge- ringeres Fehlerrisiko und umgekehrt.

Das Entdeckungsrisiko stellt das Risiko dar, dass der Abschlussprüfer tatsächlich vorhandene Fehler im Rahmen seiner ergebnisorientierten Prüfungshandlungen nicht entdeckt, die für sich oder zusammen mit anderen Fehlern wesentlich sind. Im Gegensatz zum Fehlerrisiko ist dieses Risiko durch den Abschlussprüfer über Art und Umfang seiner Prüfungshandlungen beeinflussbar. In Abhängigkeit von der Beurteilung der Fehlerrisiken ist das Entdeckungsrisiko durch die Auswahl von Art, Umfang und zeitlichem Ablauf der aussagebezogenen Prüfungshandlun- gen so festzulegen, dass der Abschlussprüfer das Prüfungsurteil mit hinreichender

Sicherheit treffen kann. 47 Je höher die Fehlerrisiken sind, desto niedriger muss

das Entdeckungsrisiko sein.

Zusammenfassend lässt sich das Prüfungsrisiko im risikoorientierten Prüfungsan- satz also wie folgt ermitteln:

2.3.2 Begriff der Wesentlichkeit

Für die Feststellung von Fehlern in der Rechnungslegung ist es erforderlich, dass vom Abschlussprüfer Wesentlichkeitsgrade festgelegt werden. Dabei werden nur solche falschen Angaben als Fehler bezeichnet, die wesentlich sind.

Der Grundsatz der Wesentlichkeit besagt in diesem Zusammenhang, dass die Prü- fung des Jahresabschlusses darauf auszurichten ist, mit hinreichender Sicherheit

falsche Angaben aufzudecken, die auf Unrichtigkeiten oder Verstöße 48

zurückzuführen sind und die wegen ihrer Größenordnung oder Bedeutung einen

46 Vgl. Stibi: (Prüfungsrisikomodell), 1995, S. 55

47 Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 24

48 Vgl. IDW PS 201 (Rechnungslegungs- und Prüfungsgrundsätze), Tz. 4 ff.

- 13 -

Einfluss auf den Aussagewert der Rechnungslegung für den Adressaten haben. 49

Durch die Berücksichtigung der Wesentlichkeit erfolgt eine Konzentration auf

entscheidungserhebliche Sachverhalte. 50

Wesentlichkeit kann sowohl quantitativ als Grenzwert als auch qualitativ in einer Eigenschaft ausgedrückt werden. Bezogen auf die Gesamtaussagen der Rech- nungslegung i.S.d. § 264 II HGB ist die Wesentlichkeit danach zu bemessen, ob eine fehlerhafte Information die wirtschaftliche Entscheidung der Abschlussadres-

saten beeinflussen kann. 51 Zu beachten ist auch, dass mehrere Abweichungen oder

unzutreffende bzw. unterlassene Angaben für sich allein betrachtet unwesentlich

sind, zusammen mit anderen aber wesentlich werden können. 52

Bezogen auf das Prüfungsrisiko besteht ein wechselseitiger Zusammenhang: Wird z.B. der Wesentlichkeitsgrad herabgesetzt, erhöht sich die Wahrscheinlichkeit für

das Vorliegen wesentlicher Fehler, und damit steigt das Fehlerrisiko. 53

2.4 Das Interne Kontrollsystem

Das Prüfungsrisiko ist - wie schon näher dargelegt – abhängig vom inhärenten Risiko und dem Kontrollrisiko auf Seiten des Unternehmens. Zudem ist es abhän- gig vom Entdeckungsrisiko auf Seiten des Abschlussprüfers.

Der Gesetzgeber hebt mit der Einführung der Regelungen des KonTraG die Ver- antwortung der mit der Kontrolle im Unternehmen befassten Personen hervor. Die Verpflichtung der Unternehmensleitung zur Einrichtung eines Risikomangements

nimmt hierbei eine zentrale Rolle ein. 54

Das frühzeitige Erkennen und Steuern von Risiken gehört nicht erst seit Inkraft- treten des KonTraG zu den Aufgaben der Unternehmensleitung, allerdings wurde diese Aufgabe durch eine besondere organisatorische Herausstellung aufgewertet. Ein solches System zu installieren heißt, die vorhandenen Organisationsregeln

49 Vgl. IDW PS 250 (Wesentlichkeit), Tz. 4

50 Vgl. IDW PS 200 (Ziele und allgemeine Grundsätze), Tz. 8 51 Vgl. IDW PS 250 (Wesentlichkeit), Tz. 8 52 Vgl. Ebenda, Tz. 10 53 Vgl. Ebenda, Tz. 15 54 Vgl. PWC: (IT-Infrastruktur), 2003, S.1

- 14 -