Abkürzungsverzeichnis ……………………………………………………… III

1. Einleitung und Problemstellung …………………………………………... 1

2. Geschäftsrisiken, IT-Risiken und internes Kontrollsystem ………………. 2 2.1 Geschäfts- und IT-Risiken ……………………………………………. 2 2.2 Internes Kontrollsystem und IT-Kontrollen …………………………... 3

3. System- und Prozessprüfung und Risiko-orientierter Prüfungsansatz ……. 5 3.1 Normative Grundlagen einer System- und Prozessprüfung …………… 5 3.2 Systematisierung des Prüfungsrisikos eines Abschlussprüfers ……….. 6 3.3 Prozessorientierte Ausrichtung der Prüfung ………………………….. 7

4. Die System- und Prozessprüfung im Detail ………………………………. 8 4.1 Überblick ……………………………………………………………… 8 4.2 Die Erhebung …………………………………………………………. 9 4.3 Die Aufbauprüfung …………………………………………………… 11 4.4 Die Funktionsprüfung ………………………………………………… 14

5. Zusammenfassung und Würdigung ……………………………………….. 17

Literaturverzeichnis ………………………………………………………….. IV

AktG Aktiengesetz FAIT Fachausschuss für Informationstechnologie HGB Handelsgesetzbuch IDW Institut der Wirtschaftsprüfer IDW PS 260 IDW Prüfungsstandard: Das Interne Kontrollsystem im Rahmen der Abschlussprüfung IDW PS 330 IDW Prüfungsstandard: Abschlussprüfung bei Einsatz von Informationstechnologie IDW RS FAIT 1 IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie IKS Internes Kontrollsystem IT Informationstechnologie

1. Einleitung und Problemstellung

In der heutigen Zeit sehen sich Unternehmen im Zuge der Globalisierung von Wettbewerb und Märkten einer Vielzahl von Herausforderungen gegenüber, die zu bewältigen ohne moderne Informationstechnologien undenkbar ist. Mithin ist auch eine IT-gestützte Rechnungslegung, welche entscheidungsrelevante Informationen möglichst zeitnah, verlässlich und aussagefähig zur Verfügung stellt, sowohl für die interne Steuerung und Überwachung eines Unternehmens als auch für das externe Reporting unabdingbar.

Darüber hinaus muss eine Rechnungslegung insbesondere im Rahmen der externen Berichterstattung einer Reihe von gesetzlichen Kriterien genügen, deren Einhaltung es im Zuge einer Jahresabschlussprüfung zu untersuchen gilt. In den nachfolgenden Kapiteln wird die System- und Prozessprüfung unter Berücksichtigung der Prüfungsstandards IDW PS 260 und 330 sowie der Stellungnahme IDW RS FAIT 1 des Instituts der Wirtschaftsprüfer dargestellt und aufgezeigt werden, wie sie es einem Abschlussprüfer ermöglicht, ein ihm im Sinne des Risiko-orientierten Prüfungsansatzes als akzeptabel erscheinendes Prüfungsrisiko nicht zu überschreiten bzw. eine hinreichend hohe Prüfungssicherheit hinsichtlich des Prüfungsobjektes zu erlangen.

Dabei wird zunächst auf die allgemeinen Geschäftsrisiken von Unternehmen eingegangen und insbesondere auf die Risken beim Einsatz von Informationstechnologie in Rechnungslegungssystemen und in operativen Prozessen hingewiesen (Kapitel 2.1). Anschließend wird das zur Beherrschung dieser Risken einzurichtende interne Kontrollsystem (IKS) sowie besondere IT-Kontrollen diskutiert (Kapitel 2.2).

In Kapitel 3.1 wird zunächst auf die vom Institut der Wirtschaftsprüfer herausgegebenen Prüfungsstandards bzw. Stellungsnahmen als normative Grundlage für eine System- und Prozessprüfung hingewiesen. Anschließend wird in Übereinstimmung mit diesen Regelungen das Prüfungsrisiko eines Abschlussprüfers im Sinne des Risiko-orientierten Prüfungsansatz systematisiert (Kapitel 3.2) bevor in einem weiteren Abschnitt (Kapitel 3.3) gezeigt wird, inwiefern dieser klassische Risiko-orientierter Prüfungsansatz um eine prozessorientierte Sichtweise erweitert werden muss.

Anschließend wird der Ablauf einer System- und Prozessprüfung im Detail erläutert (Kapitel 4) bevor zum Abschluss eine kurze Zusammenfassung und Würdigung folgt (Kapitel 5).

2. Geschäftsrisiken, IT-Risiken und internes Kontrollsystem

2.1 Geschäfts- und IT-Risiken

Unter den Geschäftsrisiken eines Unternehmens können im Allgemeinen alle diejenigen Risiken subsumiert werden, die dazu führen, dass ein Unternehmen seine Ziele nicht erreicht. Damit zählen sowohl externe Faktoren, wie z.B. das wirtschaftliche und rechtliche Umfeld, als auch interne Faktoren wie die Ausgestaltung von Geschäftsprozessen, das Management, Ziele und Strategien sowie konkrete Maßnahmen zur Überwachung der Wirtschaftlichkeit zu denjenigen Einflussgrößen, welche bestehende und zukünftige Risiken und Chancen eines Unternehmens bestimmen. 1

Aus dem inzwischen weit verbreiteten Einsatz von Informationstechnologien (IT), sowohl zur Unterstützung von Geschäftsprozessen als auch im Rahmen des internen Kontrollsystems (IKS) und in der Rechnungslegung, ergeben sich neben der Möglichkeit zur Steigerung von Effektivität und Effizienz der Unternehmenstätigkeit auch eine Reihe von Herausforderungen.

Sog. inhärente IT-Risiken treten zusätzlich zu den zuvor diskutierten Geschäftsrisiken auf und ergeben sich auf allen Ebenen eines IT-Systems, z.B. durch die fehlerhafte Ausgestaltung des Buchführungsverfahrens, von Programmabläufen und Verarbeitungsregeln oder aufgrund mangelnder Sicherheit rechnungslegungsrelevanter Daten. Ein nicht risikogerecht ausgestaltetes IT-System kann somit ungewünschte Auswirkungen auf die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung haben. 2

¹ Vgl. Arens, Alvin A.; Elder, Randal J.; Beasley, Mark S.: Auditing and Assurance Services - An

Integrated Approach, Ninth Edition, Upper Saddle River, N.J., Prentice Hall, 2003, S. 180.

² Vgl. ebenda, S. 273.

Bei der Beurteilung solcher inhärenten IT-Risiken und der inhärenten Risiken auf Unternehmensebene gilt es, eine Reihe von IT-spezifischen Risikoindikatoren zu beachten. Es sind dies die Abhängigkeit des Unternehmens von IT-Anwendungen und IT-Infrastruktur, Änderungen aufgrund der Einführung neuer Systeme und Technologien oder aufgrund von Restrukturierungen, das Know-How der Mitarbeiter und ausreichende Personalressourcen sowie die Ausrichtung der IT auf die Geschäftserfordernisse eines Unternehmens. 3

Inhärente IT-Risiken können in IT-Infrastrukturrisiken, IT-Anwendungsrisken und IT-Geschäftsprozessrisiken unterschieden werden. IT-Infrastrukturrisiken treten dann auf, wenn die notwendige IT-Infrastruktur, z.B. durch technische Störungen, entweder gar nicht oder nicht im erforderlichen Maß zur Verfügung steht. ⁴ IT-Anwendungsrisken resultieren aus fehlerhaften Verarbeitungsfunktionen in IT-Anwendungen, fehlenden oder nicht aktuellen Verfahrensregelungen und Verfahrensbeschreibungen, mangelhaften Eingabe-, Verarbeitungs- und Ausgabekontrollen oder aus einer mangelhaften Softwaresicherheit im Hinblick auf die Sicherheitsinfrastruktur. ⁵ IT-Geschäftsprozessrisiken treten auf, wenn Kontrollelemente lediglich isoliert auf Teilfunktionen innerhalb des Unternehmens abgestimmt sind, sie aber bezogen auf Gesamtprozesse aufgrund unzureichender Transparenz der Datenflüsse, mangelhafter Integration der Systeme oder fehlerhafter Abstimm- und Kontrollverfahren an den Schnittstellen zwischen diesen Teilprozessen wirkungslos sind. 6

2.2 Internes Kontrollsystem und IT-Kontrollen

Zur Beherrschung der Risiken und zielkonformen Nutzung der Chancen bedarf es geeigneter, unternehmensinterner Maßnahmen, die den Schutz vorhandenen Vermögens, die betriebliche Effektivität und Effizienz sowie die zielgerechte Durchführung unternehmerischer Entscheidungen sicherstellen. Die Einrichtung eines daraufhin ausgerichteten, als Überwachungs- und Risikofrüherkennungssystem bezeichneten, Maßnahmenkatalogs als Teil eines umfassenden internen Kontroll- ³ Vgl.IDW PS 330 Tz. 18.

⁴ Vgl. ebenda, Tz. 21.

⁵ Vgl. ebenda, Tz. 22.

⁶ Vgl. ebenda, Tz. 23.