FACHHOCHSCHULE HILDESHEIM/HOLZMINDEN/GÖTTINGEN
Fakultät Wirtschaft

D I P L O M A R B E I T

Thema: 

Aktuelle Anforderungen an die Prüfung von IT-Systemen

Studiengang: Betriebswirtschaftslehre

von

Jens Gerlach
Semesterzahl: 8

Datum: 09.01.2003

Inhaltsverzeichnis

Abkürzungsverzeichnis ...  III

Abbildungsverzeichnis  ...  V

1. Problemorientierte Einführung ...  1
1.1 Die Bedeutung der IT im Unternehmen  ...  1
1.2 Die Vertrauenskrise  ...  2
1.3 Zielsetzung und Gang der Untersuchung ...  3
1.4 Vorüberlegungen zu den rechtlichen Grundlagen  ...  4
1.4.1 Gesetzliche Regelungen ...  4
1.4.2 Berufsständische Regelungen  ...  5
1.4.3 Weitere Regelungen ...  7

2. Die IT-Systemprüfung im Kontext der Abschlussprüfung ...  9
2.1 Prüfungsnachweise  ...  9
2.2 Prüfungshandlungen  ...  9
2.2.1 Systemprüfungen ...  10
2.2.2 Aussagebezogene Prüfungshandlungen ...  10
2.3 Der risikoorientierte Prüfungsansatz  ...  11
2.3.1 Risiken in der Abschlussprüfung  ...  11
2.3.2 Begriff der Wesentlichkeit  ...  13
2.4 Das Interne Kontrollsystem ...  14
2.4.1 Begriff und Aufgaben  ...  16
2.4.2 Grenzen für die Wirksamkeit  ...  18
2.4.3 Komponenten ...  18
2.4.4 Die Prüfung des Internen Kontrollsystems  ...  20
2.4.5 Bezug zur Prüfung von IT-Systemen ...  23

3. Anforderungen an die IT-Systemprüfung ...  24
3.1 Regelungen zur Abschlussprüfung beim Einsatz von IT ...  24
3.1.1 Ziele und Umfang der IT-Systemprüfung ...  24
3.1.2 Risiken aus dem Einsatz von IT ...  26
3.1.3 Besondere Anforderungen in der Rechnungslegung ...  29
3.1.3.1 Die Grundsätze ordnungsmäßiger Buchführung  ...  29
3.1.3.2 IT-spezifische Sicherheitsanforderungen  ...  35
3.1.4 Besonderheiten des risikoorientierten Prüfungsansatzes  ...  38
3.1.5 Vorgehensweise bei der IT-Systemprüfung ...  39
3.1.6 Anforderungen an die Durchführung der IT-Systemprüfung  ...  42
3.1.6.1 Auftragsannahme und Prüfungsplanung ...  42
3.1.6.2 Kenntniserwerb über das IT-System ...  46
3.1.6.3 Prüfung von IT-Strategie, -Umfeld und -Organisation ...  47
3.1.6.4 Prüfung der IT-Infrastruktur  ...  48
3.1.6.5 Prüfung der IT-Anwendungen ...  52
3.1.6.6 Prüfung IT-gestützer Geschäftsprozesse  ...  56
3.1.6.7 Prüfung des IT-Überwachungssystems  ...  57
3.1.6.8 Prüfung des IT-Outsourcing  ...  58
3.1.7 IT-gestützte Abschlussprüfung ...  59
3.2 Besondere Anforderungen bei E-Business  ...  61
3.2.1 Erscheinungsformen des E-Business  ...  61
3.2.2 Chancen und Risiken aus E-Business  ...  63
3.2.3 Anforderungen an die Ordnungsmäßigkeit  ...  65
3.2.4 Anforderungen an die Sicherheit ...  66
3.3 WebTrust-Prüfungen  ...  68
3.3.1 Risiken im Online-Handel ...  69
3.3.2 Principles ...  70
3.3.3 Anforderungen an den Prüfer ...  70
3.3.4 Durchführung der WebTrust-Prüfung ...  70
3.4 Weitere Anforderungen an die IT-Systemprüfung ...  71
3.4.1 Anforderungen durch den Peer Review ...  72
3.4.2 Anforderungen durch den Sarbanes-Oxley Act of 2002 ...  74

4. Zusammenfassung ...  78

Literaturverzeichnis ...  VI

Abkürzungsverzeichnis
a.a.O. am angegebenen Ort
Abb. Abbildung
Abs. Absatz
AG Aktiengesetz
AO Abgabenordnung
Art. Artikel
BB Betriebs Berater (Zeitschrift)
Bd. Band
bearb. Bearbeiter, bearbeitete
BGBl. Bundesgesetzblatt
BStBl. Bundessteuerblatt
BMF Bundesministerium der Finanzen
bspw. beispielsweise
bzgl. bezüglich
bzw. beziehungsweise
DB Der Betrieb (Zeitschrift)
d.h. das heißt
DStR Deutsches Steuerrecht (Zeitschrift)
EDV Elektronische Datenverarbeitung
e.V. eingetragener Verein
evtl. eventuell
etc. et cetera
FAIT Fachausschuss Informationstechnologie
f. folgende
ff. fortfolgende
gem. gemäß
ggf. gegebenenfalls
GoB Grundsätze ordnungsmäßiger Buchführung
GoBS Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme
h.M. herrschende(r) Meinung
HFA Hauptfachausschuss
HGB Handelsgesetzbuch
Hrsg. Herausgeber
i.d.R. in der Regel
i.S.d. im Sinne des
i.V.m. in Verbindung mit
IDW Institut der Wirtschaftsprüfer e.V. in Deutschland
IDW EPS IDW Entwurf Prüfungsstandard
IDW PS IDW Prüfungsstandard
IDW PH IDW Prüfungshinweis
IDW RS IDW Rechnungslegungsstandard
IFAC International Federation of Accountants
IKS Internes Kontrollsystem
inkl. inklusive
insb. insbesondere
Jg. Jahrgang
KonTraG Gesetz zur Kontrolle und Transparenz im Unternehmensbereich
m.E. meines Erachtens
Nr. Nummer
SOA Sarbanes-Oxley Act of 2002
S. Seite, Satz
sog. sogenannte
Tz. Teilziffer
u.a. unter anderem
usw. und so weiter
u.U. unter Umständen
v.a. vor allem
Vgl. Vergleiche
VO Verordnung
WPg Die Wirtschaftsprüfung (Zeitschrift)
WPK Wirtschaftsprüferkammer
z.B. zum Beispiel

Abbildungsverzeichnis
Abb. 1: Prüfungshandlungen ...  9
Abb. 2: Risiken der Abschlussprüfung ...  12
Abb. 3: Risikomanagement  ...  15
Abb. 4: Internes Kontrollsystem ...  16
Abb. 5: Komponenten des Internen Kontrollsystems ...  20
Abb. 6: Elemente des IT-Systems  ...  25
Abb. 7: Risikomatrix der IT-Systemprüfung ...  29
Abb. 8: GoB und GoBS ...  30
Abb. 9: Kriterien des IT-Sicherheitskonzeptes ...  36
Abb. 10: Prüfungsansatz in der Systemprüfung ...  39
Abb. 11: Stufen der IT-Systemprüfung ...  40
Abb. 12: Studie zum Wissensstand IT  ...  44
Abb. 13: Prüfung der IT-Infrastruktur ...  49
Abb. 14: Projektbegleitende Prüfung  ...  56
Abb. 15: Evolution des E-Business  ...  61
Abb. 16: WebTrust-Seal ...  71

1. Problemorientierte Einführung

1.1 Die Bedeutung der IT im Unternehmen

Heutzutage müssen Unternehmen vielen Herausforderungen entgegentreten, um auch in Zukunft erfolgreichen operieren zu können. Im Zuge der zunehmenden Globalisierung verändern sich auf der einen Seite Märkte, Angebot und Nachfrage, andererseits aber auch die in den Unternehmen zur Bewältigung ihrer Geschäfte eingesetzte Technologie.¹ Nicht nur Produktions- und Dienstleistungsprozesse werden immer effizienter, sondern auch die Technologie, die im Unternehmen selbst eher unterstützende Wirkung hat. Insbesondere in Bezug auf die Rechnungslegung und alle Systeme, die mit ihr zusammenhängen, ist die Technologie von wesentlicher Bedeutung. Eine moderne Unternehmensorganisation ist ohne den Einsatz moderner Informationstechnologie kaum noch vorstellbar.

IT-Systeme in Unternehmen dienen heute nicht mehr nur der Buchführung, sondern im Besonderen auch einer zeitgemäßen Rechnungslegung, um die einzelnen Geschäftsbereiche steuern und überwachen zu können. Die IT ermöglicht es dabei, Informationen aus verschiedensten Quellen zeitnah zu erfassen, zu verarbeiten und aussagefähig auszuwerten. Auf Grundlage dieser Informationen werden Entscheidungen getroffen, die letztlich von strategischer Bedeutung für das Unternehmen sind.

Darüber hinaus ermöglichen die neuen Technologien, Unternehmensgruppen über die physischen Grenzen des Unternehmens hinaus zu vernetzen. Der Handel mit anderen Unternehmen oder Privatkunden kann dadurch auf eine neue (virtuelle) Plattform gestellt werden, welche logistisch und organisatorisch ganz neue Herausforderungen darstellt, aber auch ungemeine Chancen für die Entwicklung des Unternehmens bietet.

Neben diesen Chancen ergeben sich zwangsläufig aber auch Risiken, die berücksichtigt werden müssen. Die Komplexität der Vernetzung von Technologie und operativem Geschäft birgt neue Gefahren in sich, die durch den zunehmenden Einsatz von Informationstechnologie bedeutend werden. Aus Sicht der gesetzlichen Anforderungen an den Jahresabschluss eines Unternehmens muss die Rechnungslegung v.a. verlässlich sein. Sie muss klaren und eindeutigen Ordnungs- und Sicherheitsprinzipien unterliegen.² Neben den Einzelfall- und Plausibilitätsprüfungen gewinnen in diesem Zusammenhang Systemprüfungen zunehmend an Bedeutung.³ IT-Systeme sind dabei in einer gesamtheitlichen Betrachtung zu untersuchen:⁴ Nicht nur die Funktionsfähigkeit einzelner Komponenten der IT, sondern gerade die Interdependenzen einzelner Teilsysteme sowie die Abhängigkeit der operativen Systeme von der IT sind für eine solche Sichtweise zwingend notwendig.

Ein zeitgemäßer Prüfungsansatz muss dabei risikoorientiert sein und die wesentlichen kritischen Bereiche der IT-gestützten Rechnungslegung untersuchen. Bei komplexen und integrierten IT-Systemen kann die erforderliche Aussagensicherheit ohne die Prüfung dieser Systeme nicht ausreichend sichergestellt werden. Ein Qualitätsverlust bei der Abschlussprüfung wäre die Folge.

1.2 Die Vertrauenskrise

Qualität ist aber ein sehr wichtiges Kriterium, das vom Abschlussprüfer erfüllt werden muss. Sie zählt daher auch seit jeher zu den wichtigsten Grundsätzen im Berufsstand der Wirtschaftsprüfer. Eine Verpflichtung dazu ergibt sich schon aus den allgemeinen Berufspflichten, nach denen der Wirtschafsprüfer seinen Beruf unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich auszuüben hat.⁵ Ein hohes Qualitätsniveau ist auch insofern angemessen, als dass die Abschlussprüfung eine Kontrollfunktion für die Öffentlichkeit und der Unternehmen sowie für den Kapitalanleger- und Gläubigerschutz darstellt.⁶

Die Qualität der Abschlussprüfung wird allerdings immer dann in Frage gestellt, wenn die Öffentlichkeit die Erteilung eines Bestätigungsvermerks⁷ trotz erkennbarer Unternehmenskrise nicht nachvollziehen kann.⁸ Spektakuläre Unternehmenskrisen in der jüngeren Vergangenheit (z.B. Balsam, Schneider) sowie die Krisen im Zusammenhang mit FlowTex und Phillip Holzmann brachten den Berufsstand der Wirtschaftsprüfer, dessen Merkmal es über Jahrzehnte war, keine Rolle im Bewusstsein der Öffentlichkeit zu spielen⁹, zunehmend in die Kritik. Jüngstes Beispiel sind die Zusammenbrüche der amerikanischen Konzerne Worldcom und Enron, die die Diskussion um eine Verbesserung der Qualität der Prüfung wieder entfacht hatten,¹⁰ wenngleich die Krise im Falle Enron nachweislich auch zum Teil durch konsequentes Ausnutzen der Schwächen im System der US-GAAP bedingt war.¹¹

[....]

1 Vgl. Heese: (IT-Systemprüfung), 2002, S. 3
2 Vgl. Heese: (IT-Systemprüfung), 2002, S. 18
3 Vgl. die Ausführungen zu den Prüfungshandlungen im IDW PS 300, Wpg 17/2001, S. 898 ff.
4 Vgl. Heese: (E-Business), 2002, S.8
5 Vgl. § 43 I WPO
6 Vgl. Marks/Schmidt: (Regierungsentwurf), WPg 2000, S. 409
7 Vgl. § 322 HGB i.V.m. IDW PS 450, Wpg 20/2203, S.1127 ff.
8 Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073
9 Vgl. Niehus: (Peer Review), DB 2000, S. 1133
10 Vgl. Süddeutsche Zeitung vom 22.01.2002
11 Vgl. Lüdenbach: (Kausalität), DB 2002, S. 1169 ff.