Aktuelle Anforderungen an die Prüfung von IT-Systemen

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1. Problemorientierte Einführung
1.1 Die Bedeutung der IT im Unternehmen
1.2 Die Vertrauenskrise
1.3 Zielsetzung und Gang der Untersuchung
1.4 Vorüberlegungen zu den rechtlichen Grundlagen
1.4.1 Gesetzliche Regelungen
1.4.2 Berufsständische Regelungen
1.4.3 Weitere Regelungen

2. Die IT-Systemprüfung im Kontext der Abschlussprüfung
2.1 Prüfungsnachweise
2.2 Prüfungshandlungen
2.2.1 Systemprüfungen
2.2.2 Aussagebezogene Prüfungshandlungen
2.3 Der risikoorientierte Prüfungsansatz
2.3.1 Risiken in der Abschlussprüfung
2.3.2 Begriff der Wesentlichkeit
2.4 Das Interne Kontrollsystem
2.4.1 Begriff und Aufgaben
2.4.2 Grenzen für die Wirksamkeit
2.4.3 Komponenten
2.4.4 Die Prüfung des Internen Kontrollsystems
2.4.5 Bezug zur Prüfung von IT-Systemen

3. Anforderungen an die IT-Systemprüfung
3.1 Regelungen zur Abschlussprüfung beim Einsatz von IT
3.1.1 Ziele und Umfang der IT-Systemprüfung
3.1.2 Risiken aus dem Einsatz von IT
3.1.3 Besondere Anforderungen in der Rechnungslegung
3.1.3.1 Die Grundsätze ordnungsmäßiger Buchführung
3.1.3.2 IT-spezifische Sicherheitsanforderungen
3.1.4 Besonderheiten des risikoorientierten Prüfungsansatzes
3.1.5 Vorgehensweise bei der IT-Systemprüfung
3.1.6 Anforderungen an die Durchführung der IT-Systemprüfung
3.1.6.1 Auftragsannahme und Prüfungsplanung
3.1.6.2 Kenntniserwerb über das IT-System
3.1.6.3 Prüfung von IT-Strategie, -Umfeld und -Organisation
3.1.6.4 Prüfung der IT-Infrastruktur
3.1.6.5 Prüfung der IT-Anwendungen
3.1.6.6 Prüfung IT-gestützer Geschäftsprozesse
3.1.6.7 Prüfung des IT-Überwachungssystems
3.1.6.8 Prüfung des IT-Outsourcing
3.1.7 IT-gestützte Abschlussprüfung
3.2 Besondere Anforderungen bei E-Business
3.2.1 Erscheinungsformen des E-Business
3.2.2 Chancen und Risiken aus E-Business
3.2.3 Anforderungen an die Ordnungsmäßigkeit
3.2.4 Anforderungen an die Sicherheit
3.3 WebTrust-Prüfungen
3.3.1 Risiken im Online-Handel
3.3.2 Principles
3.3.3 Anforderungen an den Prüfer
3.3.4 Durchführung der WebTrust-Prüfung
3.4 Weitere Anforderungen an die IT-Systemprüfung
3.4.1 Anforderungen durch den Peer Review
3.4.2 Anforderungen durch den Sarbanes-Oxley Act of 2002

4. Zusammenfassung

Literaturverzeichnis

Erklärung zur Diplomarbeit

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1: Prüfungshandlungen

Abb. 2: Risiken der Abschlussprüfung.

Abb. 3: Risikomanagement

Abb. 4: Internes Kontrollsystem

Abb. 5: Komponenten des Internen Kontrollsystems

Abb. 6: Elemente des IT-Systems

Abb. 7: Risikomatrix der IT-Systemprüfung

Abb. 8: GoB und GoBS

Abb. 9: Kriterien des IT-Sicherheitskonzeptes.

Abb. 10: Prüfungsansatz in der Systemprüfung

Abb. 11: Stufen der IT-Systemprüfung

Abb. 12: Studie zum Wissensstand IT.

Abb. 13: Prüfung der IT-Infrastruktur.

Abb. 14: Projektbegleitende Prüfung

Abb. 15: Evolution des E-Business

Abb. 16: WebTrust-Seal

1. Problemorientierte Einführung

1.1 Die Bedeutung der IT im Unternehmen

Heutzutage müssen Unternehmen vielen Herausforderungen entgegentreten, um auch in Zukunft erfolgreichen operieren zu können. Im Zuge der zunehmenden Globalisierung verändern sich auf der einen Seite Märkte, Angebot und Nach-frage, andererseits aber auch die in den Unternehmen zur Bewältigung ihrer Ge-schäfte eingesetzte Technologie.¹ Nicht nur Produktions- und Dienstleistungspro-zesse werden immer effizienter, sondern auch die Technologie, die im Unterneh-men selbst eher unterstützende Wirkung hat. Insbesondere in Bezug auf die Rech-nungslegung und alle Systeme, die mit ihr zusammenhängen, ist die Technologie von wesentlicher Bedeutung. Eine moderne Unternehmensorganisation ist ohne den Einsatz moderner Informationstechnologie kaum noch vorstellbar.

IT-Systeme in Unternehmen dienen heute nicht mehr nur der Buchführung, son-dern im Besonderen auch einer zeitgemäßen Rechnungslegung, um die einzelnen Geschäftsbereiche steuern und überwachen zu können. Die IT ermöglicht es da-bei, Informationen aus verschiedensten Quellen zeitnah zu erfassen, zu verarbei-ten und aussagefähig auszuwerten. Auf Grundlage dieser Informationen werden Entscheidungen getroffen, die letztlich von strategischer Bedeutung für das Un-ternehmen sind.

Darüber hinaus ermöglichen die neuen Technologien, Unternehmensgruppen über die physischen Grenzen des Unternehmens hinaus zu vernetzen. Der Handel mit anderen Unternehmen oder Privatkunden kann dadurch auf eine neue (virtuelle) Plattform gestellt werden, welche logistisch und organisatorisch ganz neue Her-ausforderungen darstellt, aber auch ungemeine Chancen für die Entwicklung des Unternehmens bietet.

Neben diesen Chancen ergeben sich zwangsläufig aber auch Risiken, die berück-sichtigt werden müssen. Die Komplexität der Vernetzung von Technologie und operativem Geschäft birgt neue Gefahren in sich, die durch den zunehmenden Einsatz von Informationstechnologie bedeutend werden. Aus Sicht der gesetz-lichen Anforderungen an den Jahresabschluss eines Unternehmens muss die Rechnungslegung v.a. verlässlich sein. Sie muss klaren und eindeutigen Ord-nungs- und Sicherheitsprinzipien unterliegen.² Neben den Einzelfall- und Plausibilitätsprüfungen gewinnen in diesem Zusammenhang Systemprüfungen zunehmend an Bedeutung.³ IT-Systeme sind dabei in einer gesamtheitlichen Be-trachtung zu untersuchen:⁴ Nicht nur die Funktionsfähigkeit einzelner Komponen-ten der IT, sondern gerade die Interdependenzen einzelner Teilsysteme sowie die Abhängigkeit der operativen Systeme von der IT sind für eine solche Sichtweise zwingend notwendig.

Ein zeitgemäßer Prüfungsansatz muss dabei risikoorientiert sein und die wesentlichen kritischen Bereiche der IT-gestützten Rechnungslegung untersuchen. Bei komplexen und integrierten IT-Systemen kann die erforderliche Aussagensicherheit ohne die Prüfung dieser Systeme nicht ausreichend sichergestellt werden. Ein Qualitätsverlust bei der Abschlussprüfung wäre die Folge.

1.2 Die Vertrauenskrise

Qualität ist aber ein sehr wichtiges Kriterium, das vom Abschlussprüfer erfüllt werden muss. Sie zählt daher auch seit jeher zu den wichtigsten Grundsätzen im Berufsstand der Wirtschaftsprüfer. Eine Verpflichtung dazu ergibt sich schon aus den allgemeinen Berufspflichten, nach denen der Wirtschafsprüfer seinen Beruf unabhängig, gewissenhaft, verschwiegen und eigenverantwortlich auszuüben hat.⁵ Ein hohes Qualitätsniveau ist auch insofern angemessen, als dass die Abschlussprüfung eine Kontrollfunktion für die Öffentlichkeit und der Unternehmen sowie für den Kapitalanleger- und Gläubigerschutz darstellt.⁶

Die Qualität der Abschlussprüfung wird allerdings immer dann in Frage gestellt, wenn die Öffentlichkeit die Erteilung eines Bestätigungsvermerks⁷ trotz erkennbarer Unternehmenskrise nicht nachvollziehen kann.⁸ Spektakuläre Unternehmenskrisen in der jüngeren Vergangenheit (z.B. Balsam, Schneider) so-wie die Krisen im Zusammenhang mit FlowTex und Phillip Holzmann brachten den Berufsstand der Wirtschaftsprüfer, dessen Merkmal es über Jahrzehnte war, keine Rolle im Bewusstsein der Öffentlichkeit zu spielen⁹, zunehmend in die Kri-tik. Jüngstes Beispiel sind die Zusammenbrüche der amerikanischen Konzerne Worldcom und Enron, die die Diskussion um eine Verbesserung der Qualität der Prüfung wieder entfacht hatten,¹⁰ wenngleich die Krise im Falle Enron nachweis-lich auch zum Teil durch konsequentes Ausnutzen der Schwächen im System der US-GAAP bedingt war.¹¹

Die anhaltende Kritik begründet sich in einer Erwartungslücke¹², d.h. der Diskrepanz zwischen den Erwartungen der Nachfrager (Öffentlichkeit, Unternehmen) nach Prüfungsleistungen an den Bestätigungsvermerk und der tatsächlichen Aussage des Bestätigungsvermerks.¹³ Die Öffentlichkeit und v.a. die Investoren sehen den Bestätigungsvermerk als Garantie für den Fortbestand des Unternehmens und interpretieren diesen somit auch qualitativ.¹⁴ Der Berufsstand der Wirtschaftsprüfer dagegen versteht unter Prüfungsqualität v.a. die Erfüllung der vom Gesetzgeber und Berufsstand vorgegebenen Kriterien.¹⁵

Um die bestehenden Erwartungen an die Abschlussprüfung erfolgreich erfüllen zu können, ist es notwendig, dass sich sowohl Prüfungsansatz, Prüfungsstrategie als auch Prüfungshandlungen an den jeweiligen Stand der Technik anpassen. Neue und komplexe Technologien innerhalb der immer globaler operierenden Unternehmen lassen es notwendig erscheinen, dass auch Regelungen für die Abschlussprüfungen stetig an die Entwicklung adaptiert werden.

Unter diesen Voraussetzungen gilt es zu untersuchen, welche Anforderungen erfüllt werden müssen, um die Qualität der Abschlussprüfung - und hier insbesondere im Rahmen der IT-Systemprüfung - sicherzustellen.

1.3 Zielsetzung und Gang der Untersuchung

Ziel dieser Arbeit ist es, im Wesentlichen darzustellen, welche Anforderungen an die Prüfung von IT-Systemen gestellt werden. Dazu werden nach grundsätzlichen Überlegungen zu den in Frage kommenden Normen und Regelungen die Grundlagen der Abschlussprüfung kurz dargelegt. Um die Stellung der IT-Systemprü-fung in den Kontext der Abschlussprüfung einordnen zu können, werden die wesentlichen Aspekte und Anforderungen mit Zielrichtung auf die Prüfung des Internen Kontrollsystems erläutert; die IT-Systemprüfung stellt nämlich einen Teilausschnitt der IKS-Prüfung dar und unterliegt somit auch den Anforderungen, die an eine IKS-Prüfung gestellt werden.

Im weiteren Verlauf werden die Anforderungen, die konkret im Zusammenhang mit IT-Systemprüfungen zu beachten sind, dargelegt und erläutert. Dabei werden auch die besonderen Regelungen untersucht werden, die sich aus dem E-Business ergeben.

Gesondert werden die Anforderungen im Zusammenhang mit sog. WebTrust-Prü-fungen dargelegt, die zwar keine vorgeschriebene Prüfung im Rahmen der gesetz-lichen Abschlussprüfung darstellen, jedoch in enger Korrelation zur IT-System-prüfung stehen.

Schließlich werden die indirekten Anforderungen, die sich aus den Regelungen zum Peer Review und dem Sarbanes-Oxley Act of 2002 ergeben, hinsichtlich ihrer Auswirkungen auf die IT-Systemprüfung analysiert.

Eine Zusammenfassung der wichtigsten Ergebnisse dieser Arbeit bilden den Ab-schluss

1.4 Vorüberlegungen zu den rechtlichen Grundlagen

1.4.1 Gesetzliche Regelungen

Normen zur Rechnungslegung und Abschlussprüfung finden sich im Handelsge-setzbuch. Eine grundsätzliche Pflicht zur Prüfung ergibt sich für Kapitalgesell-schaften aus den Regelungen des § 316 I HGB. Dabei ist die Buchführung in die Prüfung gem. § 317 I 1 HGB einzubeziehen. Diese Regelungen sind insofern von Bedeutung, da IT-Systeme gerade im Bereich der Buchführung eine wesentliche Rolle spielen. Diesbezügliche Regelungen des Gesetzgebers spiegeln sich in den §§ 238-241 HGB wider, in denen auch die kodifizierten Grundsätze ordnungsmä-ßiger Buchführung (GoB) zu finden sind¹⁶. Anpassungen an diese vom Gesetzge-ber gestellten Anforderungen sind durch die „Grundsätze ordnungsmäßiger DV gestützter Buchführungssysteme (GoBS)“ des Bundesministeriums für Finanzen konkretisiert worden.¹⁷

Die Regelungen zur Buchführung sind allerdings auch im Zusammenhang mit steuerlichen Bestimmungen zu sehen. Die §§ 146 und 147 AO definieren die Anforderungen an die Buchführung hinsichtlich Aufzeichnung und Aufbewahrung aus steuerlicher Sicht und sind somit auch für die Prüfung der IT-Systeme eines Unternehmens zu berücksichtigen.

Aus Sicht der Anforderungen an die Sicherheit der IT ist die Einführung des Ge-setzes zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) vom 1.1.1998 sehr bedeutsam. Die eingeführten Regelungen sehen nämlich u.a. vor, dass geeignete Maßnahmen zu treffen sind - insbesondere die Installation eines Überwachungssystems innerhalb des Unternehmens -, um für das Unternehmen gefährliche Entwicklungen frühzeitig erkennen und somit den Fortbestand des Unternehmens dauerhaft sichern zu können.¹⁸ Allerdings ist das KonTraG im Hin-blick auf das einzurichtende Risikomanagement sehr allgemein gehalten. Es sagt nichts konkret darüber aus, aus welchen Elementen es bestehen und auf welche Bereiche es sich erstrecken muss. Für den Fortbestand des Unternehmens ist dem-nach grundsätzlich jedes Risiko zu beachten. Daraus folgt die Verpflichtung des Unternehmens, sich auch gegen IT-Sicherheitsrisiken ausreichend abzusichern, sofern sie den Bestand gefährden können. Dies dürfte in einer globalisierten Welt mit zunehmender Abhängigkeit von der IT für nahezu jedes größere Unternehmen zutreffen.

1.4.2 Berufsständische Regelungen

Neben diesen wichtigsten gesetzlichen Regelungen können sich auch aus den berufsständischen Regelungen Anforderungen für IT-Systemprüfung ergeben.

Hier sind die Stellungnahmen zur Rechnungslegung (RS) und die Prüfungsstan-dards (PS) des IDW von überragender Bedeutung für die Prüfung der IT-Systeme. Mit dem Prüfungsstandard 330 zur „Abschlussprüfung bei Einsatz von Informati-onstechnologie“ hat der Hauptfachausschuss (HFA) am 24.9.2002 einen zentralen Standard verabschiedet, der speziell auf die Problematik hinsichtlich des Einsatzes von IT im Rahmen der Abschlussprüfung eingeht. Darüber hinaus existieren weitere sehr wichtige Standards, die das Themenfeld der Informationstechnologie be-rühren. Beispielhaft sei an dieser Stelle der IDW PS 331 zur „Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunterneh-men“ sowie der IDW PS 880 zur „Erteilung von Softwarebescheinigungen“ ge-nannt. Ferner ist der IDW PS 890 zur „Durchführung von WebTrust-Prüfungen“ von Bedeutung, da sich hier ein Betätigungsfeld für Wirtschaftsprüfer ergibt, wel-ches ebenfalls nicht ohne die Prüfung der im Unternehmen vorhandenen IT-Sys-teme auskommt.

Es ist zu beachten, dass es sich bei den IDW Prüfungsstandards nicht um gesetzliche Verpflichtungen, sondern um die Berufsauffassung des IDW handelt. Diese Standards erzielen insofern verbindliche Wirkung, als dass Abweichungen davon nur in begründeten Einzelfällen möglich sind und diese im Prüfungsbericht hervorgehoben und erläutert werden müssen.¹⁹ Abweichungen können in Streitfällen²⁰ zum Nachteil des Abschlussprüfers ausgelegt werden.

Die Prüfungsstandards des IDW berücksichtigen auch die internationalen Belange: Die Globalisierung der Wirtschaft und Kapitalmärkte erfordert neben der Anwendung internationaler Standards für die Rechnungslegung auch internationale Standards für die Prüfung, um für die internationalen Kapitalmärkte verlässliche und vergleichbare Finanzinformationen liefern zu können. Prüfungsurteile sollen international vergleichbar sein.

Aus diesem Grund empfiehlt das vom Public Oversight Board²¹ eingesetzte Panel on Audit Effectiveness²² den großen WP-Gesellschaften, die International Accounting Standards (ISA) als international anerkannte Prüfungsstandards bei der Entwicklung der Prüfungsgrundsätze zu beachten.²³ Die ISA werden von der International Federation of Accountants (IFAC) entwickelt²⁴, deren deutsche Mit-glieder die Wirtschaftsprüferkammer (WPK) als Berufsorganisation der Wirt-schaftsprüfer und das IDW sind. Zu den Aufgaben des IDW gehört es u.a., die ISA in nationale Prüfungsstandards zu transformieren²⁵ sowie die Arbeit und Ziele der IFAC zu unterstützen.²⁶ Im Ergebnis dieser Tätigkeit des IDW, die 1998 begonnen worden ist, existieren derzeit über 40 Prüfungsstandards; weitere sind im Stadium des Entwurfs.²⁷ Allerdings stellen diese Transformationen keine kon-gruenten Umsetzungen der ISA dar, sondern gehen meist - in Abhängigkeit von den Anforderungen deutscher Rechtsnormen - über diese hinaus.²⁸ Zu den für diese Arbeit bedeutendsten Rechnungslegungsstandards zählen zum einen der IDW RS FAIT 1 als Stellungnahme zu den „Grundsätzen ordnungsmä-ßiger Buchführung bei Einsatz von Informationstechnologie“. Zum anderen ist der sehr aktuelle²⁹ IDW RS FAIT 2 zu nennen, der die „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce“ behandelt.

1.4.3 Weitere Regelungen

Abschließend soll an dieser Stelle noch auf zwei weitere wichtige in Frage kom-mende Regelungsbereiche hingewiesen werden, die eher mittelbar auf die Anfor-derungen an den Abschlussprüfer bei der Prüfung von IT-Systemen wirken:

Die Vorschriften der in § 57a WPO geregelten externen Qualitätskontrolle sind im Zuge der Einführung des sog. Peer Reviews in Deutschland in die WPO aufge-nommen worden. Von Bedeutung ist im Zusammenhang mit dieser Arbeit u.a. das Erfordernis einer vernünftigen Prüfungsplanung und Prüfungsdurchführung sowie einer angemessenen Dokumentation. Sind diese Voraussetzungen, die auch bei der Prüfung von IT-Systemen eine wichtige Rolle spielen, nicht erfüllt, erhält der dem Review unterzogene Prüfer keine Teilnahmebescheinigung und verliert auf-grund dieser fehlenden Bescheinigung das Recht, Abschlussprüfungen durchzu-führen.³⁰

Abschließend sind auch die Auswirkungen des sog. Sarbanes-Oxley Act of 2002 zu berücksichtigen, einem Maßnahmenkatalog, der nach den wirtschaftlichen Zu-sammenbrüchen bedeutender amerikanischer Unternehmen am 30.07.2002 durch die amerikanische Regierung erlassen worden ist. In diesem Zusammenhang wird über die Unabhängigkeit des Abschlussprüfers zu diskutieren sein, die nicht zu-letzt in einer relativ rigorosen Trennung von Beratungs- und Prüfungsleistungen ihren Ausdruck findet. Auch diese Regelungen stellen Anforderungen an die IT-Systemprüfung im Rahmen der Abschlussprüfung dar und werfen mitunter Fragen zur Umsetzung auf.

Im Verlauf dieser Arbeit wird an gegebener Stelle auf die einzelnen Regelungen -soweit sie das fachliche Thema betreffen - konkret eingegangen werden.

2. Die IT-Systemprüfung im Kontext der Abschlussprüfung

Um die Prüfung der IT-Systeme inhaltlich in den Kontext der Abschlussprüfung einordnen zu können, werden im Folgenden grundlegende Prüfungserforderisse kurz abgehandelt, um dem Wesen der IT-System-Prüfung näher zu kommen und die bestehenden Anforderungen aus den unterschiedlichsten Perspektiven be-leuchten zu können.

2.1 Prüfungsnachweise

Um zu einem abschließenden Prüfungsergebnis über die Richtigkeit und Ordnungsmäßigkeit des Jahresabschlusses zu gelangen, muss der Abschlussprüfer Erkenntnisse gewinnen, die fundierte Aussagen über die Erfüllung der gesetzlichen Anforderungen ermöglichen.

Prüfungsnachweise sind solche Informationen, die der Abschlussprüfer verwendet, um zu Prüfungsfeststellungen zu kommen, auf denen die Prüfungsaussagen im Prüfungsbericht und Bestätigungsvermerk beruhen.³¹ Hierzu ist es notwendig, geeignete und ausreichende Prüfungshandlungen durchzuführen, um zu begründeteten Schlussfolgerungen zu gelangen und somit die Prüfungsaussagen mit hinreichender Sicherheit treffen zu können.³²

2.2 Prüfungshandlungen

Angemessene Prüfungshandlungen bestehen in diesem Zusammenhang aus einer Kombination aus Systemprüfungen und aussagebezogenen Prüfungshandlungen.³³

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Prüfungshandlungen³⁴

2.2.1 Systemprüfungen

Durch Systemprüfungen hat der Abschlussprüfer Aussagen über das auf die Rechnungslegung bezogene Interne Kontrollsystem (IKS)³⁵ zu treffen. Hier sind sowohl Ausgestaltung (im Rahmen einer Aufbauprüfung) und Wirksamkeit (im Rahmen einer Funktionsprüfung) zu untersuchen. Die Systemüberprüfung soll dabei erkennen lassen, ob

- das Interne Kontrollsystem angemessen gestaltet ist, um wesentliche fal- sche Angaben in den zu prüfenden Unterlagen zu verhindern oder zu ent- decken³⁶
- das Interne Kontrollsystem im Geschäftsjahr kontinuierlich bestanden hat und wirksam ist
- die das Internen Kontrollsystems hinsichtlich der Rechnungslegung den gesetzlichen Anforderungen entspricht.

2.2.2 Aussagebezogene Prüfungshandlungen

Unter aussagebezogenen Prüfungshandlungen versteht man analytische Prüfungshandlungen sowie Einzelfallprüfungen.

Analytische Prüfungshandlungen sind Plausibilitätsbeurteilungen von Verhältnis-zahlen und Trends, durch die Beziehungen von Unternehmensdaten dargelegt und somit auffällige Abweichungen festgestellt werden können. Hier sind z.B. inner-betriebliche Vergleiche mit Vorjahresdaten ebenso wie der Vergleich mit bran-chenspezifischen Kennzahlen als zwischenbetriebliche Vergleichsmöglichkeiten denkbar.³⁷ Es handelt sich somit um eine indirekte Methode, die sachlogische Plausibilität feststellen soll.³⁸

Einzelfallprüfungen zielen dagegen auf einen unmittelbaren Soll-Ist-Vergleich von einzelnen Geschäftsvorfällen und Beständen ab, die somit Aussagen in der Rechnungslegung stützen. Sie sind insbesondere dann erforderlich, wenn allein durch analytische Prüfungshandlungen keine ausreichende Prüfungssicherheit er-zielt werden kann.³⁹ Einzelfallprüfungen können z.B. mittels Einsichtnahme in Unterlagen, Inaugenscheinnahme von Vermögensgegenständen, der Einholung von Bestätigungen oder auch eigenen Berechnungen durchgeführt werden.⁴⁰

2.3 Der risikoorientierte Prüfungsansatz

Eine Abschlussprüfung ist darauf auszurichten, dass die Prüfungsaussagen mit hinreichender Sicherheit getroffen werden können.⁴¹ Zu diesem Zweck muss das Risiko der Abgabe eines positiven Prüfungsurteils trotz vorhandener Fehler in der Rechnungslegung (das sog. Prüfungsrisiko) auf ein akzeptables Maß reduziert werden. Fehler können dabei unabsichtlich und absichtlich entstanden sein. Es ist deshalb Pflicht des Prüfers, die einzelnen Komponenten des Prüfungsrisikos zu analysieren, um darauf aufbauend eine geeignete Prüfungsstrategie zu wählen.⁴²

Da sich aus den gesetzlichen Vorschriften keine Bestimmungen über die Art und den Umfang der Prüfung ergeben, liegt es im pflichtgemäßen Ermessen des Ab-schlussprüfers, im Einzelfall Art und Umfang der Prüfungsdurchführung selbst zu bestimmen. Eine lückenlose Prüfung ist allerdings nicht erforderlich, was auch aus Gründen der Wirtschaftlichkeit angemessen ist. Vielmehr werden vom Ab-schlussprüfer bei der Planung seiner Prüfungsstrategie Prüfungsschwerpunkte zu setzen sein, die die jeweils kritischen Bereiche des Unternehmens berücksichti-gen.

2.3.1 Risiken in der Abschlussprüfung

Aus dieser Sichtweise ergeben sich Risiken für den Jahresabschluss: Einerseits könnte der Jahresabschluss wesentliche Fehler enthalten; zum anderen besteht die Gefahr, dass diese Fehler während der Prüfung nicht entdeckt werden. Das Prü-fungsrisiko lässt sich somit als Kombination des Fehlerrisikos und des Entdeckungsrisikos darstellen.⁴³ Diese Differenzierung des Prüfungsrisikos gilt nicht nur auf der Ebene des Jahresabschlusses insgesamt, sondern auch auf der Ebene der einzelnen Prüffelder.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Risiken der Abschlussprüfung⁴⁴

Dem Fehlerrisiko auf der Ebene der Prüffelder ist der Abschlussprüfer schon mit Beginn der Prüfung ausgesetzt. Die Ursachen liegen hier zunächst in den dem Prüffeld innewohnenden Fehlerrisiken, den sog. inhärenten Risiken. Dieses Risiko bedeutet, dass gewollt oder ungewollt signifikante Fehlaussagen auftreten können, die z.B. durch makroökonomische Umweltbedingungen verursacht werden, sei es durch gesetzliche oder konjunkturelle Entwicklungen.⁴⁵ Auch geänderte Bedingungen innerhalb der Branche (z.B. technologische Änderungen, die zu ei-ner notwendigen Abwertung des Vorratsvermögens führen) oder betriebliche Be-dingungen (z.B. die wirtschaftliche Lage oder die Einführung neuer Produkte) können Risikofaktoren für die Abschlussprüfung darstellen.

Das Fehlerrisiko wird aber auch durch innerbetriebliche Faktoren beeinflusst. Es erhöht sich, wenn Fehler in einem Prüffeld oder Fehler aus mehreren Prüffeldern zusammen wesentlich sind, und diese Fehler auch durch das Interne Kontrollsys-tem des Unternehmens nicht verhindert werden. Es handelt sich somit auch um ein Kontrollrisiko. Der Abschlussprüfer kann diese Risiken nicht direkt beeinflussen, gleichwohl sie messbar sind und eine wichtige Grundlage für die Entwicklung der geeigneten Prüfungsstrategie darstellen.⁴⁶ Hier zeigt sich schon, dass das Kontrollrisiko und somit das Fehlerrisiko von einem funktionierenden internen Kontrollsystem abhängig ist: Ist das Kontrollsystem wirksam, ergibt sich ein geringeres Fehlerrisiko und umgekehrt.

Das Entdeckungsrisiko stellt das Risiko dar, dass der Abschlussprüfer tatsächlich vorhandene Fehler im Rahmen seiner ergebnisorientierten Prüfungshandlungen nicht entdeckt, die für sich oder zusammen mit anderen Fehlern wesentlich sind. Im Gegensatz zum Fehlerrisiko ist dieses Risiko durch den Abschlussprüfer über Art und Umfang seiner Prüfungshandlungen beeinflussbar. In Abhängigkeit von der Beurteilung der Fehlerrisiken ist das Entdeckungsrisiko durch die Auswahl von Art, Umfang und zeitlichem Ablauf der aussagebezogenen Prüfungshandlun-gen so festzulegen, dass der Abschlussprüfer das Prüfungsurteil mit hinreichender Sicherheit treffen kann.⁴⁷ Je höher die Fehlerrisiken sind, desto niedriger muss das Entdeckungsrisiko sein.

Zusammenfassend lässt sich das Prüfungsrisiko im risikoorientierten Prüfungsansatz also wie folgt ermitteln:

Abbildung in dieser Leseprobe nicht enthalten

2.3.2 Begriff der Wesentlichkeit

Für die Feststellung von Fehlern in der Rechnungslegung ist es erforderlich, dass vom Abschlussprüfer Wesentlichkeitsgrade festgelegt werden. Dabei werden nur solche falschen Angaben als Fehler bezeichnet, die wesentlich sind.

Der Grundsatz der Wesentlichkeit besagt in diesem Zusammenhang, dass die Prü-fung des Jahresabschlusses darauf auszurichten ist, mit hinreichender Sicherheit falsche Angaben aufzudecken, die auf Unrichtigkeiten oder Verstöße⁴⁸ zurückzuführen sind und die wegen ihrer Größenordnung oder Bedeutung einen Einfluss auf den Aussagewert der Rechnungslegung für den Adressaten haben.⁴⁹ Durch die Berücksichtigung der Wesentlichkeit erfolgt eine Konzentration auf entscheidungserhebliche Sachverhalte.⁵⁰

Wesentlichkeit kann sowohl quantitativ als Grenzwert als auch qualitativ in einer Eigenschaft ausgedrückt werden. Bezogen auf die Gesamtaussagen der Rechnungslegung i.S.d. § 264 II HGB ist die Wesentlichkeit danach zu bemessen, ob eine fehlerhafte Information die wirtschaftliche Entscheidung der Abschlussadressaten beeinflussen kann.⁵¹ Zu beachten ist auch, dass mehrere Abweichungen oder unzutreffende bzw. unterlassene Angaben für sich allein betrachtet unwesentlich sind, zusammen mit anderen aber wesentlich werden können.⁵²

Bezogen auf das Prüfungsrisiko besteht ein wechselseitiger Zusammenhang: Wird z.B. der Wesentlichkeitsgrad herabgesetzt, erhöht sich die Wahrscheinlichkeit für das Vorliegen wesentlicher Fehler, und damit steigt das Fehlerrisiko.⁵³

2.4 Das Interne Kontrollsystem

Das Prüfungsrisiko ist - wie schon näher dargelegt - abhängig vom inhärenten Risiko und dem Kontrollrisiko auf Seiten des Unternehmens. Zudem ist es abhängig vom Entdeckungsrisiko auf Seiten des Abschlussprüfers.

Der Gesetzgeber hebt mit der Einführung der Regelungen des KonTraG die Verantwortung der mit der Kontrolle im Unternehmen befassten Personen hervor. Die Verpflichtung der Unternehmensleitung zur Einrichtung eines Risikomangements nimmt hierbei eine zentrale Rolle ein.⁵⁴

Das frühzeitige Erkennen und Steuern von Risiken gehört nicht erst seit Inkraft-treten des KonTraG zu den Aufgaben der Unternehmensleitung, allerdings wurde diese Aufgabe durch eine besondere organisatorische Herausstellung aufgewertet. Ein solches System zu installieren heißt, die vorhandenen Organisationsregeln und bereits getroffenen Maßnahmen systematisch zu ordnen, ihre Funktionsfähig-keit kritisch zu hinterfragen, sie ggf. anzupassen und zu dokumentieren.⁵⁵ Ein wirksames Risikomanagement ist darüber hinaus aber auch eine Kernkomponente einer erfolgreichen Unternehmensführung, die zu einem strategischen Erfolgs-faktor werden kann.⁵⁶

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Risikomanagement⁵⁷

Das Risikomanagement hilft, geschäftsbedrohliche Risiken früh zu erkennen und somit den Fortbestand des Unternehmens dauerhaft zu sichern.

Um den Anforderungen des Gesetzgebers zu genügen, liegt es demnach in der Verantwortung des Vorstands, geeignete Kontrollprozesse in die Unternehmens-abläufe zu integrieren.⁵⁸ Mit der Einführung eines Internen Kontrollsystems (IKS) kommt die Geschäftsleitung dieser Anforderung nach. In Abhängigkeit von der Wirksamkeit eines solchen Systems sinkt oder steigt auch das Prüfungsrisiko: Bei einem wirksamen IKS wird den inhärenten Risiken entgegengesteuert; zudem sinkt das Kontrollrisiko.

Im Rahmen der Prüfungshandlungen wird der Abschlussprüfer das IKS daher ei-ner Systemprüfung unterziehen, um dessen Wirksamkeit zu untersuchen und folglich das resultierende Entdeckungsrisiko einschätzen zu können. Aus dieser Beurteilung ergibt sich dann die Strategie für die weiteren Prüfungshandlungen.

2.4.1 Begriff und Aufgaben

Das Interne Kontrollsystem eines Unternehmens umfasst alle von der Unterneh-mensleitung eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) zur organisatorischen Umsetzung der Entscheidung der Unternehmensleitung⁵⁹

- zur Sicherung der Wirksamkeit und Wirtschaftlichkeit der Geschäftstätig- keit,
- zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung und
- zur Einhaltung der maßgeblichen rechtlichen Vorschriften.

Das IKS besteht sowohl aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) als auch aus Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem).

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Internes Kontrollsystem⁶⁰

Das interne Überwachungssystem besteht aus prozessintegrierten und prozessunabhängigen Überwachungsmaßnahmen:

- Organisatorische Maßnahmen umfassen fehlerverhindernde Maßnahmen, die sowohl in der Aufbau- als auch in der Ablauforganisation eines Unter- nehmens integriert sind und ein vorgegebenes Sicherheitsniveau gewähr- leisten sollen. Hierunter fallen u.a. Funktionstrennungen und Zugriffsbe- schränkungen im EDV-Bereich.
- Kontrollen sollen die Wahrscheinlichkeit für das Auftreten von Fehlern in den Arbeitsabläufen vermindern bzw. aufgetretene Fehler aufdecken (z.B. die Überprüfung der Vollständigkeit und Richtigkeit von erhaltenen oder weitergegebenen Daten oder programmierte Plausibilitätsprüfungen in der Software).
- Die interne Revision ist eine prozessunabhängige Institution, die innerhalb des Unternehmens die Strukturen und Aktivitäten prüft und beurteilt.
- Sonstige Überwachungsmaßnahmen können z.B. in der Einrichtung von High-Level-Controls, also durch besonderen Auftrag der gesetzlichen Vertreter oder durch diese selbst eingerichtet werden.

Das Interne Kontrollsystem ist auf drei für die Rechnungslegung relevante Bereiche gerichtet:⁶¹

(1) Auf die Geschäftstätigkeit gerichtete Teile des IKS sollen die Wirksamkeit und Wirtschaftlichkeit sicherstellen und dienen auch dem Vermögensschutz, indem z.B. auf Vermögenswerte und Aufzeichnungen des Unternehmens nur berechtigte Personen zugreifen können.
(2) Auf die Sicherung der Ordnungsmäßigkeit und Verlässlichkeit der Rech- nungslegung gerichtete Teile des IKS zielen darauf ab, ob z.B. die Vollstän- digkeit der Buchführungsunterlagen gegeben ist oder ob Ansatz, Ausweis und Bewertung von Vermögensgegenständen und Schulden im Jahresab- schluss zutreffend dargestellt sind.
(3) Auf die Einhaltung sonstiger gesetzlicher Vorschriften gerichtete Teile des IKS überwachen z.B. die Einhaltung steuerlicher Vorschriften oder Verbraucherschutzbestimmungen.⁶²

2.4.2 Grenzen für die Wirksamkeit

Auch ein sachgerecht gestaltetes Internes Kontrollsystem kann nicht in jedem Fall gewährleisten, dass die mit ihm verfolgten Ziele erreicht werden. Menschliche Fehlleistungen infolge von Ablenkungen oder missverstandenen Arbeitsanwei-sungen können dabei ebenso ursächlich dafür sein wie die bewusste Umgehung des IKS durch die gesetzlichen Vertreter (sog. Management Override) oder Mitar-beiter des Unternehmens. Zudem kann Missbrauch oder Nachlässigkeit der ver-antwortlichen Personen die Wirksamkeit des IKS beeinträchtigen. Nicht zuletzt können auch Kostengesichtspunkte für fehlerhafte Kontrollsysteme verantwortlich sein, wenn die Unternehmensleitung auf bestimmte notwendige Maßnahmen ver-zichtet, weil die Kosten höher bewertet werden als der resultierende Nutzen.⁶³

2.4.3 Komponenten

Alle Aufgaben, welche die Konzeption, Implementierung, Überwachung, Anpas-sung und Weiterentwicklung des IKS betreffen, liegen im Verantwortungsbereich der Unternehmensleitung. Bei der Ausgestaltung sind verschiedenste Aspekte zu berücksichtigen, z.B. die Größe und Komplexität des Unternehmens sowie die Rechts- und Organisationsform. Ebenso sind Art, Diversifikation der Geschäftstä-tigkeit sowie die Methoden des Informationsmanagements relevant. Schließlich müssen natürlich auch die Anforderungen der rechtlichen Vorschriften beachtet werden.⁶⁴

Kleinere Unternehmen, die z.B. nur von einem Gesellschafter-Geschäftsführer geleitet werden und die in ihrer Organisation relativ flach strukturiert sind, werden bei der Implementierung einer IKS weniger Aufwand betreiben müssen als große Konzerne, die durch komplexe Geschäftsprozesse gekennzeichnet sind und hin-sichtlich ihrer Organisationsform mehrere hierarchische Ebenen haben.

Die folgenden Komponenten des IKS stehen in wechselseitiger Beziehung:

- Das Kontrollumfeld stellt den Rahmen des IKS dar und ist geprägt durch die Grundeinstellung, das Problembewusstsein und das Verhalten der Un- ternehmensleitung. Wichtige Faktoren sind hier z.B. fachliche Kompetenz, Unternehmenskultur, Führungsstil, Weisungsrechte und Verantwortungs- bereiche. Das Kontrollumfeld hat dabei wesentlichen Einfluss auf das Kontrollbewusstsein der Mitarbeiter und somit auf die Wirksamkeit des IKS.
- Risikobeurteilungen sind die Grundlage für Entscheidungen der Unternehmensleitung über den Umgang mit den Risiken, die finanzieller, rechtlicher oder strategischer Art sein können.
- Kontrollaktivitäten spiegeln die Grundsätze und Verfahren wider, die si- cherstellen, dass die Entscheidungen der Unternehmensleitung beachtet werden. Sie tragen dazu bei, dass notwendige Maßnahmen getroffen wer- den, um den Unternehmensrisiken zu begegnen.
- Information und Kommunikation dienen dazu, entscheidungs-relevante Informationen zeitgerecht zu holen, aufzubereiten und an die zuständigen Stellen weiterzuleiten. Dies umfasst auch die Information der Mitarbeiter über Aufgaben und Verantwortlichkeiten im IKS, die durch Organisati- onshandbücher, Richtlinien u.ä. bereitgestellt werden. Wesentlicher Be- standteil des Informationssystems ist das Rechnungslegungssystem. Die Qualität diesbezüglicher Informationen wirken sich einerseits auf die sach- gerechte Führung aus, andererseits sind sie elementar für die Aufstellung verlässlicher Abschlüsse.
- Die Überwachung des IKS kennzeichnet die Beurteilung der Wirksam- keit durch Mitarbeiter des Unternehmens. Festgestellte Mängel müssen schnellstmöglich in geeigneter Weise abgestellt werden. Diese Über- wachungsmaßnahmen werden v.a. in größeren Unternehmen von der In- ternen Revision durchgeführt.

Damit ergibt sich ein System, welches die Abhängigkeiten und Verknüpfungen der Ziele und Komponenten im Hinblick auf das Unternehmen zeigt:

Abbildung in dieser Leseprobe nicht enthalten

Abb. 5: Komponenten des Internen Kontrollsystems⁶⁵

2.4.4 Die Prüfung des Internen Kontrollsystems

Die Anforderungen zur Prüfung der Wirksamkeit des IKS ergeben sich aus dem IDW PS 260 über „Das Interne Kontrollsystem im Rahmen der Abschlussprüfung“. Grundsätzlich erfolgt die Prüfung in drei Stufen:

(1) Aneignung von Kenntnissen über das IKS
(2) Aufbauprüfung des IKS
(3) Funktionsprüfung des IKS

Zu beachten ist, dass Aufbau- und Funktionsprüfungen in der Regel nicht nacheinander ablaufen; vielmehr werden die einzelnen Bereiche häufig gleichzeitig im Hinblick auf Aufbau und Funktion geprüft.

Die Prüfung des IKS soll an dieser Stelle nur kurz skizziert werden, da sie im weiteren Verlauf der Untersuchungen zu den Anforderungen an die IT-System-prüfung grundlegend ist und später - konkretisiert auf das IT-System - wieder aufgegriffen wird.

[...]

---

¹ Vgl. Heese: (IT-Systemprüfung), 2002, S. 3

² Vgl. Heese: (IT-Systemprüfung), 2002, S. 18

³ Vgl. die Ausführungen zu den Prüfungshandlungen im IDW PS 300, Wpg 17/2001, S. 898 ff.

⁴ Vgl. Heese: (E-Business), 2002, S.8

⁵ Vgl. § 43 I WPO

⁶ Vgl. Marks/Schmidt: (Regierungsentwurf), WPg 2000, S. 409

⁷ Vgl. § 322 HGB i.V.m. IDW PS 450, Wpg 20/2203, S.1127 ff.

⁸ Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073

⁹ Vgl. Niehus: (Peer Review), DB 2000, S. 1133

¹⁰ Vgl. Süddeutsche Zeitung vom 22.01.2002

¹¹ Vgl. Lüdenbach: (Kausalität), DB 2002, S. 1169 ff.

¹² umfassend dargelegt bei Biener: (Erwartungslücke), 2003, S. 37 ff.

¹³ Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073

¹⁴ Vgl. Marten: (Berufsstand), BB 1999, S.1594

¹⁵ Vgl. Marten: (Qualitätskontrolle), DB 1999, S. 1073

¹⁶ Vgl. dazu insbesondere die Regelungen des § 239 II HGB

¹⁷ Vgl. BMF: (GoBS), S. 738 ff.

¹⁸ Vgl. § 91 Abs. 2 AktG

¹⁹ Vgl. Klein/Bruhne: (Abschlussprüfung), 2003, S. 26

²⁰ z.B. Regress, Berufs- und Strafgerichtsbarkeit

²¹ Der POB übt in der SEC Practice Sectice des American Institute of Certified Public Accountants eine Überwachungsfunktion aus.

²² Kommission, die vom POB eingesetzt wurde, um eine umfassende Studie zur Qualität der Abschlussprüfung durchzuführen

²³ Schmidt: (Empfehlungen), 2000, S.793

²⁴ Vgl. Hulle: (Bilanzrichtlinien zu ISA), Wpg 18/2003

²⁵ Vgl. Kompenhaus: (Transformation), S. 9

²⁶ Vgl. Ebenda

²⁷ Vgl. die Aufstellung unter www.idw.de/idw/generator/id=302246.html

²⁸ Vgl. die Position: „Übereinstimmung mit ISA“ am Ende eines jeden Prüfungsstandards

²⁹ vom HFA am 29.9.2003 verabschiedet

³⁰ Vgl. § 319 II HGB i.V.m. § 57a WPO

³¹ Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 1

³² Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 6 i.V.m. IDW PS 200 (Ziele und allgemeine Grundsätze) Tz. 9 ff.

³³ Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 14 ff.

³⁴ Eigene Darstellung in Anlehnung an IDW PS 300, Tz. 14

³⁵ Vgl. IDW PS 260 (Internes Kontrollsystem) und nähere Beschreibungen dazu unter Punkt 2.4

³⁶ Vgl. IDW PS 450 (Berichterstattung), Tz. 37

³⁷ Vgl. IDW PS 312 (Analytische Prüfungshandlungen), Tz. 7

³⁸ Vgl. Plendl: (Präsentation Abschlussprüfung), 2002, S. 11

³⁹ Vgl. IDW PS 312 (Analytische Prüfungshandlungen), Tz. 11

⁴⁰ Vgl. IDW PS 300 (Prüfungsnachweise), Tz. 26

⁴¹ Vgl. IDW PS 200 (Ziele und allgemeine Grundsätze), Tz. 24

⁴² Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 23

⁴³ Vgl. Stibi: (Prüfungsrisikomodell), 1995, S. 54

⁴⁴ Eigene Darstellung in Anlehnung an ISW PS 260, Tz. 24

⁴⁵ Beispielsweise kann eine rückläufige Konjunktur die Zahlungsfähigkeit der Kunden des zu prüfenden Unternehmens negativ beeinflussen, so dass Forderungen zweifelhaft oder uneinbringlich werden können.

⁴⁶ Vgl. Stibi: (Prüfungsrisikomodell), 1995, S. 55

⁴⁷ Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 24

⁴⁸ Vgl. IDW PS 201 (Rechnungslegungs- und Prüfungsgrundsätze), Tz. 4 ff.

⁴⁹ Vgl. IDW PS 250 (Wesentlichkeit), Tz. 4

⁵⁰ Vgl. IDW PS 200 (Ziele und allgemeine Grundsätze), Tz. 8

⁵¹ Vgl. IDW PS 250 (Wesentlichkeit), Tz. 8

⁵² Vgl. Ebenda, Tz. 10

⁵³ Vgl. Ebenda, Tz. 15

⁵⁴ Vgl. PWC: (IT-Infrastruktur), 2003, S.1

⁵⁵ Vgl. Ebenda

⁵⁶ Hier gibt es zahlreiche auf die Unternehmen zugeschnittene Tools, die die Integration eines solchen Systems erleichtern, z.B. das von PriceWaterhouseCoopers angebotene RiskMonitor.

⁵⁷ Eigene Darstellung in Anlehnung an PWC: (KonTraG und Risikomanagement), S. 1

⁵⁸ Vgl. Heese: (E-Business), 2002, S. 12

⁵⁹ Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 5 ff.

⁶⁰ Eigene Darstellung

⁶¹ Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 7 ff.

⁶² Vgl. IDW PS 201 (Rechnungslegungs- und Prüfungsgrundsätze), Tz. 10

⁶³ Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 10

⁶⁴ Vgl. Ebenda, Tz. 13

⁶⁵ Vgl. IDW PS 260 (Internes Kontrollsystem), Tz. 20