Sicherstellung von IT-Compliance in der Jahresabschlussprüfung

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

1.! Einleitung

2.! Zielsetzung und Aufbau

3.! IT-Compliance
3.1.! Begriffsdefinition
3.2.! Anforderungen für IT-Compliance
3.3.! Einbettung im Unternehmen

4.! IT in der Wirtschaftsprüfung
4.1.! IT als zentrale Plattform der Geschäftsprozesse
4.2.! IT-Risiken in der Rechnungslegung
4.3.! Auswirkungen auf die Jahresabschlussprüfung
4.4.! IT-Prüfung in der Jahresabschlussprüfung

5.! Regularien, Standards und Ziele von IT-Prüfungen
5.1.! 4-Ebenen-Modell
5.2.! IDW Veröffentlichungen
5.2.1.!!!IDW Prüfungsstandards
5.2.2.!!!IDW Stellungnahmen zur Rechnungslegung

6.! Umsetzung von IT-Prüfungen
6.1.! Allgemeine IT-Kontrollen
6.2.! Anwendungskontrollen
6.3.! Risikoeinschätzung

7.! Fazit

Literaturverzeichnis

Ehrenwörtliche Erklärung

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abbildung 1: Zusammenhang zwischen Prüfungssicherheit und -aufwand

Abbildung 2: Gesetzliche Grundlagen und Standards der IT-Revision

Abbildung 3: Berufsständische Standards und Stellungnahmen des IDW

Abbildung 4: Gegenstand von IT-Systemprüfungen

Abbildung 5: General IT Controls

1. Einleitung

Bereits seit der Jahrtausendwende ist Compliance ein häufig diskutiertes Thema in Medien, Unternehmen und auch bei Revisionsbeauftragten. Der steigende Be- kanntheitsgrad des Begriffs Compliance ist dabei nicht zuletzt durch diverse Skan- dale und Verfehlungen großer Unternehmen wie Siemens (Schmiergeld), MAN (Korruption) oder Deutsche Bank (Finanzkrise) zu erklären. Als ursprünglicher Aus- löser für die gesteigerte Aufmerksamkeit gilt jedoch der Sarbanes-Oxley-Act (SOX) aus dem Jahr 2002, ein US-Bundesgesetz, das die damals amtierenden Politiker Paul Sarbanes und Michael Oxley als Reaktion auf Bilanzskandale von Unterneh- men wie Enron oder Worldcom ausarbeiteten. Dem Gesetz unterliegen alle an der amerikanischen Börse notierten Unternehmen und es hat zum Ziel, das Vertrauen der Anleger in die Unternehmensberichterstattung und die Richtigkeit der publizier- ten Finanzdaten wiederherzustellen.

Europäische Regularien wie Basel III enthalten ebenso Vorgaben zum Thema Compliance, wie das deutsche Gesetz zur Kontrolle und Transparenz im Unter- nehmensbereich (KonTraG).¹ Eine wachsende Bandbreite an weiteren Gesetzen, Regularien, Standards und Anforderungen ist für eine stetige Neuausrichtung - vor allem im Kontext Compliance und IT - verantwortlich. Denn, die verantwortungsvol- le Steuerung eines Unternehmens und damit einhergehend die Umsetzung der notwendigen Kontrollmaßnahmen ist angesichts der zunehmenden Komplexität von Geschäftsprozessen ohne IT-Einsatz nicht zu bewältigen. Die IT-Abteilung ist daher zum einen durch die Bereitstellung des Systems für die Prozesskontrolle gefordert, zum anderen muss sie dafür Sorge tragen, dass die eigenen Prozesse den gesetzlichen Auflagen genügen. Wenngleich die Einhaltung von Compliance den Fachabteilungen obliegt, so ist die Geschäftsführung dennoch dafür haftbar. Folglich ist es Bestandteil einer gewissenhaften Unternehmenssteuerung geltende Spielregeln zu befolgen und sich um Einhaltung von Compliance zu kümmern.²

Da in der heutigen Zeit nahezu alle für die Jahresabschlusserstellung relevanten Informationen von IT-Systemen bereitgestellt oder verarbeitet werden, müssen sich auch die Wirtschaftsprüfer verstärkt mit dem Thema IT-Compliance und den verbundenen Anforderungen auseinandersetzen.

2. Zielsetzung und Aufbau

Ziel dieser Hausarbeit ist es zunächst ein Grundverständnis für IT-Compliance zu schaffen. Auf dieser Basis sollen die wichtigsten Anforderungen und Rahmenbe- dingungen für IT-Compliance sowie deren Quellen vorgestellt werden und ferner die Verknüpfung zur Wirtschafts- bzw. Jahresabschlussprüfung stattfinden. Darüber hinaus werden die Prüfungsstandards und Prüfungsansätze der Wirt- schaftsprüfer beleuchtet, um dem Leser ein haptisches Bild der risikoorientierten Prüfung zu vermitteln. Schlussendlich soll ein Verständnis für die Beurteilung rech- nungslegungsrelevanter Systeme hinsichtlich ihrer Ordnungsmäßigkeit geschaffen werden.

Diese Hausarbeit gliedert sich in sieben Kapitel. Nach Einleitung und Darstellung der Zielsetzung und des Aufbaus folgt ein Abschnitt zur Erläuterung des Begriffs IT-Compliance mitsamt Einflüssen und Abhängigkeiten. Das vierte Kapitel bezieht sich auf den Umgang der Wirtschaftsprüfung mit IT-Compliance und stellt auf die Relevanz für die Jahresabschlussprüfung ab. Im darauffolgenden Kapitel werden für die IT-Prüfung relevante Anforderungen detailliert herausgearbeitet, bevor in Kapitel sechs die Umsetzung einer IT-Prüfung im Zuge der Jahresabschlussprü- fung beschrieben wird. Im Fazit werden die Erkenntnisse der vorliegenden Hausar- beit zusammengefasst und gewürdigt.

3. IT-Compliance

Das Kapitel IT-Compliance zielt darauf ab den Begriff grundlegend zu definieren und ein Grundverständnis zu schaffen. Die Anforderungen und Einflussfaktoren sowie die Einbettung von IT-Compliance im Unternehmen werden ebenso skizziert.

3.1. Begriffsdefinition

Seinen Ursprung findet der Begriff Compliance in den USA. In Anlehnung an ‚in compliance with’ (gemäß; in Übereinstimmung mit) und dem aus der Bankenspra- che stammenden ‚to comply with’ (einhalten; befolgen) hat sich Compliance als alleinstehendes Wort für Regelkonformität respektive Einhaltung von Regeln und Geboten etabliert, ohne dass eine einheitliche Definition vorhanden ist.³ Unstrittig ist, dass IT-Compliance als Bestandteil der Corporate Compliance ange- sehen wird. Unter Corporate Compliance subsummiert Falk „ die Auswahl und Be- wertung der f ü r das jeweilige Unternehmen relevanten Anforderungen und den Zu- stand der Anforderungskonformit ä t unter Ber ü cksichtigung verschiedener An- spruchsgruppen des Unternehmens. “⁴ und trifft damit im Kern dieselbe Aussage wie diverse andere, in der Literatur aufgeführte Definitionsversuche. Corporate Compliance bildet daher die Basis, um eine nachhaltige, wert- und risikoorientierte, regelkonforme und ethisch korrekte Unternehmensführung sicherzustellen.⁵

Übertragen auf den Bereich IT lässt sich folgende Definition ableiten: „ IT- Compliance hei ß t [...] Einhaltung und Umsetzung von regulatorischen Anforderun- gen im weitesten Sinne mit dem Ziel eines verantwortungsvollen Umgangs mit al- len Aspekten der Informationstechnik (IT). “⁶ Somit lässt sich vereinfacht festhalten, dass IT-Compliance den Zustand der Anforderungskonformität der IT selbst sowie die Umsetzung von Anforderungskonformität mit IT-Unterstützung beschreibt.⁷ IT- Compliance steht dabei in engem Zusammenhang mit IT-Governance, worunter alle Maßnahmen zur Organisation, Steuerung und Kontrolle der IT-Systeme eines Unternehmens verstanden werden.⁸

3.2. Anforderungen für IT-Compliance

Der normative Rahmen für IT-Compliance setzt sich aus gesetzlichen und nicht- gesetzlichen Regelungen zusammen. In der einschlägigen Literatur wird bei der Erhebung relevanter Regelungen der Anspruch auf Vollständigkeit zumeist von Beginn an aufgegeben.⁹ Weltweit sollen schätzungsweise über 25.000 Compli- ance-Anforderungen kursieren, die eine klare Nennung von allgemeingültigen IT- Compliance-Eckpunkten nahezu unmöglich machen.¹⁰ Um dennoch ein Grundver- ständnis zu erlangen, kann man sich einer Unterteilung der Anforderungen dem Ursprung nach bedienen:

1) Gesetze und Vorschriften: Die landes- bzw. regionsspezifischen Gesetze

bilden den ersten Block. Hierunter fallen beispielsweise das Handelsgesetzbuch (HGB) mit den Grundsätzen ordnungsmäßiger Buchführung (GoB) und Grundsätzen ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS), die Abgabenordnung (AO), das KonTraG, Basel III, das Bundesdatenschutzgesetz (BDSG), SOX oder die Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU).

2) Institute: Staatliche und private Institutionen erlassen für viele Branchen

und Berufsstände weitere Regularien, um die gesetzlichen Anforderungen zu erweitern oder für eine bestimmte Branche zu spezifizieren. Hierunter fal- len z.B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), der ECOFIN-Rat oder das Institut der Wirtschaftsprüfer in Deutschland (IDW).

3) Unternehmensinterne Anforderungen: Neben den gesetzlichen oder

branchenspezifischen Vorgaben verfolgen die meisten Unternehmen noch selbst definierte Compliance-Anforderungen. So haben vor allem Großkonzerne wie Siemens oder Eon spätestens seit den Skandalen aus kurzer Vergangenheit unternehmenseigene Compliance-Policies, die noch weit mehr Themen umfassen als von offizieller Seite gefordert.

Für die Sicherstellung von IT-Compliance in der Jahresabschlussprüfung sind nur ausgewählte Anforderungen von Belang; diese werden in Kapitel fünf vertieft dar- gestellt.

3.3. Einbettung im Unternehmen

Die organisatorische und auch prozessuale Einbettung von IT-Compliance erfolgt an verschiedenen Stellen der Aufbau- und Ablauforganisation im Unternehmen und wird durch ein IT-Compliance-Management - ggf. geleitet von einem Chief Compli- ance Officer (CCO) - verantwortet. Die IT-Compliance-Organisation kann dabei je nach Entwicklungsgrad unterschiedliche Organisationsformen annehmen, die von einfachen Stabstellen bis hin zu voll integrierten Abteilungen mit Weisungsbefugnis reichen.¹¹ Von entscheidender Wichtigkeit ist hierbei die Funktionstrennung in der Aufbauorganisation im hierarchischen Gerüst des Unternehmens. In einem IT- Compliance-Framework ist daher neben den Kontrollprozessen auch eine strikte Funktionstrennung zwischen Handelnden und Kontrollorganen zu verankern, um sicherzustellen, dass die Kontrolle für das Handeln und das Handeln selbst durch unterschiedliche Personen erfolgt.¹²

Ein höherer Detaillierungsgrad zur Einbettung und Verantwortung von ITCompliance im Unternehmen ist möglich, jedoch für die vorliegende Arbeit nicht notwendig und zielführend.

4. IT in der Wirtschaftsprüfung

Die IT ist längst vom unterstützenden Element des Unternehmens zur tragenden Säule gereift und hat folglich auch einen stärkeren Einfluss auf die Verarbeitung rechnungslegungsrelevanter Daten. Für die Wirtschaftsprüfer ist bedeutet dies, dass eine Beurteilung der unternehmerischen Risiken keinesfalls ohne den Einbe- zug relevanter IT-Systeme stattfinden kann. Dabei kommen grundsätzlich alle An- wendungen in Betracht, deren Informationen in den Jahresabschluss einfließen. Insbesondere bei mittelgroßen bis großen Unternehmen ist die IT-Prüfung integra- ler Bestandteil einer Vielzahl von Jahresabschlussprüfungen und trägt signifikant zur Prüfungssicherheit bei.¹³

4.1. IT als zentrale Plattform der Geschäftsprozesse

ERP-Systeme, komplexe Wertschöpfungsketten und auf alle Unternehmensberei- che ausgedehnte Prozesse prägen die Systemlandschaft vieler Unternehmen. So ist davon auszugehen, dass die Erfassung wesentlicher Buchungsdaten bereits in Prozessschritten erfolgen kann, die teilweise weit vor dem Rechnungswesen im engeren Sinne angesiedelt sind.¹⁴ Buchungsdaten, die während der Arbeitsabläufe originär außerhalb der tatsächlichen Buchhaltung entstehen, verändern je nach Grad der Datenintegration alle betroffenen Informationen auf den folgenden Stufen des Geschäftsprozesses.¹⁵ Folglich kann jede kleinste Änderung (wie z.B. eine Änderung des Anschaffungspreises für ein Rohmaterial um einen Cent-Betrag) zu umfangreichen Neuberechnungen führen und immensen Einfluss auf die Kalkulati- on und Erfolgsrechnung des Unternehmens nehmen.

Nichtsdestoweniger erhöht zunehmende Vernetzung und Globalisierung den Kom- plexitätsgrad der IT-Landschaft. Sowohl die Vernetzung ‚B2B’ mit anderen Unter- nehmen entlang der Wertschöpfungskette, als auch die direkte Beziehung ‚B2C’ mit dem Endkunden stehen mehr und mehr im Fokus der Unternehmen. Web- basierte Anwendungen, die durch E-Commerce-Systeme papierlose, rechnungsle- gungsrelevante Daten erzeugen, sind nur ein Beispiel für die erweiterten Anforde- rungen an die Wirtschaftsprüfer. Eine einheitliche, funktionsübergreifende Betrach- tung von Buchführung und IT-Systemen ist deshalb unumgänglich.

[...]

¹ vgl. Müller & Terzidis (2008), S. 1

² vgl. Taeger & Rath (2007), S. 5 f.

³ vgl. Falk (2012), S. 33

⁴ Falk (2012), S. 35

⁵ vgl. PWC (2009)

⁶ Rath (2007)

⁷ vgl. Falk (2012), S. 37

⁸ vgl. Rath (2007)

⁹ vgl. Falk (2012), S. 40

¹⁰ vgl. Wecker & Ohl (2013), S. 131

¹¹ vgl. Rath & Sponholz (2014), S. 150 f.

¹² vgl. Falk (2012), S. 122 ff.

¹³ vgl. Wecker & Ohl (2013), S. 134 f.

¹⁴ vgl. Taeger & Rath (2007), S. 49

¹⁵ vgl. ebd.