Die System- und Prozessprüfung im Rahmen des Risikoorientierten Prüfungsansatzes unter Berücksichtigung der Prüfungsstandards IDW 260, 330 und IDW RS FAIT 1

INHALTSVERZEICHNIS

Abkürzungsverzeichnis

1. Einleitung und Problemstellung

2. Geschäftsrisiken, IT-Risiken und internes Kontrollsystem
2.1 Geschäfts- und IT-Risiken
2.2 Internes Kontrollsystem und IT-Kontrollen

3. System- und Prozessprüfung und Risiko-orientierter Prüfungsansatz
3.1 Normative Grundlagen einer System- und Prozessprüfung
3.2 Systematisierung des Prüfungsrisikos eines Abschlussprüfers
3.3 Prozessorientierte Ausrichtung der Prüfung

4. Die System- und Prozessprüfung im Detail
4.1 Überblick
4.2 Die Erhebung
4.3 Die Aufbauprüfung
4.4 Die Funktionsprüfung

5. Zusammenfassung und Würdigung

Literaturverzeichnis

A B K Ü R Z U N G S V E R Z E I C H N I S

Abbildung in dieser Leseprobe nicht enthalten

1. Einleitung und Problemstellung

In der heutigen Zeit sehen sich Unternehmen im Zuge der Globalisierung von Wettbewerb und Märkten einer Vielzahl von Herausforderungen gegenüber, die zu bewältigen ohne moderne Informationstechnologien undenkbar ist. Mithin ist auch eine IT-gestützte Rechnungslegung, welche entscheidungsrelevante Informationen möglichst zeitnah, verlässlich und aussagefähig zur Verfügung stellt, sowohl für die interne Steuerung und Überwachung eines Unternehmens als auch für das externe Reporting unabdingbar.

Darüber hinaus muss eine Rechnungslegung insbesondere im Rahmen der externen Berichterstattung einer Reihe von gesetzlichen Kriterien genügen, deren Einhaltung es im Zuge einer Jahresabschlussprüfung zu untersuchen gilt.

In den nachfolgenden Kapiteln wird die System- und Prozessprüfung unter Berücksichtigung der Prüfungsstandards IDW PS 260 und 330 sowie der Stellungnahme IDW RS FAIT 1 des Instituts der Wirtschaftsprüfer dargestellt und aufgezeigt werden, wie sie es einem Abschlussprüfer ermöglicht, ein ihm im Sinne des Risiko-orientierten Prüfungsansatzes als akzeptabel erscheinendes Prüfungsrisiko nicht zu überschreiten bzw. eine hinreichend hohe Prüfungssicherheit hinsichtlich des Prüfungsobjektes zu erlangen.

Dabei wird zunächst auf die allgemeinen Geschäftsrisiken von Unternehmen eingegangen und insbesondere auf die Risken beim Einsatz von Informationstechnologie in Rechnungslegungssystemen und in operativen Prozessen hingewiesen (Kapitel 2.1). Anschließend wird das zur Beherrschung dieser Risken einzurichtende interne Kontrollsystem (IKS) sowie besondere IT-Kontrollen diskutiert (Kapitel 2.2).

In Kapitel 3.1 wird zunächst auf die vom Institut der Wirtschaftsprüfer herausgegebenen Prüfungsstandards bzw. Stellungsnahmen als normative Grundlage für eine System- und Prozessprüfung hingewiesen. Anschließend wird in Übereinstimmung mit diesen Regelungen das Prüfungsrisiko eines Abschlussprüfers im Sinne des Risiko-orientierten Prüfungsansatz systematisiert (Kapitel 3.2) bevor in einem weiteren Abschnitt (Kapitel 3.3) gezeigt wird, inwiefern dieser klassische Risiko-orientierter Prüfungsansatz um eine prozessorientierte Sichtweise erweitert werden muss.

Anschließend wird der Ablauf einer System- und Prozessprüfung im Detail erläutert (Kapitel 4) bevor zum Abschluss eine kurze Zusammenfassung und Würdigung folgt (Kapitel 5).

2. Geschäftsrisiken, IT-Risiken und internes Kontrollsystem

2.1 Geschäfts- und IT-Risiken

Unter den Geschäftsrisiken eines Unternehmens können im Allgemeinen alle diejenigen Risiken subsumiert werden, die dazu führen, dass ein Unternehmen seine Ziele nicht erreicht. Damit zählen sowohl externe Faktoren, wie z.B. das wirtschaftliche und rechtliche Umfeld, als auch interne Faktoren wie die Ausgestaltung von Geschäftsprozessen, das Management, Ziele und Strategien sowie konkrete Maßnahmen zur Überwachung der Wirtschaftlichkeit zu denjenigen Einflussgrößen, welche bestehende und zukünftige Risiken und Chancen eines Unternehmens bestimmen.^[1]

Aus dem inzwischen weit verbreiteten Einsatz von Informationstechnologien (IT), sowohl zur Unterstützung von Geschäftsprozessen als auch im Rahmen des internen Kontrollsystems (IKS) und in der Rechnungslegung, ergeben sich neben der Möglichkeit zur Steigerung von Effektivität und Effizienz der Unternehmenstätigkeit auch eine Reihe von Herausforderungen.

Sog. inhärente IT-Risiken treten zusätzlich zu den zuvor diskutierten Geschäftsrisiken auf und ergeben sich auf allen Ebenen eines IT-Systems, z.B. durch die fehlerhafte Ausgestaltung des Buchführungsverfahrens, von Programmabläufen und Verarbeitungsregeln oder aufgrund mangelnder Sicherheit rechnungslegungsrelevanter Daten. Ein nicht risikogerecht ausgestaltetes IT-System kann somit ungewünschte Auswirkungen auf die Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung haben.^[2]

Bei der Beurteilung solcher inhärenten IT-Risiken und der inhärenten Risiken auf Unternehmensebene gilt es, eine Reihe von IT-spezifischen Risikoindikatoren zu beachten. Es sind dies die Abhängigkeit des Unternehmens von IT-Anwendungen und IT-Infrastruktur, Änderungen aufgrund der Einführung neuer Systeme und Technologien oder aufgrund von Restrukturierungen, das Know-How der Mitarbeiter und ausreichende Personalressourcen sowie die Ausrichtung der IT auf die Geschäftserfordernisse eines Unternehmens.^[3]

Inhärente IT-Risiken können in IT-Infrastrukturrisiken, IT-Anwendungsrisken und IT-Geschäftsprozessrisiken unterschieden werden. IT-Infrastrukturrisiken treten dann auf, wenn die notwendige IT-Infrastruktur, z.B. durch technische Störungen, entweder gar nicht oder nicht im erforderlichen Maß zur Verfügung steht.^[4] IT-Anwendungsrisken resultieren aus fehlerhaften Verarbeitungsfunktionen in IT-Anwendungen, fehlenden oder nicht aktuellen Verfahrensregelungen und Verfahrensbeschreibungen, mangelhaften Eingabe-, Verarbeitungs- und Ausgabekontrollen oder aus einer mangelhaften Softwaresicherheit im Hinblick auf die Sicherheitsinfrastruktur.^[5] IT-Geschäftsprozessrisiken treten auf, wenn Kontrollelemente lediglich isoliert auf Teilfunktionen innerhalb des Unternehmens abgestimmt sind, sie aber bezogen auf Gesamtprozesse aufgrund unzureichender Transparenz der Datenflüsse, mangelhafter Integration der Systeme oder fehlerhafter Abstimm- und Kontrollverfahren an den Schnittstellen zwischen diesen Teilprozessen wirkungslos sind.^[6]

2.2 Internes Kontrollsystem und IT-Kontrollen

Zur Beherrschung der Risiken und zielkonformen Nutzung der Chancen bedarf es geeigneter, unternehmensinterner Maßnahmen, die den Schutz vorhandenen Vermögens, die betriebliche Effektivität und Effizienz sowie die zielgerechte Durchführung unternehmerischer Entscheidungen sicherstellen. Die Einrichtung eines daraufhin ausgerichteten, als Überwachungs- und Risikofrüherkennungssystem bezeichneten, Maßnahmenkatalogs als Teil eines umfassenden internen Kontrollsystems (IKS) ist nicht nur aus unternehmerischer Sicht sinnvoll, sondern wird auch gesetzlich vorgeschrieben.^[7]

Zur Beherrschung der zuvor diskutierten IT-Risiken bedarf es außerdem eines speziellen, in das IKS integrierten IT-Sicherheitskonzepts, welches die Vertraulichkeit, Integrität, Verfügbarkeit, Autorisierung, Authentizität und Verbindlichkeit des zugrunde liegenden IT-Systems sowie der mit ihm verarbeiteten Daten sicherstellt.^[8] Darüber hinaus gelten für die mittels IT verarbeiteten Daten die in § 239 HGB kodifizierten Grundsätze ordnungsmäßiger Buchführung, also Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, zeitliche und sachliche Ordnung, Nachvollziehbarkeit und Unveränderlichkeit, welche die Ordnungsmäßigkeit und Verlässlichkeit^[9] der Rechnungslegung gewährleisten sollen. Und schließlich gilt es auch beim Einsatz von IT in der Rechnungslegung die gesetzlichen Aufbewahrungsfristen gemäß § 257 HGB einzuhalten.

Ein umfassendes und risikogerechtes IKS beinhaltet, sowohl aus der Gesamtunternehmensperspektive als auch bezogen auf den Einsatz von Informationstechnologien, eine Vielzahl aufeinander abgestimmter Grundsätze, Verfahren und Maßnahmen zur internen Steuerung von Unternehmensaktivitäten (internes Steuerungssystem) und zur Überwachung der Einhaltung dieses Regelwerkes (internes Überwachungssystem).^[10] Darüber hinaus trägt ein funktionierendes IKS zur Ordnungsmäßigkeit und Verlässlichkeit der internen und externen Rechnungslegung bei und sichert die Einhaltung der für das Unternehmen geltenden gesetzlichen Vorschriften.^[11]

Zur Erfüllung dieser Aufgaben bedient man sich im Rahmen des internes Überwachungssystems sog. prozessintegrierter und prozessunabhängiger Überwachungsmaßnahmen. Prozessintegriert sind zum einen die sog. organisatorischen Sicherungsmaßnahmen, welche als laufende, automatische Sicherheitsmechanismen (z.B. Funktionstrennung, Zugriffsbeschränkung, Zahlungsrichtlinien) in die Aufbau- und Ablauforganisation eines Unternehmens integriert sind, und zum anderen die in den Arbeitsablauf integrierten Kontrollen (z.B. Überprüfungen von Daten auf Vollständigkeit und Richtigkeit, manuelle Soll-Ist-Vergleiche, programmierte Plausibilitätsprüfungen in Software). Als prozessunabhängig werden die Interne Revision, die unternehmensintern Strukturen und Aktivitäten analysiert, und die sog. High-Level-Controls der Unternehmensleitung bezeichnet.^[12]

Werden Mängel oder Schwächen festgestellt, gibt das interne Überwachungssystem ein Feedback an das interne Steuerungssystem des Unternehmens, damit das IKS hinsichtlich seiner Angemessenheit und Wirksamkeit beurteilt und im Idealfall auch geeignete Anpassungsmaßnahmen vorgenommen werden können.

[...]

^[1] Vgl. Arens, Alvin A.; Elder, Randal J.; Beasley, Mark S.: Auditing and Assurance Services – An Integrated Approach, Ninth Edition, Upper Saddle River, N.J., Prentice Hall, 2003, S. 180.

^[2] Vgl. ebenda, S. 273.

^[3] Vgl. IDW PS 330 Tz. 18.

^[4] Vgl. ebenda, Tz. 21.

^[5] Vgl. ebenda, Tz. 22.

^[6] Vgl. ebenda, Tz. 23.

^[7] Vgl. zur Lagebeurteilung eines Unternehmens durch die gesetzlichen Vertreter § 321 Abs. 1 Satz 2 HGB, bei amtlich notierten Aktiengesellschaften § 91 Abs. 2 AktG sowie § 317 Abs. 4 HGB zur Beurteilung durch Abschlussprüfer.

^[8] Vgl. IDW RS FAIT 1 Tz. 23

^[9] Vgl. ebenda, Tz. 25

^[10] Vgl. Pfitzer, Norbert; Schmidt, Gerd: Systemprüfung, in: Handwörterbuch der Rechnungslegung und Prüfung, 3., überarb. und erw. Aufl., Stuttgart, 2002, Sp. 2336-2350, hier Sp. 2338.

^[11] Vgl. IDW PS 260 Tz. 5

^[12] Vgl. IDW PS 260 Tz. 6 und IDW RS FAIT 1 Tz. 8