DV-Revision hinsichtlich Ordnungsmäßigkeits- und Sicherheitsanforderungen bei DV-gestützter Rechnungslegung am Beispiel von SAP R/3

Inhaltsverzeichnis

Inhaltsverzeichnis

Abkürzungsverzeichnis

Abbildungsverzeichnis

Tabellenverzeichnis

1 Einleitung
1.1 Problemstellung
1.2 Aufbau der Arbeit
1.3 Definitionen

2 Revision im Allgemeinen
2.1 Die Revision im unternehmerischen Umfeld
2.2 Das unternehmerische Überwachungskonzept
2.2.1 Externe Unternehmensüberwachung
2.2.2 Interne Unternehmensüberwachung
2.2.2.1 Abgrenzung zwischen Revision, Prüfung und Kontrolle
2.2.2.2 Das Interne Kontrollsystem als zentrales Instrument der internen Unternehmensüberwachung
2.3 Ziele der allgemeinen Revision
2.3.1 Ordnungsmäßigkeit im Rahmen der allgemeinen Revision
2.3.2 Sicherheit im Rahmen der allgemeinen Revision
2.3.3 Wirtschaftlichkeit im Rahmen der allgemeinen Revision
2.4 Allgemeine Prüfungstechniken

3 DV-Revision
3.1 Bedeutung der DV-Revision
3.2 Gegenstand der DV-Revision
3.3 Prüfungsgrundlagen und Prüfungsmaßstäbe der DV-Revision
3.4 Ziele der DV-Revision
3.4.1 Ordnungsmäßigkeit im Rahmen der DV-Revision
3.4.2 Sicherheit im Rahmen der DV-Revision
3.4.3 Wirtschaftlichkeit im Rahmen der DV-Revision
3.5 Prüfungsanlässe der DV-Revision
3.5.1 DV-Revision als Bestandteil der Jahresabschlussprüfung
3.5.2 DV-Revision im Rahmen von freiwilligen Sonderprüfungen
3.6 Risikoorientierter Prüfungsansatz der DV-Revision

4 Das SAP R/3-System aus Sicht der DV-Revision
4.1 Technische Grundlagen zum SAP R/3-System
4.1.1 Systemtechnischer Aufbau des SAP R/3-Systems
4.1.1.1 Die SAP R/3-Präsentations-, Anwendungs- und Datenbankebenen
4.1.1.2 Die SAP R/3-Kommunikations- und Betriebssystemebenen
4.1.2 Datentechnischer Aufbau des SAP R/3-Systems
4.1.3 Funktionsweise des SAP R/3-Systems
4.1.4 Entwicklungen im SAP R/3-System
4.1.5 Das SAP-Berechtigungskonzept
4.2 Umsetzung der Ordnungsmäßigkeit- und Sicherheitsanforderungen im SAP R/3-System
4.2.1 Umsetzung auf Anwendungsebene
4.2.1.1 Umsetzung im Rahmen des Customizings
4.2.1.2 Umsetzung im Produktivbetrieb
4.2.2 Umsetzung auf Datenbankebene
4.2.3 Umsetzung auf Betriebssystemebene
4.3 Prüfung der Ordnungsmäßigkeit und Sicherheit des SAP R/3-Systems
4.3.1 Prüfung des Customizings
4.3.2 Prüfung des Produktivsystems
4.3.3 Integrierte Funktionalitäten zur Prüfung des SAP R/3-Systems
4.3.4 Probleme bei der Prüfung des SAP R/3-Systems

5 Zusammenfassung und Ausblick

Anhang: Anlagenverzeichnis

Literatur- und Quellenverzeichnis

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Abbildungsverzeichnis

Abb. 1: Regelungsbereiche der unternehmerischen Überwachung

Abb. 2: Ziele und Wirkungsweise des Internen Kontrollsystems

Abb. 3: Gegenstand der DV-Revision

Abb. 4: Formelle Prüfungsgrundlagen und –maßstäbe der DV-Revision

Abb. 5: Komponenten des Internen Kontrollsystems

Abb. 6: Systemtechnischer Aufbau des SAP R/3-Systems i.w.S

Abb. 7: Das SAP-Berechtigungskonzept

Abb. 8: Systemlandschaft der Anwendungsentwicklung im SAP R/3-System

Abb. 9: Klassifikation von Software

Abb. 10: Wesentliche Module des SAP R/3-Systems Release 4.7

Abb. 11: Das Modul FI im Zentrum des SAP R/3-Systems

Abb. 12: Transaktionseingabe im SAP R/3-System

Abb. 13: Auszug von SAP R/3-Transaktionen aus dem Bereich Finanzbuchhaltung

Abb. 14: Anmeldemaske des SAP R/3-Systems

Abb. 15: Beispiel einer „Segregation of Duties“ – Matrix

Abb. 16: Struktur des Audit Information System (AIS) des SAP R/3-Systems

Tabellenverzeichnis

Tab. 1: Formelle Grundsätze ordnungsmäßiger Buchführung

Tab. 2: Sicherheitsanforderungen zur Einhaltung der Ordnungsmäßigkeit

Tab. 3: Die hierarchischen Ebenen des SAP R/3-Systems

Tab. 4: Wesentliche Parameterkategorien zur Steuerung des SAP R/3-Systems

Tab. 5: Sonderbenutzer im SAP R/3-System

Tab. 6: Transaktionen zur Systemprüfung des SAP R/3-Systems

Tab. 7: Tabellen zur Systemprüfung des SAP R/3-Systems

Tab. 8: Reports zur Systemprüfung des SAP R/3-Systems

Tab. 9: Erläuterung der Menüpunkte des Audit Information System (AIS)

1 Einleitung

Das erste Kapitel zeigt zunächst die Bedeutung des Themas dieser Arbeit anhand der Problemstellung auf. Daraufhin erfolgt eine Übersicht über den Aufbau der Arbeit sowie die Definition der für das Verständnis notwendigen grundlegenden Begriffe.

1.1 Problemstellung

Das unternehmerische Umfeld ist im Rückblick auf die vergangenen Jahrzehnte einem rasanten Wandel unterworfen. Seit der Entwicklung der ersten Computer Mitte des letzten Jahrhunderts gewinnt die Informationstechnologie kontinuierlich an Bedeutung für die Ausführung betriebswirtschaftlicher Aufgaben. Mit zunehmendem Maße werden z.B. die Rechnungslegung DV-gestützt geführt, gesamte Geschäftprozesse über IT-Systeme abgewickelt oder Belege elektronisch archiviert. Mit diesem Fortschritt wachsen jedoch auch die Risiken und möglichen Schäden, die sich z.B. bei einem Systemausfall schnell in Millionenhöhe belaufen können.^[1]

Parallel dazu wächst das Verlangen nach Stabilität und Sicherheit der Unternehmen durch adäquate Überwachung des unternehmerischen Handelns. Gründe hierfür liegen nicht zuletzt in den Unternehmensskandalen der jüngsten Vergangenheit, wie z.B. die Fälle Enron 2001, Royal Ahold 2003, WorldCom oder Holzmann, in denen jeweils Bilanzmanipulationen vorgenommen wurden. Dies führte zu einer neuen Definition der Ordnungsmäßigkeits- und Sicherheitsanforderungen gegenüber den Unternehmensleitungen.

Aufgrund dieser Entwicklungen gewinnt die unternehmerische Überwachung durch die Revision, insbesondere im Hinblick auf den Einsatz der Informationstechnologie, immer mehr an Bedeutung. Deshalb ist dies Thema der vorliegenden Arbeit.

1.2 Aufbau der Arbeit

Die vorliegende Arbeit soll einen Überblick über Zielsetzung und Aufgaben der DV-Revision geben. Zum allgemeinen Verständnis werden in Abschnitt 1.3 zunächst die wichtigsten Begrifflichkeiten definiert.

Kapitel 2 „Revision im Allgemeinen“ schafft ein Grundverständnis für die Thematik der Revision und ihre Eingliederung in das unternehmerische Umfeld. Anhand des unternehmerischen Überwachungskonzepts werden die unterschiedlichen Formen und Maßnahmen der Revision erläutert sowie damit verbundene Begriffe definiert. Die darauf folgenden Ziele der allgemeinen Revision tragen zum Verständnis ihrer Aufgaben bei. Das Kapitel schließt mit einem Überblick über angewandte Techniken der Revision.

Kapitel 3 „DV-Revision“ konkretisiert die allgemeine Revision speziell im Hinblick auf den Einsatz von Informationstechnologie. Der Definition des Gegenstandes der DV-Revision folgt eine Darstellung der wesentlichen Prüfungsgrundlagen und –maßstäbe in diesem Zusammenhang. Daraus abgeleitet werden die in Kapitel 2 dargestellten Ziele der allgemeinen Revision hinsichtlich des technologischen Umfeldes der DV-Revision angepasst. Den wesentlichen Prüfungsanlässen der DV-Revision folgt die Erläuterung des in der Praxis am häufigsten angewandten Prüfungsansatzes, dessen Ausgangspunkt die durch den Einsatz der Informationstechnologie erzeugten Risiken darstellt.

Kapitel 4 „Das SAP R/3-System aus Sicht der DV-Revision“ veranschaulicht praktisch die in Kapitel 2 bis 3 dargestellten theoretischen Grundlagen anhand des SAP R/3-Systems, insbesondere der darin enthaltenen Funktionalitäten zur DV-gestützten Rechnungslegung. Hierbei wird zunächst die SAP-spezifische technische Grundlage geschaffen. Daraufhin erfolgt ein Beispiel zur Umsetzung der in Kapitel 3 dargestellten Ziele der DV-Revision. Ausgangspunkt sind dabei, analog dem in Kapitel 3 dargestellten „risikoorientierten Prüfungsansatz“, die mit dem Einsatz des SAP R/3-Systems verbundenen Risiken. Die Umsetzung ist als ein in der Praxis der Wirtschaftsprüfung bewährter Vorschlag anzusehen und beschränkt sich auf die wesentlichen Elemente des SAP R/3-Systems. Eine allgemein gültige Vorgehensweise existiert hierzu nicht. Des Weiteren wird die konkrete Prüfung des DV-gestützten Rechnungslegungssystems durch die DV-Revision dargestellt sowie Möglichkeiten zur Durchführung der Prüfungshandlungen analysiert.

Kapitel 5 gibt einen zusammenfassenden Überblick wider und zeigt zu erwartende Entwicklungen im Rahmen der DV-Revision auf.

Aus Vereinfachungsgründen werden in dieser Arbeit, soweit nichts anderes angegeben, nur allgemeingültige Regelungen erörtert, d.h. es wird nicht auf die spezifischen, von der Unternehmens- bzw. Gesellschaftsform abhängigen Regelungen eingegangen. Die Bezeichnung „Unternehmen“ umfasst demnach sämtliche Formen der Einzelunternehmungen und Gesellschaften. Hieraus ergibt sich auch für das oberste Führungsgremium einer Unternehmung die allgemeine Bezeichnung „Unternehmensleitung“, ungeachtet der tatsächlichen spezifischen gesellschaftsformabhängigen Bezeichnung (z.B. Vorstand einer Aktiengesellschaft, Geschäftsleitung einer Kapitalgesellschaft, Geschäftsführer einer Gesellschaft mit beschränkter Haftung).

1.3 Definitionen

- Informationstechnologie (IT)
Informationstechnologie (IT) ist der „(...) Oberbegriff für alle mit der elektronischen Datenverarbeitung in Berührung stehenden Techniken.“^[2] Dazu gehören alle technischen Komponenten zur Übermittlung, Speicherung und Verarbeitung von Daten in Form von Hard- und Software inklusive der Netzwerke.
- Elektronische Datenverarbeitung (EDV)
Datenverarbeitung (DV) ist die Kurzform für „Elektronische Datenverarbeitung“ (EDV) und wird im weiteren Verlauf dieser Arbeit synonym verwendet. Unter DV versteht man wörtlich die Verarbeitung, d.h. die Erfassung, Veränderung, Strukturierung und Ausgabe von Daten durch automatische Prozessierung mit Hilfe von IT-Systemen.^[3]
- DV-gestützte Rechnungslegung
Der Begriff „Rechnungslegung“ beschreibt im weiteren Sinne die Rechenschaftslegung über eine mit Einnahmen und Ausgaben verbundene Betriebsführung.^[4] Im engeren Sinne handelt es sich dabei um die Aufstellung und Veröffentlichung des Jahresabschlusses bei großen Kapitalgesellschaften, insbesondere von Bilanz, Gewinn- und Verlustrechnung (GuV) sowie des Lageberichts.^[5] Die Informationen zur Rechnungslegung entstammen dem kaufmännischen Rechnungswesen, das sich u.a. aus Buchführung, Kostenrechnung, betriebswirtschaftlicher Statistik sowie der Planungsrechnung zusammensetzt.^[6] Wird zur Abwicklung dieser Geschäftsprozesse des Rechnungswesens Informationstechnologie eingesetzt, deren Ergebnisse letztendlich in der Rechnungslegung münden, spricht man von „DV-gestützter Rechnungslegung“.^[7]

In der Literatur ist die Differenzierung zwischen „IT“ und „DV“ häufig unklar definiert. So werden z.B. oft die Begriffe „IT-Revision“ und „DV-Revision“ oder „IT-Systeme“ und „DV-Systeme“ gleichbedeutend verwendet.^[8] Da im Rahmen dieser Arbeit die Abwicklung der Rechnungslegung mit Hilfe der Informationstechnologie und damit die Verarbeitung der Daten im Fokus steht, wird im weiteren Verlauf, entsprechend der vorangegangenen Definitionen, hierfür der Begriff „ DV “ (z.B. DV-gestützt) verwendet. Werden jedoch die dafür notwendigen technischen Komponenten betrachtet, wird der Begriff „ IT “ (z.B. IT-System) verwendet, da er über die reine Verarbeitung der Daten hinaus geht.

2 Revision im Allgemeinen

2.1 Die Revision im unternehmerischen Umfeld

Unternehmen sind planvoll organisierte Wirtschaftseinheiten, die durch ökonomisches Handeln nach dem Wirtschaftlichkeitsprinzip die Erfüllung eines oder mehrerer Unternehmensziele anstreben.^[9] Die Unternehmensleitung legt anhand einer Zielfunktion die Unternehmensziele und die davon abgeleiteten Teilziele fest. Oberstes Ziel im marktwirtschaftlichen System stellt dabei die langfristige Maximierung des Gewinns dar.^[10]

Die Entscheidungen der Unternehmensleitung zur Verfolgung der Unternehmensziele sind gewissen Nebenbedingungen unterworfen. Als Beispiel sind die rechtlichen Rahmenbedingungen zu nennen, die durch die Rechtsordnung vorgegeben werden, in die das Unternehmen eingebettet ist.^[11] Eines der wesentlichen Ziele ist dabei der Schutz von externen Anspruchsgruppen (sog. Stakeholder), wie z.B. Staat, Anteilseigner, Kreditgeber, Finanzbehörden, Arbeitnehmer und die interessierte Öffentlichkeit, mit denen das Unternehmen in Wechselwirkung steht.^[12] Beispielsweise ist die Unternehmensleitung in Deutschland per Gesetz zur ordentlichen und gewissenhaften Geschäftsabwicklung angehalten und trägt bei Verstoß gegen diese Obliegenheiten die Gesamtverantwortung.^[13] Außerdem ist sie zu einer ordnungsmäßigen Buchführung bzw. Rechnungslegung verpflichtet, deren Informationen im Jahresabschluss (Bilanz, GuV-Rechnung) dargestellt werden.^[14] Damit sollen die Stakeholder über die Finanz-, Ertrags- und Vermögenslage der Unternehmung informiert werden. Die Stakeholder erheben dabei den Anspruch der Richtigkeit und Verlässlichkeit dieser Information.^[15]

Somit erwächst die Notwendigkeit eine Instanz zu schaffen, die zum einen die Unternehmensleitung in der Ausübung ihrer internen Überwachungsfunktion (Kontrolle und Prüfung) unterstützt und zum anderen diese, im Interesse der externen Anspruchsgruppen überwachen. Diese Aufgaben werden durch die Revisionen im Rahmen des unternehmerischen Überwachungskonzepts, welches im folgenden Abschnitt erläutert wird, wahrgenommen.

2.2 Das unternehmerische Überwachungskonzept

Anhand des im Folgenden dargestellten unternehmerischen Überwachungskonzepts werden die Maßnahmen erläutert, welche eine ordentliche und gewissenhafte Geschäftsabwicklung gewährleisten sollen. Je nach Unternehmenszugehörigkeit des Prüfungsträgers wird zwischen interner und externer Revisionen unterscheiden.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 1: Regelungsbereiche der unternehmerischen Überwachung

Quelle, in Anlehnung an: Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 28.

2.2.1 Externe Unternehmensüberwachung

Die externe Unternehmensüberwachung erfolgt i.d.R. durch externe Revisionen. Diese werden durch Prüfer durchgeführt, die von den Weisungen der Unternehmensleitung losgelöst handeln. I.d.R. sind dies neutrale Prüfungsträger (z.B. vereidigte Wirtschaftsprüfer und Buchprüfer, Prüfungsverbände) sowie behördliche Prüfungsträger (z.B. Rechnungshöfe, Bundesaufsichtsämter).^[16] Primärer Untersuchungsgegenstand externer Revisionen ist die Einhaltung der Ordnungsmäßigkeit, d.h. die Erfüllung spezifischer Gesetze und Vorschriften, die zum Schutze externer Anspruchsgruppen erlassen werden. Die Einhaltung durch Mitarbeiter des zu prüfenden Unternehmens untersuchen zu lassen ist z.B. im Rahmen der Jahresabschlussprüfung gesetzlich verboten.^[17]

Zu den externen Revisionen zählen u.a. hoheitliche Prüfungen, in denen der Staat als Anspruchseigner die Überprüfung der Einhaltung spezifischer gesetzlicher Vorschriften veranlasst (z.B. Steuer-, Umwelt-, Kartell- und Datenschutzrecht).^[18] Außerdem sind hierunter Pflichtprüfungen zu subsumieren. Dies sind gesetzlich vorgeschriebene Prüfungen, die entweder periodisch wiederkehrend oder einmalig stattfinden. Die in Deutschland bedeutendste periodische Pflichtprüfung ist die handelsrechtlich vorgeschriebene Jahresabschlussprüfung großer Kapitalgesellschaften.^[19] Hierbei kann ohne Prüfung durch einen vereidigten Abschlussprüfer der Jahresabschluss nicht festgestellt werden.^[20] Aperiodische Pflichtprüfungen werden auch als Sonderprüfungen bezeichnet. Sie finden aufgrund besonderer Anlässe statt (z.B. Gesellschaftsgründungen, Maßnahmen der Kapitalbeschaffung).^[21] Für freiwillige Sonderprüfungen werden im Rahmen der externen Revision unternehmensfremde Gutachter und Berater (z.B. Wirtschaftsprüfer, Unternehmensberater, Steuerberater oder sonstige Sachverständige) für die Lösung spezieller Aufgabenstellungen herangezogen.^[22]

Im weiteren Verlauf dieser Arbeit wird auf die Anforderungen der Jahresabschlussprüfung eingegangen, da in ihrem Rahmen die DV-Revision eine wesentliche Rolle spielt. An dieser Stelle sei auf Abschnitt 3.5.1 verwiesen. Alle anderen Bereiche der externen Revision werden nur insofern behandelt, als dass sie aus DV-technischer Sicht relevant sind.

2.2.2 Interne Unternehmensüberwachung

Die Überwachung der Unternehmensleitung selbst erfolgt bei großen Kapitalgesellschaften durch den Aufsichtsrat als sekundäres Überwachungsgremium.^[23] Dies wird im Rahmen dieser Arbeit jedoch ausgegrenzt. Die Überwachung des täglichen Geschäftsbetriebs zur Sicherstellung der Erreichung der Unternehmensziele liegt in der Verantwortung der Unternehmensleitung.^[24] Sie bedient sich bei der Ausübung ihrer Überwachungsaufgaben der Mittel von Kontrolle und Prüfung (Revision).^[25]

2.2.2.1 Abgrenzung zwischen Revision, Prüfung und Kontrolle

Der Begriff „Revision“ wird hier zum einen als Prozess verstanden, der die Überprüfung von Geschäftsvorfällen und das Zusammenwirken betrieblicher Systeme hinsichtlich ihrer Richtigkeit, Ordnungs-, Gesetzes- und Zweckmäßigkeit zum Gegenstand hat.^[26] Zum anderen beschreibt dieser Begriff eine prozessunabhängige Institution – die Stabstelle „Interne Revision“, auf deren Aufgaben im Verlauf dieser Arbeit weiter eingegangen wird.^[27]

Als Synonym für „Revision“, im Sinne eines Prozesses, wird in der deutschen Literatur auch der Begriff „Prüfung“ verwendet.^[28] Dabei definiert sich „Prüfung“ als ein Vorgang des Soll-/ Ist-Vergleichs mit anschließender Ermittlung und Analyse der Abweichungen sowie der Entwicklung von Maßnahmen zur Beseitigung der Abweichungen.^[29] Das Ziel einer Prüfung ist die Beurteilung der Ordnungsmäßigkeit eines Prüfobjekts unter „(...) Beachtung des Wirtschaftlichkeitsprinzips und des angestrebten Sicherheitsgrades (...)“.^[30] Im weiteren Verlauf dieser Arbeit werden die Begriffe „Revision“, im Sinne eines Prozesses, und „Prüfung“ gleichbedeutend verwendet.

Zur Abgrenzung von „Prüfung“ und „Kontrolle“ ist zunächst zwischen prozessabhängigen und prozessunabhängigen Überwachungsmaßnahmen zu unterscheiden (siehe Abb. 1).

Prozessabhängige Überwachungsmaßnahmen sind den betrieblichen Abläufen unmittelbar eingebunden und damit bei jedem Prozessablauf automatisch wirksam. Hierzu zählen die Kontrollen. Es handelt sich dabei um präventive und aufdeckende Maßnahmen, die direkt im Arbeitsablauf integriert sind (z.B. manuelle Soll-/Ist-Vergleiche, programmierte Plausibilitätsprüfungen in der Anwendungssoftware) und in der Verantwortung prozessintegrierter Personen liegen.^[31] Die Beseitigung der identifizierten Fehler wird hierbei ausgeschlossen.^[32] Dies gehört zu den in Abschnitt 2.2.2.2 dargestellten Aufgaben der Internen Revision.

Kontrollen können je nach ihrem Zeitpunkt der Wirksamkeit innerhalb der zu kontrollierenden Aktivität vorgelagert, d.h. präventiv, oder nachgelagert, d.h. detektiv sein.^[33] Entsprechend ihrer Verbindlichkeit ist zwischen obligatorischen, d.h. zwingend durchzuführenden, und optionalen, d.h. wahlfrei durchzuführenden Kontrollen zu unterscheiden.^[34] Welche Art von Kontrolle angebracht ist hängt von dem zugrunde liegenden Prozess und seinem immanenten Risiko, d.h. der vom Prozess ausgehenden Gefahr ab.

Bei prozessunabhängigen Überwachungsmaßnahmen stehen weder die Maßnahme an sich, noch die verantwortlichen Personen in direktem Zusammenhang mit dem zu überwachenden Prozess. Hierzu zählt die bereits erwähnte Prüfung.^[35] Innerbetriebliche Prüfungen werden i.d.R. durch die prozessunabhängige Interne Revision wahrgenommen.

Werden prozessabhängige Überwachungsmaßnahmen aufbauorganisatorisch umgesetzt, spricht man von organisatorischen Sicherungsmaßnahmen.^[36] Konkret geschieht dies durch die Zuweisung von Verantwortlichkeiten innerhalb der Geschäftsprozesse (z.B. Funktionstrennung, Zugriffsberechtigungen auf Daten und Funktionen des DV-Systems, Kompetenzregelungen im Rahmen von Richtlinien).^[37]

Zusammenfassend unterscheidet sich die Prüfung von der Kontrolle durch ihre Prozessunabhängigkeit.^[38] Dennoch ist ihre Zielsetzung identisch – nämlich sowohl die vorbeugende, als auch aufdeckende Überwachung des betrieblichen Handelns sowie die Sicherstellung der Einhaltung und Effizienz organisatorischer Regelungen durch Soll-/Ist-Vergleiche.^[39]

2.2.2.2 Das Interne Kontrollsystem als zentrales Instrument der internen Unternehmensüberwachung

Zentrales Instrumentarium der Unternehmensleitung zur Ausübung ihrer Überwachungsfunktion ist das Interne Kontrollsystem (IKS).^[40] Die nun folgende Darstellung des Internen Kontrollsystems bezieht sich auf seine Eingliederung in das unternehmerische Überwachungskonzept. Die Beschreibung der konkreten Ausgestaltung des IKS anhand seiner Komponenten erfolgt in Abschnitt 3.6.

Ein Internes Kontrollsystem bezeichnet alle „(...) die von der Unternehmensleitung im Unternehmen eingeführten Grundsätze, Verfahren und Maßnahmen (Regelungen) (..), die gerichtet sind auf die organisatorische Umsetzung der Entscheidungen der Unternehmensleitung (...)“.^[41]

Insbesondere werden dabei Unternehmensentscheidungen im Hinblick auf die Sicherstellung von:

- Effizienz und Effektivität der Unternehmenstätigkeit, einschließlich des Schutzes von Vermögen und Informationen vor Schädigungen aller Art,
- Ordnungsmäßigkeit und Verlässlichkeit der Rechnungslegung (intern und extern) sowie
- Einhaltung der für das Unternehmen relevanten gesetzlichen Vorschriften

genannt.^[42]

Das IKS soll somit Lücken, Fehler und Schwachstellen in der Aufbau- und Ablauforganisation verhindern bzw. aufdecken, um damit die Erreichung der Unternehmensziele sicherzustellen.^[43] Das folgende Schaubild skizziert die Wirkungsweise des Internen Kontrollsystems. Dabei werden die Grundsätze, Verfahren und Maßnahmen (Regelungen) sowie die Ziele beispielhaft konkretisiert.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 2: Ziele und Wirkungsweise des Internen Kontrollsystems

Quelle, in Anlehnung an: Hofmann, R.: Unternehmensüberwachung, Berlin 1993, S. 47.

Das IKS hat Steuerungs- und Überwachungsfunktionen. Deshalb lassen sich seine Bestandteile aufgliedern in ein Internes Steuerungssystem und ein Internes Überwachungssystem. Das Interne Steuerungssystem umfasst alle Regelungen, die zur Steuerung der Unternehmensaktivitäten von der Unternehmensleitung erlassen werden.^[44] Zum Beispiel sind dies Zielvorgaben zu Produktionsmengen, Kosteneinsparung oder Anzahl der Mitarbeiter. Das Interne Überwachungssystem umfasst alle prozessabhängigen und prozessunabhängigen Regelungen der Unternehmensleitung zur Überwachung der Einhaltung der Steuerungsregeln, wie z.B. Kontrollen und Prüfungen.^[45] Aufgrund der Zielsetzung dieser Arbeit wurde das Interne Steuerungssystem nur der Verständlichkeit halber genannt. Im weiteren Verlauf dieser Arbeit wird der Begriff „Internes Kontrollsystem“ ausschließlich im Sinne von „Internes Überwachungssystem“ verstanden.

Das Interne Überwachungssystem beinhaltet prozessabhängige und prozessunabhängige Überwachungsmaßnahmen. Prozessabhängige Überwachungsmaßnahmen stellen die in Abschnitt 2.2.2.1 bereits erwähnten Kontrollen sowie die organisatorischen Sicherungsmaßnahmen dar.

Zu den prozessunabhängigen Überwachungsmaßnahmen gehört die Interne Revision, die im Auftrag der Unternehmensleitung Prüfungen durchführt und diese damit in der Ausübung ihrer Überwachungsfunktion unterstützt.^[46] Die Interne Revision prüft Strukturen und Prozesse über alle Unternehmensbereiche.^[47] Ausgenommen ist die Prüfung der Unternehmensleitung selbst, da diese Auftraggeber der Internen Revision ist. Dies würde dem Grundsatz der Prozessunabhängigkeit widersprechen.^[48] Zu den Aufgaben der Internen Revision gehören u.a.:

- Ordnungsmäßigkeitsprüfungen, welche die Einhaltung innerbetrieblicher Regeln prüfen;
- Institutionsprüfungen, um die Zweckmäßigkeit und Wirtschaftlichkeit betrieblicher Strukturen und Prozesse innerhalb der Organisation zu hinterfragen;
- Rentabilitäts- und Liquiditätsprüfungen zur Beurteilung der allgemeinen Situation des Unternehmens, sowie
- Aufdeckungsprüfungen, die das Aufdecken doloser Handlungen, wie z.B. Unterschlagungen oder Hinterziehungen zum Ziel haben.^[49]

Darüber hinaus hat die Interne Revision, als integraler Bestandteil des IKS, dieses hinsichtlich seiner Wirksamkeit und Angemessenheit kritisch zu analysieren und zu bewerten. Festgestellte Mängel, Lücken und Fehler sind dabei im Rahmen eines kontinuierlichen Verbesserungsprozesses zu beseitigen.^[50]

Die Prüfungen der Internen Revision sind überwiegend freie Prüfungen, im Gegensatz zu den Pflichtprüfungen der externen Revision.^[51] Dabei werden die zu prüfenden Bereiche des Unternehmens (z.B. EDV, Finanz- und Rechnungswesen, technischer Betrieb, Vermögensschutz und –sicherung) und die anzuwendenden Normen (z.B. Gesetze, Richtlinien) von der Unternehmensleitung vorgegeben und im Prüfungsauftrag festgelegt.^[52]

Die Interne Revision ist eine Stabstelle und somit ohne direkte Weisungsbefugnis nicht unmittelbar am Wertschöpfungsprozess beteiligt.^[53] Ihr Beitrag zum Gesamtergebnis des Unternehmens ist eher in der Feststellung von Schwachstellen, Unregelmäßigkeiten, Fehlern und Abweichungen in Geschäftsprozessen und Organisationsstrukturen, deren kritischer Bewertung und der Unterbreitung von Verbesserungsmöglichkeiten zur Erreichung der Unternehmensziele zu sehen.^[54]

2.3 Ziele der allgemeinen Revision

Eine einheitliche Darstellung allgemein gültiger Revisionsziele ist in der Literatur nicht zu finden.^[55] Vielmehr leiten sie sich von Gesetzen und Rechtsnormen, Verlautbarungen und Stellungnahmen von anerkannten Revisionsverbänden (z.B. Verband Interner Revision – IIR) und berufsständischen Prüfungsstandards der Wirtschaftsprüfer ab. Außerdem finden sich in der Literatur zahllose Werke, die anhand spezieller Fragestellungen der Revision Ziele definieren.^[56] Die konkrete Festlegung der Revisionsziele kann nur unter Berücksichtigung von Prüfungsgegenstand und -schwerpunkten individuell erfolgen und wird vom Prüfer und dem zu prüfenden Unternehmen gemeinsam erarbeitet und im Revisionsauftrag festgehalten.^[57]

Dennoch lässt sich als primäres Ziel der Revision die Einhaltung von gesetzlichen Vorschriften, bzw. die Ordnungsmäßigkeit nennen, da Gesetze verpflichtenden Charakter haben.^[58] Alle weiteren Ziele sind immer unter der Prämisse des Gesetzes zu verfolgen. Aus dem Gesetz heraus ergibt sich des Weiteren das Ziel der Sicherheit, da ohne ein adäquates Sicherheitsniveau die Ordnungsmäßigkeit nicht gegeben ist.^[59] Darüber hinaus verfolgt die Revision das Ziel der Wirtschaftlichkeit, da jegliches unternehmerische Handeln dem ökonomischen Prinzip unterworfen ist.

Damit lassen sich folgende drei Hauptziele der Revision zusammenfassen, welche mit den in der Definition des Internen Kontrollsystems genannten Aufgaben des IKS (Abschnitt 2.2.2) sowie den in der Literatur am häufigsten genannten Zielen übereinstimmen.^[60]

- Ordnungsmäßigkeit
- Sicherheit (inkl. Vermögenssicherung)
- Wirtschaftlichkeit

Darüber hinaus finden sich in der Literatur weitere Ziele, wie z.B. das Revisionsziel Recht, welches sich aber aufgrund seines starken Bezuges zum kodifizierten Gesetz dem Revisionsziel Ordnungsmäßigkeit subsumieren lässt.^[61] Ebenso wird aufgrund der Gemeinsamkeiten von Revision und Qualitätssicherung das Revisionsziel Qualität genannt.^[62] Man versteht darunter die Überprüfung der Einhaltung von Qualitätsnormen, z.B. zur Sicherstellung einheitlicher Produktstandards.^[63] Beide Aufgabengebiete müssen sicherstellen, dass die unternehmerischen Wertschöpfungsprozesse definierten Qualitätsstandards entsprechen, wozu u.A. die Ordnungsmäßigkeit zählt.^[64] Da ein effektives Qualitäts-Managementsystem in erster Linie die Einhaltung von Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit unterstützt, wird ihnen das Revisionsziel Qualität im weiteren Verlauf dieser Arbeit untergeordnet.

2.3.1 Ordnungsmäßigkeit im Rahmen der allgemeinen Revision

Das Ziel der Ordnungsmäßigkeit betrifft in erster Linie die Einhaltung gesetzlicher Vorschriften. Dies hat im Bereich der Revision erste Priorität, bedenkt man die möglichen Konsequenzen bei Nichteinhaltung von Gesetzen. Primäre Grundlagen der Ordnungsmäßigkeit bilden dabei das Handelsgesetzbuch (HGB) in Verbindung mit der Abgabenordung (AO). Gem. den §§ 238 und 239 HGB ist jeder Kaufmann zur Buchführung verpflichtet. Er hat dabei seine Vermögenslage und seine Handelsgeschäfte nach den Grundsätzen der ordnungsmäßigen Buchführung darzustellen. Die Buchhaltung ist derart zu konzipieren, dass sich ein sachverständiger Dritter innerhalb angemessener Zeit einen Überblick über die Geschäftsvorfälle und die Unternehmenssituation verschaffen kann. Dabei müssen die Geschäftsvorfälle in ihrer Entstehung und Abwicklung verfolgbar sein.^[65] Gem. §§ 242 ff. HGB ist jeder Kaufmann weiterhin verpflichtet, einen Jahresabschluss zu erstellen, der das Verhältnis seines Vermögens und seiner Schulden ausweist. Dieser ist gem. § 243 HGB ebenfalls nach den Grundsätzen ordnungsmäßiger Buchführung aufzustellen.^[66] Diese Paragraphen machen die Ordnungsmäßigkeit zum zentralen Begriff der Revision.^[67]

Ordnungsmäßigkeit ist ein nicht klar definierter, bzw. vollständig kodifizierter Begriff innerhalb des Gesetzestextes. Er schafft vielmehr Platz zur Auslegung und verankert die Ordnungsmäßigkeit im Gesetz als zwingendes Recht.^[68] Die Auslegung und Konkretisierung erfolgt in den „Grundsätzen ordnungsmäßiger Buchführung“ (GoB). Dies sind Rechtsnormen, die eine verbindliche allgemeine Grundlage für den formellen Aufbau und den materiellen Inhalt eines Buchführungssystems bilden.^[69] Im Rahmen dieser Arbeit wird jedoch aufgrund des vorgegebenen Umfangs nur auf die formellen Anforderungen eingegangen. Der Begriff „Ordnungsmäßigkeit“ wird daher im weiteren Verlauf dieser Arbeit nur in formeller Hinsicht verwendet. Demnach muss eine ordnungsmäßige Buchführung entsprechend den GoB folgende, in Tab. 1 dargestellte formelle Attribute erfüllen:

Abbildung in dieser Leseprobe nicht enthalten

Tab. 1: Formelle Grundsätze ordnungsmäßiger Buchführung

Quelle: der Verfasser.

Werden diese Kriterien eingehalten, sollte es dem Prüfer als „(...) sachverständigen Dritten innerhalb angemessener Zeit“ möglich sein, sich „einen Überblick über die Geschäftsvorfälle und über die Lage des Unternehmens (...)“ zu verschaffen.^[71] Dabei ist insbesondere Nachvollziehbarkeit eine wesentliche Forderung der Revision, da sie die Prüfbarkeit impliziert.^[72]

2.3.2 Sicherheit im Rahmen der allgemeinen Revision

Sicherheit ist ein nicht definierter Begriff, der sich nicht in einer absoluten Größe ausdrücken lässt. Vielmehr beschreibt er einen subjektiven, situationsabhängigen Zustand.^[73] Das Ziel der Sicherheit ist differenziert zu betrachten. Einmal lässt es sich aus gesetzlichen Vorschriften ableiten, wonach Sicherheit die Grundvoraussetzung für Ordnungsmäßigkeit darstellt. So hat z.B. die Unternehmensleitung ein Überwachungssystem einzurichten, das die Sicherheit gefährdende Entwicklungen frühzeitig erkennen lässt.^[74] Außerdem kann ein mangelndes Sicherheitsniveau der Betriebsbereitschaft DV-gestützter Buchführungssysteme die handelsrechtlich geforderte Nachvollziehbarkeit der Geschäftsvorfälle gefährden.^[75] Darüber hinaus hat jedes Unternehmen, unabhängig von gesetzlichen Vorschriften, ein ureigenes Bestreben nach Sicherheit.^[76] Dies kann z.B. in der Wahrung von Betriebsgeheimnissen oder dem Schutz vor kriminellen Handlungen begründet sein.

Dennoch dienen alle Sicherheitsmaßnahmen, ob rechtlich oder unternehmensintern begründet, der Sicherung der Wirksamkeit der Geschäftstätigkeit und insbesondere dem Schutze des Vermögens.^[77] Im Rahmen dieser Arbeit wird aufgrund des vorgegebenen Umfangs nur auf die Sicherheit in Verbindung mit Ordnungsmäßigkeit eingegangen.

2.3.3 Wirtschaftlichkeit im Rahmen der allgemeinen Revision

Jegliches unternehmerisches Handeln im marktwirtschaftlichen System ist dem ökonomischen Prinzip unterworfen. Im Zusammenhang mit der Revision ist es in seiner Ausprägung als Minimalprinzip von Bedeutung. Danach ist das erforderliche Maß an Ordnungsmäßigkeit und Sicherheit mit dem Einsatz möglichst geringer Mittel zu erreichen.^[78] Dies fordert die Praktikabilität, Effektivität und Effizienz der von der Revision geforderten Maßnahmen, um damit die Geschäftsprozesse zu verbessern und einen Mehrwert zu schaffen.^[79]

Das Ziel der Wirtschaftlichkeit geht über die reine Betrachtung der Wirtschaftlichkeit der Revision hinaus. Revision untersucht u.a. die Wirtschaftlichkeit von z.B. Aufbau- und Ablauforganisation sowie von Investitionen anhand von Wirtschaftlichkeitsanalysen, wie z.B. Produktivitäts- und Rentabilitätsrechnungen.^[80] Eine umfassende Analyse von Wirtschaftlichkeitsrevisionen würde jedoch den vorgegebenen Umfang dieser Arbeit überschreiten und wird deshalb ausgegrenzt.

Das Ziel der Wirtschaftlichkeit ist besonders wichtig, um bei der Unternehmensleitung die Akzeptanz einer Revision zu verbessern. Revisionen sind mit Aufwendungen verbunden. Das geprüfte Unternehmen hat daher ein berechtigtes Interesse daran, einen greifbaren Nutzen in Form einer Wirtschaftlichkeitssteigerung zu erfahren. Das Revisionsziel Wirtschaftlichkeit bietet eine Chance, stark formal geprägte Revisionen der Ordnungsmäßigkeit hin zu Nützlichkeit, Effizienz und Akzeptanz zu verschieben und damit einen sichtbaren Mehrwert für das Unternehmen zu schaffen.^[81]

2.4 Allgemeine Prüfungstechniken

Im Rahmen einer Revision ermittelt der Prüfer z.B. durch Befragung, Beobachtung, Durchsicht von unternehmensinternen Unterlagen, Plausibilitätsüberlegungen sowie der Analyse und kritischen Beurteilung von Arbeitsvorgängen die Ist-Werte von z.B. Tatbeständen, Sachverhalten, Eigenschaften oder Aussagen. Diese werden dann mit den Soll-Werten adäquater Bezugsgrößen verglichen und eventuelle Abweichungen in Form eines Berichts dokumentiert.^[82] Eine objektive Urteilfindung ist abhängig von der angewandten Prüftechnik. Darunter wird die Gesamtheit der Maßnahmen verstanden, die zur Gewinnung einer fundierten Aussage notwendig sind.^[83] Die Auswahl der jeweiligen Prüfungstechnik richtet sich z.B. nach dem Prüfungsobjekt, der Prüfungszielsetzung oder dem Prüfungsanlass. Teils wird sie erzwungen, wenn z.B. das Prüfungsobjekt keine andere Prüfungstechnik zulässt, teils liegt sie im Ermessensspielraum des Prüfers. Die angewandte Prüfungstechnik ist maßgeblich für die Effizienz und Effektivität der Prüfung und beeinflusst erheblich die Qualität des Ergebnisses.^[84] I.d.R. lassen sich die im Folgenden dargestellten Prüfungstechniken nicht strikt voneinander trennen, sondern bringen erst durch die sinnvolle Kombination den gewünschten Erfolg. Sie unterscheiden sich nach:

- Form (materielle und formelle Prüfungshandlungen)

Die Form der Prüfungshandlungen kann formeller und materieller Art sein. Formelle Prüfungshandlungen beziehen sich in erster Linie auf die Einhaltung von äußeren Ordnungsmäßigkeitsanforderungen an Belege der Buchhaltung, Vorgänge und eingesetzte Systeme (z.B. korrekter Belegnachweis der Buchhaltung, Einhaltung des Grundsatzes der doppelten Buchführung, Ordnungsmäßigkeit der Systeme bei DV-gestützter Buchführung).^[85] Materielle Prüfungshandlungen untersuchen die sachliche bzw. inhaltliche Richtigkeit, die wirtschaftliche Berechtigung der Aufzeichnung sowie deren Dokumentation (z.B. Wertansätze der Bilanz nach rechtlichen oder wirtschaftlichen Gesichtspunkten, rechnerische Prüfung).^[86]

- Umfang (lückenlose und stichprobenweise Prüfung)

Nach dem Umfang lässt sich die Prüfungstechnik in Vollprüfung und Stichprobenprüfung unterteilen. Bezieht eine Prüfung sämtliche Vorgänge innerhalb eines Prüffeldes bzw. Zeitraumes in die Urteilsbildung mit ein, spricht man von einer Vollprüfung bzw. lückenlosen Prüfung.^[87] Dieser Umfang ist häufig weder wirtschaftlich vertretbar noch notwendig. Einzelne Prüfungssituationen erfordern sie dennoch (z.B. Unterschlagungsprüfungen, nicht ordnungsmäßige Buchführungen, die die Darstellung der Vermögens- und Ertragslage des Unternehmens nicht darstellen lassen).^[88]

Im Rahmen sog. stichprobenweiser Prüfung lassen in ausreichendem Unfang gezielt oder zufällig ausgewählte Prüfungsobjekte eine hinreichende Beurteilung der Gesamtsituation zu. Man bedient sich dabei statistischer Verfahren.^[89] Diese Verfahren sind aufgrund des reduzierten Umfangs wesentlich wirtschaftlicher. Es existiert eine Fülle von Verfahren zur Auswahl der Stichprobenobjekte und Festlegung des Stichprobenumfangs. Hierauf wird jedoch aufgrund der Zielsetzung dieser Arbeit nicht näher eingegangen.

- Richtung (progressive und retrograde Prüfungsrichtung)

Entsprechend der Richtung der Prüfungsdurchführung lassen sich progressive und retrograde Prüfungsrichtungen unterscheiden. Ein rechnungslegungsrelevanter Geschäftsprozess beginnt mit dem Eingang und der Erfassung eines Urbelegs und fließt über das Journal und Hauptbuch in die Bilanz bzw. GuV-Rechnung ein. Dabei werden mehrere Unternehmensabteilungen tangiert. Im Beispiel der Materialwirtschaft entsteht der Geschäftsprozess in der Bedarfsanforderung des Betriebs und läuft daraufhin über die Abteilungen Einkauf, Lager und Rechnungsprüfung bis er sich schließlich in der Finanzbuchhaltung in Bilanz bzw. Erfolgrechnung niederschlägt.

Die Prüfungsrichtung beschreibt nun die Richtung innerhalb des Geschäftsprozesses, die ein Prüfer zur Gewinnung seines Urteils einschlägt. Verfolgt der Prüfer den Urbeleg bis in die Bilanz bzw. GuV-Rechnung in Richtung des Geschäftsprozesses, spricht man von progressiver Prüfungsrichtung. Dies ist besonders für die Aufdeckung von Fehlern geeignet, da der Ausgangspunkt klar definiert ist.^[90] Werden einzelne Bilanzpositionen bis zum Urbeleg, dem eigentlichen Geschäftsprozess entgegengesetzt zurückverfolgt, handelt es sich um eine retrograde Prüfungsrichtung. Hierdurch lässt sie die Einhaltung der Belegfunktion oder der ordnungsmäßige Aufbau eines Sachgebietes prüfen.^[91]

- Methode (direkte und indirekte Prüfungshandlungen)

Die angewandte Methode der Prüfungshandlungen unterscheidet sich in direkte und indirekte Prüfungshandlungen. Lassen sich Ist-Werte von Prüfungsobjekten direkt und unmittelbar mit den jeweiligen Soll-Werten in Verbindung bringen, handelt es sich um eine direkte Prüfung.^[92] Einzelne Belege und Vorgänge stehen dabei im Mittelpunkt der Prüfungshandlungen. Diese Vorgehensweise erlaubt eine umfassende Beurteilung des Prüfungsobjekts und besitzt eine hohe Beweiskraft, ist jedoch nicht auf jedes Prüfungsobjekt und in jedem Prüfungsumfeld anwendbar.^[93]

Die Methode der indirekten Prüfung wird dann angewandt, wenn die direkte Prüfung des jeweiligen Prüfungsobjekts nicht sinnvoll bzw. unwirtschaftlich wäre (z.B. wachsendes Belegvolumen, integrierter Computereinsatz).^[94] In diesem Falle werden Ersatzobjekte herangezogen, um hieraus Rückschlüsse auf die zu beurteilenden Objekte zu ziehen. So genügt es beispielsweise, zur Beurteilung technischer oder finanzieller Situationen Kennzahlen mit Maßstabcharakter heranzuziehen.^[95] Des Weiteren stellt die Verfahrensprüfung eine indirekte Prüfung dar. Auch hier sind nicht die Belege oder Vorgänge selbst Gegenstand der Prüfung, sondern das Verfahren, mittels dessen die eigentlichen Prüfungsobjekte verarbeitet werden. Als Beispiel wären hier die Prüfung des Internen Kontrollsystems oder die DV-Systemprüfung im Rahmen der Jahresabschlussprüfung zu nennen, deren Ergebnisse eine Aussage über die Qualität des Jahresabschlusses zulassen.^[96]

Indirekte Prüfungen lassen in hohem Maße Rückschlüsse auf die Ordnungsmäßigkeit zu, da sich der Prüfer ein Gesamturteil bilden kann. Ihre Beweiskraft ist jedoch gering.^[97]

- Zeitpunkt (ex-ante und ex-post Prüfung)

Bezüglich des Zeitpunkts der Prüfung in Relation zur Durchführung des zu prüfenden Geschäftsprozesses unterscheidet man zwischen ex-ante und ex-post Prüfungen. Wird der gesamte Geschäftsprozess am Ende, bzw. einzelne Teilprozesse nach ihrer Beendigung geprüft, spricht man von einer ex-post Prüfung. Fehler können nur noch detektiv aufgedeckt bzw. Schwachstellen im Prozessablauf nachträglich identifiziert werden. Das Fehlerpotential bleibt permanent bestehen, weshalb eine ex-post Prüfung in angemessener Frequenz laufend wiederholt werden muss. Ex-ante Prüfungen haben eher beratenden Charakter. Sie prüfen vor Beginn der Implementierung des Geschäftsprozesses das Risikopotential sowie die Schwachstellen und führen präventive oder detektive Kontrollen ein. Eine ex-ante Beratung durch die Revision ist besonders in Form einer projektbegleitenden Verfahrensprüfung während der Entwicklung und Implementierung von Systemen sinnvoll (z.B. Internes Kontrollsystem im Rahmen eines DV-gestützten Buchführungssystems), da diese langfristigen Charakter haben und dadurch das Auftreten von Fehlern vorab vermieden werden kann.^[98]

3 DV-Revision

3.1 Bedeutung der DV-Revision

„Über alle betrachteten Wirtschaftszweige und Größenklassen hinweg setzten 84% der Unternehmen im Jahr 2004 Computer in ihren Geschäftsabläufen ein (2003: 80% und 2002: 71%).“^[99] Dies zeigt, dass die elektronische Datenverarbeitung unaufhaltsam Einzug in die Unternehmen gehalten hat. Das Unternehmensumfeld ist geprägt von Technologien wie z.B. EDI-Geschäftsdatenverkehr^[100], Client-Server-Netzwerken, digitale Archivierung von Belegen, Intra- und Internet.^[101] Konventionelle Buchhaltung, die in der Vergangenheit ausschließlich in manueller Form geführt wurde, wird heute automatisiert abgewickelt. Große Mengen an abgelegten Belegen sind heute digital gespeichert. Teilsysteme des Systems Buchhaltung werden von vollautomatisierten, genau definierten Verarbeitungsschritten, den Programmen, bestimmt. Dabei fließen Buchhaltungsdaten, die während der Arbeitsabläufe außerhalb der eigentlichen Buchhaltung entstehen, über integrierte DV-Systeme direkt in diese ein – ohne Eingriff des Menschen in die definierten Verarbeitungsschritte.^[102] Eine isolierte Betrachtung des Systems Buchhaltung ist dadurch nicht mehr möglich. Einerseits steigern diese Techniken die Effizienz der Buchhaltung z.B. durch schnellere Abwicklung, weniger Platzbedarf für die Ablage der Dokumente oder Minimierung der Fehler durch menschlich verursachte Fehlbuchungen. Andererseits ist die Buchhaltung dadurch neuen technisch bedingten Bedrohungen ausgesetzt, die ihre Ordnungsmäßigkeit und Sicherheit gefährden. Auf diese Risiken wird in Abschnitt 3.6 näher eingegangen.

Auch wenn die Buchhaltung heute DV-gestützt geführt wird, ist sie nach wie vor gem. § 238 HGB den Grundsätzen ordnungsmäßiger Buchführung unterworfen, d.h. sie muss insbesondere die in Abschnitt 2.3.1 genannten Attribute erfüllen. Um das Zustandekommen der Bücher und deren Richtigkeit zu beurteilen, ist ein hohes Maß an interdisziplinärem Wissen aus den Bereichen Buchhaltung und angewandter Informatik notwendig. Hieraus hat sich die DV-Revision als Teildisziplin der Revision formiert. DV-Revision soll aber nicht als Pflichtübung interner und externer Revisionen verstanden werden, sondern stellt eine eigene Teildisziplin mit eigenen Aufgabenstellungen dar.^[103]

3.2 Gegenstand der DV-Revision

Das folgende Schaubild in Abb. 3 stellt den Gegenstand der DV-Revision in Verbindung mit den Prüfungszielen und –kriterien dar.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 3: Gegenstand der DV-Revision

Quelle, in Anlehnung an: IDW PS 330, Tz. 8.

Zur Herleitung des Gegenstandes der DV-Revision ist die Informationstechnologie als System zu verstehen. Gem. der allgemeinen Definition eines Systems besteht ein solches aus Elementen (Objekten, Komponenten, Bausteinen) die gewisse Attribute besitzen und durch Beziehungen (Relationen, Schnittstellen, Zusammenhänge) in gegenseitiger Wechselwirkung stehen.^[104] Demnach kann das gesamte Unternehmen als System betrachtet werden. Die IT stellt lediglich ein Subsystem der Unternehmung dar, welches als IT-System bezeichnet wird.^[105] Die Elemente dieses Subsystems sind beispielsweise die IT-Infrastruktur. Dabei handelt es sich zum einen um technische Ressourcen, wie z.B. Gebäude, Hardware und Betriebssysteme. Zum anderen zählt hierzu der IT-Betrieb, worunter man alle Regelungen und Maßnahmen zur Gewährleistung der Funktionssicherheit von IT-Anwendungen versteht.^[106] Die IT-Infrastruktur ist Basis für die IT-Anwendungen, d.h. die Individual- und Standardsoftware, mit deren Hilfe Geschäftsprozesse DV-gestützt abgewickelt werden. DV-gestützte Geschäftsprozesse sind alle „(...) betriebswirtschaftlich (...) zusammengehörigen Tätigkeiten von Unternehmen, zu deren Abwicklung Informationstechnologie eingesetzt wird.“^[107] Innerhalb eines IT-Systems können weitere Subsysteme betrieben werden. Dies sind z.B. DV-gestützte Informations- und Abrechnungssysteme, wozu DV-gestützte Buchführungssysteme zählen.^[108] Schließlich komplettiert die Einbeziehung der übergeordneten Komponenten DV-Entwicklung und DV-Produktion sowie der einzelne DV-Anwender und die gesamte DV-Organisation die Betrachtung des IT-Systems als unternehmerisches Subsystems.^[109]

Die Gewährleistung eines ordnungsmäßigen und sicheren Geschäftsbetriebes hat die Unternehmensleitung im Rahmen eines Internen Kontrollsystems sicherzustellen. Im besonderen Falle des IT-Einsatzes ist dies durch das IT-Kontrollsystem umzusetzen. Hierunter versteht man jene Regelungen des IKS, die zur „(...) Bewältigung der“ speziellen „Risiken aus dem Einsatz von IT (...)“ implementiert werden.^[110]

Generell ist der gesamte dargestellte Bereich (IT-System und IT-Kontrollsystem) Gegenstand der DV-Revision. Schwerpunkte ergeben sich dabei aus dem jeweiligen Prüfungsanlass (siehe Abschnitt 3.5). Die Darstellungen dieser Arbeit beschränkt sich jedoch nur auf jene Elemente des IT-Systems, welche an der Verarbeitung von Daten beteiligt sind, die in die Rechnungslegung (Buchführung, Jahresabschluss, Lagebericht) mit einfließen – d.h. rechnungslegungsrelevant sind – sowie den Teil des IKS, der diesen Bereich abdeckt. Den Kern der Betrachtung bilden dabei die DV-gestützten Buchführungssysteme. Darunter versteht man eine Buchhaltung, „(...) die insgesamt oder in Teilbereichen kurzfristig oder auf Dauer unter Nutzung von Hardware und Software auf DV-Datenträgern geführt wird.“^[111] Hierbei sind auch Prozesse zu berücksichtigen, in denen außerhalb der eigentlichen Buchhaltung buchführungsrelevante Daten erfasst, generiert, weiterverarbeitet und übermittelt werden und diese wiederum in das primäre Buchhaltungssystem einfließen.^[112] Entsprechend dieser Definition ist der in der Literatur häufig genannte Gegenstand der DV-Revision „IT-Systeme mit Rechnungslegungsbezug“ zutreffender.^[113] Sie macht deutlich, dass zum Prüfungsgegenstand der DV-Revision auch Anwendungssysteme gehören, die in irgendeiner Form Schnittstellen zum eigentlichen Buchführungssystem aufweisen. Diese Ausweitung des Prüfungsgegenstandes ist in Anbetracht des modularen Aufbaus moderner ERP-Systeme^[114] sinnvoll. Beispielsweise werden Materialkosten gem. Eingangsrechnung in Systemen des Bereichs Einkauf bzw. Materialwirtschaft erfasst und von diesen über Schnittstellen an das zentrale System des Rechnungswesens weitergeleitet.^[115]

3.3 Prüfungsgrundlagen und Prüfungsmaßstäbe der DV-Revision

Die Grundlagen der DV-Revision bilden in erster Linie gesetzliche Vorschriften. Darüber hinaus haben international anerkannte Institutionen aus dem Bereich Wirtschaftsprüfung und Revision Stellungnahmen, Standards und Normen veröffentlicht. Sie besitzen keinen rechtlich verpflichtenden Charakter, sofern sie nicht unternehmensintern für solche erklärt wurden. Vielmehr stellen sie Empfehlungen dar, die aufgrund der Autorität des Herausgebers allgemeine Anerkennung finden.^[116]

Es existiert eine Fülle von Prüfungsgrundlagen und –maßstäben im Bereich der DV-Revision. Ein allgemein gültiges Kompendium über alle Prüfungsbereiche gibt es nicht.^[117] Dies macht es dem Prüfer schwer, ein geeignetes Normativ auszuwählen.

Dieser Abschnitt soll einen Überblick über die wichtigsten Prüfungsgrundlagen und Prüfungsmaßstäbe innerhalb der DV-Revision geben. Die einzelnen Prüfungsgrundlagen sind sehr umfangreich und teilweise redundant. Außerdem hängt die Wahl der Prüfungsgrundlage vom jeweiligen Prüfungsbereich ab. Deshalb ist eine erschöpfende, detaillierte Aufzählung nicht sinnvoll. Ebenso zeigt sich ein Vergleich dieser Grundlagen als eher schwierig, auch wenn dies von international anerkannten Institutionen wie z.B. der „Information Systems Audit and Control Association” (ISACA) versucht wurde. Gesetzlichen Grundlagen müssten Empfehlungen gegenübergestellt und aus praktischen Erfahrungen heraus entstandene Leitfäden mit allgemein gültigen Standards auf „High Level“ verglichen werden. Für den Prüfer ist es daher wichtig, die grundlegenden Gesetze, Standards und Leitfäden zu kennen, um diese kritisch zu hinterfragen und unbeschadet seiner Eigenverantwortlichkeit dem jeweiligen Prüfungsgegenstand bzw. den Prüfungsbedingungen anzupassen.^[118] Anhand des folgenden Schaubilds in Abb. 4 werden die wichtigsten Grundlagen der DV-Revision und ihre hierarchische Stellung in der Fülle der Prüfungsgrundlagen sichtbar gemacht. Die einzelnen Ebenen beschreiben dabei die Relevanz im Hinblick auf die Anwendung im Bereich der DV-Revision.

Abbildung in dieser Leseprobe nicht enthalten

Abb. 4: Formelle Prüfungsgrundlagen und –maßstäbe der DV-Revision

Quelle, in Anlehnung an: Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.47.

- Ebene 1

Wie bereits in Abschnitt 2.3 erwähnt, bilden das Handelsgesetzbuch (HGB) und die Abgabenordnung (AO) die wesentliche gesetzliche Grundlage der allgemeinen Revision, insbesondere auch der DV Revision.^[119] Die darin enthaltenen allgemein gültig gehaltenen Vorschriften zur formellen und materiellen Ordnungsmäßigkeit der Buchführung werden in der Rechtsnorm GoB konkretisiert.^[120] Wie in Abschnitt 2.3.1 bereits erwähnt, sind nur die formellen Anforderungen Gegenstand der Untersuchung. Da heute verstärkt DV-gestützte Buchführungssysteme im Unternehmensumfeld eingesetzt werden, ist eine Adaption der GoB an den technologischen Wandel, bei unveränderter Definition der Ordnungsmäßigkeit (siehe Abschnitt 2.3), notwendig. Deshalb wurden 1995, auf den GoB aufbauend, die Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) entwickelt, die eine ergänzende Präzisierung der GoB für den Bereich der formellen Ordnungsmäßigkeit DV-gestützten Buchführungssysteme darstellen.^[121] Die Ordnungsmäßigkeit der Buchführung ist somit der Ursprung für die Ordnungsmäßigkeit der Datenverarbeitung.^[122] Abschnitt 3.3.1 geht auf die Ordnungsmäßigkeitsanforderungen bei DV-Einsatz näher ein.

Neben den handels- und steuerrechtlichen Vorschriften gibt es eine weiter wesentliche gesetzliche Grundlage – das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG).^[123] Hierbei handelt es sich um ein Artikelgesetz, das eine Reihe von Veränderungen und Ergänzungen anderer Gesetzesbücher (z.B. HGB, AktG) vornimmt.^[124] Insbesondere soll dadurch die Zusammenarbeit von Abschlussprüfern, Managern und Aufsichtsräten verbessert werden.^[125] Im Rahmen dieser Arbeit liegen die wichtigsten Gesetzesänderungen in § 91 Abs. 2 AktG, der ein angemessenes Risikomanagement durch die Entwicklung eines internen Überwachungssystems zur Früherkennung unternehmensgefährdender Risiken vorschreibt.^[126] Gem. § 317 Abs. 2 und 4 HGB hat der Abschlussprüfer die Funktionsfähigkeit dieses Überwachungssystems sowie die angemessene Beachtung zukünftiger Risiken im Lagebericht zu prüfen. Da sich durch den Einsatz von Informationstechnologie durchaus „(...) den Fortbestand der Gesellschaft gefährdende Entwicklungen (...)“^[127] ergeben können, ist dieser Bereich zweifelsohne in das Risikomanagement einzubeziehen.^[128] Die Darstellung der Risiken durch den Einsatz von Informationstechnologie erfolgt in Abschnitt 3.6.

- Ebene 2

Sekundäre gesetzliche Grundlage ist u.A. das Bundesdatenschutzgesetz (BDSG). Dies kommt zur Anwendung, wenn es um die Erfassung, Verarbeitung, Speicherung, Ausgabe und Übertragung personenbezogener Daten geht. Es schützt natürliche und juristische Personen vor Beeinträchtigung ihres Persönlichkeitsrechts durch den Missbrauch von Daten.^[129] Der Vollständigkeit halber genannt, jedoch im Rahmen dieser Arbeit eher untergeordneter Bedeutung ist das Informations- und Kommunikationsdienste-Gesetz (IuKDG). Es gibt die Rahmenbedingungen für Informations- und Kommunikationsdienste vor. Zu seinen Regelungsbereichen gehören z.B. Telebanking, Datendienste, Internetdienste, die damit verbundenen datenschutzrechtliche Belange sowie die Nutzung elektronischer Signaturen.^[130] Mit der überarbeiteten 8. EU-Richtlinie (sog. „Prüferrichtlinie“) sollen die internationalen Prüfungsstandards „ISA“ europaweit verpflichtende Wirkung erhalten, um somit eine Harmonisierung der Prüfung zu erreichen.^[131]

- Ebene 3

Neben den gesetzlichen Grundlagen existieren fachliche Stellungnahmen von Fachausschüssen des Institut Deutscher Wirtschaftsprüfer (IDW). Dies sind Erläuterungen und Kommentare bezüglich den gesetzlichen Anforderungen und den GoB bzw. GoBS. Sie interpretieren die sehr pauschalen Aussagen von HGB und AO und geben dadurch eine praktikable Richtschnur für die Prüfung der DV-gestützten Buchführungssysteme vor.^[132] Aufgrund der Autorität des IDW im Bereich der Revision haben diese Stellungnahmen pseudorechtlichen Charakter, d.h. sie sind nicht gesetzlich vorgeschrieben, finden aber allgemeine Anerkennung.

Die Stellungnahme zur Rechnungslegung IDW RS FAIT 1 beinhaltet die „Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie“ (IDW RS FAIT 1). Darin werden „(...) die aus den §§ 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme (...)“ konkretisiert sowie „(...) die beim Einsatz von IT möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung“ verdeutlicht.^[133] Diese Stellungnahme gilt als Ergänzung zu den GoBS und trägt damit den modernen Veränderungen DV-gestützter Buchführungsprozesse Rechnung.^[134]

Zusätzlich zu den Stellungnahmen der Fachausschüsse hat das IDW Prüfungsstandards veröffentlicht. Hierin wird die Durchführung von Prüfungen gemäß der Berufsauffassung von Wirtschaftsprüfern, unbeschadet ihrer Eigenverantwortlichkeit, dargelegt.^[135] Im Rahmen dieser Arbeit sind die Prüfungsstandards IDW PS 260, 330 und 880 relevant. Sie alle beziehen sich auf die Prüfung der Informationstechnologie im Rahmen von Abschlussprüfungen, d.h. Jahres-, Zwischen- und Konzernabschlüsse.^[136] Die „International Standards on Auditing (ISA)“ sind internationale Prüfungsstandards zur Harmonisierung der Prüfungen. Die 8. EU-Richtlinie soll diese in naher Zukunft europaweit verbindlich vorschreiben. Die ISA sind bereits in die deutschen IDW Prüfungsstandards transformiert. Die in den ISA nicht berücksichtigten Regelungsbereiche (z.B. Lagebericht, Prüfungsbericht) werden in Deutschland zukünftig in Form von IDW Prüfungsstandards zur ISA-Ergänzung (IDW IPS) abgedeckt.^[137] ISA 400 und 401 gelten als Pendant zu IDW PS 260 und 330.^[138]

- Ebene 4

Ergänzend zu den Ebenen 1 bis 3 haben sich Standards und Normen durchgesetzt, die von diversen Institutionen entwickelt wurden. In Deutschland setzt die nationale Sicherheitsbehörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), Maßstäbe im Bereich Datenschutz und Datensicherheit.^[139] Die vom BSI veröffentlichten IT-Grundschutz- und IT-Sicherheitshandbücher liefern Standardsicherheitsmaßnahmen für typische IT-Systeme mit „normalem“ Schutzbedarf.^[140] Dabei soll eine Grundsicherheit durch Maßnahmen aus dem Bereich Infrastruktur, Organisation, Personal, Technik und Notfallvorsorge erzielt werden. Die Auswahl der Maßnahme basiert auf dem Schutzbedarf der Systeme hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit.^[141] Das IT-Grundschutzhandbuch macht insbesondere technische Vorschläge zur Umsetzung. Organisatorische Maßnahmen im Hinblick auf die Unternehmensziele werden dabei vernachlässigt.^[142]

Der „British Standard“ BS 7799 gliedert sich in zwei Teile. BS 7799-1 ist ein Leitfaden für Entwicklung und Führung eines Informationssicherheits-Managementsystems. Er wurde von der „International Standards Organisation (ISO)“ als ISO 17799 anerkannt und ist seither international verbindlich.^[143] BS 7799-2 beinhaltet detaillierte Anforderungen an ein Informationssicherheits-Managementsystem und kann zur Zertifizierung herangezogen werden.^[144] ISO 17799 und BS 7799-2 stellen gemeinsam den Qualitätsstandard für das Management von Informationssicherheit dar.^[145]

[...]

---

^[1] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 1.

^[2] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: IT.

^[3] Vgl. Stahlknecht, P.; Hasenkamp, U.: Einführung in die Wirtschaftsinformatik, 9. Aufl., Berlin 1999, S. 13.

^[4] Vgl. § 259 Abs. 1 BGB.

^[5] Vgl. §§ 242 ff. HGB.

^[6] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Rechnungswesen.

^[7] Vgl. IDW : Stellungnahme zur Rechnungslegung - Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 11.

^[8] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 86.

^[9] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 93.

^[10] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 41.

^[11] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 31.

^[12] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 41.

^[13] Vgl. §§ 93 Abs. 1 Satz 1 AktG, 43 Abs. 1 und 2 GmbHG.

^[14] Vgl. §§ 238 Abs. 1 Satz 1, 242 Abs. 1 bis 3 HGB, 41 GmbHG.

^[15] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Rechnungswesen.

^[16] Vgl. Peter: Vorlesungsskript Controlling I. Interne Revision, Hochschule Nürtingen, SS 2004, S. 4.

^[17] Vgl. § 319 Abs. 2 Satz 2 HGB.

^[18] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 29.

^[19] Vgl. § 316 Abs. 1 Satz 1 HGB.

^[20] Vgl. §§ 316 Abs. 1 Satz 2 i.V.m. 42a Abs. 1 Satz 2 GmbHG.

^[21] Vgl. IDW: Wirtschaftsprüfer-Handbuch. Handbuch für Rechnungslegung, Prüfung und Beratung, Band II, 12. Aufl., Düsseldorf 2002, S. 151.

^[22] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 38.

^[23] Vgl. §§ 111 Abs. 1 AktG, 52 Abs. 1 GmbHG.

^[24] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 44.

^[25] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 192.

^[26] Vgl. Brockhaus: Der Brockhaus in Text und Bild 2003, Mannheim 2002, Stichwort: Revision.

^[27] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 59.

^[28] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 192.

^[29] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

^[30] Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

^[31] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 6.

^[32] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Kontrolle.

^[33] Beyer, S. u.a.: SAP Berechtigungswesen. Design und Realisierung von Berechtigungskonzepten für SAP R/3 und SAP Enterprise Portal, 1. Aufl., Bonn 2003, S. 129.

^[34] Vgl. de Haas, J., Zerlauth S.: DV-Revision. Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit von DV-Systemen, Braunschweig, Wiesbaden 1995, S. 60.

^[35] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

^[36] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 6.

^[37] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 121.

^[38] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 192.

^[39] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 192 ff. sowie die dort angegebene Literatur.

^[40] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 39.

^[41] IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 5.

^[42] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 5.

^[43] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 44.

^[44] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 6.

^[45] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 6.

^[46] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 192.

^[47] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 6.

^[48] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 64.

^[49] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[50] Vgl. Wöhe, G.: Einführung in die Allgemeine Betriebswirtschaftslehre, 20. Aufl., München 2000, S. 195.

^[51] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[52] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 151.

^[53] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Interne Revision.

^[54] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 58.

^[55] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 31.

^[56] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 31.

^[57] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 220.

^[58] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 26.

^[59] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 395.

^[60] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 25.

^[61] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 157.

^[62] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 166.

^[63] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 166.

^[64] Vgl. de Haas, J., Zerlauth S.: DV-Revision. Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit von DV-Systemen, Braunschweig, Wiesbaden 1995, S. 144.

^[65] Vgl. §§ 238 HGB, 140 AO.

^[66] Vgl. §§ 242, 243 Abs. 1 HGB.

^[67] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 26.

^[68] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 126.

^[69] Vgl. Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung. Handbuch der DV-Revision, 5. Aufl., Düsseldorf 1998, S. 47.

^[70] § 238 Abs. 1 Satz 2 HGB.

^[71] § 238 Abs. 1 Satz 2 HGB.

^[72] Vgl. IDW: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 31.

^[73] Vgl. Lauterbach, A.: Revision im Informationsmanagement, Berlin 1999, S. 145.

^[74] Vgl. § 91 Abs. 2 AktG.

^[75] Vgl. § 238 Abs. 1 Satz 2 HGB.

^[76] Vgl. de Haas, J., Zerlauth S.: DV-Revision. Ordnungsmäßigkeit, Sicherheit und Wirtschaftlichkeit von DV-Systemen, Braunschweig, Wiesbaden 1995, S. 6.

^[77] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 29.

^[78] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 32.

^[79] Vgl. Peter: Vorlesungsskript Controlling I. Interne Revision, Hochschule Nürtingen, SS 2004, S. 8.

^[80] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 159.

^[81] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 6.

^[82] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[83] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 225.

^[84] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 224.

^[85] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 226.

^[86] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 227.

^[87] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[88] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 228.

^[89] Vgl. Leiner, B.: Stichprobentheorie, München 1994, S. 50.

^[90] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 236.

^[91] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 236.

^[92] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[93] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 236.

^[94] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 238.

^[95] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 238.

^[96] Vgl. Gabler: Wirtschafts-Lexikon 2001, 15. Auflage, Wiesbaden 2000, Stichwort: Prüfung.

^[97] Vgl. Hofmann, R.: Unternehmensüberwachung. Ein Aufgaben- und Arbeitskatalog für die Revisionspraxis, 2. Aufl., Berlin 1993, S. 238.

^[98] Vgl. HFA des IDW: Projektbegleitende Prüfung EDV-gestützter Systeme (4/1997), S. 394.

^[99] Statistisches Bundesamt: Informationstechnologie in Unternehmen und Haushalten 2004, Wiesbaden 2005, S. 13.

^[100] Electronic Data Interchange (EDI) ist ein Standard für den internetbasierten Austausch sensibler Geschäftsdaten. Siehe dazu Anlage 5 des Anhangs.

^[101] Vgl. Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung. Handbuch der DV-Revision, 5. Aufl., Düsseldorf 1998, S. 41.

^[102] Vgl. Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung. Handbuch der DV-Revision, 5. Aufl., Düsseldorf 1998, S. 37.

^[103] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 5.

^[104] Vgl. Brockhaus: Der Brockhaus in Text und Bild 2003, Mannheim 2002, Stichwort: Revision.

^[105] Vgl. IDW: Prüfungsstandard 330. Abschlussprüfung bei Einsatz von Informationstechnologie (IDW PS 330), Stand: 24.09.2002, Abb. 1.

^[106] Vgl. IDW: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 13.

^[107] Vgl. IDW: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 11.

^[108] Vgl. Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Anlage zum BMF-Schreiben vom 07.11.1995, IV A 8 - S 0316 - 52/95 - BStBl 1995 I, S. 738 ff., Vorwort.

^[109] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S. 3.

^[110] Vgl. IDW: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 8.

^[111] Vgl. Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Anlage zum BMF-Schreiben vom 07.11.1995, IV A 8 - S 0316 - 52/95 - BStBl 1995 I, S. 738 ff., Abs. 1.1.

^[112] Vgl. Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Anlage zum BMF-Schreiben vom 07.11.1995, IV A 8 - S 0316 - 52/95 - BStBl 1995 I, S. 738 ff., Abs. 1.1.

^[113] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.24.

^[114] ERP = Enterprise Resource Planning. ERP „(...) ist ein Verfahren zur bedarfsgerechten Bereitstellung von Daten, welches einem Unternehmen erlaubt, die gesamte Geschäftstätigkeit zu überwachen und zu steuern. Es beruht auf integrierter Anwendungssoftware, die alle Unternehmensaspekte einbezieht, z. B. Herstellung, Buchhaltung, Lagerverwaltung, Personal und Vertrieb.“ (Brockhaus, Stichwort: Enterprise Resource Planning).

^[115] Vgl. Moos, Eckhard: Die Systematik von SAP R/3 - veranschaulicht am internen Rechnungswesen. Einführung in das Modul Controlling, in: Wenzel, Paul (Hrsg.): SAP R/3-Anwendungen in der Praxis. Anwendung und Steuerung betriebswirtschaftlich-integrierter Geschäftsprozesse mit ausgewählten R/3-Modulen, Braunschweig, Wiesbaden 1997, S. 114.

^[116] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.61.

^[117] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.88.

^[118] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.47.

^[119] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.48.

^[120] Vgl. Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung. Handbuch der DV-Revision, 5. Aufl., Düsseldorf 1998, S. 51.

^[121] Vgl. Bundesministerium der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). Anlage zum BMF-Schreiben vom 07.11.1995, IV A 8 - S 0316 - 52/95 - BStBl 1995 I, S. 738 ff., Vorwort.

^[122] Vgl. Bundesministeriums der Finanzen: Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS). BMF-Schreiben vom 07.11.1995, IV A 8 - S 0316 - 52/95 - BStBl 1995 I, S. 738 ff., Tz. 1.

^[123] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.54.

^[124] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.54.

^[125] Vgl. Deutscher Bundesrat: Aktenzeichen 872/97. Gesetzentwurf der Bundesregierung vom 07.11.1997, Tz. A.

^[126] Vgl. § 91 Abs. 2 AktG.

^[127] § 91 Abs. 2 AktG.

^[128] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.55.

^[129] Vgl. Wikipedia, 2005 online: Freie Enzyklopädie. http://de.wikipedia.org/wiki/Bundesdatenschutzgesetz, 13.06.2005.

^[130] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.60.

^[131] Vgl. Brinkmann, R.: ISA-Plus Approach – Das IDW hat das Ende der IDW-Prüfungsstandards eingeläutet, in: GCPAS-NewsFlash 11/04, S. 8.

^[132] Vgl. Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung. Handbuch der DV-Revision, 5. Aufl., Düsseldorf 1998, S. 56.

^[133] Vgl. IDW: Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1), Stand: 24.09.2002, Tz. 3.

^[134] Vgl. Wähner, G.: DV-Revision. Handbuch für die Unternehmenspraxis, Ludwigshafen 2002, S.71.

^[135] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 1.

^[136] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 2.

^[137] Vgl. Brinkmann, R.: ISA-Plus Approach – Das IDW hat das Ende der IDW-Prüfungsstandards eingeläutet, in: GCPAS-NewsFlash 11/04, S. 8.

^[138] Vgl. IDW: Prüfungsstandard 260. Das interne Kontrollsystem im Rahmen der Abschlussprüfung (IDW PS 260), Stand: 02.07.2001, Tz. 3.

^[139] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), 2005 online: Leitbild. http://www.bsi.de/bsi/leitbild.htm, 13.06.2005.

^[140] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutzhandbuch, Bonn 2004, S. 12.

^[141] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI): IT-Grundschutzhandbuch, Bonn 2004, S. 12.

^[142] Vgl. Initiative D21: IT-Sicherheitskriterien im Vergleich, Berlin 2001, S. 38.

^[143] Vgl. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM): Kompass der IT-Sicherheitsstandards, Berlin 2005, S. 11.

^[144] Vgl. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM): Kompass der IT-Sicherheitsstandards, Berlin 2005, S. 11.

^[145] Vgl. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (BITKOM): Kompass der IT-Sicherheitsstandards, Berlin 2005, S. 11.