Wann sinnvoll, wann zwingend?

Die IT-Systemprüfungen erfordern spezielle Prüfungsmethoden, die sich aus der Wesentlichkeit der IT-Systeme und Anwendungen für die Rechnungslegung beziehungsweise die Beurteilung der Rechnungslegung und der Komplexität des eingerichteten IT-Umfelds ergeben. Prüfungsgegenstand sind das IT-Umfeld, die Aufbau- und Ablauforganisation, die IT-Infrastruktur, die genutzten IT-Anwendungen und die IT-Unterstützung der Geschäftsprozesse. Soweit eine Auslagerung der IT oder von Teilen der IT vorliegt, ist zudem das Kontrollsystem des Dienstleisters in die IT-Prüfung einzubeziehen.

Gemäß § 316 HGB unterliegt der Jahresabschluss von Kapitalgesellschaften einer Prüfungspflicht, sofern zwei der folgenden Kriterien überschritten werden:

• Bilanzsumme größer 4,84 Millionen Euro,
• Umsatzerlöse größer 9,68 Millionen Euro oder
• mehr als 50 Beschäftigte im Jahresdurchschnitt.

Im Rahmen der Abschlussprüfung ist das IT-gestützte Rechnungslegungssystem bezüglich der Einhaltung der vom Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) in den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen zu beurteilen. Der Umfang der Systemprüfung wird dabei durch die Komplexität der eingesetzten IT bestimmt, die abhängig von den abgebildeten wirtschaftlichen Sachverhalten des Unternehmens ist.

Entsprechend den Vorgaben des IDW geben folgende Kriterien einen Hinweis auf den voraus­sicht­lichen Komplexitätsgrad eines Systems:

• Struktur des IT-Systems und der durch das IT-System abgebildeten Prozesse,
• Abbildung umfangreicher und unübersichtlicher Transaktionen,
• Integration unterschiedlicher IT-Anwendungen (Schnittstellen),
• Automatisierungsgrad der Geschäftsprozesse mittels IT-Systemen,
• IT-Systemänderungen im Berichtsjahr und
• Einbindung des IT-Systems in ein konzerneinheitliches System.

Weitere Bemessungsgrundlagen für die Komplexität der eingesetzten IT sind die Abhängigkeit der Geschäftsprozesse von den IT-Anwendungen und den verwalteten Daten.

ERP-Lösungen prüfungspflichtig

Gemäß diesen Vorgaben sind heutige ERP-Lösungen aufgrund der Vielzahl von Customizing-Einstellungen als komplex und nach IDW PS 330 als prüfungspflichtig zu bewerten. Die Abhängigkeit der Geschäftsprozesse von der richtigen, zeitgerechten und vollständigen Bereitstellung der erforderlichen Informationen ist häufig hoch oder sehr hoch. Immer wieder hört man von Unter­nehmen, die aufgrund von IT-Störungen hand­lungs­unfähig werden, da die Pro­duk­tions­steuerung aus­ge­fallen ist oder auto­mati­sierte Läger nicht bedient werden können. Dies ist umso gravie­render, wenn der Daten­aus­tausch zwischen Unter­nehmen und Kunden be­zie­hungs­weise Unter­nehmen und Liefe­ranten und unter­schied­lichen IT-Lösungen über auto­mati­sierte Schnitt­stellen erfolgt. Man muss sich nur vor­stellen, was passiert, wenn per EDI ver­sendete Rech­nungen den Empfänger nicht er­rei­chen, zum Beispiel weil vergessen wurde, den akti­vierten Test­betrieb wieder zu de­akti­vieren. Die Folge: Bis zum Erkennen der fehler­haften Ein­stel­lungen gehen keine Zahlungen ein. Durch den zeit­lichen Versatz können Tage, viel­leicht sogar Wochen ver­gehen, bis dies bemerkt wird. Es bleibt zu hoffen, dass die Liqui­dität des Unter­nehmens groß genug ist, dies zu verkraften.
Die Komplexität der IT steigt jedoch auch in zunehmendem Maße durch gesetzliche oder vertraglich vereinbarte Nachweispflichten. Gerade die Rückverfolgbarkeit erfordert von vielen Unternehmen eine Erweiterung ihrer IT und führt zu immer größeren Datenbeständen, die immer zeitnäher ausgewertet und bereitgestellt werden müssen. Die Verfügbarkeit der Daten ist unabdingbar für die Abnahme der produzierten Waren oder erbrachten Leistungen.
Auch der Wunsch von Unternehmen, die Belegablage und den Belegfluss elektronisch abzubilden, führt zu einer Erhöhung der Komplexität der IT. Gerade die elektronische Belegarchivierung fordert ein hohes Maß an Verlässlichkeit und Integrität, da die Beachtung der Belegfunktion eine Grundvoraussetzung für die Beweiskraft der Buchhaltung ist. Neben der Verwahrung gesetzlich erforderlicher Belege ist für Unternehmen aber auch die rechtzeitige und richtige Bereitstellung weiterer, für die Leistungserbringung erforderlicher Dokumente, zum Beispiel Kon­struk­tions­zeich­nungen, wesentlich. Gerade die Vertraulichkeit dieser Unterlagen erzwingt neue Lösungsansätze mit komplexen IT-Lösungen zur Verschlüsselung und Sicherung der Daten, um die Unternehmenswerte angemessen zu schützen, vor allem wenn diese, wie zunehmend der Fall, den sicheren Unternehmensbereich verlassen.

Mobilität und Sicherheit

Eine neue Herausforderung ist die Einbindung moderner Medien und Technologien. Durch den Wunsch vieler Unter­nehmens­ver­ant­wort­licher, über immer mehr soziale Plattformen erreichbar zu sein, und die zunehmende Mobilität, die immer stärker einen Zugriff auf die Unternehmensdaten von außerhalb der sicheren Netze zum Beispiel über Smartphones oder Tablets erfordert, werden weitere Sicherungsmaßnahmen notwendig. Die zunehmenden Chancen, die sich für Unternehmen durch das Internet ergeben, beinhalten neue Risiken. Um diesen Risiken angemessen zu begegnen, sind komplexe Netzstrukturen erforderlich, deren Sicherheit nur mittels technisch aktuell gepflegter Überwachungskomponenten gewährleistet werden kann. Die Authentifizierung mobiler Geräte zum Beispiel durch Zertifikate, die Verschlüsselung lokaler Daten oder die Überwachung der auf den Geräten genutzten Apps mittels geeigneter Managementsysteme werden zum Muss für die IT-Verantwortlichen.
Aufgrund der Sensibilität der Daten und steigenden Abhängigkeit einer funktionierenden IT empfiehlt sich die IT-Systemprüfung auch für Unternehmen, die keiner gesetzlichen Prüfungspflicht unterliegen. Die IT-Prüfung hilft, Schwachstellen rechtzeitig zu erkennen und Risiken zu reduzieren, die zu einem Verlust der Unternehmenswerte führen. Dem heute gut ausgebildeten IT-Prüfer stehen viele Prüfungsmethoden und Werkzeuge zur Verfügung, komplexe Strukturen ganzheitlich zu betrachten. Gegenstand der modernen IT-Prüfung ist nicht nur die Einhaltung gesetzlicher Vorgaben. Durch den ganzheitlichen Ansatz unter Einbeziehung des IT-Umfelds, der IT-Organisation, der IT-Infrastruktur sowie der implementierten Anwendungen erhalten Unternehmen einen Überblick über mögliche Schwachstellen und können diesen anhand der gegebenen Empfehlungen durch die Veranlassung angemessener präventiver Maßnahmen begegnen.