Die IT-Prüfung – auch IT-Systemprüfung genannt – bildet einen Teilausschnitt aus der Prüfung des internen Kontrollsystems. Ziel der IT-Prüfung ist die Beurteilung der IT-Fehlerrisiken, soweit diese die Rechnungslegung betreffen. Doch wann ist der Abschlussprüfer verpflichtet, die Informationstechnologie einer IT-Prüfung gemäß IDW PS 330 zu unterziehen? Welche Kriterien sind maßgeblich für die Bestimmung der Komplexität der eingesetzten Informationstechnologie?
Die IT-Systemprüfungen erfordern spezielle Prüfungsmethoden, die sich aus der Wesentlichkeit der IT-Systeme und Anwendungen für die Rechnungslegung beziehungsweise die Beurteilung der Rechnungslegung und der Komplexität des eingerichteten IT-Umfelds ergeben. Prüfungsgegenstand sind das IT-Umfeld, die Aufbau- und Ablauforganisation, die IT-Infrastruktur, die genutzten IT-Anwendungen und die IT-Unterstützung der Geschäftsprozesse. Soweit eine Auslagerung der IT oder von Teilen der IT vorliegt, ist zudem das Kontrollsystem des Dienstleisters in die IT-Prüfung einzubeziehen.
Gemäß § 316 HGB unterliegt der Jahresabschluss von Kapitalgesellschaften einer Prüfungspflicht, sofern zwei der folgenden Kriterien überschritten werden:
- Bilanzsumme größer 4,84 Millionen Euro,
- Umsatzerlöse größer 9,68 Millionen Euro oder
- mehr als 50 Beschäftigte im Jahresdurchschnitt.
Im Rahmen der Abschlussprüfung ist das IT-gestützte Rechnungslegungssystem bezüglich der Einhaltung der vom Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) in den Grundsätzen ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie (IDW RS FAIT 1) dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen zu beurteilen. Der Umfang der Systemprüfung wird dabei durch die Komplexität der eingesetzten IT bestimmt, die abhängig von den abgebildeten wirtschaftlichen Sachverhalten des Unternehmens ist.
Entsprechend den Vorgaben des IDW geben folgende Kriterien einen Hinweis auf den voraussichtlichen Komplexitätsgrad eines Systems:
- Struktur des IT-Systems und der durch das IT-System abgebildeten Prozesse,
- Abbildung umfangreicher und unübersichtlicher Transaktionen,
- Integration unterschiedlicher IT-Anwendungen (Schnittstellen),
- Automatisierungsgrad der Geschäftsprozesse mittels IT-Systemen,
- IT-Systemänderungen im Berichtsjahr und
- Einbindung des IT-Systems in ein konzerneinheitliches System.
Weitere Bemessungsgrundlagen für die Komplexität der eingesetzten IT sind die Abhängigkeit der Geschäftsprozesse von den IT-Anwendungen und den verwalteten Daten.
ERP-Lösungen prüfungspflichtig
Gemäß diesen Vorgaben sind heutige ERP-Lösungen aufgrund der Vielzahl von Customizing-Einstellungen als komplex und nach IDW PS 330 als prüfungspflichtig zu bewerten. Die Abhängigkeit der Geschäftsprozesse von der richtigen, zeitgerechten und vollständigen Bereitstellung der erforderlichen Informationen ist häufig hoch oder sehr hoch. Immer wieder hört man von Unternehmen, die aufgrund von IT-Störungen handlungsunfähig werden, da die Produktionssteuerung ausgefallen ist oder automatisierte Läger nicht bedient werden können. Dies ist umso gravierender, wenn der Datenaustausch zwischen Unternehmen und Kunden beziehungsweise Unternehmen und Lieferanten und unterschiedlichen IT-Lösungen über automatisierte Schnittstellen erfolgt. Man muss sich nur vorstellen, was passiert, wenn per EDI versendete Rechnungen den Empfänger nicht erreichen, zum Beispiel weil vergessen wurde, den aktivierten Testbetrieb wieder zu deaktivieren. Die Folge: Bis zum Erkennen der fehlerhaften Einstellungen gehen keine Zahlungen ein. Durch den zeitlichen Versatz können Tage, vielleicht sogar Wochen vergehen, bis dies bemerkt wird. Es bleibt zu hoffen, dass die Liquidität des Unternehmens groß genug ist, dies zu verkraften.
Die Komplexität der IT steigt jedoch auch in zunehmendem Maße durch gesetzliche oder vertraglich vereinbarte Nachweispflichten. Gerade die Rückverfolgbarkeit erfordert von vielen Unternehmen eine Erweiterung ihrer IT und führt zu immer größeren Datenbeständen, die immer zeitnäher ausgewertet und bereitgestellt werden müssen. Die Verfügbarkeit der Daten ist unabdingbar für die Abnahme der produzierten Waren oder erbrachten Leistungen.
Auch der Wunsch von Unternehmen, die Belegablage und den Belegfluss elektronisch abzubilden, führt zu einer Erhöhung der Komplexität der IT. Gerade die elektronische Belegarchivierung fordert ein hohes Maß an Verlässlichkeit und Integrität, da die Beachtung der Belegfunktion eine Grundvoraussetzung für die Beweiskraft der Buchhaltung ist. Neben der Verwahrung gesetzlich erforderlicher Belege ist für Unternehmen aber auch die rechtzeitige und richtige Bereitstellung weiterer, für die Leistungserbringung erforderlicher Dokumente, zum Beispiel Konstruktionszeichnungen, wesentlich. Gerade die Vertraulichkeit dieser Unterlagen erzwingt neue Lösungsansätze mit komplexen IT-Lösungen zur Verschlüsselung und Sicherung der Daten, um die Unternehmenswerte angemessen zu schützen, vor allem wenn diese, wie zunehmend der Fall, den sicheren Unternehmensbereich verlassen.
Mobilität und Sicherheit
Eine neue Herausforderung ist die Einbindung moderner Medien und Technologien. Durch den Wunsch vieler Unternehmensverantwortlicher, über immer mehr soziale Plattformen erreichbar zu sein, und die zunehmende Mobilität, die immer stärker einen Zugriff auf die Unternehmensdaten von außerhalb der sicheren Netze zum Beispiel über Smartphones oder Tablets erfordert, werden weitere Sicherungsmaßnahmen notwendig. Die zunehmenden Chancen, die sich für Unternehmen durch das Internet ergeben, beinhalten neue Risiken. Um diesen Risiken angemessen zu begegnen, sind komplexe Netzstrukturen erforderlich, deren Sicherheit nur mittels technisch aktuell gepflegter Überwachungskomponenten gewährleistet werden kann. Die Authentifizierung mobiler Geräte zum Beispiel durch Zertifikate, die Verschlüsselung lokaler Daten oder die Überwachung der auf den Geräten genutzten Apps mittels geeigneter Managementsysteme werden zum Muss für die IT-Verantwortlichen.
Aufgrund der Sensibilität der Daten und steigenden Abhängigkeit einer funktionierenden IT empfiehlt sich die IT-Systemprüfung auch für Unternehmen, die keiner gesetzlichen Prüfungspflicht unterliegen. Die IT-Prüfung hilft, Schwachstellen rechtzeitig zu erkennen und Risiken zu reduzieren, die zu einem Verlust der Unternehmenswerte führen. Dem heute gut ausgebildeten IT-Prüfer stehen viele Prüfungsmethoden und Werkzeuge zur Verfügung, komplexe Strukturen ganzheitlich zu betrachten. Gegenstand der modernen IT-Prüfung ist nicht nur die Einhaltung gesetzlicher Vorgaben. Durch den ganzheitlichen Ansatz unter Einbeziehung des IT-Umfelds, der IT-Organisation, der IT-Infrastruktur sowie der implementierten Anwendungen erhalten Unternehmen einen Überblick über mögliche Schwachstellen und können diesen anhand der gegebenen Empfehlungen durch die Veranlassung angemessener präventiver Maßnahmen begegnen.
Mehr DAZU
Mehr DAZU
finden Sie unter www.datev.de/consulting | IT-Prüfung
E-Mail: consulting@datev.de und werner.schmidgruber @datev.de
Tel.: +49 911 319-7051