Digital GRC - 25. November 2021

IT-Audits und Datenanalysen

Dass sich die Wirtschaftsprüfung dem zunehmenden digitalen Wandel nicht entziehen kann, wurde in den vergangenen Jahren schon in diversen Publikationen vielfach thematisiert. Nun hat sich der Druck auf die Branche in zweifacher Hinsicht erhöht. Daraus ergeben sich jedoch auch enorme Chancen in der Abschlussprüfung.

Die International Standards on Auditing (ISA) des Internatio­nal Auditing and Assurance Standards Board (IAASB) sind für Geschäftsjahre, die ab dem 15. Dezember 2021 beginnen, auch in Deutschland verpflichtend anzuwenden. Ebenfalls mit Wirkung zum 15. Dezember 2021 wird der grundlegend überar­beitete ISA 315 (Revised 2019) eingeführt (im Weiteren der neue ISA 315). Der Standard stellt das Pendant zum deutschen IDW PS 261 n. F. dar und gilt als sogenanntes Backbone des risikoorientierten Prüfungsansatzes. In seiner Begründung zur Novellierung des ISA 315 führt der IAASB folgende Gründe an:

  • die fortschreitende Digitalisierung ändert den Prüfungsge­genstand;
  • Prüfungsnachweise (audit evidence) werden zunehmend aus den IT-Systemen der zu prüfenden Einheiten gewonnen;
  • neue „automated tools and techniques“ (ATT) werden von Wirtschaftsprüfungsgesellschaften eingesetzt;
  • bisher wurden diese Themen nicht hinreichend in den ISA behandelt.

ERP-Systeme

Digitale Geschäftsmodelle wie der Online-Handel oder Soft­ware as a Service gründen auf einer digitalen Geschäftsum­gebung. Dabei werden Geschäftsvorfälle regelmäßig digital erfasst und abgewickelt. Dies gilt auch für klassische Ge­schäftsmodelle, in denen die Unternehmen zunehmend auf prozessorientierte und funktionsstarke ERP-Systeme setzen. Dadurch werden sowohl die Qualität und Quantität als auch die Verfügbarkeit entscheidungsrelevanter Daten erhöht. Ty­pischerweise wird durch ERP-Systeme ein hohes Volumen gleichartiger Vorgänge IT-gestützt verarbeitet (Massentrans­aktionen). Dabei werden die Einzeltransaktionen aus den Ne­benbüchern über eine automatische Kontenfindung in das Hauptbuch übernommen. Abschreibungsläufe und die Bewertung der Vorräte erfolgen automatisiert durch die IT-Systeme auf Basis der dort getroffenen Einstellungen (Para­metrisierung). Der Anteil von Geschäftsvorfällen, die aus­ schließlich in elektronischer Form ausgelöst, aufgezeichnet oder verarbeitet werden oder über die ausschließlich in elek­tronischer Form berichtet wird, wächst. Auch sind Prüfungs­nachweise oft nur noch in elektronischer Form vorhanden (elektronische Rechnungen, digitalisierte Belege).

IT-gestützte und automatische Kontrollen

Gemäß ISA 315 (Revised 2019) liefern in den oben dargestell­ten Fällen substanzielle Prüfungshandlungen allein keine hin­reichende Prüfungssicherheit mehr [sogenannte RSPA (Risks of material misstatement for which substantive procedures alone cannot provide sufficient appropriate audit evidence)]. Entsprechend betont der Standard die Notwendigkeit, ein bes­seres Verständnis über die Informationstechnologie in der zu prüfenden Einheit zu gewinnen. Durch die Konkretisierung von RSPA und den Wegfall der Möglichkeit, rein substanziell zu prüfen, stellt die Prüfung des Internen Kontrollsystems (IKS) die zulässige Alternative dar. Der neue ISA unterscheidet dabei IT-gestützte und automatische Kontrollen, die gegen­über manuellen Kontrollen in modernen Unternehmen deut­lich an Bedeutung gewonnen haben. Die Integrität der Daten und die Verlässlichkeit der Systeme, aus denen Prüfungsnach­weise generiert werden, stehen ebenfalls im Fokus.

Haftungsrisiken

Neben der Änderung des Standards hat sich auch das Haf­tungsrisiko für die Prüferinnen und Prüfer erhöht. Damit soll nach der Gesetzesbegründung ein weiterer Anreiz zur sorgfäl­tigen Prüfung gesetzt werden. Das am 20. Mai 2021 im Bun­destag verabschiedete Gesetz zur Stärkung der Finanzmarkt­integrität (kurz FISG) trat mit Wirkung zum 1. Juli 2021 in Kraft und sieht eine Verschärfung der zivilrechtlichen Haftung des Abschlussprüfers vor. Demnach erhöhen sich im Falle gro­ber Fahrlässigkeit die Haftungshöchstgrenzen bei allen ge­setzlichen Abschlussprüfungen auf zwölf Millionen Euro, bei Vorsatz ist die Haftung unbegrenzt. Bei der Prüfung von kapi­talmarktorientierten Unternehmen (sogenannten PIE) ist die Haftung des Abschlussprüfers bereits bei Vorliegen grober Fahrlässigkeit unbegrenzt. Als grobe Fahrlässigkeit gilt, wenn der Abschlussprüfer die verkehrsübliche Sorgfalt in besonders schwerem Maße außer Acht lässt und das nicht beachtet, was sich im gegebenen Fall jedem aufgedrängt hätte [FISG, Be­gründung zu § 323 Handelsgesetzbuch (HGB)]. Es ist davon auszugehen, dass eine fehlende Berücksichtigung der Infor­mationstechnologie in der zu prüfenden Einheit bei Vorliegen von RSPA im Schadensfall als Verstoß gegen die Grundsätze ordnungsmäßiger Abschlussprüfung (GoA) und damit bereits als grobe Fahrlässigkeit gewertet werden kann.

Lünendonk-Befragung

Nicht nur wegen der stringenten Vorgaben des neuen ISA 315 (Revised 2019), sondern auch wegen der verschärften Sankti­onierung durch das FISG sind IT-bezogene Prüfungshandlun­gen und Datenanalysen integraler Bestandteil der Abschluss­prüfung. Dies bestätigt auch eine aktuelle Befragung von Wirt­schaftsprüfern und Wirtschaftsprüfungsgesellschaften durch Lünendonk. Demnach rechnen 76 Prozent der befragten Be­rufsträger mit starker bis sehr starker Umsatzsteigerung im Bereich IT-Prüfung in den nächsten zwei bis drei Jahren.

Hohe Umsatzerwartungen in der IT-Prüfung und Compliance

76 Prozent der befragten Unternehmen  in der Branche der IT-Prüfung erwarten starke bis sehr starke Umsatzzuwächse in den nächsten 2-3 Jahren

Vorzüge des neuen Standards

Auch wenn der neue ISA 315 von vielen Berufskollegen zu­nächst als zusätzliche Erschwernis bei der Durchführung von Jahresabschlussprüfungen empfunden wird, eröffnet er bei näherer Betrachtung, insbesondere durch die Konkretisierung der Anwendungsfelder moderner Daten­analysentechnologien, enorme Chancen. Auch die Art und Weise, wie IT-Audits be­ziehungsweise IT-bezogene Prüfungshand­lungen durchgeführt werden, wurde mo­dernisiert und stärker auf die Abschluss­prüfung ausgerichtet, was unter dem Ge­sichtspunkt des zusätzlichen Beitrags zur Prüfungssicherheit zu begrüßen ist. So sind IT-bezogene Prüfungshandlungen gemäß ISA 315 (Revised 2019) prozessorientiert und in die IKS-Prüfung integriert. Die aus den IT-basierten Prüfungshandlungen gewonnenen Erkenntnisse führen über die IT-gestützten Geschäftsprozesse auch bereits zu Prüfungs­sicherheit in Prüffeldern sowie auf Aussageebene.

ATT als Instrument der Wahl

Der Standard zeigt konkrete Möglichkeiten auf, wie durch den systematischen Einsatz von ATT manuelle Prüfungshandlun­gen zum Teil in erheblichem Umfang reduziert oder sogar er­setzt werden können. Dies erhöht neben der Effektivität durch die vollumfängliche Berücksichtigung von Grundgesamtheiten anstelle von Stichproben auch die Effizienz. So ist es etwa möglich, das stets bedeutsame Risiko wesentlicher falscher Angaben in der Umsatzrealisierung im Rahmen der Risikoana­lyse anders zu werten. Darüber hinaus kann in Prüffeldern wie dem Anlagevermögen eine hinreichende Prüfungssicherheit bereits weitgehend ohne menschliches Zutun erreicht werden. Auch für IT-bezogene Prüfungshandlungen sind ATT unter Ef­fizienzgesichtspunkten das Instrument der Wahl. Zusätzlich gewährt die Nutzung von ATT umfassende Einblicke in trans­aktionsbezogene Daten und Prozesse und schafft damit neue Beratungsfelder für den Prüfer. So ist beispielsweise davon auszugehen, dass die zu prüfende Einheit die als Nebenpro­dukt der Jahresabschlussprüfung anfallenden Hinweise für eine Prozessverbesserung nicht nur bereit ist zu honorieren, sondern in Zukunft auch erwarten wird.

Ausblick

Unternehmen setzen zunehmend auf integrierte ERP-Systeme, die eine Flut von Daten generieren, verarbeiten und speichern. Die Daten sind dabei grundsätzlich verfügbar, für die Abschluss­prüfung relevant und ermöglichen eine End-to-end-Prozessbe­trachtung der zu prüfenden Einheit. Auch als Reaktion auf diesen Trend schreibt der neue ISA 315 eine Prozess- und IKS-orientier­te Prüfung vor. Schon heute ist absehbar, dass das FISG und die damit verbundene neue Haftungssituation sowie der überarbeite­te und modernisierte IT-Audit-Ansatz zu einer stärkeren Integra­tion unter Berücksichtigung der Informationstechnologie in der Abschlussprüfung führen werden. Besondere Chancen ergeben sich im Rahmen des neuen ISA 315 durch die Konkretisierung und damit auch durch die Legitimation der Anwendungsfel­der von ATT.

Durch den Einsatz moderner Analysewerkzeuge erlangt der Prüfer wert­volle Einblicke in das Unternehmen, die weit über die Finanzbuchhaltung hinausgehen. Durch den breiten Analyseansatz wird daher nicht nur das Verständnis über die zu prüfen­de Einheit sowie deren Umfeld erhöht, son­dern werden insbesondere auch die Ge­schäftsprozesse integrativ erfasst. Damit nä­hert sich der Abschlussprüfer dem prüfungstechnischen Ideal, die Prüfung transaktionsbasiert und auf vollständig erfassten Da­ten basierend auszurichten. Die tiefen Einblicke durch die Verar­beitung transaktionaler Daten mittels ATT ermöglichen es, Opti­mierungspotenziale zu identifizieren. Die Jahresabschlussprü­fung kann als klaren Mehrwert Hinweise auf mögliche Prozess- und Systemverbesserungen liefern. Dieser Mehrwert wird von den Mandanten honoriert und künftig immer öfter auch erwartet werden. Der moderne Wirtschaftsprüfer versteht sich als Daten- und Prozessexperte mit dem zusätzlichen Know-how der Rech­nungslegung beziehungsweise -prüfung.

MEHR DAZU

Zu den Automatisierten Tools und Techniken (ATT) im Rahmen der Abschlussprüfung zählt auch die Datenanalyse.

Journals Entry Testing sicher und mandatsgeschützt auslagern mit dem DATEV JET-Service,
Digitale Datenanalysen mit DATEV Datenprüfung,
DATEV-Consulting „IT-Prüfung”.

Zu den Autoren

MW
Martin Wambach

Wirtschaftsprüfer, Steuerberater und IT-Auditor IDW. Er ist zudem Geschäftsführender Partner und Chief Digital Officer bei Rödl & Partner.

Weitere Artikel des Autors
FR
Frank Reutter

Wirtschaftsinformatiker, Wirtschaftsprüfer, Steuerberater und Certi­fied Information Systems Auditor (CISA) bei Rödl & Partner. Er leitet dort die Bereiche IT-Audit, Audit Tech und Digital GRC.

Weitere Artikel des Autors