Dass sich die Wirtschaftsprüfung dem zunehmenden digitalen Wandel nicht entziehen kann, wurde in den vergangenen Jahren schon in diversen Publikationen vielfach thematisiert. Nun hat sich der Druck auf die Branche in zweifacher Hinsicht erhöht. Daraus ergeben sich jedoch auch enorme Chancen in der Abschlussprüfung.
Die International Standards on Auditing (ISA) des International Auditing and Assurance Standards Board (IAASB) sind für Geschäftsjahre, die ab dem 15. Dezember 2021 beginnen, auch in Deutschland verpflichtend anzuwenden. Ebenfalls mit Wirkung zum 15. Dezember 2021 wird der grundlegend überarbeitete ISA 315 (Revised 2019) eingeführt (im Weiteren der neue ISA 315). Der Standard stellt das Pendant zum deutschen IDW PS 261 n. F. dar und gilt als sogenanntes Backbone des risikoorientierten Prüfungsansatzes. In seiner Begründung zur Novellierung des ISA 315 führt der IAASB folgende Gründe an:
- die fortschreitende Digitalisierung ändert den Prüfungsgegenstand;
- Prüfungsnachweise (audit evidence) werden zunehmend aus den IT-Systemen der zu prüfenden Einheiten gewonnen;
- neue „automated tools and techniques“ (ATT) werden von Wirtschaftsprüfungsgesellschaften eingesetzt;
- bisher wurden diese Themen nicht hinreichend in den ISA behandelt.
ERP-Systeme
Digitale Geschäftsmodelle wie der Online-Handel oder Software as a Service gründen auf einer digitalen Geschäftsumgebung. Dabei werden Geschäftsvorfälle regelmäßig digital erfasst und abgewickelt. Dies gilt auch für klassische Geschäftsmodelle, in denen die Unternehmen zunehmend auf prozessorientierte und funktionsstarke ERP-Systeme setzen. Dadurch werden sowohl die Qualität und Quantität als auch die Verfügbarkeit entscheidungsrelevanter Daten erhöht. Typischerweise wird durch ERP-Systeme ein hohes Volumen gleichartiger Vorgänge IT-gestützt verarbeitet (Massentransaktionen). Dabei werden die Einzeltransaktionen aus den Nebenbüchern über eine automatische Kontenfindung in das Hauptbuch übernommen. Abschreibungsläufe und die Bewertung der Vorräte erfolgen automatisiert durch die IT-Systeme auf Basis der dort getroffenen Einstellungen (Parametrisierung). Der Anteil von Geschäftsvorfällen, die aus schließlich in elektronischer Form ausgelöst, aufgezeichnet oder verarbeitet werden oder über die ausschließlich in elektronischer Form berichtet wird, wächst. Auch sind Prüfungsnachweise oft nur noch in elektronischer Form vorhanden (elektronische Rechnungen, digitalisierte Belege).
IT-gestützte und automatische Kontrollen
Gemäß ISA 315 (Revised 2019) liefern in den oben dargestellten Fällen substanzielle Prüfungshandlungen allein keine hinreichende Prüfungssicherheit mehr [sogenannte RSPA (Risks of material misstatement for which substantive procedures alone cannot provide sufficient appropriate audit evidence)]. Entsprechend betont der Standard die Notwendigkeit, ein besseres Verständnis über die Informationstechnologie in der zu prüfenden Einheit zu gewinnen. Durch die Konkretisierung von RSPA und den Wegfall der Möglichkeit, rein substanziell zu prüfen, stellt die Prüfung des Internen Kontrollsystems (IKS) die zulässige Alternative dar. Der neue ISA unterscheidet dabei IT-gestützte und automatische Kontrollen, die gegenüber manuellen Kontrollen in modernen Unternehmen deutlich an Bedeutung gewonnen haben. Die Integrität der Daten und die Verlässlichkeit der Systeme, aus denen Prüfungsnachweise generiert werden, stehen ebenfalls im Fokus.
Haftungsrisiken
Neben der Änderung des Standards hat sich auch das Haftungsrisiko für die Prüferinnen und Prüfer erhöht. Damit soll nach der Gesetzesbegründung ein weiterer Anreiz zur sorgfältigen Prüfung gesetzt werden. Das am 20. Mai 2021 im Bundestag verabschiedete Gesetz zur Stärkung der Finanzmarktintegrität (kurz FISG) trat mit Wirkung zum 1. Juli 2021 in Kraft und sieht eine Verschärfung der zivilrechtlichen Haftung des Abschlussprüfers vor. Demnach erhöhen sich im Falle grober Fahrlässigkeit die Haftungshöchstgrenzen bei allen gesetzlichen Abschlussprüfungen auf zwölf Millionen Euro, bei Vorsatz ist die Haftung unbegrenzt. Bei der Prüfung von kapitalmarktorientierten Unternehmen (sogenannten PIE) ist die Haftung des Abschlussprüfers bereits bei Vorliegen grober Fahrlässigkeit unbegrenzt. Als grobe Fahrlässigkeit gilt, wenn der Abschlussprüfer die verkehrsübliche Sorgfalt in besonders schwerem Maße außer Acht lässt und das nicht beachtet, was sich im gegebenen Fall jedem aufgedrängt hätte [FISG, Begründung zu § 323 Handelsgesetzbuch (HGB)]. Es ist davon auszugehen, dass eine fehlende Berücksichtigung der Informationstechnologie in der zu prüfenden Einheit bei Vorliegen von RSPA im Schadensfall als Verstoß gegen die Grundsätze ordnungsmäßiger Abschlussprüfung (GoA) und damit bereits als grobe Fahrlässigkeit gewertet werden kann.
Lünendonk-Befragung
Nicht nur wegen der stringenten Vorgaben des neuen ISA 315 (Revised 2019), sondern auch wegen der verschärften Sanktionierung durch das FISG sind IT-bezogene Prüfungshandlungen und Datenanalysen integraler Bestandteil der Abschlussprüfung. Dies bestätigt auch eine aktuelle Befragung von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften durch Lünendonk. Demnach rechnen 76 Prozent der befragten Berufsträger mit starker bis sehr starker Umsatzsteigerung im Bereich IT-Prüfung in den nächsten zwei bis drei Jahren.
Hohe Umsatzerwartungen in der IT-Prüfung und Compliance
Vorzüge des neuen Standards
Auch wenn der neue ISA 315 von vielen Berufskollegen zunächst als zusätzliche Erschwernis bei der Durchführung von Jahresabschlussprüfungen empfunden wird, eröffnet er bei näherer Betrachtung, insbesondere durch die Konkretisierung der Anwendungsfelder moderner Datenanalysentechnologien, enorme Chancen. Auch die Art und Weise, wie IT-Audits beziehungsweise IT-bezogene Prüfungshandlungen durchgeführt werden, wurde modernisiert und stärker auf die Abschlussprüfung ausgerichtet, was unter dem Gesichtspunkt des zusätzlichen Beitrags zur Prüfungssicherheit zu begrüßen ist. So sind IT-bezogene Prüfungshandlungen gemäß ISA 315 (Revised 2019) prozessorientiert und in die IKS-Prüfung integriert. Die aus den IT-basierten Prüfungshandlungen gewonnenen Erkenntnisse führen über die IT-gestützten Geschäftsprozesse auch bereits zu Prüfungssicherheit in Prüffeldern sowie auf Aussageebene.
ATT als Instrument der Wahl
Der Standard zeigt konkrete Möglichkeiten auf, wie durch den systematischen Einsatz von ATT manuelle Prüfungshandlungen zum Teil in erheblichem Umfang reduziert oder sogar ersetzt werden können. Dies erhöht neben der Effektivität durch die vollumfängliche Berücksichtigung von Grundgesamtheiten anstelle von Stichproben auch die Effizienz. So ist es etwa möglich, das stets bedeutsame Risiko wesentlicher falscher Angaben in der Umsatzrealisierung im Rahmen der Risikoanalyse anders zu werten. Darüber hinaus kann in Prüffeldern wie dem Anlagevermögen eine hinreichende Prüfungssicherheit bereits weitgehend ohne menschliches Zutun erreicht werden. Auch für IT-bezogene Prüfungshandlungen sind ATT unter Effizienzgesichtspunkten das Instrument der Wahl. Zusätzlich gewährt die Nutzung von ATT umfassende Einblicke in transaktionsbezogene Daten und Prozesse und schafft damit neue Beratungsfelder für den Prüfer. So ist beispielsweise davon auszugehen, dass die zu prüfende Einheit die als Nebenprodukt der Jahresabschlussprüfung anfallenden Hinweise für eine Prozessverbesserung nicht nur bereit ist zu honorieren, sondern in Zukunft auch erwarten wird.
Ausblick
Unternehmen setzen zunehmend auf integrierte ERP-Systeme, die eine Flut von Daten generieren, verarbeiten und speichern. Die Daten sind dabei grundsätzlich verfügbar, für die Abschlussprüfung relevant und ermöglichen eine End-to-end-Prozessbetrachtung der zu prüfenden Einheit. Auch als Reaktion auf diesen Trend schreibt der neue ISA 315 eine Prozess- und IKS-orientierte Prüfung vor. Schon heute ist absehbar, dass das FISG und die damit verbundene neue Haftungssituation sowie der überarbeitete und modernisierte IT-Audit-Ansatz zu einer stärkeren Integration unter Berücksichtigung der Informationstechnologie in der Abschlussprüfung führen werden. Besondere Chancen ergeben sich im Rahmen des neuen ISA 315 durch die Konkretisierung und damit auch durch die Legitimation der Anwendungsfelder von ATT.
Durch den Einsatz moderner Analysewerkzeuge erlangt der Prüfer wertvolle Einblicke in das Unternehmen, die weit über die Finanzbuchhaltung hinausgehen. Durch den breiten Analyseansatz wird daher nicht nur das Verständnis über die zu prüfende Einheit sowie deren Umfeld erhöht, sondern werden insbesondere auch die Geschäftsprozesse integrativ erfasst. Damit nähert sich der Abschlussprüfer dem prüfungstechnischen Ideal, die Prüfung transaktionsbasiert und auf vollständig erfassten Daten basierend auszurichten. Die tiefen Einblicke durch die Verarbeitung transaktionaler Daten mittels ATT ermöglichen es, Optimierungspotenziale zu identifizieren. Die Jahresabschlussprüfung kann als klaren Mehrwert Hinweise auf mögliche Prozess- und Systemverbesserungen liefern. Dieser Mehrwert wird von den Mandanten honoriert und künftig immer öfter auch erwartet werden. Der moderne Wirtschaftsprüfer versteht sich als Daten- und Prozessexperte mit dem zusätzlichen Know-how der Rechnungslegung beziehungsweise -prüfung.
MEHR DAZU
Zu den Automatisierten Tools und Techniken (ATT) im Rahmen der Abschlussprüfung zählt auch die Datenanalyse.
Journals Entry Testing sicher und mandatsgeschützt auslagern mit dem DATEV JET-Service,
Digitale Datenanalysen mit DATEV Datenprüfung,
DATEV-Consulting „IT-Prüfung”.
