Wolfram Bartuschka, WP/StB

Digitales Internes Kontrollsystem in der Abschlussprüfung

Die Digitalisierung ist im Rechnungswesen der Unternehmen angekommen. Damit bietet sich den Unternehmen auch die Möglichkeit, ihr Internes Kontrollsystem (IKS) zu digitalisieren. Der nachstehende Artikel befasst sich ausgehend vom IKS als Grundlage der Abschlussprüfung mit der Frage, welche Ansatzpunkte für die Digitalisierung des IKS bestehen und welche Auswirkungen sich daraus für die Prüfung des IKS im Rahmen der Jahresabschlussprüfung ergeben.

I. IKS als Grundlage der Abschlussprüfung

1. Regulatorischer Rahmen

Die Aufstellung und der Inhalt des Jahresabschlusses liegen in der Verantwortung der gesetzlichen Vertreter der Gesellschaft, also bei Geschäftsführer oder Vorstand. Ebenso sind die gesetzlichen Vertreter “für die Einrichtung und Aufrechterhaltung eines rechnungslegungsbezogenen IKS”1 verantwortlich. Vorstände einer börsennotierten AG sind darüber hinaus explizit zur Einrichtung eines angemessenen und wirksamen – nicht nur auf die Rechnungslegung bezogenen – IKS verpflichtet.2 Entscheidend für die Beantwortung der Frage, ob ein IKS angemessen und wirksam ist, sind die Risikolage, die Größe und die Struktur eines Unternehmens.3 Bei börsennotierten AG soll der Vorstand gem. Empfehlung A.5 des Deutschen Corporate Governance Kodex (DCGK)4 im Lagebericht die wesentlichen Merkmale des gesamten IKS und des Risikomanagementsystems (RMS) beschreiben und zur Angemessenheit und Wirksamkeit Stellung nehmen.

Bei der Prüfung hat der Abschlussprüfer gem. § 317 Abs. 5 HGB die internationalen Prüfungsstandards, soweit sie von der Europäischen Union angenommen wurden, anzuwenden. Insbesondere in den Prüfungsstandards ISA [DE] 200 und ISA [DE] 315 wird definiert, auf welcher Basis und wie der Abschlussprüfer das IKS in seine Prüfung einbeziehen muss.

So erfolgt die Prüfung des rechnungslegungsrelevanten IKS einerseits mit dem Ziel, eine Aussage über die Ordnungsmäßigkeit der Buchführung nach § 321 Abs. 2 S. 1 zu treffen. Dazu führt der Abschlussprüfer i. d. R. keine gesonderten Prüfungshandlungen durch.5 Vielmehr ist es erforderlich, dass er ein Verständnis für das rechnungslegungsbezogene IKS in Übereinstimmung mit ISA [DE] 315 erwirbt und entsprechende Funktionsprüfungen durchführt.6

Im Sinne des risikoorientierten Prüfungsansatzes befasst sich der Prüfer weiterhin mit dem IKS, um im Rahmen seiner Prüfung des Risikos wesentlicher falscher Angaben auf Aussageebene das Kontrollrisiko zu adressieren.7

2. Prüfung des IKS im Rahmen der Jahresabschlussprüfung

a) Ableitung aus den Zielen der Prüfung durch den Abschlussprüfer

Die übergeordneten Ziele des Abschlussprüfers bestehen gem. ISA [DE] 200, Tz. 11, darin,

“(a) hinreichende Sicherheit darüber zu erlangen, ob der Abschluss als Ganzes frei von einer wesentlichen falschen Darstellung aufgrund von dolosen Handlungen oder Irrtümern ist, so dass der Abschlussprüfer in der Lage ist, ein Prüfungsurteil darüber abzugeben, ob der Abschluss in allen wesentlichen Belangen in Übereinstimmung mit den maßgebenden Rechnungslegungsgrundsätzen aufgestellt wurde, und (b) in Übereinstimmung mit den Feststellungen des Abschlussprüfers einen Vermerk zum Abschluss zu erteilen und zu kommunizieren – wie in den [IDW PS und] ISA [DE] gefordert.”

Dazu hat der Abschlussprüfer entsprechende Prüfungshandlungen zur Risikobeurteilung zu planen und durchzuführen.8 Zu diesen Prüfungshandlungen gehört auch das Schaffen eines Verständnisses für die Komponenten des IKS im Unternehmen.9 Stellt der Prüfer fest, dass für die einzelnen Komponenten des IKS Regelungen nach der Art und den Umständen nicht angemessen sind, kann ein Kontrollmangel vorliegen.10 Stellt der Prüfer fest, dass solche Kontrollmängel vorliegen, hat er zu beurteilen, ob der einzelne Kontrollmangel oder das Zusammenspiel von Kontrollmängeln einen bedeutsamen Mangel darstellt.11

Im Rahmen seiner Risikoeinschätzung hat der Prüfer auch zu identifizieren, ob für Aussagen im Jahresabschluss das Risiko besteht, dass durch rein aussagebezogene Prüfungshandlungen das Risiko wesentlicher falscher Darstellungen ausgeschlossen werden kann.12 In diesen Fällen ist die Prüfung der Wirksamkeit der entsprechenden Kontrollen die einzige Möglichkeit, eine ausreichende Prüfungssicherheit zu erlangen.13 Als Beispiel werden hier Massentransaktionen oder komplexe Berechnungsmodelle genannt, die nahezu ausschließlich in digitaler Form erfolgen.14

b) Identifikation relevanter Kontrollen

Zur Schaffung eines Verständnisses für das IKS führt der Prüfer i. d. R. Prozessgespräche oder Walk-throughs durch, in denen er Erkenntnisse gewinnt, wie Geschäftsvorfälle erfasst, aufgezeichnet und verarbeitet werden. Dabei identifiziert er auch IT-Systeme, die genutzt werden, und prozessintegrierte oder andere Kontrollen, die sicherstellen, dass die Erfassung und Verarbeitung der Informationen vollständig und richtig erfolgt.

Dies ist erforderlich, um

• zu entscheiden, ob Funktionsprüfungen der Kontrollen durchgeführt werden sollen,
• das Kontrollrisiko auf Aussageebene einzuschätzen,
• die Strategie zur Prüfung von aus IT-Systemen generierten Informationen abzuleiten,
• das inhärente Risiko anhand der Komplexität der IT-Anwendung abzuschätzen,
• weitere Prüfungshandlungen zu planen.15

Auf Basis des Verständnisses des IKS plant der Prüfer weitere Prüfungshandlungen mit dem Ziel, festzustellen, ob das IKS wirksam ist.

c) Prüfung der Wirksamkeit der Kontrollen

Um sich davon zu überzeugen, dass das IKS der Einheit nicht nur angemessen, sondern auch wirksam ist, führt der Prüfer Funktionsprüfungen durch mit dem Ziel, die Wirksamkeit der jeweiligen Kontrollen zu beurteilen.16 Dabei soll festgestellt werden, ob die identifizierten im Unternehmen eingerichteten Kontrollen auch tatsächlich dazu geeignet sind, Fehler aufgrund menschlichen Versagens oder auch aufgrund doloser Handlungen zu verhindern oder aufzudecken. Wird für einzelne Kontrollen im Rahmen der Funktionsprüfungen festgestellt, dass diese – obwohl angemessen – dennoch nicht wirksam sind, muss der Prüfer beurteilen, ob die durch diese Kontrollen abgesicherten Kontrollziele durch andere interne Kontrollen erreicht werden können. Kann auch dieser Aspekt nicht abschließend positiv beurteilt werden, muss der Prüfer ggf. weitere aussagebezogene Prüfungshandlungen durchführen.17

II. Prüfung der IT-Umgebung

Ohne eine Befassung mit der im Unternehmen genutzten IT kann der Abschlussprüfer heute keine Prüfungssicherheit gewinnen. In den IT-Systemen werden Geschäftsvorfälle initiiert, identifiziert, erfasst, verarbeitet und ausgegeben.18

Ausgehend von den in der Prozessaufnahme identifizierten IT-Systemen erfolgt die Prüfung auf zwei Ebenen:

1. Generelle IT-Kontrollen

Die generellen IT-Kontrollen zielen nicht auf eine einzelne IT-Anwendung, sondern vielmehr auf das gesamte IT-Umfeld ab, welches die Basis der Nutzung der einzelnen Anwendung darstellt.19 Hierzu zählen neben der IT-Infrastruktur vor allem die IT-Prozesse.20

Im Rahmen der Prüfung befasst sich der Prüfer mit verschiedenen Teilaspekten beginnend mit der IT-Strategie über die IT-Organisation bis hin zu allgemeinen Richtlinien zum Umgang mit IT im Unternehmen. So wird im Rahmen der IT-Governance und -Organisation untersucht, welche Vorgaben und Strukturen das Unternehmen zum Umgang mit IT aufgestellt hat und wie diese umgesetzt und eingehalten werden. Bei dem Thema “Manage Access” wird geprüft, welche generellen Regelungen zur Vergabe, Verwaltung und dem Entzug von Nutzerrechen bestehen, ob diese angemessen sind und auch, ob sie wie vorgesehen umgesetzt wurden. Im Bereich “Manage Change” untersucht der Prüfer die Vorgaben und deren Umsetzung zum Erstellen, Testen, der Abnahme und Inbetriebnahme von neuen Systemkomponenten und Änderungen in den Anwendungen. Mit dem Betrieb der IT-Systeme befasst sich der Komplex “Manage Operations”. Dazu gehören Fragen wie der IT-Betrieb und der physische Schutz von Rechenzentren ebenso wie das Management von Outsourcing-Partnern.

2. Anwendungsbezogene IT-Kontrollen

Im Rahmen der Prüfung der anwendungsbezogenen Kontrollen befasst sich der Prüfer zum einen mit den Kontrollen der Informationsverarbeitung, d. h. mit den Kontrollen, durch die die Integration der Informationen gewährleistet werden soll.21 Die Kontrollen zielen insbesondere auf die Informationen ab, die der Prüfer seinen Prüfungshandlungen zugrunde legt (information provided by the entity). Im Rahmen seiner Prüfung verwendet der Prüfer umfangreiche Informationen, die ihm durch die Unternehmen zumeist in elektronischer Form zur Verfügung gestellt und von ihm im Rahmen seiner Prüfungshandlungen ausgewertet werden. Um sicherzustellen, dass diese Informationen richtig, vollständig und aktuell sind, muss der Prüfer daher prüfen, dass diese Daten nicht beabsichtigt oder unbeabsichtigt verändert wurden. Dazu stellt er z. B. fest, ob Auswertungen nur im Rahmen der unter den bei den generellen IT-Kontrollen untersuchten Prozessen des Change Management entwickelt, getestet und realisiert wurden.

Weiterhin wird geprüft, ob die in den Systemen installierten automatisierten Kontrollen, z. B. durch eine die Funktionstrennung unterstützende Vergabe von Nutzerrechten, wie bei den generellen IT-Kontrollen unter “Manage Access” konzipiert, getestet und umgesetzt wurden. Diese IT Automated Controls bieten den Vorteil, dass sie aufgrund der Stetigkeit der Anwendung im IT-System eine hohe Verlässlichkeit der Kontrollanwendung sicherstellen können.22

III. Ansatzpunkte für die Digitalisierung des Internen Kontrollsystems

1. Digitalisierung kompletter Prozessketten

Wenn Prozessketten weitgehend oder durchgehend digital gestaltet wurden, kann auch das IKS digitalisiert und automatisiert werden. So kann bspw. durch den bekannten Drei-Wege-Abgleich im Einkauf ein automatisierter Abgleich von bestellten, gelieferten und in Rechnung gestellten Materialien erfolgen.

Ähnliche Lösungen lassen sich bspw. im Vertrieb über die Festlegung von Toleranzgrenzen für Rabattierungen und ein Vier-Augenprinzip bei Überschreiten bestimmter Rabattwerte implementieren.

Weitere in Enterprise-Ressource-Planning-(ERP-)Systemen häufig genutzte Elemente zur Umsetzung des IKS sind u. a.

• Validierungsregeln,
• systembasierte Plausibilitätsprüfungen,
• (Zwangs-)Protokollierung von Änderungen, z. B. an Reports, Stammdaten etc.,
• Kreditlimitprüfungen,
• zwingende Belegangaben durch Mussfelder.

Um die Effizienzgewinne möglichst umfassend zu nutzen, bietet es sich an, für die Umsetzung der Kontrollen entsprechende Workflows zu nutzen, die bspw. auch Vertreterregelungen und Momente überraschender Kontrollen – auch im Sinne der Fraud Prevention – beinhalten können. So hat ein Unternehmen der Immobilienwirtschaft bspw. nach Fraudvorfällen im Bereich der Instandhaltung von Bestandsimmobilien den vorhandenen Workflow zur Rechnungsfreigabe durch eine zufallsgesteuerte zusätzliche Kontrolle ergänzt, bei der ein bestimmter Anteil von Rechnungen durch einen anderen Freigeber zusätzlich geprüft und freigegeben werden muss.

Über die in den ERP-Systemen abgebildeten Kontrollen hinaus lässt sich das IKS ebenfalls durch entsprechende Systeme aus dem Bereich Governance Risk und Compliance (GRC) ergänzen. Diese Systeme bieten die Möglichkeit, Kontrollen durch entsprechende Konnektoren und Schnittstellen über die Grenzen einzelner ERP-Systeme hinweg abzubilden und auch die Dokumentation der Kontrolldurchführung, z. B. durch die Verknüpfung mit einem Ticketingsystem, zu digitalisieren.

GRC-Systeme bilden damit die Basis für die Erfassung der Risiko-Kontroll-Matrizen und die Dokumentation der Kontrolldurchführung. Interne Revision und Wirtschaftsprüfer können die Prüfung des IKS dann auf die Informationen im GRC-System stützen.

2. Robotic Process Automation

Robotic Process Automation (RPA) ist eine Gruppe von Softwaretools, die es ermöglichen, bestimmte Prozesse in IT-Systemen automatisiert ablaufen zu lassen.23 Dazu werden sog. Bots angelernt, indem die entsprechenden durchzuführenden Schritte, wie

• das Aufrufen von bestimmten Menüpunkten,
• die Auswahl von bestimmten Funktionen,
• das Auslesen oder Einsetzen von Daten in Datenfelder und
• das Kopieren von Daten aus dem Feld einer Applikation in Felder einer anderen Applikation

durchgeführt und aufgezeichnet werden. Diese Funktionalitäten können dann in einer Prozesskette verbunden und beliebig wiederholt werden. RPA bietet daher die Möglichkeit der Integration von Prozessen über Systemgrenzen hinweg.

Nachstehend werden einige konkrete Beispiele für die Anwendung von RPA zur Digitalisierung des IKS gegeben:

Stammdaten-Kontrollen im Einkauf und Vertrieb: Ein Bot extrahiert täglich neue oder geänderte Lieferanten- und Kundendaten aus dem ERP-System, gleicht sie gegen externe Sanktions- oder Negativlisten ab und dokumentiert das Ergebnis inklusive Screenshots im zentralen Kontrollarchiv. Bei Treffern oder fehlenden Pflichtfeldern wird automatisch ein Ticket an die verantwortliche Fachabteilung eröffnet, die auf dieser Basis die notwendigen Schritte ergreifen kann.

Abstimmung Haupt- und Nebenbücher/Intercompany-Abgleiche: RPA liest regelmäßig Salden und Bewegungen aus Haupt- und Nebenbüchern (z. B. Anlagenbuchhaltung, Debitoren/Kreditoren) aus, vergleicht sie mit definierten Toleranzen und erstellt eine standardisierte Abstimmungsdokumentation. Differenzen oberhalb eines Schwellenwerts werden als Exception-Liste an Accounting und Controlling gesendet. Auf Basis der Rückmeldungen kann der Status der Klärung aktualisiert werden.

Automatisierte Drei-Wege-Abgleiche bei kritischen Bestellungen: Wo der systemseitige Drei-Wege-Abgleich (Bestellung – Wareneingang – Rechnung) nicht vollständig genutzt wird, kann ein Bot periodisch Daten aus ERP-Tabellen auslesen, fehlende Zuordnungen identifizieren und auffällige Konstellationen (z. B. Rechnung ohne Wareneingang, mehrfacher Wareneingang zu einer Bestellung) an den Einkauf melden.

Prüfung von Zahlungsläufen und manuell freigegebenen Zahlungen: Vor Ausführung eines Zahlungsrun extrahiert ein Bot die Zahlungsdatei, prüft Zahlungen gegen definierte Regeln (z. B. Bankverbindung passt nicht zum Lieferantenstamm, Splitting von Rechnungen knapp unter Freigabelimits, ungewöhnlich hohe Einzelbeträge) und erzeugt einen Report für die zeichnungsberechtigten Personen. Nur nach dokumentierter Freigabe wird die Datei an das Bankensystem übergeben, andernfalls blockiert der Bot die Übertragung.

Reisekosten- und Spesenkontrollen: Ein Bot liest eingereichte Reisekostenabrechnungen und Belege aus dem Travel-Tool aus, prüft sie gegen Reiserichtlinien (z. B. Maximalbeträge, Hotelkategorien, fehlende Belege), markiert Auffälligkeiten und erstellt einen Prüfungsnachweis für jede bearbeitete Abrechnung. Genehmigungsworkflows werden automatisch angestoßen, und nicht-konforme Positionen können bis zur Klärung separat gehalten werden.

IKS-spezifische Dokumentations- und Reminder-Prozesse: RPA-Bots können Kontrollverantwortliche automatisiert an fällige Kontrollen erinnern, Statusabfragen durchführen und Rückmeldungen in GRC-/IKS-Tools einpflegen. Zudem lassen sich Kontrollnachweise (z. B. Reports, Screenshots, Exporte) automatisiert im revisionssicheren Archiv ablegen, inklusive eindeutiger Zuordnung zu Prozess, Periode und Verantwortlichem.

3. Data Analytics und Nutzung künstlicher Intelligenz

Datenanalytik erweitert das Instrumentarium des IKS weit über klassische Schwellenwertlogik hinaus. Nachstehend werden einige konkrete Beispiele für die Nutzung von Data Analytics und KI im Rahmen des IKS gegeben.

Übergang von der Stichproben- zur Vollprüfung: Durch die hohe Verarbeitungsgeschwindigkeit moderner Systeme sind Vollpopulationsprüfungen für kritische Datenbestände, etwa Journal-Entries, Zahlungsdaten, Lagerbewegungen oder Reisekostenabrechnungen, nahezu in Echtzeit möglich. Damit können alle möglichen Fehler erkannt und ggf. korrigiert werden. Somit kann die Qualität des Rechnungswesens und damit auch die des Jahresabschlusses gesteigert werden.

Aufdeckung von Fehlerquellen: Durch Clusteranalysen, Outlier Detection oder Regelverletzungsanalysen, lassen sich in einem ersten Schritt Unregelmäßigkeiten und Fraud-Indikatoren schneller erkennen. Künstliche Intelligenz kann diese Analytik noch vertiefen. Machine-Learning-(ML-)Modelle können aus historischen Daten und bekannten Fehlerbildern erkennen, welche Transaktionen, Buchungskreise oder Geschäftspartner besonders risikobehaftet sind oder welche Transaktionen häufig fehlerbehaftet sind, z. B. aufgrund ihrer Komplexität in der steuerlichen Abbildung, und priorisieren Fehlermeldungen. So kann der Aufwand für die detaillierte Abweichungsanalyse zielgerichtet gesteuert werden. Natural-Language-Processing-Ansätze unterstützen zudem die Auswertung von Richtlinien, Verträgen, E-Mails und anderen Texten und markieren potenziell relevante Sachverhalte oder erstellen Abweichungsanalysen und Reports.

Journal-Entry-Analysen: ML-Modelle bewerten Journalbuchungen anhand von Merkmalen wie Buchungszeitpunkt (z. B. spätabends, an Wochenenden, kurz vor Periodenende), Benutzer, Belegart, Kontenkombination oder manuelles Override von Kontrollen und identifizieren auffällige Buchungen für eine vertiefte Prüfung.

Lieferanten- und Kundenmonitoring: Algorithmen können ungewöhnliche Muster in Zahlungsströmen erkennen, wie z. B. gehäufte Kleinrechnungen knapp unterhalb eines Freigabelimits, auffällige Rabattkonstellationen oder starke Abweichungen vom üblichen Bestellvolumen bei einzelnen Geschäftspartnern.

Spesen- und Reisekostenkontrollen: Mit Hilfe von Data Analytics können Reisekosten- und Bewirtungsbelege nach bestimmten Merkmalen, wie Regionen, Abteilungen, Hierarchiestufen und Zeiträume, untersucht werden. Regelverletzungen (z. B. wiederholte Überschreitung von Limits, auffällige Häufungen bestimmter Kostenarten) können identifiziert und klassifiziert werden. Auf dieser Basis können dann Auswertungen zur Nachverfolgung, z. B. durch die Interne Revision, bereitgestellt werden.

Plausibilitäts- und weitere Analysen für Lager- und Produktionsdaten: Durch die Kombination von Bewegungsdaten, Inventurergebnissen und Produktionskennzahlen können Anomalien identifiziert werden, etwa systematisch negative Bestände, unplausible Ausschussquoten oder Abweichungen zwischen theoretischem und tatsächlichem Materialverbrauch. Ursachen werden analysiert. Somit lässt sich einerseits die Qualität der Rechnungslegung, z. B. der Vorratsbewertung, verbessern. Andererseits lässt sich die Wirtschaftlichkeit der operativen Prozesse optimieren.

Predictive Risk Scoring: KI-Modelle erzeugen dynamische Risikoscores für Gesellschaften, Werke oder Prozessbereiche, die sich aus einer Vielzahl von Indikatoren (Fehlerquoten, Verstöße gegen Limits, Ergebnisvolatilität, Personalfluktuation etc.) speisen. Diese Scores können im Risikobeurteilungsprozess24 als Higher-Level-Kontrollen25 sowie auch als Input für die risikoorientierte Prüfungsplanung von Interner Revision und Wirtschaftsprüfern dienen.

IV. Anpassung des Prüfungsansatzes an ein weitgehend digitales IKS

1. Risikoidentifikation und Verständnis der IT-Umgebung

Die Digitalisierung durchgängiger End-to-End-Prozessketten verschiebt den Prüfungsansatz deutlich stärker in Richtung IT- undprozessintegrierter Kontrollen, datenbasierter Prüfungshandlungen und kontinuierlicher Analysen entlang der Logik des revidierten ISA 315 und der darauf aufbauenden Reaktionen nach ISA 330.

Mit der Digitalisierung werden insbesondere die Komponenten Informationssystem und Kommunikation sowie Kontrollaktivitäten wesentlich durch die eingesetzten IT-Systeme geprägt. Somit muss der Prüfer zunächst im Rahmen der Risikoidentifikation die eingesetzten IT-Systeme identifizieren, in denen die Daten verarbeitet werden, die Eingang in den Jahresabschluss finden und mit deren Hilfe das Management interne Kontrollen durchführt. Durch die Digitalisierung ganzer Prozessketten sind dies nicht mehr allein die klassischen Systeme der Finanzbuchhaltung oder ERP-Systeme. Häufig werden bspw. Kundendaten mit Relevanz für die Rechnungslegung, wie Kundenstamm- und -auftragsdaten, in separaten, über Schnittstellen mit den ERP-Systemen verknüpften Customer-Relationship-Management-(CRM-)Systemen, verwaltet. Dann finden in diesen Systemen auch interne Kontrollen statt. In der Praxis zeigt sich, dass bei Unternehmen mit einem hohen Grad der Digitalisierung die Landkarte prüfungsrelevanter IT-Systeme wesentlich größer ist als bei noch traditionell orientierten Unternehmen.

Nutzt das Unternehmen bspw. RPA-Tools, muss sich der Prüfer auch davon überzeugen, dass diese Tools die im Rahmen der generellen IT-Kontrollen geprüften Anforderungen des “Manage Change”, “Manage Access” und “Manage Operations” vollumfänglich erfüllen. Das gleiche gilt auch, wenn im Unternehmen GRC-Tools zur Durchführung und Dokumentation interner Kontrollen genutzt werden, auf die sich der Prüfer stützen möchte.

Der Logik des ISA [DE] 315 folgend, muss sich der Prüfer also auch wesentlich umfassender und intensiver mit den generellen IT-Kontrollen und den anwendungsspezifischen Kontrollen befassen. Er muss sich damit ein vertieftes Verständnis des konkreten Einsatzes der IT-Systeme und des Zusammenwirkens dieser Systeme erarbeiten.

2. Nutzung von Dienstleistern und Auswirkungen auf die Prüfung des IKS

Unternehmen setzen im Rahmen der Digitalisierung zunehmend auch auf Cloud-Anbieter. Dabei stützen sie sich auf Dienstleister, die in unterschiedlichem Grad Teile der IT-Infrastruktur oder Systeme, aber auch von Prozessen im Auftrag des Unternehmens zur Verfügung stellen. Neben der reinen Bereitstellung des Rechenzentrumsbetriebs kommen insbesondere Anbieter von Software as a Service (SaaS) und Process as a Service (PaaS) zum Einsatz. Diese Dienstleister stellen dem Unternehmen die entsprechenden Kapazitäten im Rahmen von Serviceverträgen zur Verfügung. Damit werden auch generelle IT-Kontrollen und anwendungsspezifische Kontrollen, auf die sich das Unternehmen im Rahmen seines IKS stützt, zum Teil durch den Dienstleister im Rahmen der Servicevereinbarungen erbracht.

Die Verantwortung für die Wirksamkeit der Kontrollen verbleibt in jedem Fall beim Unternehmen. Für den Nachweis der Durchführung der Kontrollen beim Dienstleister werden in den meisten Fällen durch den Dienstleister Wirtschaftsprüfer mit der Durchführung von Prüfungen beauftragt, durch die die Angemessenheit und Wirksamkeit der durchgeführten Kontrollen bestätigt werden soll. Dazu führt der Prüfer Prüfungen nach IDW PS 951 oder – häufiger anzutreffen – nach ISAE 3402 bzw. SOC 2 durch.26

Als Ergebnis dieser Prüfungen erstellt der Prüfer einen Bericht, in dem er zur Wirksamkeit der dem Bericht als Anlage beigefügten Beschreibung des IKS für die erbrachten Dienstleitungen Stellung nimmt. Stellt der Prüfer Abweichungen fest, die aber insgesamt nicht wesentlich sind, werden diese Abweichungen dargestellt. Soweit solche Abweichungen vorliegen, muss das Unternehmen als Kunde des Dienstleisters prüfen, wie ggf. durch eigene Kontrollen auf diese Abweichungen zu reagieren ist.

Im Rahmen der Jahresabschlussprüfung wird der Wirtschaftsprüfer untersuchen, ob das Unternehmen entsprechende Prüfberichte vom Dienstleister eingeholt hat und diese im Rahmen der eigenen Verantwortung für das IKS des Unternehmens verwertet hat.

3. Vermehrte Nutzung automatisierter Kontrollen

Werden im Unternehmen in größerem Umfang automatische Kontrollen eingesetzt, kann der Prüfer dies nutzen, um den Umfang der zu prüfenden Stichproben zu verringern. Automatisierte IT-Kontrollen bieten den Vorteil, dass sie – einmal implementiert – kontinuierlich nach der gleichen Logik ablaufen. Damit ist das Risiko, durch menschliche Fehler die Wirksamkeit der Kontrollen zu verringern, weitgehend ausgeschlossen.27 Voraussetzung ist auch hier, dass die Prüfung der generellen IT-Kontrollen nicht zu wesentlichen Feststellungen geführt hat, die möglicherweise die Wirksamkeit der automatisierten IT-Kontrollen einschränken.

4. Schnittstellen

Unternehmen mit einem hohen Grad der Digitalisierung weisen i. d. R. eine komplexere IT-Landschaft auf. Damit müssen Unternehmen auch die zunehmende Komplexität der Schnittstellen durch entsprechende interne Kontrollen adressieren, durch die sichergestellt wird, dass die Daten vollständig und richtig zwischen den Systemen übertragen werden. Der Abschlussprüfer muss sich von der Angemessenheit und Wirksamkeit der Kontrollen überzeugen.

5. Einsatz von KI mit Rechnungslegungsrelevanz durch die Unternehmen

Einer aktuellen Studie zufolge setzen heute bereits 53 % der befragten Unternehmen KI im Rechnungswesen ein oder planen den Einsatz von KI.28 Damit rückt die Prüfung entsprechender Systeme in den Fokus der Abschlussprüfung. Grundsätzlich stellen sich dabei die gleichen Anforderungen wie an die Nutzung anderer Systeme hinsichtlich der generellen und anwendungsspezifischen IT-Kontrollen. Aufgrund der innewohnenden Besonderheiten der KI-Systeme muss der Abschlussprüfer auf diese reagieren. Generell ist in den Unternehmen eine KI-Governance in Anlehnung an die allgemeinen Governance-Grundsätze aufzubauen.29 Dabei müssen insbesondere Themen wie

• systemischer Bias,
• statistischer Bias,
• menschlicher Bias,
• Genauigkeit,
• Erklärbarkeit und
• Verlässlichkeit

durch interne Kontrollen adressiert werden.

6. Fraud-Risiken

Durch die Digitalisierung ergibt sich auch eine Veränderung in den Fraud-Risiken. Auch hier tritt die Manipulation von Berechtigungen, Schnittstellen sowie Parametrisierungen in den Vordergrund. Auf diese muss der Prüfer gem. ISA [DE] 315 und ISA [DE] 240 angemessen reagieren.

7. Einsatz digitaler Tools

Mit der Digitalisierung liegen dem Prüfer über die bereits seit langem genutzten elektronischen Daten zu Sach- und Personenkonten etc. hinaus Daten und Informationen zunehmend in elektronischer Form vor, wodurch der Prüfer auch seinerseits zunehmend digitale Prüfungstools nutzen kann. So nutzt bspw. PwC ein Tool, um SAP-Systeme umfassend zu analysieren.30

Darüber hinaus werden auch bereits Process Mining Tools eingesetzt, um Prozesse und interne Kontrollen zu identifizieren und zu analysieren. Für das Journal Entry Testing können durch Big Data Analytics Outlier festgestellt und untersucht werden.

8. Generelle Auswirkungen auf die Abschlussprüfung und die Abschlussprüfer

Die Dokumentation des Prüfungsansatzes muss der erhöhten Komplexität des digitalen IKS insbesondere durch die Darstellung der IT-Landschaft, von Datenströmen, Schnittstellen und automatisierten Kontrollen Rechnung tragen. Der Mix der Prüfungshandlungen wird sich stärker in Richtung der Funktionsprüfung automatisierter Kontrollen und der Prüfung der IT-Governance als Teil des Kontrollumfelds verschieben.

Das macht den zunehmenden Einsatz spezialisierter Prüfer erforderlich, aber auch eine verbesserte IT-spezifische Ausbildung aller Prüfer.

Insgesamt kann die Digitalisierung der Abschlussprüfung auf der Basis eines digitalisierten IKS die Qualität und Effizienz der Abschlussprüfung steigern, wenn der Abschlussprüfer seinen Prüfungsansatz in Anwendung der ISA konsequent anpasst.

V. Zusammenfassung

 

1. Das Interne Kontrollsystem eines Unternehmens kann mittels Technologien wie Robotic Process Automation oder Big Data Analytics digitalisiert werden. Diese Instrumente können genutzt werden, um Kontrollen zu automatisieren, von Stichprobenkontrollen zur vollständigen Analyse von Transaktionen überzugehen oder durch die Nutzung von KI vertiefte Analysen von Datenbeständen und Transaktionen vorzunehmen.
2. Der Abschlussprüfer muss seinen Prüfungsansatz anpassen, um diesen Veränderungen gerecht zu werden. Dazu muss er vor allem die Prüfung der generellen IT-Kontrollen vertiefen, automatisierte Kontrollen und die Nutzung von Dienstleistern ebenso in den Fokus rücken wie die Prüfung der Schnittstellen zwischen den relevanten IT-Systemen und neuer Aspekte der IT-Governance, namentlich der KI-Governance.

---