Ablösung bisheriger Prüfungsstandards
Im Zuge der fortschreitenden Digitalisierung haben IT-Systeme eine immer höhere Bedeutung für die Buchführung und die Erstellung von Jahresabschlüssen in Unternehmen. Folgen davon sind u.a. die Anpassung von Prüfungsstrategien für die Abschlussprüfung sowie der Einsatz von Tools zur Erhöhung von Prüfungssicherheit und -effizienz.
Wie bereits in den PKF-Nachrichten 2/2023 ausgeführt, lösen die International Standards of Auditing (ISA) sukzessive die IDW Prüfungsstandards (IDW PS) ab. Bezüglich der IT-Prüfung ersetzt nun ISA DE 315 den IDW PS 330. Hiermit ist eine deutliche Verschärfung des Prüfungsumfangs und der -intensität verbunden.
Im Folgenden werden die Grundzüge des ISA DE 315 dargestellt. Die Verlautbarung gilt erstmals für die Prüfung von Abschlüssen des Geschäftsjahres 2023.
Die Durchführung der IT-Prüfung
Grundsätzliche Vorgehensweise
Für eine effiziente Prüfungsdurchführung ist es eine grundsätzliche Voraussetzung, dass die Kontrollen bzgl. der IT-Systeme funktionieren und keine wesentlichen falschen Darstellungen generiert werden können. Infolgedessen muss sich der Wirtschaftsprüfer einen Überblick über die rechnungslegungsrelevante IT-Systemlandschaft verschaffen. Dabei werden sowohl das inhärente Risiko als auch das Kontrollrisiko betrachtet. Analog zur bisherigen Vorgehensweise geht es um eine Verständnisgewinnung über das Unternehmen und dessen Umfeld sowie die Identifizierung und Bewertung von Risiken.
Im Rahmen der einzusetzenden Methodik lassen sich mit
- der Verständnisgewinnung,
- der Aufbauprüfung,
- der Funktionsprüfung und
- der Ableitung der substanziellen Prüfungshandlungen vier Schritte unterscheiden.
Verständnisgewinnung
Zunächst hat sich der Prüfer ein Verständnis des Geschäftsmodells zu verschaffen und überblicksartig das IT-System sowie die Komplexität der IT-Umgebung des zu prüfenden Unternehmens zu analysieren. Dabei sind die gesamte IT-Umgebung und der Informationsverarbeitungsprozess aufzunehmen, um beurteilen zu können, welche Systeme und Prozesse für die Rechnungslegung relevant sind. Dabei wird z.B. betrachtet, ob Dienstleister relevante Aufgaben in der IT übernehmen und Systeme ausgelagert sind.
Hinweis: Abhängig von der Relevanz kann die Tiefe des nötigen IT-Verständnisses festgelegt werden. Nur relevante Prozesse und Systeme werden dann in die weitere Betrachtung einbezogen.
Aufbauprüfung
Im nächsten Schritt wird ein Überblick über die relevanten Kontrollaktivitäten geschaffen, indem Kontrollen identifiziert werden, die den Risiken wesentlich falscher Darstellungen entgegenwirken. Dabei genügt es zunächst, im Rahmen einer Aufbauprüfung jede identifizierte Kontrolle auf Angemessenheit zu prüfen.
Funktionsprüfung
Ob für die in diesem Zusammenhang identifizierten Kontrollen auch Funktionsprüfungen durchzuführen sind, hängt von der Einschätzung des jeweiligen Kontrollrisikos ab. Wenn Informationsverarbeitungskontrollen von generellen IT-Kontrollen abhängen, kann der Abschlussprüfer entscheiden, ob er
- (1) die Wirksamkeit der generellen IT-Kontrollen im Rahmen von Funktionstests prüfen möchte oder
- (2) auf substanzielle Prüfungshandlungen ausweicht (siehe Abschn. „Substanzielle Prüfungshandlungen“).
In dem Fall (1), dass IT-basierte Prozesskontrollen bzgl. der Anwendungen im Rahmen von Funktionstest durch den Wirtschaftsprüfer notwendig werden, ergeben sich zwei Hauptbereiche für das IT-Audit nach der Verständnisgewinnung:
(1a) Die Prüfung von allgemeinen IT-Kontrollen betrifft den Einsatz von Programmänderungsverfahren bei IT-Anwendungen sowie die IT-Sicherheit (z.B. Berechtigungsvergaben); dies wird um generelle Prozesse (wie z.B. Backup-Management) ergänzt. Als Kategorien typischer Kontrollaktivitäten nennt der Standard ISA DE 315:
- Berechtigungen zur tatsächlichen Durchführung einer Transaktion und Genehmigungen von für eine Transaktion Verantwortlichen;
- Abstimmhandlungen von Daten;
- Verifizierungen der Übereinstimmung eines Sachverhalts bzgl. einzuhaltender Vorgaben;
- physische oder logische Kontrollen, einschließlich solcher, die die Sicherheit von Vermögenswerten vor unberechtigtem Zugriff, Erwerb, Verwendung oder Entsorgung betreffen (Zutritt und Zugriff auf Vermögensgegenstände und Daten);
- Funktionstrennungen zwischen zwei zu trennenden betrieblichen Funktionen zur Risikoreduzierung.
(1b) Bei der Prüfung von IT-basierten Prozesskontrollen bzgl. der Anwendungen analysiert der Wirtschaftsprüfer gezielt die im ERP-System (und den vorgelagerten oder den Subsystemen) implementierten IT-basierten Prozesskontrollen.
Substanzielle Prüfungshandlungen
Wenn im Fall (2) die Wirksamkeit der generellen IT-Kontrollen (ggf. unmittelbar) durch Funktionstests geprüft werden kann, sind die Risiken aus der IT-Anwendung durch substanzielle Prüfungshandlungen zu prüfen.
Hinweis: Allerdings lassen sich nicht immer mit diesen Prüfungshandlungen ausreichend geeignete Prüfungsnachweise erzeugen, insbesondere dann nicht, wenn Risiken aus dem Bereich der IT betroffen sind.
Notwendige Dokumente
Im Rahmen der Vorbereitung einer solchermaßen neu justierten IT-Prüfung im Rahmen der Jahresabschlussprüfung sollten Mandanten sich darauf einstellen, dass der Prüfer bezüglich folgender Sachverhalte bzw. Unterlagen frühzeitig anfragt:
- IT-Übersichtsliste / IT-Landkarte;
- Berichterstattungen über ausgelagerte IT-Kontrollen;
- Zeitplan für die IT-Verständnisgewinnung inkl. der weiteren nötigen Betrachtungen.
Hinweis: Ferner wird der Jahresabschlussprüfer auch bzgl. Cyber-Vorfällen und anderer Verstöße gegen Rechtsvorschriften nachfragen, die Auswirkungen auf den Abschluss der Einheit haben können (z.B. Datenschutzgesetze).
Fazit: Im Unterschied zum abgelösten IDW PS 330 folgt beim ISA DE 315 der Umfang der Durchführung der IT-Prüfung allein dem Risikogedanken. Nur Systeme, die relevant für die Abschlussprüfung sind und ein Risiko aus der Anwendung von IT darstellen und zu wesentlichen falschen Darstellungen in der Rechnungslegung führen können, unterliegen der Aufbau- und ggf. der Funktionsprüfung.