Digital GRC: IT-Audits und Datenanalysen als integraler Bestandteil der Abschlussprüfung

veröffentlicht am 21. Oktober 2021

Dass sich die Wirtschaftsprüfung dem zunehmenden digitalen Wandel nicht entziehen kann, wurde bereits in zahlreichen Beiträgen in den letzten Jahren thematisiert. Nun hat sich der Druck auf die Branche in zweifacher Hinsicht erhöht, es ergeben sich jedoch auch enorme Chancen.​

Die International Standards on Auditing (ISA) des IAASB¹ sind für Geschäftsjahre, die ab dem 15. Dezember 2021 beginnen, auch in Deutschland verpflichtend anzuwenden. Ebenfalls mit Wirkung zum 15. Dezember 2021 wird der grundlegend überarbeitete ISA 315 eingeführt. Der Standard stellt das Pendant zum deutschen IDW PS 261 n.F. dar und gilt als sog. Backbone des risikoorientierten Prüfungsansatzes.

In seiner Begründung zur Novellierung des ISA 315 führt der IAASB folgende Gründe auf:

• die fortschreitende Digitalisierung ändert den Prüfungsgegenstand;
• Prüfungsnachweise (audit evidence) werden zunehmend aus den IT-Systemen der zu prüfenden Einheiten gewonnen;
• neue „automated tools and techniques” (im Folgenden: „ATT”) werden von Wirtschaftsprüfungsgesellschaften eingesetzt;
• bisher wurden diese Themen nicht hinreichend in den ISA behandelt.

Digitale Geschäftsmodelle wie der Online-Handel oder Software-as-a-Service gründen auf einer digitalen Geschäftsumgebung. Dabei werden Geschäftsvorfälle regelmäßig digital erfasst und abgewickelt. Dies gilt auch für klassische Geschäftsmodelle, in denen die Unternehmen zunehmend auf prozessorientierte und funktionsstarke ERP Systeme setzen. Sowohl die Qualität, Quantität als auch die Verfügbarkeit entscheidungsrelevanter Daten werden erhöht.

Typischerweise wird durch ERP Systeme ein hohes Volumen gleichartiger Vorgänge IT-gestützt verarbeitet (Massentransaktionen). Dabei werden die Einzeltransaktionen aus den Nebenbüchern über eine automatische Kontenfindung in das Hauptbuch übernommen. Abschreibungsläufe und die Bewertung der Vorräte erfolgen automatisiert durch die IT-Systeme auf Basis der dort getroffenen Einstellungen (Parametrisierung). Der Anteil an Geschäftsvorfällen, welche ausschließlich in elektronischer Form ausgelöst, aufgezeichnet, verarbeitet werden oder darüber berichtet wird, wächst. Auch sind Prüfungsnachweise oft nur noch in elektronischer Form vorhanden (elektronische Rechnungen, digitalisierte Belege).

Gemäß ISA 315 (revised 2019) liefern in den o.g. Fällen sog. substanzielle Prüfungshandlungen² alleine keine hinreichende Prüfungssicherheit mehr (sog. RSPA: Risks of material misstatement for which substantive procedures alone cannot provide sufficient appropriate audit evidence).

Entsprechend betont der Standard die Notwendigkeit, ein besseres Verständnis über die Informationstechnologie in der zu prüfenden Einheit zu gewinnen. Durch die Konkretisierung von RSPA und dem Wegfall der Möglichkeit rein substanziell zu prüfen, stellt die Prüfung des Internen Kontrollsystems (IKS) die zulässige Alternative dar. Der neue ISA unterscheidet dabei IT-gestützte und automatische Kontrollen, die gegenüber manuellen Kontrollen in modernen Unternehmen deutlich an Bedeutung gewonnen haben. Die Integrität der Daten und die Verlässlichkeit der Systeme, aus denen Prüfungsnachweise generiert werden, stehen ebenfalls im Fokus.

Neben der Standardänderung hat sich auch das Haftungsrisiko für den Prüfer erhöht. Damit soll nach der Gesetzesbegründung ein weiterer Anreiz zur sorgfältigen Prüfung gesetzt werden. Das am 20. Mai 2021 im Bundestag verabschiedete Gesetz zur Stärkung der Finanzmarktintegrität (kurz „FISG”) trat mit Wirkung zum 01. Juli 2021 in Kraft und sieht eine Verschärfung der zivilrechtlichen Haftung des Abschlussprüfers vor. Demnach erhöhen sich im Falle grober Fahrlässigkeit die Haftungshöchstgrenzen bei allen gesetzlichen Abschlussprüfungen auf 12 Mio. Euro. Bei Vorsatz ist die Haftung unbegrenzt. Bei der Prüfung von kapitalmarktorientierten Unternehmen (sog. PIE³) ist die Haftung des Abschlussprüfers bereits bei Vorliegen grober Fahrlässigkeit unbegrenzt.

Als grobe Fahrlässigkeit gilt, wenn der Abschlussprüfer „die verkehrsübliche Sorgfalt in besonders schweren Maße außer Acht lässt und das nicht beachtet, was sich im gegebenen Fall jedem aufgedrängt hätte” (FISG, Begründung zu § 323 HGB).

Es ist davon auszugehen, dass eine fehlende Berücksichtigung der Informationstechnologie bei der zu prüfenden Einheit bei Vorliegen von RSPA im Schadensfall als Verstoß gegen die Grundsätze ordnungsmäßiger Abschlussprüfung (GoA) und damit bereits als grobe Fahrlässigkeit gewertet werden kann.

Nicht nur wegen der stringenten Vorgaben des neuen ISA 315 (revised 2019) sowie der verschärften Sanktionierung durch das FISG sind IT-bezogene Prüfungshandlungen und Datenanalysen integraler Bestandteil der Abschlussprüfung. Dies bestätigt auch eine aktuelle Befragung von Wirtschaftsprüfern und Wirtschaftsprüfungsgesellschaften durch Lünendonk. Demnach rechnen 76 Prozent der befragten Wirtschaftsprüfer mit starker bis sehr starker Umsatzsteigerung im Bereich IT-Prüfung in den nächsten zwei bis drei Jahren.

Auch wenn der neue ISA 315 von vielen Berufskollegen zunächst als zusätzliche Erschwernis bei der Durchführung von Jahresabschlussprüfungen empfunden wird, eröffnet er bei näherer Betrachtung, insbesondere durch die Konkretisierung der Anwendungsfelder moderner Datenanalyse-Technologien enorme Chancen.

Auch die Art und Weise, wie IT-Audits bzw. IT-bezogene Prüfungshandlungen durchgeführt werden, wurde modernisiert und stärker auf die Abschlussprüfung ausgerichtet, was unter dem Gesichtspunkt des zusätzlichen Beitrags zur Prüfungssicherheit zu begrüßen ist. So sind IT-bezogene Prüfungshandlungen gemäß ISA 315 (revised 2019) prozessorientiert und in die IKS-Prüfung integriert. Die aus den IT-basierten Prüfungshandlungen gewonnenen Erkenntnisse führen über die IT-gestützten Geschäftsprozesse auch bereits zu Prüfungssicherheit in Prüffeldern sowie auf Aussageebene.

Der Standard zeigt konkrete Möglichkeiten auf, wie durch den systematischen Einsatz von ATT manuelle Prüfungshandlungen zum Teil in erheblichem Umfang reduziert oder sogar ersetzt werden können. Dies erhöht neben der Effektivität durch die vollumfängliche Berücksichtigung von Grundgesamtheiten an Stelle von Stichproben auch die Effizienz. So ist es z. B. möglich, das „stets bedeutsame” Risiko wesentlicher falscher Angaben in der Umsatzrealisierung im Rahmen der Risikoanalyse anders zu werten. Darüber hinaus kann in Prüffeldern wie dem Anlagevermögen eine hinreichende Prüfungssicherheit bereits weitgehend ohne menschliches Zutun erreicht werden. Auch für IT-bezogenen Prüfungshandlungen sind ATT unter Effizienzgesichtspunkten das Instrument der Wahl.

Zusätzlich gewährt die Nutzung von ATT umfassende Einblicke in transaktionsbezogene Daten und Prozesse und schafft damit neue Beratungsfelder für den Prüfer. So ist bspw. davon auszugehen, dass die zu prüfende Einheit die als Nebenprodukt der in der Jahresabschlussprüfung anfallenden Hinweise für eine Prozessverbesserung nicht nur bereit ist zu honorieren, sondern in Zukunft erwarten wird.

Fazit und Ausblick

Unternehmen setzen zunehmend auf integrierte ERP Systeme, die eine Flut von Daten generieren, verarbeiten und speichern. Die Daten sind dabei grundsätzlich verfügbar, für die Abschlussprüfung relevant und ermöglichen eine End-to-End Prozessbetrachtung der zu prüfenden Einheit. Auch als Reaktion auf diesen Trend schreibt der ISA 315 eine Prozess- und IKS-orientierte Prüfung vor.

Schon heute ist absehbar, dass das FISG und die damit verbundene neue Haftungssituation sowie der überarbeitete und modernisierte IT-Audit Ansatz zu einer stärkeren Integration unter Berücksichtigung der Informationstechnologie in der Abschlussprüfung führen werden.

Besondere Chancen ergeben sich im Rahmen des neuen ISA 315 durch die Konkretisierung und damit auch der Legitimation der Anwendungsfelder von ATT. Durch den Einsatz moderner Analysewerkzeuge erlangt der Prüfer wertvolle Einblicke in das Unternehmen, die weit über die Finanzbuchhaltung hinaus gehen. Durch den breiten Analyseansatz wird daher nicht nur das Verständnis über die zu prüfende Einheit sowie deren Umfeld erhöht, sondern insbesondere auch die Geschäftsprozesse integrativ erfasst. Damit nähert sich der Abschlussprüfer dem prüfungstechnischen Ideal, die Prüfung transaktionsbasiert und auf vollständig erfassten Daten basierend auszurichten.

Die tiefen Einblicke durch die Verarbeitung transaktionaler Daten mittels ATT ermöglichen Optimierungspotenziale zu identifizieren. Die Jahresabschlussprüfung kann als klaren Mehrwert Hinweise auf mögliche Prozess- und Systemverbesserungen liefern; dieser Mehrwert wird von den Mandanten honoriert und künftig immer öfter auch erwartet. Der moderne Wirtschaftsprüfer versteht sich als Daten- und Prozessexperte mit dem zusätzlichen Knowhow der Rechnungslegung bzw. Prüfung. Rödl und Partner hat diesen Trend schon früh erkannt und stellt sich der Herausforderung des schnellen Wandels durch die Digitalisierung. Durch die Etablierung des Rödl-internen Audit Tech Universe bietet Rödl und Partner seinen Mandanten bereits heute innovative Daten- und Prozesslösungen an, die sowohl in der Prüfung als auch in der Beratung Mehrwerte schaffen. 

Kontaktieren Sie uns gerne, wenn Sie noch offene Fragen zum Thema haben.

_____________________________________________________________________________________________________________________
¹ IAASB: International Auditing and Assurance Standards Board

² Unter substanziellen oder auch aussagebezogenen Prüfungshandlungen werden Einzelfallprüfungen wie das Nachrechnen oder Nachvollziehen verstanden, welche regelmäßig in Stichproben durchgeführt werden.

³ Unter Public Interest Entity (PIE) werden Unternehmen von „öffentlichem Interesse” verstanden. Dies sind insbesondere kapitalmarktorientierte Unternehmen gemäß § 264d HGB.