02.10.2024
|
Continuous AuditingEin Ansatz zur zeitnahen und kontinuierlichen Prüfungvon Stefan Groß und Andreas Vogl
Stefan Groß, Steuerberater und Certified Informations Systems Auditor (CISA) ist Partner von Peters Schönberger & Partner GbR, einer Kanzlei von Steuerberatern, Wirtschaftsprüfern und Andreas Vogl, 1. EinführungInsbesondere kapitalmarktorientierte Unternehmen sehen sich einer Situation ausgesetzt, in welcher verschiedene Adressaten immer kurzfristiger Jahresabschlussinformationen über das Unternehmen einfordern. Der Wunsch der Investoren nach zeitnahen Informationen wächst ständig und die zur Verfügung stehende Zeit zwischen Bilanzstichtag und der Fertigstellung des Jahresabschlusses nimmt stetig ab. Fast Close steht dabei für eine Beschleunigung der Jahresabschlusserstellung und soll dem zunehmenden Wunsch von Jahresabschlussadressaten nach der Veröffentlichung von Informationen kurz nach Periodenende Rechnung tragen. Für den Abschlussprüfer, der am Ende dieses zeitkritischen Prozesses steht, erwachsen Anforderungen, die eine weitere Vorverlagerung seiner Prüfungshandlungen zwingend erforderlich machen. Neben den Anforderungen an eine zeitnahe Abschlussprüfung,
verlangt insbesondere die Beurteilung von Risikomanagementsystemen eine
kontinuierliche Überwachung der relevanten Prozesse. Der Regelfall ist jedoch meist
eine rein stichtagsbezogene Betrachtungsweise. Eine kontinuierliche und damit auch
zeitnahe Überprüfung scheitert bislang meist am Vorhandensein ganzjähriger
Prüfungsmethoden und Werkzeuge. Dabei existieren durchaus Alternativen, mit
welchen der wachsenden Dynamik in der Unternehmensumwelt und dem steigenden
Bedürfnis nach aktuellen Informationen begegnet werden kann. Ein Ansatz, mit welchem dem zunehmenden Zeitdruck, aber auch der Forderung kontinuierlicher Prüfungshandlungen Rechnung getragen werden soll, nennt sich Continuous Auditing (CA) und findet in den USA bereits in Teilen Anwendung. CA soll dem wachsenden Bedarf nach systemorientierten und kontinuierlichen Prüfungshandlungen bei gleichzeitig voranschreitender IT-Unterstützung der Unternehmensprozesse Rechnung tragen. Der folgende Beitrag untersucht, inwieweit CA eine sinnvolle und praktikable Möglichkeit der zeitnahen Prüfung darstellt, ob dadurch bestehenden Informationsdefiziten begegnet werden kann und welche Voraussetzungen an eine mögliche Umsetzung dieses Ansatzes in der Praxis geknüpft sind. 2. Continuous Auditing Der AnsatzDie Jahresabschlussprüfung stellt sich im Regelfall überwiegend als vergangenheitsorientierte Stichtagsbetrachtung dar. Ganz anders der CA-Ansatz. Nach der vom American Institute of Certified Public Accountants (AICPA) und dem Canadian Institute of Chartered Accountants (CICA) gemeinsam veröffentlichten Definition versteht sich CA als ... a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. .... CA lässt sich mithin als Prüfungsmethode beschreiben, mit der vordefinierte Bereiche oder Geschäftsvorfälle simultan oder zumindest sehr zeitnah überwacht und geprüft werden können. Auf diese Weise soll dem Erfordernis nach aktuellen, zeitnahen und über das gesamte Jahr verlässlichen Informationen Rechnung getragen werden. Kogan, Sudit und Vasarhelyi sprechen insoweit auch von instant auditing, weshalb CA insoweit auch als eine Art Monitor verstanden werden kann, der die Daten des Finanzbuchhaltungs- bzw. ERP-Systems (Enterprise Ressource Planning) des zu prüfenden Unternehmens nach vorher festgelegten Kriterien durchleuchtet, mit kritischen Größen abgleicht und den Abschlussprüfer bei Eintreten bestimmter vordefinierter Ereignisse automatisch benachrichtigt. 3. Notwendigkeit neuer Wege in der AbschlussprüfungDie Entwicklung im Bereich
der modernen Informationstechnologie schreitet unverändert voran. Daten der
Finanzbuchhaltung werden heute meist über mehrere Teilprozesse in komplexen, hochintegrierten ERP-Systemen erzeugt und finden über Vor-
und Nebensysteme letztlich Eingang in die Bilanz und Gewinn- und
Verlustrechnung. Im Rahmen von Jahresabschlussprüfungen wird der
Abschlussprüfer heute mit einer Vielzahl von Belegen in Form von Hardcopies
konfrontiert, die häufig aus diversen, EDV-basierten Unternehmensprozessen und
zugleich einer Masse an Daten hervorgehen, die von einer hohen Dynamik geprägt
sind. Betrachtet man beispielsweise ein typisches SAP R/3-System, so findet
häufig über verschiedenste Module und interne Verarbeitungsprozesse eine
Aufbereitung rechnungslegungsrelevanter Informationen statt, deren Ergebnisse
dann meist in Papierform im Rahmen der Jahresabschlussprüfung vorgelegt werden.
Der reine Ausdruck sagt jedoch nur eingeschränkt etwas über die Qualität,
Richtigkeit und Vollständigkeit der dahinter stehenden Prozesse und der
verarbeiteten und produzierten Informationen aus. Dazu stellen die Verhältnisse
am Abschlussstichtag lediglich eine zeitpunktbezogene Momentaufnahme dar,
welche Aussagen über die unterjährige Richtigkeit und Vollständigkeit der
datenerzeugenden und verarbeitenden Prozesse nur eingeschränkt zulässt.
Informationen über unregelmäßige Sachverhalte, welche einen negativen Einfluss
auf die Vermögens-, Finanz- und Ertragslage ausüben, gehen so mangels
Transparenz häufig in den zum Stichtag aggregierten Daten unter. Alleine die
Tatsache, dass die Ausgabe digitaler Daten durch gezielte Eingriffe in die
DV-Prozesse nahezu beliebig manipuliert werden kann und sich auf diese Weise ein
verzerrtes Erscheinungsbild der prüfungsrelevanten Daten zum Abschlussstichtag
herbeiführen lässt, macht deutlich, dass nur eine anhaltende Überwachung der
betroffenen Systeme und Prozesse für Abhilfe sorgen kann. Im Rahmen der Prüfung des internen Kontrollsystems (IKS) muss der Abschlussprüfer die Kontrollaktivitäten des Unternehmens dahingehend beurteilen, ob sie geeignet sind, wesentliche Fehler in der Rechnungslegung zu verhindern bzw. aufzudecken und zu korrigieren. Besondere Bedeutung kommt dabei der Anwendung von EDV-Programmen zur Kontrolle der Richtigkeit, Vollständigkeit und Genehmigung von Vorgängen zu. Prüfungsgegenstand bilden insoweit Instrumentarien und Mechanismen zur Überwachung existenzgefährdender Entwicklungen. Soweit die Unternehmensleitung geeignete Maßnahmen vorgesehen hat, sind diese nach den allgemeinen Grundsätzen einer Systemprüfung in Stichproben auf ihre Wirksamkeit zu untersuchen, wobei sich die Durchführung von Systemprüfungen insbesondere auch darauf zu erstrecken hat, ... ob das auf die Rechnungslegung bezogene IKS während des zu prüfenden Geschäftsjahres kontinuierlich bestanden hat und wirksam war. Dies entspricht auch der eigentlichen Zielsetzung des Risikomanagementsystems als Teilbereich des IKS wonach sämtliche Unternehmensbereiche, in denen wesentliche Risiken entstehen können, laufend zu überwachen sind. Insoweit fordert ein kontinuierlicher Prozess auch eine kontinuierliche Überprüfung. Der Regelfall ist jedoch meist eine rein stichtagsbezogene Betrachtungsweise. Eine kontinuierliche Überprüfung scheitert meist am Vorhandensein adäquater Tools. Es wird deutlich, dass der Abschlussprüfer Werkzeuge benötigt, die ihm
eine adäquate Prüfung unter den veränderten Umweltbedingungen ermöglichen.
Davon betroffen sind sowohl die Prozesse im Unternehmen selbst, als auch deren
kontinuierliche Anwendung. Dabei muss dazu übergegangen werden, Applikationen nicht
nur als Prüfungsgegenstand zu sehen, sondern diese, entsprechend dem Selbstverständnis
von CA auch dem Prüfungsinstrumentarium zuzuordnen. Nur so erlangt der
Abschlussprüfer hinreichende Sicherheit bei der Prüfung EDV-basierter Geschäftsvorfälle
in einer sich ständig fortentwickelnden Unternehmens-IT, welche zusätzlich
durch eine mangelnde Aktualität der prüfungsrelevanten Daten gekennzeichnet
ist. Die Entwicklung der Unternehmens-EDV, die Verfügbarkeit
von neuen Techniken und die Digitalisierung von Geschäftsvorfällen fordern letztlich
auch Prüfungswerkzeuge, welche diesen Entwicklungen gerecht werden; CA ist ein
Ansatz in diese Richtung. 4. Vorteile von CAEntscheidende Änderungen der das Prüfurteil wesentlich beeinflussenden Faktoren können die gewonnenen Erkenntnisse innerhalb kürzester Zeit hinfällig werden lassen. Daher ist es für den Abschlussprüfer bei automatisierten und integrierten Geschäftsprozessen zur Erlangung eines vertrauenswürdigen Urteils durchaus wichtig, wie viel Zeit zwischen dem zu beurteilenden Sachverhalt und dessen Untersuchung, Beobachtung und Prüfung vergeht. Gerade hier kommen die Vorteile des CA-Ansatzes zum Tragen, denn durch CA werden die rechnungslegungsrelevanten Datenbestände wie gefordert nicht nur zu einem Zeitpunkt im Jahr überprüft, sondern mittels anhaltender Tests und Kontrollen kontinuierlich oder zumindest zeitnah überwacht. Fest hinterlegte Prüfungsalgorithmen innerhalb einer CA-Installation sind in der Lage, auf Anfrage eine Real-Time-Abbildung wichtiger Unternehmensindikatoren, so genannter KPIs (Key Performance Indikators) auszugeben. Insoweit sind die im Rahmen von CA gewonnene Erkenntnisse durchaus geeignet, kritische Prüffelder frühzeitig zu bestimmen, eine Prüfungsstrategie zu entwickeln und diese in individuelle Prüfungsprogramme zu transformieren. CA ermöglicht so die gezielte Vorverlagerung von Prüfungshandlungen, reduziert damit die Anzahl aussagebezogener Prüfungshandlungen während der Hauptprüfung auf ein notwendiges Minimum und trägt so dem Eingangs geschilderten Fast Close Anspruch Rechnung. Daneben bietet sich eine entsprechende ITUnterstützung auch an, um wiederkehrende Arbeiten durch integrierte Softwarelösungen zu automatisieren, was zu einer Verminderung kostenintensiver Ressourcen-Bindung auf Prüferseite und damit zu mehr Effizienz beiträgt. Insoweit kann das Konzept des CA zur Entspannung des Zeit- und Kostendrucks auf Seiten der Abschlussprüfung beitragen. Aber auch den geprüften Unternehmen und Investoren bietet CA einen entscheidenden Mehrwert, insoweit als die kontinuierliche Überwachung kritischer Prozesse bei Erkennen bestandsgefährdender Tatsachen ein frühzeitiges Gegensteuern ermöglicht. Die Nachbetrachtung im Rahmen einer konventionellen Abschlussprüfung kann insoweit durch ein aktives Monitoring ersetzt werden. Verbesserungspotenzial lässt sich über das gesamte Jahr aufzeigen und verleiht der Jahresabschlussprüfung einen proaktiven Charakter. CA bietet so gerade denjenigen Interessengruppen einen Zusatznutzen, welche die publizierten Unternehmensdaten zu Entscheidungszwecken heranziehen. Diesen Jahresabschlussadressaten kann über den Einsatz von CA ein positives Signal übermittelt werden. 5. CA in der UmsetzungDie kurzfristige Einführung von CA scheitert meist daran, dass zunächst diverse rechnungslegungsrelevante Daten möglichst automatisiert zur kontinuierlichen Prüfung digital aufbereitet und zur Verfügung gestellt werden müssen. Zur Bereitstellung von Echtzeitdaten in dieser Form ist die Vielzahl der zu prüfenden Unternehmen ad hoc allerdings kaum in der Lage. Der Anspruch an zeitnahe Informationen fordert hoch automatisierte Prozesse, welche manuelle Eingriffe auf ein notwendiges Minimum beschränken. Die Implementierung von CA-Techniken wird sich in der praktischen Umsetzung deshalb vielmehr als mehrstufiger Prozess gestalten, an dessen Ende erst eine voll funktionsfähige CAApplikation stehen kann. Denkbar wäre insoweit ein schrittweises Vorgehen dergestalt, dass in der Einführungsphase das Arbeitsaufkommen zwischen dem Ende des Wirtschaftsjahres und dem fertigen Prüfungsbericht mittels Einsatz von CA reduziert wird und insoweit auch dem Fast Close Gedanken Rechnung getragen wird. In einem weiteren Schritt kann diese Technik dann auf Quartals- oder Monatsberichte ausgedehnt werden, bevor - letztlich in der finalen Anwendung - CA eine kontinuierliche Erstellung eines Berichtswesens auf Bedarf ermöglichen kann. Weiter lässt sich die Häufigkeit, mit welcher hinterlegte Prüfungsalgorithmen aufgerufen werden, ebenso stufenweise ausgestalten. Denkbar ist dabei ein zufallsgesteuertes Anstoßen von Prüfungen, über die Ausführung in vordefinierten Zeiten oder bei Vorliegen spezifischer Bedingungen bis hin zur kontinuierlichen Anwendung. Eine
Entwicklung, welche zur Umsetzung von CA in der Praxis beitragen kann, ist XBRL
(eXtensible Business Reporting Language). Dabei handelt es sich um
eine frei verfügbare elektronische Sprache, die insbesondere den standardisierten
Austausch von Finanzinformationen von und über Unternehmen fördern soll.
XBRL-basierte Taxonomien haben zum Ziel, Ineffizienzen beim Datenaustausch und der
Datenanalyse zu reduzieren sowie die Vergleichbarkeit von Informationen zu
erleichtern. Durch den Einsatz von XBRL können die Daten eines Unternehmens für
unterschiedliche Zwecke und Adressaten genutzt werden. Insoweit muss auch
überlegt werden, inwieweit XBRL auch eine geeignete Ausgangsbasis einer
CA-Implementierung bilden kann. XBRL-basierte Daten sind im logischen Aufbau
stets identisch, was letztlich auch die Weiterverarbeitung im
CA-Auswertungssystem ermöglichen würde, ohne dass zunächst aufwendige manuelle
Aufbereitungen erforderlich werden. Doch auch die Regelung zum Datenzugriff der Finanzverwaltung im Rahmen steuerlicher Außenprüfungen bietet eine aktuelle Chance zur standardisierten Aufbereitung von Unternehmensdaten für CA-Zwecke. Um für künftig digitale Betriebsprüfungen eine adäquate Datenübergabe zu gewährleisten, setzt sich auf Seiten der ERP-Hersteller zunehmend der vom Bundesfinanzministerium empfohlene, XML-basierte (Extensible Markup Language) Beschreibungsstandard durch. Gelingt es in diesem Zusammenhang, die Daten nicht nur auf Anforderung der Finanzverwaltung, sondern kontinuierlich und automatisiert auf Basis des Beschreibungsstandards bereitzustellen, wäre auch die Übergabe an eine CAAnwendung denkbar. 6. Anforderungen an CABei allen Vorzügen des CA-Ansatzes darf nicht übersehen werden, dass damit erhebliche technische und organisatorische Anforderungen auf Unternehmens- und Prüferseite verbunden sind. So bedarf es in erster Linie kostenintensiver Investitionen in Hard- und Software. Dabei muss das System derart in der Unternehmens-EDV integriert werden, dass die Betriebsabläufe nicht beeinträchtigt werden. Kritische Überlegungen im Zusammenhang mit der Unabhängigkeit des Abschlussprüfers fordern ein CA-System, welches ausschließlich der Überprüfung seitens des Abschlussprüfers dient und dem zu prüfenden Unternehmen keine Möglichkeit gibt, auf das eingesetzte und implementierte System zuzugreifen bzw. dieses zu modifizieren oder gar zu manipulieren. Dabei ist auch zu überlegen, inwieweit alternativ zur Nutzung der Unternehmens-IT auch eigene Programme eingesetzt werden sollen. Nicht vernachlässigt werden sollten darüber hinaus Sicherheitsaspekte. Dies gilt umso mehr, als Daten an Dritte außerhalb des Unternehmens übermittelt werden. Diesem Sicherheitsbedürfnis kann insbesondere mit der Einbindung in ein bestehendes Extranet in Form so genannter Virtual Private Networks Rechnung getragen werden. Neben technischen Anforderungen verlangt die Implementierung von CA auf Unternehmensseite auch eine tiefgreifende Umstellung der bestehenden Gewohnheiten. Dem Abschlussprüfer muss nun über das ganze Jahr hinweg ein direkter Zugang zur Unternehmens- EDV gewährt werden. Zwar betrifft dies nur vorher definierte rechnungslegungsrelevante Bereiche; die Akzeptanz seitens der Unternehmen ist insoweit dennoch als durchaus kritisch einzustufen. Vom Abschlussprüfer
schließlich erfordert der generelle Einsatz IT-gestützter Prüfungstechniken spezielle
Kenntnisse und Erfahrungen. Dies gilt insbesondere für die Umsetzung und den
Einsatz von CA in der Prüfungspraxis. Gefordert ist Expertenwissen über diverse ERP-Systeme
und über die zu Grunde liegenden Datenverarbeitungsprozesse, welche die prüfungsrelevanten
Informationen verarbeiten und ausgeben. Der Einsatz von CA bedingt Kenntnisse
und Erfahrungen, an welchen Stellen die Informationen entstehen, in welchen Formaten
diese vorliegen und wie diese an eine CA-Implementierung übergeben und von dieser
geprüft werden können. Darüber hinaus verlangt CA Kenntnisse und Erfahrungen bei
der programmtechnischen Umsetzung von Abfrageroutinen oder der Datenakquise. 7.
Anwendungsszenario EAMCA kann wie Eingangs dargestellt als Monitor verstanden werden, welcher vordefinierte Datenströme der Finanzbuchhaltung samt vorgelagerter Systembereiche auf Unregelmäßigkeiten bzw. das Eintreten bestimmter Ereignisse überwacht. Ziel ist eine Überprüfung der internen Verarbeitungsregeln, um eine Aussage über die ordnungsgemäße Verarbeitung der Daten und die Richtigkeit der Ergebnisse zu treffen. Ausnahmen von vordefinierten Regeln sollen in der Folge Echtzeitwarnungen auslösen, die die Aufmerksamkeit des Jahresabschlussprüfers auf potenzielle Problembereiche auf sich ziehen. Dabei muss der Prüfer in die Lage versetzt werden, die Ursache von Anomalien zu verstehen und bewerten zu können. So genannte Embedded Audit Modules (EAMs)
verstehen sich als derartige Echtzeitsysteme. Sie sollen für den Prüfer die
Möglichkeit schaffen, proaktiv auf prüfungsrelevante Sachverhalte einzugehen.
EAMs werden typischerweise in Softwareanwendungen innerhalb des bestehenden
ERP-Systems eingebettet und sollen so simultan zu den Prozessen innerhalb der
Unternehmens-EDV die Ausführung von Prüfungshandlungen ermöglichen. EAMs
überwachen ausgewählte Risikobereiche und ermöglichen sowohl die Entdeckung von
Transaktionsfehlern, als auch das Aufdecken fehlender Kontrollen. Zielsetzung ist
die Identifikation und Erfassung von Soll/Ist-Abweichungen innerhalb
vordefinierter Transaktionen und deren Kommunikation an den Prüfer. Aus
EDV-technischer Sicht stellen EAMs Subroutinen innerhalb der bestehenden Anwendungssysteme
dar, die systemseitig Prüfungshandlungen zeitgleich mit den Anwendungsprozessen
ausführen. Häufig kommen so genannte Triggers zum Einsatz, welche
automatisch aufgerufen werden, sobald eine im Voraus für die Prüfung
maßgebliche Tabelle in der Datenbank des ERPSystems geändert wird. Die Ergebnisse werden anschließend
in einem Protokoll oder Bericht festgehalten, welcher vom Prüfer
eingesehen werden kann. Tabellenabweichungen lassen sich zusätzlich durch
aktive Alarmmeldungen zeitnah an den Prüfer kommunizieren. Die Implementierung einer EAM-Umge-bung vollzieht sich nach Groomer / Murthy im Wesentlichen in folgenden Schritten: Zunächst muss die zu überprüfende Anwendung (in der Regel das ERP-System) und das Prüfungsziel beispielsweise die Aufrechterhaltung der Zahlungsfähigkeit bestimmt werden. Anschließend sind die Grenzen festzulegen, außerhalb derer systemseitig eine Benachrichtigung der unzulässigen Soll-/Ist-Abweichung an den Prüfer erfolgt. Soll beispielsweise die Liquiditätssituation des zu prüfenden Unternehmens überwacht werden, so ist ergänzend eine kritische Größe festzulegen, ab welcher systemseitig eine Benachrichtigung ausgegeben wird. Ein zielgerichteter Einsatz erfordert insbesondere eine zweifelsfreie Identifikation der zu prüfenden Transaktionen und die Festlegung von Grenzwerten für das Auslösen entsprechender Warnhinweise.38 Letztgenanntes ist gerade notwendig, um die Warnhinweise auf ein notwendiges Maß zu beschränken. Schließlich muss eine programmtechnische Umsetzung der Prüfungsmodule und der Abfrageroutinen erfolgen sowie sichergestellt werden, dass prüfungsrelevante Informationen dokumentiert und gespeichert werden. 8. ZusammenfassungEs ist deutlich geworden, dass Entwicklungen wie Fast Close oder der zunehmende IT-Einsatz in den Unternehmen spezifische Bedürfnisse an künftige Prüfungsmethoden richten. Der CA-Einsatz eröffnet dabei erhebliche Vorteile gegenüber traditionellen Prüfungstechniken. Allerdings stellt die praktische Umsetzung gleichermaßen hohe Anforderungen an Prüfer und Geprüfte. Der gezielte Einsatz von CA-Techniken kann im Ergebnis eine zeitnahe Prüfung fördern, für eine erhöhte Qualität und Effizienz in der Jahresabschlussprüfung sorgen und so einen wesentlichen Beitrag zur Qualität der Abschlussprüfung leisten.
© Copyright Compario 2024, Autorenrechte bei den Autoren |
AktuellEditorialWie steht es um die IT-Sicherheit in Ihrem Unternehmen? IT-SicherheitCrowdStrike - Welche Folgen der IT-Ausfall für deutsche Unternehmen hatte Elektronische RechnungenUmsetzungsstand der Einführung der E-Rechnung in Deutschland LiteraturVerfahrensdokumentation nach GoBD (Michael Bissinger, Elisa Lutz) Aus dem BMFRichtsatzsammlung für das Kalenderjahr 2023 veröffentlicht Aus der FinanzverwaltungZuteilung der Wirtschafts-Identifikationsnummer startet im November Aus der FinanzverwaltungErfolgreiches BWL-Traineeprogramm der Hessischen Steuerverwaltung wird ausgeweitet RechtsprechungBFH zu zwingendem Dateiformat elektronischer Dokumente Elektronische RechnungenZDH-Flyer: "Umsatzsteuer – Anforderungen an Rechnungen" LiteraturBuchführungsfehler und Betriebsprüfung (Peter Schumacher) Partner-PortalVeranstalter |
02.10.2024