Anforderungen

Große Organisationen wickeln ihre Geschäftsprozesse oftmals in einem oder mehreren integrierten betriebswirtschaftlichen IT-Systemen (Enterprise Ressource Planning (ERP) Systeme) ab. Dabei werden in diesen ERP Systemen auch die resultierenden Buchungen im Rechnungswesen elektronisch erfasst, welche in ihrer Gesamtheit mindestens am Jahresende für Zwecke der Finanzberichtserstattung in Form des Jahresabschlusses für Investoren und Finanzbehörden aufbereitet werden. Der Jahresabschluss und damit alle im Betrachtungszeitraum erfassten Buchungen unterliegen gesetzlichen Prüfungspflichten (§316 HGB), um Investoren, Gläubiger und Behörden vor Falschdarstellungen der Ertrags, Finanz und Vermögenslage zu schützen.

In großen und/oder transaktionsintensiven Organisationen kann der Prüfer aufgrund der Datenmasse nicht mehr sinnvoll einzelne Geschäftsvorfälle auf Stichprobenbasis prüfen, um die Ordnungsmäßigkeit des Jahresabschlusses festzustellen. Aufgrund dieses Umstandes schreiben internationale und nationale Prüfungsstandards eine systemische Prüfung vor, welche eine Prüfung der IT-Systeme, der Geschäftsprozesse und des sogenannten Internen Kontrollsystems, welches die Geschäftsprozesse organisationsintern führt und kontrolliert, beinhaltet. Hierbei wird auf den Zusammenhang zurückgegriffen, dass wohlkontrollierte Geschäftsprozesse auch zu einer ordnungsmäßigen Abbildung der Geschäftsprozesse in der Finanzbuchhaltung führen. Im internationalen Prüfungswesen geben die International Standards on Auditing (ISA) die Richtlinien zu Prüfung des Rechnungswesens vor. ISA 315 fordert dabei eine Prüfung der IT und der Geschäftsprozesse: “The auditor should obtain an understanding of the information system, including the related business processes, relevant to financial reporting (…)” ISA 315.81. Weiterhin ist eine solche Prüfung der IT und der Geschäftsprozesse jährlich wieder notwendig, soweit Änderungen wahrscheinlich sind: “when the auditor intends to use information about the entity and its environment obtained in prior periods, the auditor should determine whether changes have occurred that may affect the relevance of such information in the current audit” ISA 315.12.

Neben der üblichen Prüfung rechnungswesenrelevanter Geschäftsprozesse soll der Prüfer auch Prüfungshandlungen zur Entdeckung von Betrug und dolosen Handlungen (Fraud) durchführen (ISA 240). Besonders relevant in Bezug auf die Prüfung von Geschäftsprozessen und Internen Kontrollsystemen sind dabei Unternehmen, die dem amerikanischen Sarbanes-Oxley-Act unterliegen. Dies können deutsche Firmen sein, die an der amerikanischen Wertpapierbörse gelistet sind. Gleichermaßen trifft dies aber auch amerikanische Firmen, die ein deutsches Tochterunternehmen betreiben. Insbesondere der Sarbanes-Oxley-Act Section 404 „Management Assessment of Internal Controls” schreibt dabei explizit die Einrichtung und interne Prüfung eines internen Kontrollsystems entlang der Geschäftsprozesse vor.

Auch nationale Prüfungsstandards schreiben eine entsprechende Prozessprüfung vor. Maßgeblich sind hier die Prüfungsstandards des Instituts der Wirtschaftsprüfer (IDW). Die im HGB geforderten Prüfungen werden durch den Standard IDW RS FAIT 1 (IDW Stellungnahme zur Rechnungslegung: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie) konkretisiert. Im Besonderen die Textziffern 107 und 108 weisen auf die Notwendigkeit von Prozessprüfungen hin. Weiterhin wird in den IDW Prüfungsstandards 261 (Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken; Textziffer 37ff) „Der Abschlussprüfer hat sich bereits im Rahmen der Prüfungsplanung einen Überblick über das zu prüfende Unternehmen zu verschaffen. Dies umfasst u.a. den Umgang des Managements mit den Geschäftsrisiken und die Organisation der Geschäftsprozesse im Unternehmen und insbesondere den Überblick über das interne Kontrollsystem.“, sowie IDW PS 330 (Abschlussprüfung bei Einsatz von Informationstechnologie; Textziffer 84ff): „Prüfung IT-gestützter Geschäftsprozesse“ eine Prozessprüfung als Teil der vorgeschriebenen Jahresabschlussprüfung deklariert.

Auch die interne Revision hat ein Interesse an Prozessprüfungen. Die Rolle der internen Revision wurde seit dem Bilanzrechtsmodernisierungegesetz 2009 (BilMoG) weiter aufgewertet. So sieht § 107 (3) S. 2 AktG jetzt neuerdings vor: „Er (=der Aufsichtsrat) kann insbesondere einen Prüfungsausschuss bestellen, der sich mit der Überwachung des Rechnungslegungsprozesses, der Wirksamkeit des internen Kontrollsystems, des Risikomanagementsystems und des internen Revisionssystems sowie der Abschlussprüfung, hier insbesondere der Unabhängigkeit des Abschlussprüfers und der vom Abschlussprüfer zusätzlich erbrachten Leistungen, befasst.“ Der Gesetzgeber wollte dem Aufsichtsrat offenbar hiermit ein Instrument nahelegen, um der Überwachungsfunktion professionell nachkommen zu können. Diese interne Überwachung auf operativer Ebene fällt regelmäßig der internen Revisionsabteilung zu, die für die Prüfung von Rechnungslegungsprozessen, Kontrollsystemen und Risikomanagementsystemen somit auch auf entsprechende methodische und IT-technische Unterstützung angewiesen ist. Für Richtlinien innerhalb der internen Revision existieren Dokumente, die vom Berufsverband der internen Revisoren herausgegeben werden (international „Institute of Internal Auditors“ IIA; in Deutschland „Institut für interne Revision“ IIR). Im Zusammenhang mit Geschäftsprozessen, welche von ERP-Systemen unterstützt werden, sind insbesondere die Global Technology Audit Guides (GTAGs) relevant. Insbesondere GTAG 8: „Auditing Application Controls“ und GTAG 13: „Fraud Prevention and Detection in an Automated World” sind für eine Prozessprüfung überaus relevant. Sogenannte „Application Controls“ sind dabei Kontrollen im Rahmen des internen Kontrollsystems, welche in IT-Systemen eingebettet sind und Geschäftsprozesse führen und Integrität bewahren. Hierzu gehören z.B. Passwortkontrollen, Zugriffsrechte, Definition von Mußfeldern bei der Dateneingabe, zwingende Referenz auf vorangegangene Geschäftsvorfälle (Bestellungen, Wareneingänge etc.), Vier-Augen Prinzip bei der Freigabe von Stammdaten oder systemgestützte Genehmigungsschritte. Auch der wohl umfassendste und bekannte de-facto Standard für IT-Governance CobiT (Control Objectives for Information and Related Technology) hebt die Wichtigkeit von Application Controls bei automatisierten Geschäftsprozessen hervor und gibt umfangreiche Definitionen und Hinweise zur Implementierung und Prüfung von dieser Art von internen Kontrollen.