Home IT-ManagementContinuous Auditing

	Newsletter

	Über das Forum

	Einführung

	10 Jahre GDPdU

	Prüfsoftware

	Prüfungspraxis

	Fragen und Probleme

	Lösungen

	(IT-)Management

	Praxisbeispiele

	Checklisten

	Für Steuerberater

	Aus dem BMF

	Rechtsgrundlagen

	Rechtsprechung

	Verfahrensdokument.

	Elektron. Rechnungen

	IT-Wirtsch.-kriminalit.

	Verbandsaktivitäten

	Diskussion

	Veranstaltungen

	Veranstaltungsservice

	Newsletter-Archiv

	Kommentare

	Abstimmungen

	Pressespiegel

	Literatur

	Glossar

	Presse

	Linkpartner

Continuous Auditing

Ein Ansatz zur zeitnahen und kontinuierlichen Prüfung

von Stefan Groß und Andreas Vogl

		Stefan Groß, Steuerberater und Certified Informations Systems Auditor (CISA) ist Partner von Peters Schönberger & Partner GbR, einer Kanzlei von Steuerberatern, Wirtschaftsprüfern und Anwälten in München. Er beschäftigt sich bereits seit vielen Jahren mit den steuerrechtlichen und verfahrenstechnischen Umfeld der elektronischen Steuerprüfung.

		Andreas Vogl, Wirtschaftsprüfer, Steuerberater, Dipl.-Kfm. (univ.) ist Sozius von Peters Schönberger & Partner GbR, einer Kanzlei von Steuerberatern, Wirtschaftsprüfern und Anwälten in München. Seine Arbeitsschwerpunkte sind Jahres- und Konzernabschlussprüfung, Betriebswirtschaftliche Beratung bei M&A-Transaktionen sowie Unternehmenssteuern.

1. Einführung

Insbesondere kapitalmarktorientierte Unternehmen sehen sich einer Situation ausgesetzt, in welcher verschiedene Adressaten immer kurzfristiger Jahresabschlussinformationen über das Unternehmen einfordern. Der Wunsch der Investoren nach zeitnahen Informationen wächst ständig und die zur Verfügung stehende Zeit zwischen Bilanzstichtag und der Fertigstellung des Jahresabschlusses nimmt stetig ab. „Fast Close“ steht dabei für eine Beschleunigung der Jahresabschlusserstellung und soll dem zunehmenden Wunsch von Jahresabschlussadressaten nach der Veröffentlichung von Informationen kurz nach Periodenende Rechnung tragen. Für den Abschlussprüfer, der am Ende dieses zeitkritischen Prozesses steht, erwachsen Anforderungen, die eine weitere Vorverlagerung seiner Prüfungshandlungen zwingend erforderlich machen.

Neben den Anforderungen an eine zeitnahe Abschlussprüfung, verlangt insbesondere die Beurteilung von Risikomanagementsystemen eine kontinuierliche Überwachung der relevanten Prozesse. Der Regelfall ist jedoch meist eine rein stichtagsbezogene Betrachtungsweise. Eine kontinuierliche und damit auch zeitnahe Überprüfung scheitert bislang meist am Vorhandensein ganzjähriger Prüfungsmethoden und Werkzeuge. Dabei existieren durchaus Alternativen, mit welchen der wachsenden Dynamik in der Unternehmensumwelt und dem steigenden Bedürfnis nach aktuellen Informationen begegnet werden kann.

Ein Ansatz, mit welchem dem zunehmenden Zeitdruck, aber auch der Forderung kontinuierlicher Prüfungshandlungen Rechnung getragen werden soll, nennt sich Continuous Auditing (CA) und findet in den USA bereits in Teilen Anwendung. CA soll dem wachsenden Bedarf nach systemorientierten und kontinuierlichen Prüfungshandlungen bei gleichzeitig voranschreitender IT-Unterstützung der Unternehmensprozesse Rechnung tragen. Der folgende Beitrag untersucht, inwieweit CA eine sinnvolle und praktikable Möglichkeit der zeitnahen Prüfung darstellt, ob dadurch bestehenden Informationsdefiziten begegnet werden kann und welche Voraussetzungen an eine mögliche Umsetzung dieses Ansatzes in der Praxis geknüpft sind.

2. Continuous Auditing – Der Ansatz

Die Jahresabschlussprüfung stellt sich im Regelfall überwiegend als vergangenheitsorientierte Stichtagsbetrachtung dar. Ganz anders der CA-Ansatz. Nach der vom American Institute of Certified Public Accountants (AICPA) und dem Canadian Institute of Chartered Accountants (CICA) gemeinsam veröffentlichten Definition versteht sich CA als „... a methodology that enables independent auditors to provide written assurance on a subject matter using a series of auditors reports issued simultaneously with, or a short period of time after, the occurrence of events underlying the subject matter. ...“. CA lässt sich mithin als Prüfungsmethode beschreiben, mit der vordefinierte Bereiche oder Geschäftsvorfälle simultan oder zumindest sehr zeitnah überwacht und geprüft werden können. Auf diese Weise soll dem Erfordernis nach aktuellen, zeitnahen und über das gesamte Jahr verlässlichen Informationen Rechnung getragen werden. Kogan, Sudit und Vasarhelyi sprechen insoweit auch von „instant auditing“, weshalb CA insoweit auch als eine Art „Monitor“ verstanden werden kann, der die Daten des Finanzbuchhaltungs- bzw. ERP-Systems (Enterprise Ressource Planning) des zu prüfenden Unternehmens nach vorher festgelegten Kriterien durchleuchtet, mit kritischen Größen abgleicht und den Abschlussprüfer bei Eintreten bestimmter vordefinierter Ereignisse automatisch benachrichtigt.

3. Notwendigkeit neuer Wege in der Abschlussprüfung

Die Entwicklung im Bereich der modernen Informationstechnologie schreitet unverändert voran. Daten der Finanzbuchhaltung werden heute – meist über mehrere Teilprozesse – in komplexen, hochintegrierten ERP-Systemen erzeugt und finden über Vor- und Nebensysteme letztlich Eingang in die Bilanz und Gewinn- und Verlustrechnung. Im Rahmen von Jahresabschlussprüfungen wird der Abschlussprüfer heute mit einer Vielzahl von Belegen in Form von Hardcopies konfrontiert, die häufig aus diversen, EDV-basierten Unternehmensprozessen und zugleich einer Masse an Daten hervorgehen, die von einer hohen Dynamik geprägt sind. Betrachtet man beispielsweise ein typisches SAP R/3-System, so findet häufig über verschiedenste Module und interne Verarbeitungsprozesse eine Aufbereitung rechnungslegungsrelevanter Informationen statt, deren Ergebnisse dann meist in Papierform im Rahmen der Jahresabschlussprüfung vorgelegt werden. Der reine Ausdruck sagt jedoch nur eingeschränkt etwas über die Qualität, Richtigkeit und Vollständigkeit der dahinter stehenden Prozesse und der verarbeiteten und produzierten Informationen aus. Dazu stellen die Verhältnisse am Abschlussstichtag lediglich eine zeitpunktbezogene Momentaufnahme dar, welche Aussagen über die unterjährige Richtigkeit und Vollständigkeit der datenerzeugenden und verarbeitenden Prozesse nur eingeschränkt zulässt. Informationen über unregelmäßige Sachverhalte, welche einen negativen Einfluss auf die Vermögens-, Finanz- und Ertragslage ausüben, gehen so mangels Transparenz häufig in den zum Stichtag aggregierten Daten unter. Alleine die Tatsache, dass die Ausgabe digitaler Daten durch gezielte Eingriffe in die DV-Prozesse nahezu beliebig manipuliert werden kann und sich auf diese Weise ein verzerrtes Erscheinungsbild der prüfungsrelevanten Daten zum Abschlussstichtag herbeiführen lässt, macht deutlich, dass nur eine anhaltende Überwachung der betroffenen Systeme und Prozesse für Abhilfe sorgen kann.

Im Rahmen der Prüfung des internen Kontrollsystems (IKS) muss der Abschlussprüfer die Kontrollaktivitäten des Unternehmens dahingehend beurteilen, ob sie geeignet sind, wesentliche Fehler in der Rechnungslegung zu verhindern bzw. aufzudecken und zu korrigieren. Besondere Bedeutung kommt dabei der Anwendung von EDV-Programmen zur Kontrolle der Richtigkeit, Vollständigkeit und Genehmigung von Vorgängen zu. Prüfungsgegenstand bilden insoweit Instrumentarien und Mechanismen zur Überwachung existenzgefährdender Entwicklungen. Soweit die Unternehmensleitung geeignete Maßnahmen vorgesehen hat, sind diese nach den allgemeinen Grundsätzen einer Systemprüfung in Stichproben auf ihre Wirksamkeit zu untersuchen, wobei sich die Durchführung von Systemprüfungen insbesondere auch darauf zu erstrecken hat, „... ob das auf die Rechnungslegung bezogene IKS während des zu prüfenden Geschäftsjahres kontinuierlich bestanden hat und wirksam war“. Dies entspricht auch der eigentlichen Zielsetzung des Risikomanagementsystems – als Teilbereich des IKS – wonach sämtliche Unternehmensbereiche, in denen wesentliche Risiken entstehen können, laufend zu überwachen sind. Insoweit fordert ein kontinuierlicher Prozess auch eine kontinuierliche Überprüfung. Der Regelfall ist jedoch meist eine rein stichtagsbezogene Betrachtungsweise. Eine kontinuierliche Überprüfung scheitert meist am Vorhandensein adäquater Tools.

Es wird deutlich, dass der Abschlussprüfer „Werkzeuge“ benötigt, die ihm eine adäquate Prüfung unter den veränderten Umweltbedingungen ermöglichen. Davon betroffen sind sowohl die Prozesse im Unternehmen selbst, als auch deren kontinuierliche Anwendung. Dabei muss dazu übergegangen werden, Applikationen nicht nur als Prüfungsgegenstand zu sehen, sondern diese, entsprechend dem Selbstverständnis von CA auch dem Prüfungsinstrumentarium zuzuordnen. Nur so erlangt der Abschlussprüfer hinreichende Sicherheit bei der Prüfung EDV-basierter Geschäftsvorfälle in einer sich ständig fortentwickelnden Unternehmens-IT, welche zusätzlich durch eine mangelnde Aktualität der prüfungsrelevanten Daten gekennzeichnet ist. Die Entwicklung der Unternehmens-EDV, die Verfügbarkeit von neuen Techniken und die Digitalisierung von Geschäftsvorfällen fordern letztlich auch Prüfungswerkzeuge, welche diesen Entwicklungen gerecht werden; CA ist ein Ansatz in diese Richtung.

4. Vorteile von CA

Entscheidende Änderungen der das Prüfurteil wesentlich beeinflussenden Faktoren können die gewonnenen Erkenntnisse innerhalb kürzester Zeit hinfällig werden lassen. Daher ist es für den Abschlussprüfer bei automatisierten und integrierten Geschäftsprozessen zur Erlangung eines vertrauenswürdigen Urteils durchaus wichtig, wie viel Zeit zwischen dem zu beurteilenden Sachverhalt und dessen Untersuchung, Beobachtung und Prüfung vergeht. Gerade hier kommen die Vorteile des CA-Ansatzes zum Tragen, denn durch CA werden die rechnungslegungsrelevanten Datenbestände – wie gefordert – nicht nur zu einem Zeitpunkt im Jahr überprüft, sondern mittels anhaltender Tests und Kontrollen kontinuierlich oder zumindest zeitnah „überwacht“.

Fest hinterlegte Prüfungsalgorithmen innerhalb einer CA-Installation sind in der Lage, auf Anfrage eine „Real-Time-Abbildung“ wichtiger Unternehmensindikatoren, so genannter KPI’s (Key Performance Indikators) auszugeben. Insoweit sind die im Rahmen von CA gewonnene Erkenntnisse durchaus geeignet, kritische Prüffelder frühzeitig zu bestimmen, eine Prüfungsstrategie zu entwickeln und diese in individuelle Prüfungsprogramme zu transformieren. CA ermöglicht so die gezielte Vorverlagerung von Prüfungshandlungen, reduziert damit die Anzahl aussagebezogener Prüfungshandlungen während der Hauptprüfung auf ein notwendiges Minimum und trägt so dem Eingangs geschilderten Fast Close Anspruch Rechnung. Daneben bietet sich eine entsprechende ITUnterstützung auch an, um wiederkehrende Arbeiten durch integrierte Softwarelösungen zu automatisieren, was zu einer Verminderung kostenintensiver Ressourcen-Bindung auf Prüferseite und damit zu mehr Effizienz beiträgt. Insoweit kann das Konzept des CA zur Entspannung des Zeit- und Kostendrucks auf Seiten der Abschlussprüfung beitragen.

Aber auch den geprüften Unternehmen und Investoren bietet CA einen entscheidenden Mehrwert, insoweit als die kontinuierliche Überwachung kritischer Prozesse bei Erkennen bestandsgefährdender Tatsachen ein frühzeitiges Gegensteuern ermöglicht. Die Nachbetrachtung im Rahmen einer konventionellen Abschlussprüfung kann insoweit durch ein aktives Monitoring ersetzt werden. Verbesserungspotenzial lässt sich über das gesamte Jahr aufzeigen und verleiht der Jahresabschlussprüfung einen proaktiven Charakter. CA bietet so gerade denjenigen Interessengruppen einen Zusatznutzen, welche die publizierten Unternehmensdaten zu Entscheidungszwecken heranziehen. Diesen Jahresabschlussadressaten kann über den Einsatz von CA ein positives Signal übermittelt werden.

5. CA in der Umsetzung

Die kurzfristige Einführung von CA scheitert meist daran, dass zunächst diverse rechnungslegungsrelevante Daten möglichst automatisiert zur kontinuierlichen Prüfung digital aufbereitet und zur Verfügung gestellt werden müssen. Zur Bereitstellung von Echtzeitdaten in dieser Form ist die Vielzahl der zu prüfenden Unternehmen ad hoc allerdings kaum in der Lage. Der Anspruch an zeitnahe Informationen fordert hoch automatisierte Prozesse, welche manuelle Eingriffe auf ein notwendiges Minimum beschränken. Die Implementierung von CA-Techniken wird sich in der praktischen Umsetzung deshalb vielmehr als mehrstufiger Prozess gestalten, an dessen Ende erst eine voll funktionsfähige CAApplikation stehen kann. Denkbar wäre insoweit ein schrittweises Vorgehen dergestalt, dass in der Einführungsphase das Arbeitsaufkommen zwischen dem Ende des Wirtschaftsjahres und dem fertigen Prüfungsbericht mittels Einsatz von CA reduziert wird und insoweit auch dem Fast Close Gedanken Rechnung getragen wird. In einem weiteren Schritt kann diese Technik dann auf Quartals- oder Monatsberichte ausgedehnt werden, bevor - letztlich in der finalen Anwendung - CA eine kontinuierliche Erstellung eines Berichtswesens auf Bedarf ermöglichen kann. Weiter lässt sich die Häufigkeit, mit welcher hinterlegte Prüfungsalgorithmen aufgerufen werden, ebenso stufenweise ausgestalten. Denkbar ist dabei ein zufallsgesteuertes Anstoßen von Prüfungen, über die Ausführung in vordefinierten Zeiten oder bei Vorliegen spezifischer Bedingungen bis hin zur kontinuierlichen Anwendung.

Eine Entwicklung, welche zur Umsetzung von CA in der Praxis beitragen kann, ist XBRL (eXtensible Business Reporting Language). Dabei handelt es sich um eine frei verfügbare elektronische Sprache, die insbesondere den standardisierten Austausch von Finanzinformationen von und über Unternehmen fördern soll. XBRL-basierte Taxonomien haben zum Ziel, Ineffizienzen beim Datenaustausch und der Datenanalyse zu reduzieren sowie die Vergleichbarkeit von Informationen zu erleichtern. Durch den Einsatz von XBRL können die Daten eines Unternehmens für unterschiedliche Zwecke und Adressaten genutzt werden. Insoweit muss auch überlegt werden, inwieweit XBRL auch eine geeignete Ausgangsbasis einer CA-Implementierung bilden kann. XBRL-basierte Daten sind im logischen Aufbau stets identisch, was letztlich auch die Weiterverarbeitung im CA-Auswertungssystem ermöglichen würde, ohne dass zunächst aufwendige manuelle Aufbereitungen erforderlich werden.

Doch auch die Regelung zum Datenzugriff der Finanzverwaltung im Rahmen steuerlicher Außenprüfungen bietet eine aktuelle Chance zur standardisierten Aufbereitung von Unternehmensdaten für CA-Zwecke. Um für künftig digitale Betriebsprüfungen eine adäquate Datenübergabe zu gewährleisten, setzt sich auf Seiten der ERP-Hersteller zunehmend der vom Bundesfinanzministerium empfohlene, XML-basierte (Extensible Markup Language) Beschreibungsstandard durch. Gelingt es in diesem Zusammenhang, die Daten nicht nur auf Anforderung der Finanzverwaltung, sondern kontinuierlich und automatisiert auf Basis des Beschreibungsstandards bereitzustellen, wäre auch die Übergabe an eine CAAnwendung denkbar.

6. Anforderungen an CA

Bei allen Vorzügen des CA-Ansatzes darf nicht übersehen werden, dass damit erhebliche technische und organisatorische Anforderungen auf Unternehmens- und Prüferseite verbunden sind. So bedarf es in erster Linie kostenintensiver Investitionen in Hard- und Software. Dabei muss das System derart in der Unternehmens-EDV integriert werden, dass die Betriebsabläufe nicht beeinträchtigt werden. Kritische Überlegungen im Zusammenhang mit der Unabhängigkeit des Abschlussprüfers fordern ein CA-System, welches ausschließlich der Überprüfung seitens des Abschlussprüfers dient und dem zu prüfenden Unternehmen keine Möglichkeit gibt, auf das eingesetzte und implementierte System zuzugreifen bzw. dieses zu modifizieren oder gar zu manipulieren. Dabei ist auch zu überlegen, inwieweit alternativ zur Nutzung der Unternehmens-IT auch eigene Programme eingesetzt werden sollen. Nicht vernachlässigt werden sollten darüber hinaus Sicherheitsaspekte. Dies gilt umso mehr, als Daten an Dritte außerhalb des Unternehmens übermittelt werden. Diesem Sicherheitsbedürfnis kann insbesondere mit der Einbindung in ein bestehendes Extranet in Form so genannter „Virtual Private Networks“ Rechnung getragen werden.

Neben technischen Anforderungen verlangt die Implementierung von CA auf Unternehmensseite auch eine tiefgreifende Umstellung der bestehenden Gewohnheiten. Dem Abschlussprüfer muss nun über das ganze Jahr hinweg ein direkter Zugang zur Unternehmens- EDV gewährt werden. Zwar betrifft dies „nur“ vorher definierte rechnungslegungsrelevante Bereiche; die Akzeptanz seitens der Unternehmen ist insoweit dennoch als durchaus kritisch einzustufen.

Vom Abschlussprüfer schließlich erfordert der generelle Einsatz IT-gestützter Prüfungstechniken spezielle Kenntnisse und Erfahrungen. Dies gilt insbesondere für die Umsetzung und den Einsatz von CA in der Prüfungspraxis. Gefordert ist Expertenwissen über diverse ERP-Systeme und über die zu Grunde liegenden Datenverarbeitungsprozesse, welche die prüfungsrelevanten Informationen verarbeiten und ausgeben. Der Einsatz von CA bedingt Kenntnisse und Erfahrungen, an welchen Stellen die Informationen entstehen, in welchen Formaten diese vorliegen und wie diese an eine CA-Implementierung übergeben und von dieser geprüft werden können. Darüber hinaus verlangt CA Kenntnisse und Erfahrungen bei der programmtechnischen Umsetzung von Abfrageroutinen oder der Datenakquise.

7. Anwendungsszenario – EAM

CA kann – wie Eingangs dargestellt – als „Monitor“ verstanden werden, welcher vordefinierte Datenströme der Finanzbuchhaltung samt vorgelagerter Systembereiche auf Unregelmäßigkeiten bzw. das Eintreten bestimmter Ereignisse überwacht. Ziel ist eine Überprüfung der internen Verarbeitungsregeln, um eine Aussage über die ordnungsgemäße Verarbeitung der Daten und die Richtigkeit der Ergebnisse zu treffen. Ausnahmen von vordefinierten Regeln sollen in der Folge Echtzeitwarnungen auslösen, die die Aufmerksamkeit des Jahresabschlussprüfers auf potenzielle Problembereiche auf sich ziehen. Dabei muss der Prüfer in die Lage versetzt werden, die Ursache von Anomalien zu verstehen und bewerten zu können.

So genannte „Embedded Audit Modules“ (EAMs) verstehen sich als derartige Echtzeitsysteme. Sie sollen für den Prüfer die Möglichkeit schaffen, proaktiv auf prüfungsrelevante Sachverhalte einzugehen. EAMs werden typischerweise in Softwareanwendungen innerhalb des bestehenden ERP-Systems eingebettet und sollen so simultan zu den Prozessen innerhalb der Unternehmens-EDV die Ausführung von Prüfungshandlungen ermöglichen. EAMs überwachen ausgewählte Risikobereiche und ermöglichen sowohl die Entdeckung von Transaktionsfehlern, als auch das Aufdecken fehlender Kontrollen. Zielsetzung ist die Identifikation und Erfassung von Soll/Ist-Abweichungen innerhalb vordefinierter Transaktionen und deren Kommunikation an den Prüfer. Aus EDV-technischer Sicht stellen EAMs Subroutinen innerhalb der bestehenden Anwendungssysteme dar, die systemseitig Prüfungshandlungen zeitgleich mit den Anwendungsprozessen ausführen. Häufig kommen so genannte „Triggers“ zum Einsatz, welche automatisch aufgerufen werden, sobald eine im Voraus für die Prüfung maßgebliche Tabelle in der Datenbank des ERPSystems geändert wird. Die Ergebnisse werden anschließend in einem Protokoll oder Bericht festgehalten, welcher vom Prüfer eingesehen werden kann. Tabellenabweichungen lassen sich zusätzlich durch aktive Alarmmeldungen zeitnah an den Prüfer kommunizieren.

Die Implementierung einer EAM-Umge-bung vollzieht sich nach Groomer / Murthy im Wesentlichen in folgenden Schritten: Zunächst muss die zu überprüfende Anwendung (in der Regel das ERP-System) und das Prüfungsziel – beispielsweise die Aufrechterhaltung der Zahlungsfähigkeit – bestimmt werden. Anschließend sind die Grenzen festzulegen, außerhalb derer systemseitig eine Benachrichtigung der unzulässigen Soll-/Ist-Abweichung an den Prüfer erfolgt. Soll beispielsweise die Liquiditätssituation des zu prüfenden Unternehmens überwacht werden, so ist ergänzend eine kritische Größe festzulegen, ab welcher systemseitig eine Benachrichtigung ausgegeben wird. Ein zielgerichteter Einsatz erfordert insbesondere eine zweifelsfreie Identifikation der zu prüfenden Transaktionen und die Festlegung von Grenzwerten für das Auslösen entsprechender Warnhinweise.38 Letztgenanntes ist gerade notwendig, um die Warnhinweise auf ein notwendiges Maß zu beschränken. Schließlich muss eine programmtechnische Umsetzung der Prüfungsmodule und der Abfrageroutinen erfolgen sowie sichergestellt werden, dass prüfungsrelevante Informationen dokumentiert und gespeichert werden.

8. Zusammenfassung

Es ist deutlich geworden, dass Entwicklungen wie Fast Close oder der zunehmende IT-Einsatz in den Unternehmen spezifische Bedürfnisse an künftige Prüfungsmethoden richten. Der CA-Einsatz eröffnet dabei erhebliche Vorteile gegenüber traditionellen Prüfungstechniken. Allerdings stellt die praktische Umsetzung gleichermaßen hohe Anforderungen an Prüfer und Geprüfte. Der gezielte Einsatz von CA-Techniken kann im Ergebnis eine zeitnahe Prüfung fördern, für eine erhöhte Qualität und Effizienz in der Jahresabschlussprüfung sorgen und so einen wesentlichen Beitrag zur Qualität der Abschlussprüfung leisten.