IT-Stützung des Prüfungswesens

Transkript

1 IT-Stützung des Prüfungswesens Henning Lieder - Diplom-Wirtschaftsmathematiker, CISA, CIA, CISM, Geschäftsführer Hamburg, den 8. Mai 2013

2 Inhaltsverzeichnis 2 1. Einleitung / Hintergründe 2. Grundlagen der IT-Prüfung 3. IT-Prüfung als Bestandteil des risikoorientierter Prüfungsansatzes 4. Datenanalyse und JET 5. Fazit und Ausblick

3 1. Einleitung / Hintergründe

4

5 Entwicklung der IT im Zeitablauf er Insellösungen mit Schnittstellen 1990er Integration der Prozesse in einem Unternehmen 2000er Prozessintegration über Unternehmensgrenzen 2010er Vernetzung und Cloud Computing Grundbuch Anwendung 1 Hauptbuch Anwendung 2 Anlagen Anwendung 3 Offene Posten Anwendung 3 Integrierte Software vernetzte Unternehmen

6 Veränderungen mit Chancen und Risiken 6 WP Veränderungen des Berufsbilds Stellung und Funktion Öffentlichkeit Arbeitsweise und Standards Effizienz Wissen und Erfahrung IT-Wissen IT In der WP-Praxis Einsatz für die Praxisorganisation Nutzung in der Prüfung und Beratung IT beim Mandanten Stellung und Funktion Öffentlichkeit Arbeitsweise und Standards Effizienz Wissen und Erfahrung IT-Wissen

7 2. Grundlagen der IT-Prüfung

8 Grundsätze ordnungsmäßiger Buchführung 1 8 Vollständigkeit ( 239 Abs. 2 HGB) Aufzeichnungs- und buchführungspflichtig sind alle Geschäftsvorfälle, die den Umfang oder die Struktur des Vermögens, der Schulden, der RAP oder der Aufwendungen und Erträge verändern Richtigkeit ( 239 Abs. 2 HGB) Belege und Bücher haben die Geschäftsvorfälle inhaltlich zutreffend abzubilden Zeitgerechtigkeit ( 239 Abs. 2 HGB) Geschäftsvorfälle sind den Buchungsperioden zuzuordnen, in denen sie angefallen sind; Buchungen sind zeitnah durchzuführen Ordnung ( 239 Abs. 2 HGB) Buchungsverfahren müssen Buchungen in zeitlicher und sachlicher Ordnung darstellen können Nachvollziehbarkeit ( 238 Abs. 1 S. 2 HGB) Ein sachverständiger Dritter muss sich in angemessener Zeit einen Überblick über Geschäftsvorfälle und Lage des Unternehmens verschaffen können Unveränderlichkeit ( 239 Abs. 3 HGB) Protokollierung von Änderungen an Eintragungen oder Aufzeichnungen, so dass der ursprüngliche Inhalt feststellbar bleibt. Bei programmgesteuerten Buchungen sind Änderungen der Steuerungsdaten ebenfalls aufzuzeichnen

9 Grundsätze ordnungsmäßiger Buchführung 2 9 Belegfunktion Die Existenz und die Berechtigung jeder Buchung muss durch einen Beleg nachgewiesen werden Journalfunktion Alle buchungspflichtigen Geschäftsvorfälle müssen möglichst bald nach ihrer Entstehung vollständig und verständlich in zeitlicher Reihenfolge aufgezeichnet werden Kontenfunktion Die im Journal in zeitlicher Reihenfolge aufgezeichneten Geschäftsvor-fälle müssen auch in sachlicher Ordnung auf Konten abgebildet werden Dokumentation Voraussetzung für die Nachvollziehbarkeit des Buchführungsverfahrens ist eine ordnungsgemäße Verfahrensdokumentation, die die Beschreibung aller zum Verständnis der Rechnungslegung erforderlichen Verfahrensbestandteile enthalten muss Aufbewahrung Journale, Konten, Belege, Abschlüsse und die zum Verständnis der Buchführung erforderlichen Unterlagen sind gemäß 257 HGB für einen Zeitraum von 10 Jahren aufzubewahren.

10 Grundsätze ordnungsmäßiger Buchführung 3 10 Vertraulichkeit Kein Unbefugter kann auf Informationen zugreifen und diese lesen Integrität Daten und Systeme stehen vollständig und richtig zur Verfügung, kein Unbefugter kann Informationen verändern Verfügbarkeit Informationen sind dann verfügbar, wenn sie benötigt werden; funktionsfähige Ressourcen Autorisierung Bearbeitung und Weitergabe von Informationen oder Geschäftsvorfällen soll nur durch Berechtigte erfolgen Authentizität Informationen stammen aus der vorgegebenen Quelle; eindeutige Zuordnung zum Verursacher Verbindlichkeit Die Quelle der Informationen kann deren Sendung nicht abstreifen; Herbeiführung bindender Rechtsfolgen

11 IKS-IT Anwendung IKS IKS Standards des IDW im Überblick 11 IDW RS FAIT 1 Prüfungsstandards Bescheinigungen GoB bei Einsatz von Informationstechnologie IDW RS FAIT 2 GoB bei Einsatz von Electronic Commerce IDW PS 261 n.f. Feststellung und Beurteilung von Fehlerrisiken und Reaktionen des Abschlussprüfers auf die beurteilten Fehlerrisiken IDW PS 951 n.f. Die Prüfung des internen Kontrollsystems beim Dienstleistungsunternehmen für auf das Dienstleistungs-unternehmen ausgelagerte Funktionen IDW PS 330 IDW PS 880 n.f. IDW RS FAIT 3 GoB beim Einsatz elektronischer Archivierungsverfahren Abschlussprüfung bei Einsatz von Informationstechnologie Die Prüfung von Softwareprodukten IDW RS FAIT 4 Anforderung an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse PH PH PH Checkliste zur Abschlussprüfung bei Einsatz von Informationstechnologie Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung Einsatz von Datenanalysen im Rahmen der Abschlussprüfung

12 Prüfungsgegenstand (soweit rechnungslegungsrelevant) IT-Kontrollsystem (IT-Organisation/-Umfeld) Prüfungsziel Anforderungen nach IDW RS FAIT 1 12 Prüfungskriterien Ordnungsmäßigkeit der Rechnungslegung: Vollständige, richtige, zeitgerechte, geordnete, nachvollziehbare und unveränderbare Verarbeitung Sicherheit: Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit, Integrität, Verfügbarkeit IT-System IT-gestützter Geschäftsprozess IT-Anwendung IT-Infrastruktur

13 3. IT-Prüfung als Bestandteil des risikoorientierten Prüfungsansatzes

14 Einbettung in den risikoorientierten Prüfungsansatz 14 Prüfungsrisiko Inhärentes Risiko Fehlerrisiko Kontrollrisiko Entdeckungsrisiko (IDW PS 261)

15 Risikoorientierter Prüfungsansatz 15 Ausgangspunkt (nach IDW PS 261 n.f.) Beurteilung des Fehlerrisikos bzw. der inhärenten Risiken und Kontrollrisiken Inhärentes Risiko bezeichnet die Anfälligkeit eines Prüffeldes für das Auftreten von wesentlichen Fehlern, ohne Berücksichtigung des internen Kontrollsystems Kontrollrisiko stellt die Gefahr dar, dass wesentliche Fehler, durch das Interne Kontrollsystem des Unternehmens nicht verhindert oder aufgedeckt und korrigiert werden Das interne Kontrollsystem besteht aus Regelungen zur Steuerung der Unternehmensaktivitäten (internes Steuerungssystem) und Regelungen zur Überwachung der Einhaltung dieser Regelungen (internes Überwachungssystem). Prüfung von Teilbereichen (Stichproben) in den Prüfungsfeldern als Reaktion auf das festgestellte Fehlerrisiko Ziel: Optimaler Einsatz der Prüfungsressourcen unter Erreichung einer hinreichenden Sicherheit des Prüfungsurteils Risikomatrix

16 Zusammenhänge in der IT-Umgebung 16 Geschäftsprozesse Bestimmung kritischer Prozesse Bedarfsermittlung SAP R/3 MM Bestellung Proprietäre Eigenentw. Wareneingang SAP R/3 FI Zahlung IT-Anwendungen Bestimmung relevanter Bereiche IT-Infrastruktur Beurteilung im Gesamtzusammenhang 16

17 IT-Kontrollen nach Phasen der Datenverarbeitung 17 Manuelle Eingabekontrollen Autom. Eingabekontrollen Abstimmkontrollen Verarbeitungskontrollen Abstimmkontrollen Eingabedaten Erfassungsprogramm Verarbeitungsfähige Daten Verarbeitungsprogramm Ausgabedaten Zulässigkeitskontrollen Änderungskontrollen

18 IT-Kontrollen nach Phasen der Datenverarbeitung am Beispiel einer Bestellung 18 Manuelle Eingabekontrollen Autom. Eingabekontrollen Abstimmkontrollen Verarbeitungskontrollen Abstimmkontrollen Sind alle relevanten Felder ausgefüllt / Sind die richtigen Werte eingetragen? Sind die richtigen Datentypen eingetragen? Sind die Daten vollständig / richtig übertragen worden? (Kontrollsummen) Ist die Bestellung in der eingereichten Form möglich? Sind die Daten vollständig / richtig übertragen worden? Eingabedaten Bestellungs -maske ausfüllen Autom. Einlesen der Bestelldaten Erfassungsprogramm Verarbeitungsfähige Daten Bestelldaten werden übermittelt Verarbeitungsprogramm Autom. Verarbeiten der Bestelldaten Ausgabedaten Bestellbeleg Zulässigkeitskontrollen Änderungskontrollen Sind erlaubte Werte eingetragen (Menge / Ort / Lieferant)? Ist die Bestellung autorisiert?

19 4. Datenanalysen und JET

20 Datenanalyse 20 Datenanalysen sind IT-gestützte Prüfungstechniken Werden von Abschlussprüfern zur effektiven und effizienten Durchführung von Prüfungshandlungen auf Grundlage des risikoorientierten Prüfungsvorgehens eingesetzt Spielen für die Wirtschaftlichkeit der Abschlussprüfungen eine wesentliche Rolle, da Prüfungshandlungen automatisiert und der manuelle Prüfungsumfang zur Gewinnung hinreichender Prüfungssicherheit insgesamt reduziert wird (IDW PH , Tz. 5)

21 Grundideen der Datenanalyse 21 Verarbeitung von Massendaten mit systemunabhängigen Werkzeugen IDEA ACL MS Access, MS Excel Identifikation von Mustern / Besonderheiten Beziehungen herstellen Berechnen Filtern Verdichten Vergleichen und Abstimmen

22 Vorteile der Datenanalyse 22 Systemübergreifende Auswertungsmöglichkeiten Schnelle und einfache Extraktion relevanter Daten Schaffung einer Datenbasis für eine optimale Entscheidungsfindung Standardisierung Vergleichbarkeit Benchmarking Interne und externe Vergleiche möglich Systemunabhängig und effizient anzupassen Effizienzsteigerung

23 Ziel: Frauddetection 23 Es kann vorkommen, dass die Buchführung manipuliert wird, um einen gefälschten Abschluss aufzustellen Ansonsten wirksam erscheinende Kontrollmaßnahmen werden dadurch gezielt außer Kraft gesetzt Der Prüfer muss für dieses Risiko Prüfungshandlungen festlegen und durchführen (IDW PS 210) Ein datenanalytischer Ansatz um dagegen vorzugehen und Verstöße (Fraud) auszudecken ist das Journal Entry Testing (JET)

24 Journal Entry Testing JET 24 Analyse der Buchungsdaten der Haupt- und Nebenbücher Verdichtung und Klassifizierung der Buchungsvorgänge Identifizierung von ungewöhnlichen Buchungen Buchungen zu ungewöhnlichen Zeiten an ungewöhnlichen Tagen Zweifelhafte Buchungen dem Grunde und der Höhe nach Identifizierung von Buchungen mit ungewöhnlichen Kontenpaarungen Buchungen außerhalb des Aufgabengebietes der Buchenden Komprimierte Ergebnisdarstellung und Schaffung von Vergleichbarkeit Einfache Identifikation von Optimierungsbedarf und zielgerichtete Implementierung Auswertung durchschnittliche Bearbeitungszeit Geschäftsvorfälle (z. B. Rechnungsdurchlauf)

25 Beispiel einer JET-Auswertung Anzahl Buchungen in Tausend

26 Benford-Verteilungen zur Frauddetection 26 Gibt an, wie häufig Ziffern erwartungsgemäß vorkommen. Im Gegensatz zu den Zahlen, die sich aus den natürlichen Vorgängen des Geschäftsverkehrs ergeben, weisen von Menschen gezielt beeinflusste Zahlen eine andere Struktur auf. Ab 10 % manipulierter Daten beträgt die Wahrscheinlichkeit der Aufdeckung 68 %.

27 Benford-Verteilungen , , , ,00 ACTUAL EXPECTED LOWBOUND HIGHBOUND 500,00 0, Tierparkeintrittspreis normal: 6

28 5. Fazit und Ausblick

29 IT-Stützung des Prüfungswesens als Chance 29 Effizienzsteigerung der Prüfung Weitere Automatisierung von Prozessen der Unternehmen Steigende Komplexität der Prüfobjekte (Big Data) Steigende Vernetzung, auch bei KMUs (Cloud Computing) Neue gesetzliche Anforderungen (E-Bilanz, E-Rechnung, E-Government)

30 30 30

31 IT-Risikomatrix I 31 IT-Umfeld Mögliche Risiken: IT-Organisation Mögliche Risiken: Abhängigkeit Änderungen Know-how/ Ressourcen starke Dominanz der IT- Abteilung Keine echte Funktionstrennung zwischen IT-Mitarbeitern und Anwendern, unautorisierte Eingriffe im Rechnungswesen unzureichende Organisation gefährdet Betrieb und Verfügbarkeit IT-gestützte Geschäftsprozesse und -Anwendungen stehen dem User nicht zur Verfügung Barrieren, Festhalten an bewährten Verfahren, ungenügende Unterstützung IT-Kontrollen der Unternehmensleitung werden nicht konsequent umgesetzt, hohes Fehlerund Manipulationspotential unzureichendes Projektmanagement, Zeit- und Kostenüberschreitungen Änderungen in rechnungslegungsrelevanten Anwendungen werden nicht zeitnah umgesetzt ungenügendes Bewusstsein für IT/Org-Themen Hohe Abhängigkeit des Managements und der Rechnungslegung von IT Know-how-Trägern, Gefahr einer informellen Ablauforganisation fehlerhafte Aufgabenabwicklung Änderungen in rechnungslegungsrelevanten Anwendungen werden nicht sachgerecht umgesetzt, Gefahr von materiellen Fehlern in der Rechnungslegung Geschäftliche Ausrichtung unzureichende IT-Strategien und Planungen, unzureichendes Sicherheitskonzept gesetzliche Anforderungen oder Anforderungen an die Rechnungslegung werden nicht erfüllt bzw. nicht mit der erforderlichen Priorität bearbeitet ungenügende Anpassung der Richtlinien und Verfahren, Aufgaben und Kompetenzen Dauerhaft hohe Fehlerrisiken für die Rechnungslegung zurück

32 IT-Risikomatrix II 32 Abhängigkeit Änderungen Know-how/ Ressourcen geschäftliche Ausrichtung IT-Geschäftsprozesse Abläufe sind weitgehend automatisiert bzw. komplex und damit fehleranfällig hohe Komplexität neuer Prozesse, fehlende Akzeptanz der Anwender unzureichende Unterstützung der Anwender langsame, ineffiziente und fehleranfällige Aufgabenabwicklung Mögliche Risiken: Geringe Transparenz der Rechnungslegung, Fehler bleiben unentdeckt, Hohes Fehlerrisiko in der Rechnungslegung, Anwender machen Fehler bei der Ausführung, Ordnungsmäßigkeit und Sicherheit in der Rechnungslegung kann stark gefährdet sein, weil sich Fehler über einzelne Funktionsbereiche auswirken können IT-Anwendungen Ausfälle gefährden Kernprozesse und Geschäftsabwicklung neue Funktionalität, Eingabe- und Bearbeitungsfehler fehlerhafte Anwendungsentwicklung/ -betreuung geringe Unterstützung der Markt- und Benutzeranforderungen Mögliche Risiken: Keine (zeitnahe) Erfassung des Buchungsstoffes, Versagung des Bestätigungsvermerkes wegen mangelnder Ordnungsmäßigkeit Buchungsfehler aufgrund manueller Eingaben oder bei programmierten Buchungen, Beeinträchtigung der Ordnungsmäßigkeit; Freigabe fehlerhaft durchgeführter Programmänderungen, Anwender können mit den Anwendungen nicht sachgerecht umgehen hohe Gefahr von Fehlern im Rechnungswesen, die auch zu einem Imageverlust führen können, z.b. durch falsche Fakturierung etc. zurück

33 IT-Risikomatrix III 33 Abhängigkeit Änderungen Know-how/ Ressourcen geschäftliche Ausrichtung IT-Infrastruktur Mögliche Risiken: unzureichende Gestaltung des Outsourcings erhöht Abhängigkeit von Dritten Funktionsfähigkeit der Rechnungslegung, Aufrechterhaltung der betrieblichen Abläufe, kein eigenständiges Agieren komplexe, neue Technologien, Sicherheitslücken Mangelnde Transparenz der Rechnungslegung, wenig Eingriffsmöglichkeiten durch das Management, hohe inhärente Risiken und Kontrollrisiken veraltete Strukturen, unzureichende Pflege, Sicherheitslücken keine Möglichkeiten für Eigenentwicklungen und Verbesserungspotential, wenig Möglichkeiten inhärente Risiken und Kontrollrisiken zu minimieren, inhomogene IT-Plattform mit Insellösungen, unzureichende Sicherheit der Daten Schnittstellenproblematik zu Im-Haus-Anwendungen, mangelnde Sicherheit der Daten kann zur Beeinträchtigung der Ordnungsmäßigkeit führen Daten Umfang, Inhalt, Aktualität Migration, Archivierung Auswertungen, Analysen Entscheidungsrelevanz Mögliche Risiken: Fehlerhafter Buchungsstoff, mangelhafte Ordnungsmäßigkeit Nichterfüllen handels- und steuerrechtlicher Vorschriften unvollständige, fehlerhafte Auswertungen und Analysen, Nichtbereitstellen von Auswertungen und Analysen falsche unternehmerische Entscheidungen aufgrund fehlerhafter Daten zurück

34 Standorte 34 Berlin Auguste-Viktoria-Straße Berlin T F Rankestraße Berlin T F Frankfurt am Main Gervinusstraße Frankfurt am Main T F Köln Aachener Straße Köln T F Nürnberg Längenstraße Nürnberg T F Dresden Bautzner Straße Dresden T F Hamburg Domstraße Hamburg T F Leipzig Petersstraße Leipzig T F Potsdam Hebbelstraße Potsdam T F München Herzog-Heinrich-Straße München T F Greifswald Steinbeckerstraße Greifswald T F