Auswirkungen des ISA Prüfungsansatzes in Deutschland auf IDW PS und die WP/vBP-Berufssatzung 1 Untersuchungsgegenstand Über die Einführung der ISA als neuer Prüfungsstandard wurde und wird ausführlich in der Literatur diskutiert. 2 Für eine Abschlussprüfung nach deutschen Vorschriften wird allgemein behauptet, dass diese im Grunde in den verschiedenen deutschen Prüfungsstandards bereits umgesetzt seien, damit quasi das endgültige Inkrafttreten lediglich eine Formsache darstelle. 3 Diese Behauptung gilt es im Folgenden näher zu untersuchen, wobei der Schwerpunkt auf dem ISA Prüfungsansatz liegt. 1. Genereller Prüfungsansatz nach ISA Wenig Beachtung hat bisher die Frage gefunden, welcher generelle Prüfungsansatz in den ISA verankert ist. 4 Damit ist die Grundstruktur und Hierarchie der Prüfungsmethoden und deren Aussagemöglichkeiten gemeint. ISA unterscheiden grundsätzlich zwischen Substantive Procedures, im Folgenden Einzelfallprüfung genannt und Test of Controls, im Folgenden als Prüfung des Internen Kontrollsystems bezeichnet. Die offizielle deutsche Übersetzung von Substantive Procedures als aussagebezogene Prüfungshandlung ist etwas unglücklich. 5 Substantive Procedures sind Einzelfallprüfungen und umfassen insgesamt vier Kategorien 6 : 1. Tests of details of classes of transactions 2. Test of details of account balances 3. Test of details of disclosures 4. Substantive analytical procedures 7 Zu den Analytical Procedures zählen nicht nur die klassische Bilanzanalyse oder Marge- nanalysen, sondern auch die Analysen auf Basis DV gestützter Software. Während die klassische Bilanzanalyse an aggregierten Zahlen ansetzt, erlaubt die DV gestützte Methode die Analyse des gesamten Datenbestandes eines Prüfungsgebiets, setzt also an der Einzelbuchung an. Damit erweitern DV gestützte Prüfungsmethoden ganz erheblich das Einsatzgebiet der Substantive Procedures. Die offizielle Übersetzung von Test of Controls als Funktionsprüfung wird hier ebenfalls nicht verwendet. Im Kern geht es um die Prüfung des Internen Kontrollsystems. Die Funktionsprüfung bezieht sich auf die Prüfung derjenigen Komponenten des Internen Kontrollsystems, die im Rahmen eines risikoorientierten Prüfungsansatzes als relevant angesehen werden bzw. auf die sich der Prüfer bei seinem Prüfungsurteil stützen will. Die ISA enthalten zur Relevanz der Prüfungsmethoden einige grundsätzliche Aussagen: ISA 315 A 46: Das interne Kontrollsystem unterliegt, unabhängig von seiner Effektivität, grundsätzlichen konzeptionellen Einschränkungen, die den Ausschluss eines Prüfungsrisikos nicht ermöglichen. ISA 330 A4 c: Eine Kombination aus Einzelfallprüfungen und Prüfungen des internen Kontrollsystems wird als effektiver Ansatz gesehen, wobei unabhängig vom gewählten Prüfungsansatz für alle wesentlichen Positionen und Arten von Transaktionen Einzelfallprüfungen durchzuführen sind (Verweis auf ISA 330.18). Dies gilt selbst dann, wenn sich der Prüfer auf das Funktionieren der in- 1 Von Dr. Richard Wittsiepe, WP/CPA/StB, Duisburg 2 Siehe aktuell Aufsatzserie in der Wirtschaftsprüfung. 3 Die IDW Prüfungsstandards enthalten in der Regel einen Absatz zur Übereinstimmung mit ISA. 4 ISA 315, 330. 5 IDW ISA Textausgabe Englisch-Deutsch 6 Siegel, Dauber, Shim: The Vest Pocket CPA, 4th ed, S.460. 7 ISA 520.5 i.v.m. ISA 330 und Montgomery s Auditing, 12th ed. 6.2 Audit Evidence and Audit Tests. Autor des Beitrags WP/CPA/StB Dr. Richard Wittsiepe, Duisburg 1
ternen Kontrollen verlassen will. ISA 330 A4b: Für bestimmte Prüfungsgebiete kann allein auf Einzelfallprüfungen zurückgegriffen und auf eine Prüfung interner Kontrollen ganz verzichtet werden. Der Prüfungsansatz wird in ISA 500 A10 erneut angeführt. Er bildet die Basis für die Abgabe eines Prüfungsurteils (Audit Evidence). Der Prüfungsplanung sowie der Frage der Wesentlichkeit kommt bei diesem Ansatz eine besondere Bedeutung zu. Es ist offensichtlich, dass unwesentliche Positionen und Abläufe mit Einzelfallprüfungen in Form von Analytical Procedures erfasst werden können. Auch bei wesentlichen Positionen ist dies ohne weiteres möglich, wenn die Datenbasis die Anwendung DV gestützter analytischer Methoden erlaubt. Ergibt sich im Rahmen einer Prüfungsplanung, dass solche DV gestützten Methoden sinnvoll Anwendung finden können, dann kann auf die Prüfung des internen Kontrollsystems verzichtet werden. Damit ist nicht gesagt, dass Interne Kontrollen in Bezug auf die Rechnungslegung ohne Bedeutung sind. Nur bei der Entwicklung einer Prüfungsstrategie treten sie in ihrer Bedeutung hinter der Einzelfallprüfung zurück. 8 Schlussfolgerung für den Prüfungsansatz Nach ISA haben Einzelfallprüfungen ein höheres Gewicht als Prüfungen des internen Kontrollsystems. Die Aussagekraft von Einzelfallprüfungen im Hinblick auf das Prüfungsergebnis (Audit Evidence) hat Priorität und ist deshalb bei der Entwicklung eines Prüfungsansatzes im Rahmen der Prüfungsplanung Vorrang einzuräumen. 2. Bestätigungsvermerk nach ISA 700 Die Gewichtung des internen Kontrollsystems zeigt sich auch im Bestätigungsvermerk nach ISA 700. Im Anhang zu ISA 700 werden drei Beispiele angeführt. 8 Montgomery s Auditing, 12th Ed. 12.2. Developing the Audit Strategy. Der entsprechende Satz in der offiziellen Übersetzung des IDW zum 2. Beispiel lautet wie folgt: 9 Bei der Beurteilung dieser Risiken berücksichtigt der Abschlussprüfer das für die Aufstellung des Abschlusses durch die Einheit relevante interne Kontrollsystem, um Prüfungshandlungen zu planen, die unter den gegebenen Umständen angemessen sind, jedoch nicht mit dem Ziel, ein Prüfungsurteil zur Wirksamkeit des internen Kontrollsystems der Einheit abzugeben. Bezüglich der Verantwortung des Managements für den Abschluss ist diese nur gegeben auf interne Kontrollen, die das Management für notwendig erachtet, um die Aufstellung des Jahresabschlusses zu ermöglichen. 10 Auch nach Abschluss des Clarity Projects hat sich an der Bedeutung des internen Kontrollsystems im Bestätigungsvermerk nach ISA 700 nichts verändert. Weiterhin wird ausdrücklich keine Bewertung des internen Kontrollsystems abgegeben. 11 In einer Fussnote zu ISA 700 wird ausgeführt, dass für den Fall einer Verpflichtung des Prüfers zur Abgabe einer Aussage über die Effektivität des internen Kontrollsystems im Zusammenhang mit einer Prüfung der Bestätigungsvermerk zu ändern ist. Diese Verpflichtung ergibt sich aber nicht aus den ISA selbst, nach diesen Standards wird eine solche Aussage über die Effektivität des internen Kontrollsystems ausdrücklich nicht abgegeben. 3. Bestätigungsvermerk nach IDW PS 400 Betrachtet man die Aussagen zum internen Kontrollsystem des PS 400, so ist dort eine Beurteilung der Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems enthalten. 12 Dieses Urteil über die Wirksam- 9 IDW: ISA-Textausgabe Englisch-Deutsch, S.883. 10 Der US Standard Audit Report enthielt bisher keinen Bezug zu internen Kontrollen. Eine Anpassung an ISA 700 erfolgte mit dem Clarity Projekt und gilt für Stichtage nach dem 15.12.2012. 11 2012 Handbook of ISAs and Quality Control: ISA 700 Appendix, S680. 12 Siehe Anhang zu IDW PS 400: Im Rahmen der Prüfung werden die Wirksamkeit des rechnungslegungsbezogenen internen Kontrollsystems...beurteilt 2
keit eines Internen Kontrollsystems ist aber was völlig anderes als die Aussage in ISA 700, die gerade nicht ein Urteil über die Wirksamkeit abgibt, dieses sogar ausschließt. 4. Prüfung des internen Kontrollsystems nach IDW PS 261 Die Prüfung der Angemessenheit des internen Kontrollsystems ist im Abschnitt 3.1.2.5. des IDW PS 261 geregelt. Er postuliert quasi eine Pflicht zur Prüfung des internen Kontrollsystems. Dies ist auch folgerichtig, da im Bestätigungsvermerk ein Urteil über dessen Wirksamkeit abgegeben werden soll. Davon zu unterscheiden ist die im Rahmen einer ISA Prüfungsplanung vorgenommene Beurteilung des internen Kontrollsystems und die Frage, ob sich die Prüfung auf die Ergebnisse der Wirksamkeit interner Kontrollen verlassen soll oder nicht. Dazu bedarf es eines Verständnisses des internen Kontrollumfeldes, aber nicht dessen Prüfung selbst. Montgomery s Auditing führt dazu aus: Most controls that relate to the effectiveness of various management decision-making processes are not relevant to an audit and need not to be included in the auditor s understanding of internal control or control risk 13 Dieses klassische Verständnis der Rolle interner Kontrollen findet sich ebenfalls in ISA 315.12 14, Wird im Rahmen der ISA Prüfungsplanung unter Beachtung der Wesentlichkeit festgestellt, dass die verschiedenen Prüfungsrisiken durch Einzelfallprüfungen abgedeckt werden können, ist das interne Kontrollsystem für das Prüfungsurteil irrelevant. Wichtiges Ergebnis: Der in den deutschen Prüfungsgrundsätzen der Prüfungsstandards verankerte Prüfungsansatz entspricht nicht den internationalen Standards. 5. Ursachen Umsetzung des Sarbanes Oxley Act 13 Siehe dazu: Montgomery s Auditing, 12th Ed. 9.2. Relevance of an enetity s internal control to an audit. 14 ISA 315 folgt dem Prüfungsansatz, der in Montgomery Auditing,12 th Ed., 9. Overview of Internal Control, 10. Understanding Entity-Level Controls und 11. Understanding Activity-Level Controls zur Entwicklung der Prüfungsstrategie wiedergegeben ist. Der Sarbanes Oxley Act (SOX) war eine Reaktion des US-Kongresses auf spektakuläre Zusammenbrüche von Unternehmen als Ergebnis von Bilanzmanipulationen in den Jahren 2001 und 2002. 15 Er war insbesondere eine Reaktion auf die Vorkommnisse bei Enron. 16 Die Hinweise zu den Bilanzmanipulationen kamen von internen Mitarbeitern und es stellte sich heraus, dass die Prüfungsgesellschaften selbst Teil des Problems waren. 17 In dieser Krise und zur Rückgewinnung des Vertrauens der Öffentlichkeit in den Aktienmarkt wurde unter Zeitdruck das Gesetz verabschiedet. 18 Der Anwendungsbereich des SOX war aber auf börsennotierte Unternehmen beschränkt und in der Folge wurde über den Sinn der weitreichenden Verpflichtungen zum Aufbau eines internen Kontrollsystems für kleinere, an der Börse gelistete Unternehmen, diskutiert, die in Sec. 404 SOX enthalten sind. Als Ergebnis gab es diverse Empfehlungen verschiedener Kommissionen, darunter SEC Advisory Committee on Smaller Public Companies von 4/2006; Committee on Capital Markets Regulation von 11/2006, McKinsey Study for New York City Mayor Bloomberg von 1/2007, die im Kern eine Abschaffung bzw. erhebliche Erleichterung der sich aus Sec. 404 SOX ergebenen Verpflichtungen forderten. 19 6. Registrierung und Qualitätskontrolle von Wirtschaftsprüfern Mit dem SOX wurde der Public Company Accounting Oversight Board (POACB) installiert, der u.a. die Registrierung einer Wirtschaftsprüfungsgesellschaft in Sec. 102 als notwendige Voraussetzung zur Prüfung börsennotierter Unternehmen einführte. Sec.103 ermächtigte den POACB zum Erlass von Standards 15 SOX trat Ende Juli 2002, wenige Tage nach der Insolvenz von WorldCom, in Kraft 16 Barbara Ley Toffler: Final Accounting, Ambition, Greed, and the Fall of Arthur Andersen, New York 2003. 17 Time Magazin Dec. 30,2002: Persons of the year: The Whistelblowers (of Worldcom and Enron) 18 Yale Journal of Regulation: Does the Sarbanes-Oxley Act have a future? Vol. 26:2, 2009, S.235ff. 19 Siehe die Zusammenfassung in: Yale Journal of Regulation, S. 307ff. 3
sowie zur Einführung und Überwachung einer Qualitätskontrolle der registrierten Prüfungsgesellschaften. Bei der Umsetzung in Deutschland wurde das Konzept des SOX auf sämtliche Abschlussprüfungen ausgedehnt, unabhängig ob die betreffende Gesellschaft an einer Börse notiert oder nicht. Stichhaltige Argumente für eine Übernahme auf alle Abschlussprüfungen waren nicht zu erkennen. Möglicherweise sollte eine Zwei-Klassen Gesellschaft bei Prüfungen und Prüfer vermieden werden, diese traf aber im Endeffekt gerade wegen der nicht konformen SOX Übernahme ein, denn die Anwendung der Vorschriften auf Prüfungen nicht börsennotierter Gesellschaften und deren Prüfer musste zwangsläufig zu einer Abstimmung mit den Füssen führen, die in einer zunehmenden Nichtteilnahme von Wirtschaftsprüfern an der Qualitätskontrolle ihren Ausdruck findet. 20 7. Ergebnis Verhältnismäßigkeit der Qualitätskontrolle ist auch nach SOX gegeben. Wenn in den USA im Nachgang zur Einführung des SOX für kleinere börsennotierte Gesellschaften die Aufhebung bzw. Modifizierung der Vorschriften zu Sec 404 (Managements Assessment of Internal Controls) gefordert wurde, 21 muss dies erst recht für nicht börsennotierte gelten. Dieses Problem hatte man aber in den USA überhaupt nicht, da SOX für den Kreis der nicht börsennotierten Gesellschaften keine Gültigkeit hatte. Mit der Anwendung des SOX Konzeptes auf alle Abschlussprüfungen in Deutschland wurde dieses Problem ausgedehnt und über den Bestätigungsvermerk für alle Prüfungen als verbindlich erklärt. Dieser systematische Fehler bei der Übernahme von SOX stellt die Hauptursache der Fehlentwicklung sowohl bei der Übergewichtung des internen Kontrollsystems als auch der Ausgestaltung der Qualitätskontrolle dar. Diese Fehlentwicklung hat auch ihren Nieder- 20 Dr. Hans-Jürgen Stuhr/Michael Gschrei: Der Ruf nach der Verhältnismäßigkeit der externen Abschlussprüferkontrolle, in: WP Praxis, Heft 11/2013 S.205. 21 Siehe Yale FN 16 schlag in zahlreichen IDW Prüfungsstandards gefunden. 22 Selbst bei der Prüfung von Kleinstkapitalgesellschaften 23 soll der Bestätigungsvermerk eine Aussage über das interne Kontrollsystem enthalten und die Prüfung nach Art und Umfang einer gesetzlichen Abschlussprüfung nach den 316 ff. HGB entsprechen. 24 Damit wird das volle Programm aufgerufen obwohl zu erwarten ist, dass ein internes Kontrollsystem entweder nicht besteht (z.b. Ein Mann GmbH) oder der Jahresabschluss mit überschaubaren Einzelfallprüfungen relativ einfach zu prüfen ist. Mit der Übernahme der Vollprüfung dürfte die Dokumentation einen größeren Raum einnehmen als die Prüfung selbst. 8. Qualitätskontrolle nach ISA 220 und ISQC 1 25 Das Konzept der Unterscheidung zwischen der Prüfung börsennotierter und nicht börsennotierter Unternehmen setzt sich in ISA 220 fort. Zwar wird grundsätzlich ein Qualitätskontrollsystem in der Verantwortung des Prüfers verlangt und grundsätzliche Anforderungen definiert, eine Kontrolle des Qualitätskontrollsystems ist aber nur für die Prüfung von börsennotierten Gesellschaften in ISA 200.19 vorgesehen. Diese Kontrolle kann entweder von einem Partner vorgenommen werden, der nicht an der Prüfung des entsprechenden Mandanten beteiligt ist, es kann sich auch um externe Personen handeln. Die Ausnahmen für kleinere Prüfungsgesellschaften sind ebenfalls genannt. In ISA 220 A29 wird Bezug genommen auf die Prüfung nicht börsennotierter Gesellschaften. Ein Review ist nur notwendig, sofern interne Vor- 22 Beispiel: PH 9.330.3 zum Einsatz der Datenanalyse und dort die Aufteilung in Abschnitt 5.2 (Internes Kontrollsystem) und 5.3 (aussagebezogene Prüfungshandlungen) 23 267a HGB: Bilanzsumme bis 350 Tsd., Umsatzerlöse 700 Tsd., bis 10 Mitarbeiter. 24 IDW Fachnachrichten 5/2013, S.231f.: Bestätigungsvermerk bei freiwilligen Jahresabschlussprüfungen von Kleinstkapitalgesellschaften. 25 International Standard on Quality Control 1 4
schriften der Prüfungsgesellschaft dies vorsehen. Die Elemente eines Qualitätskontrollsystems führt ISQC 1.16 im Einzelnen auf, der detaillierter als ISA 220 auf das Qualitätskontrollsystem eingeht. Grundsätzlich werden auch in diesem Statement die Maximalanforderungen im Hinblick auf die Prüfung börsennotierter Unternehmen definiert. Die Anwendung und Dokumentation des Qualitätskontrollsystems wird für kleinere Prüfungsgesellschaften deutlich erleichtert. So nennt ISQC 1 A1 als Beispiel die Einzelpraxis ohne Personal, für den die nicht relevanten Anforderungen, wie z.b. Personalplanung, Review und Kommunikation nicht anwendbar sind. Die Dokumentation des Qualitätskontrollsystems kann für kleinere Prüfungsgesellschaften weniger formal sein (IQSC 1 A3) Der informelle Ansatz wird für die Beurteilung der Personals (ISQC 1 A29) sowie für den Fall einer externen Begleitung, die nur für die Prüfung börsennotierter Gesellschaften verpflichtend ist, wiederholt. Grundsätzlich wird kleineren Prüfungsgesellschaften zugestanden, die Dokumentation ihres Qualitätskontrollsystems informell zu gestalten, etwa über handschriftliche Aufzeichnungen oder Checklisten (ISQC 1 A75). Sofern es sich um die Prüfung nicht börsennotierter Gesellschaften handelt kann daraus als Konsequenz geschlossen werden, dass auch eine Dokumentation der in ISA 220 und ISQC 1 definierten Qualitätskriterien einer Abschlussprüfung in den Arbeitspapieren der jeweiligen Abschlussprüfung selbst völlig ausreichend ist. Für diese Fälle ist dann auch kein Review des Qualitätskontrollsystems notwendig. 9. Chancen der ISA Einführung nutzen Die ISA Einführung bietet die Möglichkeit, die deutschen Vorschriften zur Abschlussprüfung wieder in Einklang zu bringen mit internationalen Standards. Man darf aber auch nicht die Gefahr übersehen, dass die Ermächtigung in 317 Abs. 6 HGB dazu benutzt wird, Fehlentwicklung zu zementieren. Als Beispiel sei die Prüfung von IT Systemen nach IDW PS 330 genannt. Das Konzept der in PS 330 enthaltenen Prüfung ist faktisch völlig überholt 26, wird aber als wesentlicher Bestandteil einer Abschlussprüfung gesehen. Innerhalb der ISA gibt es keinen entsprechenden Standard. Eine ordnungsgemäße Prüfung nach ISA kommt ohne IT Systemprüfung aus. Das bedeutet nicht, dass DV Fragestellungen ohne Bedeutung sind, nur eben nicht so bedeutend, wie es IDW PS 330 inhaltlich erscheinen lässt. 10. Schlussfolgerungen 1. Die deutschen Vorschriften zur Abschlussprüfung, insbesondere die IDW Prüfungsstandards, sind konsequent an die ISA anzupassen, sofern diese auch nach einer Übernahme der ISA noch Gültigkeit haben sollten. Dabei ist die Gewichtung der Bedeutung des internen Kontrollsystems, einschließlich der Prüfung IT-basierter Systeme, an ISA anzupassen. 2. Die systematischen Fehler bei der Übernahme des Sarbanes-Oxley Act in deutsches Recht sind zu eliminieren. Dies betrifft auch die Registrierung und Durchführung von Qualitätskontrollen bei Wirtschaftsprüfern, die keine Prüfung börsennotierter Unternehmen durchführen. Diese Anforderung ist ISA 220 sowie ISQC 1 anzupassen. Die Anwendung der definierten Qualitätskriterien können bei der Prüfung nicht börsennotierter Gesellschaften auch in den Arbeitspapieren der Prüfung selbst dokumentiert werden. Eine Prüfung eines formalen Qualitätskontrollsystems kann für diese Fälle komplett entfallen. 26 Das Konzept von PS 330 stammt aus 2002. 5