25. August 2020

Digitalisierung der Abschlussprüfung – Gegenwart und Zukunft der Wirtschaftsprüfung

Die Digitalisierung der Abschlussprüfung durch Datenanalysen, Remote Audit, digitale Belege und Automatisierung mit Bots sind die Zukunft der Wirtschaftsprüfung!

Technologien – Cloud Computing, Bots, Business Analytics, KI –  sie etablieren sich immer mehr in den zu prüfenden Unternehmen, auch im Mittelstand. So hat mir ein Mandant, ein Logistik-Dienstleister, während eines IKS Gesprächs einfach mal beiläufig erwähnt, welche rechnungslegungsrelevanten Meldungen an Kunden nun der Bot erledigt. Das zeigt deutlich, Technologien verändern Prozesse – diese werden automatisierter und integrierter.

Wie soll ich aber nun die vom Bot erzeugten Massendaten überprüfen, wenn keine sichtbaren Kontrollnachweise mehr existieren?

Eigentlich nur so

• prüfe und teste den Bot selbst (habe ja schon selbst welche entwickelt)
• prüfe Retrograd anhand der Daten – z.B. welche Herkunft haben die Umsätze, welche wurden über technische Batch-User generiert

Das Beispiel zeigt, die im Unternehmen eingesetzte Technologie und IT erfordert zwangsläufig einen Wandel bestehender Methoden und Techniken zur Jahresabschlussprüfung. Dafür benötigen Wirtschaftsprüfer aber auch entsprechende Rahmenbedingungen und internationalen Prüfungsstandards (ISA).

Diesen Umstand hat das IAASB erkannt und am 19.12.2019 den ISA 315 (Revised) veröffentlicht.

 

Datenbasierte Risikobeuteilung (ISA 315 revised) 

Angesichts des digitalen Wandels hat der neuen revised ISA 315 aus gutem Grund den Fokus auf  folgende Aspekte zur Risikobeurteilung gelegt:

• Verständnis des Unternehmens und des Umfeldes (ISA 315.19)
• Identifizierung und Beurteilung relevanter Bestandteile des Internen Kontrollsystems (IKS) – immer unter Berücksichtigung der eingesetzten IT-Systeme (ISA 315.26)
• Verständnis über die Entstehung von Buchungsdaten (ISA 315.25a), den Einsatz von Datenenanalysen (ISA 315.A21) und analytische Prüfungshandungen (ISA 315.14b, A31)

Die Verwendung von Daten wird in den Erläuterungen mit dem Einsatz automatisierter Tools und Techniken (ATT) umschrieben. Neben der eigentlichen Datenanalyse werden so auch Automatisierungen z.B. mit Robotic Process Automation (RPA)  erfasst. Im Grunde soll die Datenanalyse bzw. Automatisierung in sämtlichen Phasen und Bereichen zum Einsatz kommen – immer jedoch unter einem anderen Blickwinkel und Fragestellung.

 

IKS Prüfung

Mit controls bezeichnen die ISA das Interne Kontrollsystem (IKS ). Dies umfasst alle von der Geschäftsleitung definierten Regeln und Kontrollhandlungen, die eine ordnungsmäßige Buchführung und Richtigkeit des Jahresabschlusses sicherstellen sollen. Beispiele hierfür:

• organisatorische Trennungen (4-Augen Prinzip),
• Benutzerrechte,
• Freigabe-Regeln (Verantwortliche),
• manuelle Abstimmungen
• Systemkontrollen

Immer dann, wenn substanzielle Prüfungshandlungen allein nicht ausreichen oder nicht geeignet sind, um relevante Risiken zu überprüfen (ISA 315.A151), dann sind die – das Risiko adressierenden – Kontrollen einer IKS Prüfungen zu unterziehen. Im Rahmen der Risikobeurteilung sind die Kontrollen zunächst auf ihre Eignung zu beurteilen, ob sie das jeweilige Risiko überhaupt angemessen adressieren (Angemessenheits-/Eignungstest). Bei entsprechender Eignung erfolgt als Reaktion ein test of controlls – die wirksame, kontinuierliche Anwendung der Kontrolle.

Und was ist wenn, wenn keine Kontrollhandlungen sichtbar sind oder permanent durch das IT-System erfolgen?

Dann hat sich der Prüfer von der Wirksamkeit der Systemkontrolle zu überzeugen (z.B. grüne Ampel, Fehler-Logfiles).

Grundsätzlich kommen auch zur IKS Prüfung Datenanalysen zum Einsatz. Hiermit werden bereits vorher mögliche Kontrollverletzungen identifiziert – durch ungewöhnliche Prozessabzweigungen, Herkunftscodes oder unberechtigte Nutzer.

 

Suchergebnisse nach “data” und “automated” im revised ISA 315 

Gegenüber älteren Standards wie dem ISA 330 oder auch dem IDW PS 261 n.F. kommen die Begriffe “Daten” und “automatisiert” ungewöhnlich häufig vor.

data – insgesamt 134 Treffer bei 118 Seiten (Vergleich ISA 330: 2 Treffer bei 23 Seiten)

automated – insgesamt 41 Treffer bei 74 Seiten  (Vergleich ISA 330: 7 Treffer bei 23 Seiten)

Dies zeigt die Relevanz der vermeintlich neuartigen Methoden aus Sicht der Standards – tatsächlich greifen die ISA nur  mit einiger zeitlicher Verzögerungen bereits gegenwärtige Möglichkeiten und Techniken auf.

 

Automatisierte Tools und Techniken (ATT)

Nach den ISA haben automatisierte Tools und Techniken u.a. folgende Vorteile – weshalb Datenanalysen auch vom Prüfer zur Risikobeurteilung eingesetzt werden sollen (ISA 315.14):

• mit den richtigen Tools lassen sich große Datenbestände analysieren (ISA 315.A21)
• Analytische Prüfungshandlungen helfen dem Prüfer, Auffälligkeiten und ungewöhnliche Transaktionen zu erkennen (ISA 315.A27).

Dabei werden als Typen von analytischen Prüfungshandlungen beispielhaft genannt (ISA 315.A29)

• Relationen zwischen finanziellen Größen und nicht finanziellen (aber kausalen) Einflussfaktoren
• Beispiel: Umsätze zu Verkaufsfläche = Umsatz je qm (z.B. zum Umsatzabgleich im Einzelhandel)
• Verdichtung in aggregierten Kennzahlen

Einsatzbereiche von ATT im ISA 315:

• Analyse großer Datenbestände (A21)
• Analytische Prüfungshandlungen (A31)
• Ferngesteuerte Beobachtung im Rahmen von Remote Audit z.B. Einsatz von Drohnen (A35)
• Verständnis über IT gestützte Prozessabläufe sowie über Transaktionen mit Kunden, Lieferanten und nahestehenden Unternehmen (A57)
• Process Mining – d.h. das Tracking von Transaktionen und den Workflow durch das IT-System (A137)
• Identifizierung unüblicher Journalbucheinträge (A161)
• Identifizierung signifikanter Klassen von Transaktionen, Konten und Angaben (A203)

Reaktionen auf beurteilte Risiken (ISA 330) 

Nach ISA 330.4 kann der Prüfer als Reaktionen auf die beurteilten Risiken substanzielle – d.h. aussagebezogene und (daten-) analytische Prüfungshandlungen – sowie Tests von Kontrollen (IKS Prüfung) durchführen.

IKS Prüfungen sind immer dann durchzuführen, wenn substanzielle Prüfungshandlungen allein nicht ausreichen oder nicht geeignet sind.

Umgekehrt sind substanzielle Prüfungshandlungen grundsätzlich bei materiellen Transaktionen, Kontensalden oder Angaben durchzuführen (ISA 330.18).

 

Zusammengefasst …

bleiben der risikoorientierte Ansatz, als auch die prinzipienbasierte  Formulierung der Prüfungsstandards im Kern erhalten.

Die Risikobeurteilung selbst wird jedoch deutlich technologischer und hat Ihren Fokus auf die IT gerichtet.

Die Prinzipienorientierung ermöglicht dem Prüfer weiterhin eine angemessene Skalierung im Falle wenig komplexer Einheiten. Zudem macht der ISA keine Vorgabe hinsichtlich der Tool Auswahl. Bei überschaubaren Prüfungen kann auch Excel ausreichend sein kann.

Etablierte Datenanalyse Tools wie auditbee bieten natürlich komfortablere Möglichkeiten und nehmen dem Prüfer bereits einiges an Arbeit in der Datenaufbereitung ab.

 

Ausblick – was muss sich ändern?

Der revised ISA 315 setzt jedoch zukünftig zeitgemäße Handlungen voraus, um Risiken in einer digitalen Welt angemessen zu beurteilen.

Allen Wirtschaftsprüfern ist daher zu Empfehlen, zukünftig die gleiche Technologie ins Feld führen zu können wie das jeweilige Unternehmen.

Jedoch hilft nicht nur die Technologie – Wirtschaftsprüfer sollten auch das notwendige datenanalytische Mindset entwickeln.

Dies ist grundsätzlich auch immer Ziel der auditbee Trainings und Workshops – es geht darum Daten zu verstehen und Zusammenhänge zu erkennen.