Prof. Dr. Dr. Carl-Christian Freidank
Rz. 111
Der traditionelle Prüfungsansatz beruht auf einer Internal-Control-Beurteilung mit anschließenden, ggf. stichprobenartigen Einzelfallprüfungen der Bestands- und Erfolgsposten. Nach älterer Auffassung wird der Begriff "Internal Control" mit "Internes Kontrollsystem" (IKS) übersetzt, unter dem die Summe der in einem Unternehmen installierten strategischen und operativen Kontrollen verstanden wird (vgl. Rz. 73 ff.).
Rz. 112
In der Planungsphase I des Phasenschemas von Abb. 16 erfolgt zunächst eine Aufteilung des Prüfungsstoffes in Prüffeldgruppen und Prüffelder. Die Ergebnisse der Systemprüfungen aus Prüfungsphase I gehen schließlich in die Planungsphase II ein und bestimmen damit Art und Umfang der ergebnisorientierten Prüfungshandlungen in Prüfungsphase II. Die Beurteilung der Kontrollstruktur kann durch eine indirekte oder direkte Systemprüfung erfolgen. Bei der direkten Methode werden System- bzw. IT-Programme direkt analysiert, wobei Urteile über die System- bzw. Programmqualität abgegeben werden können. Im Rahmen der indirekten Methoden wird lediglich die Funktionsweise des Systems mithilfe von Vergleichs-, Kennzahlen oder Testdaten überprüft. Der Prüfungsumfang hinsichtlich der Beurteilung der Kontrollstruktur bemisst sich nach dem Bedeutungsgrad der Informationsverarbeitung in einem Unternehmen. Die Prüfungshandlungen geben dem Revisor darüber Aufschluss, in welchen Unternehmensbereichen er sich bei seinen Beurteilungen auf das IKS stützen kann, und wo und in welchem Umfang Einzelfallprüfungen folgen müssen.
Rz. 113
In der Prüfungsphase I stehen zunächst Systemprüfungen an, die Aufschluss über die korrekte und vollständige Erfassung und Verarbeitung der Elemente des Prüfungsobjektes geben sollen. Als mögliche Prüfungsobjekte kommen das Buchführungs-, das Interne Kontroll-, das Lager- und Inventur-, das Kostenrechnungs- sowie das Informationsverarbeitungssystem in Betracht. Mithilfe der Systemprüfung soll im Rahmen der Jahresabschlussprüfung festgestellt werden, ob die Ordnungsmäßigkeit der Rechnungslegung in organisatorischer Hinsicht sichergestellt ist. Die Intensität bzw. der Umfang der durchzuführenden Prüfungshandlungen wird durch das Ergebnis der Systemprüfung determiniert. Zeigen sich beispielsweise Schwachstellen im System, müssen die Prüfungshandlungen in dem betreffenden Bereich intensiviert werden. Dagegen kann die Anzahl der Einzelfallprüfungen zu den verschiedenen Abschlussposten reduziert werden, wenn die Sicherstellung der Ordnungsmäßigkeit der Rechnungslegung in organisatorischer Hinsicht durch die Systemprüfung bestätigt werden konnte. Die Systemprüfung erfolgt grundsätzlich in 2 Stufen und führt zur Verbesserung der Prüfungseffizienz, zur Reduzierung des Prüfungsaufwands sowie zur Steigerung der Urteilsfähigkeit.
Abb. 16: Prüfungsprozess als Phasenschema
Rz. 114
Aufbauend auf den Ergebnissen der Systemprüfung erfolgt in der Prüfungsphase II die abschließende Beurteilung des Prüfungsobjektes durch Einzelfallprüfungen (ergebnisorientierte Prüfung).
Rz. 115
Zentrales Element des traditionellen Prüfungsansatzes ist die Beurteilung des IKS. Im Ergebnis fußt das Konzept auf der Annahme, dass mit steigender Effizienz des IKS das Fehlerrisiko der verarbeiteten Daten sinkt und folglich zu einer Reduktion des Umfangs weiterer Prüfungshandlungen führt, da sich der Revisor auf die Wirksamkeit der installierten Kontrollen stützen kann. Notwendige Bedingung für die Reduktion ergebnisorientierter Prüfungshandlungen ist die detaillierte Analyse der IT-Systeme und des IKS durch indirekte oder direkte Prüfungen. Aufgrund des in aller Regel hohen Komplexitätsgrades des IKS werden umfangreiche Systemprüfungen notwendig, um mit hinreichender Sicherheit ein Urteil über seine Effizienz abgeben zu können. Der traditionelle Prüfungsansatz berücksichtigt durch seine standardisierte Vorgehensweise zudem nur unzureichend die Verhältnisse beim Mandanten. Im Rahmen der Systemprüfungen kommen vor allem die IT-gestützte Programmfunktions- und -identitätsprüfung als Revisionsinstrumente in Betracht. Zur Bestimmung von Stichproben kann auf Dienstprogramme wie z. B. Audit Command Language (ACL) oder Interactive Data Extraction and Analysis (IDEA) zurückgegriffen werden.