Prof. Dr. Dr. Carl-Christian Freidank
Rz. 116
Grundlegende Skizzierung des Konzepts
Die Beurteilung des Risikos stellt schon seit Langem einen wichtigen Bestandteil des prüferischen Handelns dar. In jüngerer Zeit steht jedoch die risikoorientierte Vorgehensweise hinsichtlich der Planung eines Prüfungsauftrages im Zentrum der Betrachtung. Der aus dem amerikanischen Schrifttum stammende Begriff "Internal Control" wurde dabei von dem Terminus "Control Structure" ("Kontrollstruktur") abgelöst. Der elementare Unterschied besteht darin, dass nach neuerer Auffassung das Kontrollumfeld neben dem Buchführungs- und dem Internen Kontrollsystem zu den Bestandteilen der Kontrollstruktur des Unternehmens gehört und damit in die Prüfung integriert wird. Durch den Einzug des Kontrollumfeldes kann bei Identifikation bestimmter Risiken in diesem Bereich (z. B. Unterqualifikation von Angestellten), die Einfluss auf die Verarbeitungsvorgänge des Buchführungssystems (z. B. Inventurarbeiten) und somit auf die Verarbeitungsergebnisse (z. B. Posten des Jahresabschlusses) haben, unter Berücksichtigung der Beurteilung der Wesentlichkeit dieser Risiken eine effiziente Prüfungsdurchführung im Rahmen der Prüfungsplanung geschaffen werden. Abbildung 17 verdeutlicht unterschiedliche Komponenten der Kontrollstruktur i. w. S. Die Funktionsweise des risikoorientierten Prüfungsansatzes wird im Folgenden wieder anhand des Phasenschemas von Abb. 16 verdeutlicht.
Rz. 117
In Planungsphase I sollte zunächst eine Globalstrategie für den gesamten Prüfungsprozess entwickelt werden. Basierend auf der Analyse allgemeiner (z. B. Geschäftstätigkeit und wirtschaftliches Umfeld) und spezifischer Informationen (Kontrollumfeld, Buchführungs- und Internes Kontrollsystem) kann der Prüfer erste Beurteilungen der relevanten Risikosituationen des zu prüfenden Unternehmens durchführen. Unter Rückgriff auf Konjunktur- und Branchendaten sowie individuelle Dokumentationen des Mandanten erfolgt hier zunächst eine vorläufige Einschätzung des Risikos. Abbildung 18 zeigt detaillierte Analysebereiche zur Einschätzung von Fehlerrisiken des Unternehmens und des Unternehmensumfeldes. Die durch (System-)Prüfungen in Prüfungsphase I gewonnenen Erkenntnisse werden in Planungsphase II verwendet, um detaillierte Revisionshandlungen für die Prüfungsphase II festzulegen. Von entscheidender Bedeutung ist in diesem Zusammenhang die Überlappung der Planungsphase II und der Prüfungsphase I, denn erst nach Einschätzung der Wirksamkeit des IKS kann der Revisor zu einer vertretbaren Risikobeurteilung gelangen. Am Ende der Planungsphase II steht mithin das Konzept für eine detaillierte Prüfungsstrategie im Hinblick auf die Revision einzelner Prüffeldgruppen bzw. Prüffelder. Diese Phase bildet das Kernstück der risikoorientierten Abschlussprüfung, denn hier werden die noch durchzuführenden ergebnisorientierten Prüfungshandlungen unter Berücksichtigung der im Unternehmen vorliegenden Verarbeitungsvorgänge und der Wesentlichkeit geplant.
Rz. 118
Die Risikobeurteilung ist eng mit der Prüffelderbildung im Rahmen des Transaction Flow Auditing verknüpft. Nach diesem Konzept erfolgt die Bildung der Prüferfelder unter Berücksichtigung der gesamten Geschäftstätigkeit des Unternehmens und der zugehörigen Verarbeitungs- und Kontrollsysteme, die in eine begrenzte Zahl von Tätigkeitszyklen (Cycles) aufgespaltet werden.
Abb. 17: Komponenten der Kontrollstruktur
Abb. 18: Checkliste zur Einschätzung von Fehlerrisiken
Rz. 119
Die jeweiligen Prüffelder werden dann nach Maßgabe der im Rahmen der einzelnen Tätigkeitszyklen feststellbaren Geschäftsvorfälle sowie der damit verbundenen Verarbeitungs- und Kontrollsysteme gebildet. Für Industrieunternehmen werden folgende Tätigkeitszyklen vorgeschlagen: Finanzen, Aufwand, Herstellung/Verarbeitung, Ertrag und Berichterstattung. Beispielhaft könnten so im Rahmen des Transaction Flow Auditing dem Tätigkeitszyklus "Herstellung/Verarbeitung" die Prüffelder "Vorratshaltung und Lagerbuchführung", "Anlagenbuchführung", "Fertigungssteuerung" und "Kostenrechnung" zugeordnet werden. Die Risikoeinschätzungen der einzelnen Transaktionszyklen sind mithin auf Grundlage der im Rahmen der Zyklen feststellbaren Geschäftsvorfälle vorzunehmen. Eine derartige Vorgehensweise bietet sich vor allem deshalb an, weil die Risikoanalyse eng mit den Systemprüfungen verzahnt ist und die zu prüfenden Systeme die Ablaufstruktur der jeweiligen Tätigkeitszyklen widerspiegeln. Folgendes Beispiel soll die Vorgehensweise verdeutlichen. Stellt der Prüfer in der abgelaufenen Periode z. B. fest, dass es im Tätigkeitszyklus "Finanzen", dem die Prüffelder "Beziehungen zu Eigenkapital- und Fremdkapitalgebern", "Bestandsverwaltung der finanziellen Mittel und Wertpapiere" sowie "Finanzanlagen" zugeordnet werden, wiederholt zu dolosen Handlungen von Mitarbeitern gekommen ist oder bestimmte Funktionstrennungen im Kassen- und Bankbereich nicht eingehalten wurden, dann liegt die Vermutung einer nicht ordnungsgemäßen Bestandverwaltung der finanz...