Prof. Dr. Dr. h.c. Jörg Baetge, Prof. Dr. Peter Dittmar
a) Gegenstand und Bedeutung
Rn. 39
Stand: EL 41 – ET: 12/2023
Obwohl in der Praxis Erfassungs-, Verarbeitungs- und Überwachungstätigkeiten eng miteinander verknüpft sind, empfiehlt es sich, gedanklich einerseits zwischen dem Erfassungs- und Verarbeitungssystem und andererseits dem Überwachungssystem im Rechnungswesen eines UN zu unterscheiden. Das Erfassungs- und Verarbeitungssystem umfasst alle Regelungen und Anweisungen, die dafür sorgen, dass die Geschäftsvorfälle im Rechnungswesen nicht zufällig, sondern nach einer bestimmten Ordnung erfasst und verarbeitet werden (vgl. Leffson (1988), S. 228). Die Einrichtungen und Maßnahmen, welche die normgerechte Erfassung und Verarbeitung der Geschäftsvorfälle sichern sollen, bilden das IKS (vgl. Kicherer (1970), S. 150), welches sowohl das Interne Steuerungssystem als auch das Interne Überwachungssystem (IÜS) umfasst. Das IÜS umfasst prozessintegrierte und prozessunabhängige Kontrollaktivitäten (vgl. ISA [DE] 315 (2022), Rn. A153f.) .
Rn. 40
Stand: EL 41 – ET: 12/2023
Zu den prozessintegrierten Kontrollaktivitäten gehören sowohl organisatorische Sicherungsmaßnahmen als auch Kontrollen des UN. Organisatorische Sicherungsmaßnahmen dienen dazu, das geforderte Sicherheitsniveau in der Aufbau- und Ablauforganisation eines UN zu gewährleisten. Die im UN implementierten Kontrollen sollen darüber hinaus aufgetretene Fehler in der RL verhindern sowie dennoch aufgetretene Fehler aufdecken. Der AP hat dabei zu beurteilen, ob die eingerichteten Funktionstrennungen, Zugriffsbeschränkungen im IT-Bereich, Zahlungs-R, Kompetenzordnungen etc. eingehalten werden. Er hat zudem zu überprüfen, ob die Mitarbeiter ihre Funktion und ihre Verantwortlichkeit sowie die ihnen übertragenen Aufgaben im IKS genau kennen (vgl. ISA [DE] 315 (2022), Rn. A133; Baetge (1988), S. 383 (389)). Als Reaktion auf identifizierte IT-Risiken hat der AP die eingerichteten IT-Kontrollen zu prüfen (vgl. ausführlich WP-HB (2023), Rn. L 651ff.). In diesem Zusammenhang wird durch ISA [DE] 315 (2022) die IT-Prüfung nicht länger in einem separaten Prüfungsstandard adressiert. Kontrollaktivitäten in einem IT-gestützten RL-System werden vielmehr als wesentlicher Bestandteil des IKS und damit letztlich Kernstück des risikoorientierten Prüfungsansatzes definiert (vgl. Reutter/Gaab, WPg 2023, S. 491).
Rn. 41
Stand: EL 41 – ET: 12/2023
Die Maßnahmen der Internen Revision sind nicht fest in die betrieblichen Arbeitsabläufe integriert und bilden die prozessunabhängigen Kontrollaktivitäten des IÜS. Die Ergebnisse aller dieser Kontrollaktivitäten sind für den AP bei seiner Prüfung des IKS von Bedeutung, da die Interne Revision die Zweckmäßigkeit und Wirksamkeit des im UN installierten IKS regelmäßig zu überwachen hat (vgl. ISA [DE] 610 (2020), Rn. 13f.).
Rn. 42
Stand: EL 41 – ET: 12/2023
Der Schwerpunkt der risikoorientierten Prüfung liegt in der Beurteilung der fest eingebauten Kontrollaktivitäten. Die Prüfung der Wirksamkeit der Kontrollaktivitäten liefert dem AP wichtige Vorinformationen für die anschließenden aussagebezogenen Prüfungshandlungen (vgl. ISA [DE] 330 (2020), Rn. 18ff.; Wittmann (1981), S. 140ff.; Baetge, in: FS Zimmerer (1986), S. 46 (53ff.)). Die Prüfung der Kontrollaktivitäten dient zur Beurteilung des Kontrollrisikos und damit zur Konkretisierung des erforderlichen Prüfungsumfangs. Denn je sinnvoller die Kontrollaktivitäten eines UN konzipiert sind und je wirksamer es arbeitet, desto höher ist die Wahrscheinlichkeit, dass in dem mit seiner Unterstützung stattfindenden Verarbeitungsprozess keine wesentlichen Fehler entstehen bzw. verbleiben. Eine beim Prüfungsschritt "Prüfung des IKS" ermittelte niedrige Fehlerrate und daraus abgeleitete niedrige Fehlererwartung erlaubt dem AP den erforderlichen Stichprobenumfang bei den aussagebezogenen Prüfungshandlungen zu reduzieren. Außerdem können erkannte Schwachstellen im System auf das Auftreten bestimmter Fehlerarten hindeuten, denen der AP bei seinen aussagebezogenen Prüfungshandlungen gezielt nachgehen muss.
b) Aufbauprüfung
Rn. 43
Stand: EL 41 – ET: 12/2023
Die Untersuchung des RL-bezogenen IKS ist ein notwendiger Schritt zur Feststellung der wesentlichen Fehlerrisiken im JA eines UN. Um das RL-bezogene IKS beurteilen zu können, hat der AP die Komponenten des IKS zu identifizieren und bezüglich ihrer Wirksamkeit mit wechselseitigen Beziehungen zu beurteilen. Er hat sich bei der Prüfung an der konkreten Ausgestaltung des IKS durch das Management zu orientieren und folgende Komponenten bei seiner Beurteilung zu berücksichtigen:
(1) |
das Kontrollumfeld der Mitarbeiter, welches den Rahmen darstellt, innerhalb dessen die Grundsätze, Verfahren und Maßnahmen eingeführt und angewendet werden, |
(2) |
den Risikobeurteilungsprozess des UN, |
(3) |
das RL-relevante Informationssystem, welches dafür sorgen soll, dass Informationen, die für unternehmerische Entscheidungen des Managements erforderlich sind, an das Management weitergegeben werden, |
(4) |
die für die AP relevanten Kontrollaktivitäten sowie |
(5) |
die Überwachung der Wirksamkeit und ... |