Prof. Dr. Dr. h.c. Jörg Baetge, Prof. Dr. Peter Dittmar
Rn. 39
Stand: EL 41 – ET: 12/2023
Obwohl in der Praxis Erfassungs-, Verarbeitungs- und Überwachungstätigkeiten eng miteinander verknüpft sind, empfiehlt es sich, gedanklich einerseits zwischen dem Erfassungs- und Verarbeitungssystem und andererseits dem Überwachungssystem im Rechnungswesen eines UN zu unterscheiden. Das Erfassungs- und Verarbeitungssystem umfasst alle Regelungen und Anweisungen, die dafür sorgen, dass die Geschäftsvorfälle im Rechnungswesen nicht zufällig, sondern nach einer bestimmten Ordnung erfasst und verarbeitet werden (vgl. Leffson (1988), S. 228). Die Einrichtungen und Maßnahmen, welche die normgerechte Erfassung und Verarbeitung der Geschäftsvorfälle sichern sollen, bilden das IKS (vgl. Kicherer (1970), S. 150), welches sowohl das Interne Steuerungssystem als auch das Interne Überwachungssystem (IÜS) umfasst. Das IÜS umfasst prozessintegrierte und prozessunabhängige Kontrollaktivitäten (vgl. ISA [DE] 315 (2022), Rn. A153f.) .
Rn. 40
Stand: EL 41 – ET: 12/2023
Zu den prozessintegrierten Kontrollaktivitäten gehören sowohl organisatorische Sicherungsmaßnahmen als auch Kontrollen des UN. Organisatorische Sicherungsmaßnahmen dienen dazu, das geforderte Sicherheitsniveau in der Aufbau- und Ablauforganisation eines UN zu gewährleisten. Die im UN implementierten Kontrollen sollen darüber hinaus aufgetretene Fehler in der RL verhindern sowie dennoch aufgetretene Fehler aufdecken. Der AP hat dabei zu beurteilen, ob die eingerichteten Funktionstrennungen, Zugriffsbeschränkungen im IT-Bereich, Zahlungs-R, Kompetenzordnungen etc. eingehalten werden. Er hat zudem zu überprüfen, ob die Mitarbeiter ihre Funktion und ihre Verantwortlichkeit sowie die ihnen übertragenen Aufgaben im IKS genau kennen (vgl. ISA [DE] 315 (2022), Rn. A133; Baetge (1988), S. 383 (389)). Als Reaktion auf identifizierte IT-Risiken hat der AP die eingerichteten IT-Kontrollen zu prüfen (vgl. ausführlich WP-HB (2023), Rn. L 651ff.). In diesem Zusammenhang wird durch ISA [DE] 315 (2022) die IT-Prüfung nicht länger in einem separaten Prüfungsstandard adressiert. Kontrollaktivitäten in einem IT-gestützten RL-System werden vielmehr als wesentlicher Bestandteil des IKS und damit letztlich Kernstück des risikoorientierten Prüfungsansatzes definiert (vgl. Reutter/Gaab, WPg 2023, S. 491).
Rn. 41
Stand: EL 41 – ET: 12/2023
Die Maßnahmen der Internen Revision sind nicht fest in die betrieblichen Arbeitsabläufe integriert und bilden die prozessunabhängigen Kontrollaktivitäten des IÜS. Die Ergebnisse aller dieser Kontrollaktivitäten sind für den AP bei seiner Prüfung des IKS von Bedeutung, da die Interne Revision die Zweckmäßigkeit und Wirksamkeit des im UN installierten IKS regelmäßig zu überwachen hat (vgl. ISA [DE] 610 (2020), Rn. 13f.).
Rn. 42
Stand: EL 41 – ET: 12/2023
Der Schwerpunkt der risikoorientierten Prüfung liegt in der Beurteilung der fest eingebauten Kontrollaktivitäten. Die Prüfung der Wirksamkeit der Kontrollaktivitäten liefert dem AP wichtige Vorinformationen für die anschließenden aussagebezogenen Prüfungshandlungen (vgl. ISA [DE] 330 (2020), Rn. 18ff.; Wittmann (1981), S. 140ff.; Baetge, in: FS Zimmerer (1986), S. 46 (53ff.)). Die Prüfung der Kontrollaktivitäten dient zur Beurteilung des Kontrollrisikos und damit zur Konkretisierung des erforderlichen Prüfungsumfangs. Denn je sinnvoller die Kontrollaktivitäten eines UN konzipiert sind und je wirksamer es arbeitet, desto höher ist die Wahrscheinlichkeit, dass in dem mit seiner Unterstützung stattfindenden Verarbeitungsprozess keine wesentlichen Fehler entstehen bzw. verbleiben. Eine beim Prüfungsschritt "Prüfung des IKS" ermittelte niedrige Fehlerrate und daraus abgeleitete niedrige Fehlererwartung erlaubt dem AP den erforderlichen Stichprobenumfang bei den aussagebezogenen Prüfungshandlungen zu reduzieren. Außerdem können erkannte Schwachstellen im System auf das Auftreten bestimmter Fehlerarten hindeuten, denen der AP bei seinen aussagebezogenen Prüfungshandlungen gezielt nachgehen muss.