Prof. Dr. Dr. h.c. Jörg Baetge, Prof. Dr. Peter Dittmar
Rn. 47
Stand: EL 41 – ET: 12/2023
Der AP hat verschiedene Möglichkeiten, das IKS i. R.d. Aufbau- und Funktionsprüfung zu erfassen und zu dokumentieren. Nachstehende Übersicht systematisiert die Informationsquellen und Erhebungstechniken sowie die möglichen Formen der Dokumentation (vgl. ISA [DE] 500 (2020), Rn. A10ff.; Knüppe (1984), S. 114).
Rn. 48
Stand: EL 41 – ET: 12/2023
Übersicht: Systemerfassung und Systemdokumentation
Rn. 49
Stand: EL 41 – ET: 12/2023
Zu besonders zuverlässigen Informationen über das IKS von UN führt die Beobachtung der Systemabläufe durch den AP (vgl. Leffson (1988), S. 231). Diese ist allerdings sehr aufwendig, so dass ihr häufig jene Vorgehensweisen vorgezogen werden, bei denen der AP auf Informationen Dritter zurückgreift. Eine in praxi zumindest in der Vergangenheit häufig genutzte Technik ist die Erfassung des IKS mithilfe eines zumindest teilweise an Dritte gerichteten Fragebogens (vgl. so auch Marten/Quick/Ruhnke (2020), S. 402). Diese Technik hat den Nachteil, dass existierendes und im Fragebogen erfasstes System voneinander abweichen können, etwa weil Systemänderungen dem Befragten nicht bekannt sind oder die Mitarbeiter des zu prüfenden UN über Abweichungen vom geplanten IKS nicht berichten. Durch die zunehmende Digitalisierung von RL-relevanten Prozessen kann der AP vermehrt IT-gestützte Prüfungstechniken einsetzen, um Informationen über das IKS von UN zu erlangen. Eine solche IT-gestützte Prüfungstechnik ist das sog. Process Mining, bei dem Geschäftsprozesse anhand von Bewegungsdaten betrieblicher Informationssysteme analysiert werden können (vgl. Rapp/Pampel, BFuP 2021, S. 506f.). Mit dieser Technik lassen sich grds. alle Transaktionen einer Periode auswerten, womit ein vollständiges Ist-Modell der Prozesse generiert werden kann. Dieses Ist-Modell der Prozesse kann vom AP dann mit einem bestehenden Soll-Modell abgeglichen werden (vgl. Leitner-Hanetseder et al., KoR 2020, S. 552f.). Ein solcher Einsatz von Process Mining durch den AP setzt indes voraus, dass die UN ihre Prozesse vollständig digitalisiert haben. Zudem ist die Entwicklung bzw. Beschaffung von entsprechenden Softwarelösungen häufig mit hohen Kosten verbunden (vgl. auch die Diskussion bei Rapp/Pampel, BFuP 2021, S. 506 (513f.)).
Rn. 50
Stand: EL 41 – ET: 12/2023
Die i. R.d. Funktionsprüfung geforderten Systemtests dienen unterschiedlichen Zwecken (vgl. Sperl (1978), S. 108ff.; Meyer zu Lösebeck (1983), S. 250; Knüppe (1984), S. 115ff.; Leffson (1988), S. 234f.). Sofern der AP bei der Systemerfassung auf Informationen Dritter angewiesen ist, sollte mithilfe der Systemtests geprüft werden, ob das im UN realisierte System mit dem dokumentierten System übereinstimmt. Systemtests sollten so angelegt werden, dass festgestellt werden kann, ob das System während des gesamten zu prüfenden Zeitraums wirksam war (vgl. ISA [DE] 330 (2020), Rn. 10(a)). Die Systemtests bilden dann die Grundlage für die Schätzung des Kontrollrisikos sowie für Art und Umfang der bei den aussagebezogenen Prüfungshandlungen zu erwartenden Fehler (vgl. Hömberg (1985), S. 481 (482); Baetge, in: FS Zimmerer (1986), S. 46 (57)).
Um Abweichungen zwischen dem vom AP dokumentierten und dem im UN realisierten System aufdecken zu können, kann der AP Funktionsprüfungen durchführen. Anhand ausgewählter Dokumente sollte der AP feststellen, ob die vorgesehenen Kontrollaktivitäten tatsächlich vorgenommen werden. Die Kontrollaktivität sollten auf den Dokumenten einen sichtbaren Prüfungspfad hinterlassen, z. B. durch Namenszeichen. Aufgrund der Möglichkeit, dass Mitarbeiter die Kontrollvermerke indes auch ohne die tatsächliche Ausführung der zugehörigen Kontrollhandlung anbringen können, muss sich der AP allerdings vergewissern, ob Belege nicht ohne Prüfung des Sachverhalts abgezeichnet werden.
Rn. 51
Stand: EL 41 – ET: 12/2023
Existenz und Wirksamkeit von Kontrollen lassen sich besonders gut feststellen, wenn fiktive fehlerhafte Geschäftsvorfälle in das System eingegeben werden und dadurch ermittelt wird, ob das IKS die Fehler aufdeckt. Da es i. A. aber sehr aufwendig ist, die fiktiven Geschäftsvorfälle nach dem Test aus dem Datenmaterial des UN wieder zu eliminieren, wird diese Art von Systemtests selten angewendet (vgl. Sperl (1978), S. 109f.). Dagegen kann durch vollständigen Nachvollzug oder Beobachtung einzelner zufällig oder systematisch ausgewählter realer Geschäftsvorfälle sehr effizient geprüft werden, ob das System vom AP richtig und vollständig erfasst wurde, da sämtliche Schritte des Arbeitsablaufs im Zusammenhang untersucht werden können (vgl. Knüppe (1984), S. 117). Zudem kann der AP Systemelemente erkennen, die bislang nicht dokumentiert sind.
Der AP hat zu berücksichtigen, dass einzelne Funktionsprüfungen einen Nachweis nur über die Wirksamkeit der Kontrolle zum Zeitpunkt der Überprüfung erbringen. Da der AP die Wirksamkeit des Systems indes für den gesamten zu prüfenden Zeitraum zu beurteilen hat, muss das System anhand von Geschäftsvorfällen aus dem...