Wie von selbst

Wie von selbst

Viele Unternehmen wickeln immer größere Teile des Internen Kontrollsystems (IKS) über automatisierte IT-Kontrollen ab. Das bringt höhere Verlässlichkeit und Effizienz in den Prozessabläufen. Und für Abschlussprüfer ergeben sich daraus neue Möglichkeiten zu verlässlichen Prüfungsnachweisen zu gelangen. Was bedeutet das nun konkret für die Prüfungspraxis?

1000

Director, IT Audit

KPMG Austria

Kontakt

Verwandte Inhalte

KPMG Dimensionen - Schwerpunkt Audit 4.0 - IT Audit

Im Kontext einer immer stärker werdenden Vernetzung, Digitalisierung und Automatisierung von Prozessabläufen in den Unternehmen werden viele der bisher manuell durchgeführten internen Kontrollen durch Funktionalitäten in den IT-Systemen abgelöst. Nehmen wir das Beispiel eines Sofortkredits, der über das Internet per Mausklick auf Basis von Risikodaten (Bonitätskriterien) bestehender Kunden vergeben wird. Nahezu sämtliche Kontrollen zur Dateneingabe und -verarbeitung erfolgen hier automatisiert. Oder das Beispiel eines automatisierten Abgleichs von Warenbestellung mit Wareneingang und Eingangsrechnung (Three-Way-Match). Stimmen Mengen und Beträge innerhalb der im System definierten Toleranzgrenzen überein, so bedarf es keiner oder nur mehr weniger manueller Kontrollschritte bis zur Auszahlung. Automatisierte IT-Kontrollen können damit teilweise aufwendige oder fehleranfällige manuelle Kontrollen ersetzen.

Wird das Interne Kontrollsystem der Zukunft ganz ohne Faktor Mensch auskommen? Nein, zumindest solange nicht, als die künstliche Intelligenz der menschlichen noch nicht das Wasser reichen kann. Und auch dann wird ein Mindestmaß an Kontrolle in den Händen physischer Personen verbleiben müssen. Ein IKS besteht somit aus einer angemessenen Kombination manueller und automatisierter Kontrollen.

Was bedeutet das für ­Unternehmen?

Die Unternehmen müssen Kontrollen, die als programmierte Funktionalitäten in den IT-Systemen abgebildet sind (IT Application Controls, kurz ITACs), als solche erkennen, und systematisch in ihr IKS integrieren. Hierbei bewährt es sich, fachliche und technische Kompetenzen an einen Tisch zu setzen und gemeinsam mit Fokus auf die wesentlichen Risiken vorzugehen. 

Wie bei manuellen internen Kontrollen ist es erforderlich, sich von der Wirksamkeit der ITACs zu überzeugen. Ihre dauerhafte Wirksamkeit hängt auch von jener der relevanten allgemeinen IT-Kontrollen (General IT Controls, kurz GITCs) ab. Diese sollen sicherstellen, dass die Funktionalität automatisierter IT-Kontrollen unterjährig nicht umgangen, beabsichtigt oder unbeabsichtigt verändert oder gänzlich außer Kraft gesetzt werden kann. Beispielsweise haben allgemeine IT-Kontrollen das Ziel, dass ein angemessener Zugriffsschutz besteht oder dass Programmänderungen nur dann durchgeführt werden, wenn diese ausreichend getestet und autorisiert sind.

Was bedeutet das für ­Abschlussprüfer?

Kurz gesagt: je stärker die Gewissheit, dass implementierte interne Kontrollen wesentliche Fehler in der Rechnungslegung verhindern, desto besser können sich auch Abschlussprüfer auf diese verlassen. Wirksame ITACs stellen eine solide Grundlage für ein verlässliches IKS dar: Sie arbeiten idR fehlerlos und zeigen Ausnahmen vom Regelprozess vollständig auf. Voraussetzung dafür ist, dass die Kontrollen für das jeweilige Prüfziel relevant und wirksam sind.

Relevant ist eine ITAC dann, wenn sie Eigenschaften wie die Vollständigkeit oder Genauigkeit eines in die Finanzberichterstattung einfließenden Werts (zB eines Bilanzpostens) gewährleistet. Der Three-Way-Match stellt beispielsweise sicher, dass erfasste Vorräte und Verbindlichkeiten tatsächlich bestehen sowie vollständig und genau erfasst wurden. Von der Wirksamkeit, dh der Frage, ob die Kontrolle nicht nur „am Papier“ besteht, sondern tatsächlich implementiert ist und funktioniert, muss sich der Abschlussprüfer durch entsprechende Prüfungshandlungen überzeugen. Neben der Prüfung, ob die relevanten GITCs ausreichend arbeiten, muss dabei insbesondere die Funktionalität der jeweiligen ITAC getestet werden. Dies erfolgt durch die Prüfung der zutreffenden Abbildung der Funktionalität im System („Test of One“).

Worin besteht nun das „4.0“? Es ist nicht das schon lange bestehende Konzept des kontrollorientierten Prüfungsansatzes, sondern es sind die Möglichkeiten, die sich aus der zunehmenden Veränderung des IKS durch Vernetzung, Digitalisierung und Automatisierung für diesen Prüfungsansatz ergeben. Diese Entwicklung bedeutet, dass Abschlussprüfer einen größeren Teil des Stundenbudgets dafür aufwenden werden, Kontrollen, die in die IT-Systeme der geprüften Unternehmen programmiert sind, daraufhin zu untersuchen, ob sie eine verlässliche Finanzberichterstattung „automatisch“ gewährleisten. Dies betrifft vor allem die Kernprozesse eines Unternehmens mit zahlreichen, routineartigen Transaktionen.

Mit einer Zunahme an automatisierten Kontrollen steigt gleichzeitig in den Unternehmen, aber auch beim Abschlussprüfer, der Bedarf an IT-Prüfern, die ein hohes Prozessverständnis, technische Expertise und vor allem Kommunikationsfähigkeiten mitbringen. Das sind Kompetenzen, die KPMG bereits seit einiger Zeit aufbaut. Ein Investment in die Zukunft – ebenso wie die Entwicklung von Tools, die für die Prüfung der ITACs eingesetzt werden.

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden

KPMG's neue digitale Plattform

KPMG hat einen neuen Webauftritt entwickelt, der einen möglichst einfachen, nutzerfreundlichen Zugang zu den Inhalten von KPMG bieten soll.