![[externer Link]](../../images/link.gif)
www.idw.de/idw/portal/d302224/): In ihm sind die Grundlagen zur Prüfung eines IT-gestützten Rechnungslegungssystems im Hinblick auf die Erfüllung der gesetzlichen Anforderungen dargestellt.Seit Anfang 2008 ist die 8. EU-Richtlinie in Kraft, die umgangssprachlich häufig Euro-SOX genannt wird. Offiziell trägt sie die Bezeichnung "Richtlinie des Europäischen Parlaments und des Rates über die Prüfung des Jahresabschlusses und des konsolidierten Abschlusses und zur Änderung der Richtlinien 78/660/EWG und 83/349/EWG des Rates". Die Bezeichnung Euro-SOX ist insofern irreführend, als sich die 8. EU-Richtlinie im Gegensatz zu ihrem US-amerikanischen Pendant nicht mit exakten Fragestellungen der Bewältigung von Risiken im Unternehmen befasst. Sie legt vielmehr fest, nach welchen Kriterien Unternehmen eine Institutionalisierung des Risikomanagements (mindestens) vornehmen müssen und welche Voraussetzungen Wirtschaftsprüfer zu erfüllen haben, um das Risikomanagement effizient kontrollieren zu können.
Das Risikomanagement selbst muss jedoch gemäß bereits bestehenden Gesetzen erfolgen – die Richtlinie gibt lediglich Hinweise im Hinblick auf Ordnungsmäßigkeitsvorgaben zu Management und Prüfung. Im Prinzip bedeutet dies, dass Unternehmen, die bisher schon ein ordnungsgemäßes Risikomanagement installiert haben, wegen der Inhalte der Richtlinie kaum Veränderungen vornehmen müssen. Um das genauer zu erörtern, sollen im Folgenden zunächst einige Aussagen der Richtlinie selbst in Augenschein genommen und anschließend konkretere Vorgaben zum IT-Risikomanagement aus verschiedenen Regularien rekapituliert werden.
Sucht man in der Richtlinie risikorelevante Aussagen, so findet man zunächst folgende Zweckbestimmung: "Durch ein wirksames internes Kontrollsystem werden finanzielle und betriebliche Risiken sowie das Risiko von Gesetzesverstößen auf ein Mindestmaß beschränkt und die Qualität der Rechnungslegung verbessert. .... Der Prüfungsausschuss hat darüber zu wachen, dass Kontrollen durchgeführt werden und bei Verstößen gegen interne Kontrollregelungen oder Rechts- und Verwaltungsvorschriften geeignete Meldeverfahren greifen. Der kollektiven Verantwortung des Vorstandes für Betrieb, Prüfung und Offenlegung des internen Kontrollsystems darf dies jedoch keinesfalls Abbruch tun."
Im Übrigen heißt es: "Prüfungsausschüsse und ein wirksames internes Kontrollsystem tragen dazu bei, finanzielle und betriebliche Risiken sowie das Risiko von Vorschriftenverstößen auf ein Mindestmaß zu begrenzen und die Qualität der vorgelegten Abschlüsse zu verbessern." Somit müssen Prüfungsausschüsse auf höchster Ebene sowie ein wirksames internes Kontrollsystem (IKS) zum Management von finanziellen, betrieblichen und rechtlichen Risiken als unabdingbare Voraussetzung für ein effizientes Risikomanagement gelten.
Wirtschaftsprüfungsgesellschaften haben die Qualität des internen Kontrollsystems – gestützt auf die Arbeit der Prüfungsausschüsse – zu prüfen. Rechnungsprüfer müssen im Rahmen ihrer Eignungsprüfung eine entsprechende Befähigung nachweisen. Die Richtlinie fordert hierzu, dass die im Rahmen der Eignungsprüfung (für Wirtschaftsprüfer) durchgeführte theoretische Prüfung insbesondere auch das Sachgebiet "Risikomanagement und interne Kontrolle" umfasst.
Als Aufgaben des Prüfungsausschusses nennt die Richtlinie unter anderem:
Das Risikomanagement eines Unternehmens wird jedoch letztlich erst durch die jeweils geltenden gesetzlichen Regelungen vorgegeben und durch Wirtschaftsprüfer im Hinblick auf seine Ordnungsmäßigkeit geprüft. Die 8. EU-Richtlinie setzt voraus, dass Unternehmen die entsprechenden Gesetze kennen und einhalten und Wirtschaftsprüfer diese Einhaltung in der Jahresabschlussprüfung kontrollieren. Aus der Vielzahl der Regularien, die Vorgaben zum Risikomanagement enthalten, sollen daher die wichtigsten im Folgenden kurz dargestellt werden.
Das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (kurz KonTraG) hat zum Ziel, Unternehmensführungsmethoden zu installieren, die ermöglichen Entwicklungen frühzeitig zu erkennen, die den Fortbestand des Unternehmens gefährden könnten. Als mögliche existenzgefährdende Entwicklungen nennt das KonTraG:
Hierbei ist als Zusatzbedingung erwähnt, dass die betreffenden Risiken Auswirkungen auf die Vermögens-, Ertrags- und Finanzlage haben sollen. Somit sind IT-Risiken aufgrund ihrer Auswirkungen auf die Vermögens-, Ertrags- und Finanzlage wesentliche Bestandteile der Betrachtung.
Das KonTraG fordert von Unternehmen, Risikofrüherkennungssysteme, Risikomanagement- und -steuerungssysteme zu installieren sowie potenzielle Risikofelder zu beobachten und den davon ausgehenden Risiken gegenzusteuern.
Die zunehmende Abhängigkeit der meisten Unternehmen von einem funktionierenden Informationswesen, Computerunterstützung als Faktor im Wettbewerb, unternehmensübergreifende Kommunikation als Möglichkeit, innovativ im Markt aufzutreten und Kommunikationsprozesse als Erfolgsfaktor zu begreifen, machen die Bedeutung der Informationstechnik und ihres Einsatzes als ein beachtliches Risikofeld offenkundig.
Die EU-Eigenkapitalrichtlinie (Capital Requirements Directive – CRD), meist kurz "Basel II" genannt, hat zum Ziel, die Stabilität im Kreditwesen zu erhöhen. Die Hinterlegung mit Eigenkapital bei den Kreditinstituten berücksichtigt die Risiken des einzelnen Kreditengagements. Die Höhe des zur Absicherung von Krediten einzusetzenden Eigenkapitals hängt dabei wesentlich von der Bonität und den Zukunftsaussichten der Kreditnehmer ab. Hierbei werden auch "weiche" Faktoren wie Strategie, Marktkenntnis, Managementqualität, Sicherheit der Planung sowie Geschäftsprozesse, Reaktion auf Abweichungen und vieles mehr in den kreditnehmenden Unternehmen überprüft und bewertet. Schließlich wirken sich alle unternehmerischen Entscheidungen über kurz oder lang auf die Zahlen des Jahresabschlusses aus – die Banken wollen Chancen und Risiken der Unternehmen im Voraus erkennen und bewerten.
Relevante Fragen zum Risikomanagement sind bei Basel II unter anderem:
Die Überprüfung von qualitativen Kriterien stellt dabei einen Frühwarnindikator dar, mit dessen Hilfe Gefahrenpotenzial erkannt werden soll. Zur Ermittlung und Bewertung von Risiken wird dabei auf so genannte Ratings zurückgegriffen. Es geht in diesem Zusammenhang um die Herleitung eines Konzepts für ein IT-Risikomanagement und IT-Securitymanagement, aus dem sich ein positiver Einfluss auf das Rating des Unternehmens durch die Banken ergeben soll: So wie ein Unternehmen durch eigene Entscheidungen, Maßnahmen und Aktivitäten sein Rating positiv beeinflussen und damit seinen Handlungsspielraum (bezüglich der auf Fremdkapital beruhenden finanziellen Möglichkeiten) aktiv gestalten kann, so ist auch die Gestaltung der sicheren und zuverlässigen organisatorisch-technischen Abwicklung der Geschäftsprozesse Aufgabe des zu entwickelnden IT-Risiko- und -Securitymanagements.
Obwohl der US-amerikanische Sarbanes-Oxley-Act (SOX) nicht direkt für deutsche Unternehmen gilt, ist zu erwarten, dass viele seiner Anforderungen über kurz oder lang in europäisches Recht einfließen und auch in der deutschen Rechtsprechung zukünftig berücksichtigt beziehungsweise von global operierenden Unternehmen vorzeitig in ihre Überlegungen einbezogen werden. Hierin liegt ein wesentlicher Unterschied zur 8. EU-Richtlinie.
Für Authentifizierung, Zugriffskontrolle und Benutzermanagement empfiehlt das IT Governance Institute die Control Objectives for Information and related Technology (CObIT). Dieser Standard nimmt eine ganzheitliche Sicht auf die IT ein. Er unterstützt das Management und vor allem die interne Revision bei der Wahrnehmung ihrer Verantwortung für das Erreichen der Geschäftsziele, die Kontrolle der dabei verwendeten Ressourcen hinsichtlich Effektivität und Effizienz, die Einhaltung rechtlicher Rahmenbedingungen sowie die Handhabung der mit der Geschäftstätigkeit und dem Ressourceneinsatz verbundenen Risiken (z. B. Sicherheitsrisiken).
Die Revisionssicht auf die IT enthält den Aspekt der "einheitlichen Grundlage für die Wertung der internen Kontrollen" (so die 8. EU-Richtlinie). Damit werden die Ziele der IT-Governance im Unternehmen unterstützt: Ausrichtung der IT auf die Geschäftstätigkeit (Nutzenmaximierung), wirtschaftlicher Einsatz von IT-Ressourcen (Daten, Anwendungen, Technologie, Anlagen, Personal) und angemessenes Risikomanagement IT-bezogener Risiken.
SOX verlangt in Section 302 Kontrollen und Verfahren für korrekte Veröffentlichungen der Finanzdaten: Dies erfordert ein korrektes Erfassen und Verarbeiten aller relevanten Informationen im Unternehmen. Es muss durch entsprechend ausgeprägte Maßnahmen verhindert werden, dass mangelhafte Kontrollen und dadurch bedingte falsche oder unvollständige Informationen die Finanzdaten verfälschen. Dieser Ansatz korrespondiert mit dem KonTraG und dem Handelsgesetzbuch (§§ 317 ff. HGB).
SOX Section 404 legt für das Management weiter reichende Konsequenzen fest: Das Management hat die Wirksamkeit des IKS jährlich zu bewerten und muss dies mit Beweismaterial und einer Dokumentation nachweisen können, wie es auch die 8. EU-Richtlinie fordert. Allerdings ist in SOX die persönliche Haftung der Verantwortlichkeiten eindeutig definiert, was das US-Gesetz deutlich von der 8. EU-Richtlinie unterscheidet.
Das Institut der Wirtschaftsprüfer (IDW) hat im Laufe der letzten Jahre eine Vielzahl von Prüfungsstandards (PS) erlassen; diese sind auch Grundlage der von Wirtschaftsprüfern vorzunehmenden Prüfungshandlungen im Sinne der 8. EU-Richtlinie. Im IT-Umfeld ist vor allem der Prüfstandard IDW PS 330 relevant, der Abschlussprüfungen bei Einsatz von Informationstechnik erfasst (vgl. <kes> 2006#6, S. 79). Er enthält Richtlinien für:
Der Standard wird im Hinblick auf die zu prüfenden Gebiete durch weitere IDW-Prüfstandards und so genannte Grundsätze ergänzt, allem voran IDW RS FAIT 1 "Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Informationstechnologie" (siehe www.idw.de/idw/portal/d302224/): In ihm sind die Grundlagen zur Prüfung eines IT-gestützten Rechnungslegungssystems im Hinblick auf die Erfüllung der gesetzlichen Anforderungen dargestellt.
Aus dem IDW PS 330 lassen sich im Hinblick auf das Risikoproblem folgende Risikofelder ableiten:
Diese Risiken sind Gegenstand des Prüfungsvorgehens. Es ist ersichtlich, dass eine nach den Prinzipien der Risikoinventur vorgenommene Risikobewertung diese Risikofelder abdecken muss, sodass bei einer Prüfung durch den Wirtschaftsprüfer diesem die Vorlage des Risikomanagementberichtes als Grundlage für sein weiteres Vorgehen dienen kann. Es sei darauf hingewiesen, dass nach der oben dargestellten Struktur des IDW PS 330 die Dokumentation (und natürlich auch die hierauf aufbauende Dokumentationsprüfung) ein wesentlicher Bestandteil sowohl des Risikomanagements als auch insbesondere der Prüfung selbst darstellt.
Der IDW-Standard PS 340 behandelt die Prüfung des nach dem Aktiengesetz einzurichtenden und laut Handelsgesetzbuch zu prüfenden Risikofrüherkennungssystems (§ 317 Abs. 4 HGB i. V. m. § 91 Abs. 2 AG). Er benennt die Maßnahmen, die nach dem KonTraG Gegenstand der Prüfung sind, im Besonderen:
Im Prinzip sind entsprechende Prüfungen lediglich bei Aktiengesellschaften verpflichtend durchzuführen, jedoch gilt auch hier – wie schon in anderem Zusammenhang mit dem KonTraG festgestellt –, dass eine Ausstrahlung auf andere Unternehmen und Rechtsformen zu erwarten ist.
Bezüglich der Dokumentation wird gefordert, dass sie zur Sicherstellung der dauerhaften personenunabhängigen Funktionsfähigkeit der getroffenen Maßnahmen und zum Nachweis der Erfüllung der Pflichten des Vorstandes einen angemessenen Nachweis über die getroffenen Maßnahmen und das institutionalisierte Überwachungssystem enthält. Eine fehlende oder unvollständige Dokumentation führt zu Zweifeln an der dauerhaften Funktionsfähigkeit des Risikomanagementsystems. Hierzu gibt es mittlerweile ein Gerichtsurteil, demzufolge einem Vorstand aufgrund Fehlens der Dokumentation des Risikomanagementsystems die Entlastung versagt wurde.
Der Abschlussprüfer hat darüber hinaus zu beurteilen, ob die getroffenen Maßnahmen geeignet sind, die gesetzlichen Anforderungen zu erfüllen. Auch dieses steht im Einklang mit der 8. EU-Richtlinie.
Die Vorteile des Einsatzes von Revisionstools für die Effizienz der Arbeit eines Revisors sind beträchtlich. Erfahrungen mit solchen Softwarewerkzeugen belegen, dass alle Phasen des Revisionsprozesses in den Bereichen IT-Sicherheit und Risikomanagement von hinreichend "intelligenten" und technisch hochwertigen Tools unterstützt werden können. Dazu muss insbesondere der jeweilige Prüfstandard möglichst genau abgebildet sein, um nach dem Stand der Technik und des aktuellen Wissens hochqualifizierte Revisionsergebnisse liefern zu können.
Im Sinne der Richtlinie können solche Tools bereits von der internen Revision im Vorfeld eingesetzt werden, um die Einhaltung der Vorgaben (Compliance) festzustellen. Neben der eigentlichen Arbeit kann hierdurch auch die Akzeptanz von Berichten durch den Revisor deutlich positiver ausfallen.
Auch der externe Revisor kann sich auf Tools stützen, welche die Anforderungen der genannten Regularien (insbesondere der IDW-Prüfstandards) abbilden. Damit ist es möglich, die in der 8. EU-Richtlinie genannten Anforderungen nach Beherrschung des Risikomanagements durch den Prüfer wesentlich zu stützen und vor allem zu standardisieren, das heißt, Subjektivitäten in der Interpretation von Ordnungsmäßigkeitsanforderungen weitgehend einzuschränken.
Die 8. EU-Richtlinie bietet im Hinblick auf präzise Vorschriften zur Gestaltung von Risikomanagementsystemen der IT wenig Konkretes. Unternehmen und Prüfer müssen vor allem die vorhandenen Gesetze kennen, umsetzen und im Hinblick auf ihre Umsetzungsqualität prüfen. Hierbei reicht die deutsche Gesetzgebung aufgrund der Tendenzen zur Globalisierung im Zweifelsfall nicht aus, sondern sollte zumindest durch die Inhalte des SOX ergänzt werden. Als wesentliche Hilfen bei der Herstellung der Ordnungsmäßigkeit und ihrer Prüfung können die Standards des IDW angesehen werden. Der Einsatz geeigneter Tools unterstützt die Prüfer fachlich und trägt zudem zur Objektivierung der Prüfung bei.
Prof. Dr. Reinhard Voßbein ist Geschäftsführer der UIMCert GmbH, Wuppertal ( www.uimcert.de).
© SecuMedia-Verlags-GmbH, 55205 Ingelheim (DE),
<kes> 2008#1, Seite 6
tag:kes.info,2007:lp:2008-1-B
| 