Der Vorstand bzw die Geschäftsführung hat dafür zu sorgen, dass im Unternehmen ein Rechnungswesen und ein internes Kontrollsystem (IKS) installiert ist, das den Anforderungen des Unternehmens entspricht. Demgegenüber besteht - nach ISA 315 - das Ziel des Abschlussprüfers darin, die für die Rechnungslegung relevanten internen Kontrollen zu verstehen und Risiken wesentlicher Fehldarstellungen zu identifizieren und zu beurteilen.
Der International Auditing and Assurance Standards Board (IAASB) setzt die internationalen Standards für die Abschlussprüfung („International Standards on Auditing“, kurz „ISA“). Mit ISA 315 wurde ein eigener Standard zur Identifizierung und Beurteilung der Risiken wesentlicher falscher Angaben geschaffen. Der IAASB hat im Juni 2018 einen Vorschlag für Änderungen von ISA 315 zur Verbesserung der Prüfungsqualität veröffentlicht.
Die Beurteilung und das Verständnis des rechnungslegungsbezogenen internen Kontrollsystems (IKS) ist im Hinblick auf die Risikobeurteilung und -identifizierung für den Abschlussprüfer eine herausfordernde Aufgabe. Aufbauend auf dem Verständnis des IKS legt der Abschlussprüfer die Prüfungsstrategie und Prüfungshandlungen fest. Grundsätzlich lässt sich das interne Kontrollsystem in die folgenden fünf Komponenten unterteilen:
Der Abschlussprüfer muss diese fünf Komponenten, soweit sie für den Jahresabschluss relevant sind, verstehen, um das rechnungslegungsbezogene IKS beurteilen und Risiken einschätzen zu können. Beispielsweise müssen die Prozesse, wie das Unternehmen sein internes Kontrollsystem überwacht, sowie auch die relevanten IT-Anwendungen eines Unternehmens und daraus resultierende Risiken und IT-Kontrollen hinterfragt und verstanden werden.
Insbesondere bei kleineren Unternehmen stellt dies für den Abschlussprüfer häufig eine große Herausforderung dar, zumal das interne Kontrollsystem im KMU-Bereich idR formal nur wenig dokumentiert ist. In diesem Fall sind vom Abschlussprüfer gemäß ISA 315.32 iVm ISA 230.8 die wichtigsten Erkenntnisse zu den oben erwähnten fünf Komponenten des rechnungslegungsbezogenen IKS und die jeweiligen Informationsquellen zu dokumentieren. Weiters sind auch die identifizierten Risiken und die damit verbundenen Kontrollen in den Arbeitspapieren festzuhalten.
Das Ausmaß des Verständnisses des IKS ist nach dem pflichtgemäßen Ermessen des Abschlussprüfers festzulegen. Dabei können Informationen bzw Erfahrungen aus Vorjahren grundsätzlich verwendet werden, jedoch ist zumindest alljährlich zu beurteilen, ob relevante Veränderungen stattgefunden haben.
Bedeutsame Geschäftsprozesse für den Jahresabschluss stellen in der Regel der Verkauf (Umsatz, Forderungen), die Beschaffung (Vorräte, Materialaufwendungen) und das Personal (Personalrückstellungen, Personalaufwand, sonstige Verbindlichkeiten) dar. Die Dokumentation dieser Geschäftsprozesse hat zumindest eine detaillierte Beschreibung des Prozessablaufes zu beinhalten. Beispielsweise ist für den Verkaufsbereich der gesamte Ablauf, beginnend bei der Kundenbestellung bis zum Zahlungseingang, zu beschreiben. Vom Abschlussprüfer ist weiters festzuhalten, in welchem System diese Prozesse erfasst und wie sie anschließend verarbeitet werden (z.B. automatische Schnittstellen oder manuelle Buchungen).
Wird die Buchhaltung zB an einen externen Steuerberater ausgelagert, ist dennoch die Geschäftsführung auch für das IKS beim externen Dienstleister in Bezug auf die ausgelagerte Leistung verantwortlich.
In einem zweiten Schritt hat der Abschlussprüfer die Ausgestaltung des rechnungslegungsbezogenen IKS (Design) im Unternehmen zu beurteilen. In diesem Zusammenhang wird hinterfragt, welche Kontrollen im Unternehmen installiert sind, wie diese funktionieren und ob sie für den Unternehmenszweck geeignet sind.
Anschließend wird überprüft, ob die relevanten Kontrollen auch tatsächlich existieren und auch angewendet werden (Implementierung). Hierzu wird beispielsweise das Management bzw zuständige Mitarbeiter befragt, der Prozessablauf beobachtet oder anhand eines Beispiels durchgespielt. Diese Prüfungshandlungen sind wiederum vom Abschlussprüfer zu dokumentieren.
Abschließend hat der Abschlussprüfer eine Schlussfolgerung zum rechnungslegungsbezogenen IKS zu treffen und die Auswirkungen und mögliche Risiken wesentlicher Fehldarstellungen einzuschätzen. Es ist zu hinterfragen, ob Kontrollschwächen vorliegen und welche Auswirkungen diese auf die Abschlussprüfung haben. Je nach Risikoeinschätzung und Beurteilung des rechnungslegungsbezogenen IKS sind die Prüfungshandlungen vom Abschlussprüfer entsprechend zu planen. Auch bei kleinen Abschlussprüfungen hat sich der Abschlussprüfer mit den Prozessen und Kontrollen auseinanderzusetzen und ein Verständnis des IKS aufzubauen.
Zusammenfassung und Ausblick
Das Verständnis der oa fünf IKS-Komponenten ist für jeden Abschlussprüfer, unabhängig von der Größe des Unternehmens, zwingend notwendig und wird auch in Zukunft eine wichtige Rolle spielen. Die Überprüfung von Ausgestaltung und Einrichtung relevanter Kontrollen ist für die Risikobeurteilung erforderlich. Hingegen ist die Erhebung der operativen Wirksamkeit dieser Kontrollen über den gesamten Prüfungszeitraum nicht verpflichtend. Die Prüfungstätigkeit des Abschlussprüfers beschränkt sich grundsätzlich auf das rechnungslegungsbezogene interne Kontrollsystem. Zum besseren Verständnis ist jedoch ein Überblick über das allgemeine Kontrollumfeld des Unternehmens unerlässlich.
Die Überarbeitung des internationalen Standards ISA 315 (revised) durch den IAASB zielt auf eine angemessenere Risikoeinschätzung des Abschlussprüfers, insbesondere auch in Hinblick auf kleinere und mittlere Unternehmen, ab. Ein weiteres Augenmerk wird auf die neuen Technologien in der Abschlussprüfung und die Einschätzung des inhärenten Risikos gelegt.
Für weitere Fragen stehen Ihnen die Verfasserinnen sowie auch die übrigen MitarbeiterInnen unseres WP- und Bilanzierungsteams gerne zur Verfügung!
