Fachartikel

Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse

Für Wirtschaftsprüfer stellen die Grundsätze ordnungsgemäßer Buchführung (GoB) die grundlegende Basis für Prüfungen dar, auch und besonders bei denen, die IT-gestützt ablaufen. Das Institut der Wirtschaftsprüfer in Deutschland e.V. (IDW) und der ständige Fachausschuss für Informationstechnologie (FAIT) erarbeiten unter anderem Standards und Hinweise für Prüfungen wie die Abschluss- und Systemprüfung.

Das Anforderungsprofil für IT-gestützte Konsolidierungsprozesse

Mit dem am 8. August 2012 vom Fachausschuss für Informationstechnologie (FAIT) verabschiedeten Rechnungslegungsstandard (IDW RS FAIT 4) wurden die Anforderungen an die Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse aus Sicht des Berufsstands der Wirtschaftsprüfer konkretisiert. Damit werden zugleich die aus den §§ 290 bis 315a HGB resultierenden Anforderungen an softwaregestützte Prozesse zur Konzernrechnungslegung beschrieben.

Als IT-gestützte Konsolidierungsprozesse werden alle programmtechnisch unterstützten Verarbeitungsschritte verstanden, die eine automatisierte Durchführung von Datenübernahmen und Konsolidierungsmaßnahmen mittels voreingestellter Parameter ermöglichen. Im Ergebnis müssen diese automatisierten Verarbeitungsschritte geeignet sein, die Sicherheit und Ordnungsmäßigkeit des zu verarbeitenden Buchungsstoffes zu gewährleisten. Nicht dazu zählen Tabellenkalkulationsprogramme, die oft bei einer überschaubaren Anzahl einzubeziehender Einzelabschlüsse verwandt werden.

Zur Gewährleistung der Sicherheit IT-gestützter Konsolidierungsprozesse ist erforderlich, dass die rechnungslegungsrelevanten Daten vor einem unbefugtem Zugriff geschützt werden (Vertraulichkeit) und gegenüber unkontrollierten Änderungen bzw. Manipulationen geschützt sind (Integrität). Sie sollten in angemessener Zeit funktionsfähig zur Verfügung stehen (Verfügbarkeit), durch Zugriffsschutzmaßnahmen und Berechtigungskonzepte nur durch autorisierte Personen bedient werden können (Autorisierung), es muss durch Berechtigungs- und Protokollierungsverfahren eine eindeutige Identifizierung des jeweiligen Verursachers gewährleistet sein (Authentizität) und die gewollten Rechtsfolgen von konsolidierungsbedingten Anpassungsmaßnahmen bindend herbeigeführt werden, d. h. durch den Veranlasser nicht abstreitbar sind (Verbindlichkeit).

Für den IT-gestützten Konsolidierungsprozess gelten dementsprechend die folgenden prinzipienbasierten Anforderungen an die Ordnungsmäßigkeit.

Zunächst müssen die in den Konzernabschluss einfließenden Daten insgesamt vollständig enthalten sein. Weiterhin sind die Daten inhaltlich zutreffend abzubilden und entsprechend ihrer Periodenzugehörigkeit darzustellen. Darüber hinaus müssen die Daten nachvollziehbar, das heißt mit ihrer Autorisierung nachgewiesen werden. Auch wenn es insgesamt keine gesetzlicheVerpflichtung zu einer laufenden Konzernbuchhaltung gibt, so muss sich jedoch ein sachverständiger Dritter in einer angemessenen Zeit einen Überblick über die Konzernbuchhaltung verschaffen können.

Risiken des IT-gestützten Konsolidierungsprozesses

Die Durchführung des Konsolidierungsprozesses mit dem Einsatz einer IT-gestützten Konsolidierungssoftware kann dabei bedeutende Risiken mit sich bringen.

So kann die Übernahme der Daten aus den dezentralen Einheiten zu unterschiedlichen Buchungs- und Abschlusszeitpunkten dazu führen, dass konzerninterne Salden in den dezentralen Rechnungslegungssystemen der einzelnen Einheiten unterschiedlich abgebildet werden. Weiterhin kann die Übermittlung der Informationen aus den dezentralen Einheiten fehlerhaft oder unvollständig erfolgen. Darüber hinaus kann die Parametrisierung innerhalb der Konsolidierungssoftware aufgrund der Komplexität der Systeme fehlerhaft oder unvollständig eingerichtet sein. Schließlich können möglicherweise konsolidierungsbedingte Anpassungsmaßnahmen zum Teil nur bedingt programmgesteuert im System abgebildet werden, was dazu führt, dass Buchungen manuell eingepflegt werden müssen.

Diese dem IT-gestützten Konsolidierungsprozess zugrundeliegenden Risiken wird durch die Einrichtung eines internen Kontrollsystems im Rahmen des Konzernmanagements begegnet. Dabei müssen die Ordnungsmäßigkeit und die Verlässlichkeit der konzernweiten Rechnungslegung sowie die Einhaltung der für den Konzernabschluss maßgeblichen rechtlichen Vorschriften und internen Regelungen im Vordergrund stehen.

Einrichtung eines internen Kontrollsystems für die IT-gestützte Konzernrechnungslegung

Im Rahmen des IT-Umfeldes und der Organisation müssen dafür zunächst die jeweiligen Verantwortlichkeiten und Kompetenzen festgelegt werden. Weiterhin müssen klare einheitliche Richtlinien für die Konzernrechnungslegung fixiert werden, die den verantwortlichen Mitarbeitern gegenüber auch klar kommuniziert werden müssen.

Zur Nutzung der IT-Software bedarf es eindeutiger IT-Kontrollen, wie z. B. die Kontrolle der konsistenten Berechtigungsvergabe, der Stammdatenänderung, logische Zugriffskontrollen sowie Kontrollen im Bereich des Changemanagements im Zusammenhang mit der Entwicklung, Einführung und Änderung von IT-Anwendungen. Diese IT-Kontrollen bilden die Grundlage für die zwingendermaßen einzuhaltenden Ordnungsmäßigkeits- und Sicherheitsanforderungen im Umgang mit einer IT-gestützten Konzernrechnungslegungssoftware.

Darüber hinaus ist durch die Einrichtung eines internen Kontrollsystems sicherzustellen, dass die IT-Infrastruktur mit ihren technischen Ressourcen eine Integrität und Verfügbarkeit des IT-Systems zu jeder Zeit sicherstellt und hieraus keine Auswirkungen auf die IT-gestützte Konzernrechnungslegung zu erwarten sind. Dieses muss insgesamt physische Sicherungsmaßnahmen, logische Zugriffskontrollen und Datensicherungsverfahren umfassen. Im nächsten Schritt muss innerhalb der IT-Anwendungen dafür Sorge getragen werden, dass die einzubeziehenden Daten sowie die vorzunehmenden Konsolidierungsmaßnahmen ordnungsgemäß dargestellt werden können. Dafür muss systemseitig sichergestellt werden, dass die einzubeziehenden Daten aus den Einzelabschlüssen nach HBI und HBII zeitgerecht erfasst und vollständig abgebildet sind.

Der IT-gestützte Konsolidierungsprozess lässt sich dabei in die folgenden Phasen einteilen:

  • Dabei steht zunächst die Übernahme der Daten aus den Vorjahren sowie aus den aktuellen Einzelabschlüssen in das System in Vordergrund. Hierzu ist erforderlich, dass entsprechende Kontrollen bezüglich der Vollständigkeit, der Richtigkeit und der Nachvollziehbarkeit der eingeflossenen Daten eingerichtet werden.
  • In einem weiteren Schritt müssen die ins System einfließenden Daten im Rahmen einer HBII Überleitung auf eine konzerneinheitliche Bilanzierung übergeleitet werden und z. B. anhand des Journalauszugs kontrolliert werden.
  • Danach sind die Währungsumrechnung sowie die entsprechenden Konsolidierungsbuchungen vorzunehmen. Dabei sind zunächst die im System hinterlegten Parameter zu kontrollieren und in einem weiteren Schritt ist mittels entsprechender Auswertungen zu prüfen, ob die durchgeführten Konsolidierungsbuchungen inhaltlich nachvollziehbar sind.
  • Zum Schluss muss die sich aus dem IT-gestützten Konsolidierungsprozess ergebende Konzernberichterstattung daraufhin kontrolliert werden, ob diese mit den ihr zugrundeliegenden Daten sowie den durchgeführten Konsolidierungsbuchungen übereinstimmt.

Überwachung des konzernrechnungslegungs-
bezogenen internen Kontrollsystems

Insgesamt bleibt bei der Einrichtung eines konzernrechnungslegungsbezogenen internen Kontrollsystems festzuhalten, dass die einzelnen vom Konzernmanagement zu treffenden Maßnahmen entscheidend von der Komplexität des IT-gestützten Konsolidierungsprozesses abhängig sind. Von elementarer Bedeutung ist dabei, dass der Risikobeurteilungsprozess durch das Konzernmanagement insgesamt wirksam eingerichtet wurde und damit der Prozess zur Feststellung, die Analyse und Bewältigung von Geschäftsrisiken, bezogen auf das Risiko möglicher Ordnungsmäßigkeits- und Sicherheitsverstöße sowie die falsche Angabe von wesentlichen Angaben im Konzernabschluss insgesamt voll funktionsfähig ist.

Überwachungsmaßnahmen, die vom Konzernmanagement eingerichtet werden können, sind dabei unter anderem:

  • die regelmäßige Durchsicht der bestehenden Kontrolldokumentationen, die aufgetretene Mängel in den Meldedaten aufzeigt
  • die Plausibilisierung des Konzernabschlusses mit der Konzernplanungsrechnung
  • die Durchsicht der Unterlagen einer bestehenden internen Revision bezüglich erkannter Verprobungsdifferenzen, z. B. innerhalb des Eigenkapitalspiegels

Fazit

Der IDW RS FAIT 4 mit seinen definierten Anforderungen an den IT-gestützten Konsolidierungsprozess macht sehr deutlich, dass die Einrichtung eines konzernrechnungslegungsbezogenen internen Kontrollsystems zwingend erforderlich ist, um Ordnungsmäßigkeit und Sicherheit IT-gestützter Konsolidierungsprozesse zu gewährleisten.

Ohne ein voll funktionsfähiges internes Kontrollsystem kann eine IT-gestützte Konzernabschlusserstellung nicht erfolgen, ohne die Verlässlichkeit der konzernweiten Rechnungslegung sowie die Einhaltung der für den Konzernabschluss maßgeblichen rechtlichen Vorschriften und internen Regelungen außer Acht zu lassen.

Dabei spielt es keine Rolle, innerhalb welcher Rechnungslegungsstandards sich das bilanzierende Unternehmen bewegt. Die Anforderungen an den IT-gestützten Konsolidierungsprozess sind sowohl im Umfeld der HGB Bilanzierung wie auch der IFRS Bilanzierung unverändert anzuwenden.

Passende Artikel