IT Compliance aus Sicht der Wirtschaftsprüfung - Fern FH

Vorwort / DanksagungIch möchte mich an dieser Stelle bei meinen Betreuern, Herrn Mag. Latzenhofer und HerrnMag. Neuroth Pfeiffer herzlich für die aufgebrachte Geduld, unkomplizierte Zusammenarbeitund Betreuung bedanken.Weiters möchte ich mich bei allen bedanken die mich während schwierigen Phasen dieserDiplomarbeit immer wieder motiviert und unterstützt haben, besonders bei meiner Frau undFamilie sowie bei Herrn Dr. Adriaan van Eck, ehemaliger Wirtschaftsprüfer bei KPMG sowieein lieber Kollege und Freund.ErklärungIch versichere, dass ich die vorliegende Arbeit selbstständig verfasst und keine anderen alsdie angegebenen Quellen und Hilfsmittel benutzt habe.Mit der Einstellung dieser Arbeit in die Bibliothek bin ich einverstanden. Der Veröffentlichungdieser Arbeit im Internet stimme ich zu.Wien, im Mai 20132

KurzzusammenfassungAufgrund der Bilanzskandale der letzten Jahre haben sich die Anforderungen an die Wirtschaftsprüfungund an die Transparenz und Kontrolle der internen Abläufe im Unternehmenstark verändert. Da heute IT-Systeme die Grundlage für die Finanzberichterstattung darstellen,wurden gesetzliche Rahmenbedingungen geschaffen, um die Korrektheit und Zuverlässigkeitder Prozesse der Rechnungslegung über interne Kontrollen zu steuern. Aus der Geschichteder Wirtschaftsprüfung ist aber herauszulesen das es immer wieder Wirtschaftskriminalitätgab und versucht wurde die gesetzlichen Rahmenbedingungen zu umgehen. Zieldieser Arbeit ist es, anhand der Skandale ENRON, PARMALAT und COMROAD darzustellen,wo die Gründe und Ursachen dafür lagen und inwieweit IT-Systeme und Wirtschaftsprüfungdolose Handlungen begünstigen.Anhand der Forderungen aus dem Sarbanes Oxley Act wird dargestellt, wie interne Kontrollsystemeund IT Audits konzeptioniert sein sollen, und versucht ein allgemein gültiges Konzeptmit den Modellen COSO, COBIT, ITIL zu erarbeiten und alle Anforderungen zu erfüllen.Am Ende soll die Frage beantwortet werden ob sich Wirtschaftskriminalität durch Gesetzeund Framework verhindern lässt, oder nur eingedämmt werden kann.Weiters wird die Rolle der Wirtschaftsprüfung in diesen Skandalen hinterfragt und dargestelltob der gewählte Prüfungsansatz und Interessenkonflikte zwischen Auftraggeber und AuftragnehmerWirtschaftskriminalität begünstigen oder beeinflussen.Am Ende der Arbeit wird ein Ausblick auf künftige Anforderungen und Problemstellungen imBereich der Compliance und Wirtschaftskriminalität gegeben.3

AbstractOn account of the balance scandals of the last years the demands on financial audits, transparencyand control of the internal processes and risks have strongly changed in the companies.Today IT systems are the base for accounting and financial reporting. Due to thatfact, legal basic conditions were legislated to control the correctness and reliability of theprocesses by internal control systems. However, from the history of the audit it is a fact thatfraud activities are present and laws are avoided. It is an aim of this work, with the help ofthe scandals ENRON, PARMALAT and COMROAD to find out the reasons and causes forfraud and the influence of IT-systems and auditing approach on fraud actions.With the help of the demands from the Sarbanes Oxley Act it is shown how internal controllingsystems and IT audits should be designed, and a generally accepted concept withthe models COSO, COBIT, ITIL to compile and fulfill all legal demands. At the end the questionshould be answered whether fraud can be prevented by laws and frameworks, or fraudonly can be dammed.Furthermore the role of the auditors and their auditing approach will be discussed in relationon conflicting interests between principal and agent favour or influence frauds.At the end of the work a view on future demands and problem formulations is given in thearea of the Compliance and fraud.4

InhaltsverzeichnisABBILDUNGSVERZEICHNIS ................................................................................................7TABELLENVERZEICHNIS ....................................................................................................8ABKÜRZUNGSVERZEICHNIS ..............................................................................................9KAPITEL 1 EINFÜHRUNG UND GRUNDLAGEN ............................................................101.1 Problemstellung .................................................................................................10KAPITEL 2RECHTLICHER RAHMEN UND STANDARDS.............................................142.1 Entwicklung der Wirtschaftsprüfung ................................................................142.1.1 Geschichtliche Entwicklung ..................................................................................142.1.2 Ziele und Prüfungsansätze...................................................................................162.2 Gesetzliche Anforderungen ...............................................................................202.2.1 Grundsätze der ordnungsgemäßen Buchführung .................................................202.2.2 SOX und IFRS .....................................................................................................222.2.3 Sonstige ...............................................................................................................262.2.4 Unterschiede IFRS / HGB nach BilMoG ...............................................................262.3 Frameworks ........................................................................................................282.3.1 COBIT ..................................................................................................................282.3.2 COSO ..................................................................................................................302.4 Vor und Nachteile von Frameworks ..................................................................32KAPITEL 3 COMPLIANCE UND WIRTSCHAFTSKRIMINALITÄT ..................................343.1 Wirtschaftskriminalität .......................................................................................343.1.1 Bilanzskandale der letzten Jahre..........................................................................383.1.2 Ursachen und Gründe ..........................................................................................433.1.3 Verlauf und Folgen ...............................................................................................453.2 Compliance .........................................................................................................473.2.1 Rolle der Wirtschaftsprüfung ................................................................................49KAPITEL 4 IT AUDIT UND WIRTSCHAFTSPRÜFUNG ..................................................514.1 IT Audit................................................................................................................514.1.1 Anwendung von Frameworks ...............................................................................564.1.2 Problemstellung ...................................................................................................614.2 Wirtschaftsprüfung ............................................................................................624.2.1 Ziele und Prüfungsansatz ....................................................................................624.2.2 Problemstellung ...................................................................................................635

4.3 Internes Kontrollsystem (IKS) ........................................................................... 63KAPITEL 5 HANDLUNGSEMPFEHLUNGEN UND KÜNFTIGE ENTWICKLUNGEN...... 685.1 Erkenntnisse der Untersuchung ....................................................................... 685.2 Grenzen von Compliance .................................................................................. 715.3 Grenzen in der Anwendung von Frameworks ................................................. 725.4 Künftige Entwicklungen .................................................................................... 735.5 Handlungsempfehlungen .................................................................................. 77KAPITEL 6 ZUSAMMENFASSUNG UND ERKENNTNISSE ........................................... 816.1 Zusammenfassung ............................................................................................ 816.2 Erkenntnisse ...................................................................................................... 83LITERATURVERZEICHNIS ................................................................................................. 856

AbbildungsverzeichnisAbbildung 1: Entwicklung Prüfungsansätze ......................................................................... 17Abbildung 2: Risikoorientierter Prüfungsansatz ................................................................... 18Abbildung 3: Eckpunkte des SOX ........................................................................................ 22Abbildung 4: Zusammenhang SOX 302- 404 - COSO ......................................................... 24Abbildung 5: Aufbau IFRS ................................................................................................... 25Abbildung 6: Historie COBIT................................................................................................ 28Abbildung 7: COBIT Würfel ................................................................................................. 29Abbildung 8: Referenzmodell COBIT 5.0 ............................................................................. 30Abbildung 9: COSO Würfel .................................................................................................. 32Abbildung 10: Fraud Dreieck ............................................................................................... 36Abbildung 11: Frau Treu der ACFE ..................................................................................... 38Abbildung 12: Betrugsschema ENRON ............................................................................... 39Abbildung 13: Betrugsschema Comroad AG ....................................................................... 42Abbildung 14: Unregelmäßigkeiten nach IDW PS210 .......................................................... 46Abbildung 15: Aufbau Risk IT .............................................................................................. 48Abbildung 16: Aufbau IT-Audit ............................................................................................. 52Abbildung 17: Ziele des IT Audits ........................................................................................ 56Abbildung 18:PDCA Prozess ............................................................................................... 57Abbildung 19: Überleitung der Prozesse nach COBIT ......................................................... 59Abbildung 20: Zusammenhang COBIT - RISK IT - VAL IT ................................................... 60Abbildung 21: IKS Komponenten nach COSO ..................................................................... 64Abbildung 22: Gliederung eines IKS .................................................................................... 65Abbildung 23: Implementierungsschritte eines IKS .............................................................. 66Abbildung 24: Continuous Audit und Continuous Monitoring ............................................... 74Abbildung 25: derzeitige Normen und Vorschriften .............................................................. 78Abbildung 26: KPMG - 9 Box Modell ................................................................................... 797

TabellenverzeichnisTabelle 1: Grundsätze ordnungsgemäßer Buchführung .......................................................21Tabelle 2: Unterschiede HGB-BilMoG-IFRS .........................................................................278

AbkürzungsverzeichnisAFM Anti Fraud ManagementACFE Association of Certified Fraud ExaminersBilMog BilanzrechtsmodernisierungsgesetzBRA Business Risk Auditbzw. BeziehungsweiseCOSO Committee of Sponsoring Organizations of the Treadway CommissionCOBIT Control Objectives for Information and Related TechnologyCoC Code of ConductCSR Corporate Social ResponsibilityD&T Deloitte Touche TohmatsuGAAP Generally accepted accounting principlesGoB Grundsätze ordnungsgemäßer BuchführungGoBS Grundsätze ordnungsgemäßer DV- gestützter BuchführungHGB HandelsgesetzbuchIFRS International Financial Reporting StandardsIKS internes KontrollsystemIS InformationssystemIT InformationstechnologieNYSE New York Stock ExchangePCAOB United States Public Company Accounting Oversight BoardPDCA Plan – DO – CHECK – ACTPWC PriceWaterhouseCoopersStgB StrafgesetzbuchSOX Sarbanes Oxley ActToD Test of DesignToE Test on operating effectivenessVwGH VerwaltungsgerichtshofVfGH VerfassungsgerichtshofWP Wirtschaftsprüfung9

Kapitel 1Einführung und Grundlagen1.1 ProblemstellungDie Bilanzskandale der letzten Jahre haben dazu geführt, dass der Begriff der Compliance inaller Munde ist. Die Gründe für diese Art der Wirtschaftskriminalität liegen einerseits in dermanipulativen Anwendung der IT-Systeme und anderseits im Prüfungsansatz der Wirtschaftsprüfer.In dieser Arbeit sollen die Hintergründe und Motivationen, die zu diesem Vergehenführen, beleuchtet und untersucht werden.Als Ergebnis der Arbeit soll die Erkenntnis stehen, ob durch regulative, gesetzliche VorgabenBilanzfälschungen verhindert und im Rahmen des IT Audits präventiv erkannt werdenkönnen. In meiner beruflichen Tätigkeit bin ich mit der Thematik der Wirtschaftsprüfung undÜberwachung und Einhaltung der Compliance-Richtlinien konfrontiert. Daher sehe ich ausSicht des Klienten, wo es zu einem teilweise erheblichen Mehraufwand kommt bzw. tauchenim Rahmen von IT Audits Schwachstellen auf, die systembedingt aber nicht änderbar sind.Es soll aufgezeigt werden, wo die Grenzen in der Anwendung von Frameworks liegen undinwieweit darauf der Interessenskonflikt zwischen Wirtschaftsprüfer, Prüfungsansatz undUnternehmensinteressen Einfluss nehmen kann. Wie tragen der gewählte Prüfungsansatzund IT-Systeme zur Verhinderung krimineller Handlungen bei und welche Risiken könnennicht dadurch eliminiert werden?Aus dem Konflikt von verfügbarer Zeit und genehmigten Kosten kommt im Rahmen einerJahresabschlussprüfung nur eine Prüfung über Stichproben zur Anwendung, es ist daherunwahrscheinlich, dass im Rahmen einer normalen Prüfung Unregelmäßigkeiten aufgedecktwerden. Die zur Erkennung solcher Handlungen notwendige vollständige Systemprüfungkommt im Normalfall nicht zur Anwendung, daher soll die Frage beantwortet werden ob undwie durch die Wahl des Prüfungsansatzes die Entstehung von Fraud begünstigt wird.Die These, dass Wirtschaftskriminalität durch gesetzliche Regulierungen und Vorschriftennicht verhindert, sondern nur eingedämmt werden kann, soll durch die Erkenntnisse dieserArbeit bestätigt werden.Im Rahmen des IT- Audits findet eine Überprüfung im Sinne der GoBS statt, und es soll derFrage nachgegangen werden ob IT-Systeme das Entstehen von dolosen Handlungen beeinflussenoder begünstigen. Es wird die These aufgestellt, dass betrügerische Handlungennicht von IT-Systemen ausgehen, sondern immer aufgrund von bewusst gesetzten Handlungen,überwiegend von Personen des Managements ausgehen, auch diese Frage soll in Kapitel6 beantwortet werden.Das vorliegende erste Kapitel ist eine Einführung in die Thematik und die daraus entstehendenProblemstellungen. Es werden die wesentlichen Inhalte und Forschungsfragen in einerKurzzusammenfassung dargestellt.10

Im zweiten Kapitel wird die geschichtliche Entwicklung der Wirtschaftsprüfung von den erstenZeichen im alten Babylon bis zur Einführung der Prüfpflicht für Unternehmen im vorigenJahrhundert und den Entwicklungen zur Wirtschaftsprüfung wie wir sie heute kennen. Eswerden die heute gebräuchlichen Prüfungsansätze wie der bilanzposten-, Risiko-, oder geschäftsrisikoorientierteAnsatz vorgestellt. Im zweiten Teil werden rechtlichen Entwicklungenwie die Grundsätze der ordnungsgemäßen Buchführung (GoB) sowie deren Erweiterungenfür elektronische Buchführung, die Grundsätze ordnungsgemäßer DV- Buchführung (GobS)vorgestellt.Anschließend werden die Frameworks für die Finanzberichterstattung wie der SarbanesOxley Act (SOX) und die europäischen International financial accounting Standards (IFRS)und deren Entstehen und Grundaussagen diskutiert. Als international bedeutende Frameworkswerden noch kurz die Generally accepted accounting principles (GAAP) sowie dereneuropäisches Gegenstück, das deute Bilanzrechtsmodernisierungsgesetz (BilMog) vorgestellt.Als Abschluss von Kapitel 2 werden noch die im Rahmen der Finanzberichterstattung anwendbarenFrameworks des Committee of Sponsoring Organizations of the TreadwayCommission (COSO) und die Control Objectives for Information and Related Technology(COBIT) und deren Aufbau erläutert.Abschließend werden die Vor- und Nachteile der Frameworks und deren Unterschiede in derKonzeption dargestellt.Im dritten Kapitel wird der Begriff der Wirtschaftskriminalität und deren Entstehung und dendafür notwendigen Voraussetzungen erörtert. Es wird die Abgrenzung zwischen Verstößenund Unrichtigkeiten sowie den jeweiligen Folgen für das Ergebnis der Prüfung vorgenommen.Es werden die Ursachen und Motive der handelnden Personen anhand von den BeispielenENRON, Parmalat und COMROAD vorgestellt. Von allen drei Skandalen werden dieVerläufe und Ursachen dargestellt, und versucht Handlungsmuster zu erkennen und abzuleiten.Als Reaktion auf diese Skandale sind die Begriffe Corporate Governance und Complianceals Ergänzung zu den gesetzlichen Verschärfungen wie den SOX entstanden. Die damitverbunden Ziele und Auswirkungen, sowie deren Wirksamkeit in Bezug auf Wirtschaftskriminalität,werden vorgestellt.Am Ende des dritten Kapitels wird die Rolle der Wirtschaftsprüfer in den drei vorgestelltenBilanzskandalen beleuchtet, die alle von großen, international anerkannten und renommiertenKanzleien gekommen sind und erheblich an den Entwicklungen beteiligt waren, da durcheinfache Plausibilitätsprüfungen einiges verhindert und aufgedeckt hätte werden können.Darüber hinaus wird der Interessenskonflikt, der zwischen Wirtschaftsprüfer und Auftraggeberaufgrund des gewählten Prüfungsansatzes in Verbindung mit den budgetierten Kostenund dem verfügbaren Zeitrahmen der Prüfung entsteht, analysiert. Aufgrund dieses Interessenskonflikteswird versucht die Frage nach einem „absichtlichen“ oder im System begründetenÜbersehen oder Wegsehen bei Unregelmäßigkeiten zu beantworten.11

Im vierten Kapitel wird der Übergang von den vorgestellten Entwicklungen der in der Wirtschaftsprüfungeinerseits und den Erkenntnissen, die aus den Bilanzskandalen und derenFolgen gewonnen werden konnten, zum IT Audit dargestellt. Mithilfe des IT Audits, das imRahmen der Prüfung des Jahresabschlusses vorzunehmen ist, werden der Prüfungsansatz,der Ablauf, sowie die Einordnung des IT Audits in relevante Frameworks wie COSO oderCOBIT dargestellt.Es wird der Frage nachgegangen, ob ein IT Audit zur Wahrung der Transparenz beträgt, undzur Beseitigung und Behebung von Schwachstellen beitragen kann.Im zweiten Teil des vierten Kapitels werden die Voraussetzungen für ein effektives InternesKontroll System (IKS) analysiert und versucht, eine Gegenüberstellung des damit verbundenenAufwandes und Nutzens vorzunehmen. Da die Überprüfung aus Kosten und Zeitgründenmeistens nur stichprobenhaft erfolgen kann, besteht das Risiko, dass Schwachstellenoder Lücken im System nicht erkannt werden. Daher gilt es die Frage zu beantworten, wieein allgemein gültiges Konzept für die Wirksamkeit eines IKS aussehen kann.Aus Sicht der Wirtschaftsprüfung ist die Frage zu beantworten, ob das ursprüngliche Ziel derKrisenfrühwarnfunktion und Verhinderung von Unregelmäßigkeiten über IT Audits mit denangewandten Prüfungsansätzen erreicht werden kann. Auch soll die Frage beantwortet werden,wann IKS wirksam gegen Missbrauch sind und welche Voraussetzungen dafür erfülltsein müssen.In Kapitel 5 werden aufgrund von Erkenntnissen aus den vorangegangenen Kapiteln 2-4versucht, Empfehlungen zur Verhinderung von Wirtschaftskriminalität abzugeben. Es wirdversucht auf künftige Problemstellungen und mögliche Entwicklungen im Bereich der Complianceeinzugehen. Eine Darstellung der gewonnenen Erkenntnisse nach den BereichenInteressenskonflikte, Eindämmung von Wirtschaftskriminalität und mangelndes, unzureichendesIKS wird vorgenommen. Am Ende des Kapitels wird versucht, die Grenzen vonCompliance in internationalen Konzernen aufzuzeigen, so gibt es in unterschiedlichen Ländernunterschiedliche Kulturen und unterschiedliche Gesetzgebungen. Daher ist es schwierig,alles in einen Code of Conduct zu bringen, indem die Sicherstellung der Compliance mitangemessenen Mitteln erfolgen kann.In der Anwendung der vorgestellten Frameworks ist es wichtig, die Balance zwischen Notwendigkeitder Dokumentation von Geschäftsprozessen und -risiken und einem den täglichenGeschäftsablauf beeinträchtigenden Aufwand der Dokumentation zu finden. Da das ITAudit nur einen momentanen Zustand aufnimmt, zeigt dies die Grenzen der Anwendung derFrameworks auf – es kann ein Zustand, der zur Zertifizierung notwendig ist, hergestellt werdenund in der Zeit bis zum Rezertifizierungsaudit werden diese definierten Standards umgangen.Ein Framework und die damit verbundenen Prüfungen stellen nur eine Hilfestellung dar, eineVerhinderung von Wirtschaftskriminalität und Missbrauch kann durch Frameworks, Prüfungenund Audits nicht sichergestellt werden. Aufgrund der Tatsache, dass es aufgrund derbeschriebenen Skandale notwendig wurde, regulative Vorgaben und Reglementierungenvorzunehmen, ist auch zukünftig davon auszugehen, dass versucht werden wird, diese zuumgehen.12

Das Ziel künftiger Entwicklungen im Bereich der Compliance wird daher sein, diese neuenBetrugsmethoden im Ansatz zu erkennen und gegenzusteuern. Neue Ansätze diese Manipulationsversuchezu erkennen und Maßnahmen zur Gegensteuerung werden am Schlussdieses Kapitels vorgestellt:- forensische Datenprüfung- Continuous Audit- Whistleblowing- Bilanzpolizei- BundesfinanzgerichtIm sechsten und letzten Kapitel wird eine Zusammenfassung der Erkenntnisse formuliertund Beantwortung der Thesen und Forschungsfragen erfolgen.13

Kapitel 2Rechtlicher Rahmen und StandardsDer Wandel der Gesellschaft von der Agrargesellschaft vor 8000 Jahren über die Industriegesellschafthin zur heutigen Dienstleistung und Informationsgesellschaft hat jeweils spezifischeProbleme mit sich gebracht, die in Form von Kontrollen, Regulativen und letztlich gesetzlichvorgeschriebenen Standards immer wieder bekämpft und eingedämmt wurden, bis diesewieder umgangen und unterlaufen wurden. Aus dem Kreislauf aus Umgehung und Ausnutzungvon Lücken in diesen Vorschriften sind die heutigen-, rechtlich verbindlich vorgeschriebenenStandards der Wirtschaftsprüfung entstanden. In diesem Kapitel werden die wesentlichenSchritte, Ansätze und Entwicklungen in der Wirtschaftsprüfung (WP), wie wir sie heute kennen,vorgestellt, sowie die wesentliche Begriffe und Grundprinzipien, die darin zur Anwendungkommen 1 , erläutert.2.1 Entwicklung der WirtschaftsprüfungDie Bezeichnung WP setzt sich aus den Begriffen des Wirtschaftens und der Prüfung zusammen.Unter Wirtschaften wird ein Mangel oder ein Bedürfnis an einem Gut verstanden, das mitdem Ziel der Befriedigung dieses Mangels getauscht oder „gehandelt“ wird. Mit der Entwicklungdes Begriffes des Wirtschaftens ist es in weiterer Folge dazu gekommen, dass allgemeingesprochen eine Überprüfung eines Soll- mit einem Ist-Zustand notwendig und somit mit dieserPrüfung die Grundlage der Wirtschaftsprüfung geschaffen wurde. Lag ursprünglich der Sinn desWirtschaftens in der Erhaltung und Sicherung des menschlichen Lebens, so hat sich der Begriffim Laufe der Zeit dahingehend gewandelt, dass nun die Erzielung eines möglichst hohenGewinnes im Vordergrund steht.Es wurde und wird mit verschiedenen Methoden immer wieder versucht ungerechtfertigt Gewinnezu erzielen und diese am Gesetz vorbeizuführen, worauf auf diese Lücken mit Regularienund Vorschriften durch Gesetzgeber reagiert wurde. Mit der Entwicklung und dem verstärktenEinsatz von IT-Systemen wurde diese Entwicklung weiter verstärkt.2.1.1 Geschichtliche Entwicklung 2Die Entwicklung der WP lässt sich bis zum Altertum und in die Antike rückverfolgen und infolgende Schritte gliedern:1 Vgl. Freidank, Vorlesungsunterlagen Wirtschaftsprüfung II, 2006, Hamburg2 Vgl. Brönner, H. ,Handwörterbuch der Revision, Seite 663ff.14

- BabylonDie Ursprünge der Wirtschaftsprüfung lassen sie sich bis ins alte Babylon vor 3000Jahren verfolgen. So wurden auf Steintafeln sogenannte „Prüfhäkchen“ gefunden, dieman als ersten nachweisbaren Vergleich eines Soll- mit einem Ist-Zustandes undsomit als eine Art Inventarführung bezeichnen kann. In der Literatur werden diesePrüfhäckchen als Beginn der Wirtschaftsprüfung im weitesten Sinne beschrieben.- ÄgyptenIn der ägyptischen Kultur war der Handel von gegenseitigem Misstrauen geprägt, alsFolge daraus fanden regelmäßige Überprüfungen statt, bei denen sich die Händlergegenseitig kontrollierten. Aus dieser Kontrolle ist das auch heute noch verbreitetetund gebräuchliche „Vier-Augen-Prinzip“ entstanden.- Griechisches ReichIm griechischen Reich wurden erstmals Kontrollmechanismen zur Eintreibung derstaatlichen Finanzen eingeführt. Je mehr Bürokratismus in diesen Staaten aufgebautwurde, desto stärker wurden Kontrollen und Mechanismen aufgebaut, um die Staatsfinanzenin Form von Steuern einzutreiben.- Römisches ReichIm Römischen Reich traten erstmals sogenannte „oratores“ (=Redner) auf, die Klientenvor Gericht in Steuerstreitigkeiten vertraten. Diese Funktion stellt somit die erstedokumentierte Form der Steuerberatung in der Geschichte dar.- MittelalterIm Mittelalter wurde Handwerk in Zünften organisiert. Um ein Handwerk auszuüben,musste man Mitglied in einer Zunft oder Gilde werden. Innerhalb dieser Organisationenwurden die wirtschaftlichen Vorgänge mittels erstellter Zunftordnungen einer Prüfungunterzogen. Der Handel wurde in Gilden organsiert und innerhalb dieser wurdedurch die Mitglieder in Form eigener internen Kontrollen eine frühe Form der Innenrevisionumgesetzt.- Industrielle RevolutionIm Zuge der Industriellen Revolution wurde die interne Kontrolle von Unternehmenimmer schwerer, da die Unternehmen in ihrer Größe stark gewachsen sind und es füreine regelmäßige Kontrolle der ökonomischen Vorgänge notwendig wurde, eigenePersonen dafür abzustellen. Waren dies zu Beginn meist Familienmitglieder, wurde15

ald erkannt, dass sich hier ein neuer Markt im Entstehen war und sich Personen aufdas Gebiet der buchhalterischen Kontrolle von Unternehmen zu spezialisieren begannen.3- Prüfpflicht im 20. JahrhundertEs entstanden bereits um 1700 staatliche Rechnungskontrollstellen 4 und in der Mittedes 20. Jahrhunderts wurde die Prüfpflicht durch externe Kontrolleure, oder sogenanntePrüfer – aufgrund einer Änderung im Aktienrecht in Deutschland nachweislicheingeführt. Anlass waren die Aktiengesellschaften, da durch die Trennung von verwaltetemKapital und dem Kapitaleigentum eine Überprüfung der Manager notwendigwurde. Veruntreute Gelder und gesetzeswidrige Handlungen von Unternehmen, diedurch wirtschaftliche Vorgänge hervorgerufen wurden, konnten so aufgedeckt werden.- Entwicklung nach dem zweiten WeltkriegNach Ende des Zweiten Weltkrieges wurden die „Reichskammern der Steuerberater“durch die Wirtschaftstreuhänder – Berufsordnung (WTBO) ersetzt und die drei BerufsgruppenWirtschaftsprüfer & Steuerberater, Buchprüfer & Steuerberater undSteuerberater eingeführt (1955). 5Der Wirtschaftsprüfer hat also die Rechnungslegung von Unternehmen zu prüfen und dasErgebnis dieser Prüfung mit „Bestätigungsvermerk“ zu bestätigen. Es wird dabei ein gesetzlichvorgegebener Sollzustand mit dem geprüften Istzustand verglichen und die Übereinstimmungtestiert.Die gesetzlich vorgeschriebenen Aufgaben und Ziele dieser Prüfpflicht sind im Laufe der Zeitimmer wieder erweitert und angepasst worden, sodass daraus letztlich die Wirtschaftsprüfung,wie wir sie heute kennen, entstanden ist.2.1.2 Ziele und PrüfungsansätzeAus der Prüfpflicht für Aktiengesellschaften heraus sind für alle Unternehmen verpflichtenddurchzuführende Prüfungen entstanden. Aus den darin enthaltenen Zielen wurden bereits inden 50er Jahren des letzten Jahrhunderts standardisierte und systematisierte Prüfungsansätzeabgeleitet, die laufend adaptiert und erweitert werden, in den Grundzügen aber bisheute Gültigkeit haben und im Rahmen der Jahresabschlussprüfung zur Anwendung kommen.3 Vgl. Jonen, Schönbohm, Interne Revision im Wandel der Zeit - Historie der Revision und zukünftige Entwicklungen,Zeitschrift Interne Revision, Heft 03/211, Seiten 122-1304 Vgl. Rabich, Seite 485 Wirtschaftsprüfer in Österreich, www.ktw.or.at, abgerufen am 27.3.201316

Mit dem Testat der Prüfung gibt der Wirtschaftsprüfer ein Urteil darüber ab, ob die Rechnungslegungden gesetzlichen Vorschriften entspricht, die Grundsätze ordnungsgemäßerBuchführung (GoB) 6 eingehalten, und ein getreues Bild der Vermögens-, Finanz-, und Ertragslagedes Unternehmens dargestellt wird.Die grundlegende Anforderung liegt also darin, gesetzeswidrige Handlungen wie zum Beispieldie Veruntreuung von Geldern durch standardisierte Prüfprozesse aufzudecken und zuverhindern.Parallel zur Entwicklung der Wirtschaftsprüfung sind im Laufe der Zeit unterschiedliche Prüfungsansätzeentstanden:Bilanzpostenorientierter PrüfungsansatzAbbildung 1: Entwicklung Prüfungsansätze 7Der bilanzpostenorientierte Prüfungsansatz wird 1917 vom American Institute of Accountingerstmalig verwendet, ist damit der älteste Ansatz und orientiert sich an der Systematik derordnungsgemäßen Rechnungslegung. Dabei ist eine vollständige Überprüfung und Durchsichtder zum Bilanzstichtag vorhandenen Buchungsposten und Geschäftsfälle, die in Bilanzund Gewinn und Verlustrechnung (GuV) verbucht wurden, vorgesehen. Die Buchungspostenwerden dabei auf Vollständigkeit, Zeitbezug und wirtschaftlicher Zugehörigkeit sowie derenordnungsgemäßen Bewertung überprüft.Ein Urteil über die Übereinstimmung mit den Rechnungslegungsvorschriften wird durch Prüfungsnachweise,die zu einem Gesamturteil zusammengefasst werden, erreicht. Dafür bedientsich der Wirtschaftsprüfer Aussagen der Geschäftsleitung zu Art und Ausweis der Geschäftsfälleund Kontensalden in den Abschlussposten.Es handelt sich bei diesem Ansatz um einen rein zeitpunktbezogenen, künftige Risiken oderdie Funktion des internen Kontrollsystems (IKS) werden dabei nicht berücksichtigt. Die Prüfungist eine Vollprüfung, die mit Standardprüfprogrammen durchgeführt wird. Dies verur-6 Vgl. Leffson, 1987 Grundsätze ordnungsgemäßer Buchführung7 http://www.wiso.uni-hamburg.de, Lilfeld 2012, Prüfungsansätze, Seite 6, abgerufen am 16.2.201317

sacht einerseits hohe Kosten und andererseits ist durch das schematische Vorgehen derPrüfprogramme nicht von einer hohen Fehleraufdeckungswahrscheinlichkeit auszugehen.Risikoorientierter PrüfungsansatzDer risikoorientierte Ansatz basiert auf einem Modell, das in den 60er Jahren entstanden ist.Dessen Aussage basiert darauf, dass die geprüften Unterlagen mit einer festgelegten Sicherheitkeine wesentlichen Fehler oder falsche Aussagen enthalten.Abbildung 2: Risikoorientierter Prüfungsansatz 8Unter dem Prüfungsrisiko wird dabei jenes Risiko verstanden, dass der testierte und geprüfteAbschluss wesentliche Fehler enthält. Dieses Risiko kann durch den WP direkt über Minimierungdes Entdeckungsrisikos beeinflusst werden.Das Entdeckungsrisiko stellt somit die Wahrscheinlichkeit dar, dass wesentliche Fehler währendder Prüfung nicht entdeckt werden.Unter dem Kontrollrisiko wird die Wahrscheinlichkeit dafür verstanden, dass wesentlicheFehler durch das interne Kontrollsystem (IKS) des Unternehmens nicht rechtzeitig verhindertoder aufgedeckt werden. Das inhärente Risiko stellt im Gegensatz dazu die Wahrscheinlichkeitfür das Auftreten wesentlicher, falscher Angaben im Jahresabschluss ohne Berücksichtigungdes internen Kontrollsystems dar.Im Gegensatz zum bilanzpostenorientierten Ansatz handelt es sich um einen aussagenbezogenenAnsatz, der eine strategische Prüfung der wesentlichen Risiken ermöglicht, somitwerden auch Ereignisse über den Stichtag hinaus berücksichtigt. Als Nachteil ist die Risikobeurteilungzu erwähnen, da diese immer eine subjektive Schätzung darstellt.8 http://www.wiso.uni-hamburg.de, Lilfeld, 2012, Prüfungsansaetze.pdf, Seite 17, abgerufen am 16.2.201318

Geschäftsrisikoorientierter PrüfungsansatzDieser Ansatz ist auch unter dem Namen Business Risk Audit (BRA) bekannt. Ausgehendvon den Geschäftsprozessen und den damit verbundenen Risiken der Nichterreichung vonstrategischen Unternehmenszielen wird das Risiko für die Organisation bewertet. Dabeikommen Instrumente der strategischen Unternehmensplanung zum Einsatz.- SWOT Analysebei der die internen Stärken (Strengths) und Schwächen (Weakness) sowie die externenChancen (Opportunities) und Risiken (Threads) einer Organisation gegenübergestelltwerden. Die Stärken und Schwächen stellen dabei den Istzustand dar,während die Chancen und Risiken die Zukunftsperspektive darstellen. 9- PEST AnalyseDie PEST Analyse ist eine Weiterentwicklung der SWOT Analyse, bei der die politischen,wirtschaftlichen, sozialen und technologischen Einflüsse, die auf die Organisationeinwirken, untersucht und in vier Quadranten dargestellt werden. Im Bereichder politischen Einflüsse wird neben den politischen Landesgegebenheiten auch derBereich der Compliance und Sicherheit einbezogen. Die PEST Analyse ist im Vergleichzur SWOT Analyse noch wenig etabliert, für eine gesamtheitliche Betrachtungjedoch die ideale Ergänzung. 10- Five forces Modell nach PorterZur Bewertung der externen Einflüsse kann auch der von Porter entwickelte Ansatzder Branchenstrukturanalyse Anwendung finden, da dieser Ansatz den Wettbewerbim Markt mit einbezieht, indem das Risikopotential durch Lieferanten, Kunden, Substituteund Mitbewerber bewertet werden kann.Im Rahmen des Ansatzes erfolgt eine strategische Analyse der Geschäftsfelder des Mandantenund den damit verbunden Prozessen und Strategien sowie den damit verbundenenGeschäftsrisiken.Zusammenfassend lässt sich sagen, dass der abschlusspostenorientierte Ansatz ein reinoperativer, stichtagsbezogener Ansatz ist, der einzelne Geschäftsfälle auf Einhaltung derRechnungslegungsvorschriften prüft. Die beiden risikoorientierten Ansätze beinhalten eineFunktionsprüfung des IKS und beziehen somit im Gegensatz zum AbschlusspostenorientiertenAnsatz strategische, über den Bilanzstichtag hinausgehende Risiken und Ereignisse mitein.9 Vgl. Kickinger, 2011 Studienheft MUF1, Seiten 42ff10 Vgl. Kickinger, 2011 Studienheft MUF1, Seiten 44ff19

2.2 Gesetzliche AnforderungenDurch die gesetzliche Verpflichtung zur Prüfung der Jahresabschlüsse und den darin enthaltenenPrüfungsansätzen wurden allgemeine Grundsätze formuliert – die Grundsätze ordnungsgemäßerBuchführung (GOB) 11 . Diese Regeln sind einerseits ungeschriebene Regelnzur Buchführung und andererseits aus der laufenden Rechtsprechung und Praxis der Wirtschaftsprüferentstandene Richtlinien. Gesetzlich heißt es dazu im österreichischen UGBnur, dass jeder der Rechnungslegung nach §189 unterliegt, seine Bücher nach den GoB zuführen hat. So heißt es im §190 UGB und §131 BAO dazu:„Die Buchführung muss so beschaffen sein, dass sie einem sachverständigen Dritten innerhalbangemessener Zeit einen Überblick über die Geschäftsvorfälle und über die Lage desUnternehmens vermitteln kann.“Das Gesetz lässt hier einen Freiraum zur Interpretation und Auslegung dieser Grundsätze.Im Gegensatz zu Rechnungslegungsstandards wie IFRS oder SOX haben die GoB keinenRechtsnormcharakter, sondern gelten als unbestimmter Rechtsbegriff.2.2.1 Grundsätze der ordnungsgemäßen BuchführungUnabhängig vom Rechtstatus haben sich die GoB aus drei unterschiedlichen Ansätzen entstanden.So wurden bereits im Mittelalter Grundsätze aus dem Verhalten von ehrbaren undordentlichen Kaufleuten erstellt, später jedoch wieder verworfen, da diese Grundsätze imKonflikt zwischen Gesetz und Interessen der Kaufleute standen. Man spricht hierbei von derempirischen oder induktiven Herleitung der GoB. 12In einem zweiten Ansatz werden die GoB aus den Anforderungen und Zweck des Jahresabschlussesheraus abgeleitet. Diese Methode wird als deduktive Methode bezeichnet. 13In der Literatur wird der für die Entstehung und Auslegung die Theorie vertreten, dass keineder beiden Methoden in reiner Form zur Anwendung kommt, sondern die GoB hermeneutisch14 herzuleiten sind.11 Vgl. Leffson, 1987 Grundsätze ordnungsgemäßer Buchführung12 Vgl. Leffson, 1987, Grundsätze ordnungsgemäßer Buchführung, Seite 17ff13 Vgl. Leffson, 1987, Grundsätze ordnungsgemäßer Buchführung, Seite 28ff14 Hermeneutik ist die Theorie über die Auslegung von Texten und das Verstehen20

Ebenso wie unterschiedliche Ansätze zur Herleitung der GoB existieren, gibt es keine systematischeGliederung. Aus dem UGB abgeleitet lässt sich jedoch folgende grundsätzlicheUnterscheidung und Zuordnung treffen:Grundsätze der InformationsvermittlungSystemgrundsätzeMaterielle GrundsätzePeriodisierungsgrundsätzeBilanzklarheit Einzelbewertung RealisierungsprinzipÜbersichtlichkeitRichtigkeitWillkürfreiheitKontinuitätVergleichbarkeitWesentlichkeitUnternehmensfortführung AnschaffungskostenprinzipPagatorikAbgrenzung der Sache undZeit nachGrundsatz der vorsichtigenGewinnermittlungTabelle 1: Grundsätze ordnungsgemäßer Buchführung 15Durch die Einführung und Nutzung von IT-Systemen wurden die GoB 1978 zu den Grundsätzenordnungsgemäßer DV–gestützten Buchführungssysteme (GoBS) erweitert. Dabeiwurden die GoB um den Begriff „digital“ und folgende damit verbundene Grundsätze erweitert:- Anwendungsbereich- Beleg-, Journal- und Kontenfunktion- Buchung- Internes Kontrollsystem (IKS)- Datensicherheit- Dokumentation und Prüfbarkeit- Aufbewahrungsfristen- Wiedergabe der auf Datenträgern geführten Unterlagen- VerantwortlichkeitHauptaugenmerk der Erweiterung liegt im Begriff des internen Kontrollsystems (IKS), aberauch die Archivierung und Aufbewahrung von digitalen und elektronischen Unterlagen sindin den GoBS geregelt.15 Vgl. (Bertram, Brinkmann, Kessler, & Müller, 2009), Seite 19421

2.2.2 SOX und IFRSDer Umstand dass die GoB und die GobS nur zum Teil kodifiziert wurden und daher einerechtliche Interpretation und Auslegung möglich ist, hat letztlich dazu beigetragen, dass Jahresabschlüssetestiert wurden, welche die wirtschaftliche Lage nur unpräzise abgebildet haben.Dadurch wurde litt das Vertrauen in die Finanzberichterstattung und zunehmende Globalisierungund Internationalisierung machten es notwendig dass ausländische Investorensich mit unterschiedlichen Bilanzierungsregeln vertraut machen mussten, um Einblick in dieLage des Unternehmens zu erhalten.Sarbanes-Oxley Act (SOX) 16Als Folge der Bilanzskandale, deren Ursachen und Verläufe in Kapitel 3 beschrieben werden,ist der SOX als amerikanisches Bundesgesetz entstanden, das sich zum Ziel gesetzt,hat die Interessen der Aktionäre zu schützen.Durch die zunehmende Internationalisierung wurde nach einem einheitlich formuliertenStandard gesucht, der Jahresabschlüsse und Unternehmensbewertung international vergleichbardarstellt.Der SOX beruht auf vier Eckpunkten:Abbildung 3: Eckpunkte des SOX 1716 Vgl. (Knolmayer & Wermelinger, 2006)Seite 3-517 http://www.stefan-gros.de/sarbanes-oxley-act-ein-erfahrungsbericht/, abgerufen am 20.3.2013, Seite 622

Die US-amerikanische Aufsichtsbehörde über die Wirtschaftsprüfungsgesellschaften (UnitedStates Public Company Accounting Oversight Board, PCAOB) ist eine privatwirtschaftliche,gemeinnützige Einrichtung, die mit dem Sarbanes-Oxley Act von 2002 geschaffen wurde,um die Prüfer börsennotierter Unternehmen zu beaufsichtigen und damit die Interessen einzelnerAnleger als auch das öffentliche Interesse bezüglich der Erstellung informativer, angemessenerund unabhängiger Prüfberichte zu schützen und zu vertreten.Europäische Unternehmen, die im amerikanischen Raum tätig sind und an der NYSE 18 notieren,haben sich daher an die US Gesetzgebung zu halten. Durch den Sarbanes Oxley Act(SOX) wurde eine Verschärfung der Gesetzgebung erreicht. Dies gilt auch für Unternehmen,die bei der SEC (Securities und Exchange Commision) – das ist die US Börsenaufsichtsbehörde,die den Wertpapierhandel kontrolliert – registriert sind und deren Tochterunternehmen.Der SOX hat den Nachweis zu erbringen, durch welche Kontrollen und Maßnahmen dieQualität der Rechnungslegung gewährleistet ist, zum Hauptziel. Es soll sichergestellt werden,dass die Geschäftsprozesse korrekt abgebildet und abgewickelt werden. Zum Nachweisder Wirksamkeit der Maßnahmen, die im Rahmen des IKS implementiert werden, sinddiese zu testen und zu dokumentieren.Der SOX ist in mehrere Abschnitte gegliedert, wobei in den folgenden die für diese Arbeitwesentlichen Aspekte geregelt sind:- Section 302 (Corporate Responsibilitiy)In dem Abschnitt wird der CFO und CEO dazu verpflichtet, die Wahrheit und Vollständigkeitder finanziellen Berichterstattung rechtsverbindlich zu bestätigen. Mit dieserBestätigung ist auch die Aussage über das Vorhandensein und Funktionieren desIKS verbunden. Mit der Abgabe dieser Erklärung haften die Erklärenden persönlichdafür, dass in den veröffentlichten Berichten keine Falschaussagen oder irreführendenInformationen enthalten sind, oder wesentliche Sachverhalte fehlen. Diese Erklärungbetrifft sowohl finanzielle als auch nicht finanzielle Sachverhalte und ist mit jederVeröffentlichung eines Berichtes erneut abzugeben.- Section 404 (Enhanced financial disclosures)Dieser Abschnitt enthält die Forderung nach Kontrollmechanismen in der Rechnungslegung.Deren Vorhandensein, Funktion und Wirksamkeit ist bei der Veröffentlichungdes Jahresabschlusses durch das Management zu rechtsverbindlich zu bestätigen.Zusätzlich ist die Bestätigung der Wirksamkeit des internen Kontrollsystems durchden Wirtschaftsprüfer zu erbringen.18 New York Stock Exchange23

Im Fokus steht dabei immer das IKS der Organisation, da der SOX davon ausgeht, dass dieGrundlage der Rechnungslegung die IT-unterstützten Geschäftsprozesse sind. Auf dieseVerflechtung zwischen Rechnungslegung und IT-Prozessen wird in SOX verstärkt Augenmerkgelegt. So werden die Organisationen dazu verpflichtet, die Prozesse der Rechnungslegungoffenzulegen und deren Zuverlässigkeit nachzuweisen. Für diesen Nachweis sindinterne Kontrollen und ein Prozess zur kontinuierlichen Verbesserung zu implementieren.Abbildung 4: Zusammenhang SOX 302- 404 - COSO 19IFRS 20Als europäisches Gegenstück sind im Jahre 2002 die IFRS entstanden, mit denen ein Regelwerkgeschaffen wurde, dass unabhängig von nationalen Gesetzgebungen ein Rahmenwerkvorgibt, das die Schwächen, Handlungsspielräume und Lücken der GoB auszugleichenversucht.Hatten die GoB den Schutz der Gläubiger im Vordergrund, so wurden die IFRS dahingehendkonzipiert, die Informationsfunktion für Investoren in den Mittelpunkt zu stellen. Anstelle desVorsichtsprinzip tritt die „Fair Presentation“, wodurch im Vergleich erhebliche Bewertungsunterschiedeentstehen können.Dies wird durch frühere Gewinnrealisierung und Verbot der Bildung von Rückstellungen zumAusdruck gebracht.19 vgl. http://www.stefan-gros.de/sarbanes-oxley-act-ein-erfahrungsbericht/,abgerufen am 20.3.2013, Seite 1120 vgl. KPMG Deutschland, IFRS Portal http://www.kpmg.de/Themen/20506.aspx , abgerufen am 07.04.201324

Die IFRS bestehen aus drei grundlegenden Säulen:Abbildung 5: Aufbau IFRS 21Auf die Grundlagen des Frameworks bauen sowohl die Standards als auch die Interpretationsauf, wobei eine inhaltliche Konkretisierung von „unten nach oben“ festzustellen ist.Im Framework sind die Grundlagen der Rechnungslegung, die Zielsetzung und allgemeineGestaltung des Abschlusses geregelt. In den 36 Standards wird die formale Darstellung undGliederung der einzelnen Punkte des Abschlusses behandelt. Die Interpretationen stellendie offizielle Auslegung der Standards als Ergänzung dar.Seit 2005 ist für Unternehmen, die am Kapitalmarkt notieren, ein verbindlicher IFRS- Abschlussaufzustellen, unter gewissen Voraussetzungen kann der HGB-Abschluss durch denIFRS-Abschluss ersetzt werden. Jedoch gilt auch bei den IFRS, dass eine Umstellung Zeitund Kosten verursacht. Es müssen die Mitarbeiter geschult, möglicherweise IT-Systemeadaptiert werden. Ein Abschluss nach IFRS erweitert die Möglichkeiten der Bilanzpolitik und-gestaltung, erhöht die Transparenz und durch die internationale Lesbarkeit wird die Chanceauf Erweiterung der Geschäftstätigkeit gefördert.Vor und Nachteile der Finanz-FrameworksHauptforderung dieser Frameworks ist die Offenlegung und Überprüfung der Qualität derRechnungslegung und des IKS. Dazu ist es aufgrund der hohen Durchdringung der Geschäftsprozessedurch IT-Systeme notwendig, dass eine Systemprüfung der IT und der damitverknüpften Prozesse vorgeschrieben ist. Zu dieser Prüfung bedienen sich die Prüferstandardisierter oder anerkannter Frameworks wie ITIL, ISO 27001 oder COBIT.Im Gegensatz zu den GoB, bei denen der Gläubigerschutz im Vordergrund steht, stehen beiden IFRS und SOX die Information zu Vermögens-, Finanz-, und Ertragslage des Unternehmensim Vordergrund.21 Buchholz, R.: Grundzüge des Jahresabschlusses nach HGB und IFRS, Seite 1625

Aufgrund der Bestrebungen, die Bestimmungen der International Financial Reporting StandardsIFRS, die für börsennotierte europäische Unternehmungen zumindest bei der Konzernabschlusserstellungzu beachten sind, den amerikanischen Rechnungslegungsbestimmungenanzugleichen, ist zu erwarten, dass ein IFRS Abschluss nur dann als gleichwertigangesehen wird, wenn den Bestimmungen des SOX inhaltlich entsprochen wird.Darüber hinaus wird ein angemessenes IKS auch vom HGB gefordert, ohne jedoch konkretauf die Frage einzugehen, wie ein angemessenes IKS eigentlich ausgestaltet sein soll.2.2.3 SonstigeAls weitere lokale Gaaps, die international zur Anwendung kommen, sind die United Statesgenerally accepted accounting principles (US GAAP) 22 zu nennen, das sind die internationalanerkannten und akzeptierten amerikanischen Rechnungslegungsvorschriften, und dasdeutsche Bilanzrechtsmodernisierungsgesetz (BilMoG), mit dem die EU-Richtlinien 232006/43/EG und 2008/30/EG umgesetzt werden, zu erwähnen. Der Inhalt der beiden Richtlinienorientiert sich dabei an den Inhalten der IFRS und ist seit 2009 in Kraft, also das jüngsteFramework.Da diese von international tätigen Konzernen, je nachdem in welchem Land sich die Unternehmenszentralebefindet, auch für die Tochtergesellschaften zur Anwendung gebrachtwerden, führt dies in der Regel dazu, dass von den Tochtergesellschaften zwei Abschlüsseaufgestellt werden, da ein Abschluss nach BilLMoG 24 in Österreich für die Finanzberichterstattungnicht zulässig ist, da es wesentliche Unterschiede in der Bilanzierung gibt.Das gleiche gilt für Unternehmen, die am NYSE notieren. Hier kommt zwingend SOX undUS GAAP zur Anwendung, unabhängig davon, ob das Unternehmen seine gewöhnliche Tätigkeitin den USA ausübt.2.2.4 Unterschiede IFRS / HGB nach BilMoGIn untenstehender Tabelle werden die Unterschiede und Ansätze der vorgestellten Frameworksgegenübergestellt.22 Vgl., KPMG Deutschland, 2013, http://www.kpmg.de/Themen/21525.htm, abgerufen am 10.05.201323 Vgl. Amtsblatt 2006/43/EG und 2008/30/EG der europäischen Kommision, http://eurlex.europa.eu/de/index.htm, abgerufen am 07.04.201324 Vgl. KPMG Deutschland, 2013, BilMog Reform des Bilanzrechts, http://www.kpmg.de/Themen/2631.htm ,abgerufen am 28.03.201326

Grundlegende UnterschiedeHGB und IFRSnormsetzende InstanzRechnungslegungszieledominierender RechnungslegungsgrundsatzBilanzpolitikVerbindung von Handels undSteuerbilanzHGB ( BilMoG )nationaler Gesetzgeber, obersteGerichteKapitalerhaltung/ GläubigerschutzSteuerbemessungnachgelagert auch Informationder StakeholderVorsichtsprinzip ( Konkretisierungdurch Realisierungs undImparitätsprinzip )zahlreiche Bilanzierungs undBewertungswahlrechteMaßgeblichkeit und UmkehrmaßgeblichkeitIFRSinternationale private Rechnungslegungsinstitution,EU im Rahmendes endorsementsVermittlung von Informationen fürInvestoren ( decision usefulness )fair presentationweitgehend Verzicht auf Wahlrechtkeine VerbindungBestandteile des EinzelabschlussBilanz, GuV AnhangBilanz, GuV Anhang (inkl. Segmentbericht)Konzernabschluss zusätzlichKapitalflussrechnung, Eigenkapitalspiegel,Segmentbericht(Wahlrecht)Kapitalflussrechnung, Eigenkapitalspiegel,Angabepflichten begrenzt sehr umfangreichErstellung, Offenlegung undPrüfpflichtgestuft nach Rechtsform undUnternehmensgrößebisher keine AbstufungTabelle 2: Unterschiede HGB-BilMoG-IFRS 25Der wesentliche Unterschied in der Konzeption der beiden System liegt darin, dass dieRechnungslegung nach HGB immer eine gläubigerschutzorientierte und die IFRS eine entscheidungsorientierteUnternehmensberichterstattung darstellen. Dieser Unterschied wird imdominierenden Rechnungslegungsgrundsatz deutlich – als Vorsichtsprinzip bei den HGBund fair presentation bei den IFRS.25 Eigene Darstellung in Anlehnung an RBS RoeverBroennerSusat GmbH & Co.KG, Überblick über die wichtigstenUnterschiede IFRS HGB , www.IFRS-Portal.com27

2.3 FrameworksDurch die Gesetze, Regularien und Vorgaben ist nicht nur die Einhaltung, sondern auch derexplizite Nachweis darüber in den Mittelpunkt gerückt. Als Synonym für die Einhaltung dergesetzlichen Bestimmungen, regulatorischen Standards und freiwilligen Verpflichtungen derUnternehmen ist der Begriff der IT Compliance 26 entstanden. Dadurch das die IT-Systememittlerweile untrennbar mit den Geschäftsprozessen verbunden sind und einen erheblichenWertbeitrag liefern, sind die Informationen, die aus diesen Systemen gewonnen werden unddie Grundlage für die Rechnungslegung bilden, in die Prüfung des IKS aufzunehmen und aufEinhaltung der gesetzlichen Anforderungen und freiwilligen Regularien zu prüfen.Genauso wie bei der Finanzberichterstattung Regularien entstanden sind, wurden zurPrüfung der IT-Systeme standardisierte Frameworks entwickelt worden.2.3.1 COBITCOBIT wurde 1993 von der Vereinigung der IT Auditoren ins Leben gerufen, um ein Tool zurPrüfung und Auditierung der IT aus unternehmerischer Sicht und zur Sicherstellung der Einhaltunggesetzlicher Anforderungen (Compliance) zu entwickeln. COBIT ist ein Referenzmodell,das unabhängig von Betriebsgrößen angewendet werden kann.Die darin enthaltenen Grundsätze haben den Status „generally accepted“ und sind somitinternational akzeptiert, da sich dieser Begriff beispielsweise auch in den US GAAP wiederfindenlässt. Das enthaltene Prozessmodell soll sicherstellen, dass die IT die Unternehmensstrategieunterstützt und zur Zielerreichung beträgt.Abbildung 6: Historie COBIT 2726 Vgl. Latzenhofer, Neuroth Pfeiffer, 2011, Studienheft IT Business Alignment der FFH27 COBIT5.0, IT Governance Institute, 201228

In der ursprünglichen Version 1.0, die auf Steuerungszielen, sogenannten Control Objektivesbasiert, wurde der Ansatz der Wirtschaftsprüfung (Audits) abgebildet. In den weiteren Versionenwurde COBIT zu einem umfassenden Referenzmodell, basierend auf Best Practiceszur Steuerung von IT-Unternehmensprozessen, erweitert.Abbildung 7: COBIT Würfel 28Diese Kontrollziele wurden ständig überarbeitet und erweitert, so sind in der Version 2 detailliertePrüfungshandlungen, die sogenannten Audit Guidelines hinzu gekommen und in derVersion 3 ist daraus ein Prozessmodell mit 34 Prozessen die in Planung, Entwicklung, Betriebund Monitoring strukturiert sind, wodurch eine ganzheitliche Sicht auf die IT ermöglichtwird. Durch dieses Prozessmodell hat COBIT die Wandlung weg vom reinen Kontrollmodellfür die IT hin zu einem Steuerungsmodell für das Management vollzogen.Vor diesem Hintergrund wurden in der Version 4 die Objectives reduziert und Aspekte der ITGovernance i in das Framework aufgenommen. Parallel dazu sind die eigenständigenFrameworks Val-IT und Risk-IT entstanden, die in der Version 4.1 integriert wurden.Bis zu Version 4 war COBIT trotz der ständigen Weiterentwicklungen rein auf IT beschränkt.Erst mit der seit 2012 erschienenen Version 5 wurde es auf das gesamte Unternehmen erweitertund kann mittlerweile alle Businessprozesse und -rollen im Sinne der IT Governanceabbilden. Um diesen geänderten Umfang Nachdruck zu verleihen, wurde die Version 5 auchin „GEIT – Governance of Enterprise IT“ umbenannt, umfasst nun 37 Prozesse und hat sichvon einem reinen Tool für Auditoren zu einem vollwertigen Framework, das auf das gesamteBusiness anwendbar ist, weiterentwickelt.28 COBIT 4.0, IT Governance Institut, 201029

Abbildung 8: Referenzmodell COBIT 5.0 29COBIT konzentriert sich aber nach wie vor auf das „Was“, ohne das „Wie“ zu beantworten.Es beschreibt somit, wie die Anforderungen der Prozesse in den Frameworks abgebildetwerden können.2.3.2 COSOIm Gegensatz zu COBIT, bei dem die Prozessorientierung im Vordergrund steht, ist beiCOSO ein übergreifendes Framework, das auf unternehmensweiter Risikoorientierung aufbaut.Die fundamentale Strategie, die dahinter steht, ist zu bestimmen, wie viel Risiko in einerOrganisation akzeptiert werden kann. Es ist daher ein optimales Gleichgewicht zwischenWachstum und Ertrag und den damit verbundenen Risiken zu finden.Das unternehmensweite Risikomanagement besteht aus acht Komponenten 30 :- Internes UmfeldDas interne Umfeld beschreibt die Unternehmenskultur und den Umgang mit Risikeneiner Organisation.29 IT Governance Institut, Referenzmodell 5.0, 201230 COSO,2004, Unternehmensweites Risikomanagement – Übergreifendes Rahmenwerk, Seiten 3ff30

- ZielfestlegungZur Bestimmung von Risiken müssen zuerst die Unternehmensziele, die erreichtwerden sollen, festgelegt werden. Erst danach können Ereignisse (Risiken), die dieseZielerreichung beeinflussen, evaluiert werden.- RisikobeurteilungDie so identifizierten Risiken werden nach ihrer Eintrittswahrscheinlichkeit und möglichenAuswirkung untersucht und kategorisiert.- RisikostreuungStrategien zur Risikominimierung können Vermeiden, Annehmen, Verringern oderTeilen von Risiko sein. Es sind geeignete Maßnahmen zur Anpassung der gefundenenRisiken zu treffen, um die Auswirkungen entsprechend der Risikotoleranz anpassen.- KontrollaktivitätenErstellung von Vorschriften und geeigneten Kontrollverfahren, um die Wirksamkeitder Maßnahmen zu überprüfen.- Information und KommunikationUm die Verantwortung wahrnehmen zu können, sind die wesentlichen Risiken und risikominimierendeMaßnahmen ständig an die Mitarbeiter zu kommunizieren.- ÜberwachungDas unternehmensweite Risikomanagement wird überwacht und in regelmäßigenReviews gefundene erforderliche Anpassungen werden vorgenommen.Der COSO Würfel besteht aus den acht Komponenten und vier Zielkategorien.- Strategisch- Betrieblich- Berichterstattung- RegeleinhaltungDie Unternehmensziele geben wieder, was eine Organisation erreichen will. Die Komponentendes unternehmensweiten Risikomanagements geben wieder, was zum Erreichen derZiele erforderlich ist. Die Beziehungen und Verknüpfungen zwischen Zielen und Komponentenwerden im Würfel dreidimensional dargestellt.31

Der COSO-Würfel bietet somit eine Basis zur Entwicklung eines unternehmensweiten IKS,die Prozesse des Risikomanagements stehen auf der Vorderseite, oben stehen die Zielkategorienund an der Seite die Unternehmenseinheiten:Abbildung 9: COSO Würfel 31Durch diesen Fokus auf IKS Design wird COSO auch im SOX als anerkanntes Rahmenwerkerwähnt. Das IKS ist wesentlicher Bestandteil des unternehmensweiten Risikomanagements.Eine der schwierigsten Aufgaben ist die Bestimmung des Risikoakzeptanzlevels,dass jenes Risiko darstellt, ob und wie viel Risiko eine Organisation einzugehen bereit ist. 322.4 Vor und Nachteile von FrameworksDa Unternehmen unabhängig von deren Größe Risiken ausgesetzt sind, ist es Aufgabe desManagements, auch für kleine und mittlere Unternehmen unerlässlich Instrumente und Methodenanzuwenden, um langfristig den Fortbestand des Unternehmens zu sichern. Da einKMU aber nur über eingeschränkte Ressourcen verfügt, ist die Anwendung eines Frameworkswie COSO oder COBIT aufgrund der Komplexität und des Umfanges eher ungeeignet,da der Verwaltungsaufwand zur Einführung und Umsetzung als eher hoch zu bezeichnenist.Generell ist COSO eher auf die allgemeinen Unternehmensrisiken ausgelegt und nicht aufIT-Risiken bezogen, zur Umsetzung im Rahmen von IT-Governance ist COSO alleine nichtgeeignet, hier müsste ergänzend COBIT zur Anwendung kommen. Durch die Anwendungdes COBIT-Frameworks werden klare Verantwortungen und Rollen geschaffen. Durch das31 COSO,2004, Unternehmensweites Risikomanagement – Übergreifendes Rahmenwerk, Seite 532 Latzenhofer & Neuroth Pfeiffer, 2011, Studienheft Enterprise Informations System Security S. 3932

Überarbeiten und Dokumentieren der Unternehmensprozesse wird die Basis für nachhaltigeVerbesserungsmaßnahmen und den Fortbestand der Organisation gelegt.Durch die starke Prozessorientierung kann eine klare Abgrenzung der Kompetenzen undZuständigkeiten erreicht werden, wodurch eine effiziente Umsetzung der Informationsstrategiegewährleistet werden kann.Gibt es aufgrund der Tätigkeit oder Ausübungsort der Gesellschaft gesetzliche VerpflichtungenCOBIT oder COSO anzuwenden, so ist dies im vorgesehenen Umfang zu implementierenund die Funktionsfähigkeit des IKS nachzuweisen. Die geforderten Kontrollprozesseverursachen zwar Kosten, jedoch werden dadurch Schwachstellen aufgezeigt und die Datenqualitätverbessert.Es ist daher vom Management abzuwägen, ob der Mehraufwand für die Dokumentation,Umstellung und Anpassung von IT-Systemen und zusätzlichen Kosten für Wirtschaftsprüferdie wirtschaftlichen Vorteile überwiegen. Eine Entbindung der Verpflichtung zur Erfüllung derAnforderungen ist jedoch nur schwer bis gar nicht möglich. Dies wäre nur bei einer Deregistrierungbei der SEC möglich, was aber defacto für ausländische Emittenten nur mit erheblichemAufwand und Anstrengungen möglich ist. Um den Aufwand in der Berichterstattungund die damit verbundenen Kosten zu senken, hat die Telekom Austria im Jahre 2007 dieDeregistrierung bei der SEC erfolgreich durchgeführt. 33 Es ist aber mit einer Deregistrierungalleine noch nicht automatisch ein Erlass der Berichterstattung verbunden. 34 Im den Jahrendanach wurde dieser Schritt noch von den Unternehmen Infineon 35 , und der deutschen Telekom36 beantragt.Nach Sektion 12 des SOX ist eine Deregistrierung nur möglich wenn der Nachweis erfolgtdass weniger als 300 Anleger ihren Wohnsitz in den USA haben, bei erneutem Überschreitender 300-Anleger-Schwelle lebt die Registrierung und somit die Berichtspflicht aber wiederauf. 3733 Vgl. Pressemitteilung der Telekom Austria, von http://www.telekomaustria.com/ir/news/2007/0605-ende-sec.php am 9.5.2013 abgerufen34 Vgl. Funk, Rossmanith,2008, internationale Rechnungslegung und Controlling, Seite 1635 Vgl. Pressemitteilung der Infenion Technologies AG, vonhttp://www.infineon.com/cms/de/corporate/press/news/releases/2010/INFXX201008-066.html am10.5.2013 abgerufen36 Vgl. Pressemitteilung der deutschen Telekom, von http://www.telekom.com/medien/konzern/25160am 10.5.2013 abgerufen.37 Vgl. Funk, Rossmanith,2008, internationale Rechnungslegung und Controlling, Seite 1633

Kapitel 3Compliance und WirtschaftskriminalitätTrotz der bisher vorgestellten Entwicklungen, die zur Prüfung der Unternehmen und dendamit verbundenen Versuchen der gesetzlichen Regulierung und Eindämmung führten, sindBegriffe wie Bestechung, Unterschlagung und Bilanzfälschung allgegenwärtig. Die Skandaledie in den letzten Jahren in den Schlagzeilen waren, haben in Ihrer Dimension und AusprägungRekordwerte erreicht. Namen wie Enorm, Prälat oder Worldcup sind auch mehr alszehn Jahre nach den Ereignissen immer noch im Gedächtnis der Öffentlichkeit.Es wird in diesem Kapitel der Versuch unternommen, eine Systematisierung in Entstehungund Ablauf von Bilanzskandalen zu finden. Die Schadenshöhen, die dabei entstanden sind,lassen den Schluss zu, das System als solches sei aus den Fugen geraten. Dabei mussman vorausschicken, dass die Unternehmen alle über einen uneingeschränkt testierten Jahresabschlussverfügten.Ans Licht gekommen sind die Bilanzskandale auf unterschiedliche Arten, aber nie durch diePflichtprüfung der Wirtschaftsprüfer.3.1 WirtschaftskriminalitätDer Begriff der Wirtschaftskriminalität ist juristisch als solcher nicht festgeschrieben. SindBegriffe wie Betrug oder Unterschlagung eindeutig rechtsverbindlich definiert, so ist der Begriffder Wirtschaftskriminalität nicht so einfach abgrenzbar, die Übergänge zwischen nochgerade noch erlaubt und schon verboten sind fliessend.Wirtschaftskriminelle Handlungen sind solche, durch- welche eine Person in einem Vertrauens- und/oder Machtverhältnis zum Unternehmen,unter Missbrauch von Ressourcen des Unternehmens, sich oder andere zu bereichernversucht 38oder- eine übertragene Verfügungsmacht missbraucht. 39Oder einfacher gesagt, es handelt sich um kriminelle Handlungen mit wirtschaftlichem Hintergrund.Aber auch der „wirtschaftliche Hintergrund“ ist ein weiter, juristisch nicht näher definierterBegriff. Unter dieser Definition des wirtschaftlichen Hintergrundes könnte man denBegriff der Wirtschaftskriminalität um Bereiche wie38 Wells & Kopetzky, 2011, Wirtschaftkriminalität in Unternehmen, Seite 239 Wells & Kopetzky, 2011, Wirtschaftkriminalität in Unternehmen, Seite 234

- organisierte Kriminalität- mafiöse Strukturen- Wirtschaftsspionage, etc.erweitern. In dieser Arbeit beschränke ich mich jedoch auf den Bereich der Bilanzfälschungenund den Manipulationen von Geschäftsbüchern und Berichten sowie denEinfluss von IT-Systemen und Wirtschaftsprüfern auf diese Handlungen. Als internationalesSynonym für Wirtschaftskriminalität hat sich der Begriff Fraud, der ursprünglich aus demLateinischen kommt und soviel wie Betrug oder Täuschung bedeutet, etabliert. Das Ziel betrügerischerHandlungen liegt darin durch Irreführung und Vorspiegelung von falschen Tatsacheneine wirtschaftlichen Vorteil zu erreichen. Darunter sind Delikte wie Betrug, Untreue,Diebstahl und Veruntreuung zu verstehen. 40Eines der bekanntesten Modelle basiert auf Forschungen von Donald R. Creesey, einemKriminologen, der sich mit der Entstehung von Wirtschaftkriminalität beschäftigt hat. Indiesem Modell wurde für das Entstehen von Fraud das sogenannte Fraud Triangle oder doloseDreieck entwickelt.Im Gegensatz zum Fraud steht der Missbrauch, der an sich noch keine gesetzeswidrigeHandlung darstellt. Unter Missbrauch fallen Handlungen wie zB. Privatnutzung von Firmenfahrzeugenoder falsche Arbeitszeitaufzeichnungen, die dem Unternehmen zwar Schadenzufügen, aber die Voraussetzungen für Betrug nicht erfüllen. 41Creeseys wesentliche Hypothese war: „Mit Vertrauen ausgestattete Personen werden Vertrauensbrecher,wenn sie sich selbst mit einem finanziellen Problem konfrontiert sehen,welches sie mit niemandem besprechen können, wenn sie meinen, diese Problem durch denVertrauensbruch (durch die Position im finanziellen Bereich) lösen zu können, und wenn siegleichzeitig in der Lage sind, sich neben der eigenen Wahrnehmung und psychologischen„Verantwortung“ als Vertrauenspersonen ausreichend Erklärungen und Rechtfertigungenzurecht zu legen, welche ihnen erlauben, anvertrautes Gut (z.B. finanzielle Mittel, Vermögensgegenstände)zum eigenen Vorteil zu benutzen.“ 4240 Wells & Kopetzky, 2011, Wirtschaftkriminalität in Unternehmen, Seite 2ff41 Wells & Kopetzky, 2011, Wirtschaftkriminalität in Unternehmen, Seite 342 Cressey, Donald R. Other’s people money, Seite 3035

Abbildung 10: Fraud DreieckDas dolose Dreieck stellt die drei wesentlichen Voraussetzungen dar, die erfüllt sein müssen,damit Frau entstehen kann 43DruckDruck ist die wesentliche Voraussetzung für das Entstehen von Wirtschaftskriminalität innerhalbvon Unternehmen. Ohne einen Druck aus dem gesellschaftlichen Umfeld der aus wirtschaftlichen,familiären oder Gründen des persönlichen Standings entsteht, führen die beidenfolgenden Gründe alleine in der Regel nicht zu dolosen Handlungen.GelegenheitDer Täter der dolose Handlungen ausführt, sei es geplant oder ungeplant, sucht dieSchwachstelle, die Gelegenheit die sich aufgrund schwacher oder unzureichender Kontrollstrukturenin den Unternehmensprozessen bietet. Im Sinne dieser Arbeit ist dabei aber nichtder Griff in die offene Kasse gemeint, sondern der systematisierte über einen längeren Zeitraumerfolgende dolose Handlung.43 Wells & Kopetzky, 2011, Wirtschaftkriminalität in Unternehmen, Seite 636

RechtfertigungDie Täter im Bereich der Wirtschaftskriminalität haben zum Zeitpunkt der Handlung kein o-der ein durch eigene Begründungen oder Erklärungen außer Kraft gesetztes Unrechtsbewusstsein.Die Täter nennen als Rechtfertigungsgründe für diese Handlungen, dass Ihnen„etwas zustünde“, oder es „nur geborgt“ zur Überbrückung der unter Druck entstanden Situationist.Die Association of Certified Fraud Examiners (ACFE) 44 , ist eine Organisation, die es sichzum Ziel gesetzt hat, die Kriminal- und Wirtschaftsbetrugsprävention zu fördern. Versuchtwird dies wird durch Aufzeigen von Trends und Erscheinungsformen von Fraud. Aufbauendauf den allgemeinen Erkenntnissen der Entstehung von Wirtschaftskriminalität wurde versucht,eine systematische Gliederung der unterschiedlichen Formen und Zusammenhängeder Kriminalität darzustellen. Daraus ist der sogenannte Fraud Baum entstanden, der ausden drei Hauptgruppen- Bestechung und Korruption- Unterschlagung und Veruntreuung- Betrügerische Angaben in der Rechnungslegungbesteht und diese Hauptgruppen in weitere 51 Untergruppen unterteilt.44 Siehe www.afce.de, abgerufen am 12.4.201337

Nachfolgende Abbildung zeigt die deutsche Übersetzung der ACFE in gekürzter Form:Abbildung 11: Frau Treu der ACFE 453.1.1 Bilanzskandale der letzten JahreDer Begriff des Bilanzskandals setzt einen eklatanten, bewussten oder unbewussten Verstoßgegen die Regeln der Rechnungslegung in Bilanz, Gut oder Finanzberichten dar. DieserVerstoß wird dabei nicht auf Jahresberichte begrenzt, sondern betrifft alle Berichte diedie Vermögens, Finanz und Ertragslage des Unternehmens darstellen.Dabei wird durch Manipulation und Beeinflussung von Umsätzen oder Aufwendungen eingrundloser oder verfrüht dargestellter Gewinn ausgewiesen. Bilanzskandale hat es somitimmer schon gegeben, jedoch hat im letzten Jahrzehnt die Häufigkeit und vor der damit verbundenDimension des entstandenen Schadens dramatisch zugenommen.45 Prof. Dr. Kirf, Parsow, & Vedder, 2006, Krisenmanagement bei Wirtschaftskriminalität, Seite 3038

ENRONDer Energiekonzern Enorm gehörte zu den zehn größten Konzernen der USA und lieferte imJahr 2002 den bis dahin größten Skandal der US- Wirtschaft. Das Geschäftsmodell beruhteauf dem Handel mit Rohstoffen und Energie. In den Jahren 1996 bis 2000 verzeichnete derKonzern große Zuwächse und konnte große Gewinne verbuchen, die jedoch um circa 600Mio. $ zu hoch ausgewiesen wurden.Der Ablauf der konnte in folgender Art rekonstruiert werden: ENRON verbuchte den Verkaufvon Waren als Termingeschäft und realisierte den Gewinn sofort. Die Aufwendungen ebenfallswurden als Termingeschäft und nicht als Aufwand verbucht, als Folge ist damit ist derGewinn überproportional gestiegen. Später wurden diese Geschäfte mit konzerneigenenOffshore-Gesellschaften – die unter dem gleichen Management geführt, mit denen aber keinegesellschaftsrechtliche Beteiligung besteht – getätigt, die Erlöse in der Konsolidierungjedoch nicht eliminiert.Dadurch konnte eine Finanzierung über diese Gesellschaft erreicht werden, die Schuldenwurden jedoch nicht ausgewiesen – off Balance Sheet finnig – also für Außenstehende nichteinsehbar. Untenstehend das Schema dieser Transaktionen:Abbildung 12: Betrugsschema ENRON 46So ist es über einen längeren Zeitraum gelungen, ca. 30 Mrd. $ an Schulden außerhalb derKonzernbilanz zu parken. Diese Vorgehensweise ist grundsätzlich nicht illegal, jedoch gibtes hier spezielle Berichtspflichten, die im Falle ENRON missachtet wurden.46 Ballwieser, 2003, ENRON und die Folgen, Seite 1939

Dennoch wurden die Jahresabschlüsse von Arthur Anderson uneingeschränkt bestätigt.Aufgrund einer nicht stattgefundenen Fusion gerät der Konzern in finanzielle Bedrängnis, derAktienkurs fällt auf einen Tiefpunkt und als Folge muss der Konzern im Dezember 2001 Insolvenzanmelden.Banken darunter die Hypo Vereinsbank und die Dresnder Bank, müssen Kredite in Millionenhöheabschreiben. Kurz darauf wird bekannt, dass mehrere ENRON Manager kurz vorAnmeldung der Insolvenz, also zu einem Zeitpunkt, wo bereits die finanziellen Schwierigkeitenbekannt waren, kräftige Bonuszahlungen erhalten haben und Mitglieder des VorstandesAktien um 100 Mio. $ verkauft haben. Damit ist der Tatbestand des Insiderhandels erfüllt.Im Jahre 2003 wird gegen die Vorstandsmitglieder, Banken und den Wirtschaftsprüfer AthurAnderson Anklage wegen Betrug, Geldwäsche und Verschwörung zur persönlichen Bereicherungauf Kosten von ENRON und Aktionären erhoben. Das Urteil erfolgt im Jahre 2006,der Firmengründer erlebt dies aber nicht mehr, er erliegt kurz zuvor einem Herzversagen.Die Angeklagten Manager werden zu 24 bzw. zehn Jahren verurteilt, der Buchhalter der sichdes Betruges schuldig bekannte, wird zu fünf Jahren Haft verurteilt.Die Banken werden freigesprochen und für den Wirtschaftsprüfer wird das Höchstmaß ausgesprochenund damit von der Berechtigung zur Prüfung von US-Unternehmen ausgeschlossen.47PARMALATDer Italienische Konzern ist durch eine aggressive Expansionspolitik innerhalb weniger Jahrevon einem kleinen Fleisch und Wurstwarenerzeuger zum achtgrößten Betrieb Italiens aufgestiegen.Um die Mehrheit des Konzerns in der Familie des Firmengründers zu halten,wurden die Aktivitäten mittels Anleihen finanziert. Auch hier wurden Schulden über Offshore-Gesellschaften auf den Cayman Islands nicht in den Konsolidierungskreis einbezogen, undnicht existente Gewinne in Milliardenhöhe ausgewiesen.In Italien ist es als einziges Land in der EU per Gesetz geregelt, dass der Prüfungsauftrag inregelmäßigen Abständen an eine andere Prüfungsgesellschaft weitergegeben werden muss(externes Rotationsprinzip für Anschlussprüfer). 48Trotzdem das Mandat 2003 an Deloitte&Touche (D&T) weitergegeben werden musste, ist esden Prüfern von Grant Thornton gelungen, auch weiterhin diese Unternehmen in den diefiktiven Vermögen und Gewinne gelagert wurden, weiter zu prüfen und so die Vorgänge zuverschleiern. Erst als die neuen Prüfer von D&T die Nachhaltigkeit dieser Positionen in Fragestellten, ist ein Domino Effekt entstanden. Der Börsenkurs ist gesunken, die Anleger wolltenihr Geld zurück und Parmalat war trotz angeblichen Milliardenvermögen nicht in der Lagedie Anleger auszuzahlen.47 Axel Springer AG.,2011, Freisprüche im Parmalat Prozess. Die Welt vom 19.04.201148 Vgl. Wiemann, Prüfungsqualität des Abschlussprüfers, Seite 7240

Daraufhin sind erhebliche Zweifel an den Bilanzen entstanden, die letztlich dadurch bestätigtwurden das die Bank of America die Existenz von mehr als vier Mrd. EUR nicht bestätigenkonnte.In einer vom danach eingesetzten Sanierer beauftragten Prüfung durch PriceWaterhouse-Coopers (PwC) wurde dann die gesamte Tragweite der Manipulationen bekannt, deren Größejedoch die bisherigen Dimensionen erheblich übertraf.Im Vergleich zu ENRON lässt sich aber sagen, dass hier eine hohe kriminelle Energie desEigentümers vorhanden war, da die Vorgänge nicht wie bei ENRON dem Grunde nach alslegal, sondern schlicht und einfach als persönliche Bereicherung der Eigentümer zu Lastenvon Kleinanlegern zu bezeichnen sind.So wurden zum Beispiel Kredite als Eigenkapital verbucht und Bestätigungen von Bankenmit plumpen Mitteln gefälscht und manipuliert. An die Eigentümer wurden durch die ManipulationenMilliardenbeträge als Dividende ausbezahlt. Der dadurch entstandene Schaden beläuftsich auf ca. 14 Mrd. Euro. Da durch einfache Plausibilitätsprüfungen einige der Unregelmäßigkeitenaufgedeckt hätten werden können, wurde auch gegen die PrüfungsgesellschaftenD&T und Grant Thornton erhoben.Doch auch die Banken gerieten in diesem Fall unter Anklage, da dem Unternehmen Kreditezur Verfügung gestellt wurden, obwohl das Unternehmen bereits in Schieflage war. Im Prozesswurden die Deutsche Bank und die drei US-Banken Bank of America, Citigroup undMorgan Stanley jedoch freigesprochen. Das Mailänder Gericht hat letztlich entschieden,dass die Vorwürfe gegen die Banken und ihre Manager unbegründet seien.Die Staatsanwaltschaft hatte den Banken und sechs leitenden Managern von Kreditinstitutenzur Last gelegt, nicht genug getan zu haben, um die Pleite abzuwenden, und zudem davonprofitiert zu haben. 49Der Firmengründer und ehemaliger Eigentümer wurde zu sieben Jahren Haft verurteilt, unddie Italienische Tochter von Grant Thornton wurde verkauft.COMROADDas Unternehmen COMROAD war ein Telematik-Dienstleister der .com-Generation.COMROAD wurde 1995 gegründet und ging 1999 an die Börse. Das Unternehmen legte vonQuartal zu Quartal enorme Wachstumsraten vor. So konnte von 1998 auf 1999 der Umsatzvervierfacht werden. Diese Steigerungen hatten erhebliche Auswirkungen auf den Aktienkurs,der sich ebenfalls vervielfachte.Die Steigerungen wurden immer größer und unrealistischer, sogar auf die Zeit des .com-Hypes an den Börsen zu Beginn des neuen Jahrtausends. 5049 Axel Springer AG., Rubrik Unternehmen, Die Welt vom 19.4.2011 online abgerufen am 23.3.2013http://www.welt.de/print/die_welt/wirtschaft/article13211221/Unternehmen.html41

Der Stein ins Rollen gebracht wurde durch die Wirtschaftsjournalistin Renate Daum, die inRecherchen für das Magazin Börse Online ein dem risikoorientierten Prüfungsansatz ähnlichesVorgehen anwandte. So gelang es ihr, durch Plausibilitätsprüfungen und Einzelfallprüfungenwie das Einholen von Handelsregister- Auszügen der Kunden und Partnern nachzuweisen,dass die veröffentlichte Geschäftsentwicklung im asiatischen Raum nicht stattgefundenhaben kann, da die Partner nicht existierten. Die Kunden und Vertriebspartner waren zu99% nur Briefkastenfirmen im asiatischen Raum, mit denen die enormen Umsatzzuwächseerzielt wurden. An diese Firmen wurden durch Scheinrechnungen Erlöse generiert, die inWahrheit gar nicht existierten.Dies wurde auch dadurch ersichtlich, dass trotz der Zuwächse und Gewinne in den Geschäftsberichtenein negativer Cash Flow ausgewiesen wurde. Folgendes Betrugsschemakonnte durch die Recherchen gefunden werden.Abbildung 13: Betrugsschema Comroad AG 51Als WP der Jahre 1998 bis 2002 war KPMG tätig, die für diese Jahre uneingeschränkte Bestätigungsvermerkeerteilten. Nach einer anonymen Anzeige bei der Staatsanwaltschaft undVeröffentlichung der Recherchen im Magazin Börse Online wurde seitens KPMG das Mandatzurückgelegt und die Bestätigungsvermerke der Jahre 1998 bis 2001 in einer Pressekonferenzam 24. April 2001 widerrufen.50 Vgl. Daum, 2003, Ausser Kontrolle, S. 2ff51 Vgl. Daum, 2003, Ausser Kontrolle, Seite 1442

Im Jahr 2002 wurde im Rahmen einer Sonderprüfung durch den neuen Wirtschaftsprüferfestgestellt, das 98% des Umsatzes des Unternehmens frei erfunden waren. Die Ermittlungender Staatsanwaltschaft führten letztlich zur Festnahme des Firmengründers und einerVerurteilung zu sieben Jahren Gefängnis wegen Betrugs, Kursbetrugs und Insiderhandelsam 21. November 2002 52 .Der Fall COMROAD ist deshalb erwähnenswert, da von einer Wirtschaftsjournalistin mit einfachenMitteln nachgewiesen wurde, dass die Firmen und Kunden nicht existieren, währenddie Wirtschaftsprüfer sich mit Saldenbestätigungen zufrieden gaben und nicht weiter nachfragten.Außerdem gab es weitere offensichtliche Anzeichen dafür, dass bei COMROADeiniges in Schieflage war.So war der Aufsichtsrat mit der Ehefrau des Firmeninhabers besetzt und der Steuerberater,der die Bilanz erstellt hat, war ebenfalls Mitglied des Aufsichtsrates. Es liegt daher auch heute,mehr als zehn Jahre hach Urteilsverkündung, der Verdacht nahe, dass die agierendenWirtschaftsprüfer einerseits in einem Konflikt standen, da auch Beratungsleistungen erbrachtwurden, und andererseits nicht mit der notwendigen Sorgfalt an das Mandat herangegangenwurde. Umso mehr verwundert es, da der Firmengründer bereits einmal wegen Konkursverschleppungverurteilt wurde, und es für eine Prüfungsgesellschaft wie KPMG leicht möglichgewesen wäre, die Existenz der Kunden und Lieferanten in Asien durch die dort ansässigePartnergesellschaft nachweisen zu lassen.Die Liste der Fälle von Bilanzbetrug oder Verschleierung könnte noch beliebig um Beispielewie BAWAG, WORLDCOM, oder FLOWTEX verlängert werden. Die Reaktion auf dieseSkandale waren Verschärfungen der gesetzlichen Vorschriften. Es handelt sich dabei allerdingsnur um die Eindämmung von Symptomen, da es diese Fälle auch weiterhin gibt.3.1.2 Ursachen und GründeIn den drei beschriebenen Bilanzskandalen lagen jeweils unterschiedliche Gründe oder Motivevor, die zu den Manipulationen geführt haben. Zusammenfassend kann man sagen,dass es immer um Gewinnsteuerung durch Verbuchung von- Umsätzen ohne Grund oder- Aufwendungen ohne notwendige Erfassungzur Realisierung von grundlosen, oder verfrüht dargestellten Gewinnen gekommen ist.52 Daum, 2006, Außer Kontrolle, Seite 1643

Der zweite Grund für Manipulationen neben der Gewinnsteuerung ist die Eigenkapitalerhöhungdie durch- Unerlaubte Aktivierung oder Aktivierung von fiktiven Assets- Überbewertung von Assets oder Unterlassung von Abwertungen- Nichterfassung von Schulden- Unterbewertung von Schulden oder Verabsäumen notwendiger Aufwertungen vonSchuldenerreicht werden kann.Was die beschriebenen Fälle jedoch gemeinsam haben, ist das Maß an Skrupellosigkeit undGier in den ausführenden Management- und Führungsebenen der Unternehmen und dieVerstrickung und Interessenskonflikte der Wirtschaftsprüfer, die in allen drei Fällen vonKanzleien der sogenannten „Big Four“ kamen.Als Big Four werden die größten, international Wirtschaftsprüfungskanzleien bezeichnet. Ausursprünglich acht Gesellschaften sind durch Fusionen, und Zusammenbrüche derzeit dievier- Deloitte Touche Tohmatsu- Price WaterhouseCoopers- Ernst & Young- KPMGGesellschaften entstanden, die sich den Prüfungsmarkt der Großunternehmen im Wesentlichenaufteilen.Im Fall ENRON war die Kanzlei Arthur Anderson tätig, die letztlich über diesen Bilanzierungsskandalgestolpert ist und in Ernst & Young fusioniert wurde und als Marke vom Marktverschwunden ist. 53Bilanzdelikte resultieren aus einem Anreiz in Verbindung mit einer Gelegenheit und werdenin der Regel vom Top-Management begangen, da dieses verhältnismäßig einfach die Möglichkeitzur Ausschaltung interner Kontrollen besitzt. Als Auslöser für die Skandale kann unteranderem das Vergütungssystem des Managements gesehen werden. Zu hohe Bonifikationenfür die Erreichung von Zielen stellen in den meisten Fällen das Motiv dar.Die Verlockung in den Genuss des Bonus zu kommen, ist für viele Manager Anreiz diesenum jeden Preis zu erreichen, wenn notwendig mit illegalen Mitteln, wobei dies in den seltenstenFällen als kriminell, sondern vielmehr als „geschäftsübliche“ Vorgehensweise gesehenwird.53 Vgl. von Frenz, ENRON – Chronik einer Rekordpleite, Managermagazin vom 25.09.200344

So stellen Aktienoptionen im Management wichtige, im Ausmaß nicht vernachlässigbareGehaltsbestandteile dar, die Zielerreichung ist kurzfristigen, und wachstumsorientierten Zielenfestgelegt, dass damit verbundene Umsatzwachstum treibt den Aktienkurs und durchden steigenden Aktienkurs werden die Optionen für die Manager mehr wert, womit sich dieSpirale der Anreize diese Ziele um jeden Preis zu erreichen, schließt. Diese Anreize sindscheinbar so hoch und begehrenswert, dass wie in den beschriebenen Fällen „fiktive“ Umsätzeoder Wachstumsraten erstellt werden.Der Prüfer kann in Skandale verwickelt sein, wenn seine Unabhängigkeit durch eine gleichzeitigeBeratung gefährdet ist, jedoch erleidet er aufgrund dessen Reputationsschäden, diebis zum Untergang der Kanzlei führen können. Im Fall Enron war Arthur Anderson wesentlichim Skandal verwickelt, aufgrund mangelnder Sorgfalt bei der Prüfung und einer nachgewiesenenBefangenheit durch gleichzeitige Beratungstätigkeit. Zusätzlich stehen die Prüferim Konflikt zwischen Auftraggeber und Gesetzlichen Anforderungen.Im Falle PARMALAT wurde zum Beispiel, die durch den italienischen Gesetzgeber vorgeschriebeneAuditor Rotation umgangen, da das Mandat zwar weitergegeben wurde, aber dieTochterunternehmen außerhalb Italiens trotzdem von Grant Thornton weiter geprüft wurdenkonnten.Obwohl kein Prüfungsauftrag für das Hauptunternehmen mehr bestanden hat, wurden diewesentlichen, in den Skandal verwickelten Töchter weiter geprüft und knapp 49% aller Bilanzprüfungenvorgenommen werden.3.1.3 Verlauf und FolgenDie Verlaufsmuster der vorgestellten Skandale sind abhängig von der kriminellen Energie,die damit verbunden sind. So war in den vorgestellten Fällen immer das Motiv der persönlichenBereicherung im Vordergrund. Nicht jede Unregelmäßigkeit, die im Rahmen der Abschlussprüfungfestgestellt wird, stellt jedoch einen Verstoß dar. So wird im Prüfungsstandard210 (Zur Aufdeckung von Unregelmäßigkeiten im Rahmen der Abschlussprüfung) desInstitutes der Wirtschaftsprüfer (IDW) in Verstöße und Unrichtigkeiten unterschieden, beidehaben Auswirkungen auf die Rechnungslegung - und „sonstige Gesetzesverstöße“, die nichtzu falschen Angaben in der Rechnungslegung führen, unterteilen. 54Unrichtigkeiten („Error“) stellen unbeabsichtigt falsche Angaben im Abschluss oder Lageberichtdar. Sie können aus Schreib- oder Rechenfehlern, aus der unbewusst falschen Anwen-54 Vgl. Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard PS 21045

dung von Rechnungslegungsgrundsätzen oder dem Übersehen oder fehlerhaften Einschätzenvon Sachverhalten beruhen. 55Verstöße („Fraud“) hingegen sind beabsichtigte Handlungen einer oder auch mehrerer Personenaus dem Kreis der gesetzlichen Vertreter, der Mitglieder des Aufsichtsorgans, derMitarbeiter oder Dritter mit dem Ziel, sich durch diese Handlungen ungerechtfertigte oderrechtswidrige Vorteile zu verschaffen. 56Abbildung 14: Unregelmäßigkeiten nach IDW PS210 57Die Gründe für Unrichtigkeiten liegen einerseits in der Komplexität der Berichterstattung,andererseits in den vorhandenen Zeitpunkten der Veröffentlichung von Monats, Quartalsoder Jahresergebnissen, ein normaler Buchhalter ist in vielen Fällen nicht mehr in der Lage,die komplexen Anforderungen in der dafür vorgesehenen Zeit zu erfüllen. Es werden immerschnellere, kürzere Intervalle bis zur Veröffentlichung gefordert. Die Folgen liegen bei Unrichtigkeitenin einer Findung (Prüfungsfeststellung der Kategorie C oder D - also kein wesentlichesRisiko für den Unternehmensabschluss) und werden im Laufe der Prüfung aufAnweisung des Prüfers korrigiert und dokumentiert. Unrichtigkeiten haben somit weder Einflussauf das Testat, noch rechtliche Auswirkungen auf die verursachende Person.55 Vgl. Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard PS 21056 Vgl. Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard PS 21057 Vgl. Institut der Wirtschaftsprüfer e.V., IDW Prüfungsstandard PS 21046

Bei den Verstößen gibt es strafrechtliche Auswirkungen auf die handelnden Personen, sowurden in den großen Bilanzskandalen Freiheitsstrafen verhängt, wobei auch hier Unterschiedeim Strafausmaß zwischen Europa und den USA sichtbar werden.Im Fall Enron wurde der Buchhalter zu fünf Jahren, der CFO zu sechs Jahren und der CEOzu 24 Jahren Haft verurteilt, während im Falle COMROAD der Eigentümer nur zu siebenJahren Haft und einer Geldstrafe verurteilt wurde. 58Studien zufolge lässt sich sagen, dass die möglichen Folgen, auch wenn sie in beträchtlicherHöhe drohen, nur in den seltensten Fällen einen Hinderungsgrund darstellen. Als Folge derSkandale kommt es zu Kursverlusten der betroffenen Unternehmen und im Extremfall zumwirtschaftlichen Untergang des Unternehmens, wie im Falle von Arthur Anderson, der Prüfungsgesellschaftvon ENRON. 593.2 ComplianceDa eine rein gesetzliche Sanktionierung und Regelung nicht in der Lage ist, die Skandale zuverhindern, mussten als Reaktion die internen Kontrollen verschärft und neue Instrumentegeschaffen werden. Der Begriff der Corporate Governance umfasst alle Richtlinien und Vorgaben,die eine Symbiose aus Gesetzen, internen Standards sowie Normen und Richtliniendarstellen.Zielsetzung der Governance ist es, Risiken zu minimieren, sowie Verstöße durch verschärfteinterne Regelungen und Kontrollen zu verhindern. Die Mitarbeiter werden auf diese Richtlinienund deren Einhaltung geschult, und die Compliance Grundsätze werden innerhalb derUnternehmenskultur verankert. Compliance betrifft somit das ganze Unternehmen, durchalle Hierarchien und Positionen.Da aus Verstößen wirtschaftliche Risiken entstehen die im Extremfall den Bestand des Unternehmensbedrohen, ist es Aufgabe der Compliance diese Risiken zu identifizieren, zubewerten und zu verhindern. Compliance trägt daher zur Erhöhung des Unternehmenswertesund zur Schaffung von Transparenz bei. Dadurch kann die Finanzberichterstattungim Sinne des SOX verbessert werden. Von der übergeordneten Corporate Governancelassen sich vier Grundprinzipien zur Umsetzung eines wirksamen Steuerungs- und Regelungssystemskapitalmarktorientierter Unternehmen im Mittelpunkt einer verantwortungsvollen,transparenten und effizienten Unternehmensführung ableiten 60- Accountability (Zurechenbarkeit)- Responsibility (Verantwortung)- Transparency (Transparenz)- Fairness (Fairness)58 Vgl. Daum, 2003 Außer Kontrolle, wie Comroad und Co das deutsche Finanzsystem austricksen59 Vgl. von Frenz, ENRON – Chronik einer Rekordpleite, Managermagazin vom 25.09.200360 Fröhlich & Kurt, 2007, IT Governance, Seite 3847

Von zunehmender Bedeutung in der Compliance ist die IT-Sicherheit und der Datenschutz.Da viele Unternehmensfunktionen wie das Rechnungswesen ausschließlich über IT- Systemeabgebildet werden, wurde der Begriff der IT Compliance geschaffen, der sichausschließlich mit der Einrichtung und dem Betrieb von Informationssystemen (IS) beschäftigtund die Einhaltung der Richtlinien, Gesetze und Verhaltensregeln sicherstellt. Als neuhinzugekommenes Aufgabengebiet ist in den letzten Jahren der Bereich der Revisionssicherheitund Unverfälschbarkeit von elektronischen Dokumenten hinzugekommen.Die zur Anwendung kommenden Frameworks wurden an die Veränderungen angepasst,erweitert und neu entwickelt. Während allgemeine Risiken die von IT-Prozessen der Kerngeschäftsprozesseausgehen, durch COBIT und die technischen Risiken durch ITIL abgedecktwerden, lässt COBIT Antwort, Reaktion und den Umgang auf die gefundenen Risikenoffen. Deshalb wurde eine neues Framework – Risk IT - entwickelt das den Abgleich derGeschäftsrisiken mit den strategischen Zielen der Organisation vornimmt. 61Abbildung 15: Aufbau Risk IT 62Im Rahmen der Prüfung der Geschäftsprozesse müssen die einzelnen Prozesseaufgenommen, dokumentiert und eine Überleitung der rechnungslegungsrelevanten Datenaus dem Prozess in die Rechnungslegung erstellt werden. Weiters sind Plausibilitätskontrollendurchzuführen und festzustellen, ob und in welchem Umfang die Prozesse dasGeschäftsmodell des Unternehmens abbilden. Bei diesen IT-Prozessprüfungen ist auch eineKontrolle der Funktionstrennung auf Geschäftsprozessebene vorzunehmen und zudokumentieren. 6361 Vgl. Latzenhofer, Neuroth-Pfeiffer, 2012, IT Business Alignment, Seite 3962 Latzenhofer, Neuroth-Pfeiffer, 2012, Studienheft IT Business Alignment, Seite 3963 Vgl. Gerlach, 2001, Aktuelle Anforderungen an die Prüfung von IT-Systemen48

Defizite in diesen Bereichen haben daher weitreichende Auswirkungen auf die CorporateGovernance.Compliance Richtlinien haben keinen Rechtscharakter, sie legen Gesetze aus oder gebendie Rechtsauffassung zu bestimmten Fragen wieder. Vielmehr tragen die Richtlinien zurpraktischen Umsetzung der Compliance Anforderungen bei.3.2.1 Rolle der WirtschaftsprüfungIn den beschriebenen Fällen, wo es zu Bilanzfälschungen gekommen ist, waren Prüfer vonrenommierten Wirtschaftsprüfungskanzleien mit der Durchführung der Abschlussprüfungenbeauftragt, die jeweils uneingeschränkte Bestätigungsvermerke erteilten. In allen drei Fällenwaren die Kanzleien sowohl beratend als auch prüfend tätig. So entsteht ein Interessenskonfliktzwischen dem Prüfungsauftrag und den Interessen des Auftraggebers auf der einen Seiteund andererseits gibt es Mängel durch den gewählten Prüfungsansatz.Aus Sicht des Auftraggebers ist eine Prüfung erfolgreich abgeschlossen, wenn seine Erwartungenerfüllt wurden und der Jahresabschluss in der vorgelegten Form testiert wird. AusSicht des Abschlussprüfers entsteht dadurch bereits die erste Diskrepanz, da der Empfängerseiner Arbeit im eigentlichen Sinne nicht der Auftraggeber, sondern ein dritter Personenkreisist, nämlich die Finanzbehörden.Der Prüfer muss daher die Anforderungen, die vom Empfänger vorgegeben werden, in derForm erfüllen, ohne die Interessen seines Auftraggebers im rechtlich zulässigen Rahmen zuenttäuschen oder zu nicht in dessen Sinne zu interpretieren.Erschwerend kommt hinzu, dass die Auftraggeber den Prüfer nicht als externen Berater undPartner sehen, sondern das Minimieren der Prüfungskosten im Vordergrund steht. Darinbesteht für beide Seiten die Gefahr, dass der Zeitrahmen der für die Prüfung zur Verfügungsteht, zu knapp bemessen und nur eine gerade noch den gesetzlichen Vorgaben entsprechendePrüfungshandlung innerhalb der verrechenbaren Zeit möglich ist.Daher ist die Frage zu stellen, ob im Rahmen einer Stichprobenprüfung eine repräsentativeAussage über die Gesamtheit treffen lässt. So kann es als Zufall angesehen werden, wennbei einer Stichprobenprüfung von Forderungen eine wertlose Forderung ausgewählt wird.Das heißt, wenn es jemand darauf anlegt, ist die Wahrscheinlichkeit der Entdeckung bei einerStandardprüfung eher gering. Die Aufdeckung wäre nur möglich, wenn eine vollständigePrüfung durchgeführt wird, was aber aus Zeit und Kostengründen ohne Vorliegen eines konkretenAnlasses oder auf Anordnung der Staatsanwaltschaft in Form einer Sonderprüfungnicht durchgeführt wird.Es ist aber die gängige Meinung, dass der Wirtschaftsprüfer im Rahmen einer Pflichtprüfungalle Fälle von versuchtem Betrug aufzudecken und zu verhindern hat. Daraus ergibt sichumgekehrt die Frage, ob er bei Nichtentdecken dafür verantwortlich gemacht werden kann.49

Es sind jedoch mehrere Aspekte zu bedenken:- der Prüfungsauftrag findet innerhalb erheblicher Ermessensgrenzen statt und daherist nicht zu vernachlässigender Interpretations-, und Auslegungsspielraum gegeben.- Die Pflichtprüfung stellt keine Unterschlagungsprüfung dar oder stellt andere Straftatenin den Mittelpunkt der Prüfungshandlungen- Die Beurteilung und Bewertung von bilanziellen Sachverhalten muss unter den Gesichtspunktender GoB erfolgen.Aus diesen Punkten ergibt sich zwischen den Anforderungen an die Wirtschaftsprüfer unddem Ergebnis der geprüften Sachverhalte eine Erwartungslücke. Aufgrund dieser Sachverhaltekann es vorkommen, dass sich die Täter über längere Zeit in Sicherheit wähnen unddie Manipulationen immer größer werden, und meistens nur durch Zufälle entdeckt werden.Wenn aber der Verdacht auf Unregelmäßigkeiten besteht, ist der Prüfer verpflichtet, dies inWahrnehmung seiner Informationspflicht den Kontrollorganen mitzuteilen – damit ergebensich weitere Interessenkonflikte. Gemäß einer Studie von KPMG stammt die Mehrheit derStraftäter aus den eigenen Mitarbeitern mit längerer Firmenzugehörigkeit, sowie speziell ausdem Bereich des Managements 64 , somit wird der Verdacht an den Kreis der Täter mitgeteiltund dieser möglicherweise vorgewarnt. Ist die Anschuldigung aber ungerechtfertigt, seht dasPrüfungsmandat auf dem Spiel. Sollte das Prüfungsunternehmen auch beratend tätig seinergibt sich der Interessenskonflikt innerhalb der Kanzlei, da die Maßnahmen der beratendenKollegen in Frage gestellt werden müssten.Beide Sachverhalte werden zum Verlust der Beratungs-, und oder Prüfungsauftrag führen.Durch diese Kollisionen von Interessen und Vorschriften ist erneut Handlungsbedarf durchden Gesetzgeber entstanden. So wurden die bestehenden Bestimmungen wieder verschärftund die Bestimmungen, die den Jahressabschluss betreffen, um die Systemprüfung, das ITAudit, erweitert.64 Albrecht A., Immer mehr Manager beklauen Ihr Unternehmen, Financial Times Deutschland, Artikelvom 27.11.201250

Kapitel 4IT Audit und WirtschaftsprüfungDurch die Entwicklungen in der IT ist eine Rechnungslegung ohne IT-Unterstützung heutenicht einmal mehr bei den kleinsten Unternehmen in Verwendung. Buchhaltung, Bank- undSteuerwesen werden nahezu ausschließlich über IT-Systeme abgewickelt. Die ursprünglicheAufgabe der Rechnungslegung wurde durch die Verwendung von IT erweitert, es handeltsich dabei nicht mehr um die reine Buchführungsfunktion, sondern um ein Steuerungs- undÜberwachungsinstrument. Da diese Systeme immer komplexer wurden, verbergen sich darinauch neue Risiken, die es zu identifizieren, zu bewerten und hierfür Gegenmaßnahmenzu ergreifen gilt. Diese Risiko-, und prozessorientierte Analyse und Kontrolle wird durch dasIT- Audit realisiert. Durch diese Analyse soll sichergestellt und überprüft werden, dass allegesetzlichen und aufsichtsrechtlichen Vorschriften eingehalten werden und kein Missbrauchvon IT-Systemen vorliegt. Nur wenn keine Unregelmäßigkeiten festgestellt werden, kannaber noch nicht davon ausgegangen werden, dass keine Lücken oder Schwachstellen imSystem vorhanden sind. Das Ergebnis eines IT-Audits kann Verbesserungspotential sein,das kein Risiko im Sinne von Gefährdung und Schaden minimiert, sondern zur Prozessverbesserungund Effizienzsteigerung beiträgt.4.1 IT AuditIm Rahmen der Wirtschaftsprüfung ist ein IT-Audit abzuhalten, dem das Ziel zugrunde liegt,Eingriffe in wesentliche Abschlusspositionen über das IT-System zu verhindern und. systemtechnischeSchwachstellen und Lücken in der Durchgängigkeit der modellierten Geschäftsprozesseaufzuzeigen. Mit der Einführung von immer komplexeren IT-Systemen sind auchdie Anforderungen an die Revision nicht mehr auf die Systeme der reinen Buchführung oderRechnungslegung beschränkt, sondern auch um Aspekte wie die gesamten Unternehmensprozesse,die IT-Sicherheit oder das IT-Management erweitert worden. Die Anforderungenan die Revisoren steigen damit, da umfassende IT-Kenntnisse zur Durchführung des IT-Audits erforderlich sind, und die eigentliche Aufgabe, die Prüfung der Rechnungslegung, umdie IT-Systemprüfungen erweitert wurden.Ein IT-Audit besteht aus den Bereichen der Prüfung des Aufbaus und der Funktion einesSystems und bringt ein Urteil über die Angemessen-, und Wirksamkeit der untersuchtenSysteme.51

In untenstehender Abbildung ist der schematische Aufbau eines IT-Audits beschrieben:Abbildung 16: Aufbau IT-Audit 65Der Ablauf einer IT-Systemprüfung kann in folgende Schritte unterteilt werden:Planung und DatenbereitstellungIn diesem Schritt werden die Prüfungsziele, der anzuwendende Prüfungsansatz und dieAuswahl der Datenquellen festgelegtDatenaufbereitungDarunter wird die Aufbereitung, Selektion und Festlegung der zu erwarteten Ergebnisse ausden Prüfungshandlungen und die damit verbundene Generierung der benötigten Daten, diezur Analyse herangezogen werden verstanden.DatenanalyseMit dem Einsatz des in der Prüfungsplanung festgelegten Analysetools wird die Datenstrukturauf Plausibilität und Lückenlosigkeit geprüft. Im Normalfall wird dies über Stichprobenerfolgen, außer es ist aufgrund von Unregelmäßigkeiten oder auf Wunsch des Auftraggeberseine vollständige Systemprüfung durchzuführen.65 Nowocien, S. ,Wirtschaftsinformatik HTW Berlin . ,Präsentation Spannungsfeld GRC- Governance/RiskControl/ Compliance: wwwi.f4.htw-berlin.de/users/.../7_SAP_Anwendertag_Ost_BSB.pdf am12.03.2013, Seite 2452

Interpretation und DokumentationNach erfolgter Prüfung und Analyse werden eventuell gefundene Abweichungen mit demAuftraggeber besprochen und bei Bedarf weitere Prüfungsschritte festgelegt. Als Ergebnisdieses Schrittes wird ein Nachweis über die Prüfungsfeststellungen und Klärung von Unplausibilitätenmit den darauf erforderlichen Reaktionen und Maßnahmen erstellt und demAuftraggeber übermittelt.Durch die Abhaltung eines IT-Audits wird die Abschlussprüfung dahingehend unterstützt,dass durch die Auditergebnisse die Ordnungsmäßigkeit, Zuverlässigkeit und Zweckmäßigkeitder Buchführung bestätigt wird. Die korrekte und zuverlässige Funktion von Informationssystemenwird heute als unternehmenskritisch für die Fortführung der Geschäftstätigkeitangesehen und ist daher von zentraler Bedeutung für die Jahresabschlussprüfung.Wenn in der geprüften Organisation eine eigene interne Revisionsabteilung besteht, werdendie IT-Systeme regelmäßig darauf geprüft, ob diese im Einklang mit der verfolgten IT-Strategie stehen, Abweichungen dokumentiert und behoben. Die Aufgabe der externen Prüfungim Rahmen des Jahresabschlusses baut auf den unterjährig durchgeführten internenPrüfungen auf und führt wie im Rahmen der finanziellen Prüfungshandlungen Stichprobenund Plausibilitätschecks durch.Der Ablauf eines IT-Audits ist dem Prozess des risikoorientierten Prüfungsansatzes der finanziellenPrüfung wie in Kapitel 2 beschrieben, ähnlich. Die Hauptaufgaben eines IT-Auditsliegen in der Kontroll-, Informations-, und Beglaubigungsfunktion. Darunter ist zu verstehen,das Verbesserungspotential aufgezeigt, dem Auftraggeber berichtet und die OrdnungsgemäßeFunktion der geprüften IT-Systeme bestätigt wird.Die Inhalte, die in einem IT-Audit zu prüfen sind, wurden aus den GoB abgeleitet und in einemFachgutachten der Kammer der Wirtschaftstreuhänder (KFS/DV1) beschrieben. DiesesFachgutachten konkretisiert die aus den gesetzlichen Bestimmungen resultierenden Anforderungenan die Buchführung mittels IT-gestützter Systeme und verdeutlicht die beim Einsatzvon IT möglichen Risiken für die Einhaltung der Grundsätze ordnungsmäßiger Buchführung.6666 Fachgutachten KFS/DV1,Kammer der Wirtschaftstreuhänder, 2011, Kapitel1, Absatz 253

KFS/DV1 67Im KFS/DV1 sind alle allgemeinen Anforderungen der GoBS in Bezug auf die Anwendungvon IT-Systemen beschrieben und um Aspekte, die sich aus der Verwendung von IT-Systemen ergeben haben, im Punkt 4. des Gutachtens erweitert:- BelegfunktionDurch die Buchung im elektronischen Systemen gibt es keinen physischen Belegmehr, daher muss bei der Verwendung von IT gestützten Buchhaltungen sichergestelltwerden, dass die in der Buchung enthaltenen Informationen mit den auf einemPapierbeleg vorhandenen vollständig und ident sind.- JournalfunktionDie Geschäftsfälle müssen vollständig, der zeitlichen Reihenfolge nach und unabhängigvon Art der Speicherung unter Einhaltung der Belegfunktion widergegebenwerden können. Bei Verwendung von ERP-Systemen müssen die Ordnungsmäßigkeitskriterienvon den der IT-Buchführung vorgelagerten Systemen ebenfalls eingehaltenwerden, damit die Journalfunktion erfüllt ist.- KontenfunktionDie Geschäftsfälle müssen auf getrennten Konten in Haupt- und Nebenbüchern gespeichertund die Vollständigkeit der Buchungen nach Soll und Haben getrenntnachweisbar sein. Dies kann über lückenlose fortlaufende Nummerierung oder Seitennummerund Salden Überträge am Anfang und Ende des Ausdruckes erfolgen.Ebenso muss es möglich sein, von verdichteten Summen eindeutig auf die Einzelpostenzurückzufinden.- DokumentationsfunktionDamit die Abläufe und Prozesse die in der IT-Buchführung zur Anwendung kommen,ist für außenstehende Dritte oder den Prüfer in nachvollziehbarer Form eine Systemdokumentationzu führen. Diese Dokumentation muss die Anwender-, technischeSystem-, und Betriebsdokumentation in übersichtlicher Form enthalten. Damit ist gemeint,dass die Dokumentation alle Standardfunktionen genauso wie die angepassten(customized) Funktionen so darstellt, dass keine Kenntnis der Programmiersprachenotwendig ist. Zu dieser Dokumentationsfunktion zählen ebenso die Datensicherungsowie Abstimm- und Verarbeitungsprotokolle.67 Vgl. Kammer der Wirtschaftstreuhänder,http://www.kwt.or.at/de/PortalData/2/Resources/downloads/downloadcenter/52-KFS-DV1.pdf , abgerufen am16.04.201354

- AufbewahrungGenauso wie in der klassischen Buchführung gilt auch für die elektronische Buchführungdie Aufbewahrungspflicht von sieben Jahren. Zur Nachvollziehbarkeit der Buchführungmüssen technische Voraussetzungen geschaffen werden, damit die Belegewährend dieser Frist lesbar bleiben und in abgabenrechtlichen Verfahren in elektronischerForm zur Verfügung gestellt werden können.- FunktionstrennungDarunter sind das Berechtigungssystem mit unterschiedlichen Zugriffsberechtigungensowie die Trennung der Zugriffe zwischen Anwender, Administrator und Entwicklerzu verstehen. Damit soll verhindert werden, dass eine Person die Kontrolle überalle Phasen eines Geschäftsvorganges erhält und somit die potentielle Grundlage fürUnregelmäßigkeiten geschaffen wird.KFS/DV2 68In einem zweiten Fachgutachten, dem KFS/DV2, sind die Inhalte definiert, die sich auf diereine IT-Technik und deren ordnungsgemäße Funktion beziehen. Die wesentlichen Punkte,die im Rahmen einer Jahresabschlussprüfung auditiert werden, um einen Überblick zu erhalten,sind- IT- Organisation und ProzesseDarunter ist die Prüfung der IT-Strategie, der IT-Governance und der Dokumentationder wesentlichen IT-Prozesse zu verstehen. Sollte es Bereiche geben die Outsourcingunterliegen, so sind diese in die Betrachtung mit einzubeziehen.- Geräte, Programme und AnwendungenBei diesem Punkt des Reviews werden die eingesetzte Hardware sowie Art und Typeder verwendeten Software erfasst. Die damit abgebildeten Datenflüsse und Datenbankstrukturenund deren Dokumentation sind Gegenstand der Prüfung.68 Vgl. Kammer der Wirtschaftstreuhänder,http://www.kwt.or.at/de/PortalData/2/Resources/downloads/downloadcenter/53-KFS-DV2.pdf, abgerufen am18.04.201355

Als Ergebnis dieser Prüfungshandlungen werden wesentliche Risiken aus der Anwendungvon IT-Systemen abgeleitet, auch dies entspricht dem Prozess des risikoorientierten Prüfungsansatzes.Auch hier wird eine Beurteilung und Unterteilung der Risiken nach Art, Schadenshöhe undEintrittswahrscheinlichkeit vorgenommen.Abbildung 17: Ziele des IT Audits 69Diese durch die in den Fachgutachten festgelegten Kriterien und dem Abgleich des vorgegebenenSollzustandes werden die Abweichungen (Audit findings) festgestellt und in einemAudit Bericht klassifiziert. Alle Abweichungen müssen mit dem Auftraggeber besprochenwerden, um die Korrektheit der findings zu verifizieren.4.1.1 Anwendung von FrameworksUm die Anforderungen des KFS/DV2 im Bereich der IT-Organisation und den damit verbundenenProzessen erfüllen zu können, kommen Frameworks zur Anwendung. Im KFS/DV2wird dezidiert auf COBIT verwiesen. Aber auch die Anwendung der Anforderungen aus derISO 27001-Informationssicherheitsmanagementsysteme stellt eine Möglichkeit dar. Die Anwendungvon Frameworks ist aber nicht im Rahmen eines Gesetzes rechtlich verbindlichvorgeschrieben, sondern ist in den Fachgutachten nur als Empfehlung zur Unterstützungwährend eines IT-Audit erwähnt.69 Nowocien, S. ,Wirtschaftsinformatik HTW Berlin . ,Präsentation Spannungsfeld GRC- Governance/Risk Control/ Compliance:http://wi.f4.htw-berlin.de/users/ginnold/stuff/sapat/at26/7_SAP_Anwendertag_Ost_BSB.pdf,abgerufen12.03.2013, Seite 26am56

Da die Aufgaben und deren ordnungsgemäße Einhaltung, die im Rahmen des IT-Audits zurPrüfung kommen, wesentliche Grundvoraussetzungen an das Funktionieren einer Organisationdarstellen, haben die Unternehmen erhebliches Interesse daran, dass diese Prozesseproblemlos funktionieren. Daher kommen die Frameworks wie COBIT, ISO 27001 ITIL unddergleichen freiwillig zum Einsatz oder werden diese in größeren Unternehmen durch dieinterne Revision zur Anwendung gebracht.Wenn diese Frameworks zur Anwendung kommen, kann als Nachweis eine freiwillige Zertifizierungsprüfungdurch unabhängige Stellen angestrebt werden. Durch ein Zertifikat nachISO 27001 wird der Nachweis erbracht, dass die internen Kontrollen und das Risikomanagementsystematisiert in der Organisation implementiert wurden und in regelmäßigenÜberprüfungen an veränderte Rahmenbedingungen angepasst werden.Mit der Erlangung der Zertifizierung wird ein Informationssicherheits Managementsystem(ISMS) auf Basis des Geschäftsrisikoansatzes implementiert, dass die Entwicklung, Implementierung,Durchführung, Überwachung, Überprüfung, Instandhaltung und Verbesserungder Informationssicherheit abdeckt.Die ISO 27001 verwendet das PLAN-DO-CHECK-ACT (PDCA) Modell das auf dem DemingCycle basiert zur Strukturierung der ISMS Prozesse. Der Deming Cycle kommt ursprünglichaus der Qualitätssicherung und beruht auf den vier Phasen:Abbildung 18:PDCA Prozess 70In der Planungsphase wird dabei das Verbesserungspotential durch Aufnahme des Ist Zustandesund Vergleich mit dem Soll Zustand erfasst.70 ISO 27001, Begriffe, 3.757

Unter der DO-Phase werden nicht die Umsetzung, sondern das Testen der Potentiale undderen Auswirkungen auf die Prozesse verstanden, und in der CHECK-Phase werden dieErkenntnisse aus der DO Phase geprüft und zur Umsetzung freigegeben. In der Phase ACTwerden die Verbesserungen im Rahmen von Audits regelmäßig auf Funktion geprüft und imSinne eines Prozesses der kontinuierlichen Verbesserung eine Effizienzsteigerung der Prozesseerreicht.IT Prüfung und COSODie ursprüngliche Idee die Einhaltung von Gesetzen oder Regelwerken systematisiert zuprüfen und eine effektive Finanzberichterstattung zu gewährleisten, wurde mit COSO umgesetzt.Der Fokus liegt bei COSO - wie in Kapitel 2 bereits beschrieben - auf dem unternehmensweitenRisikomanagement und daraus resultierend dem Design des IKS. COSO beziehtsich auf das Gesamtunternehmen, und stellt eine mögliche Basis für interne Kontrollendar. Der Bereich der IT wird in der Komponente Kontrollumfeld zwar abgebildet, es wird ihraber aus heutiger Sicht nicht der notwendige Stellenwert gewidmet.Damit wurde zwar die Wichtigkeit der von den IT-Prozessen ausgehenden Risiken zwar angedeutet,aber nur global und allgemein berücksichtigt. Trotzdem gilt COSO als internationalanerkannter Standard für Risikomanagement und findet sich aufgrund des IKS-Fokus auchim SOX explizit wieder.Um den Anforderungen aus der IT-Governance gerecht zu werden, wurde als Schnittstellezwischen dem technisch- und serviceorientierten ITIL und dem risikoorientierten COSO Modelldas COBIT Framework entwickelt, das die IT-Prozesse erstmalig ausführlich berücksichtigtund ein Hilfsmittel für Auditoren zur Prüfung von IT-Prozessen darstellt. 71IT Prüfung und COBITIm Rahmen des IT Audits werden die Forderungen des SOX nach Implementierung undWirksamkeit eines IKS mit dem COBIT Framework die Prozesse und Kontrollziele definiertund in die Domänen, Prozesse und Kontrollziele von COBIT wie im Kapitel 2 beschriebeneingeordnet. Die IT-Prozesse, die zur Erfüllung der Geschäftsanforderungen notwendig sindkontrolliert und mit den strategischen Geschäftszielen der Organisation abgeglichen. COBITstellt somit ein Bindeglied zwischen COSO und den IT technisch orientierten FrameworksITIL oder ISO 27001) und die Basis für den Aufbau eines IKS dar.71 Vgl. Latzenhofer, Neuroth Pfeiffer, Studienheft ITC 1-2, IT Business Alignment, Seite 3058

Abbildung 19: Überleitung der Prozesse nach COBIT 72Damit werden die Kernprozesse des Unternehmens nach COSO in klar definierte und strukturierteIT-Prozesse nach COBIT strukturiert, und im Rahmen eines IT Audits können diegesetzten Kontrollziele in regelmäßigen Überprüfungen auf Abweichungen untersucht undim Rahmen eines kontinuierlichen Verbesserungsprozesses zur Steigerung der Effizienz derProzessreifegrade beitragen.Während der Implementierungsphase ist darauf zu achten, dass eine Konzentration auf diemaßgeblichen Prozesse erfolgt, da eine Einführung aller in COBIT vorgesehenen Prozesseaufgrund der hohen Komplexität nicht erfolgreich ein einem Schritt umsetzbar ist. Ein wichtigerPunkt aus Sicht des IT-Audits ist die Messbarkeit der festgelegten Kontrollziele. Wenndie der Implementierung festgelegten Ziele sich als nicht, oder nur sehr schwer messbarherausstellen, ist dies nur schwer korrigierbar.COBIT ist ein Referenzmodell das sich an das Management richtet und hat sich als Standardreferenzmodellfür die interne und externe Revision etabliert. Der Nachteil ist, dass eineEinführung aufgrund der hohen Komplexität relativ langwierig und mit hohen Kosten verbundenist.Neben der Implementierung von COBIT sollten im Sinne einer unternehmensweiten Implementierungvon IT Compliance die Frameworks Risk IT und Val IT implementiert werden:72 Müller, 2006, COBIT als Standard der IT Governance, Seite 959

Abbildung 20: Zusammenhang COBIT - RISK IT - VAL IT 73Die beim IT Audit gefundenen IT-Risiken, die von den Geschäftsprozessen ausgehen, könnenüber das Risk IT Framework bewertet, und der Mehrwert der durch die Eliminierung desRisikos generiert werden kann über ValIT bewertet und beziffert werden. Leider kommt derzeitRisk IT im Rahmen der normalen IT-Systemprüfung nur selten zum Ansatz, es ist aberaufgrund der vorhandenen Schnittstellen zu COSO, COBIT und ITIL eine bestens geeigneteErgänzung zur Umsetzung der unternehmensweiten Governance.IT Prüfung und ITILStanden bei COBIT die Geschäftsprozesse und deren Effizienz durch die IT-Unterstützungim Vordergrund, so nimmt ITIL die Prozesse und den Aufbau der IT-Infrastruktur in den Scope.Dabei steht die Leistung, Effizienz und deren Optimierung, die durch den Betrieb derInfrastruktur erbracht wird im Fokus. 74Im Rahmen des IT-Audits wird dabei das gesamte Service Management betrachtet. Der Betriebund die Wartung bestehender Systeme genauso, wie die Auswirkungen der Entwicklungvon Neusystemen. Aufgrund des in der Prüfung nach COBIT gefundenen Änderungsbedarfeswerden die künftigen Anforderungen und Änderungen an die IT-Infrastruktur festgelegt.73 ISACA, 2013 http://www.isaca.org/Journal/Past-Issues/2009/Volume-6/Pages/Identify-Govern-and-Manage-IT-Risk-Part-3-andnbsp-andnbsp-Techniques-and-Uses-for-Risk-IT-and-Its-S.aspx , abgerufenam 12.05.201374 Vgl. IT-Service Management Forum Österreich, 2013, www.itsmf.at, abgerufen am 11.5.201360

Im Rahmen des IT-Audits liegen folgende Bereiche immer im Fokus 75 :- IT Policy- User Account Management und Berechtigungsmanagement- Change Management- Security ManagementWenn die zeitlichen und budgetären Rahmenbedingungen es zulassen, werden im Rahmendes IT-Audits darüber hinaus folgende Themen betrachtet:- Operation Management- Incident Management- Configuration Management- Problem ManagementDabei werden die Auswirkungen von Stillständen auf die Kerngeschäftsprozesse oder Nichtverfügbarkeitvon Dienstleistungen untersucht. Die negativen Auswirkungen werden überRisikomanagement minimiert und die kontinuierliche Erbringung des vereinbarten ServiceLevels sichergestellt. Der reibungslose Betrieb der IT-Infrastruktur stellt die Grundlage fürden fehlerfreien Ablauf der Geschäftsprozesse dar. Dennoch ist es in vielen Unternehmenso, dass keine oder nur veraltete Incident Management-, oder Disaster Recovery Pläne zurVerfügung stehen.Das Ergebnis der Prüfung liefert Ansätze zum Design des IKS, die im Rahmen von COBITumgesetzt werden können. Es wird aufgezeigt, welche Risiken bei einer Nichtberücksichtigungdieser Szenarien auf die Organisation zukommen können. Dadurch werden die IT-Strategie und IT-Architektur erheblich beeinflusst. Die Abstimmung der gefundenen Risikenund Maßnahmen zum Erhalt des Betriebes der IT wird über die Kontrollprozesse von COBITabgehandelt. Durch kontinuierliches Monitoren der Service Levels und des Betriebes der ITwird eine kontinuierliche Verbesserung der Prozesse angeregt, die wiederum über die Risikobetrachtungauf Unternehmensebene nach COBIT überprüft werden. Es kann zusammengefasstgesagt werden, dass mittels des Best Practice Ansatzes ITIL die Anforderungenvon technischer Seite zur Gewährleistung des Betriebes der IT vorgegeben werden und mitCOBIT das Risiko, das von diesen Vorgaben ausgeht, betrachtet, bewertet und minimiertwird. Somit leistet ITIL einen Beitrag zur Optimierung des IKS und zur Einhaltung der GobS.4.1.2 ProblemstellungEin IT Audit im Rahmen einer Wirtschaftsprüfung kann nur stichprobenhaft die Einhaltungder gesetzlichen Vorgaben prüfen und wesentliche Lücken oder Schwachstellen aufzeigen.Eine vollständige Systemprüfung und die Erarbeitung eines effektiven, wirksamen IKS könnennur im Rahmen einer freiwilligen, oder für bestimmte Unternehmen wie z.B. Finanz- o-der Outsourcing-Dienstleister zwingend vorgeschriebenen Zertifizierung durchgeführt werden.75 Vgl. IDW Institut der Wirtschaftsprüfer e.V., PS 33061

Ähnlich wie bereits im Zusammenhang mit der finanziellen Abschlussprüfung ergeben sichim Rahmen des IT-Audits Interessenskonflikte. Wenn einen interne Revision oder Zertifizierungim zu prüfenden Unternehmen etabliert ist, werden die internen Ergebnisse als Basiszum Audit herangezogen und in Stichproben die Übereinstimmung überprüft. Eine vollständigeSystemprüfung wird nur im Anlassfall oder auf Wunsch des Auftraggebers durchgeführt,da der zeitliche und finanzielle Aufwand im Rahmen der Abschlussprüfung nicht vorhandenist.Risiken die von IT-Systemen ausgehen, finden sich in allen Bereichen, die IT-gestützt imUnternehmen ablaufen, die Bewertung durch einen ausstehenden Dritten bringen eine neuSichtweise auf diese Schwachstellen, da diese innerhalb der Organisation aufgrund „Betriebsblindheit“nicht gesehen oder die von den Schwachstellen ausgehenden Risiken ausden verschiedensten Gründen bagatellisiert werden.Ein IT-Audit zeigt zwar die Schwachstellen innerhalb der IT auf, identifiziert die daraus entstehendenRisiken, konkrete Gegenmaßnahmen zur Risikominimierung müssen aber gesonderterarbeitet werden. Die Verantwortung zur Beseitigung der beim IT-Audit gefundenenRisiken liegt beim Management. Eine 100% ige Absicherung wird nicht erreicht werden, aberdas Schadenausmaß wird auf den Risikoakzeptanzlevel 76 der Organisation beschränkt. DieEigentliche Herausforderung besteht darin, die Balance zwischen notwendigen Aufwand anRessourcen und Geld in Bezug auf den erreichbaren Sicherheitslevel zu finden.4.2 WirtschaftsprüfungAus der Sicht der Wirtschaftsprüfung liegen die Ziele des IT Audit auf der Sicherstellung derFunktion des IKS wie im SOX ausdrücklich gefordert. Die IT-Systemprüfung als Bestandteilder Jahresabschlussprüfung soll die Ordnungsmäßigkeit der Buchführung bestätigen, undzur Verbesserung und Einhaltung der Corporate Governance beitragen.4.2.1 Ziele und PrüfungsansatzDie Ergebnisse der IT-Systemprüfung die nach dem risikoorientierten Prüfungsansatz abläuft,tragen zur Beurteilung der Risiken des geprüften Unternehmens bei. Durch die gewonnenErkenntnisse ist ein tiefer Einblick in die Organisationsstruktur des Klienten möglich, ausdenen die Strategie für weitere Prüfungshandlungen abgeleitet wird.Die Ergebnisse des IT Audits spiegeln eine Beurteilung der Risiken wider, die von den rechnungslegungsrelevantenSystemen und deren Umfeld ausgehen. Diese Analyse bildet dieGrundlage für eine Risikobeurteilung der Jahresabschlussposten und die Basis für die Aussageder Ordnungsmäßigkeit und Verlässlichkeit der IT-Systeme.Ein IT Audit ist aus Sicht der Wirtschaftsprüfung eine gute Informationsquelle, da die Unternehmensprozessedetailliert beleuchtet, und ein tiefer Einblick in die Funktionsweise der ITgegeben ist.76 Latzenhofer, Neuroth Pfeiffer, 2011, Studienheft Enterprise Information System Security, Seite 3962

4.2.2 ProblemstellungMit der verpflichtenden Durchführung eines IT Audits, wie zB. Im SOX gefordert, ergebensich neue Problemfelder. Durch die immer komplexeren IT-Systeme wird auch immer mehrIT-Wissen von den Wirtschaftsprüfern gefordert. Der Prüfer ist von seiner Ausbildung heraber zumeist finanzorientiert und es kann daher notwendig sein, Spezialisten hinzuzuziehen.Mit dem Prüfungsauftrag entsteht jedoch ein Interessenkonflikt des durchführenden Wirtschaftsprüfers,der im Spannungsfeld zwischen der Einhaltung gesetzlicher Vorgaben, einemdem Prüfungsumfang angemessenem Honorar und den Interessen des Auftraggeberssteht. Er muss den Aufwand, der für ein Unternehmen durch die Vorbereitung und Bereitstellungder benötigten Daten entsteht, einerseits in Grenzen halten und kann anderseits dahernur Stichproben durchführen – die Gefahr, dass Vergehen unentdeckt bleiben, steigt.Im Regelfall ist es aber so, das obwohl der Umfang der Jahresabschlussprüfung durch diezusätzlichen Aufgaben gestiegen ist, der anberaumte Zeitraum für die Prüfung aber gleichgebliebenist. Der Auftraggeber hat meistens kein Verständnis das eigentlich mehr Zeit benötigtwerden würde, da die Durchführung der Prüfungen als notwendige, lästige Vorschriftgesehen wird.Da die Dokumentation der Geschäftsfälle nur mehr elektronisch vorliegt, sind auch die betreffendenNormen und Gesetze einzuhalten, die aber in den Unternehmen oft nicht bekanntsind oder denen nicht die notwendige Aufmerksamkeit geschenkt wird. Andererseits sind dieAuswirkungen von IT unterstützten Geschäftsprozessen auf Seite der Wirtschaftsprüferebenfalls nicht bekannt, da dies dem Grunde nach nicht die Kernkompetenz eines Wirtschaftsprüfersdarstellt.Es ist oft noch so, dass speziell in kleineren Unternehmen die IT eine mangelnde Ausrichtungauf die Unternehmensziele aufweist, und die IT-Governance nicht oder nur mangelhaftvorhanden und in der Organisation verankert ist. So sind die IT-Prozesse in kleineren Unternehmenimmer weniger dokumentiert und die IT gleicht einer Black Box. Dadurch sind dieProzesse nicht effektiv und nur schwer messbar.Ein weiteres Problem ist die Transparenz, die gegenüber dem Prüfer geschaffen wird, daEinblicke von außen (unberechtigterweise) befürchtet werden. So ist es schon vorgekommen,dass dem Abschlussprüfer Informationen nicht oder nicht gerne gegeben wurden, obwohldiese über die Veröffentlichungspflicht für jeden einsehbar wären.4.3 Internes Kontrollsystem (IKS)Als Gegenmaßnahme zu den bisher ausgeführten Problemstellungen der Wirtschaftsprüfung,den Interessenkonflikten und den aus den Bilanzskandalen der letzten Jahre wurdendie Anforderungen an das IKS gesteigert, und in gesetzlichen Regularien wie dem SOX explizitdie Prüfung auf Funktion und Wirksamkeit gefordert.Die Analyse der beschriebenen Bilanzskandale zeigt, dass die Fehlinformation von Stakeholderndurch einen falschen Jahresabschluss weniger Unrichtigkeiten aufgrund mangelnderKompetenz von Mitarbeitern, fehlerhafte IT-Systeme oder unvollständige Information, son-63

dern vielmehr durch bewusste betrügerische Handlungen und Veruntreuungen hervorgerufenwurde.„Das interne Kontrollsystem (IKS) umfasst sämtliche aufeinander abgestimmten Methodenund Maßnahmen, die dazu dienen, das Vermögen zu sichern, die Genauigkeit und Zuverlässigkeitder Abrechnungsdaten zu gewährleisten und die Einhaltung der vorgeschriebenenGeschäftspolitik zu unterstützen“. 77Zur Umsetzung der Implementierung eines IKS hat sich international der Standard nachCOSO mit den Komponenten als Bestandteil des unternehmensweiten Risikomanagementsdurchgesetzt.Abbildung 21: IKS Komponenten nach COSO 78Wobei beim IKS die reine Risikobetrachtung und die Schadenbegrenzung im Vordergrundstehen, während das Risikomanagement als übergeordnetes System auch die sich darausergebenden Chancen und Risiken in die Betrachtung mit aufnimmt.77 Kolarik, Werner, Internes Kontrollsystem, Herausforderungen und Lösungsansätze, http://www.actmc.at/static/files/Events/20090311_IKS_Vortrag_act.pdf, abgerufen am 26.04.201378 COSO, Interne Überwachung der Finanzberichterstattung - Leitfaden für kleinere Aktiengesellschaften, Seite 964

Beim allgemeinen Aufbau eines IKS wird zwischen interner Steuerung und Überwachungunterschieden:Abbildung 22: Gliederung eines IKS 79Die Einführung eines wirksamen IKS als solches soll nun das Risiko von Vermögensverlustenund falscher Berichterstattung reduzieren. Dabei stehen beim Aufbau eines IKS dreiSäulen im Mittelpunkt:Effizienz des IKSEin IKS gilt dann als effizient, wenn es als Teil des unternehmensweiten Risikomanagementsinnerhalb der Organisation gesehen wird, sich auf die wesentlichen Risiken konzentriertund die Kontrollen darüber automatisiert ablaufen.NachvollziehbarkeitDamit die Ziele und der Ausbaugrad eines IKS von außenstehenden Dritten wie z.B. einemPrüfer nachvollzogen werden kann, ist es notwendig, die Ziele und Prozesse der Kontrollenumfangreich und ausführlich zu dokumentieren. Durch diese Dokumentation ist es möglich,in regelmäßigen Reviews, die entweder durch die interne Revision (wenn vorhanden) oderdurch externe Revisoren durchgeführt werden, die Qualität des IKS zu beurteilen.79 Bungartz, 2011, Handbuch Interne Kontrollsyteme (IKS) – Steuerung und Überwachung von Unternehmen,Seite 2165

WirksamkeitDie Wirksamkeit eines IKS kann nur dann gegeben sein, wenn es klar definierte Verantwortlichkeitengibt, die angewendeten Kontrollmaßnahmen im Geschäftsprozess integriert undüberwacht werden. Als weitere wichtige, aber oft vernachlässigte Komponente ist die Schulungder Mitarbeiter. Wenn die geplanten und definierten Maßnahmen nicht in der Unternehmenskulturverankert und die Mitarbeiter darauf eingeschworen werden, ist die Wirksamkeiteines IKS nicht gegeben.Umsetzung und ImplementierungBei der Implementierung eines IKS sind ausgehend von der Analyse der Ist Situation überdie Festlegung und Definition der Risiken, die im Unternehmen auftreten, die folgendenSchritte zu durchlaufen:Abbildung 23: Implementierungsschritte eines IKS 80Wenn diese Schritte auf der Ebene der IT-, Prozess- und Unternehmensebene als Prozessder kontinuierlichen Verbesserung gesehen werden, können die Schwachstellen und Risikenim Unternehmen, die sich aus dem Spannungsfeld Wirtschaftsprüfung und IT Audit ergebenhaben, minimiert werden.80Scholze, A.2008. http://www.docstoc.com/docs/117444648/IKS---Internes-Kontrollsystem-im-Unternehmenmit-sozialem-Auftrag (AVUSA, Hrsg.), abgerufen am 8.4.2013, Seite 1166

Es ist aber anzumerken das es keine hundertprozentige Sicherheit in den Bereichen gebenwird, da die Beurteilung der Risiken immer auf Annahmen und Schätzungen beruhen. DieGründe für Frauds liegen – wie in Kapitel 3 analysiert – weniger auf Fehlfunktionen von IT-Systemen, sondern beruhen überwiegend auf der kriminellen Energie und Fantasie von imUnternehmen tätigen Personen höherer Hierarchieebenen.Dieser Personenkreis hat die Macht und den Zugang, diese Kontrollen, die im IKS vorgesehensind, zu umgehen.Aufgaben eines IKSDie primären Aufgaben eines IKS liegen in der Erhöhung der Transparenz und der Möglichkeit,Unregelmäßigkeiten frühzeitig zu erkennen. Dadurch trägt das IKS zur Effizienzsteigerunginnerhalb der Prozesse bei und stellt die Einhaltung der Compliance und Governancesicher. In weiterer Folge tragen die gelebten IKS–Kontrollen zur Vermeidung und Aufdeckungvon Betrugs-, und Korruptionsversuchen bei.Prüfung des IKSDer Jahresabschussprüfer ist verpflichtet, im Rahmen einer Prüfung des Jahresabschlussesneben der Finanz-, und IT-Systemprüfung auch eine Prüfung des IKS durchzuführen unddas Funktionieren mit Betätigungsvermerk zu testieren. Die Prüfung eines IKS wird nachSection 404 des SOX in zwei Teilschritten vorgenommen:AufbauprüfungIn der Aufbauprüfung eines IKS wird die Fragestellung überprüft, ob die im IKS vorgesehenenKontrollen implementiert wurden. Die Angemessenheit der Kontrollaktivitätenist dabei Gegenstand der Untersuchungen – es wird geprüft, ob die implementiertenKontrollen mit jenen im Sollkonzept des IKS entworfenen übereinstimmen. Indiesem Test of Design (ToD) genannten Verfahren wird geprüft ob die Kontrollprozessegrundsätzlich in der Lage sind, die Risiken zu minimieren. Über Stichprobenwerden Geschäftsfälle ausgewählt, anhand derer die Angemessenheit der Maßnahmengeprüft und dokumentiert wird.FunktionsprüfungIm Rahmen der Funktionsprüfung soll festgestellt werden, ob die Kontrollmaßnahmenwirksam sind und kontinuierlich angewendet werden. Dabei steht die Frage im Vordergrund,welche Maßnahmen und Prozesse beim Auftreten von Fehlern eingeleitetwerden. In diesem Test of Operating Effectiveness (ToE) wird die operative Wirksamkeitdes IKS festgestellt. Anhand von regelmäßigen Stichprobenprüfungen wirddie Angemessenheit und Wirksamkeit der Maßnahmen dokumentiert.67

Kapitel 5Handlungsempfehlungen und künftigeEntwicklungenDie bisher vorgestellten Maßnahmen und Frameworks sollen dazu beitragen, die finanzielleBerichterstattung zu verbessern und Unregelmäßigkeiten zu verhindern. Die Einführung undUmsetzung der internen Kontrollen bedürfen jedoch eines großen finanziellen und zeitlichenAufwandes. Durch den zusätzlichen Aufwand der Dokumentation nimmt die Komplexität zu,führt jedoch zu einer Sensibilisierung und Stärkung des Bewusstseins für Steuerungs-, Kontroll-,und Überwachungsaktivitäten.Doch die geschichtliche Entwicklung hat gezeigt, dass es immer wieder dazu gekommen ist,dass die gesetzlichen Vorgaben umgangen oder sich immer wieder neue Schwachstellenergeben, die zu Untreue und Betrug geführt haben.5.1 Erkenntnisse der UntersuchungIn den bisherigen Kapiteln konnte folgende Schwachstellen ermittelt werden, die Einfluss aufdie Gestaltung und das Funktionieren des IKS und die Anwendung von Frameworks in Bezugauf die Vermeidung von Unregelmäßigkeiten haben.Überschneidung der Kompetenzen und Interessenskonflikte des WirtschaftsprüfersIn den vorgestellten Beispielen waren die prüfenden WP-Gesellschaften auch beratend tätig.Dadurch wurde ein Zustand geschaffen, dass Kollegen aus der gleichen WP-Gesellschaft inden Unternehmen, die Arbeit der eigenen Kollegen zu prüfen und gegebenenfalls zu korrigieren.Es kommt daher zu einem Interessenskonflikt, denn eine Testat Verweigerung aufgrundder Arbeit der beratenden Kollegen ist nicht im Sinne des Prüfungsmandats. Daherwerden möglicherweise Sachverhalte, die die eigene Kanzlei betreffen, nicht in die Prüfungmit einbezogen und nicht hinterfragt.Im Rahmen der IT-Systemprüfung besteht die Gefahr, dass der Prüfer nicht die notwendigenIT-Kenntnisse besitzt, um eine fundierte Beurteilung der Systeme vorzunehmen. Es werdendaher bei komplexen Systemen externe Spezialisten hinzugezogen, die zwar IT-Spezialistensind, aber keine Prüfer im Sinne der Finanzprüfung.Aufgrund langjähriger Beziehungen mit dem Klienten ist es so, dass viele Dinge aufgrundder langjährigen Beziehungen nicht mehr hinterfragt werden, oder die anzuwendende notwendigeSorgfalt mit dem Grundsatz der Wesentlichkeit nicht zur Anwendung kommt.68

PrüfungsansätzeNahezu alle Prüfungen erfolgen aufgrund des Konfliktes zwischen genehmigtem Prüfungshonorarund daraus resultierender Zeit zur Durchführung der Prüfung nur durch Stichprobenaufgrund derer auf die Gesamtheit geschlossen wird.Im Rahmen von Stichprobenprüfungen ist es aber nur durch Zufall möglich, dass bei einerAuswahl von Stichproben eine dolose Handlung aufgedeckt werden kann. Wie in den diskutiertenBeispielen wurde aufgrund von gefälschten Belegen oder Nichtüberprüfen der Existenzvon Geschäftspartnern ein Testat erteilt – das bestätigt die Vermutung, das „fiktiveTransaktionen“ im Rahmen einer Abschlussprüfung nur zufällig aufgedeckt werden können.Die Auftraggeber sehen aber nur die Prüfungskosten und sind vorwiegend an deren Senkunginteressiert. Die Jahresabschussprüfung stellt für die meisten Unternehmen eine lästigePflicht dar, und wird nicht als Beitrag zur Verbesserung der internen Prozesse gesehen.Daher sind die Auftraggeber daran interessiert die Kosten möglichst gering zu halten. Andersist die Lage bei Due Dilligence Projekten im Zuge von Mergers & Akquisition, hier sindBeauftragenden sehr daran interessiert alle Prozesse und die Rechnungslegung zu durchleuchten.Im Rahmen einer normalen Jahresabschlussprüfung werden die gleichen Findingsaber als nicht wesentlich und als persönliche Kritik an der eigenen Leistung abgetan. Daherentsteht wieder Konflikt zwischen Prüfer und Auftraggeber, der den Verlust von Folgeaufträgenfürchtet wenn zu viel an Umbuchungen gefunden, oder das Honorar dem Umfang derPrüfung als zu hoch gesehen wird.FunktionstrennungIn vielen Fällen ist die Funktionstrennung nicht oder nicht ausreichend gegeben. So ist es füreine funktionierende Compliance unerlässlich eine Trennung der Systeme der Administrationund Buchhaltung vorzunehmen. So ist im Rahmen der Prüfung zwingend, das Berechtigungsmanagementauf anonyme User, ausgeschiedene Mitarbeiter und den Zugriff externerPersonen zu prüfen. Die Prüfungshandlungen sind auf diese Aspekte auszurichten, das wirdaber oft vernachlässigt. Es wird zwar immer überprüft, wie die Berechtigungen vergebenwerden oder wie der Prozess der Genehmigung neuer Berechtigungen erfolgt, aber einePrüfung eines Geschäftsfalles nach den Aspekten der durchführenden User ist mir persönlichjedoch bisher im Rahmen meiner beruflichen Erfahrung nicht bekannt.Die Funktionstrennung stellt aber einen wesentlichen Ansatz zur Verhinderung von Frauddar. Durch die Sicherstellung, dass verschiedene Berechtigungen für Verbuchung und Zahlungvergeben werden, ist sichergestellt, dass keine Einzelperson „fiktive“ Transaktionen,wie im Fall Comroad vorgestellt, durchführen kann. Bei Geschäftsfällen wie dem Abschlussvon Verträgen oder wesentlichen Finanz oder Treasurytransaktionen ist es als grob fahrlässigzu bezeichnen, nur eine Person mit der Durchführung zu betrauen, dies gilt nicht nur imSinne von Fraud Verhinderung, sondern speziell im Sinne des Managements von Risiken.69

Zur Minimierung der allgemeinen Risiken sollte insbesondere in den Bereichen eine Trennungder Berechtigungen vorgenommen werden:- Anforderung und Vergabe von IT-Berechtigungen durch die gleiche Stelle.- Anforderung, Bestellung und Buchung in der Buchhaltung- Rechnungsprüfung und Verbuchung- Genehmigung und Anlage/Änderung von Stammdaten- Freigabe des Zahlungslaufes und Verbuchung- Bonitätsprüfung und Debitoren Stammdatenanlage- Anlage Kundenaufträge und Fertigungsaufträge- Erstellung von Fakturen, Gutschriften und Debitorenbuchhaltung.- Ausbuchung oder Abschreibung von Forderungen, Änderungen von Zahlungskonditionenund Kreditlimits ohne Genehmigung oder Veranlassung- Lagerkorrekturbuchungen und Durchführung der Inventuraufnahmen.Mangelnde Umsetzung der internen Compliance Richtlinien und Umgehung der RegelungenWenn die Compliance Regeln und IKS jedoch nur schriftlich festgehalten und nicht nachhaltigals Prozess in der Organisation durch Schulungen der Mitarbeiter implementiert werden,ist ein ordnungsgemäßes Funktionieren des IKS nicht gegeben. So ist im Rahmen der Abschlussprüfungdas IKS auf Existenz und Funktion und Anwendung in der Organisation zuprüfen. Alleine die Formulierung von Compliance-Regeln wird nicht genügen, um eine weiterführendepräventive Wirkung zu entwickeln. Um die Ernsthaftigkeit von Compliance zuunterstreichen, ist ein Compliance Beauftragter zu implementieren und in größeren Organisationendurch Compliance Commitee zu unterstützen.Mögliche Folgen von Nicht Compliance sind unter anderem- Ausschluss von öffentlichen Aufträgen und Ausschreibungen- Geldstrafen- Schadensersatzansprüche- strafrechtliche Verantwortungmit großen Auswirkungen auf das Image und die öffentliche Wahrnehmung der Organisation.70

Wirtschaftskriminalität lässt sich durch Compliance nur eindämmen, aber nicht verhindernDas Grundproblem ist die Frage, ob doloses Handeln bei der Pflichtprüfung aufgedeckt werdenmuss und ob man für den Fall des Nichtaufdeckens den Abschlussprüfer verantwortlichmachen kann. Es herrscht die Erwartung in der Öffentlichkeit, dass der Prüfer schwerwiegendeFälle von Betrug erkennen müsste. Dies ist aber nur der Fall, wenn diese Handlungenim Rahmen der „ordnungsgemäßen Durchführung der Prüfung“ erkennen hätte müssen.5.2 Grenzen von ComplianceDie Sicherstellung der Compliance ist speziell in multinationalen Konzernen eine Herausforderung.Einerseits muss ein weltweit gültiges Regelwerk geschaffen werden, an das sich alleGesellschaften zu halten haben, andererseits ist es notwendig, nationale Gegebenheiten indiesen Code of Conduct (CoC) einfließen zu lassen.Die Formulierung des allgemein gültigen CoC ist daher eine Herausforderung, da beispielsweisein Russland oder Südamerika andere kulturelle Voraussetzungen für geschäftlicheAktivitäten gebräuchlich sind. So wird es in Europa eher unüblich sein, dass Geschäfte perVorkasse wie in Russland abgewickelt werden oder Zahlungsziele von sechs Monaten odermehr wie in Südamerika gewährt werden.Daher ist es nicht immer verständlich oder erscheint es oft lächerlich, warum gewisse VorschriftenEingang in das Compliance Manual finden. Die Folge ist daher, dass diese Vorschriftenbelächelt und missachtet werden. Daher ist das beste Compliance Manual oderCoC wirkungslos, wenn die Mitarbeiter nicht darauf geschult und die Regeln in der Organisationnachhaltig implementiert sind.Es gilt daher das gleiche wie beim vorigen Punkt, wo aus Sicht des WP eine dolose Handlungnicht zwingend aufgedeckt werden muss – die Besten Regeln sind nutz-, und wirkungslos,wenn dolose Handlungen gesetzt werden. Wenn betrügerische Handlungen gesetztwerden wird in der Regel auch ein Weg gefunden, um diese Regeln zumindest auf Zeit zuumgehen.Vollständige Sicherheit und Absicherung gegen kriminelle Handlungen wird durch IT Governanceund Compliance nie erreicht werden können, vielmehr muss eine Balance zwischeneingesetzten Mitteln und Minimierung der Risiken gefunden werden. Es macht keinen Sinn,Risiken, die nur geringe Auswirkungen auf die Organisation haben, mit immensen finanziellenMittel zu bekämpfen.Die Schwachstelle aller Compliance Systeme wird die menschliche Handlung bleiben. KriminelleEnergie und unbeabsichtigte Fehler werden durch Compliance nicht verhindert, aberdadurch werden die Voraussetzungen geschaffen, dass diese Fehler und Unregelmäßigkeitenauffallen, und der Prozess verbessert wird.71

Spezialfall Cloud ComputingDer neueste Trend ist das Cloud Computing. Dies bringt eine Menge an neuen Möglichkeiten,jedoch gibt es im Bereich, wenn es zu Fraud oder Unregelmäßigkeiten kommen sollte,derzeit noch ungeklärte Probleme. So ist es bisher einfach möglich gewesen, Computer,Festplatten oder sonstige Datenträger im Rahmen von Hausdurchsuchungen durch die Behördenzu beschlagnahmen. Im Fall Cloud Computing ist dies nicht so einfach möglich, dadie Daten in einem Rechenzentrum liegen und es für die ermittelnden Behörden nicht möglichist, einfach ein Rechenzentrum mit Daten von vielen Unternehmen – die mit dem VerdächtigenUnternehmen nichts zu tun haben – zu beschlagnahmen.Das Thema Cloud Computing ist daher rechtlich derzeit als Grauzone zu bezeichnen, daeinerseits nicht immer klar ist, wo die Daten gespeichert sind und die Beschlagnahme vonDaten schwierig ist, da wenn ein Zugriff auf die Daten möglich ist, sind diese in einem Rechenzentrumgespeichert, damit würden bei einem physischen Zugriff auch Daten von Unbeteiligtenbeschlagnahmt werden. Aus diesen Aspekten ergeben sich auch neue Herausforderungenim Bereich der IT-Forensik bei der Sicherung von Datenspuren. Bei den Cloudanbieternhat sich bisher kein Standard für einheitliche Datenformate beim Datenaustauschdurchgesetzt und dadurch dass die Dienstleister ihrerseits mitunter wieder Clouddienstleisterbeschäftigen (Offshoring) ist die Grundlage des in diesen speziellen Fällen anwendbarenRechts nicht immer klar. 815.3 Grenzen in der Anwendung von FrameworksIn der Anwendung der vorgestellten Frameworks ist es wichtig, die Balance zwischen Notwendigkeitder Dokumentation von Geschäftsprozessen und -risiken und einem den täglichenGeschäftsablauf störenden Aufwand der Dokumentation. Da das IT Audit nur einenmomentanen Zustand aufnimmt, zeigt dies die Grenzen der Anwendung der Frameworks auf– es kann ein Zustand, der zur Zertifizierung notwendig ist, hergestellt werden und in der Zeitbis zum Rezertifizierungsaudit werden diese definierten Standards umgangen. Ein Frameworkund die damit verbundenen Prüfungen stellen nur eine Hilfestellung dar, eine Verhinderungvon Wirtschaftskriminalität und Missbrauch kann durch Frameworks, Prüfungen undAudits nicht sichergestellt werden.Lücken in der Anwendung von Frameworks liegen in der menschlichen Handlung bei- Unregelmäßige oder außergewöhnlichen Geschäftsfällen- Fehleinschätzungen oder Missinterpretationen- Eingriff des Managements in Handlungen von Untergebenen- Nachlassende Einhaltung von Kontrollen aufgrund Überlastung oder Routine81 Vgl. Heyduk, 2011, SOKO 1010, Weiter vorn, Fraunhofer Institut, Seite 20-2172

Durch regelmäßige Überprüfungen und laufendes Monitoring im Sinne eines kontinuierlichenVerbesserungsprozesses sollten diese Lücken aufgezeigt und verhindert werden.5.4 Künftige EntwicklungenAufgrund der Tatsache, dass es aufgrund der beschriebenen Skandale notwendig wurde,regulative Vorgaben und Reglementierungen vorzunehmen, ist davon auszugehen das weiterversucht werden wird, diese zu umgehen. Das Ziel künftiger Entwicklungen im Bereichder Compliance wir daher sein, diese neuen Methoden zu erkennen.Neuere Ansätze dazu sind:IT ForensikUnter der IT-Forensik versteht man die Untersuchung von verdächtigen Vorfällen im Zusammenhangmit IT-Systemen und der Erfassung, Analyse und Auswertung digitaler Spurenin Computersystemen. Die Untersuchung von Computersystemen und der inhaltlichen Auswertungder dort gespeicherten Daten ist bei Verdacht auf dolose Handlungen und für Zweckeder Steuerfahndung etabliert.Die IT-Forensik gliedert sich in die Bereiche- Computer-ForensikDarunter wird die Analyse von Computer- oder Mobilgeräten und der darin enthaltenenDaten verstanden.- Forensische DatenanalyseIst die Analyse von großen Datenbeständen aus Anwendungen und deren zugrundeliegenden Datenbanken, mit dem Ziel Handlungen und Transaktionen zu rekonstruierenund zu analysieren.Bei forensischen Datenanalysen, die auch im Rahmen von Jahresabschlussprüfungen angewandtwerden, werden Daten nach Häufigkeiten von Zahlen untersucht. Hier werden nachdem Gesetz von Bedford statistische Häufigkeitsverteilungen von Ziffern unterstellt, undwenn Datensätze von diesen Verteilungen signifikant abweichen, besteht der Verdacht aufManipulation dieses Datensatzes. Die Verteilung der Zahlen sagt aus das die Zahl 1 am Beginnvon Zahlenreihen wesentlich häufiger vorkommt, als zB. die Zahl 9. Dies wurde bereitsim 19. Jahrhundert vom Mathematiker Newcomb erkannt. 82Diese Methode hat aber den Nachteil, dass durch Beschränkungen, die vom IKS ausgehen,wie zB. Limitierung von Überweisungen auf bestimmte Höchstgrenzen, oder Teilung vonÜberweisungen zur Spesenoptimierung ( EUR 50.000 spesenfrei ) das Gesetz von Bedford82 Vgl. Heyduk, 2011, SOKO 1010, Weiter vorn, Fraunhofer Institut, Seite 20-2173

nicht anwendbar ist oder das Ergebnis der Untersuchung auf dolose Handlungen schließenlässt, diese aber nicht vorliegen.Die Problematik daraus besteht darin, dass wenn es häufiger zu Fehlalarmen kommt, dieHinweise ignoriert werden, und die Gefahr besteht das eine dolose Handlung angezeigt,aber nicht nachverfolgt wird.Continuous AuditUnter einem Continuous Audit (CA) ist die Erweiterung der Stichtagsprüfung des IKS zu einerpermanenten Überwachung und Kontrolle der Bereiche mit Unterschlagungs-, Manipulations-,oder Betrugsanfälligkeit zu verstehen, wodurch eine gezielte Verbesserung der risikobehaftetenProzesse ermöglicht wird.Abbildung 24: Continuous Audit und Continuous Monitoring 83Das CA gewinnt für die Revision an Bedeutung, da eine laufende, permanente Beurteilungund Prüfung der wesentlichen Risiken erfolgt. Eine Abwandlung des CA stellt das ContinuousMonitoring (CM) dar, wobei die Verantwortung beim Management liegt. CA und CMbilden ein Frühwarnsystem mit dem Ziel, Transparenz zu schaffen und damit eine schnellereReaktionsfähigkeit bei gleichzeitiger Reduzierung des Risikos zu erreichen.83 KPMG India, Continious Audit, von http://www.kpmg.com/in/en/services/advisory/riskcompliance/grcs/pages/cam.aspxam 10.5.2013 abgerufen74

WhistleblowingWhistleblowing kommt aus dem amerikanischen und kann mit „Hinweisgeben“ übersetztwerden. Hinweisgeber oder Whistleblower sind demnach alle Personen innerhalb einer Organisation,die grobe Missstände sehen und auf diese hinweisen. Als grobe Missstände sindsolche zu bezeichnen, die nicht für jedermann erkennbar sind, da für alle anderen kein gesondertesHinweisgeben notwendig ist, sondern die Korrekturmaßnahme durchgeführt werdenmuss.Jeder Arbeitnehmer hat die Pflicht, auf Missstände hinzuweisen. Als Whistleblower werdenjene Mitarbeiter gesehen, die dem Arbeitgeber gegenüber besonders loyal sind. Da im Sinnevon Fraud, der vom Management ausgeht, dies aber nicht gewünscht ist und eine „Behinderung“darstellt, sind diese Hinweisgeber gesondert geschützt, da die Gefahr der Diskriminierungbesteht.Dieser Schutz ist beispielsweise im SOX in Section 806 festgeschrieben, der hohe Strafenfür den Fall vorsieht, dass börsengelistete Unternehmen kein internes Hinweissystem installierenoder gar Hinweisgeber benachteiligen.In Europa stellt Whistleblowing derzeit noch eine Randerscheinung dar, da die Kultur zuFehlern zu stehen und daraus zu lernen noch nicht so ausgeprägt ist. Die Fähigkeit, ausFehlern zu lernen, ist ein weiterer wesentlicher Aspekt im Zusammenhang mit dem Whistleblowing.Der Hinweis wird im modernen Managements dringend benötigt und im- Qualitätsmanagement- Management der Kundenbeziehungen (CRM)- Risikomanagementim Sinne eines KVP erwartet und erwünscht.In Europa ist es aber leider oft so, dass der Hinweisgeber als „Vernaderer“ gesehen wird,der dem Unternehmen Schaden möchte und als Folge ein unüberbrückbarer Vertrauensverlustaufgebaut wird, der oft in einer Kündigung endet – obwohl nach der grundsätzlichenIdee das Whistleblowings eigentlich eine Belobigung oder ein Karrieresprung zu erwartenwäre.Der Verein Whistleblowing Austria hat auf seiner Homepage die typischen Phasen einesWhistlebowingprozesses definiert: 84- Entdeckung:Whistleblower sind in der Regel verlässliche Mitarbeiter, die auf einmal auf mit Missständenkonfrontiert sind, Beweise dafür haben und sich verpflichtet fühlen, daraufhinzuweisen. Es steht dabei nicht die Profilierungssucht im Vordergrund, sondern dasAufzeigen der Missstände wird als Teil der Arbeit gesehen.84 http://www.whistleblowing.at/Whistleblowing_Austria/Phasen.html, abgerufen am 17.4.201375

- Aufdeckung:Anschließend wird mit dem Vorgesetzen, den Behörden oder Medien jemand informiert,von dem man glaubt, dass er Abhilfe schaffen kann. Üblicherweise wendensich Whistleblower an betriebs- oder behördeninterne Stellen.- Isolation:Danach wird der Whistleblower ausgegrenzt und von den Kollegen gemieden. Eskommt vor, dass selbst jene, die unter den Missständen leiden, sich vom Whistleblowerabwenden und ihn oder sie „im Regen stehen“ lassen.- Repressalien:Manager und Vorgesetzte fühlen sich persönlich angegriffen und reagieren auf dieOffenlegung von Missständen mit Angriffen oder Rufmord gegen den Whistleblower.Eine Behebung des Missstandes selbst erfolgt nicht. Die Angriffe können in eine Versetzungoder gar Kündigung des Whistleblowers münden. Manchmal werden Whistleblowernunerfüllbare Aufgaben übertragen, um dies dann als Kündigungsgrund zuverwenden.- Solidarität:Whistleblower werden durch Familie und Freunde Unterstützung finden, und ihre Anliegenwerden bei Interessensvertretungen, Journalisten oder Politikern auf Gehörstoßen. Daraufhin werden diejenigen, die die Missstände zu verantworten haben, oftin die Defensive gedrängt.- Bestätigung:Schließlich bleibt zu hoffen, dass der Whistleblower für die Aufdeckung von Korruptionund anderer Missstände Anerkennung findet.Bilanzpolizei 85Mit 1. Juli 2013 wird in Österreich das Rechnungslegungskontrollgesetz (RL-KG) in Krafttreten. Dieses Gesetz sieht die Schaffung einer zusätzlichen Kontrollstelle, der sogenanntenBilanzpolizei, vor. Das Ziel des RL-KG ist, die Schaffung einer zusätzlichen, unabhängigenPrüfinstanz neben der Jahresabschlussprüfung durch einen Wirtschaftsprüfer. Dadurch solldie Qualität der Rechnungslegung verbessert, und das Vertrauen des Kapitalmarkts in dieUnternehmen gestärkt werden. In Österreich übernimmt der neu zu schaffende Verein "ÖsterreichischePrüfstelle für Rechnungslegung" (Prüfstelle) die erste und die FMA die zweiteInstanz in dem zweistufigen System.85 Vgl. Wirtschaftsblatt, 16.1.2013, Achtung die Bilanzpolizei kommt, Seite 8 -976

Konkret gibt es zwei Anlassfälle für das Einschreiten der Bilanzpolizei:- bei Vorliegen von Anhaltspunkten für einen Verstoß gegen Rechnungslegungsvorschriften- ohne besonderen Anlass, bei Stichprobenprüfungen.Die operative Prüfung wird durch diese neue Prüfstelle vorgenommen und nur in Ausnahmefällendurch die Finanzmarktaufsicht (FMA) durchgeführt. Im Falle aufgedeckter Fehler wirdvon der FMA ein Bescheid erlassen, gegen den eine Beschwerde beim Verwaltungsgerichtshof(VwGH) oder den Verfassungsgerichtshof (VfGH) eingebracht werden kann.Die Bilanzpolizei kann den Jahresabschluss zwar nicht für ungültig erklären, wohl aber eineNeuaufstellung fordern. Das RL-KG enthält keinen eigenen Straftatbestand, eine fehlerhafteRechnungslegung könnte aber unter anderem nach §255 AktG (Bilanzfälschung), § 147StGB (Betrug) oder §153 StGB (Untreue) verfolgt werden. Ein starkes Sanktionsinstrumentist aber auch die mögliche Fehlerveröffentlichung "nach Maßgabe des öffentlichen Interesses"und das damit verbundene Risiko eines Imageschadens für das Unternehmen.Auch wenn das RL-KG zu einem Mehraufwand führen wird, überwiegen die Vorteile für diebetroffenen Unternehmen - hier ist insbesondere die zu erwartende Qualitätssteigerung derRechnungslegung und damit eine Steigerung des Anlegervertrauens zu sehen.Welche Voraussetzungen zur Veröffentlichung eines Fehlers erfüllt sein müssen oder wannein Fehler als im öffentlichen Interesse liegend beurteilt wird, geht aus dem Gesetzestextderzeit allerdings nicht hervor.5.5 HandlungsempfehlungenHarmonisierung von Gesetzen und VorschriftenEine der großen Herausforderungen in den nächsten Jahren wird es sein, die unzähligenGesetzte und Regularien auf einen Stand zu bringen und zu harmonisieren. Es ist für dieverschiedenen Regelwerke jeweils Spezialwissen notwendig, dass ein einzelner Mitarbeiternicht in der Lage ist alles zu beherrschen und daher automatisch das Risiko besteht, dassUnregelmäßigkeiten aufgrund der Komplexität entstehen. Auch ist bei der Ausrichtung derGesetze und Richtlinien darauf zu achten das die Anforderungen von Klein und Mittelbetriebenzu erfüllen ist. Framework wie SOX oder IFRS sind auf Konzerne ausgelegt und überfordernkleinere Unternehmen sowohl mit Ressourcen als auch den anfallenden Kosten. Wieaus der untenstehenden Abbildung ersichtlich ist, sind die Unternehmen mit einer Vielzahlan Gesetzen, Normen oder unternehmensspezifischen Standards konfrontiert, die großenVerwaltungsaufwand und Verwirrung verursachen.77

Abbildung 25: derzeitige Normen und Vorschriften 86Zusätzlich zu den „großen“ Frameworks sollten Erleichterungen in einer „Light“ Variante fürkleinere Unternehmen angedacht werden. Derzeit bestehende Wahlrechte in den HGB solltenreduziert, an die Frameworks angeglichen, und damit die Möglichkeiten der Bilanzpolitikeingeschränkt werden.Trennung von Beratung und PrüfungEs muss eine Trennung von Beratung und Prüfung gesetzlich verpflichtend festgesetzt werden,um die beschriebenen Interessenskonflikte zu vermeiden oder zu entschärfen. PrüfendeUnternehmen dürfen auch über Tochtergesellschaften oder Konzerngesellschaften nichtin der gleichen Organisation beratend tätig sein. Objektive Prüfung ist nur möglich, wenn vonkeiner Seite Druck ausgeübt wird, oder falsch verstandenes Pflichtbewusstsein dem eigenenArbeitgeber gegenüber besteht. Das Ziel der Trennung von Beratung und Prüfung liegt darin,die Unabhängigkeit und die Qualität der Prüfungen zu erhöhen. Dieser Vorschlag einergesetzlichen Regulierung wird in der EU diskutiert, stößt aber auf großen Widerstand, da dieBig Four befürchten, ihre marktbeherrschende Stellung zu verlieren und daher mit dem genauenGegenteil, einer Verschlechterung der Prüfungsqualität argumentieren.Externe PrüferrotationZusätzlich zur Trennung von Beratung und Prüfung muss es innerhalb der EU zu einer einheitlichengesetzlichen Regelung kommen, das Wirtschaftsprüfer nach einer bestimmtenAnzahl von fortlaufenden Prüfungen das Mandat an eine andere Kanzlei weitergeben müssen,und nicht nur ein interner Tausch der WP innerhalb einer Kanzlei erfolgt. Diese externePrüferrotation ist derzeit nur in Italien gesetzlich vorgeschrieben, und war letztlich Auslöserfür die Aufdeckung des Parmalatskandales. 8786 BDO AG, 2013, Governance, Risk und Compliance in der IT, Seite 287 Vgl. Wiemann, Prüfungsqualität des Abschlussprüfers, Seite 7278

Anti Fraud Management (AFM)Die bereits gesetzlich verpflichtete Prüfung des IKS muss weiter verschärft und ausgebautwerden. Im Rahmen des IKS ist verstärkt auf die Funktionstrennung zu achten. Nur wennverhindert wird, dass eine Person alleine einen Geschäftsfall abwickeln kann, werden doloseHandlungen weitgehend verhindert.Der Prozess eines AFM-Systems wurde von KPMG folgendermaßen im neun-Box Modelldefiniert:Abbildung 26: KPMG - 9 Box Modell 88Für Unternehmen, für die der SOX gilt, wurde in Section 301 die Einführung eines AFM verpflichtendfestgeschrieben. Zur Umsetzung eines AFM-Systems kann wieder das Best PracticeFrameworks COCO zur Anwendung kommen.Nachhaltigkeit / AnreizsteuerungDie überwiegenden Bilanzskandale sind durch die Gier und der persönlichen Eitelkeit derausführenden Manager entstanden. Kurzfristige Ziele in Kombination mit überdimensioniertenBoni sind Anreiz für betrügerische Handlungen. Nur wenn die Erreichung der Boni anlangfristige Ziele gekoppelt ist und erst am Ende des Managervertrages ausbezahlt werden,wird der Anreiz für Fraud wegfallen.In diesem Zusammenhang ist auch der Zwang der von Aktionären ausgeht, immer bessereErgebnisse und Steigerungen der Kennzahlen zu fordern, zu überdenken. Durch diesenenormen Druck, der daraus aufgebaut wird, ist es nicht verwunderlich, dass die überwiegendenSkandale in börsennotierten Unternehmen stattgefunden haben.88 KPMG Deutschland, 2006, Anti Fraud Management – Best Pratice, Seite 3579

Wenn aber persönliche Motive des Täters wie Geldnot, Spielsucht oder ähnliches im Vordergrundstehen, wird über Anreizsteuerung nicht verhindert werden.Corporate Social Reponsibility (CSR)Durch Bilanzskandale und Fraud-Vorfälle wurden das Vertrauen und die Reputation der betroffenenUnternehmen nachhaltig beschädigt. Restrukturierung trotz steigender Gewinne,riesige Management-Boni trotz Fehlentscheidungen, Aktienkursmanipulationen usw. habenden Imageschadens und das gesellschaftliche Misstrauen in die Finanzmärkte und Unternehmenverstärkt. So ist in den letzten Jahren ein massiver Wandel hin zu ethischer, undverantwortungsvoller Unternehmensführung zu verzeichnen. Damit das Vertrauen wiedergestärkt wird, ist eine Auseinandersetzung der Organisation mit den eigenen Chancen undRisiken in den Bereichen Ökonomie, Umwelt, Mitarbeiter und Gesellschaft notwendig.Durch dieses Bekenntnis zur ethischen Unternehmensführung werden die Compliancerichtlinienim Unternehmen gestärkt, und somit ein gesellschaftlicher Beitrag zu einer sozialenund verantwortungsbewussten Unternehmensführung geleistet.Haftung und StrafrahmenWie im SOX bereits begonnen müssen neben den verantwortlichen und verursachendenManagern auch die Unternehmen verstärkt in die Pflicht genommen werden. Da Bilanzfälschungenund Wirtschaftskriminalität teilweise als Kavaliersdelikt gesehen wird, muss derpersönliche Strafrahmen so hoch angesetzt werden, dass die Verursacher von Fraud aufgrundder drohenden Höhe der Strafe bei Aufdeckung, die Tat nicht begehen.Ebenso müssen die Strafzahlungen für Unternehmen dermaßen erhöht werden, das es dieUnternehmen wirklich trifft. Die derzeit schon hohen Strafen ( bis in Milliardenhöhe ) werdenaber von internationalen Konzernen problemlos bezahlt und führen nicht zum gewünschtenErgebnis.Fraud Auditing ApproachAufgrund der Tatsache, dass die vorgestellten Skandale vom Topmanagement ausgegangensind, sind die Prüfungsansätze dahingehend zu erweitern und abzuändern, das einekritische Grundhaltung und Sensibilisierung für Handlungen die vom Topmanagement undAufsichtsrat ausgehen, eingenommen werden kann. Die zentralen Ansatzpunkte dieses Ansatzesliegen in überraschenden Prüfaktionen mit denen nicht gerechnet wird, und in derÜberwachung der Umsatzrealisierung sowie Bewertung von Vermögenswerten.80

Kapitel 6Zusammenfassung und ErkenntnisseDie geschichtliche Entwicklung der Wirtschaftsprüfung hat gezeigt, dass es im Rahmen vonwirtschaftlichen Handlungen aus verschiedenen Gründen notwendig wurde, regulativ mitGesetzen einzugreifen. Vom einfachen Überprüfen des Vorhandenseins von Ware bis hinzur komplexen forensischen Analyse von Daten wurden die Anforderungen an den WP Immerkomplexer. So liegt aufgrund von Gesetzen wie dem SOX und den IFRS der Fokusnicht mehr überwiegend auf Einhaltung der Rechnungslegungsvorschriften, sondern auf derKontrolle der Funktion und Wirksamkeit des internen Kontrollsystems.6.1 ZusammenfassungDie Wirtschaftsprüfung in ihrer ursprünglichen Aufgabe, der Kontrolle der Einhaltung derRechnungslegungsvorschriften, deren Anforderungen und gesetzlichen Rahmen- Bedingungenimmer wieder erweitert und angepasst wurde, ist mit der Einführung von IT-Systemenseit den 60iger Jahren immer wieder vor neuen Herausforderungen gestanden. Immer komplexereund immer mehr Geschäftsprozesse werden über weltweit vernetzte IT-Systemeabgewickelt. Daher wurden die Prüfungsansätze diesen Anforderungen nicht mehr gerechtund um z.B. den Risikoansatz und das damit verbundene Management der Risiken erweitert.Die drei vorgestellten Skandale der Unternehmen PARMALAT, COMROAD und ENRONzeigen auf, dass verschiedene Motive Auslöser der Manipulationen waren, aber die Gemeinsamkeitaller Fälle liegen im Versagen oder Nichtvorhandensein von internen Kontrollsystemen.Die gesetzlichen Rahmenbedingungen wurden aufgrund der immer größeren und betragsmäßigimmer größeren Schäden um Frameworks wie IFRS oder SOX erweitert.Die gesetzlichen Vorschriften sollen die Kontrollen verschärfen, legen den Fokus auf dieinternen Kontrollen und nehmen die Manager in die Verantwortung. Als Nachteil ist zu sagendass es international keinen einheitlichen Standard gibt, und das mitunter dazu führen kannvon international tätigen Unternehmen in den einzelnen neben dem Konzernabschluss nachIFRS, US-GAAP oder BilMoG noch der lokale Abschluss des jeweiligen Landes aufgestelltwerden muss. Da für die Aufstellung von mehreren Berichten und die Implementierung derdazu notwendigen Strukturen Geld Zeit und Ressourcen gebunden werden, haben sich inden letzten Jahren einige börsennotierte Unternehmen aus dem amerikanischen Markt zurückgezogenund die Deregistrierung bei der SEC beantragt um aus der Verpflichtung desSOX entlassen zu werden.Dennoch ist kritisch anzumerken, dass es immer noch zu viel Wahlrechte und Interpretationsspielräumeim Finanzbereich gibt, da in den GAAPs einige allgemein formulierte Begrifflichkeitengibt. Stellvertretend werden die Begriffe „ Wesentlichkeit “ oder „im Rahmen derordnungsgemäßen Durchführung“ genannt die genau diesen Interpretationsspielraum offenlassen. Wann ist etwas wesentlich? Diese Grenze liegt im Ermessen des WP. Aus diesenInterpretations- und Auslegungsmöglichkeiten ergeben sich Interessenskonflikte zwischenden Prüfern und dem Auftraggeber. Der Auftraggeber wird versuchen, diesen Ermessens-81

spielraum zu seinen Gunsten beeinflussen, während der Prüfer bei zu strenger Auslegungum die Verlängerung seines Prüfauftrages fürchten muss. Es ist daher im beidseitigen Interesse,diese Gestaltungsmöglichkeiten so zu nutzen, dass unter Einhaltung der Berufsvorschriftenfür Wirtschaftsprüfer beide Seiten zufriedengestellt werden.Auf der technischen Seite sind aufgrund der DV-gestützten Verarbeitung die Anforderungenan den WP stark gestiegen, dass es mittunter notwendig wurde, IT-Spezialisten im Rahmender Prüfungshandlungen hinzuzuziehen, da dies eigentlich nicht Kernaufgabe eines Prüfersist. Die Frameworks COSO, COBIT, ITIL und RISK IT usw. unterstützen durch die strukturierteVorgehensweise, aber grundsätzlich wurde damit ein völlig neues Betätigungsgeschäfteröffnet, dass zu Interessenkonflikten zwischen Beratung und Prüfung geführt hat, wennbeides von der gleichen Gesellschaft wahrgenommen wird.In den untersuchten Beispielen der Betrugsfälle konnte der ursprüngliche Verdacht, dass IT-Systeme ursächlich zur Entstehung von Fraud beitragen nicht bestätigt werden, vielmehrgingen diese Fälle überwiegend von Forderungen des Finanzmarktes an die Unternehmenimmer bessere Ergebnisse zu liefern oder von explizit vorsätzlichen, betrügerischen Handlungendes Managements vor. Damit dolosen Handlungen eintreten können, muss auf denTäter Druck ausgeübt werden, und sich eine Gelegenheit dafür bieten. Im Rahmen der Wirtschaftsprüfungwerden Transaktionen auf Unregelmäßigkeiten und Auffälligkeiten geprüft,und wenn sich der Verdacht auf dolose Handlungen erhärtet, Bericht erstattet.Im Rahmen der Jahresabschlussprüfung ist verpflichtend ein Audit der IT-Systeme durchzuführen,zur Unterstützung werden dazu die Frameworks COBIT für die IT- Geschäftsprozesseund ITIL für die technische Prüfung verwendet. Die daraus abgeleiteten Risiken werden ineinem unternehmensübergreifenden Risikomanagement bewertet, die Maßnahmen zur Eliminierungder Risiken im internen Kontrollsystem implementiert und im Sinne eines kontinuierlichenVerbesserungsprozesses die Effizienz der Geschäftsprozesse verbessert. Die Inhalteeines IT Audits wurden von der Kammer der Wirtschaftstreuhänder in Fachgutachtendefiniert.Der Fokus zur Eindämmung von dolosen Handlungen wird daher auch in der Zukunft imAusbau des internen Kontrollsystems und der Einhaltung von Compliance und Governanceliegen. Das Ziel liegt dabei in der Unterstützung der Geschäftsprozesse und effektive Nutzungder IT Ressourcen bei ständigem Abgleich der Unternehmensstrategie mit den aufgetretenenRisiken und deren Management.Als neue Ansätze zur Verhinderung von Wirtschaftskriminalität haben sich in den letztenJahren forensische Untersuchungen von Daten und permanente Kontrollen anstelle stichtagsbezogenerPrüfungen etabliert. Im Amerikanischen Raum hat sich Whistleblowing etabliert,ist in Europa aber noch sehr spärlich vertreten und nicht unumstritten.82

6.2 ErkenntnisseDie hier vorgestellten Fälle sowie die meisten Bilanzskandale entstanden durch betrügerischeHandlungen des Top-Managements. Fraud findet dann statt, wenn sich die Motivationund Gelegenheit dazu ergibt. Dies kann dann der Fall sein, wenn das Management unterdem Druck steht, bestimmte Ziele zu erreichen, oder durch Manipulation die Möglichkeit gegebenist, die eigene Situation zu verbessernFraud passiert nicht zufällig, etwa aufgrund von Lücken im IKS oder IT-Systemen. Vielmehrentscheidet sich derjenige, der Fraud begeht, aktiv zum Betrug. Zur Erreichung des Zielswerden mitunter große Anstrengungen in Kauf genommen, um die Kontrollinstanzen auszuhebeln.Es sind daher überwiegend Personen aus dem Management in Fraud Vorfälle involviert,die auch die notwendige Macht innerhalb der Organisation besitzen um die Kontrollsystemezu umgehen.Die Betrugshandlungen unterscheiden erheblich in der Qualität der Ausführung. Beginnendbeim einfachen Fälschen von Belegen, bis zur Konstruktion und dem Aufbau komplexerStrukturen, um Fraud zu verdecken.Je komplexer der Betrug, umso schwieriger ist es für den Abschlussprüfer, diesen zu erkennen.Grundsätzlich gibt es gibt einen Zusammenhang zwischen der Qualität der Prüfung undden Betrugshandlungen. Je schlechter die Qualität der Abschlussprüfung, desto wenigermuss sich ein betrügerischer Manager anstrengen. Im umgekehrten Fall wird angenommen,dass ein kompetenter und unabhängiger Abschlussprüfer einen Manager vom Fraud abhält,weil die Anstrengung für den Fraud zu groß wäre.Dolose Handlungen werden nur durch Zufall im Rahmen einer „normalen“ Wirtschaftsprüfungaufgedeckt. Aufgrund der entstehenden Interessenskonflikte zwischen Auftraggeberund Wirtschaftsprüfer und Art und Auswahl des Prüfungsansatzes tragen dazu bei dass innerhalbder zur Verfügung stehenden Zeit - nur über Stichprobenprüfungen - ein Urteil aufdie gesamten Geschäftsfälle abgegeben werden muss.Entgegen der Meinung das IT-Systeme zu betrügerischen Handlungen beitragen, wurde indieser Arbeit erkannt, dass die Ursachen nicht in fehlerhaften IT-Systemen liegen, sondernimmer in menschliche Handlungen begründet liegen.Die gänzliche Verhinderung von dolosen Handlungen wird es nie geben können, da die imFraud Dreieck beschriebenen Voraussetzungen immer wieder entstehen werden. PersönlicheMotive von den Tätern werden durch keine Gesetze, Regularien oder Vorschriften verhindertwerden können. Wenn z.B. jemand in Geldnot ist und sich die Gelegenheit bietet,wird auch weiterhin die Tat durchgeführt werden.Als ein wesentliches Prinzip zur Eindämmung von Fraud wurde die Funktionstrennung erkannt.Wenn ein einzelner Mitarbeiter nicht in der Lage ist gesamte Geschäftsprozesse abzuwickeln,wird Fraud erheblich erschwert, da Verbündete gefunden werden müssten.83

Zusammenfassend kann aus meiner Sicht gesagt werden, dass im Rahmen dieser Arbeit dieThese das IT-Systeme Fraud begünstigen oder auslösen, nicht untermauert werden konnte.In den vorgestellten Fällen wäre es mit teilweise einfachen Mitteln möglich gewesen, dieBetrugsversuche in frühen Stadien aufzudecken, und damit die Dimensionen der Fälle einzudämmen.Das aus meiner Sicht wirksamste Mittel zur Verhinderung solcher Vorfälle ist abgesehen vonFällen wo Betrügerische Handlungen aus persönlichen Motiven stattfinden, nur durch einenSinneswandel auf mittel-, bis langfristige persönlich beeinflussbare Ziele mit nachvollziehbarenBeträgen für Boni von Managern gegeben. Durch die Kurzfristigkeit die derzeit vorherrscht,in Kombination mit für den durchschnittlichen Angestellten nicht nachvollziehbarenBeträgen steht die Verlockung nahe, interne Kontrollen zu umgehen um die Ziele zu erreichen,dafür ist dem Ausführenden der langfristig verursachte Schaden an der Organisationegal. Dies wird auch dadurch sichtbar, das Manager nicht davor zurückschrecken, Werke zuschließen und die Belegschaft zu entlassen um in den Genuss von Bonuszahlungen zukommen.Die Wirtschaftsprüfung hat sich im Laufe der Jahre seit Einführung von IT-Systemen sehrstark gewandelt, so dass die Hauptaufgabe heute eigentlich im Bereich des Überprüfen vonDV-gestützten Prozessen und Risiken liegt und sich von der ursprünglichen Aufgabe, derSicherstellung der Nachhaltigkeit des bilanzierten Vermögens entfernt. Aus meiner persönlichenSicht müsste es auch im Bereich der Jahresabschlussprüfung eine Funktionstrennungund Rotation der Prüfer geben. Speziell wenn man mehrere Jahre mit dem gleichen Prüferzusammengearbeitet hat, hat man sich soweit aufeinander eingestellt, das die Dinge die derPrüfer sehen will so vorbereitet sind wie er sie sehen will.Auch ist es nach langjähriger Zusammenarbeit möglich, auf die Auswahl der StichprobenEinfluss zu nehmen – wenn nachvollziehbare Gründe die nicht auf Unregelmäßigkeiten hindeuten,vorliegen.Nur durch die Umsetzung eines Ansatzes der über die reinen Compliance Ansätze hinausgeht,kann ein ganzheitliches Risikomanagement implementiert werden das Unternehmen indie Lage versetzt, zukunftsorientiert zu agieren anstelle auf auftretende Risiken nur zu reagieren.Durch die Umsetzung von AFM-Systemen wird Transparenz geschaffen, das Imageder Organisation erhöht, und ein Wettbewerbsvorteil generiert. Es geht daher nicht primärum gesetzliche Regulierung, sondern um Moral, verantwortungsvolles, sozial verträglichesManagement von Organisationen und Unternehmen – dadurch kann Wirtschaftskriminalitätnachhaltig verhindert werden, und die Einhaltung der gesetzlichen Anforderungen ergibt sichals Nebeneffekt automatisch.84

LiteraturverzeichnisAndreas, A. (27. November 2011). Immer Mehr Manager beklauen ihr Unternehmen.Financial Times Deutschland.Association of Certified Fraud Examiners. (2013). Abgerufen am 15. 03 2013 vonwww.acfe.comAxel Springer AG. (Hrsg.). (2011). Freisprüche im Parmalat Prozess. Die Welt(vom19.04.2011), Unternehmen.Ballwieser, W. (2003). ENRON und die Folgen für die Jahresabschlussprüfung. Wien: Institutösterr. Wirtschaftsprüfer.BDO AG. (2013). Governance, Risk und Compliance in der IT. Hamburg: BDO AG.Berens, & Schmitting. (2004). Corporate Governance und Controlling. Heidelberg.Bertram, Brinkmann, Kessler, & Müller. (2009). HGB Bilanz Kommentar §§238-342e .Freiburg: Haufe Lexware GmbH.Brönner, H. (1992). Handwörterbuch der Revision. (A. Coenenberg , & W. Klaus , Hrsg.)Stuttgart: Schäffer-Poeschel Verlag.Buchholz , R. (17. 02 2004). Grundzüge des Jahresabschlusses nach HGB und IFRS.München: Vahlen. Von Rechnungswesen Portal: http://www.rechnungswesenportal.de/Fachinfo/IAS--IFRS--US-GAAP/IFRS.htmlabgerufenBungartz, O. (2011). Handbuch Interne Kontrollsyteme (IKS) – Steuerung und Überwachungvon Unternehmen. Berlin: Erich Schmidt Verlag.Clifton, T. R. (2010). IT Audit - a practical Guide to the CISA Exam.COMPLIANCE DIGITAL. (kein Datum). Von www.compliancedigital.de abgerufenCressey, D. R. (1973). Other peoples money. Patterson Smith.Daum, R. (2003). Ausser Kontrolle: Wie Comroad & CO das Finanzsystem in Deutschlandaustricksen. Finanzbuch Verlag.Deutsche Telekom AG. (21. 04 2010). Von Deutsche Telekom AG:http://www.telekom.com/medien/konzern/25160 abgerufenDorin, M. (November 2006). Institutionelle Maßnahmen zur Verbesserung der Qualität vonAbschlußprüfung. Dissertation. Universität Bielefeld.Falke, & Fiska. (2012). Korruption als internationales Phänomen.Freidank, C. C. (2006). Arbeitsunterlagen Vorlesung Wirtschaftsprüfung II, . UniversitätHamburg : Lehrstuhl für Revision und Treuhandwesen .Fröhlich, M., & Kurt, G. (2007). IT Governance. Wiesbaden: GWV Fachverlag .Funk, W., & Rossmanith, J. (2008). Internationale Rechnungslegung und Controlling.Wiesbaden: GWV Fachverlag.85

Gerlach, J. (2001). Aktuelle Anforderungen an die Prüfung von IT-Systemen. Diplomarbeit:Grin Verlag .Groß, D. S. (12. 03 2013). Futurus Gmbh . Von http://www.stefan-gros.de/sarbanes-oxleyact-ein-erfahrungsbericht/abgerufenHeschl, J., & Middelhoff, D. (2005). IT Governance - Modelle zur Umsetzung und Prüfung.Books on demand GmbH.Heyduk, S. (03 2011). SOKO 1010. Fraunhofer Institut,Weiter vorn, S. 20-21.IDW Institut der Wirtschaftsprüfer e.V. (kein Datum). Düsseldorf.Institute, I. G. (2012). COBIT 5.0 Englische Ausgabe. Abgerufen am 2012 von www.isaca.atITSM Forum Österreich e.V. (11. 05 2013). ITSM Forum Österreich. Von http://www.itsmf.at/abgerufenJonen, A., & Schönbohm, A. (03 2001). Interne Revision im Wandel der Zeit - Historie derder Revision und zukünftige Entwicklungen. Interne Revision (ZIR), S. 122-130.Kammer der Wirtschaftstreuhänder. (27. 03 2013). Von www.ktw.or.at abgerufenKickinger, E. (2011). Marktorientierte Unternehmensführung. Studienheft WIM MUF1 . FFHGesellschaft zur Erhaltung und Durchführung von FH Studiengängen.Knolmayer, G., & Wermelinger, T. (2006). Der Sarbanes Oxeley Act und seineAuswirkungen auf die Gestaltung von Informationssystemen. Unversität Bern: Institutfür Wirtschaftsinformatik .Kolarik, W. (09. 03 2009). ACT Management Consulting GmbH. Von http://www.actmc.at/static/files/Events/20090311_IKS_Vortrag_act.pdfabgerufenKommision, E. (2006- 2008). Amtsblatt des europäischen Rates. Brüssel: EU Kommision.KPMG. (07. 04 2013). KPMG Deutschland. Von Rechnungslegung und Bilanzierung nachHGB und IFRS Portal : http://www.kpmg.de/Themen/20506.aspx abgerufenKPMG. (10. 05 2013). KPMG India. Von http://www.kpmg.com/in/en/services/advisory/riskcompliance/grcs/pages/cam.aspxabgerufenLatzenhofer, M., & Neuroth Pfeiffer, T. (2011). Enterprise Information System Security. Wien:FFH Gesellschaft zur Erhaltung und Durchführung von FH Studiengängen.Latzenhofer, M., & Neuroth Pfeiffer, T. (2012). IT Business Alignment. Wien: FFHGesellschaft zur Erhaltung und Durchführung von FH Studiengängen.Laudien, K. (06. 08 2010). Von Infenion Technologies:http://www.infineon.com/cms/de/corporate/press/news/releases/2010/INFXX201008-066.html abgerufenLeffson, U. (1987). Grundsätze ordnungsmäßer Buchführung. Düsseldorf: IDW VerlagGmbH.Lifeld, A. (19. 06 2012). Universität Hamburg. Von Fakultät für Wirtschafts undSozialwissenschaften:http://www.wiso.uni-86

hamburg.de/fileadmin/bwl/revision/Lehre/Semester/SS_2012/2.Bachelor/Seminar_Bachelor/Pruefungsansaetze.pdf abgerufenMüller, K. (19. 2 2006). COBIT als Standard der IT Governance. Praxisbericht über dieEinführung von SOX. Wien.Nowocien, S. (12. 03 2013). Wirtschaftsinformatik HTW Berlin . Von PräsentationSpannungsfeld GRC- Governance/Risk Control/ Compliance: wi.f4.htwberlin.de/users/.../7_SAP_Anwendertag_Ost_BSB.pdfabgerufenOrganisation, C. o. (2006). Interne Überwachung der Finanzberichterstattung - Leitfaden fürkleinere Aktiengesellschaften. Frankfurt: Deutsches Institut für interne Revision.Organisation, C. o. (2006). Unternehmensweites Risikomangement. Franfurt/ Main :Deutsches Institut für Interne Revision e.V.Prof. Dr. Kirf, B., Parsow, C., & Vedder, M. (2006). Krisenmanagement beiWirtschaftskriminalität. Abgerufen am 15. 03 2013 von www.internerevisiondigital.de:http://www.internerevisiondigital.de/ce/krisenmanagement-beiwirtschaftskriminalitaet/detail.htmlRabich, A. (2009). Das Geld und Wert Problem. Norderstedt: Grin.RBS RoeverBroennerSusat GmbH & Co. KG. (17. 03 2013). IFRS Portal. Vonhttp://www.ifrs-portal.com/Dokumente/unterschiede_ifrs_ifrssme_hgb.pdf abgerufenRunkel, M. (2010). Regulative Rahmenbedingungen und Ihre Bedeutung für den Einsatz derInformationstechnologie unter Berücksichtigung standardisierter Prozessmodelle.Scholze, A. (02. 20 2008). http://www.docstoc.com/docs/117444648/IKS---Internes-Kontrollsystem-im-Unternehmen-mit-sozialem-Auftrag. Internes-Kontrollsystem-im-Unternehmen-mit-sozialem-Auftrag. (AVUSA, Hrsg.)Schwarz, U. (16. 01 2013). Achtung, die Bilanzpolizei kommt ! Wirtschaftsblatt, 8-9.Simsek, H. (2007). Corporate Governance - Analyse des internen Überwachungssystems imHInblick auf eine Optimierung der Schnittstellen zwischen interner Revision,Controlling und Risikomanagement .von Frentz, C. (25. 09 2003). ENRON- Chronik einer Rekordpleite. Manager Magazin, S. 1-7.Wells, J. T., & Kopetzky, M. (2011). Wirtschaftskriminalität in Unternehmen - Vorbeugungund Aufdeckung. 2.Auflage: Lexis Nexis ARD ORAC.Whistleblowing Austria e.V. (17. 04 2013). Whistleblowing Austria. Vonhttp://www.whistleblowing.at/Whistleblowing_Austria/Phasen.html abgerufenWich, H. (2008). Internes Kontrollsystem und Management Informationssystem . Frankfurt.Wiemann, D. (2010). Prüfungsqualität des Abschlussprüfers. Darmstadt: Gabler Verlag .Zydek, P. (07. 06 2007). Von Telekom Austria, Investor Relation, News:http://www.telekomaustria.com/ir/news/2007/0605-ende-sec.php abgerufen87