HFA Stellungnahme
4/97 zur projektbegleitenden Prüfung vom 15.10.97
(HFA = Hauptfachausschuß beim Institut der Wirtschaftsprüfer Deutschland e.V.)
Projektbegleitende Prüfung EDV-gestützter Systeme
1. Prüfungserfordernisse in einem komplexen EDV-Systemumfeld
Mit komplexen und weitgehend integrierten Informations- und Kommunikationssystemen werden auch Funktionen der Buchführung und Rechnungslegung abgewickelt. Ein wesentlicher Teil der buchungspflichtigen Vorgänge wird aus EDV-gestützten Systemen abgeleitet, die außerhalb der Unternehmensfunktion Buchführung implementiert sind und nicht immer und unmittelbar dem EDV-gestützten Buchführungssystem zugeordnet werden. Gleichwohl fließen mit Hilfe dieser EDV-gestützten Systeme erzeugte und gespeicherte Daten in das Buchführungssystem ein. Damit unterliegen diese Daten und Verfahren auch den Anforderungen der §§ 238f. HGB und den Grundsätzen ordnungsmäßiger Buchführung.
Die eingesetzten oder geplanten EDV-gestützten Systeme weisen häufig Dimensionen auf,
die Prüfung der von ihnen erzeugten Buchhaltungsinformationen,
die Prüfung der Nachvollziehbarkeit des einzelnen Geschäftsvorfalls und des Verarbeitungsverfahrens sowie
die Prüfung des Nachweises, daß das Verfahren entsprechend seiner Dokumentation durchgeführt worden ist,
nicht mehr im zeitlichen Rahmen einer Jahresabschlußprüfung ermöglichen.
Angesichts der beschriebenen Entwicklungen zu einem komplexen EDV-Umfeld als Folge des technologischen Fortschritts im Bereich der Hard- und Software sowie der internen und externen Netzwerke zur Datenübertragung müssen die Prüfungsmethoden angepaßt werden (FAMA-Stellungnahme 1/1987 i.d.F. 1993, Abschnitt C.11.). Um die Einhaltung der Ordnungsmäßigkeitskriterien in komplexen EDV-gestützten Systemen bei der Anwendungsentwicklung (Erstellung und Änderung individueller Software) oder der Implementierung von Standardsoftware und ihrer Anpassung sicherzustellen, ist es empfehlenswert, das Urteil des Prüfers bereits im Stadium der Planung, Entwicklung, Änderung und Erweiterung komplexen Systeme und nicht erst nach ihrer Einführung einzuholen.
Eine Verfahrensprüfung, die mit dem Beginn der Entwicklung eines neuen oder der wesentlichen Änderung/Erweiterung eines bestehenden Systems einsetzt, wird in der Praxis als "projektbegleitende Prüfung" bezeichnet. Zu einem späteren Zeitpunkt erteilte Prüfungs- und Beratungsaufträge, die erst nach dem Beginn der Systementwicklung bzw. Systemänderung/-erweiterung einsetzen, sind nicht umfassend und damit nicht projektbegleitend im Sinne dieser Stellungnahme.
Als wesentlich sind diejenigen Änderungen/Erweiterungen eines EDV-Systems anzusehen, die die Ordnungsmäßigkeit des Verfahrens im Sinne der GoB, das interne Kontrollsystem, sowie rechtliche, insbesondere handels- oder steuerrechtliche Aspekte betreffen.
2. Ziele der projektbegleitenden Prüfung
Die projektbegleitende Prüfung soll sicherstellen, daß das neu entwickelte, geänderte oder erweiterte EDV-gestützte Buchführungssystem als integrierter Teil eines komplexen Informations- und Kommunikationssystems alle Kriterien der Ordnungsmäßigkeit erfüllt und insoweit die Voraussetzung für eine ordnungsmäßige Buchführung als Grundlage für die Aufstellung des Jahresabschlusses gegeben ist.
Die nachstehenden Ausführungen beziehen sich insbesondere auf die projektbegleitende Prüfung neu einzurichtender EDV-gestützter Systeme. Sie gelten aber sinngemäß auch für alle wesentlichen Änderungen und Erweiterungen an bestehenden Systemen, die die Ordnungsmäßigkeit der Buchführung berühren.
Das IDW bereitet zu den Grundsätzen, die bei der Prüfung und der Testierung von rechnungslegungsrelevanten Softwareanwendungen zu beachten sind, eine Stellungnahme "Erteilung und Verwendung von Software-Testaten" vor.
Zu dem Ziel der projektbegleitenden Prüfung gehören die folgenden Teilziele:
Sicherstellung der Beweiskraft der Buchführung und der Nachvollziehbarkeit des einzelnen Geschäftsvorfalls durch Sicherung der Beleg-, Konten- und Journalfunktion sowie Beachtung weiterer gesetzlicher Anforderungen, insbesondere die Sicherung der Datei-/Datenbankinhalte über den Zeitraum der elektronischen Speicherung,
Gestaltung wirksamer interner Kontrollverfahren zur Gewährleistung der rechtzeitigen Erkennung und zur Vermeidung von Fehlen in der Buchführung in bezug auf deren Vollständigkeit und Richtigkeit sowie auf die Periodenabgrenzung, Sicherstellung der Nachvollziehbarkeit des Buchungsverfahrens durch Erfüllung der Dokumentations- und Aufbewahrungspflichten.
Als Nebenwirkungen der projektbegleitenden Prüfung ergeben sich für den Abschlußprüfer:
die Verlagerung der erforderlichen Prüfungshandlungen für Verfahrensprüfungen in die Zeit vor dem Einsatz der Anwendungssysteme und der Software und
die Möglichkeit der Einflußnahme auf die Bereitstellung von prüfungsunterstützenden Informationen durch das Buchführungssystem für die Abschlußprüfung.
3. Die Stellung des Prüfers bei der projektbegleitenden Prüfung
Die Wahrnehmung der Aufgaben einer projektbegleitenden Prüfung steht im Gegensatz zu einer aktiven Mitwirkung an der Gestaltung des neu entwickelten, geänderten oder erweiterten EDV-Systems als "Berater" oder "Systemgestalter", durch die der Prüfer seine Unabhängigkeit gefährden und die Besorgnis der Befangenheit erwecken würde.
Seine Tätigkeit bei der Systementwicklung, -änderung und -erweiterung bis zur Freigabe des Systems beschränkt sich ausschließlich auf die Prüfung der von den Systementwicklern gestalteten Lösungen unter Ordnungsmäßigkeits- und Kontrollgesichtspunkten. Diese Rolle schließt nicht aus, daß er während der projektbegleitenden Prüfung Anregungen zur Beachtung von Ordnungsmäßigkeitsgesichtspunkten gibt oder zusätzliche Kontrollen anregt oder für notwendig erklärt. Zu seinen Pflichten kann auch die Definition der System- und Programmerfordernisse zur Unterstützung der Abschlußprüfung gehören.
Im Rahmen der vorstehend beschriebenen Aufgaben ist der Prüfer eigenverantwortlich tätig und darf vom Projektleiter keine Weisungen entgegennehmen.
Seine Stellung als projektbegleitender Prüfer muß aber gewährleisten, daß er zu allen Unterlagen des Projekts Zugang hat, er die erforderlichen Informationen erhält und ihm das Recht eingeräumt wird, an allen Projektsitzungen teilzunehmen. Inwieweit er diese Rechte in Anspruch nimmt, liegt im pflichtgemäßen Ermessen des projektbegleitenden Prüfers.
4. Inhalt und Durchführung der projektbegleitenden Prüfung
Grundlage für die projektbegleitende Prüfung ist das bei dem Mandanten bestehende Verfahren der Systementwicklung oder der Implementierung von Standardsoftware. Dieses ist gewöhnlich in Projektphasen von der Planung bis zur Einführung des EDV-Systems eingeteilt.
Der projektbegleitende Prüfer sollte mindestens in folgenden Phasen eingebunden sein:
Erstellung des fachlichen Feinkonzepts,
Festlegung des Datenverarbeitungskonzepts, Programmierung oder Software-Auswahl,
Programm- und Systemtests,
Systeminstallation im künftigen Umfeld.
Dies schließt nicht aus, daß der Wirtschaftsprüfer seine projektbegleitende Prüfung bereits im Rahmen der Erarbeitung des Grobkonzepts beginnt.
a) Erstellung des fachlichen Feinkonzepts
Der projektbegleitende Prüfer muß sich in der Phase der Erstellung des fachlichen Feinkonzepts vor allem mit der Definition der Benutzeranforderungen vertraut machen, um beurteilen zu können, ob die Anforderungen von Benutztern und EDV-Spezialisten korrekt verstanden wurden, die notwendigen Kontrollen, Sicherheitsmaßnahmen und Abstimmöglichkeiten vorgesehen sowie die Nachprüfbarkeit des Verfahrens gewährleistet sind. Bedenken gegen den vorgelegten Entwurf muß er umgehend bei der Projektleitung, erforderlichenfalls bei der Unternehmensleitung geltend machen.
b) Festlegung des Datenverarbeitungskonzepts, Programmierung oder Software-Auswahl
Im Rahmen der Festlegung des Datenverarbeitungskonzepts, der Programmierung oder der Software-Auswahl muß sich der projektbegleitende Prüfer davon überzeugen, daß die Benutzeranforderungen EDV-gerecht umgesetzt und dabei die fachlichen Anforderungen und rechtlichen Normen beachtet werden sowie das Datenverarbeitungskonzept die notwendigen technischen und organisatorischen Kontrollen über alle Phasen der Datenverarbeitung und die erforderlichen Sicherheitsmaßnahmen und Abstimmungen zur Daten-/ Dateisicherheit enthält.
Die notwendigen Prüfungsarbeiten während der Phase der Programmierung oder Software-Auswahl beschränken sich in der Regel auf die Prüfung der Einhaltung von Richtlinien für die Programmierung oder Software-Auswahl sowie auf die Wirksamkeit der Qualitätskontrolle. Fehlende oder unzureichende Richtlinien und Qualitätskontrollen erfordern von dem projektbegleitenden Prüfer das Überprüfen der durchgeführten technischen Tests der einzelnen Programmsegmente oder -module, um sich von ihrer Funktionalität i.S. der Benutzeranforderungen und der technischen Vorgaben zu überzeugen.
c) Programm- und Systemtests
Im Rahmen der Programmtests werden die einzelnen Programme auf richtige Funktionsweise getestet. Im Rahmen der Systemtests wird das neue System auf das zuverlässige Zusammenwirken der Programme und der organisatorischen Maßnahmen unter realistischen Bedingungen, d. h. unter Verwendung möglichst vollständiger, praxisnaher Testdaten getestet. Der projektbegleitende Prüfer überzeugt sich anhand der dokumentierten Ergebnisse dieser Tests von der Ordnungsmäßigkeit der prüfungsrelevanten Programme, der Wirksamkeit der programminternen und der organisatorischen Kontrollen und Sicherheitsmaßnahmen sowie der Übereinstimmung des realisierten Systems mit den Benutzeranforderungen und der Verfahrensdokumentation. Dabei muß er die Testverfahren und Testergebnisse des Projektteams beurteilen. Soweit die Testverfahren und Testergebnisse unzureichend sind, sollte der Auftraggeber auf die Schwachstellen hingewiesen werden. Der projektbegleitende Prüfer hat in diesem Fall weitere Tests zu veranlassen.
d) Systeminstallation im künftigen Umfeld
Trotz Programm- und Systemtests wird der projektbegleitende Prüfer die uneingeschränkte Ordnungsmäßigkeit des gesamten Systems nur feststellen können, wenn er auch die Auswirkungen der Systeminstallation im künftigen Umfeld mit in seine Prüfung einbezieht. Um diese Auswirkungen erkennen und ihre Berücksichtigung beurteilen zu können, muß er sicherstellen, daß spätestens im Rahmen der Erstellung des fachlichen Feinkonzepts die zahlreichen komplexen und weitgehend integrierten Funktionen eines Informations- und Kommunikationssystems bekannt werden. Sie müssen in die weiteren Aktivitäten der Projektorganisation mit dem Ziel eingebunden werden, eine fehlerfreie und befriedigende Berücksichtigung zu gewährleisten.
Weiterhin muß sich der projektbegleitende Prüfer überzeugen, daß durch Kontrollen und Abstimmungen die vollständige und richtige Übernahme der Daten aus dem alten in das neue System sichergestellt wird und daß die Benutzer auf ihre neue Aufgabe vorbereitet werden.
5. Berichterstattung über die projektbegleitende Prüfung
Die projektbegleitende Prüfung ist eine von der Abschlußprüfung zeitlich losgelöste Verfahrensprüfung, über die gesondert berichtet wird. Bei vom Mandanten selbsterstellten Programmen kann eine gesonderte Bescheinigung über die Verfahrensprüfung erteilt werden.
In Anbetracht der Bedeutung der projektbegleitenden Prüfung für die zukünftigen Abschlußprüfungen ist in schriftlicher Form über die durchgeführte Verfahrensprüfung zu berichten. Bei der Erstellung des Prüfungsberichts sind die im IDW-Fachgutachten 2/1988 niedergelegten allgemeinen Berichtsgrundsätze zu beachten. Es sind insbesondere die Kriterien für die Auftragsannahme, die Rolle des projektbegleitenden Prüfers, die Durchführung des Auftrags sowie die Prüfungsfeststellungen in Form einer Zusammenfassung oder kurzgefaßten Darstellung des Ergebnisses unter Bezugnahme auf die Ziele und die Zielerfüllung des EDV-Projekts zu dokumentieren. Dabei können ins einzelne gehende Ausführungen zur Form der Buchführung, zur Datenverarbeitung, zum Belegwesen, zum internen Kontrollsystem und dem organisatorischen Umfeld erforderlich sein. In einer zu erteilenden Bescheinigung ist auf den Prüfungsbericht und die in der Zusammenfassung oder kurzgefaßten Darstellung der Ergebnisse enthaltenen Prüfungsfeststellungen hinzuweisen.
6. Die Bedeutung der projektbegleitenden Prüfung für die Abschlußprüfung
Die projektbegleitende Prüfung, die im Sinne ihrer Zielsetzung und Aufgabenstellung ein Buchführungssystem ermöglicht, das die Ordnungsmäßigkeits- und Kontrollerfordernisse erfüllt, entlastet die Abschlußprüfung hinsichtlich Art und Umfang der System- und Einzelprüfungen. Falls der Abschlußprüfer die projektbegleitende Prüfung nicht selbst durchgeführt hat, kann er die Prüfungsergebnisse des projektbegleitenden Prüfers verwenden. Diese unterliegen grundsätzlich der Nachprüfung, stets aber der kritischen Würdigung des Abschlußprüfers. Der Abschlußprüfer hat in jedem Fall festzustellen, inwieweit sich evtl. zwischenzeitliche System- oder Verarbeitungsänderungen auf die Ordnungsmäßigkeit der Buchführung auswirken.
Im Rahmen der Abschlußprüfung muß sich der Prüfer weiter durch Funktionsprüfungen davon überzeugen, daß die wesentlichen manuellen und maschinellen Verfahrenskontrollen im Berichtszeitraum wirksam waren.
Inwieweit sich zugleich mit der vorgezogenen Verfahrensprüfung Anhaltspunkte für ein nicht ordnungsmäßiges Buchführungssystem ergeben, ist maßgeblich davon abhängig, ob die projektbegleitende Prüfung sich nur auf die Software selbst und ihre funktionsgerechte Erstellung bezog oder die Implementierung und Integration der Anwendungssoftware in die bestehende, übergeordnete Systemumwelt ebenfalls Gegenstand der Verfahrensprüfung war.
Trotz der Zweckmäßigkeit einer als projektbegleitende Prüfung vorgezogenen Verfahrensprüfung im Hinblick auf eine später durchzuführende Abschlußprüfung, die das geprüfte System mit umfaßt, ist für eine projektbegleitende Prüfung ein ergänzender Auftrag des Mandanten erforderlich.
Vom Prüfer des Jahresabschlusses kann ohne entsprechenden Zusatzauftrag nicht gefordert werden, daß er noch in Entwicklung befindliche Systeme in seine laufende Jahresabschlußprüfung einbezieht. Im Rahmen der Jahresabschlußprüfung festgestellte wesentliche GoB-bezogene Fehler des EDV-Systems führen häufig zu aufwendigen nachträglichen Änderungen des Systems, die bei frühzeitiger Einbeziehung eines projektbegleitenden Prüfers vermeidbar sind.
7. Zusätzliche Anforderungen des Mandanten
Der Mandant erwartet oftmals zusätzlich zu der Bestätigung der Ordnungsmäßigkeit des EDV-Systems eine Aussage darüber, ob das Projekt auch nach wirtschaftlichen Gesichtspunkten durchgeführt wurde und ob die über die externe Rechnungslegung hinausgehenden Anforderungen der Fachabteilung und des Managements beachtet wurden. Hierbei handelt es sich um eine Erweiterung des Auftrags zur projektbegleitenden Verfahrensprüfung, mit der Folge, daß in dem Bericht über diese Prüfung in den Abschnitten Auftrag, Auftragsdurchführung und Schlußbemerkung auf diese Besonderheiten ebenfalls eingegangen werden muß.
