HLB Dr. Schumacher & Partner GmbH - Springe direkt:

Möchten Sie zur mobilen Version wechseln?
Kompetenz
verbindet

IT der Zukunft: Wo Wirtschaftsprüfer gefragt sind

PDF
Veröffentlichung

IT der Zukunft: Wo Wirtschaftsprüfer gefragt sind

Die IT im Gewand der sog. Digitalisierung beherrscht heute alle Bereiche des (Geschäfts-)lebens. Sie macht viele Dinge einfacher und effizienter, hilft Kosten zu sparen und Prozesse zu beschleunigen. Auf der anderen Seite steigt jedoch auch die technische Anfälligkeit – und die Gefahr von bewussten Manipulationen oder Cyberangriffen ist ganz real. Gleichzeitig muss moderne IT revisionssicher sein und höchste Standards erfüllen, um auch den steigenden rechtlichen und steuerrechtlichen Anforderungen zu genügen.

Doch wohin entwickelt sich die Technologie, und was gibt es aus steuerrechtlicher Sicht künft ig zu beachten? Wo ergeben sich Schnittstellen und Anknüpfungspunkte für die Arbeit von Wirtschaftsprüfern? Wo können Kanzleien womöglich wichtige Hilfestellung für ihre Mandanten leisten? Und wo ergeben sich neue, lukrative Geschäftsfelder mit Zukunft ?

Heiner Röttger und Daniel Onnebrink geben einen Ausblick anhand von sieben Thesen:

These 1: Der „gläserne Betrieb“ erzieht zur Präzision Wo in der Vergangenheit von den Unternehmen meterweise Papierordner zur Verfügung gestellt worden sind, überlassen die Firmen heute im Rahmen von Betriebsprüfungen in der Regel die relevanten Datenträger. Basis dafür bilden seit 2001/2002 die „Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen“ (GDPdU), seit Jahresbeginn abgelöst durch die „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff (GoBD). Über Schnittstellen übermitteln Unternehmen ihre Steuerdaten an die Betriebsprüfung, die diese schon seit einigen Jahren mit der Datenanalysesoft ware „IDEA“ prüfen. Mit einer einzigen Abfrage steht den Behörden damit z. B. eine transparente Übersicht über alle verwendeten Steuerschlüssel im ausgewählten Zeitraum zur Verfügung. So können Daten aus der Buchhaltung darauf hin überprüft werden, ob sie sich inhaltlich womöglich ausschließen. Fehler fallen hier deutlich schneller auf als früher bei den Papierordnern. Mögliche Folge: Bei widersprüchlichen Daten kann die Finanzverwaltung beispielsweise einen Vorsteuerabzug versagen. Betriebe tun deshalb gut daran, in enger Abstimmung mit ihrem Wirtschaftsprüfer rechtzeitig eigene Simulationen von Betriebsprüfungen durchzuführen. Dadurch fallen Widersprüche oder fehlerhafte Verbuchungen schon intern auf und können rechtzeitig bereinigt werden, ehe Nach-, Straf- oder Zinszahlungen drohen. Der „gläserne Betrieb“ schafft somit Transparenz – nach innen wie nach außen.

These 2: Der Wirtschaftsprüfer gehört mit ins Boot – bei allen neuen IT-Projekten

Ein neues IT-Projekt bedeutet für das gesamte Unternehmen stets eine große Herausforderung. Unternehmen müssen daher für ihre IT-Projekte schon im Vorfeld klare Ziele definieren. Die IT sollte dabei stets dem Prozess und den fachlichen Anforderungen folgen und nicht umgekehrt. Umso wichtiger ist es, das Projekt von Beginn an auch prüferisch zu begleiten und somit im Verlauf die Möglichkeit zu haben, jederzeit auf Risiken hinzuweisen und Korrekturen anzubringen. Dabei geht es vor allem um die Frage, ob das rechnungslegungsrelevante System ordnungsgemäß ist. Für die Erstellung eines Anforderungskatalogs aus prüferischer Sicht kann der Wirtschaftsprüfer häufig von seinen Kenntnissen profitieren, die er aus vielfältigen Tätigkeiten auch bei anderen Mandanten gewonnen hat. Regulatorische Anforderungen, die das neue System unterstützen sollte, können zum Beispiel Datenschutz oder die Archivierung gemäß GoBD sein. Die prüferische Begleitung hat aber noch weitere Vorteile – siehe die folgende These 3:

These 3: Prozesse dokumentieren heißt Prozesse optimieren

Ein bekanntes Sprichwort lautet „Wissen ist Macht“. Dies gilt insbesondere auch für Betriebe. Denn was ist zu tun, wenn beispielsweise das IT-System ausfällt? Welche Notmaßnahmen sind dann einzuleiten, und von wem? Oder was passiert, wenn ein wichtiger Mitarbeiter das Unternehmen verlässt? Ist sein Know-how im Unternehmen hinreichend dokumentiert, oder verlässt es mit der Schlüsselperson die Firma? Schon diese beiden Beispiele zeigen, wie notwendig eine präzise Prozessdokumentation ist, um auch in Krisenfällen (aber nicht nur da) jederzeit handlungsfähig zu bleiben. Prozessdokumentationen sind auch aus rechtlicher Sicht zu empfehlen, um das Risiko des Organisationsverschuldens und die damit verbundene persönliche Haftung eines Unternehmers zu minimieren. Eine Verfahrensbeschreibung für die eingesetzten (IT-)Systeme in Verbindung mit Beschreibungen für die wesentlichen Geschäftsprozesse sind daher das A und O. Hilfreich kann hier externes Know-how von Wirtschaftsprüfern sein, um Prozesse zu erfassen und entsprechend zu dokumentieren. Zugleich bietet sich hier auch die Chance der Optimierung – denn der neutrale Blick von außen auf historisch gewachsene und etablierte Unternehmensprozesse kann mitunter völlig neue Sichtweisen eröffnen.

These 4: „Social Engineering“ verlangt neue Kontrollmechanismen

Trickbetrüger versuchen seit Jahrhunderten den Menschen das Geld aus der Tasche zu ziehen, indem sie sie geschickt manipulieren. Auch in der schönen neuen IT-Welt gibt es solche Trickbetrüger – sie firmieren unter dem Stichwort „social engineers“. Diese betrügerischen „Ingenieure“ auf zwischenmenschlichem Gebiet erschleichen sich geschickt Vertrauen, sensible Informationen – und vor allem Geld. Dabei machen sie sich zunutze, dass heute viele Informationen viel leichter verfügbar sind als früher. So sind Fälle bekannt, bei denen sich ein Betrüger als der (abwesende) Firmeninhaber ausgab und den Geschäftsführer per Mail anwies, eine finanzielle Transaktion für ein angeblich hoch geheimes, lukratives Geschäft auf den Weg zu bringen. Dabei machte sich der Betrüger intime Kenntnisse aus dem Unternehmen zunutze und konnte so, auch mit Hilfe gefälschter Beglaubigungen, seine Rolle perfekt vortäuschen. Social Engineering stellt somit eine große Herausforderung für die internen Kontrollsysteme in Unternehmen dar. Mögliche Gegenmaßnahmen sind eine Sensibilisierung der Mitarbeiter, per IT festgelegte Maximalgrenzen für Finanztransaktionen sowie ein Vier-Augen-Prinzip bei allen wichtigen Geschäftsvorgängen. Bei der Beurteilung und Optimierung eines internen Kontrollsystems können Wirtschaftsprüfungsunternehmen Unterstützung leisten.

These 5: IT-Sicherheit hat viele Facetten – externe Beratung ist Trumpf

Wirtschaftsspionage, Konkurrenzausspähung und Erpressung: Die Liste möglicher Straftaten im Netz ist lang – und häufig sind nicht Großunternehmen, sondern Mittelständler davon betroffen. Zwar wissen viele Unternehmer um dieses Risiko – doch systematische Konsequenzen bleiben oftmals aus. Denn gerade in mittelständischen Unternehmen sind meist nur wenige Mitarbeiter mit der IT-Sicherheit befasst. Dabei ist das Thema kein Hexenwerk. Das beginnt schon bei der Nutzung und regelmäßigen Erneuerung von Passwörtern, der Sicherung von Daten oder einer internen Übersicht aller IT-Systeme, Daten, Netzwerkstrukturen und Schnittstellen. Durch den letztgenannten Punkt können schützenswerte Daten und Anwendungen schnell klassifiziert und so mögliche IT-Risiken erkannt werden. Auch hier kann der Wirtschaftsprüfer des Unternehmens den Prozess begleiten, auf Schwachstellen und Mindeststandards hinweisen und so den Anstoß zu einer Verbesserung der IT-Sicherheit geben. Erste Schritte können beispielsweise regelmäßige Passwortänderungen, die Ausgabe spezieller Berechtigungen oder die Verschlüsselung sensibler Daten sein. Auch eine Firewall zur Absicherung gegenüber dem Internet und eine regelmäßige Datensicherung mit Backup tragen zur Verbesserung bei.

These 6: IT-Outsourcing ist en vogue – wenn die Spielregeln stimmen

IT-Outsourcing – nicht zuletzt in Cloud-Lösungen als progressivste Spielart – ist aktuell ein großes Thema. Es bedeutet nichts anderes, als die eigene IT-Infrastruktur ganz oder teilweise an einen externen Anbieter auszulagern und sich auf sein eigentliches Kerngeschäft zu fokussieren. Das schont zwar Ressourcen, ist aber nicht ohne Risiko. Denn mit einer Auslagerung gibt das Unternehmen seine Kontrolle weitgehend aus der Hand und eröffnet einem Dritten Zugang zu sensiblen Daten – wie etwa Kundendaten oder sogar wichtigen Geschäftsgeheimnissen. Von zentraler Wichtigkeit ist es daher, einen absolut vertrauenswürdigen Dienstleister zu beauftragen, der auch über entsprechendes Know-how verfügt und die Sicherheitsanforderungen des Auftraggebers erfüllen kann. Die genauen Anforderungen sollten dabei vertraglich fixiert und fallweise auch überprüft werden. Wichtig: Der Unternehmer, der seine IT abgibt, ist trotzdem verantwortlich für die ordnungsgemäße Datenverarbeitung und deren weitere Nutzung – beispielsweise die Rechnungslegung. Es ist sinnvoll, in einem Rahmenvertrag zunächst standardisierte Rechte und Pflichten zu regeln. Separat kann man dann spezielle Einzelleistungen sowie die Standards der Leistungserbringung vereinbaren. Dabei sollten auch Nutzungs- und Kontrollrechte des Unternehmens, der Einsatz von Subunternehmern, Kündigungsrechte sowie Kontrollverfahren vertraglich im Detail geregelt werden. Ein Wirtschaftsprüfer kann in diesem Zusammenhang beraten und kontrollieren, ob und inwieweit ein Unternehmen seinen IT-Dienstleister entsprechend steuert und überwacht.

These 7: Daten sind wertvoll – und müssen immer besser geschützt werden

Er ist sicherlich der absolute „GAU“ für jedes Unternehmen: ein erfolgreicher Hacker-Angriff . Mögliche Folgen können Datenverlust, der Diebstahl von Geschäftsgeheimnissen, eine Unterbrechung der Geschäftstätigkeit oder nachhaltiger Vertrauensverlust bei den Kunden sein. Bei Jahresabschlussprüfungen zeigt sich häufig, dass das Thema IT-Sicherheit recht stiefmütterlich behandelt wird. Oftmals kommt der Schutz von sensiblen Daten erst auf die Agenda, wenn es bereits zu spät ist. Dabei können Wirtschaftsprüfer schon früh dabei behilflich sein, Lücken zu erkennen und die IT-Sicherheit im Unternehmen zu erhöhen. Durch ihren Einfluss können sie erfolgreich zwischen der Geschäftsführung und den fachlich verantwortlichen Mitarbeitern vermitteln und so dabei helfen, Risiken zu erkennen und abzustellen. Der Wirtschaftsprüfer kann beispielsweise ein IT-Sicherheitskonzept mit entwickeln oder das bestehende Sicherheitskonzept auf Schwachstellen überprüfen. Diese Überprüfung erfolgt häufig im Rahmen sogenannter Penetrationstests. Hierbei werden das vorhandene System und seine Anwendungen mit Mitteln und Methoden eines Hackers angegriffen, um so unautorisiert in das EDV-System einzudringen. Die Art des Tests orientiert sich dabei am Gefahrenpotential eines Systems oder Netzwerks und erfordert einiges an Erfahrung. Das Ziel: ein umfassender Schutz sensibler Daten im Unternehmen.

Fazit:

„Nichts ist so beständig wie der Wandel“, lautet ein gängiges Sprichwort. Und die IT verwandelt das heutige Wirtschaftsleben in geradezu atemberaubendem Tempo – und damit auch die Anforderungen an den Beruf des Wirtschaftsprüfers. Zum einen werden sich die Prüfungstechniken im Rahmen der Abschlussprüfung sukzessive ändern. Immer neue Anforderungen kommen hinzu, die Regulatorik wird umfangreicher und komplexer, die technischen Ansprüche höher. Zum anderen bietet sich für Wirtschaftsprüfer eine interessante Möglichkeit, neue Dienstleistungen anzubieten und so zum gefragten externen Sparringspartner der Unternehmen zu werden. Wer diesen Wandel frühzeitig erkennt und aktiv aufgreift und wer sich als kompetenter Experte auch für IT-Fragen positioniert, wird mittel- und langfristig zu den Gewinnern gehören. Entsprechendes Know-How mit darauf spezialisierten Mitarbeitern ist dabei unerlässlich.

hCards

Logo von HLB Dr. Schumacher & Partner GmbH
HLB Dr. Schumacher & Partner GmbH, work: An der Apostelkirche 4, 48143 Münster, Deutschland, work: +49 (0) 2 51/28 08-0, fax: +49 (0) 2 51/28 08-280
Atikon
Atikon, work: Kornstraße 15, 4060 Leonding, Österreich, work: +43 732 611266 0, fax: +43 732 611266 20