Der starke technologische Wandel der letzten Jahrzehnte zeitigt gravierende Auswirkungen im Bereich Wirtschaftsprüfung. Prüfer müssen auch in Zukunft von einer steigenden Bedeutung der IT-Themen ausgehen. Die Rolle der IT-Prüfung innerhalb der Jahresabschlussprüfung ist dabei einer ständigen Veränderung unterworfen. Der Grund: Die Wellen des technologischen Wandels auf Seite der Mandanten. Ein Blick in die Geschichte beweist, dass dieser Vorgang erstens nicht ohne Vorbild ist und zweitens, dass es dabei ein wiederkehrendes Muster von Kernkompetenzen gibt. Diese sind notwendig, um neue Technologien erfolgreich in die Prüfung zu integrieren.

Die Erfolgsfaktoren sind:

  • Ein umfassendes Prozessverständnis.
  • Die Fähigkeit, sich in Zusammenhänge unbekannter Technologien einzuarbeiten.
  • Die Kenntnis des regulatorischen Umfelds.
  • Die kommunikativen Fähigkeiten zur Aufnahme und Weitergabe relevanter Erkenntnisse.

Die jüngste Entwicklung ist von einer Abkehr von hardwarenahen Themen und der zunehmenden Digitalisierung und Automatisierung prüfungsinterner Abläufe geprägt. In der jüngeren Vergangenheit lassen sich drei Wellen dieses seit längerem anhaltenden Trends unterscheiden. Die folgende kurze Geschichte der IT-Prüfung soll dazu dienen, die heutige und zukünftige Entwicklung besser einzuschätzen und die Bedeutung der IT-Prüfung für die Zukunft bewerten zu können.

Eine kurze Geschichte der IT-Prüfung

MRP-Welle – frühe 1970er bis Mitte 1980er

MRP (Material Requirement Planning)

Ab Anfang der 1970er Jahre erfolgte eine starke Automatisierung der Materialbedarfsplanung (Material Requirements Planning) – damals unter dem Schlagwort „MRP-Systeme“. Untrennbar mit dieser Zeit verbunden ist der Hersteller IBM. Seine meist produktionsnahen Großrechenanlagen („Mainframes“) waren das Herzstück des technologischen Wandels jener Zeit. Alle Mainframes hatten eine Gemeinsamkeit: die ablaufenden Programme waren hochgradig an die Gegebenheiten der lokalen Produktion angepasst. Standardisierung von Programmabläufen: Fehlanzeige. Die Hauptaufgabe des IT-Prüfers entsprach der Rolle eines Übersetzers zwischen Technik und Geschäftsprozessen. Er musste darlegen, wie die Maschinensteuerung ihre Outputwerte bildete. Dazu wurden, stets eng am Programmcode, die prozessualen Abläufe im Rahmen der Prüfung „sichtbar“ gemacht. Wichtigstes Werkzeug hierfür waren Stift, Papier und die allgegenwärtigen Prozessschablonen, die manuellen Vorläufer heutiger Prozessmodellierungssprachen. Die heutige digitale IT-Prüfung basiert also auf einem nur allzu analogen Erbe.

“Heute ist die integrierte #IT-Prüfung und die damit verknüpften Prozesse vollständig #digital. Ein Blick in die Vergangenheit offenbart aber ihre analogen Ursprünge.“

Twittern WhatsApp

ERP-Welle: Anfang der 1980er bis Mitte 2000er

ERP (Enterprise Resource Planning)

Ab Mitte der 1970er wurden enormen Leistungsgewinne im Mainframebereich erzielt. Diese bereiteten zu Beginn der 1980er Jahre den Weg für die Integration von Prozessen, vor allem des internen und externen Rechnungswesens. Die Folge war eine immer stärkere Standardisierung von Programmabläufen. Der Fokus der IT-Prüfung wendete sich nun vom Verständnis der häufig gleichartigen aufgebauten Softwarepakete hin zur Kontrolle des Ablaufs frei von unsachgemäßen Eingriffen. Im Mittelpunkt der Aufmerksamkeit standen vor allem die nun schon häufig räumlich von der Produktion entkoppelten Rechenzentren mit ihren Administratorterminals wurden in der Folge auch generalisierte Prüfprogramme erarbeitet. Das Ziel war, eine für die Abschlussprüfung angemessene Kontrollsicherheit über alle Risikofelder abzubilden.

Ein wichtiger Teilaspekt waren darum Kontrollen in Bezug auf die Ausfallsicherheit der Hardware. Zum guten Ton gehörte auch ein angemessener Brandschutz. Nicht selten kam dies durch einen oder mehrere Feuerlöscher in unmittelbarer Nähe zur Großrechenanlage zum Ausdruck. Analog zum standardisierten Ablauf der Programmfunktionen und dem idealtypischen Aufbau der Rechenzentren wurden in der Folge auch generalisierte Prüfprogramme erarbeitet. Das Ziel war, eine für die Abschlussprüfung angemessene Kontrollsicherheit über alle Risikofelder abzubilden.

Ab Mitte 2000er: Die Cloud-Welle

Cloud Computing

Leistungsfähigere Internetanbindungen ermöglichten ab Mitte der 2000er zunehmend die Auslagerung des Hardwarebetriebs zu den sogenannten Cloudanbietern. In Abstufungen wie „Infrastructure as a Service“, „Platform as a Service“ oder „Software as a Service“ ermöglichten sie den Betrieb hoch standardisierter Softwarepakete. Das Rechenzentrum, die Administratorterminals, sowie die allgegenwärtigen Feuerlöscher, welche dem IT-Prüfer den Ruf einbrachten, lediglich das Inventar betrieblicher Löschmittel zu prüfen, verschwanden aus dem Fokus der IT-Prüfung. Zeitgleich zu diesem technologischen Wandel hielt auch der Begriff der Risikoorientierung in der IT-Prüfung Einzug. Neben den allgemeinen IT-Kontrollen wurden Prüfungsansätze für IT-basierte Geschäftsprozesskontrollen entwickelt und umgesetzt. Die eigentlichen Risiken in den Geschäftsprozessen wurden somit adressiert und stehen seither im Fokus einer risikoorientierten IT-Prüfung.

Aktuelle Herausforderungen am Beispiel Data Analytics und Machine Learning

Auch bei zukünftigem technologischem Wandel wird die Frage der Rolle des IT-Prüfers, sowie seiner Bedeutung und Kompetenzen zu beantworten sein. Können diese Aufgaben mittels neuer Technologien automatisiert werden? Wird eine manuelle Bearbeitung des Aufgabenfelds vielleicht sogar obsolet? Dies lässt sich exemplarisch an der Wirkung zweier technologischer Trends der letzten Jahre beantworten:

Data Analytics:

Die im Rahmen einer IT-Prüfung auswertbare Datenmenge ist in den letzten Jahren deutlich gestiegen. Treiber dieser Entwicklung ist unter anderem der deutliche Leistungsanstieg herkömmlicher Hardware, die auf Prüferseite die Datenverarbeitung unabhängig von dedizierten Rechenzentren möglich macht. Eine Vorauswertung kann bis zu einem Punkt erfolgen, an dem das menschliche Ermessen des Prüfers gefragt ist. Ist der Sachverhalt angemessen unter Einbezug aller relevanten Faktoren? Ergeben sich Diskrepanzen zwischen dem Prüfgegenstand im System und der flankierenden Prozessdokumentation? Fragen wie diese lassen sich bislang nicht maschinell lösen. In Summe kommt es durch Data Analytics trotz einer zunehmenden Automatisierung einfach strukturierter Aufgaben und klarer Entscheidungssituationen meist zu einem höheren Arbeitsaufkommen für IT-Prüfer.

Machine Learning:

Bisher gelingt es noch nicht, die im letzten Absatz aufgeworfenen Ermessensfragen maschinell abzubilden. Zur Debatte steht jedoch, ob das Aufkommen selbstlernender Systeme, sprich: Machine Learning, Abhilfe schaffen kann. Stand heute ist, dass Entscheidungssysteme in zwei grundlegenden Fällen häufig unzureichende Ergebnisse erzielen. Zum einen dann, wenn sich Resultate nicht trennscharf definieren lassen. Gemeint sind damit eindeutige Ergebnisse, wie „richtig“, „falsch“, „angemessen“ oder „ordnungsgemäß“. Zum anderen sind Inputs aus nicht-kommensurablen Datenquellen problematisch. Das heißt, wenn Daten nicht aus gleichartig strukturierten Daten in Wort, Bild und Schrift stammen. Gerade die IT-Prüfung, welche einen stark unstrukturierten Input aus Regulatorik, Prozessdarstellung, verbalen Inputs aus Mandanteninterviews und technischen wie kaufmännischen Systemdaten umfasst, ist als Anwendungsfall beim jetzigen Stand der Technik auf nicht absehbare Zeit ungeeignet.

Nichtsdestotrotz bildet das Machine Learning immer häufiger einen Prüfgegenstand des IT-Prüfers, zum Beispiel immer dann, wenn eine Maschine grundsätzliche gleichartige Zahlungseingänge gegen offene Posten abgleicht, oder stets ähnlich strukturierte Leasingverträge systemisch verbucht.

“Ein Blick in die Geschichte und Gegenwart der #IT-Prüfung zeigt uns den Pfad für deren #Zukunft sowie die neue Rolle und Bedeutung des IT-Prüfers.“

Twittern WhatsApp

Die Zukunft der IT-Prüfung

Wenn es um die Zukunft von Machine Learning und Data Analytics in der IT-Prüfung geht, ist die Innovationskraft der IT-Prüfer gefragt. Handelt es sich um vergleichsweise einfach zu durchschauende Routinen? Verbleibt die Entscheidungsfindung in einer Blackbox? Lässt sich ein Regelwerk aufstellen, welches Grundlagen guter Entscheidungsfindung vorgibt? Oder müssen neue Wege beschritten werden, die Maschinen wie menschliche Kollegen, den „Kollegen KI“, behandelt? Hier, in der Bewertung neuartiger Anwendungsfälle, zeigt sich die steigende Bedeutung der Rolle des IT-Prüfers in der Abschlussprüfung.

Der kurze Blick in die Geschichte und Gegenwart der IT-Prüfung macht damit vor allem eines überdeutlich: Die zunehmende Geschwindigkeit der technischen Innovationszyklen sowie deren Bedeutung und disruptive Wirkung. Diese Entwicklung erfordert eine stetige Neuausrichtung der Jahresabschlussprüfung im Rahmen der jeweils vorherrschenden technologischen Gegebenheiten. Damit ändert sich die Rolle und die Bedeutung der IT-Prüfer. Sie werden zu Lotsen des Wirtschaftsprüfers im Bereich neuer Technologien. Deren Auswirkungen auf die Finanzbuchhaltung wird mit fortschreitender Digitalisierung in den kommenden Jahren stark ansteigen. Die IT-Prüfung wird in näherer Zukunft zwar durch den Einsatz intelligenter Systeme unterstützt werden – der IT-Prüfer wird dadurch langfristig aber nicht ersetzt werden, sondern tendenziell eine wichtigere Rolle im Rahmen der Prüfung einnehmen.

Haben Sie Fragen oder Anregungen zu meinem Artikel?