Upload
walther-schmitt
View
212
Download
0
Embed Size (px)
Citation preview
1
IDW RS FAIT 4Anforderungen an die Ordnungsmäßigkeit
und Sicherheit IT-gestützter Konsolidierungsprozesse
(FN-IDW 10/2012, S. 552, und WPg Supplement 21/2012)
Aktuelle Bilanzierungs- und Prüfungs-fragen aus der Facharbeit des IDW
2
Gliederung (1/2)
■ Hintergrund und Zielsetzung des IDW RS FAIT 4■ Merkmale und Risiken des IT-gestützten
Konsolidierungsprozesses■ Sicherheit und Ordnungsmäßigkeit IT-gestützter
Konsolidierungsprozesse
3
Gliederung (2/2)
■ Konzernrechnungslegungsbezogenes IKS● IT-Umfeld und -Organisation● IT-Infrastruktur● IT-Anwendungen● Der IT-gestützte Konsolidierungsprozess
■ Überwachung des konzernrechnungslegungsbezogenen IKS
■ Outsourcing der IT-gestützten Konsolidierungsprozesse
4
Hintergrund und Zielsetzung des IDW RS FAIT 4 (1)
■ Aufstellung von Konzernabschlüssen i.d.R. softwaregestützt
■ Konsolidierungsprozess ist integraler Bestandteil der IT-gestützten Rechnungslegung
■ IT-Systeme müssen gewährleisten, dass konsolidierungsbedingte Anpassungsmaßnahmen: ● vollständig und richtig durchgeführt werden ● nachvollzogen werden können
5
Hintergrund und Zielsetzung des IDW RS FAIT 4 (2)
IDW RS FAIT 4
konkretisiert die aus den §§ 290 – 315 a HGB
resultierenden Anforderungen an IT-
gestützte Konsolidierungs-prozesse
veranschaulicht die Ordnungsmäßigkeits- und Sicherheitsanforderungen gem. IDW RS FAIT 1 für
den Prozess der Konzern-abschlusserstellung
6
■ Merkmale des IT-gestützten Konsolidierungsprozesses
■ Bei manuellen Konsolidierungsverfahren ist IDW RS FAIT 4 nicht anzuwenden
Automatisierte Durchführung von Konsolidierungs-maßnahmen mittels Stamm- und Steuerungsdaten
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (1)
Automatisierte Kontroll- und Abstimmverfahren
Parametrisierte bzw. programmierte Konsolidierungslogiken und -funktionen
7
■ Bedeutsame Risiken des IT-gestützten Konsolidierungs-prozesses
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (2)
• Unterschiedliche Buchungs- und Abschlusszeitpunkte
• Übermittlung der Reporting Packages fehlerhaft oder unvollständig
• Konsolidierungsbedingte Anpassungsmaßnahmen unvollständig oder fehlerhaft abgebildet
• Konsolidierungsbedingte Anpassungsmaßnahmen nur bedingt programmgesteuert bzw. manuell
Konzernrechnungslegungsbezogenes internesKontrollsystem (IKS) erforderlich
8
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (3)
■ IKS: Grundsätze, Verfahren und Maßnahmen (Regelungen) zur● Sicherung der Wirksamkeit und Wirtschaftlichkeit der
Geschäftstätigkeit● Ordnungsmäßigkeit und Verlässlichkeit der internen und
externen Rechnungslegung● Einhaltung der maßgeblichen rechtlichen Vorschriften
9
■ Im Rahmen des konzernrechnungslegungsbezogenen IKS kommen insb. folgende Kontrollaktivitäten zum Einsatz: ● prozessintegrierte bzw. teilprozessübergreifende
manuelle Kontrollen ● automatische Kontrollen zur Workflow- und
Ablaufsteuerung ■ prozessintegrierte manuelle Kontrollen umfassen bspw.:
● die zeitnahe Bearbeitung von Fehlermeldungen und -protokollen
● die Kontrolle der zutreffenden Erfassung von manuellen Konsolidierungsmaßnahmen
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (4)
10
■ teilprozessübergreifende manuelle Kontrollen betreffen bspw. Kontrollen im Zusammenhang mit der Pflege der Stammdaten sowie Kontrollen zur sachlogischen Richtigkeit der Verarbeitungsregeln
■ prozessintegrierte automatische Kontrollen zur Workflow- und Ablaufsteuerung betreffen bspw. die korrekte Einstellung der Steuerungsparameter
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (5)
11
Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (6)■ Art und Umfang des IKS abhängig von:
● anzuwendenden Rechnungslegungsvorschriften● Anzahl und Komplexität der einzubeziehenden
Abschlüsse● durchzuführenden konsolidierungsbedingten
Anpassungsmaßnahmen● eingesetzten IT-Systemen
12
Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (1)
■ Voraussetzung für Ordnungsmäßigkeit und somit Verlässlichkeit IT-gestützter Konsolidierungsprozesse: ● sachgerechte Abbildung● Sicherheit der eingesetzten IT-Systeme und
verarbeiteten Daten
13
Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (2)
■ Sicherheitsanforderungen an IT-Systeme:● Vertraulichkeit – Daten werden nur an Berechtigte
weitergegeben und sind vor Veränderung und Einsichtnahme durch Unberechtigte geschützt
● Integrität – Daten, IT-Anwendungen, IT-Infrastruktur werden nur in einem klar definierten Zustand eingesetzt und nur autorisierte Änderungen sind zulässig
● Verfügbarkeit – die für die IT-gestützte Konzern-rechnungslegung notwendigen IT-Systeme und Daten stehen in angemessener Zeit funktionsfähig bereit
14
● Autorisierung – nur im Voraus festgelegte Personen können die für das System definierten Rechte wahrnehmen
● Authentizität – eine konsolidierungsbedingte Anpassungsmaßnahme kann einem Verursacher eindeutig zugeordnet werden
● Verbindlichkeit – die Eigenschaft von IT-gestützten Verfahren, gewollte Rechtsfolgen bindend herbeizuführen
Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (3)
15
Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (4)
■ Grundlegende Anforderungen an die Ordnungsmäßigkeit:● Grundsätze der Konsolidierung und der einheitlichen
Bilanzierung und Bewertung (§§ 300 Abs. 1, 308 HGB)
● Vollständigkeitsgebot (§§ 294 Abs. 1, 300 Abs. 2 Satz 1 HGB; § 246 Abs. 1 i.V.m. § 298 Abs. 1 HGB)
● Prüfungspflicht (§ 317 Abs. 3 HGB)● Angabe der wesentlichen Merkmale des IKS/RMS im
Hinblick auf den Konzernrechnungslegungsprozess (§ 315 Abs. 2 Nr. 5 HGB)
16
Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (5)
■ Abgeleitete prinzipienbasierte Anforderungen an die Ordnungsmäßigkeit und Verlässlichkeit:● Vollständigkeit des Konsolidierungskreises und der
Bilanz- und GuV-Posten● Richtigkeit, Zeitgerechtheit (richtige Perioden-
zuordnung) und Ordnung der Einbeziehung● Nachvollziehbarkeit des Konzernabschlusses und des
Konzernrechnungslegungsverfahrens
17
Konzernrechnungslegungsbezogenes IKS – Überblick (1)
IT-gestützter Konsolidierungsprozess
IT-Anwendung
IT-Infrastruktur
IT-System
IKS
ein
schl
ießl
ich
(IT-O
rgan
isat
ion/
-Um
feld
)Kontrollziele
Ordnungsmäßigkeit der IT-gestützten Konsolidierungsprozesse:
Vollständige, richtige, zeitgerechte, geordnete undnachvollziehbare Verarbeitung
Sicherheit:Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit,Integrität, Verfügbarkeit
Prozessrisiken
Anwendungsrisiken
Infrastrukturrisiken
Ris
iken
18
■ IT-System
Konzernrechnungslegungsbezogenes IKS – Überblick (2)
Sicherheitskonzept(Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)
Organisationshandbuch (Regelbetrieb) Katastrophenfall-Szenarien (Notfall)
Anwendungsbezogene Kontrollen(Eingabe-, Verarbeitungs-, Ausgabekontrollen)
Generelle Kontrollen(Software-Entwicklung und -Beschaffung,Test- und Freigabeverfahren, Change Mgt.)
Interne Kontrollprozesse Datenaustausch (Teilsysteme) Zugriffsrechte (Berechtigungskonzepte) Funktionale Anforderungen (FAIT 4) Prozessübergreifende Stammdatenpflege
Konzernbericht-erstattung
Netze
beeinflusst
beeinflusst
Hardware
EA
DC
BB
Int. ReLeOper. Sys.
Ext. ReLe
19
Konzernrechnungslegungsbezogenes IKS – IT-Umfeld und -Organisation (1)
■ IT-Umfeld:● Richtlinien / Kommunikations- und Informationsverfahren● Prozesse zur Aufdeckung/Vermeidung von Risiken, die
zu Fehlern und Verstößen führen können● Problembewusstsein des Managements und der
Mitarbeiter erforderlich■ IT-Organisation:
● Aufbauorganisation: Verantwortlichkeiten und Kompetenzen
● Ablauforganisation: Organisation der Entwicklung, Einführung, Änderung und Steuerung der IT-gestützten Konsolidierungsprozesse
20
Konzernrechnungslegungsbezogenes IKS – IT-Umfeld und -Organisation (2)
■ IT-Umfeld und -Organisation: generelle IT-Kontrollen erforderlich, diese umfassen:● konsistente Berechtigungsvergabe● Stammdatenänderung● logische Zugriffskontrollen● Changemanagement
21
■ IT-Infrastruktur: ● umfasst technische Ressourcen und Regelungen des IT-
Betriebs in Bezug auf den Einsatz IT-gestützter Konsolidierungsverfahren inkl. notwendiger Systemsoftware und sonstiger Hilfssoftware
● Sicherungsmaßnahmen umfassen:□ physische Sicherungsmaßnahmen□ logische Zugriffskontrollen□ Datensicherungs- und Auslagerungsverfahren
Konzernrechnungslegungsbezogenes IKS – IT-Infrastruktur
22
■ Typische Funktionalitäten von IT-Anwendungen:● Pflege von Stamm- / Steuerungs-
daten / Änderungsprotokollierung● Berechtigungsverwaltung● Import- und Export-Schnittstellen● Währungsumrechnung● Kapitalkonsolidierung● Konzernaufrechnungen● Zwischenergebniseliminierung● Berechnung latenter Steuern● Konzernreporting
Konzernrechnungslegungsbezogenes IKS – IT-Anwendungen
Gru
ndsä
tzlic
he A
nfor
deru
ngen
Zeitliche Ordnung
Zeitliche Ordnung
23
Währungs-umrechnung
Fehlerkor-rekturen,
HB II-Anpas-sungen1
Übernahme Meldedaten
Bericht-erstattung
Latente Steuern
Kapitalkon-solidierung
Zwischen-ergebnis-
eliminierungKonzernauf-rechnungen
Der IT-gestützte Konsolidierungspro-zess – Überblick
1 soweit nicht in den Buchführungssystemen der Tochterunternehmen bzw. Teilbereiche erfolgt
24
■ Übernahme von Vorjahresbeträgen und -angaben muss vollständig, richtig und nachvollziehbar sein
■ Bedeutsame Kontrollen:● Abstimmung der Schluss- / Eröffnungsbilanzwerte● Kontrolle der Regeln / Parameter für den Saldovortrag● Kontrolle, ob bei Posten mit Entwicklungsdarstellung die
Steuerung des Saldovortrags zutreffend ist● Abstimmung der vorgetragenen Werte auf Vollständigkeit● maschinelle bzw. automatische Überleitung/
Fortschreibung des Ergebnisvortragspostens bzw. -kontos
Der IT-gestützte Konsolidierungspro-zess – Saldovortrag
25
■ Meldedaten:● Vermögensgegenstände, Schulden,
Rechnungsabgrenzungsposten● Aufwendungen und Erträge● Sonstige Angaben, insb. zum Konzernanhang, zur
Segmentberichterstattung und zum Konzernlagebericht■ Vollständige und richtige Übernahme der Meldedaten
in den Summenabschluss
Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (1)
26
■ Wesentliche Kontrollen zur Konsistenz und Plausibilität der Meldedaten sind z.B:● Kontrolle auf Übereinstimmung Aktiva und Passiva● Kontrolle, ob identischer JÜ- bzw. Bilanzgewinn-Ausweis
in Bilanz und GuV ● Verprobung von Bilanzveränderungen mit den
korrespondierenden Änderungen in der GuV ● Kontrolle auf Übereinstimmung der Abschreibungen im
Konzernanlagengitter und in der Konzern-GuV● Abstimmung der (Auf-)Gliederung in Anhang und Bilanz● Forderungen/Verbindlichkeiten – Partnereinheit ist kein
verbundenes Unternehmen
Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (2)
27
■ Bedeutsame Kontrollen hinsichtlich der Übernahme der Einzelabschlüsse sind insb.:● Kontrolle auf Vollständigkeit und Richtigkeit der
Parameter● Kontrolle, ob alle Konten/Posten vollständig und richtig
im Summenabschluss enthalten sind (z.B. Prüfziffern-verfahren)
● Kontrolle bzgl. Änderung von Meldedaten nach Upload ● Kontrolle, ob autorisierte Nachträge vollständig in den
Summenabschluss übernommen wurden
Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (3)
28
Der IT-gestützte Konsolidierungspro-zess – Fehlerkorrektur, HB II
■ Bedeutsame Kontrollen sind z.B.:● Kontrolle auf Vollständigkeit und Richtigkeit
vorgenommener Fehlerkorrekturen● Kontrolle anhand Währungsumrechnungsprotokoll ● Kontrolle, ob vollständiger und richtiger Vortrag von
Fehlerkorrekturen bzw. Handelsbilanz II-Anpassungen des Vorjahres erfolgt ist
HB II-Anpassungen (Grundsatz der konzerneinheitlichen Bilanzierung)Fehlerkorrekturen
Einzel-abschluss
Konzern-abschluss
• Auswirkungen auf Währungs-umrechnung beachten
• Vortrag bei Folgeabschlüssen
29
■ Umrechnungskurse und Behandlung von Währungsumrechnungsdifferenzen werden in Parametern hinterlegt
■ Drei Kategorien von Währungsumrechnungs-differenzen:● Umrechnungsdifferenzen aufgrund geänderter
Umrechnungskurse bei Darstellung der zeitlichen Entwicklung von Bilanzposten (z.B. Anlagengitter)
● Umrechnung von Bilanzposten bzw. -konten mit unterschiedlichen Kursen
● Umrechnung von Posten bzw. Konten der Bilanz und der GuV mit unterschiedlichen Kursen
Der IT-gestützte Konsolidierungspro-zess – Währungsumrechnung (1)
30
■ Bedeutsame Kontrollen sind z.B.:● Nachvollzug der zutreffenden Abbildung der
Währungsumrechnungsmethode● Nachvollzug der Behandlung von Differenzen bei der
Darstellung der zeitlichen Entwicklung von Bilanzposten● Nachvollzug von Vollständigkeit und Richtigkeit der
Angaben zur Währungsumrechnung im Konzernanhang● Kontrolle auf Vollständigkeit der Umrechnung von allen
Posten● Kontrolle auf zutreffende Rundung● Kontrolle der verwendeten Umrechnungskurse
Der IT-gestützte Konsolidierungspro-zess – Währungsumrechnung (2)
31
Der IT-gestützte Konsolidierungspro-zess – Kapitalkonsolidierung (1)
■ IT-gestützte Funktionalitäten zur Unterstützung der Kapitalkonsolidierung sind z.B.:● Ermittlung konsolidierungspflichtiger EK-Anteile der
Tochterunternehmen● Erfassung und Fortführung stiller Reserven und Lasten
aus der Erstkonsolidierung● Bildung und Abschreibung von GoF● Erfassung und Fortschreibung von Veränderungen im
konsolidierungspflichtigen EK● Verarbeitungs- und Fehlerprotokolle
32
■ Bedeutsame Kontrollen sind u.a.:● Kontrolle der Parameter und Regeln zur maschinellen
Konsolidierung● Kontrolle, ob Veränderungen der konsol.pflichtigen
Anteile bzw. des Eigenkapitals vollständig und zum richtigen Zeitpunkt berücksichtigt wurden
● Kontrolle, ob Beteiligungsbuchwerte vollständig mit anteiligem EK verrechnet wurden
● Kontrolle der zutreffenden Verteilung von Unterschiedsbeträgen
● Kontrolle einer zutreffenden GoF-Abschreibung
Der IT-gestützte Konsolidierungspro-prozess – Kapitalkonsolidierung (2)
33
Der IT-gestützte Konsolidierungspro-zess – Konzernaufrechnungen* (1)
*Forderungs-/Schuldenkonsolidierung, Aufwands-/Ertragskonsolidierung, Beteiligungsertragskonsolidierung
Forderungen bzw. Erträge
Verbindlichkeiten bzw. Aufwendun
gen
Währungsbedingte Differenzen
Echte Aufrechnungsdifferenzen
Unechte Aufrechnungsdifferenzen
34
■ Bedeutsame Kontrollen sind z.B.:● Kontrolle der vollständigen Konzernaufrechnung durch
manuellen Nachvollzug der einbezogenen Bilanz- und GuV-Posten
● Kontrolle auf Nutzung von Limiteinstellungen● Kontrolle, ob Aufrechnungsdifferenzen zutreffend
abgebildet werden ● Kontrolle der zutreffenden Konsolidierung einseitig
gemeldeter Sachverhalte (z.B. Rückstellungen) ● Durchsicht des Protokolls der Aufrechnungsdifferenzen
*Forderungs-/Schuldenkonsolidierung, Aufwands-/Ertragskonsolidierung, Beteiligungsertragskonsolidierung
Der IT-gestützte Konsolidierungspro-zess – Konzernaufrechnungen* (2)
35
Der IT-gestützte Konsolidierungspro-zess – Zwischenergebniseliminierung
■ Bedeutsame Kontrollen sind u.a.:● Kontrolle auf Vollständigkeit, Richtigkeit, Stetigkeit der für
die Zwischenergebniseliminierung zugrunde gelegten Parameter und Regeln
● Kontrolle der Korrektur von Abschreibungen auf VG, die unter Entstehung eliminierungspflichtiger Zwischenergebnisse aktiviert wurden
● Kontrolle der richtigen Fortschreibung von Bestandsveränderungen bzw. Herstellkosten
36
Der IT-gestützte Konsolidierungspro-zess – Latente Steuern
■ IT-gestützte Funktionalitäten zur Berechnung latenter Steuern sind u.a.:● Erfassung der Sachverhalte mit abweichender handels-
und steuerrechtlicher Behandlung● Erfassung der für Besteuerungszwecke vorgenommenen
außerbilanziellen Hinzurechnungen / Kürzungen● rechn. Ermittlung aktiver/passiver latenter Steuern
■ Bedeutsame Kontrollen sind insb.:● Kontrolle der Erfassung von Steuersatzänderungen● Verprobung maschinell ermittelter latenter Steuern● Kontrolle der zutreffenden Verrechnung aktiver und
passiver Steuerlatenzen
37
Der IT-gestützte Konsolidierungspro-zess – Konzernberichterstattung
■ Bedeutsame Kontrollen:● Kontrolle auf Übereinstimmung der Werte in Bilanz, GuV,
etc. mit der Datenbasis im Konsolidierungssystem● Kontrolle, ob Veränderungen in den Parametern (z.B.
Konsolidierungskreis etc.) auch im Reporting bei der Definition der Filter und der Selektionskriterien abgebildet werden
● Kontrolle auf Übereinstimmung der Berichte beim Reporting des finalen Konzernabschlusses mit dem Datenbestand des Konsolidierungssystems
■ Finaler Reportinglauf und Gesamtabstimmung des Konzernabschlusses
38
Der IT-gestützte Konsolidierungspro-zess – Änderung Konsolidierungskreis
■ Wesentliche Kontrollen bei der Erstkonsolidierung:● Unternehmensstammdaten● Erstkonsolidierungszeitpunkt● Beteiligungsquote, Anschaffungskosten● Kaufpreisallokation● Parametrisierung für Abbildung eines GoF bzw. eines
negativen Unterschiedsbetrags■ Wesentliche Kontrollen bei Ausscheiden eines
Unternehmens aus dem Konsolidierungskreis:● Abgangszeitpunkt● vollständige Eliminierung der Meldedaten● Abgangsergebnis
39
Überwachung des konzernrechnungs-legungsbezogenen IKS
■ Welche Maßnahmen zur Überwachung der Wirksamkeit des konzernrechnungslegungs-bezogenen IKS umzusetzen sind, ist abhängig von der Komplexität des Konsolidierungsprozesses
■ Überwachungsmaßnahmen u.a.:● Durchsicht der Kontrolldokumentation bzgl. erkannter
fehlender Meldedaten der Tochterunternehmen● Plausibilisierung von Beträgen und Angaben im
Konzernabschluss mit der Planungsrechnung● Durchsicht der Kontrolldokumentation auf erkannte
Verprobungsdifferenzen durch die interne Revision
40
Outsourcing der IT-gestützten Konsolidierungsprozesse
■ Verantwortung für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen verbleibt bei den gesetzlichen Vertretern des Mutterunternehmens
■ Auswirkungen auf das konzernrechnungslegungs-bezogene Kontrollsystem sind zu berücksichtigen
■ Interne Überwachungsmaßnahmen und explizite vertragliche Vereinbarungen und Service Level Agreements mit dem Outsourcing-Dienstleister erforderlich