1

IDW RS FAIT 4Anforderungen an die Ordnungsmäßigkeit

und Sicherheit IT-gestützter Konsolidierungsprozesse

(FN-IDW 10/2012, S. 552, und WPg Supplement 21/2012)

Aktuelle Bilanzierungs- und Prüfungs-fragen aus der Facharbeit des IDW

2

Gliederung (1/2)

■ Hintergrund und Zielsetzung des IDW RS FAIT 4■ Merkmale und Risiken des IT-gestützten

Konsolidierungsprozesses■ Sicherheit und Ordnungsmäßigkeit IT-gestützter

Konsolidierungsprozesse

3

Gliederung (2/2)

■ Konzernrechnungslegungsbezogenes IKS● IT-Umfeld und -Organisation● IT-Infrastruktur● IT-Anwendungen● Der IT-gestützte Konsolidierungsprozess

■ Überwachung des konzernrechnungslegungsbezogenen IKS

■ Outsourcing der IT-gestützten Konsolidierungsprozesse

4

Hintergrund und Zielsetzung des IDW RS FAIT 4 (1)

■ Aufstellung von Konzernabschlüssen i.d.R. softwaregestützt

■ Konsolidierungsprozess ist integraler Bestandteil der IT-gestützten Rechnungslegung

■ IT-Systeme müssen gewährleisten, dass konsolidierungsbedingte Anpassungsmaßnahmen: ● vollständig und richtig durchgeführt werden ● nachvollzogen werden können

5

Hintergrund und Zielsetzung des IDW RS FAIT 4 (2)

IDW RS FAIT 4

konkretisiert die aus den §§ 290 – 315 a HGB

resultierenden Anforderungen an IT-

gestützte Konsolidierungs-prozesse

veranschaulicht die Ordnungsmäßigkeits- und Sicherheitsanforderungen gem. IDW RS FAIT 1 für

den Prozess der Konzern-abschlusserstellung

6

■ Merkmale des IT-gestützten Konsolidierungsprozesses

■ Bei manuellen Konsolidierungsverfahren ist IDW RS FAIT 4 nicht anzuwenden

Automatisierte Durchführung von Konsolidierungs-maßnahmen mittels Stamm- und Steuerungsdaten

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (1)

Automatisierte Kontroll- und Abstimmverfahren

Parametrisierte bzw. programmierte Konsolidierungslogiken und -funktionen

7

■ Bedeutsame Risiken des IT-gestützten Konsolidierungs-prozesses

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (2)

• Unterschiedliche Buchungs- und Abschlusszeitpunkte

• Übermittlung der Reporting Packages fehlerhaft oder unvollständig

• Konsolidierungsbedingte Anpassungsmaßnahmen unvollständig oder fehlerhaft abgebildet

• Konsolidierungsbedingte Anpassungsmaßnahmen nur bedingt programmgesteuert bzw. manuell

Konzernrechnungslegungsbezogenes internesKontrollsystem (IKS) erforderlich

8

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (3)

■ IKS: Grundsätze, Verfahren und Maßnahmen (Regelungen) zur● Sicherung der Wirksamkeit und Wirtschaftlichkeit der

Geschäftstätigkeit● Ordnungsmäßigkeit und Verlässlichkeit der internen und

externen Rechnungslegung● Einhaltung der maßgeblichen rechtlichen Vorschriften

9

■ Im Rahmen des konzernrechnungslegungsbezogenen IKS kommen insb. folgende Kontrollaktivitäten zum Einsatz: ● prozessintegrierte bzw. teilprozessübergreifende

manuelle Kontrollen ● automatische Kontrollen zur Workflow- und

Ablaufsteuerung ■ prozessintegrierte manuelle Kontrollen umfassen bspw.:

● die zeitnahe Bearbeitung von Fehlermeldungen und -protokollen

● die Kontrolle der zutreffenden Erfassung von manuellen Konsolidierungsmaßnahmen

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (4)

10

■ teilprozessübergreifende manuelle Kontrollen betreffen bspw. Kontrollen im Zusammenhang mit der Pflege der Stammdaten sowie Kontrollen zur sachlogischen Richtigkeit der Verarbeitungsregeln

■ prozessintegrierte automatische Kontrollen zur Workflow- und Ablaufsteuerung betreffen bspw. die korrekte Einstellung der Steuerungsparameter

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (5)

11

Merkmale und Risiken des IT-ge-stützten Konsolidierungsprozesses (6)■ Art und Umfang des IKS abhängig von:

● anzuwendenden Rechnungslegungsvorschriften● Anzahl und Komplexität der einzubeziehenden

Abschlüsse● durchzuführenden konsolidierungsbedingten

Anpassungsmaßnahmen● eingesetzten IT-Systemen

12

Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (1)

■ Voraussetzung für Ordnungsmäßigkeit und somit Verlässlichkeit IT-gestützter Konsolidierungsprozesse: ● sachgerechte Abbildung● Sicherheit der eingesetzten IT-Systeme und

verarbeiteten Daten

13

Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (2)

■ Sicherheitsanforderungen an IT-Systeme:● Vertraulichkeit – Daten werden nur an Berechtigte

weitergegeben und sind vor Veränderung und Einsichtnahme durch Unberechtigte geschützt

● Integrität – Daten, IT-Anwendungen, IT-Infrastruktur werden nur in einem klar definierten Zustand eingesetzt und nur autorisierte Änderungen sind zulässig

● Verfügbarkeit – die für die IT-gestützte Konzern-rechnungslegung notwendigen IT-Systeme und Daten stehen in angemessener Zeit funktionsfähig bereit

14

● Autorisierung – nur im Voraus festgelegte Personen können die für das System definierten Rechte wahrnehmen

● Authentizität – eine konsolidierungsbedingte Anpassungsmaßnahme kann einem Verursacher eindeutig zugeordnet werden

● Verbindlichkeit – die Eigenschaft von IT-gestützten Verfahren, gewollte Rechtsfolgen bindend herbeizuführen

Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (3)

15

Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (4)

■ Grundlegende Anforderungen an die Ordnungsmäßigkeit:● Grundsätze der Konsolidierung und der einheitlichen

Bilanzierung und Bewertung (§§ 300 Abs. 1, 308 HGB)

● Vollständigkeitsgebot (§§ 294 Abs. 1, 300 Abs. 2 Satz 1 HGB; § 246 Abs. 1 i.V.m. § 298 Abs. 1 HGB)

● Prüfungspflicht (§ 317 Abs. 3 HGB)● Angabe der wesentlichen Merkmale des IKS/RMS im

Hinblick auf den Konzernrechnungslegungsprozess (§ 315 Abs. 2 Nr. 5 HGB)

16

Sicherheit und Ordnungsmäßigkeit IT-gestützter Konsolidierungsprozesse (5)

■ Abgeleitete prinzipienbasierte Anforderungen an die Ordnungsmäßigkeit und Verlässlichkeit:● Vollständigkeit des Konsolidierungskreises und der

Bilanz- und GuV-Posten● Richtigkeit, Zeitgerechtheit (richtige Perioden-

zuordnung) und Ordnung der Einbeziehung● Nachvollziehbarkeit des Konzernabschlusses und des

Konzernrechnungslegungsverfahrens

17

Konzernrechnungslegungsbezogenes IKS – Überblick (1)

IT-gestützter Konsolidierungsprozess

IT-Anwendung

IT-Infrastruktur

IT-System

IKS

ein

schl

ießl

ich

(IT-O

rgan

isat

ion/

-Um

feld

)Kontrollziele

Ordnungsmäßigkeit der IT-gestützten Konsolidierungsprozesse:

Vollständige, richtige, zeitgerechte, geordnete undnachvollziehbare Verarbeitung

Sicherheit:Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit,Integrität, Verfügbarkeit

Prozessrisiken

Anwendungsrisiken

Infrastrukturrisiken

Ris

iken

18

■ IT-System

Konzernrechnungslegungsbezogenes IKS – Überblick (2)

Sicherheitskonzept(Zugriffskontrollen, Sicherungsmaßnahmen, Datensicherungsverfahren, Auslagerung)

Organisationshandbuch (Regelbetrieb) Katastrophenfall-Szenarien (Notfall)

Anwendungsbezogene Kontrollen(Eingabe-, Verarbeitungs-, Ausgabekontrollen)

Generelle Kontrollen(Software-Entwicklung und -Beschaffung,Test- und Freigabeverfahren, Change Mgt.)

Interne Kontrollprozesse Datenaustausch (Teilsysteme) Zugriffsrechte (Berechtigungskonzepte) Funktionale Anforderungen (FAIT 4) Prozessübergreifende Stammdatenpflege

Konzernbericht-erstattung

Netze

beeinflusst

beeinflusst

Hardware

EA

DC

BB

Int. ReLeOper. Sys.

Ext. ReLe

19

Konzernrechnungslegungsbezogenes IKS – IT-Umfeld und -Organisation (1)

■ IT-Umfeld:● Richtlinien / Kommunikations- und Informationsverfahren● Prozesse zur Aufdeckung/Vermeidung von Risiken, die

zu Fehlern und Verstößen führen können● Problembewusstsein des Managements und der

Mitarbeiter erforderlich■ IT-Organisation:

● Aufbauorganisation: Verantwortlichkeiten und Kompetenzen

● Ablauforganisation: Organisation der Entwicklung, Einführung, Änderung und Steuerung der IT-gestützten Konsolidierungsprozesse

20

Konzernrechnungslegungsbezogenes IKS – IT-Umfeld und -Organisation (2)

■ IT-Umfeld und -Organisation: generelle IT-Kontrollen erforderlich, diese umfassen:● konsistente Berechtigungsvergabe● Stammdatenänderung● logische Zugriffskontrollen● Changemanagement

21

■ IT-Infrastruktur: ● umfasst technische Ressourcen und Regelungen des IT-

Betriebs in Bezug auf den Einsatz IT-gestützter Konsolidierungsverfahren inkl. notwendiger Systemsoftware und sonstiger Hilfssoftware

● Sicherungsmaßnahmen umfassen:□ physische Sicherungsmaßnahmen□ logische Zugriffskontrollen□ Datensicherungs- und Auslagerungsverfahren

Konzernrechnungslegungsbezogenes IKS – IT-Infrastruktur

22

■ Typische Funktionalitäten von IT-Anwendungen:● Pflege von Stamm- / Steuerungs-

daten / Änderungsprotokollierung● Berechtigungsverwaltung● Import- und Export-Schnittstellen● Währungsumrechnung● Kapitalkonsolidierung● Konzernaufrechnungen● Zwischenergebniseliminierung● Berechnung latenter Steuern● Konzernreporting

Konzernrechnungslegungsbezogenes IKS – IT-Anwendungen

Gru

ndsä

tzlic

he A

nfor

deru

ngen

Zeitliche Ordnung

Zeitliche Ordnung

23

Währungs-umrechnung

Fehlerkor-rekturen,

HB II-Anpas-sungen1

Übernahme Meldedaten

Bericht-erstattung

Latente Steuern

Kapitalkon-solidierung

Zwischen-ergebnis-

eliminierungKonzernauf-rechnungen

Der IT-gestützte Konsolidierungspro-zess – Überblick

1 soweit nicht in den Buchführungssystemen der Tochterunternehmen bzw. Teilbereiche erfolgt

24

■ Übernahme von Vorjahresbeträgen und -angaben muss vollständig, richtig und nachvollziehbar sein

■ Bedeutsame Kontrollen:● Abstimmung der Schluss- / Eröffnungsbilanzwerte● Kontrolle der Regeln / Parameter für den Saldovortrag● Kontrolle, ob bei Posten mit Entwicklungsdarstellung die

Steuerung des Saldovortrags zutreffend ist● Abstimmung der vorgetragenen Werte auf Vollständigkeit● maschinelle bzw. automatische Überleitung/

Fortschreibung des Ergebnisvortragspostens bzw. -kontos

Der IT-gestützte Konsolidierungspro-zess – Saldovortrag

25

■ Meldedaten:● Vermögensgegenstände, Schulden,

Rechnungsabgrenzungsposten● Aufwendungen und Erträge● Sonstige Angaben, insb. zum Konzernanhang, zur

Segmentberichterstattung und zum Konzernlagebericht■ Vollständige und richtige Übernahme der Meldedaten

in den Summenabschluss

Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (1)

26

■ Wesentliche Kontrollen zur Konsistenz und Plausibilität der Meldedaten sind z.B:● Kontrolle auf Übereinstimmung Aktiva und Passiva● Kontrolle, ob identischer JÜ- bzw. Bilanzgewinn-Ausweis

in Bilanz und GuV ● Verprobung von Bilanzveränderungen mit den

korrespondierenden Änderungen in der GuV ● Kontrolle auf Übereinstimmung der Abschreibungen im

Konzernanlagengitter und in der Konzern-GuV● Abstimmung der (Auf-)Gliederung in Anhang und Bilanz● Forderungen/Verbindlichkeiten – Partnereinheit ist kein

verbundenes Unternehmen

Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (2)

27

■ Bedeutsame Kontrollen hinsichtlich der Übernahme der Einzelabschlüsse sind insb.:● Kontrolle auf Vollständigkeit und Richtigkeit der

Parameter● Kontrolle, ob alle Konten/Posten vollständig und richtig

im Summenabschluss enthalten sind (z.B. Prüfziffern-verfahren)

● Kontrolle bzgl. Änderung von Meldedaten nach Upload ● Kontrolle, ob autorisierte Nachträge vollständig in den

Summenabschluss übernommen wurden

Der IT-gestützte Konsolidierungspro-zess – Übernahme Einzelabschlüsse (3)

28

Der IT-gestützte Konsolidierungspro-zess – Fehlerkorrektur, HB II

■ Bedeutsame Kontrollen sind z.B.:● Kontrolle auf Vollständigkeit und Richtigkeit

vorgenommener Fehlerkorrekturen● Kontrolle anhand Währungsumrechnungsprotokoll ● Kontrolle, ob vollständiger und richtiger Vortrag von

Fehlerkorrekturen bzw. Handelsbilanz II-Anpassungen des Vorjahres erfolgt ist

HB II-Anpassungen (Grundsatz der konzerneinheitlichen Bilanzierung)Fehlerkorrekturen

Einzel-abschluss

Konzern-abschluss

• Auswirkungen auf Währungs-umrechnung beachten

• Vortrag bei Folgeabschlüssen

29

■ Umrechnungskurse und Behandlung von Währungsumrechnungsdifferenzen werden in Parametern hinterlegt

■ Drei Kategorien von Währungsumrechnungs-differenzen:● Umrechnungsdifferenzen aufgrund geänderter

Umrechnungskurse bei Darstellung der zeitlichen Entwicklung von Bilanzposten (z.B. Anlagengitter)

● Umrechnung von Bilanzposten bzw. -konten mit unterschiedlichen Kursen

● Umrechnung von Posten bzw. Konten der Bilanz und der GuV mit unterschiedlichen Kursen

Der IT-gestützte Konsolidierungspro-zess – Währungsumrechnung (1)

30

■ Bedeutsame Kontrollen sind z.B.:● Nachvollzug der zutreffenden Abbildung der

Währungsumrechnungsmethode● Nachvollzug der Behandlung von Differenzen bei der

Darstellung der zeitlichen Entwicklung von Bilanzposten● Nachvollzug von Vollständigkeit und Richtigkeit der

Angaben zur Währungsumrechnung im Konzernanhang● Kontrolle auf Vollständigkeit der Umrechnung von allen

Posten● Kontrolle auf zutreffende Rundung● Kontrolle der verwendeten Umrechnungskurse

Der IT-gestützte Konsolidierungspro-zess – Währungsumrechnung (2)

31

Der IT-gestützte Konsolidierungspro-zess – Kapitalkonsolidierung (1)

■ IT-gestützte Funktionalitäten zur Unterstützung der Kapitalkonsolidierung sind z.B.:● Ermittlung konsolidierungspflichtiger EK-Anteile der

Tochterunternehmen● Erfassung und Fortführung stiller Reserven und Lasten

aus der Erstkonsolidierung● Bildung und Abschreibung von GoF● Erfassung und Fortschreibung von Veränderungen im

konsolidierungspflichtigen EK● Verarbeitungs- und Fehlerprotokolle

32

■ Bedeutsame Kontrollen sind u.a.:● Kontrolle der Parameter und Regeln zur maschinellen

Konsolidierung● Kontrolle, ob Veränderungen der konsol.pflichtigen

Anteile bzw. des Eigenkapitals vollständig und zum richtigen Zeitpunkt berücksichtigt wurden

● Kontrolle, ob Beteiligungsbuchwerte vollständig mit anteiligem EK verrechnet wurden

● Kontrolle der zutreffenden Verteilung von Unterschiedsbeträgen

● Kontrolle einer zutreffenden GoF-Abschreibung

Der IT-gestützte Konsolidierungspro-prozess – Kapitalkonsolidierung (2)

33

Der IT-gestützte Konsolidierungspro-zess – Konzernaufrechnungen* (1)

*Forderungs-/Schuldenkonsolidierung, Aufwands-/Ertragskonsolidierung, Beteiligungsertragskonsolidierung

Forderungen bzw. Erträge

Verbindlichkeiten bzw. Aufwendun

gen

Währungsbedingte Differenzen

Echte Aufrechnungsdifferenzen

Unechte Aufrechnungsdifferenzen

34

■ Bedeutsame Kontrollen sind z.B.:● Kontrolle der vollständigen Konzernaufrechnung durch

manuellen Nachvollzug der einbezogenen Bilanz- und GuV-Posten

● Kontrolle auf Nutzung von Limiteinstellungen● Kontrolle, ob Aufrechnungsdifferenzen zutreffend

abgebildet werden ● Kontrolle der zutreffenden Konsolidierung einseitig

gemeldeter Sachverhalte (z.B. Rückstellungen) ● Durchsicht des Protokolls der Aufrechnungsdifferenzen

*Forderungs-/Schuldenkonsolidierung, Aufwands-/Ertragskonsolidierung, Beteiligungsertragskonsolidierung

Der IT-gestützte Konsolidierungspro-zess – Konzernaufrechnungen* (2)

35

Der IT-gestützte Konsolidierungspro-zess – Zwischenergebniseliminierung

■ Bedeutsame Kontrollen sind u.a.:● Kontrolle auf Vollständigkeit, Richtigkeit, Stetigkeit der für

die Zwischenergebniseliminierung zugrunde gelegten Parameter und Regeln

● Kontrolle der Korrektur von Abschreibungen auf VG, die unter Entstehung eliminierungspflichtiger Zwischenergebnisse aktiviert wurden

● Kontrolle der richtigen Fortschreibung von Bestandsveränderungen bzw. Herstellkosten

36

Der IT-gestützte Konsolidierungspro-zess – Latente Steuern

■ IT-gestützte Funktionalitäten zur Berechnung latenter Steuern sind u.a.:● Erfassung der Sachverhalte mit abweichender handels-

und steuerrechtlicher Behandlung● Erfassung der für Besteuerungszwecke vorgenommenen

außerbilanziellen Hinzurechnungen / Kürzungen● rechn. Ermittlung aktiver/passiver latenter Steuern

■ Bedeutsame Kontrollen sind insb.:● Kontrolle der Erfassung von Steuersatzänderungen● Verprobung maschinell ermittelter latenter Steuern● Kontrolle der zutreffenden Verrechnung aktiver und

passiver Steuerlatenzen

37

Der IT-gestützte Konsolidierungspro-zess – Konzernberichterstattung

■ Bedeutsame Kontrollen:● Kontrolle auf Übereinstimmung der Werte in Bilanz, GuV,

etc. mit der Datenbasis im Konsolidierungssystem● Kontrolle, ob Veränderungen in den Parametern (z.B.

Konsolidierungskreis etc.) auch im Reporting bei der Definition der Filter und der Selektionskriterien abgebildet werden

● Kontrolle auf Übereinstimmung der Berichte beim Reporting des finalen Konzernabschlusses mit dem Datenbestand des Konsolidierungssystems

■ Finaler Reportinglauf und Gesamtabstimmung des Konzernabschlusses

38

Der IT-gestützte Konsolidierungspro-zess – Änderung Konsolidierungskreis

■ Wesentliche Kontrollen bei der Erstkonsolidierung:● Unternehmensstammdaten● Erstkonsolidierungszeitpunkt● Beteiligungsquote, Anschaffungskosten● Kaufpreisallokation● Parametrisierung für Abbildung eines GoF bzw. eines

negativen Unterschiedsbetrags■ Wesentliche Kontrollen bei Ausscheiden eines

Unternehmens aus dem Konsolidierungskreis:● Abgangszeitpunkt● vollständige Eliminierung der Meldedaten● Abgangsergebnis

39

Überwachung des konzernrechnungs-legungsbezogenen IKS

■ Welche Maßnahmen zur Überwachung der Wirksamkeit des konzernrechnungslegungs-bezogenen IKS umzusetzen sind, ist abhängig von der Komplexität des Konsolidierungsprozesses

■ Überwachungsmaßnahmen u.a.:● Durchsicht der Kontrolldokumentation bzgl. erkannter

fehlender Meldedaten der Tochterunternehmen● Plausibilisierung von Beträgen und Angaben im

Konzernabschluss mit der Planungsrechnung● Durchsicht der Kontrolldokumentation auf erkannte

Verprobungsdifferenzen durch die interne Revision

40

Outsourcing der IT-gestützten Konsolidierungsprozesse

■ Verantwortung für die Einhaltung der Ordnungsmäßigkeits- und Sicherheitsanforderungen verbleibt bei den gesetzlichen Vertretern des Mutterunternehmens

■ Auswirkungen auf das konzernrechnungslegungs-bezogene Kontrollsystem sind zu berücksichtigen

■ Interne Überwachungsmaßnahmen und explizite vertragliche Vereinbarungen und Service Level Agreements mit dem Outsourcing-Dienstleister erforderlich