Key Audit Matters – Mehr Information im Wirtschaftsprüfer-Testat?

Unter „Key Audit Matters“ (KAM) versteht man besonders wichtige Prüfungssachverhalte, die den Bestätigungsvermerk der Unternehmen von öffentlichem Interesse („PIEs“) erweitern. Diese Angaben sollen zu einem stärker individualisierten Bestätigungsvermerk im Vergleich zum bisherigen ,,Formeltestat“ führen. Entsprechend der Zielsetzung der neu eingeführten Regelungen zur Angabe von KAM erhalten die Abschlussadressaten dadurch einen detaillierteren Einblick in komplexe und ermessensbehaftete Prüfungssachverhalte und die in diesem Zusammenhang vom Wirtschaftsprüfer durchgeführten Prüfungshandlungen bzw. Prüfungsfeststellungen.

International wird die Anwendung der Berichterstattung der KAM durch die International Standards of Auditing 701 (ISA 701) vorgeben, in Deutschland wird ISA 701 durch den IDW PS 401 umgesetzt.
KAM stellen keinen Ersatz für pflichtgemäße Anhangsangaben bzw. für Einschränkungen oder Ergänzungen des Prüfungsurteils des Wirtschaftsprüfers dar. Zwar fließen die KAM in das Prüfungsurteil ein, entscheidend bleibt das Prüfungsurteil des Wirtschaftsprüfers zum Jahresabschluss insgesamt.

KAM müssen bei jeder Abschlussprüfung für das jeweilige Mandat von Neuem identifiziert werden. Zur Identifikation geben ISA und IDW ein dreistufiges Vorgehen vor:

  •  Sachverhalte, die mit dem Aufsichtsorgan erörtert werden
  •  Bestimmung der Sachverhalte, die während der Prüfung besondere Befassung erfordern
  •  Bestimmung der bedeutsamsten Sachverhalte (vgl. ISA 701.A.16 ff.; A.28 ff. bzw.
      IDW PS 401, Tz. A21 f. und A28 f.)

Die Berichterstattung hat in einem entsprechend überschriebenen gesonderten Abschnitt des Bestätigungsvermerks zu erfolgen. Jeder einzelne Sachverhalt besitzt eine eigene Unterüberschrift. Für jeden Prüfungssachverhalt ist auf etwaige zugehörige Angaben im Abschluss hinzuweisen. Der Wirtschaftsprüfer muss die Auswahl eines Prüfungssachverhalts als KAM begründen und dabei auf die Behandlung des Sachverhalts bei der Prüfung eingehen (vgl. ISA 701.13 bzw. IDW PS 401, Tz. 16). Ergeben sich keine mitteilungspflichtigen Sachverhalte, ist eine entsprechende Negativerklärung in den Bestätigungsvermerk aufzunehmen.

Es bleibt abzuwarten, wie sich die Pflicht zur Darstellung besonders wichtiger Prüfungssachverhalte im Testat zur Jahresabschlussprüfung des Wirtschaftsprüfers zukünftig auch auf die Prüfung kleinerer und mittlerer Unternehmen auswirken wird. Schließlich besteht auch dort vor dem Hintergrund des Gläubigerschutzes und des Informationsbedürfnisses von Stakeholdern ein nachvollziehbares Interesse an derartigen Angaben zur Tätigkeit des verantwortlichen Abschlussprüfers.

Wenn Sie noch Fragen rund um das Thema ,,besonders wichtige Prüfungssachverhalte“ haben, schreiben Sie uns gerne eine E-Mail oder kontaktieren Sie uns telefonisch!

Prüfung eines Compliance Management Systems nach IDW PS 980

Die Komplexität von Geschäftsvorfällen und die sich, durch das Zeitalter der Digitalisierung, häufig ändernde Rechtslage, sorgt für den Bedarf eines unternehmensinternen Kontrollsystems zur Einhaltung der allgemeinen Gesetzeslage, genannt Compliance Management System (CMS).

Unternehmen haben die Möglichkeit, ein solches System durch einen unabhängigen Wirtschaftsprüfer freiwillig prüfen zu lassen. Grundlage hierfür bildet der Prüfungsstandard IDW PS 980.

Um ein CMS aufzustellen, muss man sieben Grundelemente beachten, die der PS aufzählt. Die Säulen sind: Compliance –

  1. Kultur
  2. Ziele
  3. Organisation
  4. Risiken
  5. Programm
  6. Kommunikation
  7. Überwachung und Verbesserung

Die genaue Aufstellung des CMS sollte sich dabei lediglich an diesen sieben Säulen orientieren und kann je nach Unternehmen bzw. dessen Branche individuell aufgestellt werden.

Der Prüfer hat nach IDW PS 980 bei der Beurteilung eines CMS drei Stufen zu prüfen:

  1. Konzeptionsprüfung des CMS
  2. Prüfung der Angemessenheit des CMS
  3. Prüfung der Wirksamkeit des CMS

Erst, wenn die dritte Stufe als bestätigt angesehen wird, darf der Abschlussprüfer ein angemessenes, funktionsfähiges und wirksames Compliance Management System bescheinigen.

Da diese drei Stufen auch den Prozess der Erstellung eines CMS widerspiegeln, hat sich in der Praxis eine Beratertätigkeit des Wirtschaftsprüfers bereits bei der Konzeptionierung des CMS bewährt.

Besonderheiten der Abschlussprüfung bei Start-ups

Start-ups sind derzeit omnipräsent und bereichern die Wirtschaftswelt in großer Zahl und vielfältigen Formen. Durch die große Medienaufmerksamkeit von Start-ups sind in der Öffentlichkeit insbesondere positive Entwicklungen bekannt und üben einen besonderen Reiz für Investoren, Gründer und weitere wirtschaftliche Akteure aus. Aus Sicht des Wirtschaftsprüfers bringt die Prüfung solcher Unternehmen oftmals große Herausforderungen mit sich, sowohl im Hinblick auf das Verständnis des jeweiligen Geschäftsmodells, als auch in Bezug auf besondere Prüfungssachverhalte.

Start-ups sind in der Initialphase aufgrund ihrer Größenmerkmale nach den Vorschriften des HGB regelmäßig nicht prüfungspflichtig. Allerdings sind viele dieser Unternehmen durch die unternehmenseigene Satzung zur Beauftragung eines Wirtschaftsprüfers verpflichtet, da sich private oder institutionelle Kapitalgeber durch das Urteil eines externen Sachverständigen eine zusätzliche Absicherung in Bezug auf die Ordnungsmäßigkeit des Jahresabschlusses einholen möchten.

Hieraus ergibt sich für den Abschlussprüfer unmittelbar die Notwendigkeit, mit dem Mandanten das benötigte Maß an Prüfungssicherheit („Assurance Level“) zu klären. Hierbei kommt eine freiwillige Jahresabschlussprüfung nach den Vorschriften der §§ 316ff. HGB analog genauso in Betracht wir eine prüferische Durchsicht (IDW PS 900) des Jahresabschlusses oder eine (Sonder-)Prüfung der Finanzaufstellung oder deren Bestandteile nach IDW PS 490. Die Entscheidung, welches Maß an Prüfungssicherheit benötigt wird, ist von der Geschäftsführung (GmbH) bzw. vom Vorstand (AG) in eigener Verantwortung zu treffen, der Wirtschaftsprüfer kann lediglich die verschiedenen Varianten aufzeigen und die Unterschiede erklären.

Bei der eigentlichen Prüfungsdurchführung stellen sich für den Wirtschaftsprüfer regelmäßig besondere Herausforderungen in Bezug auf die Prüfung der Umsatzerlöse („Revenue Recognition“) und bei der Prüfung der sogenannten „Going-Concern-Prämisse“. Durch den starken Grad der Digitalisierung bzw. der IT-basierten Geschäftsmodelle von Start-ups müssen Wirtschaftsprüfer insbesondere zum Verständnis des Geschäftsmodells und der damit zusammenhängenden Umsatzerlösrealisierung in den Büchern der Unternehmen eine starke IT-Affinität mitbringen. Die Going-Concern-Prämisse, d.h. die Annahme der Unternehmensfortführung, wirkt sich fundamental auf die Bilanzierung dieser Unternehmen aus; daher ist der Wirtschaftsprüfer verpflichtet, diese Going-Concern-Annahme anhand einer kritischen Überprüfung der Unternehmensplanung besonders zu prüfen.

Trotz aller Eventualitäten bietet die Abschlussprüfung eines Start-ups die Chance für einen Wirtschaftsprüfer, in eine neue Welt der kreativen Köpfe einzutauchen, neue Geschäftsmodell kennenzulernen und junge Unternehmen durch fachkundige Begleitung in Bezug auf deren Rechnungswesen und Finanzzahlen zu begleiten.

Wir unterstützen Sie mit unserem jungen und IT-begeisterten Team gerne bei Ihren Vorhaben!

Deckelung von Beratungsleistungen durch den Abschlussprüfer („Honorar-Cap“)

Im Zuge der EU-Abschlussprüferreform 2014 wurde vor dem Hintergrund der Wahrung der Unabhängigkeit des Abschlussprüfers das sogenannte „Honorar-Cap“ (Deckelung von entgeltlichen Beratungsleistungen durch den Abschlussprüfer) eingeführt. Hiervon betroffen sind zunächst nur mehrjährig bestellte Abschlussprüfer von börsennotierten Unternehmen (sog. Public Interest Entities). Die in einer EU-Verordnung umgesetzte Regelung greift in Deutschland ab dem Geschäftsjahr 2020.

Entsprechend der Umsetzung in deutsches Recht werden die Gesamthonorare für erlaubte Nichtprüfungsleistungen – worunter im Allgemeinen Beratungsleistungen des Abschlussprüfers zu verstehen sind (z.B. auch für Steuerberatungsleistungen, Bewertungsleistungen) – auf maximal 70% des Durchschnitts der für die letzten drei aufeinanderfolgenden Geschäftsjahre an die verantwortliche Prüfungsgesellschaft durchschnittlich gezahlten Abschlussprüfungshonorare begrenzt. Das durchschnittlich gezahlte Prüfungshonorar umfasst sämtliche Honorare für die Abschlussprüfung des geprüften Unternehmens und ggf. seines Mutterunternehmens, der von ihm beherrschten Unternehmens und der konsolidierten Abschlüsse der betreffenden Unternehmensgruppe.

Im Rahmen einer laufenden Untersuchung, an der wir unterstützend mitgewirkt haben, konnte bereits festgestellt werden, dass die Einführung des Honorar-Caps zum jetzigen Zeitpunkt eine große Relevanz für die im DAX, MDAX, SDAX und TecDAX gelisteten Unternehmen haben wird und teilweise zu einer deutlichen Reduktion des heutigen Niveaus der durch den Abschlussprüfer zusätzlich erbrachten Beratungsleistungen führen wird. Über das endgültige Ergebnis der Untersuchung werden wir Sie zeitnahe in einem neuen Blogbeitrag unterrichten.

Was bedeutet diese Erkenntnis für die vom Honorar-Cap betroffenen Unternehmen und deren Abschlussprüfer? Große Prüfungsunternehmen aber auch Aufsichtsräte börsennotierter Unternehmen müssen zukünftig ganz genau das jährliche Beratungsvolumen bei Unternehmen überwachen, die unter diese Deckelungsregelung fallen. Diese Unternehmen werden also auch verstärkt sonstige Beratungsleistungen bei anderen Wirtschaftsprüfern nachfragen müssen, da ihr Prüfungsunternehmen aufgrund des Honorar-Cap von der Leistungserbringung ausgeschlossen ist.

Spezialisierte Wirtschaftsprüfungsunternehmen aus dem Mittelstand können hierbei durchaus interessante Alternativen darstellen, da es um die Erbringung eingrenzbarer Leistungen in der prüfungsnahen Beratung gehen wird. Sprechen Sie uns an!

Achtung: Neue Bilanzregelung im HGB kann steuerliche Organschaften gefährden!

Durch das „Gesetz zur Umsetzung der Wohnimmobilienkreditrichtlinie und zur Änderung handelsrechtlicher Vorschriften“ hat der Gesetzgeber für die Handelsbilanz leicht modifizierte Regelungen zur Bewertung von Pensionsrückstellungen (Abzinsungssätze) eingeführt. Dadurch kann es in der Erfolgsrechnung („GuV“) betroffener Unternehmen zu höheren Gewinnen kommen, die nach den neu eingeführten Regelungen aber nicht an die Anteilseigner ausgeschüttet werden dürfen (sog. „Ausschüttungssperre“ gem. § 253 Abs. 6 Satz 2 HGB).

Die Regelung kollidiert im Falle der Existenz von Gewinnabführungsverträgen mit den Vorschriften des Aktiengesetzes, bei denen eine analoge „Abführungssperre“ gerade nicht eingeführt wurde.

Grundvoraussetzung für die Anerkennung der steuerlichen Organschaft ist das Bestehen eines entsprechenden Gewinnabführungsvertrags, der auch tatsächlich durchgeführt wird. Entsprechenden Pressemeldungen zu Folge hat sich das Bundesfinanzministerium vor diesem Hintergrund nunmehr festgelegt, steuerliche Organschaften zukünftig nur dann weiter anzuerkennen, wenn der Gewinn vollständig abgeführt wird (d.h. Gewinn einschließlich der nach den handelsrechtlichen Vorschriften ausschüttungsgesperrten Erträge).

Im Falle des Vorliegens entsprechender Gewinnabführungsverträge und steuerlicher Organschaften sollte dieses Problemfeld in jedem Fall weiter untersucht werden. Möglicherweise wird das Bundesfinanzministerium hierzu auch noch ein entsprechendes BMF-Schreiben verlautbaren.

Neue EU-Datenschutz-Verordnung

Voraussichtlich im Juni 2016 verabschiedet das EU-Parlament die EU-Datenschutz-Grundverordnung. Die Verordnung soll Datenverarbeitungen künftig in der gesamten Union einheitlich regeln und den bisherigen Flickenteppich nationaler Gesetze zum Umgang mit personenbezogenen Daten ablösen.

Wenn sich Unternehmen nicht an die strengen neuen Vorgaben halten, drohen Geldbußen von bis zu vier Prozent des weltweiten Umsatzes des Vorjahres. Selbst bei kleineren Fehlern drohen Bußgelder von bis zu zwei Prozent des Umsatzes. Bei Unternehmensgruppen werden die Aufsichtsbehörden Geldbußen dabei wohl auf der Basis des Konzernumsatzes berechnen.

Was ändert sich mit dem neuen Recht?

  • Weltweite Geltung: Unternehmen im Ausland müssen den europäischen Datenschutz anwenden, wenn sie Daten von Personen in der EU verarbeiten, um diesen Personen Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der Union beobachten.
  • Persönliche Haftung von Datenschützern und Managern: Bislang mussten deutsche Datenschutzbeauftragte lediglich auf das Einhalten der Vorschriften „hinwirken“. Nach dem neuen Recht müssen sie jedoch überwachen, dass alle Regeln auch tatsächlich eingehalten werden. Aber auch Vorstände oder Geschäftsführer sind nicht besser dran. Sie haben schon nach dem bisherigen Recht weitreichende Kontrollpflichten.
  •  Training, Nachweispflichten und Rechenschaft: Auch bei der Dokumentation kommt im Datenschutz viel Arbeit auf die Wirtschaft zu. Diese unscheinbare Veränderung kann in der Praxis sehr teuer werden. Denn den geforderten Beweis, dass man alles richtig gemacht hat, muss man in Prozessen über Bußgelder oder Schadensersatz für Unternehmen erst einmal erbringen.  Das setzt ein effektives Datenschutz Management System voraus – inklusive Risikoanalysen, Trainings, Strukturen, Prozesse, Kontrollen und ein schnelles Change Management beim Datenschutz.
  • Information und Unterrichtung: Unternehmen müssen Personen künftig viel umfassender und früher unterrichten, wenn sie deren Daten verarbeiten.
  • Recht auf Vergessenwerden: Sobald ich personenbezogene Daten nicht mehr benötige, muss ich sie löschen. Wenn ich Daten veröffentlich habe, muss ich die Empfänger, an die ich die Daten weitergegeben habe, darüber informieren, wenn ein Betroffener die Löschung von Links oder Kopien dieser Daten verlangt.
  • Recht auf Kopie und „Datenportabilität“: Ein Betroffener kann von Unternehmen, die seine Daten speichern, verlangen, dass sie ihm eine Kopie sämtlicher gespeicherter Daten geben.
  • Koppelungsverbot bei Einwilligungen: Vertragliche Zusatzleistungen dürfen nicht mehr daran geknüpft werden, dass der Betroffene in die Verarbeitung seiner Daten einwilligt. Das Geschäftsmodell „Dienste gegen Daten“ dürfte über diese Veränderung nicht glücklich sein.
  • Datenschutz-Folgenabschätzungen: Wenn eine Datenverarbeitung voraussichtlich hohe Risiken für die persönlichen Rechte und Freiheiten betroffener Personen zur Folge hat, muss das Unternehmen eine umfassende Vorprüfung vornehmen, dokumentieren und gegebenenfalls später mit der Datenschutzbehörde abstimmen.
  • Datenschutz durch Technik: Firmen müssen ihre IT-Systeme so gestalten, dass diese den Anforderungen der Verordnungen entsprechen, als beispielsweise von vornherein nur so wenige Daten sammeln und verarbeiten, wie es zur Erreichung des konkret verfolgten Zwecks nötig ist. Wo dies möglich ist, sollen Daten pseudonymisert werden. Wenn ein Unternehmen nicht die vorgeschriebene Datensicherheit sicherstellt – beispielsweise zur Abwehr von Hackerangriffen -, kann das sehr teuer werden. Hier drohen bei Mängeln Bußgelder von bis zu zwei Prozent des Umsatzes.
  • Datenschutz am Arbeitsplatz: Viele der neuen Regeln hatten die IT-Wirtschaft im Blick und passen daher schlecht zum Datenschutz am Arbeitsplatz. Allerdings kann man in Betriebsvereinbarungen alternative Vorgaben zur Verarbeitung von Arbeitnehmerdaten vereinbaren. Das geht aber nur zusammen mit dem Betriebsrat. Daher verhandeln die ersten Unternehmen jetzt schon mit ihren Arbeitnehmervertretern.

Trojaner „Locky“ –  wie gefährlich Cybercrime für Unternehmen werden kann

Weltweit legt ein Trojaner namens „Locky“ Rechner lahm und Erpresser fordern für die Freischaltung Lösegeld. Vor allem in Deutschland verbreitet sich die Schadsoftware rasant. Besonders tückisch für Unternehmen: gelangt die Schadsoftware über einen PC-Arbeitsplatz ins unternehmensinterne Netzwerk, infiziert sie auch andere angebundene Rechner, indem sie sich selbstständig weiterkopiert. Bei Unternehmen, die stark von IT-gestützten Arbeitsprozessen abhängig sind und keine entsprechenden Sicherungsmaßnahmen und Notfallkonzepte haben, kann ein entsprechender „Locky“-Befall verheerende Folgen haben, insbesondere wenn der Virus in sensible Bereiche wie zentrale Serveranwendungen vordringt und dort Dateien irreparabel verschlüsselt.

So macht der Trojaner die Daten auf den Rechnern unbrauchbar
Wichtige Dateien auf einem infizierten Windows-Rechner werden zunächst verschlüsselt und dann umbenannt. Die Dokumente haben nach dem Prozess die Endung .locky. Sobald die Dateien verschlüsselt sind, werden per email anonymisierte Erpresserbriefe  mit einer Lösegeldforderung zugeschickt. Nach Angaben der Erpresser ist die Verschlüsselung kaum zu knacken. Demnach werden die Dateien mit einem RSA-Kryptoschlüssel und einer AES-Verschlüsselung unbrauchbar gemacht und können nur mit einer speziellen Software namens „Locky Decryptor“ gerettet werden. Für diese Software verlangen die Erpresser einen Betrag von 0,5 Bitcoin, was laut dem aktuellen Kurs der Kryptowährung rund 200 Euro entspricht.

Wie kommt der Trojaner auf den Rechner
Der Trojaner gelangt über Fake-Rechnungen im Anhang auf den PC. Sobald der Anhang geöffnet wurde, wird die Schadsoftware automatisch heruntergeladen. Bei den E-Mails handelt sich unter anderem um eine deutsche Mitteilung eines vermeintlichen Wurstwarenkonzerns, eine Rechnung zu begleichen. Im Anhang dieser E-Mail liegt das Zip-Dokument, in der sich die Javascript-Schadsoftware versteckt.

Aber auch über den Browser können sich Nutzer den Trojaner einhandeln. Sofern eine Schwachstelle auf dem Rechner ausgenutzt werden kann, genügt es, die Seite zu besuchen, um die Daten auf einem Windows-Rechner zu zerstören. Viele Anti-Viren-Programme reagieren noch nicht auf die Bedrohung, da „Locky“ erst seit Kurzem im Netz kursiert.

Und so schützen Sie sich und Ihr Unternehmen vor einer Infektion:

– Vorsichtig sein mit E-Mail-Anhängen
Deaktivieren Sie die Makro-Funktion in Dateien, die Sie per E-Mail erhalten. Bei Mails von fremden Personen sollten Sie vorsichtig sein. „Locky“ wird nach Angaben von Sicherheitsexperten in aller Regel über E-Mail-Anhänge eingeschleust, die sich etwa als harmloses Word-Dokument tarnen, aber im Hintergrund die gefährliche Software installieren. Informieren Sie ihre Mitarbeiter entsprechend und geben Sie explizite Vorgaben in Bezug auf IT-Nutzungsverhalten (Mails von nicht identifizierbaren Adressen/Kontakten dürfen nicht geöffnet werden, insbesondere nicht angefügte Dateien). Führen Sie Meldepflichten ein, sollten verdächtige Emails von Ihren Mitarbeitern identifiziert werden und ziehen Sie bei Bedarf IT-Spezialisten hinzu.

– Daten per Back-up sichern
„Locky“ verschlüsselt die Dateien nach Angaben der Erpresser so gut, dass sie unbrauchbar werden. Sichern Sie Ihre Daten also möglichst per Back-up, damit sie Ihre Dokumente wiederherstellen können. Am besten eignet sich dafür eine Festplatte, die nicht ständig mit dem PC verbunden ist, wie eine externe USB-Platte.

– Verwenden Sie aktuelle Software
Bringen Sie möglichst alle zentralen Schutzfunktionen (Firewalls, Virenscanner, etc.) in Ihrem Unternehmen auf den neuesten Stand, um Sicherheitslücken zu schließen. Installieren Sie Patches für den Browser, für Office-Anwendungen und den Flash-Player. Malware-Programme nutzen insbesondere Sicherheitslücken in dieser Software aus und mit Updates sinkt die Wahrscheinlichkeit einer Infizierung. Ziehen Sie bei Bedarf gegebenenfalls IT-Spezialisten hinzu, die Sie zielgerichtet bei der Umsetzung entsprechender Sicherheitsmaßnahmen unterstützen.

GoBD zur IT-gestützten Buchführung veröffentlicht (November 2014)

Mit dem BMF-Schreiben vom 14. 11. 2014 hat die Finanzverwaltung ihre Anforderungen an die IT-gestützte Buchführung und zum Datenzugriff zusammengefasst. Die neuen „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“, kurz GoBD, ersetzen die bisher getrennten Stellungnahmen. Sie gelten für Veranlagungszeiträume ab 2015. Gemäß Finanzverwaltung sollen die GoBD zwar keine Änderung der materiellen Rechtslage darstellen, die bisherigen Verlautbarungen wurden aber vorallem hinsichtlich aktueller technischer Entwicklungen überarbeitet und integriert. Die GoBD stellen primär die aus Sicht der Finanzverwaltung notwendigen Voraussetzungen und Anforderungen an IT-gestützte Buchführungssysteme dar; sie konkretisieren insofern aber auch die eher allgemein gehaltenen handelsrechtlichen Grundsätze ordnungsgemäßer Buchführung in Bezug auf rechnungslegungsrelevante IT-Systeme. Die verschiedenen Aspekte der GoBD sind somit ebenfalls für die Prüfung der rechnungslegungsrelevanten IT-Systeme im Rahmen der Jahresabschlussprüfung von Relevanz und beeinflussen entsprechend die im IDW PS 330 festgehaltenen Prüfungshandlungen.