Um Unternehmensrisiken zu senken, muss im Kontext der Wirtschaftsprüfung nicht nur eine nachvollziehbare Dokumentation der Datenmigration selbst, sondern auch eine nachvollziehbare Projektdokumentation (Projektfreigabe, Zeitplanung Go-Live Freigabe etc.) berücksichtigt werden.

Prüfungsaufwand relevant

Für viele Unternehmen ist der Prüfungsaufwand sowohl bei der Einführung als auch im laufenden Betrieb von ERP-Systemen ein wichtiger Aspekt, wenn es um Risikotransparenz geht. Zwischen Cloud und On-Premise ERP-Systemen gibt es hinsichtlich der Prüfungsinhalte, keine Unterschiede. Die Risiken müssen hier unabhängig vom System betrachtet werden. Unterschiede gibt es bei der Abarbeitung der einzelnen Prüfungsthemen bzw. bei den Prüfungen der Kontrollen. Viele Kontrollen werden bei Cloud-ERP Systemen durch den Service Provider durchgeführt.

Hinsichtlich des Prüfungsaufwandes sind ERP Systeme von SAP im Gegensatz zu anderen Softwareherstellern besonders in Österreich im klaren Vorteil. Da SAP-Systeme in Österreich weit verbreitet sind, haben Wirtschaftsprüfungsagenturen bereits zahlreiche Tools entwickelt, welche die Wirtschaftsprüfung effizienter machen. Dabei handelt es sich um diverse Toolunterstützungen, die u.a. für SAP-Berechtigungen als auch für die Prüfung von Datenmigrationen sowie in den Abschlussprüfungen zum Einsatz kommen können. In den Tools wird auch mit modernen digitalen Anwendungen, wie Automatisierungen und Künstlicher Intelligenz gearbeitet. Die Daten werden entweder durch den Kunden zur Verfügung gestellt oder der Zugriff erfolgt über eine RFC-Verbindung.

Andere ERP-Systeme haben hier noch Aufholbedarf. Hier ist der Prüfungsaufwand abhängig davon, wie gut Nachweise und Auswertungen aus dem System geladen werden können. Für die Wirtschaftsprüfung bietet zudem SAP standardmäßig sehr gute Auswertungsmöglichkeiten.

Bei Cloud Systemen kann sich der Prüfungsaufwand nochmals reduzieren, da diese als Standard (Off-the-shelf) deklariert werden können. Einzelne Prüfungspunkte können somit komplett entfallen. Dies wäre beispielsweise bei der Public Cloud SaaS Lösung der Fall. Im Bereich Change-Management werden nur die Release Einspielungen geprüft, welche vom Service Provider zur Verfügung gestellt werden. Ein klassischer Change-Management Prozess ist nicht mehr notwendig. Auch im Bereich Operations hat der Kunde mit Backuperstellung oder Systemüberwachung keinen Aufwand mehr.

Compliance und Cyber Security

Ein Teil der Prüfungen bezieht sich auf compliance-relevante Vorgehensweisen wie z.B. ISAE3402 oder SOC1 Berichte. SAP stellt diese im „Trust Center” für SaaS-Lösungen zur Verfügung. Der Prüfungsaufwand wird dadurch effizienter und entlastet den Kunden, da Berichte nicht mehr extra angefordert werden müssen.

Die Forderungen der Steuerbehörden nach Echtzeit-Berichten und die konforme Abwicklung von regulatorischen Compliance Anforderungen, kann mit SAP sowohl über die Standardlösung als auch über Erweiterungen, Add-Ons oder Tax Engines, sowie über SAP Advanced Compliance Reporting erfolgen.

Zum Thema Cyber Security gibt es aus Prüfersicht spezielle Kontrollen unabhängig davon, ob es sich um On-Premise oder Cloud Systeme handelt. Um Überraschungen zu vermeiden, wird aus Sicht der Wirtschaftsprüfung empfohlen wichtige Cyber Security Aspekte für die Cloud Nutzung mit der Umsetzung einer Sicherheitsstrategie zu decken. Die Konzeption und Ausgestaltung einer sicheren Cloud Architektur sollten Unternehmen daher nicht vernachlässigen.

Ausblick in die Zukunft

Für die Zukunft werden auch sozioökonomische Aspekte in der Wirtschaftsprüfung eine immer größere Rolle spielen. Mit Corporate Social Responsibility Richtlinien müssen Unternehmen sich der Herausforderung stellen, dass Prüfsysteme komplexer und individueller werden und nicht nur Finanzdaten beinhalten. In Zukunft wird ein Real-Time Audit, eine automatisierte Prüfung deren Stand in Echtzeit abgefragt werden kann, immer realistischer. Das ist eine große Chance für Unternehmen sich weiter zu entwickeln und mit der Innovation Schritt zu halten.