Die übliche Vorgehensweise einer Prozessaufnahme und Stichprobenprüfung stellt in Zeiten von Big Data nicht immer die richtige Methodik für eine effektive Prüfung dar. Aus diesem Grund muss sich die Interne Revision überlegen, welche neuen Methodiken sie einführen muss, um diesen Anforderungen gerecht zu werden.

Hier bieten sich Massendatenanalysen mit Hilfe von elektronischen Werkzeugen an. Mit ihrer Hilfe können in ausgewählten Bereichen effizient Vollprüfungen über einen gesamten Datenbestand durchgeführt werden.

Begriff Massendaten

Massendaten sind eine hohe Anzahl (un)strukturierter, digital gespeicherter Daten; oder die Grundgesamtheit der Unternehmensdaten, die für verschiedene Zwecke erhoben wurden (z.B. Außenstandslisten, Personaldaten, Liste aller Lieferanten von Speditionsleistungen), im Unterschied zur Gesamtheit aller Daten zu einem Prüfungsobjekt.

Eine digitale Massendatenanalyse ist die Verwendung computergestützter Methoden und Werkzeuge zur Analyse und Auswertung einer hohen Anzahl digital gespeicherter betriebswirtschaftlicher Daten. Pragmatisch abgegrenzt ist es jene Datenmenge, die z.B. nicht mehr durch konventionelle Tabellenkalkulationsprogramme strukturiert und bearbeitet werden kann, weil diese an ihre technischen Grenzen stoßen.

Die hierfür eingesetzten Werkzeuge heißen in der Sprache der Internen Revision CAATs, vom amerikanischen Computer Aided Audit Tools.

Inhalt und Erfordernis

Der schnell fortschreitende Einsatz von IT-Systemen in Unternehmen bedingt eine Zunahme der im Prüfungsverlauf zu verarbeitenden Datenmengen. Die große Menge an Daten und Datensätzen im operativen Tagesgeschäft fallen z.B. an in der Personal- oder Kunden-Stammdatenverwaltung, der Kreditoren- und Debitorenbuchhaltung, der Anlagenbuchhaltung großer Industriebetriebe, Daten aus Produktion oder Vertrieb, u. Ä. Solche Daten finden sich in ERP-Systemen, wie z.B. SAP R/3 oder Navision.

Eine Vollprüfung ist dann im Rahmen eines konventionellen Prüfvorgehens i.d.R. nicht mehr durchführbar; daher ist der Prüfer gezwungen, eine Auswahl vorzunehmen: er kann eine Zufallsstichprobe ziehen oder eine bewusste Auswahl treffen. In jedem Fall basiert das Vorgehen auf Unkenntnis der Grundgesamtheit der Gesamtdatenmenge. Dazu kommt, dass eine manuelle Abdeckung über sporadische Stichproben aus einer Grundmenge von zig Tausenden Geschäftsfällen zu unvertretbar kleinen Stichprobenumfängen führt. Daher ist zu bezweifeln, dass den Vorgaben nach angemessener Überwachung und Kontrolle (z.B. in § 91(2) AktG, § 25a (1) KWG, Punkte 4.1.3 und 4.1.4 im DCGK, § 130 OWiG) mittels manueller Stichproben noch entsprochen werden kann.

Genau hier setzt die Massendatenanalyse an. COSO als Trendsetter geht noch weiter: „… Monitoring Processes – Organizations may select from a wide variety of monitoring procedures …, including but not limited to: … Continuous monitoring programs built into IT systems …“ Die Analyse umfangreicher Datenbestände ist eine wichtige Unterstützung bei Prüfungen z.B. des Internen Kontrollsystems, der Ordnungsmäßigkeit oder der Identifikation von Schwachstellen in einem Prozess.

Geschäfts- und die Daten des internen und externen Rechnungswesens sind die Basis für Datenauswertungen. Grundlegende Annahme der Datenanalyse ist, dass Regelübertretungen und -verstöße ihre Spuren in den digitalen Datenbeständen hinterlassen; das Gleiche gilt für Prozessineffizienzen, die heute mittels verschiedener Werkzeuge identifiziert und abgebildet werden können. Aber auch formal regelkonforme Transaktionen können Auffälligkeiten aufweisen, die auf ein Risiko hindeuten (z.B. die Stückelung von Beträgen zur Umgehung von Betragsgrenzen oder die Zerlegung eines Großprojekts in zahlreiche kleinere Projekte, um damit formale Genehmigungen leichter zu erreichen).

Bei Massendatenanalysen wird eine Grundgesamtheit von Daten betrachtet, z.B. alle Bestellungen der vergangenen drei Monate. Anstelle von Stichproben oder einer bewussten Auswahl werden risikoorientierte Fragen gestellt und auf die Grundgesamtheit bezogen. Ziel ist es – bezogen auf vorher klar zu definierende Risikofelder und daraus abgeleitete Fragestellungen, z.B. Modalitäten der Freigabe von Bestellungen – aus der Grundgesamtheit aller zur Verfügung stehender Daten jene Datensätze herauszufinden, die auf Abweichungen, Unregelmäßigkeiten, Klumpen-Risiken oder Regelverstöße hindeuten.

Massendatenanalysen im Rahmen der rechtlichen Möglichkeiten

Bewegen sich die Datenanalysen nicht mehr rein im Bereich der Rechnungswesen-Daten oder explizit in der Auswertung von Arbeitnehmerdaten, sind strenge Regeln einzuhalten. Es empfiehlt sich, die generelle Zielsetzung und Vorgehensweise für den Fall personenbezogener Datenanalysen dem Betriebsrat und dem Datenschutzbeauftragten vorzustellen.

Gemäß § 28 (1) Nr. 2 BDSG sind Auswertungen zur Wahrung berechtigter Interessen des Unternehmens nur zulässig, wenn kein Grund zur Annahme besteht, dass das schutzwürdige Interesse der Betroffenen am Ausschluss der Verarbeitung oder Nutzung überwiegt. Dabei ist die Verhältnismäßigkeit des verfolgten Zwecks zur Schwere des Eingriffs für die Zuverlässigkeit der Analyse entscheidend. Bei der Auswertung von Rechnungswesen-Daten von Kunden und Lieferanten besteht in jedem Fall ein berechtigtes überwiegendes Interesse des Unternehmens. In allen anderen Fällen sollte zur Beurteilung dieser Frage der Datenschutzbeauftragte frühzeitig einbezogen werden. 

Aufgrund des Minimalitätsprinzips des BDSG sollen in allen Fällen möglichst nur die erforderlichen Datenfelder für eine Analyse herangezogen werden, wobei grundsätzlich keine Namen verwendet werden sollten.

Bei Massendatenanalysen im internationalen Umfeld sind die lokalen Gesetze zu beachten. Diese können sehr viel strikter sein als die deutschen; es empfiehlt sich daher dringend, sich vor der Durchführung solcher Analysen ein genaues Bild über die rechtlichen Rahmenbedingungen zu machen.

Analyseprozess und mögliche Prüfungsergebnisse

Bei der Analyse der verdichteten Daten ist Vorsicht geboten: Die dabei selektierten Datensätze weisen nur im weitesten Sinn auf Schwachstellen oder Abweichungen vom Regelprozess hin.  So bergen z.B. Rechnungen ohne zugrunde liegende Bestellungen wie auch die Bezahlung von Rechnungen ohne nachweislichen Eingang der Lieferung ein hohes Risiko. Mittels IT-basierter Analyse ist es mit geringem Aufwand möglich, die Rechnungen zu identifizieren, die sich nicht auf eine Bestellung beziehen bzw. fehlende Lieferscheine nachzuweisen. Allerdings basieren nicht alle Rechnungen oder Zahlungen auf einer Bestellung, wie z.B. Kommunalabgaben oder Versicherungsprämien.

Zu beachten ist, dass die Zeitaufwände bei einer Massendatenuntersuchung nicht zwangsläufig geringer werden. Vielmehr muss bei Pilotprojekten mit einem höheren Zeitaufwand gerechnet werden, und zwar so lange, bis die Prüfungshandlungen gegebenenfalls standardisiert werden können. Erfahrungsgemäß liegt der Mehraufwand bei ca. 30 – 40 %.

Um die Aussagekraft der Ergebnisse abzusichern, sind weitere Recherchen durchzuführen, wie das Sichten von Verträgen oder Belegen und das Führen von Interviews. Auch bei Massendatenanalysen wird die Interne Revision nicht um eine Prozessaufnahme herumkommen, um nicht ein Fehlurteil abzugeben.

Beispielhafte Untersuchung von Kreditoren

Im zu prüfenden Unternehmen werden in der Kreditorenbuchhaltung pro Jahr Rechnungen von 100.000 Lieferanten verarbeitet. Als Prüfungsziel wird die Identifikation von Scheinlieferanten definiert.

Die Ausgangsfrage für eine Massendatenanalyse könnte lauten: Wie können echte von Scheinlieferanten unterschieden werden? Daraus entstehen Fragen, die dann auf den Datenbestand angewendet werden, wie vor allem die folgenden:

• Welche Lieferanten haben ihren Umsatz in den letzten Jahren zumindest verdoppelt?
• Bei welchen Lieferanten findet die Buchung des kompletten Umsatzes eher zu Periodenbeginn statt? Ggf. werden die dolosen Aktionen zeitlich gebündelt, um das vermeintliche Entdeckungsrisiko zu minimieren.
• Bei welchen Lieferanten wurden die Bankverbindlichkeiten häufig geändert? Ggf. werden Bankverbindungen bestehender Lieferanten kurzfristig geändert, um diese Änderung dann wieder rückgängig zu machen, um nicht ordnungsgemäße Überweisungen zu tätigen.
• Bei welchen Lieferanten fehlen die Bankverbindlichkeiten in den Stammdaten? Ggf. werden hier Zahlungen immer manuell durchgeführt.
• Bei welchen Lieferanten finden manuelle Buchungen (im Gegensatz zu automatischen Buchungen statt)?
• Welche Lieferanten werden über CpD-Konten abgerechnet? Dieser Art der Buchung (i.d.R. max. zweimal pro Jahr, oft mit Betragsobergrenze) liegen keine Stammdaten zugrunde, d.h. alle erforderlichen Eingaben ins System werden von Mitarbeitern vorgenommen; damit besteht das Risiko fehlerhafter Eingaben.
• Bei welchen Lieferanten liegen fehlende oder nur Postfachadressen vor?

Aufwand

Drei Schritte sind vor Durchführen einer Massendatenanalyse sinnvoll:

• Um den spezifischen Prüfungskontext zu verstehen, muss die Revision wissen, wie der zu prüfende Bereich organisiert ist und welche Prozesse dort in welcher Form ablaufen.
• Auf dem Prozessverständnis sollte die Frage aufbauen: Ist das IKS in den Prozessen wirksam?
• Wie sind die Daten aufgebaut, die analysiert und auswertet werden sollen?

Bevor kostspielige Analyseinstrumente bzw. Einmal-Lizenzen dafür beschafft werden, sollte mit kostengünstigen Standardformaten wie Excel oder IDEA begonnen werden. Denn der (vor allem Zeit-)Aufwand für Vorbereitung – siehe oben das Erfordernis der Information an den Betriebsrat bzw. den Datenschutzbeauftragten – und für Datenbeschaffung (über den Fachbereich oder die IT) ist relativ hoch; daher muss der Nutzen auch als relativ hoch eingeschätzt werden und auch realisierbar sein.