Prüferaufsicht im Wandel: APAS und PCAOB im Vergleich

Der wirtschaftliche Wandel stellt auch die Abschlussprüferaufsicht vor neue Probleme: Themen wie ESG, Künstliche Intelligenz und Cyberrisiken fordern die Institutionen heraus. Wie sind die deutsche Abschlussprüferaufsichtsstelle (APAS) und das US-amerikanische Public Company Accounting Oversight Board (PCAOB) darauf eingestellt? Ein Vergleich. 

Eine gute Qualität der Abschlussprüfungen stärkt das Vertrauen in Unternehmen und Märkte – und ist damit Grundvoraussetzung für eine florierende Wirtschaft. Doch wie lässt sich das hohe Niveau beim Audit erreichen? Eines der wesentlichen Kriterien hierfür ist eine Kontrolle der Abschlussprüfer*innen selbst – ein Ziel, dem sich auch die Prüfungsaufsichten Deutschlands und der USA verschrieben haben. Mit ihren Instrumenten wirken sie darauf hin, dass die Prüfer*innen ihre Audits objektiv, verantwortungsvoll und nach höchsten Standards durchführen. Sie schützen damit Stakeholder wie Investoren, Kund*innen und potenzielle Mitarbeiter*innen vor falschen Entscheidungen, die diese auf der Basis fehlerhafter Informationen treffen.

Doch die Kontrolle der Kontrolleur*innen ist in den vergangenen Jahren nicht einfacher geworden – im Gegenteil. So hat sich das Tätigkeitsspektrum innerhalb der Branche erheblich erweitert: Die Prüfer*innen schauen heute nicht mehr allein auf die Zahlen der Finanzberichte, sondern bewerten auch die ESG-Informationen aus den Unternehmen. Sowohl bei finanziellen wie bei nicht-finanziellen Reportings gilt es, die Auswirkungen neuer Technologien zu berücksichtigen – von der zunehmenden Digitalisierung und dem Einsatz Künstlicher Intelligenz (KI) bis hin zur Bilanzierung von Krypto-Währungen. Entwicklungen wie diese erhöhen nicht nur die Anforderungen an die Prüfer*innen – sie ziehen auch Anpassungsprozesse bei der Prüfungsaufsicht nach sich.

Um zu verstehen, was diese Entwicklungen für die Aufsichtsbehörden bedeuten, hilft ein Blick auf die Entstehungsgeschichte der Institutionen. Entstanden sind APAS und PCAOB aus den gleichen Gründen: als politische Reaktion auf die Bilanzskandale der späten 1990er bzw. der frühen 2000er Jahre. Vor allem die Fälle von Enron und WorldCom in den USA sowie von FlowTex und Holzmann in Deutschland erschütterten damals das Vertrauen der Öffentlichkeit in die Zuverlässigkeit von Unternehmensabschlüssen. Da nur wenig differenziert wurde, litt schon bald die Reputation der gesamten Wirtschaftsprüfungsbranche.

Entwicklung der APAS: Der Weg zu einer schärferen, unabhängigeren Kontrolle

Für die Dysfunktionalität wurden vor allem zwei Ursachen ausgemacht: Zum einen eine als unzureichend empfundene Umsetzung des Prinzips der prüferischen Unabhängigkeit. Dabei gehörte dieser Grundsatz auch zur damaligen Zeit selbstverständlich zum Berufsethos der Branche. Aus heutiger Sicht ist allerdings schwer nachzuhalten, inwiefern die einzelnen Prüfer*innen diesen Anspruch im Rahmen ihres jeweiligen beruflichen Kontextes tatsächlich verwirklichen konnten. Klar scheint somit vor allem eins: dass eine kritische Öffentlichkeit vor dem Hintergrund der Bilanzskandale eine unzureichende Distanz von Prüfer*innen auf der einen und ihren Mandanten und Auftraggebern auf der anderen Seite wahrgenommen hat.

Der zweite Kritikpunkt bezog sich auf die Wirksamkeit bestehender Kontrollen der Abschlussprüfer*innen und ihrer Arbeit. Aus Sicht damaliger Akteur*innen bestand hier in erster Linie ein institutionelles Versäumnis: Die Kontrollen wurden deshalb als unzureichend empfunden, weil es keine unabhängige, sanktionsfähige Aufsichtsbehörde gab, welche die entsprechenden Überprüfungen mit Nachdruck durchführte.

Ein wichtiger Schritt zur Abstellung der ausgemachten Missstände fand auf europäischer Ebene statt: Die EU-Abschlussprüferreform schrieb unter anderem fest, dass nationale Aufsichtsbehörden künftig berufsstandsunabhängig und staatlich organisiert sein müssen. Durch die Verabschiedung des Abschlussprüferaufsichtsreformgesetzes, das im Juni 2016 in Kraft trat, setzte der Bundestag die EU-Vorgaben in deutsches Recht um. Die APAS entstand als eigenständige Behörde beim Bundesamt für Wirtschaft und Ausfuhrkontrolle (BAFA). Sie überwacht seit dieser Zeit die Abschlussprüfungen großer, kapitalmarktorientierter Unternehmen, Banken und Versicherungen. Diese sogenannten Public Interest Entities (PIEs) sind von besonderer Bedeutung, weil sie eine wesentliche Rolle für das Funktionieren der Wirtschaft als Ganzes spielen.

Übergeordnetes Ziel der neuen Kontrollstruktur: Sie sollte die Glaubwürdigkeit und das Vertrauen in den Berufsstand, in die auditierten Unternehmen und den Wirtschaftsstandort Deutschland langfristig verbessern. Einen Rückschlag auf dem Weg zu einer besseren Reputation brachte der Wirecard-Skandal von 2020 mit sich. Der Gesetzgeber reagierte ein Jahr später mit der Verabschiedung des Finanzmarktintegritätsstärkungsgesetzes (FISG), das zahlreiche Aspekte der Abschlussprüfung reformierte und auch die Rolle der APAS noch einmal stärkte.

Entstehung des PCAOB: Staatliche Beaufsichtigung statt Selbstregulierung

Die gesetzliche Grundlage des PCAOB ist der Sarbanes-Oxley Act aus dem Jahr 2002. Die Schaffung des neuen Aufsichtsorgans für börsennotierte Unternehmen und deren Wirtschaftsprüfungsgesellschaften ist eines der Kernelemente des Gesetzes. Für Wirtschaftsprüfer*innen in den USA hat es eine mit den deutschen Abschlussprüfungsreformen seit 2005 durchaus vergleichbare Bedeutung: Sarbanes-Oxley stellt für die Prüfer*innen den Übergang vom Prinzip der Selbstregulierung zur delegierten staatlichen Beaufsichtigung dar.

Die wesentliche Aufgabe des PCAOB ist die Regulierung, Überwachung und Inspektion der Abschlussprüfer*innen von Unternehmen, die an US-Börsen gehandelt werden. Der Sarbanes-Oxley Act schränkt die Reichweite der neuen Aufsichtsbehörde dabei keineswegs auf die Landesgrenzen der USA ein. Vielmehr haben sich alle in den USA börsennotierten Unternehmen sowie deren Abschlussprüfer*innen an die Weisungen des PCAOB zu halten – es zählt also nicht der Hauptsitz des Unternehmens, sondern allein der Handelsplatz, an dem seine Wertpapiere zugelassen wurden.

Die United States Securities and Exchange Commission (SEC) hat die Aufsicht über das PCAOB. In dieser Funktion genehmigt die SEC nicht nur das Budget des PCAOB, sondern auch seine Entscheidungen zu neuen Regeln und Standards. Anders als die APAS ist das PCAOB keine staatliche Behörde, sondern eine unabhängige, gemeinnützige Körperschaft. Als non-profit-Organisation finanziert sie sich über Gebühren, welche die an den US-Aktienmärkten gelisteten Unternehmen entrichten müssen.

Aufgaben und Instrumente: Inspektionen, Sanktionen, Standards

Die Kernaufgaben von APAS und PCAOB umfassen drei wesentliche Bereiche: Inspektionen, Sanktionierung sowie Standardsetzung und -überwachung.

• Inspektionen: Sowohl APAS als auch PCAOB überprüfen regelmäßig die Qualität der von den Wirtschaftsprüfungsgesellschaften (WPGs) umgesetzten Abschlussprüfungen. Das PCAOB führt dazu jährliche Inspektionen bei WPGs durch, die pro Jahr mehr als 100 Abschlüsse auditieren; alle drei Jahre sind Prüfungsgesellschaften an der Reihe, die unterhalb dieser Schwelle liegen. Die APAS konzentriert sich im Rahmen ihrer Kontrollfunktion auf WPGs mit Mandanten aus dem PIE-Bereich. Entsprechende Inspektionen führt sie hier sowohl ohne besonderen Anlass durch, aber natürlich tritt die Behörde auch dann auf den Plan, wenn es einen Anlass gibt, sprich: wenn ihr konkrete Hinweise auf ein prüferisches Fehlverhalten vorliegen. Im Fokus der anlasslosen Kontrolle steht oftmals die Frage, ob die WPG die eigenen Qualitätssicherungsmaßnahmen bei der Abschlussprüfung eingehalten hat. Auf dieser Basis nimmt die APAS oftmals einen Abgleich mit dem jährlichen Transparenzbericht vor, den die WPG erstellen muss.
• Sanktionierung (Enforcement): Bei Verstößen gegen Prüfungsstandards oder berufsrechtliche Pflichten steht beiden Aufsichtsorganen ein Set wirksamer Sanktionen zur Verfügung. Vor allem das PCAOB ist bekannt für seine „Enforcement Actions“, die es öffentlichkeitswirksam in allen Einzelheiten auf seiner Website publiziert. Die Maßnahmen reichen von einfachen Geldstrafen bis zu Berufsverboten und einem Widerruf der Prüfungszulassung. Erst vergangenes Jahr verhängte das PCAOB eine Rekordstrafe von 25 Millionen Dollar und ein Berufsverbot über die niederländische Niederlassung einer internationalen WPG. Zur Erinnerung: Die Behörde sanktioniert über die Landesgrenzen der USA hinweg, wenn die US-Börsenlistung eines Mandanten vorliegt.

Die APAS berichtet ebenfalls über festgestellte Mängel, etwa bei der Prüfung von IT-Systemen oder bei der Nichteinhaltung von Berufspflichten. Die deutschen Enforcement-Fälle bekommen allerdings weit weniger Öffentlichkeit als ihre Pendants in den USA – was nicht zuletzt daran liegen könnte, dass die APAS die Namen der Verantwortlichen selten mitpubliziert. Dennoch spricht auch die deutsche Behörde harte Sanktionen aus. So verhängte die APAS im Nachgang des Wirecard-Skandals ein Bußgeld von 500.000 Euro über die verantwortliche Wirtschaftsprüfungsgesellschaft. Zudem durfte die WPG zwei Jahre lang kein neues Prüfungsmandat für eine PIE annehmen.

• Standardsetzung: In diesem Punkt unterscheiden sich die beiden Aufsichtsorgane deutlich voneinander. So gehört es zu den definierten Aufgaben des PCAOB, auch eigene Standards für das Audit von börsennotierten Unternehmen in den USA zu formulieren. Die APAS überwacht hingegen lediglich die Einhaltung internationaler Prüfungsnormen (International Standards on Auditing, ISA) und nationaler Ergänzungen in Deutschland.

Vier Herausforderungen für die Aufsicht von morgen

Die Entstehung der beiden Überwachungsorgane aus den zurückliegenden Krisensituationen heraus prägt noch heute ihre Arbeitsweise. So liegt der vorrangige Zweck der Aufsichten in der Wiederherstellung von verlorenem Vertrauen. Dieses Ziel prägt auch die Struktur der Einrichtungen als berufsstandsunabhängige Institutionen. Die Ausrichtung auf die Fehler von einst ist nachvollziehbar, sie wirft aber eine zentrale Frage auf: Wie agil sind die Organisationen, wenn es darum geht, den Blick nach vorne zu wenden und sich auf neue, unvorhergesehene Herausforderungen einzustellen, die über die ursprünglichen Problemfelder hinausgehen?

Wenn es um Herausforderungen in der Prüfungsbranche geht, reicht ein kurzer Blick nach vorn. Die Herausforderungen der Zukunft sind nämlich längst schon in der Gegenwart angekommen. Aktuell sind es vor allem vier Kernbereiche, auf die sich Prüfer*innen und in der Folge auch die sie überwachenden Institutionen einstellen müssen: Nachhaltigkeitsberichterstattung, Digitalisierung und KI, Kryptowährungen sowie Cyberrisiken. Wie also positionieren sich die Aufsichtsorgane diesseits und jenseits des Atlantiks gegenüber diesen Trends?

• Nachhaltigkeitsberichterstattung: Speziell für europäische Unternehmen gewinnt die nicht-finanzielle Berichterstattung zunehmend an Bedeutung. In Deutschland sind es in erster Linie Wirtschaftsprüfer*innen, welche die verpflichtenden, zum Teil auch die freiwillig erstellten ESG-Reportings auditieren. Es ist davon auszugehen, dass vor allem die Qualitätskontrolle von Berichten auf der Basis der Corporate Sustainability Reporting Directive (CSRD) die Arbeit der APAS stark prägen wird. Auch wenn die EU die Kriterien für die CSRD-Berichtspflicht aktuell noch einmal überarbeitet, scheint die APAS bereits darum bemüht zu sein, ihre Kontrollprozesse im Hinblick auf die neuen Erfordernisse anzupassen und das Know-how im ESG-Bereich auszubauen. Gleichzeitig hat sie in ihrem Arbeitsprogramm 2025 angekündigt, sowohl die ESG-Prüfmethodiken der WPGs als auch das Fachwissen der Prüfer*innen von Nachhaltigkeitsberichten im Rahmen ihrer Inspektionen überprüfen zu wollen. Das PCAOB agiert beim Thema Sustainability deutlich zurückhaltender. Das dürfte daran liegen, dass es in den USA kein vergleichbares Regelwerk zur Nachhaltigkeitsberichterstattung wie die CSRD gibt.

• Digitalisierung und KI: Die APAS stellt bereits in ihrem Jahresbericht 2024 fest, dass die Digitalisierung der Geschäftsmodelle bei den Mandanten kontinuierlich voranschreitet. Gleichzeitig nehme auch der Einsatz von KI-Tools in Abschlussprüfung und Aufsichtstätigkeit zu. Sie fordert daher, dass sich Prüfer*innen intensiv mit den IT-Systemen ihrer Mandanten auseinandersetzen. Nur so könne man die Risiken identifizieren, die durch den IT-Einsatz entstehen. Auch das PCAOB sieht die Digitalisierungsrisiken. Im Rahmen seiner risikobasierten Auswahl von Prüfungsaufträgen für Inspektionen wird das PCAOB deshalb ab dem Jahr 2025 auch Investitionen von Unternehmen in Künstliche Intelligenz als Risikofaktor einstufen. Genauer hinsehen will die US-Aufsicht auch, wenn Unternehmen finanzielle Berichtsprozesse durch KI steuern lassen. Aus Sicht des PCAOB kann dieses Vorgehen bestehende IT-Risiken verstärken und neue Risiken schaffen.

• Kryptowährungen: Was hierzulande vergleichsweise selten vorkommt, ist in den USA nichts Ungewöhnliches mehr: Die ersten Unternehmen weisen dort bereits Bitcoin in ihren Bilanzen aus. Das PCAOB verbindet damit zahlreiche Risiken und will künftig genauer bei der Prüfung von Krypto-Vermögenswerten hinsehen.

• Cybersecurity: Auch das Risiko digitaler Angriffe steht beim PCAOB weit oben auf der Agenda. Die US-Aufsicht hat das Thema sogar zu einer ihrer Prioritäten für das Jahr 2025 erklärt. So will sie bevorzugt Audits von Mandanten kontrollieren, die Cyberangriffe bei der SEC gemeldet haben. Gegenstand der Analyse dürften in erster Linie Umgang und Bewertung des Cyberrisikos bzw. des Cybersicherheitsrisikomanagements durch die Abschlussprüfer*innen sein.

Zukunftsfähigkeit: Welche Aufsicht meistert die Probleme von morgen?

Der Gesetzgeber hat sie als Reaktion auf die Bilanzskandale der Jahrtausendwende geschaffen – und doch stellen sich APAS und PCAOB auch den Herausforderungen der nahen Zukunft. Dabei setzen sie unterschiedliche Schwerpunkte – jeweils ausgerichtet auf die Erfordernisse ihres Heimatmarkts. Sowohl die APAS als auch das PCAOB verfügen hierbei über das Know-how, die Instrumente und den Willen, um ihre jeweiligen Herausforderungen anzugehen. Sie sind somit gut aufgestellt, um auch in Zukunft das alte Ziel zu verfolgen: Vertrauen herstellen – in die Unternehmen, die Prüfungsbranche und den Wirtschaftsstandort insgesamt.    

Für weitere Themen rund um die Wirtschaftsprüfung und Forvis Mazars folgen Sie uns auch auf LinkedIn.