Audit - IKS / Kontrollen

Question 1

Was sind die Aufgaben & Verantwortungen betreffend IKS?

VR
GL
RS

Answer 1

Verwaltungsrat:
→ Trägt Oberverantwortung und legt Ausgestaltung des IKS fest (Art, Umfang, Schwerpunkte und Detaillierungsgrad).
→ Regelmässiges Besprechen der Effektivität des IKS mit der GL
→ Beurteilung der Bewertung des IKS durch interne und externe Revision
→ Anordnung von Korrekturmassnahmen und Überwachung der Befolgung

Geschäftsleitung:
→ Trägt Verantwortung für Umsetzung und Aufrechterhaltung des vom VR festgelegten IKS.
→ Gestaltung und Umsetzung des IKS
→ Dokumentation und Überprüfbarkeit des IKS

Revisionsstelle:
→ Prüft einmal jährlich die Existenz des vom VR festgelegten IKS.

Question 2

Was sind die 5 Kontrollkomponenten?

Answer 2

5 Kontrollkomponenten gem PS 890, IV. b)
• Kontrollumfeld
• Risikobeurteilungsprozess
• Rechnungslegungsrelevante Informatiksysteme,
Geschäftsprozesse und Kommunikation (auch Information & Kommunikation
• Kontrollaktivitäten
• Überwachung der Kontrollen

Question 3

Was sind direkte und indirekte Unternehmensweite Kontrollen?

Answer 3

Direkte
• Kontrollen durch Geschäftsleitung
• Vergleich Budget zu Ist (auf Quartalsbasis)
• Analyse der Bilanz und Abgleich mit dem Vorjahr
• Abgleich Investitionsbudget mit Ist
Ausgaben

Indirekte
• Integrität und ethische Werte
• Bedeutung und Unabhängigkeit des VR
• Philosophie und Arbeitsweise der Geschäftsleitung
• Organisationsstruktur
• Befugnisse und Verantwortlichkeiten

Question 4

Beispiele für
automatisierte - präventive Kontrollen
automatisierte - detektive Kontrollen

Answer 4

automatisierte - präventive Kontrollen
• Plausibilisierungen (z.B. bei Eingabe), Prüfziffern
• Autorisierung (z.B. elektronische Unterschrift)

automatisierte - detektive Kontrollen
• Integrierte Rechnungsprüfung
• Generierung von Berichten mit Abweichungen zur Norm (Exception Reports)

Question 5

Beispiele für
manuelle - präventive Kontrollen
manuelle - detektive Kontrollen

Answer 5

manuelle - präventive Kontrollen
• Vier Augen Prinzip
• Doppelunterschrift für Zahlungen
• Funktionentrennung

manuelle - detektive Kontrollen
• Abstimmung Hauptbuch - Nebenbuch
• Bank und Postcheckkonto- Bestätigungen
• Abstimmung Lieferschein mit Rechnung

Question 6

Was sind die Kernaussagen / wesentliche Punkte im Prüfungsstandard zum IKS?

Answer 6

• Verantwortung für ein angepasstes IKS und Risikomanagement liegt beim VR
• Die Verantwortung für die Umsetzung liegt bei der GL
• IKS wird neu im Gesetz explizit zum Prüfungsgegenstand erklärt –> Weitergehende Formalisierung
• IKS bezieht sich auf die Finanzielle Berichterstattung
• Umfang und Ausgestaltung des IKS sind von Grösse und Komplexität der Geschäftstätigkeit abhängig
• IKS muss überprüfbar sein
  
  • Dokumentation
  • Mindestanforderungen / Grösse & Komplexität
  • angemessene Berücksichtigung Kontrollkomponenten
• Für grössere, international tätige Unternehmen stellen international anerkannte Rahmenwerke eine geeignete Plattform dar
• Bestätigung über die Existenz des IKS wird im Bericht der Revisionsstelle integriert
• Zusätzliche Berichterstattung an den Verwaltungsrat im umfassenden Bericht

Question 7

Man unterscheidet im PS 890 klar zwischen
A) IKS als “Mittel-zum-Zweck Funktion” bei der Abschlussprüfung
B) IKS als separatem Prüfungsgegenstand

Was versteht man zwischen “Mitte-zum-Zweck Funktion”?

Answer 7

„Mittel zum Zweck“

• Prüfungsunterstützung –> Risikoeinschätzung
• Festlegung Prüfungsstrategie / Optimierung der Prüfung
• IKS wird „summarisch“ analysiert

Question 8

Man unterscheidet im PS 890 klar zwischen
A) IKS als “Mittel-zum-Zweck Funktion” bei der Abschlussprüfung
B) IKS als separatem Prüfungsgegenstand

Was versteht man zwischen “IKS als separatem Prüfungsgegenstand”?

Answer 8

IKS als Prüfungsgegenstand
- Neue gesetzliche Prüfungspflicht Prüfungsurteil über die Existenz des IKS (im Zusammenhang mit der finanziellen Berichterstattung) in seiner Gesamtheit
- Berichterstattung an GV und VR
- Verständnis des IKS gesamtheitlich (Unternehmens –,
Prozess und IT Ebene)

Question 9

COCO Komponent - Kontrollumfeld
Was sind die Prinzipien?
Was sind mögliche Umsetzungsbeispiele?

Answer 9

Prinzipien
• Integrität und ethische Werte
• Bedeutung des Verwaltungsrates
• Philosophie und Arbeitsweise der Geschäftsleitung
• Organisationsstruktur
• Bekenntnis zur Kompetenz im Bereich finanzielle Berichterstattung
• Befugnisse und Verantwortlichkeiten
• Personalwesen

Umsetzungsbeispiele
• Führung Organisation (Organigramm)
• Anweisungen und Reglemente
• Unternehmenskultur
• Mitarbeiter und Personalwesen

Question 10

COCO Komponent - Risikoanalyse / Risikobeurteilung
Was sind die Prinzipien?
Was sind mögliche Umsetzungsbeispiele?

Answer 10

Prinzipien
• Bedeutung von Zielen zur finanziellen Berichterstattung
• Identifizierung und Analyse von Risiken in Bezug auf die finanzielle Berichterstattung
• Beurteilung von Risiken im Bereich „Bilanzbetrug“

Umsetzungsbeispiele
• Ziele zur finanziellen Berichterstattung –> Risikoportfolio
• Fragebogen, Workshops und Interviews

Question 11

COCO Komponent - Kontrollmassnahmen
Was sind die Prinzipien?
Was sind mögliche Umsetzungsbeispiele?

Answer 11

Prinzipien
• Verknüpfung von Risikobeurteilung und Kontrollmassnahmen
• Auswahl und Entwicklung von Kontrollmassnahmen
• Richtlinien und Verfahren
• Informationstechnologie

Umsetzungsbeispiele
• Verknüpfung von Positionen, Prozessen, Risiken & Kontrollmassnahmen
• Kontrollhandbuch
• Automatische Applikations-Kontrollen und GITC

Question 12

COCO Komponent - Information & Kommunikation
Was sind die Prinzipien?
Was sind mögliche Umsetzungsbeispiele?

Answer 12

Prinzipien
• Informationen bezüglich finanzieller Berichterstattung
• Informationen bezüglich Interner Kontrolle
• Interne Kommunikation
• Externe Kommunikation

Umsetzungsbeispiele
• Verbale, schriftliche Kommunikation in sämtliche Richtungen

Question 13

COCO Komponent - Überwachung / Monitoring
Was sind die Prinzipien?
Was sind mögliche Umsetzungsbeispiele?

Answer 13

Prinzipien
• Permanente und separate Überwachung und Beurteilung
• Berichterstattung von Mängeln

Umsetzungsbeispiele
• Audit Committee
• Interne Revision
• Interne und externe Spezialisten

Question 14

Das COSO verfolgt 3 Kontrollziele

Welche?

Answer 14

Geschäftstätigkeit
• Effektivität und Effizienz der Unternehmenstätigkeiten
• Performance und Profitabilitäts Ziele und Absicherung der Ressourcen gegenüber Verlusten

Finanzielle Berichterstattung = Verlässlichkeit der Rechnungslegung
• Erstellung von zuverlässigen Jahresrechnungen unter Berücksichtigung der externen Anforderungen (Ordnungsmässige Buchführung und Rechnungslegung)

Compliance
• Einhaltung von Gesetzen, Regulatorien, Verträgen und Best Practices, welche für das Unternehmen relevant sind (abhängig von externen Faktoren bspw. Aufsichtsbehörde)

Question 15

Welche bereiche vollen die IT-Kontrollen abdecken

4 Elemente

Answer 15

• Programmentwicklung
• Programm- und Datenbankanpassungen
• Zugriff auf Programme und Daten
• Betrieb der Informatik

PS 890, Tz. 6

Question 16

Was sind die PH zu den Kontrollaktivitäten i.Z.m. GITC?

Was wird beurteilt bei den GITC?

Answer 16

PS 890, Tz. 30
Prüfungshandlungen zu den Kontrollaktivitäten im Bereich der generellen IT Kontrollen beinhalten die Massnahmen und Prozesse, die die Unternehmung ergriffen hat, um IT- Risiken angemessen zu begegnen.

Beurteilung, ob die generellen IT Kontrollen

• einen verlässlichen und reibungslosen Betrieb der Datenaufbereitung erlauben und
• die Integrität der verarbeiteten Daten sowie die Sicherheit des Datenverarbeitungsprozesses gewährleistet sind.

Question 17

Die IT-Kontrollen beinhalten verschiedene Ebenen.

GITC setzt sich zusammen aus IT-Infrastruktur und IT Basissystem

Darüber befinden sich die IT-Anwendungen –> automatisierte Anwendungskontrollen
&
Geschäftsprozesse –> manuelle Anwendungskontrollen

Wie ist das Vorgehensmodell bei der Anwendungsprüfung

Answer 17

Analyse von Bilanz & ER
-->
Identifikation der Geschäftsprozesse und Datenflüsse
-->
Identifikation der Kernanwendungen und der IT-relevanten Schnittstellen
-->
Identifikation der Risiken und Schlüsselkontrollen
-->
Walk-through
--> 
Beurteilung des Kontroll-Designs
-->
Beurteilung der Umsetzung der Kontrollen
-->
Gesamtbeachtung und Ergebnisfindung

Question 18

Was sind Anwendungskontrollen?

Answer 18

• Anwendungskontrollen sind Verfahren, die typischerweise auf der Ebene eines Geschäftsprozesses durchgeführt werden
• Beziehen sich auf die Verarbeitung von Geschäftsvorfallen durch einzelne Anwendungen
• Können präventiver Natur sein oder zur Aufdeckung von Fehlern dienen (detektiv)
• Ausgerichtet, die Integrität der Rechnungslegungsunterlagen sicherzustellen
• Beziehen sich auf Verfahren zur
  
  • Auslösung,
  • Aufzeichnung,
  • Verarbeitung von Geschäftsvorfällen oder anderen Finanzdaten und
  • auf die Berichterstattung.
• Tragen bei sicherzustellen, dass
  
  • sich erfasste Geschäftsvorfälle tatsächlich ereignet haben,
  • autorisiert sind sowie
  • vollständig und richtig aufgezeichnet und verarbeitet werden.

Question 19

Was sind die Eigenschaften von automatischen Kontrollen?

Was sind Beispiele für automatische Kontrollen?

Answer 19

Eigenschaften
• Kontrollausführung erfolgt automatisiert Fehlerrisiko ist in der Regel geringer
• Wird die Kontrolle einmal als korrekt geprüft, so funktioniert sie immer gleich,
• SOFERN die sie unterstützenden Generellen IT Kontrollen richtig funktionieren
• UND in der Prüfperiode keine Änderungen an der Kontrolle vorgenommen wurden
• Deshalb kann die operationelle Effektivität oftmals mittels eines ‚Test of One ‘ geprüft werden

Beispiele:
• Überprüfung der rechnerischen Richtigkeit von Aufzeichnungen,
• Die Führung und Überprüfung von Konten sowie Summen und Saldenlisten,
• automatisierte Kontrollen, z. B. Eingabekontrollen von eingegebenen Daten und Kontrollen anhand der numerischen Reihenfolge

Question 20

Wie können automatische Kontrollen geprüft werden?

Answer 20

Test of One

• Viele automatische Kontrollen können mit einem ‚Test of One ‘ geprüft
• Dies bedeutet, dass die Kontrolle anhand einer Transaktion durchgespielt oder nachvollzogen wird. Falls diese Transaktion richtig behandelt wird, so können wir davon ausgehen, dass die Kontrolle immer richtig funktioniert.
• ABER: Falls die Kontrolle verschiedene Arten von Transaktionen unterschiedlich behandelt, so muss für jede einzelne Transaktionsart ein separater Test of One durchgeführt werden

Anwendungsbeispiel:
• Wir prüfen eine Berechnung der Kontogebühren anhand der Kontoabrechnung von Herrn Müller, einem Retailkunden . Dabei lassen wir uns den Kontostand aus dem System geben, prüfen die Kontokonditionen von Herrn Müller und die Berechnung der Kontogebühren. Dabei stellen wir fest, dass die Berechnung für Private Banking und Retail Kunden im System unterschiedlich parametrisiert ist. Zur Sicherheit prüfen wir also analog noch ein Beispiel zu Herrn Huber, einem Private Banking Kunden.

Question 21

Was sind Prüfungstechniken von automatisierten Anwendungskontrollen

Answer 21

• Einmaltest (test of one)
• direktes testen
• baselining /benchmarking
• Datenanalyse

Question 22

Was sind die Prüfbereiche für GITC?

Answer 22

• Programmentwicklung
• Programm- und Datenbankanpassungen
• Zugriff auf Programme und Daten
• Betrieb der Informatik

PS 890, Tz. 6

Question 23

Wieso sind GITC überhaupt wichtig?

Answer 23

• Unterstützen das Funktionieren von automatischen oder halbautomatischen Kontrollen über die ganze Prüfperiode hinweg.
• Stellen Grundsicherheit für die zu prüfende IT sicher.
• Tiefe, in welcher geprüft wird, hängt von den zu unterstützenden Kontrollen auf Prozessebene ab.

Question 24

Was sind generelle IT-Kontrollen (ITGC’s)?

ITGC = GITC = Generelle IT-Kontrollen

Answer 24

• Unter den generellen IT Kontrollen werden manuelle oder automatisierte Kontrollen in IT Prozessen verstanden, welche für Betrieb, Unterhalt und Weiterentwicklung der IT Infrastruktur massgebend sind.
• Regelungen und Massnahmen, die sich auf Anwendungen beziehen.
• Unterstützen wirksames Funktionieren von IT Anwendungskontrollen.
• Mit deren Hilfe wird die Integrität von Informationen sowie Datensicherheit
aufrechterhalten.
• Generelle IT Kontrollen bilden die Grundlage für ordnungsgemäss funktionierende automatisierte IT Anwendungskontrollen.

Question 25

Was sind die Auswirkungen, falls eine GITC für eine bestimmte Applikation als GESAMTHAFT “nicht effektiv” beurteilt wir?

Answer 25

Werden die Generellen IT
Kontrollen für eine bestimmte Applikation als gesamthaft
«nicht effektiv» beurteilt, so hat dies folgende Auswirkungen:
• Auch wenn die unterstützte Applikationskontrolle als effektiv beurteilt wurde können wir keine Aussage über das ganze Jahr machen.
• Ein Ausweg besteht eventuell, falls wir an einer bestimmten Ausführung der Applikationskontrolle interessiert sind.
• In diesem Fall kann genau diese Ausführung geprüft werden, um angemessene Sicherheit über das Funktionieren der Applikationskontrolle zu erhalten.
• Beispiel: Vollständigkeit und Korrektheit eines Reports aus dem System Falls wir genau denjenigen Report im richtigen Zeitpunkt prüfen, welcher die Grundlage für weitergehende Prüfungshandlungen ist, so kann dies ausreichend sein.

• Falls keine der obigen Optionen anwendbar ist, kann die unterstützte Applikationskontrolle für unsere Beurteilung nicht mehr verwendet werden und es kommt das auf den nachfolgenden Folien beschriebene Vorgehen bei ineffektiven Applikationskontrollen zur Anwendung!

Question 26

Was sind die Auswirkungen, falls eine GITC für eine bestimmte Applikation als EINZELN “nicht effektiv” beurteilt wir?

Answer 26

Wird eine einzelne Generelle IT Kontrolle als nicht effektiv beurteilt, so hängt der Einfluss dieser Kontrollschwäche auf unsere Gesamtbeurteilung von verschiedenen Faktoren ab:
• Existenz von kompensierenden Kontrollen auf ITGC Ebene (z.B. regelmässiger Rechte Review kompensierend für Schwäche bei Benutzeradministration)
• Relevanz der Kontrolle für das Prüfziel des ITGC Bereichs als Ganzes
• Ergebnis von zusätzlich durchgeführten (ev. aussagebezogene) Prüfaktivitäten
• Direkter Einfluss der Kontrollschwäche auf das Funktionieren der durch sie unterstützten Applikationskontrolle (z.B. Einfluss einer Schwäche bei der Benutzeradministration bei einer Kontrolle, welche nur als Batch ausgeführt wird)

• In allen Fällen müssen wir die Ergebnisse dieser Risikobeurteilung in unseren Arbeitspapieren dokumentieren, so dass ein sachkundiger Dritter unsere Entscheidung nachvollziehen kann!

Question 27

Was sind die Auswirkungen & das Vorgehen, falls eine einzelne Applikationskontrolle ineffektiv ist?

Answer 27

Vorgehen gemäss den im Rahmen der Prüfungsdurchführung besprochenen Möglichkeiten:
• Beurteilung der Behebung der Kontrollschwäche
• Behebung per welches Datum
• Beurteilung des Einflusses der Kontrollschwäche für die Zeit, in welcher sie bestand (abhängig von der Art der Kontrolle!)
• Identifikation von zusätzlichen Kontrollen, welche mitigierend wirken
• Bestimmung von zusätzlichen, tiefergehenden Prüfschritten, um tatsächliche Auswirkungen der Kontrollschwäche zu bestimmen

• Achtung: Bei vollautomatischen Kontrollen liegen Design und operative Effektivität sehr nahe beieinander!

Question 28

Was sind die Vor- und Nachteile beim Einsatz von automatisierten Datenanalysen?

Answer 28

Vorteile
• Hohe Sicherheit durch Prüfung des gesamten Bestandes an Geschäftsfällen. Ermöglicht oftmals weiterführende Analysen
• Durch Automatisierung relativ geringer Aufwand für aussagebezogene Prüfung

Nachteile
• Oft hoher Initialaufwand, um Daten zu extrahieren und aufzubereiten
• In vielen Fällen keine Abdeckung des IKS da vollständig aussagebezogenes Vorgehen

Question 29

IKS als Teil der Jahresabschlussprüfung

Was ist das Ziel?

Answer 29

Ziel:
• Ausgestaltung der notwendigen Prüfungshandlungen und deren Umfang
• Identifizierung von risikoreichen Prüfungsfeldern
• Effiziente Gestaltung des Prüfungsansatzes (verfahrens und/oder ergebnisorientiert)
• Verständnis des IKS lediglich ‚summarisch‘ (ausreichend, um zuverlässige
Risikoeinschätzung vorzunehmen)
• Ausprägung: weniger breit, dafür tief

Merkmale

• Keine umfassende Prüfung des IKS
• Aber
  
  • Berücksichtigung des IKS durch den Prüfer im Rahmen seiner Arbeit
  • Abstützen auf vorhandene Kontrollen
  • IKS ist laut PS “Mittel zum Zweck”

Question 30

IKS als Prüfungsgegenstand

Was ist das Ziel?

Answer 30

Ziel:
• IKS als separater Prüfungsgegenstand
• Hinweis an Bilanzleser, ob das Unternehmen entsprechend aufgestellt ist
• Das Unternehmen wird gezwungen, ein überprüfbares IKS einzurichten:
• Verlässliche Finanzberichterstattung
• Einhaltung von Vorschriften
• Vermeidung und Aufdeckung von Fehlern und Unregelmässigkeiten
• Sicherstellung der Zuverlässigkeit und Vollständigkeit der Buchführung
• Zeitgerechte und verlässliche finanzielle Berichterstattung
• Gesamtheitliches Verständnis des IKS (Unternehmens –, IT und Prozessebene)
• Ausprägung: breit, dafür weniger tief

Merkmale
Das IKS als Prüfungsgegenstand
- Ausweitung des gesetzlichen Prüfungsauftrages
- Überprüfung der EXISTENZ eines IKS in seiner Gesamtheit
- Berichterstattung an den Verwaltungsrat über IKS
- Ergänzung des bisherigen Bestätigungsvermerks an die GV

Question 31

Was sind die Anforderungen and ei Prüfbarkeit des IKS?

Answer 31

• Schriftliche Dokumentation zu:

• Vorgaben des VR
• Umsetzung der GL
• Durchführung der Kontrollen
• Umfang und Detaillierungsgrad der Dokumentation an Grösse und Komplexibilität des Unternehmens angepasst
• Angemessene Berücksichtigung aller Kontrollkomponenten auf Unternehmens –, Prozess und allgemeiner IT Ebene

Question 32

Was muss geprüft werden, um die Existenz des IKS beurteilen zu können?

Answer 32

1. Das IKS ist vorhanden und dokumentiert - J/N?
2. Das IKS ist umgesetzt und wird angewendet - J/N?
3. Das IKS funktioniert dauernd und richtig - J/N?

Prüfungen zu 1. und 2. sind erforderlich.
Weitergehende Prüfungen zu 3. (Wirksamkeitspüfung / Operating Effectiveness ) sind nicht erforderlich.

–> Wirksamkeitsprüfung nicht bestandteil des IKS-Existenzprüfung

Question 33

Müssen alle Schlüsselkontrollen jährlich geprüft werden?

Answer 33

• Kontrollen auf Unternehmensebene (inkl. GITC) sind jährlich zu prüfen.
• Kontrollen auf Prozessebene sind regelmässig zu prüfen (rotierend)
• Prüfung der Schlüsselkontrollen in der Regel alle 3 Jahre.

Question 34

Zu welchem Zeitpunkt müssen die Prüfungen durchgeführt werden?

Answer 34

• Wahl des Zeitpunkts ist frei;
• Berichterstattung nimmt auf den Stichtag der Jahresrechnung
Bezug.

Question 35

Welche Prüfungsverfahren gibt es beim IKS?

Answer 35

• Durchsicht der Dokumentation
• Befragung
• Beobachtung
• Überprüfung
• Walk-through

–> Befragung und Durchsicht der Dokumentation alleine geben nicht genügend Prüfsicherheit

Question 36

Muss für jede Gesellschaft die Existenz eines IKS geprüft werden?

Answer 36

Die Existenz eines IKS muss nur für ordentliche Prüfungen bestätigt werden, für die „eingeschränkte“ Prüfung ist keine IKS Prüfung notwendig.

Question 37

Bezieht sich unser Testat auf das Geschäftsjahr oder auf den Bilanzstichtag?

Answer 37

• Die Bestätigung der Revisionsstelle gemäss Art. 728a OR erfolgt per Bilanzstichtag.
• Demzufolge kann ein Kontrollmangel während des Jahres bis zum Bilanzstichtag „geheilt“ werden.

Question 38

Gelten die gesetzlichen Vorschriften betr. IKS gemäss OR 728a auch für ausländische Tochtergesellschaften eines Schweizer Konzerns?

Answer 38

• Art. 728a OR verlangt von der Revisionsstelle, dass sie die Existenz des IKS überprüft.
• Art. 728a OR gilt für alle Unternehmen, die der ordentlichen Revisionspflicht unterstehen und zwar Einzelabschluss und Konzernrechnung , damit sind ausländische Tochtergesellschaften eingeschlossen.

Question 39

Müssen sämtliche ausländische Tochtergesellschaften eines Schweizer Konzerns berücksichtigt werden?

Answer 39

• Nur wesentliche Tochtergesellschaften sind zu berücksichtigen.
• Die Festlegung des sogenannten „ Scoping “ sollte im Projekt frühzeitig adressiert werden.

Question 40

Gibt es Überschneidungen zwischen ISO und IKS Dokumentation?

Answer 40

• Ja, es kann Überschneidungen mit der ISO Dokumentation geben.
• Die ISO Dokumentation erfasst sämtliche für das Qualitätsmanagement relevanten Prozesse und Kontrollen einer Unternehmung.
• Das IKS gemäss OR 728a fokussiert sich allerdings nur auf die finanzielle Berichterstattung, d.h. auf die Vermeidung möglicher Fehler in der Konzernrechnung oder im Einzelabschluss.
• Diese Verbindung zur finanziellen Berichterstattung fehlt in der ISO Dokumentationen meistens.

Question 41

Wann kann der Prüfer nicht mehr von einer Existenz eines IKS sprechen und somit ein negatives Urteil darüber abgeben?

Answer 41

• Vorgaben für das Verhalten der Revisionsstelle bei Kontrollmängeln sind im Prüfungsstandard (PS) geregelt.
• Es gibt im Prinzip zwei Möglichkeiten:
– Entweder ist das IKS nicht formalisiert, d.h. es fehlt eine minimale Dokumentation der Schlüsselkontrollen, oder
– das IKS ist zwar formalisiert, aber die definierten internen Kontrollen sind ungenügend ausgestaltet oder werden in der Praxis nicht gelebt.
• Die negative Beurteilung über das IKS heisst aber nicht, dass der Jahresabschluss somit nicht stimmt. Wir können die Richtigkeit des Jahresabschlusses dann aufgrund von alternativen Prüfungshandlungen bestätigen.
• Die festgestellten Mängel müssen insgesamt so gravierend sein, dass wesentliche Fehler in der Konzern bzw. JR nicht mit vernünftiger Wahrscheinlichkeit ausgeschlossen werden können.

Question 42

Was muss beachtet werden, wenn Dienstleistungsorganisationen in Anspruch genommen werden?

Answer 42

• Gemäss PS 402 muss der Abschlussprüfer berücksichtigen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen System und die interne Kontrollen des Kunden beeinflusst.
• Falls die Aktivitäten der Dienstleistungsorganisation für den eigenen Jahresabschluss wesentlich sind, bestehen folgende 2 Optionen:
– Durchführen von IKS Prüfungen beim Dienstleister
– Beauftragung des Wirtschaftsprüfers des Dienstleisters zur Durchführung der IKS Prüfung sowie Erstellen eines Berichtes
• PS 402 regelt den Umfang und die Berichterstattung durch den Wirtschaftsprüfer der Dienstleistungsorganisation.

Question 43

Neben COSO, welche andere, in der Schweiz bekannte IKS

Frameworks gibt es noch, die man als Standards vorsehen könnte?

Answer 43

• COSO hat weltweit und in der Schweiz klar die grösste Akzeptanz und Verbreitung als allgemeiner Standard für die Ausgestaltung eines IKS.
• Daneben gibt es im internationalen Bereich noch eine Reihe weiterer Frameworks ( z.B CoCo , COBIT, Cadbury , aber auch die IKS Richtlinie der Schweiz. Bankiervereinigung ).
• Es gibt kein spezifisch schweizerisches Framework zur Ausgestaltung eines IKS.

Question 44

Definition von Schlüsselkontrolle gemäss PS 890?

Answer 44

„Schlüsselkontrollen“ sind darauf ausgerichtet, die aus Sicht des Gesamtunternehmens wesentlichen falschen Angaben in der finanziellen Berichterstattung zu verhindern oder aufzudecken. Die Prüfung der Existenz eines IKS nach Art. 728a Abs. 1 Ziff . 3 OR sieht keine
systematische Prüfung aller Kontrollen vor, sondern beschränkt sich auf die periodische Prüfung der Existenz der Schlüsselkontrollen.

Question 45

Definition IT Applikationskontrollen / Anwendungsabhängige Kontrollen

Answer 45

Definition IT Applikationskontrollen / Anwendungsabhängige Kontrollen

Jede Anwendung (und somit jeder zielgerichtete Geschäftsprozess) beinhaltet Kontrollen, welche sicherstellen, dass die definierten Zielgrössen erreicht werden.

Beispiele sind Kontrollen für:

• Vollständigkeit
• Richtigkeit
• Gültigkeit
• Funktionstrennung

Anwendungsunabhängige Kontrollen sollen die ordnungsmässige und sichere Verarbeitung der Transaktionen gewährleisten und den Nachweis der Richtigkeit der Ergebnisse erbringen. Kontrollen nehmen damit zur Erreichung der Unternehmensziele, Vermögensschutz, Genauigkeit und Zuverlässigkeit der
Buchführung und Einhaltung der Geschäftspolitik eine zentrale Stellung ein.

Question 46

Definition Generelle IT Kontrollen / Anwendungsabhängige Kontrollen

Answer 46

Definition Generelle IT Kontrollen / Anwendungsabhängige Kontrollen

Generelle IT Kontrollen bilden die Grundlage für ein ordnungsmässiges Funktionieren der IT Anwendungen und decken die identifizierten Risiken ab.

Beispiele sind Kontrollen für:

• Systementwicklung
• Änderungswesen von Daten
• Änderungswesen von Zugriffen
• Sicherheit
• Betrieb