IDW PS 330 Flashcards
Womit befasst sich der IDW PS 330?
Der IDW PS 330 befasst sich mit der Abschlussprüfung bei Einsatz von Informationstechnologie.
Was ist Prüfungsgegenstand von IT-Prüfungen und was ist das Prüfungsziel einer IT-Prüfung?
Prüfungsgegenstand: IT-Kontrollsystem.
Prüfungsziel: IT-Fehlerrisiken feststellen.
Anhand welcher Prüfungskriterien erfolgt eine IT-Prüfung?
- Ordnungsmäßigkeit der Rechnungslegung
2. Sicherheit
Konkretisierte die zwei Prüfungskriterien. Was ist genau unter den Prüfungskriterien zu verstehen?
- Ordnungsmäßigkeit der Rechnungslegung: Prüfung der IT-gestützten Buchführung, ob Vollständigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollziehbarkeit und Unveränderlichkeit sichergestellt werden
- Sicherheit: Prüfung Authentizität, Autorisierung, Vertraulichkeit, Verbindlichkeit, Integrität und Verfügbarkeit von Daten
Nenne die Bestandteile eines IT-Kontrollsystems.
Das IT-Kontrollsystem setzt sich aus folgenden fünf Bestandteilen zusammen:
- IT-Geschäftsprozesse
- IT-Organisation
- IT-Umfeld
- IT-Anwendungen
- IT-Infrastrukturen
Aus welchen Bestandteilen setzt sich das IT-Fehlerrisiko zusammen?
- inhärentes IT-Risiko
2. IT Kontrollrisiken
Was ist unter dem inhährenten IT-RIsiko zu verstehen?
Unter dem inhärenten Risiko ist das Risiko zu verstehen, dass durch den Einsatz eines IT Systems Fehler auftreten können, die Auswirkungen auf die Ordnungsmäßigkeit der Rechnungslegung haben.
Nennen Sie Beispiele für Risikoindikatoren.
Risikoindikatoren lassen sich differenzieren zwischen Risikoindikatoren auf Unternehmensebene und Prüffeldebene.
- Zu den Risikoindikatoren auf Unternehmensebene: Abhängikeit, Änderungen, Know-how & Ressourcen sowie geschäftliche Ausrichtung.
- Zu den Risikoindikatoren auf Prüffeldebene: z.B. sind Abläufe weitgehend automatisiert bzw. komplex und damit fehleranfällig
Was ist unter dem IT Kontrollrisiko zu verstehen?
Unter dem IT Kontrollrisiko versteht man das Risiko, dass inhärente IT-Risiken, die zu wesentlichen Fehlern in der Rechnungslegung führen, nicht verhindert bzw. aufgedeckt und korrigiert werden.
In welche 3 Kategorien lassen sich die IT-Fehlerrisiken gliedern?
- It Infrastrukturrisiken
- IT Anwendungsrisiken
- IT Geschäftsprozessrisiken
In welche Teilschritte lässt sich die IT-Systemprüfung gliedern?
- Aufnahme des IT-Systems
- Aufbauprüfung
- Funktionsprüfung
Erläutern Sie den Prüfungsschritt der Aufnahme des IT-Systems.
Es erfolgt eine Aufnahme des IT-Umfelds und -organisation, der IT-Infrastruktur, der IT-Anwendungen sowie der IT-Geschäftsprozesse.
Was ist unter der IT-Infrastruktur zu subsumieren?
physische Sicherungsmaßnahmen, logische Zugriffskontrollen, Datensicherungs- und Auslagerungsverfahren, Maßnahmen für den geordneten Regelbetrieb, Verfahren für den Notbetrieb sowie Maßnahmen zur Sicherung der Betriebsbereitschaft
Was ist unter den IT-Anwendungen zu subsumieren?
verfahrensbezogene Anforderungen der Grundsätze ordnungsmäßiger Buchführung, die Erfüllung der Anforderungen an die Softwaresicherheit sowie die Anforderungen an rechnungslegungsrelevante Verarbeitungsregeln
Was ist unter den IT-Geschäftsprozessen zu subsumieren?
In welchen Prozessschritten sind IT-Anwendungen integriert und/oder werden manuelle Tätigkeiten ausgeführt. Wie und welche rechnungslegungsrelevanten Daten werden aus dem Geschäftsprozess in die Rechnungslegung übergeleitet (Daten-, Belegfluss und Schnittstellen).
Nennen Sie 5 IT-gestützte Prüfungstechniken.
- Erhebung von Informationen: IT-gestützte Darstellung von Geschäftsprozessen
- Aufbauprüfung: automatische Checklisten
- Funktionsprüfung: Kontrolltests in Geschäftsprozessen
- Analytische PH: Abgleich von Konzepten mit gespeicherten Daten
- Einzelfallprüfungen: Selektion und Bereitstellung gespeicherter Informationen
Welche Mindestanforderungen an die Dokumentation und Berichterstattung stellt der IDW PS 330?
- Dokumentation der Prüfungshandlungen und -erkenntnisse aus Aufbau- und Funktionsprüfung in den Arbeitspapieren und im Prüfungsbericht.
- Art und Umfang der Dokumentation und Berichterstattung sind dabei abhängig von der Ausgestaltung des IT Systems. Je komplexer das IT System, desto umfassender hat die Dokumentation zu erfolgen.
- Stellungnahme zur Ordnungsmäßigkeit der Buchführung und zur Sicherheit der verarbeiteten rechnungslegungsrelevanten Daten
Wie ist mit festgestellten Schwächen im IT-System umzugehen?
- Handelt es sich um wesentliche Schwächen im IT System:
a. die zu wesentlichen Mängeln in der Rechnungslegung führen: Einschränkung/Versagung des Bestätigungsvermerks und Information an die gesetzlichen Vertreter
b. die nicht zu wesentlichen Mängeln in der Rechnungslegung führen: Berichterstattung über festgestellte Schwächen im Prüfungsbericht
c. in jedem Fall Information an die gesetzlichen Vertreter über wesentliche Schwächen im IT System - Handelt es sich um unwesentliche Schwächen im IT System, dann keine Auswirkungen auf Prüfungsbericht und Bestätigungsvermerk und auch keine Information an die gesetzlichen Vertreter notwendig
Was ist bei Verstößen der gesetzlichen Vertreter oder Arbeitnehmer gegen das BDSG bzw. weitere Gesetze zum Schutz personenbezogener Daten zu beachten?
Sofern es sich um einen schwerwiegenden Verstoß handelt ist im Prüfungsbericht hierüber nach § 321 I S. 3 HGB zu berichten.
Welcher Hinweis muss in den Prüfungsbericht aufgenommen werden?
Hinweis, dass Prüfung nicht darauf ausgerichtet ist, die Wirksamkeit des IT-Systems für Geschäftsführungszwecke zu beurteilen.
Wann ist dieser Hinweis in den Prüfungsbericht aufzunehmen?
Der Hinweis ist nur in den Prüfungsbericht aufzunehmen, wenn bei festgestellten Mängeln zwingend zu berichten ist.
Wie ist mit Verbesserungspotentialen umzugehen?
Verbesserungspotentiale sind nicht im Prüfungsbericht zu nennen. Vielmehr erfolgt die Information an die gesetzlichen Vertreter unbeschadet der Darstellung im Prüfungsbericht - in geeigneter Form (z.B. Management letter).
