IKS Flashcards
Was sind die Komponenten des IKS?
- Kontrollumfeld
- Risikobeurteilungsprozess
- Informationssystem
- Kontrollaktivitäten
- die Überwachung der Kontrollen
Was sind GITC Kontrollen?
▪ Unter den generellen IT-Kontrollen werden manuelle oder automatisierte Kontrollen in IT-Prozessen verstanden, welche für Betrieb, Unterhalt und Weiterentwicklung der IT
Infrastruktur massgebend sind.
▪ Regelungen und Massnahmen, die sich auf Anwendungen beziehen.
▪ Unterstützen wirksames Funktionieren von IT-Anwendungskontrollen.
▪ Mit deren Hilfe wird die Integrität von Informationen sowie Datensicherheit
aufrechterhalten.
➢ Generelle IT-Kontrollen bilden die Grundlage für ordnungsgemäss funktionierende
automatisierte IT-Anwendungskontrollen.
Was sind Anwendungskontrollen?
manuelle oder automatisierte Verfahren, auf der Ebene eines Geschäftsprozesses, die sich auf die Verarbeitung von Geschäftsvorfällen durch einzelne Anwendungen beziehen
Welcher ISA-CH ist für IKS?
ISA-CH 265 Mitteilung von Mängeln im IKS an die für die Überwachung Verantwortlichen und das Management
PS-CH 890 Prüfung der Existenz des IKS in der Finanzberichterstattung
Mit dem Thema IKS, auf was kann man nicht mehr verzichten?
Erläuterungsbericht
Verzicht auf Erläuterungsbericht
nicht mehr möglich; verlangte Systematik
der Berichterstattung verlangt tendenziell
höhere Prüftiefe und Prüfbreite im Bereich
des IKS
Welche Pflicht hat der VR zum IKS gemäss Gesetz?
Die Pflicht des Verwaltungsrats zur Schaffung interner Kontrollen ergibt sich aus seiner Verpflichtung, das Rechnungswesen der Gesellschaft so auszugestalten, dass die Grundsätze der ordnungsmässigen Buchführung und Rechnungslegung
eingehalten werden.“
das heisst:
– Regelmässiges Besprechen der Effektivität des IKS mit der Geschäftsleitung
– Beurteilen der Bewertung des IKS durch interne und externe Revision
– Anordnung von Korrekturmassnahmen und Überwachung der Befolgung
Was ist die Verantwortung beim IKS der Geschäftsleitung?
– Gestaltung und Umsetzung des IKS
– Dokumentation und Überprüfbarkeit des IKS
Verantwortung für ein angepasstes IKS und Risikomanagement liegt bei ……?
dem Verwaltungsrat
Die Verantwortung für die Umsetzung liegt bei ….
der Geschäftsleitung
Muss IKS für alle Bereiche geprüft werden?
Gilt das gleiche für eine Publikumsgesellschaft und für ein KMU?
Nein
▪ IKS bezieht sich auf die “Finanzielle Berichterstattung”
▪ Umfang und Ausgestaltung des IKS sind von Grösse und Komplexität der
Geschäftstätigkeit abhängig
Ist es in Ordnung wenn es ein IKS gibt, aber es ist nicht formell dokumentiert?
Nein
▪ IKS muss überprüfbar sein
→ Dokumentation
→ Mindestanforderungen / Grösse und Komplexität
→ angemessene Berücksichtigung Kontrollkomponenten
Welchen Unterschied bei der Prüfung macht PS-CH 890?
- IKS als Prüfgegenstand (Existenz)
Neue gesetzliche Prüfungspflicht
Prüfungsurteil über die Existenz des IKS (im Zusammenhang mit der finanziellen Berichterstattung) in seiner Gesamtheit
Berichterstattung an GV und VR
Verständnis des IKS gesamtheitlich (Unternehmens-, Prozess- und IT-Ebene) - IKS als Teil der Abschlussprüfung (Mittel zum Zweck:
Prüfungsunterstützung → Risikoeinschätzung
Festlegung Prüfungsstrategie / Optimierung der
Prüfung IKS wird „summarisch“ analysiert
….. ist verantwortlich für die Ausgestaltung, Implementierung
und Aufrechterhaltung eines geeigneten und angemessenen IKS
Der Verwaltungsrat
Die Revisionsstelle bestätigt … (wie oft)…. die Existenz des IKS
jährlich
Können Risiken eliminiert werden?
Typischerweise werden Risiken nicht eliminiert,
sondern bis zu einem für das Management akzeptablen Niveau reduziert
Was umfasst das Kontrollumfeld?
- Integrität und ethische Werte
- Bedeutung des Verwaltungsrates
- Philosophie und Arbeitsweise der
Geschäftsleitung - Organisationsstruktur
- Bekenntnis zur Kompetenz im
Bereich finanzielle Berichterstattung - Befugnisse und Verantwortlichkeiten
- Personalwesen
Was ist im IKS gemeint mit Risikobeurteilung?
− Prozess zur Identifikation und Überwachung von
Risiken bezüglich der Unternehmensziele
− Prozess zur Identifikation von Änderungen im
Bereich der Rechnungslegung
Informationssystem oder “Information & Kommunkation”, was beinhaltet das in den IKS Komponenten?
(Infos von 2 Slides)
− Zweckmässiges und zeitgerechtes Reporting an VR und GL
− Kommunikationskonzept für Unternehmung / Konzern (gewährleisten, dass die
relevanten Informationen für die verantwortlichen Personen zugänglich sind).
- Informationen bezüglich finanzieller
Berichterstattung - Informationen bezüglich Interner
Kontrolle - Interne Kommunikation
- Externe Kommunikation
Was kann man bei den IKS Komponenten zu Überwachung sagen?
− Regelmässige Überwachung durch Management und Prüfungsausschuss
− Umsetzung von Verbesserungsempfehlungen
− Einsetzung interne Revision und externe Spezialisten
Wie wird ein gutes Kontrollumfeld generiert?
Beispiele:
- Gute Führung und Organisation
- Mitarbeiter Personalwesen
- Anweisungen und Reglemente
- Unternehmenskultur
Was sind die Prinzipien bei “Kontrollmassnahmen” (Teil der Komponenten)?
- Verknüpfung von Risikobeurteilung und Kontrollmassnahmen
- Auswahl und Entwicklung von Kontrollmassnahmen
- Richtlinien und Verfahren
- Informationstechnologie
Wer ist im IKS alles Teil der Überwachung?
Interne Revision
Audit Committee
Interne und externe Spezialisten
Assurance Funktion
Was stellen, sehr kurz zusammengefasst, GITC?
Generelle IT-Kontrollen bilden die Grundlage für ein ordnungsmässiges Funktionieren der
IT-Anwendungen.
Welche 3 IKS Bereiche prüft der Prüfer auf Existenz?
- Kontrollen auf Unternehmensebene
- Kontrollen auf Prozessebene
- die generellen IT-Kontrollen
Welche Bereiche im GITC werden gedeckt?
➢ Programmentwicklungen;
➢ Programm- und Datenbankanpassungen;
➢ Zugriff auf Programme und Daten;
➢ Betrieb der Informatik.
mit den 4 Bereichen oben, stellt man sicher, ob die GITC:
einen verlässlichen und reibungslosen Betrieb der Datenaufbereitung erlauben und
die Integrität der verarbeiteten Daten sowie die Sicherheit des Datenverarbeitungsprozesses gewährleistet sind.
Können GITC rotiert werden?
Der Abschlussprüfer hat die Existenz der generellen IT-Kontrollen jedes Jahr zu prüfen.
Was wäre die Vorgehensweise bei einer Anwendungsprüfung (IT)?
- Analyse von Bilanz und Erfolgsrechnung
- Identifikation der Geschäftsprozesse und Datenflüsse
- Identifikation der Kernanwendungen und der IT-relevanten Schnittstellen
- Identifikation der Risiken und Schlüsselkontrollen
Walk-Through - Beurteilung des Kontroll-Designs
- Beurteilung der Umsetzung der Kontrollen
- Gesamtbeachtung und Ergebnisfindung
Was sind Anwendungskontrollen?
Anwendungskontrollen sind Verfahren, die typischerweise auf der Ebene eines Geschäftsprozesses durchgeführt werden
Beziehen sich auf die Verarbeitung von Geschäftsvorfallen durch einzelne Anwendungen
können präventiv oder detektiv sein
Was stellen Anwendungskontrollen sicher
dass,
□ sich erfasste Geschäftsvorfälle tatsächlich ereignet haben,
□ autorisiert sind sowie
□ vollständig und richtig aufgezeichnet und verarbeitet werden.
Was sind Eigenschaften von automatischen Kontrollen?
Kontrollausführung erfolgt automatisiert –Fehlerrisiko ist in der Regel geringer
▪ Wird die Kontrolle einmal als korrekt geprüft, so funktioniert sie immer gleich,
➢ SOFERN die sie unterstützenden Generellen IT-Kontrollen richtig funktionieren
➢ UND in der Prüfperiode keine Änderungen an der Kontrolle vorgenommen wurden
▪ Deshalb kann die operationelle Effektivität oftmals mittels eines ‚Test of One‘ geprüft werden
Was muss man zu “Test of One” wissen?
▪ Viele automatische Kontrollen können mit einem ‚Test of One‘ geprüft werden.
▪ Dies bedeutet, dass die Kontrolle anhand einer Transaktion durchgespielt oder nachvollzogen wird. Falls diese Transaktion richtig behandelt wird, so können wir davon ausgehen, dass die Kontrolle immer richtig funktioniert.
▪ ABER: Falls die Kontrolle verschiedene Arten von Transaktionen unterschiedlich behandelt, so muss für jede einzelne Transaktionsart ein separater Test of One durchgeführt werden
Was sind die Prüfungstechniken bei automatisierten Anwendungskontrollen?
▪ Einmaltest (Test-of-One)
▪ Direktes Testen
▪ Baselining / Benchmarking
▪ Datenanalyse
Werden die Generellen IT-Kontrollen für eine bestimmte Applikation als gesamthaft
«nicht effektiv» beurteilt, so hat dies folgende Auswirkungen:
▪ Auch Applikationskontrolle effektiv beurteilt können keine Aussage über das ganze Jahr machen.
▪ Ein Ausweg, falls wir an einer bestimmten Ausführung der Applikationskontrolle interessiert sind.
▪ In diesem Fall kann genau diese Ausführung geprüft werden, um angemessene Sicherheit
über das Funktionieren der Applikationskontrolle zu erhalten.
▪ Beispiel: Vollständigkeit und Korrektheit eines Reports aus dem System – Falls wir genau
denjenigen Report im richtigen Zeitpunkt prüfen, welcher die Grundlage für weitergehende
Prüfungshandlungen ist, so kann dies ausreichend sein.
Falls oben nicht anwendbar, dann kann Applikationskontrolle nicht verwendet werden
Wird eine einzelne Generelle IT-Kontrolle als nicht effektiv beurteilt, so hängt der Einfluss dieser Kontrollschwäche auf unsere Gesamtbeurteilung von verschiedenen Faktoren ab:
▪ Existenz von kompensierenden Kontrollen auf ITGC-Ebene
▪ Relevanz der Kontrolle für das Prüfziel des ITGC-Bereichs
▪ Ergebnis von zusätzlich durchgeführten (ev. aussagebezogene) Prüfaktivitäten
▪ Direkter Einfluss der Kontrollschwäche auf das Funktionieren der durch sie unterstützten
Applikationskontrolle (z.B. Einfluss einer Schwäche bei der Benutzeradministration bei einer
Kontrolle, welche nur als Batch ausgeführt wird
Bei vollautomatischen Kontrollen liegen Design und operative Effektivität sehr nahe beieinander!
Richtig oder falsch?
Richtig, ist oft sehr nahe
Was kann man machen bei einzelnen ineffektiven Applikationskontrollen?
Vorgehen gemäss den im Rahmen der Prüfungsdurchführung besprochenen Möglichkeiten:
▪ Beurteilung der Behebung der Kontrollschwäche
▪ Behebung per welches Datum
▪ Beurteilung des Einflusses der Kontrollschwäche für die Zeit, in welcher sie bestand (abhängig von der Art der Kontrolle!)
▪ Identifikation von zusätzlichen Kontrollen, welche mitigierend wirken
▪ Bestimmung von zusätzlichen, tiefergehenden Prüfschritten, um tatsächliche Auswirkungen der Kontrollschwäche zu bestimmen
Kommen wir zum Schluss, dass eine Applikationskontrolle ein Kontrollziel nicht erreicht, stellen sich folgende Fragen:
▪ Wird das Prüfziel auch erreicht, wenn wir uns nicht auf diese Kontrolle abstützen können?
▪ Existieren andere mitigierende Applikationskontrollen, welche wir prüfen könnten, so dass das Prüfziel erreicht wird?
▪ Existieren mitigierende manuelle Kontrollen, welche wir prüfen könnten, so dass das
Prüfziel erreicht wird?
▪ Können wir aussagebezogene Prüfungshandlungen im Prozess durchführen, welche uns auch genügende Sicherheit über das Prüfziel geben?
Welche 3 Kontrollebenen existieren?
- Unternehmensebene
- Prozessebene
- Generelle IT-Kontrollen
Welche Anforderungen bestehen zur “Überprüfbarkeit des IKS”? (für die Existenz des IKS)
▪ Die für das IKS relevanten Prozesse sind angemessen detailliert beschrieben
− textlich oder mit Flowchart
▪ Kontrollen sind angemessen beschrieben
− in der Prozessdokumentation und/oder im Kontrollinventar
▪ Jede Kontrolltätigkeit muss durch eine
andere Person nachvollzogen werden
können
▪ Dies ist nur möglich, wenn die Kontrolltätigkeit entsprechend dokumentiert wurde, z.B. mit
− Visum, Datum
− Häkchen
− Aufbewahrung der
Kontrolldokumente
− Systemnachweis
− Erkl. zu Differenzen etc.
▪ Eine nicht dokumentierte Kontrolle gilt
grundsätzlich als „nicht durchgeführt“
Welche 2 Punkte muss die Revisionsstelle (grob) bejahen können beim IKS?
- Das IKS ist vorhanden und dokumentiert – J/N?
- Das IKS ist umgesetzt und wird angewendet – J/N?
Nicht erforderlich:
3. Das IKS funktioniert dauernd und richtig – J/N? Wir müssen Wirksamkeit nicht bejahen können.
Ist Wirksamkeit unter gewissen Voraussetzungen obligatorisch bei der Prüfung der Existenz?
Wirksamkeitsprüfung NICHT Bestandteil der IKS-Existenzprüfung
Die Auswahlverfahren betreffend Prüfungshandlungen zur Bestätigung der
Existenz des IKS stehen im Zusammenhang mit den Risiken der finanziellen Berichterstattung und deren Wesentlichkeit
Richtig oder falsch?
Richtig
Dies ist eine Grundüberlegung bei der Prüfung der Existenz vom IKS
Ist Umfang der Prüfungen auf der Unternehmens- und Prozessebene sowie generelle IT-Kontrollen fix gegeben vom Gesetz oder PS/HWP?
Nein
liegen im Ermessen des Prüfers.
Wie oft müssen Kontrollen auf Unternehmensebene geprüft werden?
jährlich
Wie oft sind Kontrollen auf Prozessebene zu prüfen?
sind regelmässig zu prüfen (rotierend)
Wie oft sind Schlüsselkontrollen zu prüfen?
in der Regel alle 3 Jahre
Zu welchem Zeitpunkt muss Prüfung vom IKS stattfinden
- Wahl des Zeitpunkts ist frei;
- Berichterstattung nimmt auf den Stichtag der Jahresrechnung Bezug.
Welche Prüfungsverfahren alleine (beim IKS) geben nicht genügend Prüfsicherheit?
Befragung
Durchsicht der Dokumente
Müssen Kontrollen für alles mögliche gemacht werden?
Nein
▪ Kontrollen werden nur eingeführt, wenn dies
durch ein entsprechendes Risiko gerechtfertigt ist (massgebend ist der Risikoappetit der Unternehmung)
▪ Es wird die Kontrolle eingeführt, welche das Risiko am besten abdeckt (→ geringstes Netto Risiko)
▪ Reduzierung der Anzahl Kontrollen
▪ Kosten-Nutzen im Gleichgewicht
Was muss der Prüfer zum IKS bei den Mitarbeitern prüfen?
Kenntnis bei Mitarbeitern
▪ Das Bewusstsein für IKS stärken
▪ Sicherstellung einer einheitlichen Denkweise über IKS → Anforderungen an eines IKS sind bekannt
▪ Schaffung eines „gesunden“ Kontrollverständnisses innerhalb der Unternehmung
▪ Sicherstellung einer „fehlertoleranten“ Kultur
▪ Der Mitarbeiter ist geschult die Kontrollen in seinem Arbeitsbereich wirksam auszuführen
Wenn man ein gutes Umfeld hat, die Risikobeurteilung ist gemacht und eine Risiko Kontroll Matrix besteht, was muss sichergestellt werden?
Wie wird sichergestellt, dass das IKS nicht auf Papier existiert sondern Kontrollen auch in der Realität
durchgeführt werden
Beobachtung
- Kontrolle durch das Management
- Nachweise für die Durchführung von Kontrollen
- Nachweise für die Überprüfung dieser Durchführung
Befragung des Managements
- involvierte Management-Ebenen
- In welchen Bereichen verlässt sich das Management auf das IKS
- wie kontrolliert das Management, dass das IKS gelebt wird
- Existenz einer Interne Revision
Was prüft die Revisionsstelle beim IKS damit sie das IKS bejahen kann?
▪ a) Bestand und Überprüfbarkeit
▪ b) Abstimmung auf Geschäftsrisiken und den Umfang der Geschäftstätigkeit
▪ c) Kenntnis bei Mitarbeitern
▪ d) Anwendung im Unternehmen
▪ e) Kontrollbewusstsein
Muss für jede Gesellschaft die Existenz eines IKS geprüft werden?
▪ Die Existenz eines IKS muss nur für ordentliche Prüfungen bestätigt werden, für die „eingeschränkte“ Prüfung ist keine IKS Prüfung notwendig.
Bezieht sich unser Testat auf das Geschäftsjahr oder auf den Bilanzstichtag?
▪ Die Bestätigung der Revisionsstelle gemäss Art. 728a OR erfolgt per Bilanzstichtag.
▪ Demzufolge kann ein Kontrollmangel während des Jahres bis zum Bilanzstichtag „geheilt“ werden.
Wenn es einen IKS Mangel gibt im Interim, dies aber dann verbessert wird bis Jahresende, ist die Existenz noch gegeben?
Ja
▪ ein Kontrollmangel kann während des Jahres bis zum Bilanzstichtag „geheilt“ werden.
Gelten die gesetzlichen Vorschriften betr. IKS gemäss OR 728a auch für ausländische Tochtergesellschaften eines Schweizer Konzerns?
▪ Art. 728a OR verlangt von der Revisionsstelle, dass sie die Existenz des IKS überprüft.
▪ Art. 728a OR gilt für alle Unternehmen, die der ordentlichen Revisionspflicht unterstehen und zwar Einzelabschluss und Konzernrechnung, damit sind ausländische Tochtergesellschaften eingeschlossen
Müssen sämtliche ausländische Tochtergesellschaften eines Schweizer Konzerns
berücksichtigt werden?
▪ Nur wesentliche Tochtergesellschaften sind zu berücksichtigen.
▪ Die Festlegung des sogenannten „Scoping“ sollte im Projekt frühzeitig adressiert werden.
Gibt es Überschneidungen zwischen ISO- und IKS-Dokumentation?
▪ Ja, es kann Überschneidungen mit der ISO-Dokumentation geben.
▪ Die ISO-Dokumentation erfasst sämtliche für das
Qualitätsmanagement relevanten Prozesse und Kontrollen einer Unternehmung.
▪ Das IKS gemäss OR 728a fokussiert sich allerdings nur auf die finanzielle Berichterstattung, d.h. auf die Vermeidung möglicher Fehler in der Konzernrechnung oder im Einzelabschluss.
▪ Diese Verbindung zur finanziellen Berichterstattung fehlt in der ISO-Dokumentationen meistens
Wann kann der Prüfer nicht mehr von einer Existenz eines IKS sprechen und somit ein negatives Urteil darüber abgeben?
▪ Es gibt im Prinzip zwei Möglichkeiten:
– Entweder ist das IKS nicht formalisiert, d.h. es fehlt eine minimale Dokumentation der Schlüsselkontrollen, oder
– das IKS ist zwar formalisiert, aber die definierten internen Kontrollen sind ungenügend ausgestaltet oder werden in der Praxis nicht gelebt.
Wenn das IKS verneint wird, heisst dies dass das Urteil über den Jahresabschluss modifiziert werden muss?
Nein
▪ Die negative Beurteilung über das IKS heisst aber nicht, dass der Jahresabschluss somit nicht stimmt. Wir können die Richtigkeit des Jahresabschlusses dann aufgrund von alternativen Prüfungshandlungen bestätigen.
▪ Die festgestellten Mängel müssen insgesamt so gravierend sein,
dass wesentliche Fehler in der Konzern- bzw. Jahresrechnung
nicht mit vernünftiger Wahrscheinlichkeit ausgeschlossen werden
können.
Was muss beachtet werden, wenn Dienstleistungsorganisationen in Anspruch
genommen werden?
▪ Gemäss ISA-CH 402 muss der Abschlussprüfer berücksichtigen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrollen des Kunden beeinflusst.
Falls die Aktivitäten der Dienstleistungsorganisation für den eigenen Jahresabschluss wesentlich sind, bestehen welche Optionen?
– Durchführen von IKS-Prüfungen beim Dienstleister
– Beauftragung des Wirtschaftsprüfers des Dienstleisters zur Durchführung der
IKS-Prüfung sowie Erstellen eines Berichtes (Typ 1 oder Typ 2)
- oder Beauftragung eines Prüfers dies für uns durchzuführen
(ISA-CH 402)
Was ist eine Wurzelstichprobe (Walk through)?
▪ Eine Wurzelstichprobe ist ein Prüfungsverfahren, wo von Anfang bis Ende ein einzelner Geschäftsfall vollständig nachvollzogen wird.
▪ Eine Wurzelstichprobe reicht aus für die Beurteilung der Ausgestaltung und Umsetzung des IKS zu einem bestimmten Zeitpunkt, nicht aber zur Beurteilung der Wirksamkeit und Effizienz über einen Zeitraum.
Müssen alle Kontrollen von uns geprüft werden die einen Bezug haben zur finanziellen Berichterstattung?
▪ PS-CH 890 sieht keine systematische Prüfung aller Kontrollen vor, sondern beschränkt sich auf die wesentlichen Kontrollen, den sogenannten ‚Key Controls (KCs)‘.
Gibt es einen Unterschied im IKS zwischen Kontrolldefizit und Schwäche?
▪ Ein Kontrolldefizit („deficiency in design and/or operation“) liegt dann vor, wenn in der Ausgestaltung oder Implementierung einer Kontrolle Mängel bestehen, die dazu führen, dass die Kontrolle das Ziel nicht erreichen kann oder nicht wie vorgeschrieben umgesetzt wird.
▪ Eine Schwäche („material weakness“) besteht dann, wenn ein oder mehrere Kontrolldefizite dazu führen könnten, dass ein wesentlicher Fehler in der
Jahresrechnung (aufgrund Irrtum oder Verstoss) nicht verhindert oder aufgedeckt werden kann.
Welche von diesen sind Applikationskontrollen:
Datenvalidierung
Automatische Abstimmungen
Exception Reporting
Änderung an der Software
Datenvalidierung
Automatische Abstimmungen
Exception Reporting
Gemäss PS-CH 890 hat der Abschlussprüfer die Existenz der generellen IT-Kontrollen wie oft zu prüfen?
Jedes Jahr
Welche Aussage ist korrekt?
1) Generelle IT-Kontrollen unterstützen das wirksame Funktionieren von Anwendungskontrollen.
2) Für den Einmaltest (sogenanntes Test of One) der Applikationskontrolle ist die operationelle Effektivität der IT-Kontrollen keine Voraussetzung.
3) Anwendungskontrollen sind generelle IT-Kontrollen.
4) Anwendungskontrollen müssen vom Abschlussprüfer nicht geprüft werden, wenn die generellen IT-Kontrollen effektiv sind.
1) Generelle IT-Kontrollen unterstützen das wirksame Funktionieren von Anwendungskontrollen.
Welche Bereiche sind Bestandteil der Generellen IT-Kontrollen?
1) Zugriff auf Programme und Daten
2) Antivirus-Software
3) Programm-Anpassungen
4) Vier Augen Kontrolle
1) Zugriff auf Programme und Daten
3) Programm-Anpassungen
Welche Voraussetzungen müssen erfüllt sein, um das Funktionieren einer Applikationskontrolle mittels eines “Test of One” zu prüfen?
Die operationelle Effektivität der generellen IT-Kontrollen ist gegeben.
In der Prüfperiode wurde keine Änderungen an der Kontrolle vorgenommen.
Welche Aussagen stimmen?
1)Individuelle Datenverarbeitung (IDV) sind von der IT betriebene Applikation.
2) Individuelle Datenverarbeitung (IDV) sind Anwendungen, welche vom Fachbereich betrieben werden.
3) Individuelle Datenverarbeitung (IDV) werden exklusiv in der Finanzabteilung angewandt.
4) Macros in einem Excel-Dokument können individuelle Datenverarbeitung (IDV) sein.
2) Individuelle Datenverarbeitung (IDV) sind Anwendungen, welche vom Fachbereich betrieben werden.
4) Macros in einem Excel-Dokument können individuelle Datenverarbeitung (IDV) sein.
