IKS

Question 1

Was sind die Komponenten des IKS?

Answer 1

• Kontrollumfeld
• Risikobeurteilungsprozess
• Informationssystem
• Kontrollaktivitäten
• die Überwachung der Kontrollen

Question 2

Was sind GITC Kontrollen?

Answer 2

▪ Unter den generellen IT-Kontrollen werden manuelle oder automatisierte Kontrollen in IT-Prozessen verstanden, welche für Betrieb, Unterhalt und Weiterentwicklung der IT
Infrastruktur massgebend sind.
▪ Regelungen und Massnahmen, die sich auf Anwendungen beziehen.
▪ Unterstützen wirksames Funktionieren von IT-Anwendungskontrollen.
▪ Mit deren Hilfe wird die Integrität von Informationen sowie Datensicherheit
aufrechterhalten.
➢ Generelle IT-Kontrollen bilden die Grundlage für ordnungsgemäss funktionierende
automatisierte IT-Anwendungskontrollen.

Question 3

Was sind Anwendungskontrollen?

Answer 3

manuelle oder automatisierte Verfahren, auf der Ebene eines Geschäftsprozesses, die sich auf die Verarbeitung von Geschäftsvorfällen durch einzelne Anwendungen beziehen

Question 4

Welcher ISA-CH ist für IKS?

Answer 4

ISA-CH 265 Mitteilung von Mängeln im IKS an die für die Überwachung Verantwortlichen und das Management

PS-CH 890 Prüfung der Existenz des IKS in der Finanzberichterstattung

Question 5

Mit dem Thema IKS, auf was kann man nicht mehr verzichten?

Answer 5

Erläuterungsbericht

Verzicht auf Erläuterungsbericht
nicht mehr möglich; verlangte Systematik
der Berichterstattung verlangt tendenziell
höhere Prüftiefe und Prüfbreite im Bereich
des IKS

Question 6

Welche Pflicht hat der VR zum IKS gemäss Gesetz?

Answer 6

Die Pflicht des Verwaltungsrats zur Schaffung interner Kontrollen ergibt sich aus seiner Verpflichtung, das Rechnungswesen der Gesellschaft so auszugestalten, dass die Grundsätze der ordnungsmässigen Buchführung und Rechnungslegung
eingehalten werden.“

das heisst:
– Regelmässiges Besprechen der Effektivität des IKS mit der Geschäftsleitung
– Beurteilen der Bewertung des IKS durch interne und externe Revision
– Anordnung von Korrekturmassnahmen und Überwachung der Befolgung

Question 7

Was ist die Verantwortung beim IKS der Geschäftsleitung?

Answer 7

– Gestaltung und Umsetzung des IKS
– Dokumentation und Überprüfbarkeit des IKS

Question 8

Verantwortung für ein angepasstes IKS und Risikomanagement liegt bei ……?

Answer 8

dem Verwaltungsrat

Question 9

Die Verantwortung für die Umsetzung liegt bei ….

Answer 9

der Geschäftsleitung

Question 10

Muss IKS für alle Bereiche geprüft werden?
Gilt das gleiche für eine Publikumsgesellschaft und für ein KMU?

Answer 10

Nein
▪ IKS bezieht sich auf die “Finanzielle Berichterstattung”
▪ Umfang und Ausgestaltung des IKS sind von Grösse und Komplexität der
Geschäftstätigkeit abhängig

Question 11

Ist es in Ordnung wenn es ein IKS gibt, aber es ist nicht formell dokumentiert?

Answer 11

Nein
▪ IKS muss überprüfbar sein
→ Dokumentation
→ Mindestanforderungen / Grösse und Komplexität
→ angemessene Berücksichtigung Kontrollkomponenten

Question 12

Welchen Unterschied bei der Prüfung macht PS-CH 890?

Answer 12

• IKS als Prüfgegenstand (Existenz)
  Neue gesetzliche Prüfungspflicht
  Prüfungsurteil über die Existenz des IKS (im Zusammenhang mit der finanziellen Berichterstattung) in seiner Gesamtheit
  Berichterstattung an GV und VR
  Verständnis des IKS gesamtheitlich (Unternehmens-, Prozess- und IT-Ebene)
• IKS als Teil der Abschlussprüfung (Mittel zum Zweck:
  Prüfungsunterstützung → Risikoeinschätzung
  Festlegung Prüfungsstrategie / Optimierung der
  Prüfung IKS wird „summarisch“ analysiert

Question 13

….. ist verantwortlich für die Ausgestaltung, Implementierung
und Aufrechterhaltung eines geeigneten und angemessenen IKS

Answer 13

Der Verwaltungsrat

Question 14

Die Revisionsstelle bestätigt … (wie oft)…. die Existenz des IKS

Answer 14

jährlich

Question 15

Können Risiken eliminiert werden?

Answer 15

Typischerweise werden Risiken nicht eliminiert,
sondern bis zu einem für das Management akzeptablen Niveau reduziert

Question 16

Was umfasst das Kontrollumfeld?

Answer 16

• Integrität und ethische Werte
• Bedeutung des Verwaltungsrates
• Philosophie und Arbeitsweise der
  Geschäftsleitung
• Organisationsstruktur
• Bekenntnis zur Kompetenz im
  Bereich finanzielle Berichterstattung
• Befugnisse und Verantwortlichkeiten
• Personalwesen

Question 17

Was ist im IKS gemeint mit Risikobeurteilung?

Answer 17

− Prozess zur Identifikation und Überwachung von
Risiken bezüglich der Unternehmensziele
− Prozess zur Identifikation von Änderungen im
Bereich der Rechnungslegung

Question 18

Informationssystem oder “Information & Kommunkation”, was beinhaltet das in den IKS Komponenten?

Answer 18

(Infos von 2 Slides)
− Zweckmässiges und zeitgerechtes Reporting an VR und GL
− Kommunikationskonzept für Unternehmung / Konzern (gewährleisten, dass die
relevanten Informationen für die verantwortlichen Personen zugänglich sind).

• Informationen bezüglich finanzieller
  Berichterstattung
• Informationen bezüglich Interner
  Kontrolle
• Interne Kommunikation
• Externe Kommunikation

Question 19

Was kann man bei den IKS Komponenten zu Überwachung sagen?

Answer 19

− Regelmässige Überwachung durch Management und Prüfungsausschuss
− Umsetzung von Verbesserungsempfehlungen
− Einsetzung interne Revision und externe Spezialisten

Question 20

Wie wird ein gutes Kontrollumfeld generiert?

Answer 20

Beispiele:
- Gute Führung und Organisation
- Mitarbeiter Personalwesen
- Anweisungen und Reglemente
- Unternehmenskultur

Question 21

Was sind die Prinzipien bei “Kontrollmassnahmen” (Teil der Komponenten)?

Answer 21

• Verknüpfung von Risikobeurteilung und Kontrollmassnahmen
• Auswahl und Entwicklung von Kontrollmassnahmen
• Richtlinien und Verfahren
• Informationstechnologie

Question 22

Wer ist im IKS alles Teil der Überwachung?

Answer 22

Interne Revision
Audit Committee
Interne und externe Spezialisten
Assurance Funktion

Question 23

Was stellen, sehr kurz zusammengefasst, GITC?

Answer 23

Generelle IT-Kontrollen bilden die Grundlage für ein ordnungsmässiges Funktionieren der
IT-Anwendungen.

Question 24

Welche 3 IKS Bereiche prüft der Prüfer auf Existenz?

Answer 24

• Kontrollen auf Unternehmensebene
• Kontrollen auf Prozessebene
• die generellen IT-Kontrollen

Question 25

Welche Bereiche im GITC werden gedeckt?

Answer 25

➢ Programmentwicklungen;
➢ Programm- und Datenbankanpassungen;
➢ Zugriff auf Programme und Daten;
➢ Betrieb der Informatik.

mit den 4 Bereichen oben, stellt man sicher, ob die GITC:
einen verlässlichen und reibungslosen Betrieb der Datenaufbereitung erlauben und
die Integrität der verarbeiteten Daten sowie die Sicherheit des Datenverarbeitungsprozesses gewährleistet sind.

Question 26

Können GITC rotiert werden?

Answer 26

Der Abschlussprüfer hat die Existenz der generellen IT-Kontrollen jedes Jahr zu prüfen.

Question 27

Was wäre die Vorgehensweise bei einer Anwendungsprüfung (IT)?

Answer 27

• Analyse von Bilanz und Erfolgsrechnung
• Identifikation der Geschäftsprozesse und Datenflüsse
• Identifikation der Kernanwendungen und der IT-relevanten Schnittstellen
• Identifikation der Risiken und Schlüsselkontrollen
  Walk-Through
• Beurteilung des Kontroll-Designs
• Beurteilung der Umsetzung der Kontrollen
• Gesamtbeachtung und Ergebnisfindung

Question 28

Was sind Anwendungskontrollen?

Answer 28

Anwendungskontrollen sind Verfahren, die typischerweise auf der Ebene eines Geschäftsprozesses durchgeführt werden

Beziehen sich auf die Verarbeitung von Geschäftsvorfallen durch einzelne Anwendungen

können präventiv oder detektiv sein

Question 29

Was stellen Anwendungskontrollen sicher

Answer 29

dass,
□ sich erfasste Geschäftsvorfälle tatsächlich ereignet haben,
□ autorisiert sind sowie
□ vollständig und richtig aufgezeichnet und verarbeitet werden.

Question 30

Was sind Eigenschaften von automatischen Kontrollen?

Answer 30

Kontrollausführung erfolgt automatisiert –Fehlerrisiko ist in der Regel geringer
▪ Wird die Kontrolle einmal als korrekt geprüft, so funktioniert sie immer gleich,
➢ SOFERN die sie unterstützenden Generellen IT-Kontrollen richtig funktionieren
➢ UND in der Prüfperiode keine Änderungen an der Kontrolle vorgenommen wurden
▪ Deshalb kann die operationelle Effektivität oftmals mittels eines ‚Test of One‘ geprüft werden

Question 31

Was muss man zu “Test of One” wissen?

Answer 31

▪ Viele automatische Kontrollen können mit einem ‚Test of One‘ geprüft werden.
▪ Dies bedeutet, dass die Kontrolle anhand einer Transaktion durchgespielt oder nachvollzogen wird. Falls diese Transaktion richtig behandelt wird, so können wir davon ausgehen, dass die Kontrolle immer richtig funktioniert.
▪ ABER: Falls die Kontrolle verschiedene Arten von Transaktionen unterschiedlich behandelt, so muss für jede einzelne Transaktionsart ein separater Test of One durchgeführt werden

Question 32

Was sind die Prüfungstechniken bei automatisierten Anwendungskontrollen?

Answer 32

▪ Einmaltest (Test-of-One)
▪ Direktes Testen
▪ Baselining / Benchmarking
▪ Datenanalyse

Question 33

Werden die Generellen IT-Kontrollen für eine bestimmte Applikation als gesamthaft
«nicht effektiv» beurteilt, so hat dies folgende Auswirkungen:

Answer 33

▪ Auch Applikationskontrolle effektiv beurteilt können keine Aussage über das ganze Jahr machen.
▪ Ein Ausweg, falls wir an einer bestimmten Ausführung der Applikationskontrolle interessiert sind.
▪ In diesem Fall kann genau diese Ausführung geprüft werden, um angemessene Sicherheit
über das Funktionieren der Applikationskontrolle zu erhalten.
▪ Beispiel: Vollständigkeit und Korrektheit eines Reports aus dem System – Falls wir genau
denjenigen Report im richtigen Zeitpunkt prüfen, welcher die Grundlage für weitergehende
Prüfungshandlungen ist, so kann dies ausreichend sein.

Falls oben nicht anwendbar, dann kann Applikationskontrolle nicht verwendet werden

Question 34

Wird eine einzelne Generelle IT-Kontrolle als nicht effektiv beurteilt, so hängt der Einfluss dieser Kontrollschwäche auf unsere Gesamtbeurteilung von verschiedenen Faktoren ab:

Answer 34

▪ Existenz von kompensierenden Kontrollen auf ITGC-Ebene
▪ Relevanz der Kontrolle für das Prüfziel des ITGC-Bereichs
▪ Ergebnis von zusätzlich durchgeführten (ev. aussagebezogene) Prüfaktivitäten
▪ Direkter Einfluss der Kontrollschwäche auf das Funktionieren der durch sie unterstützten
Applikationskontrolle (z.B. Einfluss einer Schwäche bei der Benutzeradministration bei einer
Kontrolle, welche nur als Batch ausgeführt wird

Question 35

Bei vollautomatischen Kontrollen liegen Design und operative Effektivität sehr nahe beieinander!
Richtig oder falsch?

Answer 35

Richtig, ist oft sehr nahe

Question 36

Was kann man machen bei einzelnen ineffektiven Applikationskontrollen?
Vorgehen gemäss den im Rahmen der Prüfungsdurchführung besprochenen Möglichkeiten:

Answer 36

▪ Beurteilung der Behebung der Kontrollschwäche
▪ Behebung per welches Datum
▪ Beurteilung des Einflusses der Kontrollschwäche für die Zeit, in welcher sie bestand (abhängig von der Art der Kontrolle!)
▪ Identifikation von zusätzlichen Kontrollen, welche mitigierend wirken
▪ Bestimmung von zusätzlichen, tiefergehenden Prüfschritten, um tatsächliche Auswirkungen der Kontrollschwäche zu bestimmen

Question 37

Kommen wir zum Schluss, dass eine Applikationskontrolle ein Kontrollziel nicht erreicht, stellen sich folgende Fragen:

Answer 37

▪ Wird das Prüfziel auch erreicht, wenn wir uns nicht auf diese Kontrolle abstützen können?
▪ Existieren andere mitigierende Applikationskontrollen, welche wir prüfen könnten, so dass das Prüfziel erreicht wird?
▪ Existieren mitigierende manuelle Kontrollen, welche wir prüfen könnten, so dass das
Prüfziel erreicht wird?
▪ Können wir aussagebezogene Prüfungshandlungen im Prozess durchführen, welche uns auch genügende Sicherheit über das Prüfziel geben?

Question 38

Welche 3 Kontrollebenen existieren?

Answer 38

• Unternehmensebene
• Prozessebene
• Generelle IT-Kontrollen

Question 39

Welche Anforderungen bestehen zur “Überprüfbarkeit des IKS”? (für die Existenz des IKS)

Answer 39

▪ Die für das IKS relevanten Prozesse sind angemessen detailliert beschrieben
− textlich oder mit Flowchart
▪ Kontrollen sind angemessen beschrieben
− in der Prozessdokumentation und/oder im Kontrollinventar

▪ Jede Kontrolltätigkeit muss durch eine
andere Person nachvollzogen werden
können
▪ Dies ist nur möglich, wenn die Kontrolltätigkeit entsprechend dokumentiert wurde, z.B. mit
− Visum, Datum
− Häkchen
− Aufbewahrung der
Kontrolldokumente
− Systemnachweis
− Erkl. zu Differenzen etc.
▪ Eine nicht dokumentierte Kontrolle gilt
grundsätzlich als „nicht durchgeführt“

Question 40

Welche 2 Punkte muss die Revisionsstelle (grob) bejahen können beim IKS?

Answer 40

1. Das IKS ist vorhanden und dokumentiert – J/N?
2. Das IKS ist umgesetzt und wird angewendet – J/N?

Nicht erforderlich:
3. Das IKS funktioniert dauernd und richtig – J/N? Wir müssen Wirksamkeit nicht bejahen können.

Question 41

Ist Wirksamkeit unter gewissen Voraussetzungen obligatorisch bei der Prüfung der Existenz?

Answer 41

Wirksamkeitsprüfung NICHT Bestandteil der IKS-Existenzprüfung

Question 42

Die Auswahlverfahren betreffend Prüfungshandlungen zur Bestätigung der
Existenz des IKS stehen im Zusammenhang mit den Risiken der finanziellen Berichterstattung und deren Wesentlichkeit

Richtig oder falsch?

Answer 42

Richtig
Dies ist eine Grundüberlegung bei der Prüfung der Existenz vom IKS

Question 43

Ist Umfang der Prüfungen auf der Unternehmens- und Prozessebene sowie generelle IT-Kontrollen fix gegeben vom Gesetz oder PS/HWP?

Answer 43

Nein
liegen im Ermessen des Prüfers.

Question 44

Wie oft müssen Kontrollen auf Unternehmensebene geprüft werden?

Answer 44

jährlich

Question 45

Wie oft sind Kontrollen auf Prozessebene zu prüfen?

Answer 45

sind regelmässig zu prüfen (rotierend)

Question 46

Wie oft sind Schlüsselkontrollen zu prüfen?

Answer 46

in der Regel alle 3 Jahre

Question 47

Zu welchem Zeitpunkt muss Prüfung vom IKS stattfinden

Answer 47

• Wahl des Zeitpunkts ist frei;
• Berichterstattung nimmt auf den Stichtag der Jahresrechnung Bezug.

Question 48

Welche Prüfungsverfahren alleine (beim IKS) geben nicht genügend Prüfsicherheit?

Answer 48

Befragung

Durchsicht der Dokumente

Question 49

Müssen Kontrollen für alles mögliche gemacht werden?

Answer 49

Nein

▪ Kontrollen werden nur eingeführt, wenn dies
durch ein entsprechendes Risiko gerechtfertigt ist (massgebend ist der Risikoappetit der Unternehmung)
▪ Es wird die Kontrolle eingeführt, welche das Risiko am besten abdeckt (→ geringstes Netto Risiko)
▪ Reduzierung der Anzahl Kontrollen
▪ Kosten-Nutzen im Gleichgewicht

Question 50

Was muss der Prüfer zum IKS bei den Mitarbeitern prüfen?

Answer 50

Kenntnis bei Mitarbeitern

▪ Das Bewusstsein für IKS stärken
▪ Sicherstellung einer einheitlichen Denkweise über IKS → Anforderungen an eines IKS sind bekannt
▪ Schaffung eines „gesunden“ Kontrollverständnisses innerhalb der Unternehmung
▪ Sicherstellung einer „fehlertoleranten“ Kultur
▪ Der Mitarbeiter ist geschult die Kontrollen in seinem Arbeitsbereich wirksam auszuführen

Question 51

Wenn man ein gutes Umfeld hat, die Risikobeurteilung ist gemacht und eine Risiko Kontroll Matrix besteht, was muss sichergestellt werden?

Answer 51

Wie wird sichergestellt, dass das IKS nicht auf Papier existiert sondern Kontrollen auch in der Realität
durchgeführt werden

Beobachtung
- Kontrolle durch das Management
- Nachweise für die Durchführung von Kontrollen
- Nachweise für die Überprüfung dieser Durchführung

Befragung des Managements
- involvierte Management-Ebenen
- In welchen Bereichen verlässt sich das Management auf das IKS
- wie kontrolliert das Management, dass das IKS gelebt wird
- Existenz einer Interne Revision

Question 52

Was prüft die Revisionsstelle beim IKS damit sie das IKS bejahen kann?

Answer 52

▪ a) Bestand und Überprüfbarkeit
▪ b) Abstimmung auf Geschäftsrisiken und den Umfang der Geschäftstätigkeit
▪ c) Kenntnis bei Mitarbeitern
▪ d) Anwendung im Unternehmen
▪ e) Kontrollbewusstsein

Question 53

Muss für jede Gesellschaft die Existenz eines IKS geprüft werden?

Answer 53

▪ Die Existenz eines IKS muss nur für ordentliche Prüfungen bestätigt werden, für die „eingeschränkte“ Prüfung ist keine IKS Prüfung notwendig.

Question 54

Bezieht sich unser Testat auf das Geschäftsjahr oder auf den Bilanzstichtag?

Answer 54

▪ Die Bestätigung der Revisionsstelle gemäss Art. 728a OR erfolgt per Bilanzstichtag.
▪ Demzufolge kann ein Kontrollmangel während des Jahres bis zum Bilanzstichtag „geheilt“ werden.

Question 55

Wenn es einen IKS Mangel gibt im Interim, dies aber dann verbessert wird bis Jahresende, ist die Existenz noch gegeben?

Answer 55

Ja
▪ ein Kontrollmangel kann während des Jahres bis zum Bilanzstichtag „geheilt“ werden.

Question 56

Gelten die gesetzlichen Vorschriften betr. IKS gemäss OR 728a auch für ausländische Tochtergesellschaften eines Schweizer Konzerns?

Answer 56

▪ Art. 728a OR verlangt von der Revisionsstelle, dass sie die Existenz des IKS überprüft.
▪ Art. 728a OR gilt für alle Unternehmen, die der ordentlichen Revisionspflicht unterstehen und zwar Einzelabschluss und Konzernrechnung, damit sind ausländische Tochtergesellschaften eingeschlossen

Question 57

Müssen sämtliche ausländische Tochtergesellschaften eines Schweizer Konzerns
berücksichtigt werden?

Answer 57

▪ Nur wesentliche Tochtergesellschaften sind zu berücksichtigen.
▪ Die Festlegung des sogenannten „Scoping“ sollte im Projekt frühzeitig adressiert werden.

Question 58

Gibt es Überschneidungen zwischen ISO- und IKS-Dokumentation?

Answer 58

▪ Ja, es kann Überschneidungen mit der ISO-Dokumentation geben.
▪ Die ISO-Dokumentation erfasst sämtliche für das
Qualitätsmanagement relevanten Prozesse und Kontrollen einer Unternehmung.
▪ Das IKS gemäss OR 728a fokussiert sich allerdings nur auf die finanzielle Berichterstattung, d.h. auf die Vermeidung möglicher Fehler in der Konzernrechnung oder im Einzelabschluss.
▪ Diese Verbindung zur finanziellen Berichterstattung fehlt in der ISO-Dokumentationen meistens

Question 59

Wann kann der Prüfer nicht mehr von einer Existenz eines IKS sprechen und somit ein negatives Urteil darüber abgeben?

Answer 59

▪ Es gibt im Prinzip zwei Möglichkeiten:
– Entweder ist das IKS nicht formalisiert, d.h. es fehlt eine minimale Dokumentation der Schlüsselkontrollen, oder
– das IKS ist zwar formalisiert, aber die definierten internen Kontrollen sind ungenügend ausgestaltet oder werden in der Praxis nicht gelebt.

Question 60

Wenn das IKS verneint wird, heisst dies dass das Urteil über den Jahresabschluss modifiziert werden muss?

Answer 60

Nein
▪ Die negative Beurteilung über das IKS heisst aber nicht, dass der Jahresabschluss somit nicht stimmt. Wir können die Richtigkeit des Jahresabschlusses dann aufgrund von alternativen Prüfungshandlungen bestätigen.

▪ Die festgestellten Mängel müssen insgesamt so gravierend sein,
dass wesentliche Fehler in der Konzern- bzw. Jahresrechnung
nicht mit vernünftiger Wahrscheinlichkeit ausgeschlossen werden
können.

Question 61

Was muss beachtet werden, wenn Dienstleistungsorganisationen in Anspruch
genommen werden?

Answer 61

▪ Gemäss ISA-CH 402 muss der Abschlussprüfer berücksichtigen, wie die Inanspruchnahme der Dienstleistungsorganisation das Rechnungswesen-System und die interne Kontrollen des Kunden beeinflusst.

Question 62

Falls die Aktivitäten der Dienstleistungsorganisation für den eigenen Jahresabschluss wesentlich sind, bestehen welche Optionen?

Answer 62

– Durchführen von IKS-Prüfungen beim Dienstleister
– Beauftragung des Wirtschaftsprüfers des Dienstleisters zur Durchführung der
IKS-Prüfung sowie Erstellen eines Berichtes (Typ 1 oder Typ 2)
- oder Beauftragung eines Prüfers dies für uns durchzuführen

(ISA-CH 402)

Question 63

Was ist eine Wurzelstichprobe (Walk through)?

Answer 63

▪ Eine Wurzelstichprobe ist ein Prüfungsverfahren, wo von Anfang bis Ende ein einzelner Geschäftsfall vollständig nachvollzogen wird.

▪ Eine Wurzelstichprobe reicht aus für die Beurteilung der Ausgestaltung und Umsetzung des IKS zu einem bestimmten Zeitpunkt, nicht aber zur Beurteilung der Wirksamkeit und Effizienz über einen Zeitraum.

Question 64

Müssen alle Kontrollen von uns geprüft werden die einen Bezug haben zur finanziellen Berichterstattung?

Answer 64

▪ PS-CH 890 sieht keine systematische Prüfung aller Kontrollen vor, sondern beschränkt sich auf die wesentlichen Kontrollen, den sogenannten ‚Key Controls (KCs)‘.

Question 65

Gibt es einen Unterschied im IKS zwischen Kontrolldefizit und Schwäche?

Answer 65

▪ Ein Kontrolldefizit („deficiency in design and/or operation“) liegt dann vor, wenn in der Ausgestaltung oder Implementierung einer Kontrolle Mängel bestehen, die dazu führen, dass die Kontrolle das Ziel nicht erreichen kann oder nicht wie vorgeschrieben umgesetzt wird.
▪ Eine Schwäche („material weakness“) besteht dann, wenn ein oder mehrere Kontrolldefizite dazu führen könnten, dass ein wesentlicher Fehler in der
Jahresrechnung (aufgrund Irrtum oder Verstoss) nicht verhindert oder aufgedeckt werden kann.

Question 66

Welche von diesen sind Applikationskontrollen:
Datenvalidierung
Automatische Abstimmungen
Exception Reporting
Änderung an der Software

Answer 66

Datenvalidierung
Automatische Abstimmungen
Exception Reporting

Question 67

Gemäss PS-CH 890 hat der Abschlussprüfer die Existenz der generellen IT-Kontrollen wie oft zu prüfen?

Answer 67

Jedes Jahr

Question 68

Welche Aussage ist korrekt?
1) Generelle IT-Kontrollen unterstützen das wirksame Funktionieren von Anwendungskontrollen.
2) Für den Einmaltest (sogenanntes Test of One) der Applikationskontrolle ist die operationelle Effektivität der IT-Kontrollen keine Voraussetzung.
3) Anwendungskontrollen sind generelle IT-Kontrollen.
4) Anwendungskontrollen müssen vom Abschlussprüfer nicht geprüft werden, wenn die generellen IT-Kontrollen effektiv sind.

Answer 68

1) Generelle IT-Kontrollen unterstützen das wirksame Funktionieren von Anwendungskontrollen.

Question 69

Welche Bereiche sind Bestandteil der Generellen IT-Kontrollen?

1) Zugriff auf Programme und Daten
2) Antivirus-Software
3) Programm-Anpassungen
4) Vier Augen Kontrolle

Answer 69

1) Zugriff auf Programme und Daten
3) Programm-Anpassungen

Question 70

Welche Voraussetzungen müssen erfüllt sein, um das Funktionieren einer Applikationskontrolle mittels eines “Test of One” zu prüfen?

Answer 70

Die operationelle Effektivität der generellen IT-Kontrollen ist gegeben.

In der Prüfperiode wurde keine Änderungen an der Kontrolle vorgenommen.

Question 71

Welche Aussagen stimmen?

1)Individuelle Datenverarbeitung (IDV) sind von der IT betriebene Applikation.
2) Individuelle Datenverarbeitung (IDV) sind Anwendungen, welche vom Fachbereich betrieben werden.
3) Individuelle Datenverarbeitung (IDV) werden exklusiv in der Finanzabteilung angewandt.
4) Macros in einem Excel-Dokument können individuelle Datenverarbeitung (IDV) sein.

Answer 71

2) Individuelle Datenverarbeitung (IDV) sind Anwendungen, welche vom Fachbereich betrieben werden.

4) Macros in einem Excel-Dokument können individuelle Datenverarbeitung (IDV) sein.