IT Prüfung - Buschbeck

Question 1

Warum ist die IT Notwendiger Bestandteil der JAP?

Answer 1

• IT Anwendung = Teil IKS Komponente “Informationssysteme und Kommunikation”
  
  • Verständnis erforderlich
• Identifikation Risiken = IT Umfeld
  
  • Dienstleister
  • abgeschottet oder nicht
  • Komplexität
  • aus welchen Aspekten ergeben sich Risiken für JAP
• Sicherheit bei Prüfung automatischer Kontrolle
  
  • automatische Kontrolle relevant → allg. IT-Kontrolle zugrundeliegende System zu prüfen
    
    • ist es richtig programmiert
  • Effektivitätsprüfung allg. IT-Kontrollen → Effizienz erhöhen

Question 2

Welche Standards sind seit dem 15.12.2021 wichtig für die IT Prüfung?

Answer 2

• ISA DE 315 2019 revised
  
  • Softwarezertifizierung IDW PS 880
  • Einsatz Dienstleister ISA DE 402
• Verwertung externe Prüfungsberichte nach ISAE 3402 → IDW PS 951 n.F.
• Projektbegleitend IDW PS 850

Question 3

Welche Ebenen der IT gibt es in einem Unternehmen und was sind die dazugehörigen Prüfungsbereiche?

Answer 3

Question 4

Was sind die Aufgaben der IT-Abteilung?

Answer 4

Question 5

Was sind die Prüfbereiche in der IT-Abteilung?

Answer 5

Question 6

Was ist der Inhalt und das Ziel des ISA DE 315 rev 2019?

Answer 6

• Ziel: unverändert (Identifikation Risiko wesentlicher falscher Darstellung doloser Handlungen / Irrtümer)
• IT: integrierter Bestandteil IKS
• IT-Begriffe in Definition enthalten
• umfangreichere/detaillierte Vorgaben, wann/wie IT-geprüft werden
• Anlage 5: Informationstechnologie
• Anlage 6: generelle IT-Kontrolle

Question 7

Was sind Informationssysteme nach dem neuen ISA DE 315 rev 2019

Answer 7

Verstehen Informationsverarbeitungstätigkeiten der Einheit, einschließlich Daten/Information

Question 8

Skizzieren Sie beispielhaft den Einkaufsprozess eines produzierenden Unternehmen

Answer 8

Question 9

In welchen Bereichen wird IT im Bereich der Informationssysteme eingesetzt?

Answer 9

Question 10

Welche Kontrollaktivitäten ergeben sich aus dem ISA DE 315 rev. 2019?

Answer 10

1. Identifizierung Kontrollen, die Risiken wesentlicher falscher Darstellungen auf Aussageebene
2. Identifizierung von IT-Anwendungen und anderen Aspekten der IT-Umgebung, IT-Einsatz ergebenden Risiken
3. solche IT-Anwendungen
   
   1. verbundene, aus IT-Einsatz ergebende Risiken
   2. generelle IT-Kontrollen, die solche verhindern sollen
4. für jede Kontrolle unter 1/3 (D&I Prüfung)
   
   1. Beurteilung Kontrolle wirksam ausgestaltet
   2. Kontrolle implementiert wurde, Befragung, Prüfungshandlungen

Question 11

Welche Informationsverarbeitungskontrollen ergeben sich aus dem ISA DE 315 rev. 2019?

Answer 11

• Verarbeitung von Informationen in IT-Anwendungen
• Integritätsrisiken direkt behandeln
• kann sagen: neue Daten nur dann, wenn zu alten passt
• kann nur festlegen: “das was da steht, nicht das da was richtiges steht”

Question 12

Welche Risiken ergeben sich für die Informationsintegrität nach ISA DE 315 rev. 2019?

Answer 12

• fehlerhafte/unvollständige Datenerfassung
• Erfassung Daten ohne Zuordnung
• Fehlerhafte/unvollständige Datenverarbeitung
• manueller Eingriff automatisierte Verarbeiteung
• Fehlerhafte/unvollständige Datengenerierung
• Fehlerhafte/unvollständige Datenaufbereitung/-extrakt

Question 13

Skizzieren Sie Beispielhaft die Kontrollaktivitäten wenn das RoMM die unzutreffende Erfassung der Verbindlichkeiten durch Abweichung von RE zu Bestellung / Wareneingang ist

Answer 13

1. Kontrollaktivität: automatischer Three-Way-Match
2. Identifikation: It-Anwendung, aus deren Einsatz IT-Risiken entstehen
3. siehe BIld
4. GITC für ERP prüfen

Question 14

Wie wird der Umfang der IT Prüfungsplanung abgeleitet?
Was passiert, wenn er unvollständig ist und warum ist ein gutes Verständnis notwendig?

Answer 14

• unvollständige Identifikation: Umfang wahrscheinlich Unvollständigkeiten
• gutes Verständnis IT-gestützte Geschäftsprozesse: notwendig für korrekte Prüfungsplanung

Question 15

Reichen GITC aus um ein RoMM zu adressieren?

Answer 15

• GITC behandeln nicht direkt RoMM
• reichen nicht um Risiko zu behandeln

Question 16

Wie wird der Einsatz der IT im Informationssystem geregelt? Inwieweit machen sich Unterschiede bemerkbar?

Answer 16

• je komplexer, desto wahrscheinlicher Risiken
• Unterschiede
  
  • Ausmaß Automatisierung / Nutzung von Daten
  • IT-Anwendungen und -Infrastruktur
  • IT-Prozesse (Personalmangel)

Question 17

Welche Risiken können aus dem Einsatz von IT resultieren?

Answer 17

• Anfällige Kontrollen der Informationsverarbeitung für unwirksame Ausgestaltung/Funktion
  
  • unautorisierter Datenzugriff
  • Zugriffsberechtigungen, die Funktionstrennung aufheben
  • unautorisierte Änderungen Daten/Stammdaten
  • unautorisierte Änderungen IT-Anwendungen/andere Aspekte IT-Umgebung
  • Versäumnis, notwendige Änderungen/IT-Anwendungen vorzunehmen
  • unangemessene manuelle Eingriffe
  • möglicher Datenverlust / fehlende Möglichkeit für Datenzugriff

Question 18

wann resultieren, und wann nicht aus dem IT-Einsatz Risiken?
Stellen Sie die Bereiche “Anwendung, Datenbank, Betriebssystem und Netzwerk ggü”

Answer 18

Question 19

Was sind GITC nach ISA DE 315 rev 2019?

Answer 19

1. Zugriff bzw. Zugang (auf Datenbanken etc.)
2. Änderungen
3. IT-Betrieb
   - GITC: typischerweise jeder Aspekt IT-Umgebung implementiert
   - je nach Komplexität → unterschiedlich umfangreich ausgeprägt/implementiert

Question 20

Skizzieren Sie in folgenden Bereichen des Prozess zur Verwaltung des Zugriff/Zugangs die wichtigen Bereiche (8 Stück)

AAPDPÜSP

Answer 20

Question 21

Nennen Sie Beispiele für die GITC im Bereich Zugriffsverwaltung

Answer 21

Question 22

Nennen Sie im Bereich des Prozesses zur Verwaltung von Programmänderungen und anderen Änderungen die wichtigen Bereiche

CFSD

Answer 22

Question 23

Nennen Sie Beispiele für GITC im Bereich Change-Management

Answer 23

Question 24

Nennen Sie die Wichtigen Bereiche im Prozess zur Verwaltung des IT-Betriebs

Answer 24

Question 25

Nennen Sie Beispielhafte GITC im Bereich des IT-Betriebs

Answer 25

Question 26

Wie werden GITC geprüft?

Answer 26

• automatische Kontrollen: auch Kontrollen bzgl. systemgenerierte Berichte

Question 27

Wie wird die Wirksamkeitsprüfung der GITC durchgeführt?

Answer 27

• nicht verpflichtend
• grundsätzliche Frage: Soll Arbeit beim IT-Team oder beim Prüfteam liegen
• Wirksamkeit GITC nicht verpflichtend, um Wirksamkeit automatischer Kontrollen zu prüfen

Question 28

Wie ist die Funktionsprüfung der GITC ausgestaltet?

Answer 28

• gem. ISA DE 330
• keine spezifischen Vorgaben für GITC
• Nutzung Nachweise aus vorhergehenden AP
  
  • Wirksamkeit GITC ein zu würdigendes Kriterium

Question 29

Warum ist IT Sicherheit wichtig? Welche Wesentliche Bedrohungen umfasst dieser Bereich?

Answer 29

• kann IT Risiken auslösen
• Wesentliche Bedrohungen
  
  • Cyber-Erpressungen/Ransomware
  • Schwachstellen Systeme/Anwendungen
  • Distributed Denial of Service Angriffe (DDoS)
  • Advanced Persistent Threats (APT)
  • Phishing

Question 29

Was sind die Unterschiedlichen Fokuspunkte der IT Sicherheit heute im Vergleich zu Früher?

Answer 29

• Früher: Ultra-Verfügbarkeit der Server
• Heute: Unantastbarkeit Datensicherung
• Wenn bei Erpressung gezahlt wird: Terrorfinanzierung US-Recht

Question 30

Was sind die Grundsätze der IDW RS FAIT?

Answer 30

Leitfragen:
- GoB beim IT Einsatz wie umgesetzt
- Welche Sicherheitsanforderungen zu beachten
- Welche Maßnahmen umzusetzen

Question 31

Was sind die Leitfragen des FAIT 1?

Answer 31

• IT-Systeme wie aufgebaut?
• IT-Systeme im Unternehmen wie eingesetzt?
• Einfluss IT auf RL?
• Was muss bei IT-Einrichtung mit RL-Relevanz beachtet werden?

Question 32

Welche Elemente sind Wichtig für den Einsatz von IT in der Rechnungslegung?

Answer 32

• Gesetzliche Vertreter müssen geeignete Regelungen einführen, IT-Risiken zu Managen und O-Anforderungen erfüllen
• Bandbreite von Standardapplikationen (manuell) zu integrierten Systemen
  
  • # 238HGB #239HGB und #257HGB sind zu beachten
• Gesetzeskonformität RL und Sicherheit RL-Daten sind Voraussetzung für Ordnungsmäßigkeit IT-RL

Question 33

Welche Zwei Bereiche von Anforderungen hat die IT im Bereich der Rechnungslegung? Geben Sie die Aspekte der Bereiche an.

Answer 33

• Sicherheit
  
  • Vertraulichkeit (→Datenweitergabe)
  • Integrität
  • Verfügbarkeit (→Ausfallschutz)
  • Autorisierung
  • Authentizität (→Autorisierung)
  • Verbindlichkeit (→wenn Buchung gebucht, muss sie gelten)
• Ordnungsmäßigkeit
  
  • GoB
  • Belegfunktion
  • Journalfunktion
  • Kontenfunktion
  • Dokumentation
  • Aufbewahrungspflichten

Question 34

Welche Bereiche hat die Einrichtung von IT mit RL Bezug?

Answer 34

Question 35

Wie wird der Einsatz von IT nach ISA DE 315 rev 2019 iVm ISA DE 330 behandelt?

Answer 35

• Empfehlungen, Hilfestellungen, Hinweise etc. wie IT-Einsatz iRd AP behandelt werden kann
• Hinweis auf bessere Integration Risiken aus IT-Einsatz in AP
• Hinweise/Erläuterungen/Beispiele
  
  • Verständnis Informationssystem bei IT-Einsatz
  • Info-System als Grundlage Identifikation Risiken IT-Einsatz
  • Verständnis IT-Umgebung
  • Automatisierte InfoVerarbeitungskontrollen

Question 36

Geben Sie Beispiele für GITC allgemein

Answer 36

• automatisierter Schutz automatisierter UE-Konten vor manuellen Buchungen
• Ausgestaltung Systemberechtigungen
• Systemeinstellung zu Unveränderbarkeit/Nachvollziehbarkeit von Buchungen
• Systemseitige Schnittstellenüberwachung
• Automatisierte UE-Abgrenzung nach IFRS 15
• Kontenfindung FiBu-System
• Automatisierte Bewertungsverfahren Anlagenbuchhaltung Vorratsvermögen
• Systemseitige HB-NB-Abstimmung
• Automatisierte Funktionstrennung
• Einstellungen Verhinderungen UE-Buchung ohne Warenausgang

Question 37

Nennen Sie beispielhafte GITC für den Verkaufsprozess

Answer 37

• Bonitätsprüfungen vor Auftragsannahme und Erfassung Kreditlimit IT-Anwendung
• Abgleich Kundenaufträge mit Warenausgängen bzgl. der zu liefernden Waren/Mengen
• Abgleich gelieferte und berechnete Waren bzgl. Angebotspreis

Question 38

Nennen Sie beispielhafte GITC für den Einkauf

Answer 38

• Freigabe Bestellungen durch Leiter Einkauf bei Überschreiten Grenzwerten
• Abgleich Wareneingänge mit zugrundeliegenden Bestellungen bzgl. gelieferte Waren und Mengen
• automatisierter Abgleich gelieferter und berechneter Waren bzgl. Bestellpreis
• automatisierte Rechnungsprüfung iRd RE-Eingang
• funktionale Trennung Bestellabwicklung, Warenannahme, RE-Prüfung, Zahlungsverkehr

Question 39

Nennen Sie beispielhafte GITC für Journalbuchungen

Answer 39

• Automatisierte Überwachung Übertragung, erfasste Geschäftsvorfälle aus NB in HB, z.B: systemseitige Fehlermeldungen
• nur vorgesehene Soll/Haben-Konten Kombination und Soll/Haben-Gleichheit
• Systemeinstellungen, dass im HB erfasste Buchungen nicht/ nur mit entsprechender Freigabe geändert werden
• Änderungen protokolliert
• Buchungen systemseitig nur in gültigen Perioden
• Buchungen nur durch MA mit entsprechender Berechtigung
• unvollständige Buchungen werden nicht verarbeitet

Question 40

Was sind die Ziele der Datenanalyse im Rahmen der AP?

Answer 40

• Einsatz kann umfassende Prüfung ermöglichen

Question 41

Was sind die Voraussetzungen für den Einsatz von Datenanalysen im Bereich der AP?

Answer 41

• ausreichendes Prozessverständnis
• Verfügbarkeit Daten/Datenexport/Datenverarbeitung
• Datenqualität/-granularität
• Vollständigkeit/Korrektheit Grunddaten
• Ausreichende Kenntnis für Interpretation Analyseergebnisse

Question 42

Was ist der Gegenstand der Datenanalysen im Bereich der AP?

Answer 42

Question 43

Was ist das technische Umfeld der Datenanalysen im Bereich der AP?

Answer 43

Question 44

Was ist das rechtliche Umfeld der Datenanalyse iRd AP?

Answer 44

• # 320I2HGB #320IIHGB : AP kann Aufklärung und Nachweise verlangen
• # Art6IcDSGVO Zulässigkeit Verarbeitung personenbezogene Daten bei rechtlichen Verpflichtungen
• # 51bIWPO Aufbewahrung für Dauer gesetzlicher Fristen

Question 45

Welche Einsatzbereiche kennt die Datenanalyse im Bereich der AP?

Answer 45

Fehlerrisiken erkennen
IKS

Question 46

Wie kann Datenanalyse bei der Erkennung von Fehlerrisiken nützlich sein?

Answer 46

• Datenanalyse zur Identifikation von RoMM, insb. mögliche Anfälligkeiten

Question 47

Wie kann Datenanalyse im Bereich des IKS nptzlich sein?

Answer 47

Question 48

Welche Instrumente hat die Datenanylse im Bereich des IKS?

Answer 48

Question 49

Was sind ausgelagerte Prozesse?

Answer 49

• RL-relevant wenn Sie dazu dienen, folgendes zu speichern oder zu verarbeiten
  
  • Daten (weit gefasst, alles HR/RL maybe nicht rein operative Produktionsdaten)
  • Geschäftsvorfälle
  • betriebliche Ereignisse

Question 50

Was sind typischerweise ausgelagerte Prozesse und Funktionen?

Answer 50

• Typischerweise ausgelagerte Prozesse und Funktionen
• IT-gestützte RL-relevante Geschäftsprozesse
• Verarbeitung RL-Relevante Unterlagen
• Erfassung und Verarbeitung von für den Abschluss relevante Ereignisse
• Kontrolltätigkeiten iZm Aufzeichnung von Geschäftsvorfälle

Question 51

Was sind Bestandteile von IT-Outsourcing und Cloud-Computing?

Answer 51

• Rechenzentrumsbetrieb
• Basisbetrieb von IT-Anwendungen
• Business Process Management
• Shared Service Center
• Cloud Computing

Question 52

Was sind die typischen Arten von Cloud Computing?

Answer 52

Question 53

Was sind die typischen Arten von Bereitstellungsmethoden für Cloud-Computing?

Answer 53

Question 54

Was sind Sicherheitsrisiken beim IT-Outsourcing?

Answer 54

Question 55

Was sind rechtliche Risiken beim IT-Outsourcing?

Answer 55

• Datenschutz
  
  • Sicherungsmaßnahmen Bundesdatenschutzgesetz
  • IT-Outsourcing: Auftragnehmer #11IIBDSG
  • auslagernde Unternehmen bleibt nach #11IBDSG verantwortlich für Datenschutz
• National/International
  
  • grenzüberschreitende Speicherung → weitere rechtliche Risiken
    
    • national/internationales Handelsrecht
    • Steuerrecht/Strafrecht
    • Zivilrecht
    • Datenschutz
• Rechnungslegung
  
  • # 238ffHGB
  • Anforderung an Ordnungsmäßigkeit

Question 56

Welche Verantwortung tragen die gesetzlichen Vertreter beim IT-Outsourcing?

Answer 56

• müssen gesetzliche Anforderung bzgl. Datenschutz sicherstellen
• Auslagerung Prozesse/Funktionen → IKS muss angemessen ausgestaltet werden
• Unrichtigkeit/Verstöße müssen Seiten IKS verhindert/aufgedeckt/bereinigt werden
• von Beginn bis Ende Auslagerung zu steuern und zu überwachen
• verbundene Systeme/Risiken müssen analysiert und strukturiert werden

Question 57

Was ist das Kontrollumfeld im Bereich des IT-Outsourcing?

Answer 57

Question 58

Wie ist die Organisation von IT-Outsourcing gestaltet?

Answer 58

• sachgerechte Umsetzung
• Bedeutung auszulagernden IT-gestützte Geschäftsprozesse → klar definiert/abgegrenzt
• ordnungsmäßige organisatorische Verzahnung → Prozesse/Funktionen ist Anpassung
  
  • RMS
  • Aufbau/Ablauforganisation → Notwendigkeit Dienstleistermanagement
• Verzahnung → Betriebshandbücher

Question 59

Wie wird das Outsourcing überwacht?

Answer 59

• prozessunabhängige Überwachungsmaßnahmen → gesetzliche Vertreter → unabhängige Dritte, interne Revision, Datenschutzbeauftragte
• vertraglich vereinbarte Prüfungsrechte → auslagerndes Unternehmen mittels eigener Prüfungshandlungen → Wirksamkeit Kontrollen
• regelmäßige Prüfungen, durch unabhängige Dritte, ausgelagerte Unternehmen entsprechende Nachweise zur Verfügung zu stellen

Question 60

Welches Verständnis muss im Rahmen des ISA DE 402 über die erbrachten Dienstleistungen vorhanden sein?

Answer 60

• Auswirkungen auf IK
• Art/Wesentlichkeit vom Dienstleister verarbeitete Geschäftsvorfälle
• Wechselwirkungen Tätigkeiten Dienstleister und der Einheit
• Beziehung und vertragliche Bestimmungen

Question 61

Wie kann das Verständnis über erbrachte Dienstleistungen nach ISA DE 402 erlangt werden?

Answer 61

• über auslagernde Einheit erlangt
• wenn nicht möglich
  
  • Dienstleisterbericht Typ 1 oder 2
  • Kontaktaufnahme über Einheit zum Dienstleister
  • Aufsuchen Dienstleister / PH vor Ort
  • Hinzuziehen anderer Prüfer

Question 62

Wie wird das Outsourcing geprüft?

Answer 62

Question 63

Welche Arten von Dienstleisterberichten gibt es und wie unterscheiden sie sich?

Answer 63

• Typ 1: Beschreibung / Konzeption Kontrollen zu bestimmten Zeitpunkt
• Typ 2: Prüfung Beschreibung / Konzeption und Wirksamkeit Kontrollen für bestimmten Zeitraum

Question 64

Was müssen Dienstleisterberichte beurteilen und was muss zusätzlich erbracht werden, wenn Sie als Nachweise gebraucht werden?

Answer 64

• Bericht beurteilen ob
  
  • ausreichend/geeignet ist für IKS Verständnis Dienstleister
  • Prüfer kompetent und unabhängig
  • verwendeter Standard angemessen
• Verwendung als Nachweis zusätzlich:
  
  • Zeitpunkt/-raum angemessen
  • Umfang Nachweise ausreichend
  • Komplementärkontrollen definiert

Question 65

Wie funktioniert die Funktionsprüfung bei ausgelagerten Kontrollen?

Answer 65

• Durchführung Prüfung beim Dienstleister
• Hinzuziehen anderer Prüfer
• Verwendung Typ 2 Bericht
  
  • Zeitpunkt/-raum Beschreibung/Konzeption/Wirksamkeit angemessen
  • Komplementärkontrollen eingerichtet / wirksam
  • abgedeckter Zeitraum vergangene Zeit → angemessen
  • Funktionsprüfung → Ergebnisse angemessen

Question 66

Beispiel: Dienstleister A bietet die komplette Lohn- und Gehaltsabrechnung als Dienstleistung an. Dazu verwendet Dienstleister A IT-Anwendungen, die von Dienstleister B betrieben werden. Frage: Was muss bei B betrachtet werden?

Answer 66

Question 67

Welche Dokumentationshinweise sind bei Dienstleisterberichten zu beachten?

Answer 67

Question 68

Was sind Internationale Alternativen des IDW PS 951 nF?

Answer 68

• ISAE 3402 (International Standard on Assurance Engagements)
• IASE 3402 = Basis für IDW PS 951 n.F.
• IDW PS mehr Anforderungen als ISAE 3402
• USA = Eher SSAE 18

Question 69

Was sind nach ISAE 3402 die Objectives des Service auditors?

Answer 69

• reasonable assurance materially respects
  
  • service organizations descriptions fairly presents system as designed and implemented in specified period (Type 1 = specific date)
  • controls related to control objectives stated = suitably designed throughout specified period
  • included in scope of engagement, controls operated effectively to provide reasonable assurance that control objectives were achieved
• report on matters above in accordance with findings

Question 70

Was ist der Gegenstand der Prüfung nach IDW PS 951 nF?

Answer 70

• Beschreibungs Dienstleistungs-IKS und in der IKS-Beschreibung dargestellte Kontrollen und Kontrollziele auf Basis MGT abgegebener Erklärung
• Subdienstleister ggf. einbeziehen
  
  • inklusive Methode: IKS Subdienstleister ist Teil Prüfung
  • Carve-Out Methode: Es erfolgt keine Darstellung Kontrollziele und Kontrollen Subdienstleister sondern lediglich Beschreibung erbrachte Subdienstleistungen

Question 71

Was sind Dienstleistungsbezogene IKS?

Answer 71

• Anforderungen an Ausgestaltung
  
  • Organisatorisch und technisch umgesetzte Sicherung von:
    
    • Wirtschaftlichkeit
    • Ordnungsmäßigkeit/Verlässlichkeit RL
    • Einhaltung Gesetz/Sonstige Vorschriften
  • Kontrollziele anhand geeigneter Kriterien abgeleitet und beurteilt werden
    
    • gesetzlich/regulatorisch
    • Themen/Branchen/Industriespezifisch
    • Dienstleister selbst entwickelt

Question 72

Wie wird die Prüfung des Dienstleistungsbezogenen IKS prozessual durchgeführt?

Answer 72

1. Verständnisgewinnung dienstleistungsbezogene interne Kontrollen
2. Prüfung Beschreibung dienstleistungsbezogene IKS und zugrundeliegende Kriterien/Kontrollziele
3. Prüfung Angemessenheit eingerichtete Kontrollen
4. Prüfung Wirksamkeit eingerichtete Kontrollen
5. Berichterstattung/-erstellung (inkl. Prüfungsurteil)

Question 73

Was sind die Idealtypischen Phasen der Konsolidierung?

Answer 73

Question 74

Was sind Risiken der IT Gestützen Konsolidierung?

Answer 74

• ergeben RoMM innerhalb der Konzern RL

Question 75

Was sind Beispiele für die Risiken der IT gestützten Konsolidierung?

Answer 75

• Unterschiedliche
  
  • Buchungszeitpunkte
  • Abschlusszeitpunkte
  • Informationsstände
• Unvollständige / fehlerhafte
  
  • Daten aufgrund fehlender Funktionalitäten/manuelle Anpassungen
  • Datenpakete (Übertragung aus Quellsystem)
  • Automatische/parametrisierte Buchungen

Question 76

Was sind zeitliche Unterschiede zwischen IDW PS 850 vs ISA DE 315?

Answer 76

Question 77

Was sind die Projektphasen nach IDW PS 850 nF?

Answer 77

Question 78

Was sind Projektrisiken im Rahmen des IDW PS 850 nF?

Answer 78

Question 79

Was sind die wichtigen Faktoen des IKS im Rahmen des IDW PS 850 nF?

Answer 79

• zuständige Gremien bereits während Prüfungsdurchführung auf wesentliche Mängel aufmerksam zu machen → Gegenmaßnahmen sollen bereits jetzt möglich sein
  
  • Indikatoren für weitere Schwachstellen
• komplexe Projekte = laufende Berichterstattung jeweiliger Phasen

Question 80

Was sind Aspekte der Dokumentation und Berichterstattung nach IDW PS 850 nF?

Answer 80

• Prüfer: Erkenntnisse dokumentieren → wesentliche Ergebnisse im Prüfbericht JAP zusammenfassen (Grundsatz Klarheit)
• Einige Inhalte
  
  • Auftraggeber / Auftragsdurchführung
  • Prüfungsgegenstand
  • Art/Umfang PH
  • Informationen über IT-Projekt
  • Fachliche Grundlagen

Question 81

Wie werden Ergebnisse nach IDW PS 850 nF verwertet?

Answer 81

• AP
  
  • Verwertung anhand Bescheinigung und Bericht
  • Beurteilung Fehlerrisikos
  • Beurteilung projektbegleitende Prüfung sowie Berichterstattung
    → Nachweis / Begründung Prüfung

Question 82

Wie muss bei Ineffektiven GITC vorgegangen werden? Beschreiben Sie die Schritte

Answer 82

• Beurteilung Auswirkung Feststellungen bei GITC anhand 5 Stufen Modell
  
  1. Einfluss auf Wirksamkeit: kein unmittelbaren Einfluss auf Wirksamkeit Informationsverarbeitungskontrolle
  2. Kompensation alternativer Kontrolle: IT-Risiko kann durch andere GITC / alt. PH innerhalb IT-Kontrollen kompensiert werden
  3. direkte Prüfung GITC: Prüfung Wirksamkeit durch Prüfen Kontrolle
  4. Kompensation durch andere Kontrollen: RoMM durch manuelle Kontrollen behandelbar
  5. Neueinschätzung Kontrollrisiko: Behandlung RoMM durch aussagebezogene PH
• Zusätzlich:
  
  • wesentliche Schwäche IKS?
  • Muss Prüfungsbericht über Schwäche berichten?
  • sind zusätzliche PH notwendig um Ordnungsmäßigkeit der Buchführung zu belegen

Question 83

Wie werden Ergebnisse eines zentral geprüften GITCs verwendet?

Answer 83

• Werden alle relevanten IT-Risiken angemessen durch Kontrollen behandelt?
• Sind GITC für alle relevanten IT-Anwendungen geprüft?
• Sind Ergebnisse angemessen (Methodik, Zeitraum)
• Feststellungen, lokale Reaktion nötig?
• weitere lokale Risiken aus dem Einsatz von IT

Question 84

Wie werden Zertifikate verwertet und welcher Standard greift hier?

Answer 84

• IDW PS 880 nF
  
  • kompletter Prüfbericht (ISA DE 315 rev 2019 →Zertifikat alleine reicht nicht)
  • Prüfer ausreichend Kompetent (WP+IT-Kenntnisse erkennbar)
  • Stimmt Version überein? ggf. Release-Version?
  • Bericht lesen und prüfen, ob Mandat richtig umgesetzt?

Question 85

Wie werden Softwareprodukte geprüft und welcher Standard ist einschlägig?

Answer 85

IDW PS 880 nF

• Ziel: Beurteilung Ordnungsmäßigkeit / Sicherheit RL-bezogener Programmfunktion
• neue Fassung: 2022
• Prüfungsgegenstand können sein: Software insgesamt, einzelne Module, einzelne Funktionen
• Softwareprüfungen umfassen: Beurteilung für das Aufgabengebiet notwendige Programmfunktionen
• zu programminternen KS insb.:
  
  • Eingabe-, Verarbeitungs- und Ausgabekontrolle und programmierte Ablaufsteuerung (Programmabläufe und programmierte Regeln Workflowsteuerung) einschließlich des programmierten Zugriffsschutzsystems

Question 86

Welche Komponenten hat das IPE Risiko?

Answer 86

Question 87

Was ist der Unterschied zwischen Kontrolle und Aktivität?

Answer 87

Kontrolle ISA DE 315 (rev 2019)
* von Einheit eingerichtet
* Regelung oder Maßnahme zum Erreichen eines Kontrollziels des Mangagements oder Überwachung Verantwortlichen
* Regelungen: Erklärung was innerhalb der Einheit (nicht) getan werden soll um Kontrolle auszuführen
* Erklärungen dokumentieren, ausdrücklich erklärt/ durch Handlungen/Entscheidungen impliziert
* Maßnahmen: Handlungen zur Implementierung Regelungen

Question 88

Was sind Häufige Effizienzpotentiale im Rahmen der IT Prüfung?

Answer 88

• überflüssige Kontrollen
  
  • keine prüferischen Risiken werden abgedeckt
  • reduziert bei keiner Aussage das RoMM
• Stichprobengröße im Funktionstest
  
  • Häufigkeit Kontrolldurchführung, die für prüferische Zwecke benötigt wird, ist relevant und nicht tatsächliche (idR manuelle Auswertung von System-Fehlerreports z.B. Prüfung Altersstrukturliste auf EWB wöchentliche, jährliche Durchführung würde gleiche Sicherheit ergeben → nur YE mit IPE prüfen)
• manuelle Prüfung automatischer Kontrollen trotz effektiv geprüfter GITC
• Did-Do-Analysen statt Kontrollen zu nutzen
  
  • Massendatenanalysen als substantielle PH bieten höhere PH als Stichprobe
  • Bsp: Funktionstrennung im Verkaufsprozess SAP: Analyse, wer mit welchen Transaktionscodes bucht statt Berechtigungsprüfung
  • Bsp: Manuelle UE-Buchungen, manuelle WERE-Buchungen: JET-Routine manuelle Buchungen auf ausgewählten Konten statt Prüfung automatischer Kontrollen
  • Frühzeitig den Prüfungsansatz mit den IT-Prüfern abstimmen

Question 89

Was sind Aktuelle Themen der Digitalisierung?

Answer 89

• schnellere Veränderungen in Unternehmen, Informationen werden zunehmend automatisch verarbeitet
  
  • Prüfer muss Verarbeitung Prüfungsurteil trotzdem verstehen
  • mehr IT-Knowhow oder Spezialisteneinsatz nötig
  • Routine-Prüfungsnachweise automatisiert erhoben werden
  • weniger Bedarf Assistenten, mehr Zeit komplexe Bilanzierungsentscheidungen
• Big-Data und KI
  
  • ChatGPT
  • viel WPG investieren hohe Summen in Entwicklung eigener generativer KI

Question 90

Welcher Standard beinhaltet IT Prüfungen außerhalb der AP, was sind die wichtigen Punkte?

Answer 90

• zwei Aufträge
  
  • Prüfung einer Erklärung zum IT
    
    • Erklärung gesetzliche Vertreter frei von wesentlichen Fehler
  • Direkte IT Prüfung
    
    • Prüfungsauftrag abgegrenzter IT-System auf Basis vereinbarter Kriterien
• Anwendungsmöglichkeit
  
  • IDW PH 9.860.1
  • Hintergrund: DSGVO EU-Weit einheitliches Niveau → Mindestanforderungen
  • IDW PH 9.860.1
    
    • 06/2018 veröffentlicht
    • Anlage 1: konkretisiert Kriterien in Form Anforderungskatalog mit beispielhaften PH

Question 91

Was sind die berufsrechtlichen Auswirkungen der DSGVO?

Answer 91

• kaum Auswirkungen durch Verschwiegenheitspflicht
• WP/StB = nicht Auftragsverarbeiter, da eigenständig
• s.a. Erläuterungen rechtliches Umfeld Datenanalysen

Question 92

Was sind Anwendungsmöglichkeiten der DSGVO Einflüsse auf Berufsrecht?

Answer 92

• Prüfung Erklärung Betreiber kritischer Infrastruktur #8aIBSIG
• Hintergrund: Einige Branchen (Energie, Wasser etc.) müssen Nachweisen dass sie Maßnahmen zur Störungsvermeidung implementiert haben
• IDW PS 9.860.2 04/2020 veröffentlicht

Question 93

Was sind die Grunddaten der BAIT und VAIT?

Answer 93

• Anforderungen größer als bei ISA DE 315 rev. 2019
• IDA DE 315 rev 2019: Risiko für AP einschätzen/behandeln
• BAIT/VAIT/KAIT/ZAIT: Ausgestaltung IT-Systeme/zugehöriger Prozess diesbezüglicher Anforderungen auf IT-Governance
• auch hier Prüfung nach IDW PS 860 vorstellbar

Question 94

Was sind die Anwendungsmöglichkeiten der BAIT und VAIT?

Answer 94

Prüfung Cloud-Diensten IDW PH 9.860.3
- Hintergrund
- Cloud Dienstleister Mindestanforderungen an sicheres Cloud-Computing durch Umsetzung BSI Kriterienkatalog C5
- IDW PH 9.860.3: 10/2021 veröffentlich, Anlage 1 konkretisiert C5 Kriterien via Anforderungskatalog mit beispielhaften PH
- “kleiner Bruder” IDW PS 951 nF
#### Prüfung GoBD Compliance IDW PH 9.860.4
- Hintergrund: abgegrenzte GoBD relevante Geschäftsprozesse können auf GoBD Compliance geprüft werden
- IDW PH 9.860.4: 07/2021 veröffentlicht, Anlage 1 konkretisiert GoBD Kriterien → Anforderungskatalog inkl. beispielhafter PH
- kleiner “Bruder” IDW PS 951 nF (der für ganzen Prozess gilt)

Question 95

Wie werden KI-Systeme geprüft, welcher Standard greift?

Answer 95

IDW PS 861
- 2023 veröffentlicht
- Standard freiwillige Prüfung KI-Systeme außerhalb AP
- aufgebaut auf IASE 3000 rev. “Assurance Engagements Other than Audits or Reviews of Historical Financial Information”
- Prüfungsgegenstand: Beschreibung KI-Systems einschl. Beschreibugn enthaltener Darstellungen gesetzlicher Vertreter des Unternehmens, ob beschriebene KI-System die Kriterien einhält
- Prüfung Angemessenheit oder WIrksamkeit möglich

Question 96

Was sind geeignete Kriterien für die Prüfung von KI Systemen?

Answer 96

• miteinander in Wechselwirkung stehend
  1. ethische / rechtliche Anforderungen für KI
  2. Nachvollziehbarkeit
  3. IT-Sicherheit
  4. Leistungsfähigkeit

Question 97

Was sind geprüfe Elemente von KI-Systemen?

Answer 97

• KI-Governance/Compliance/Monitoring
• Daten
• Algorithmus
• Anwendung
• Infrastruktur