IT Prüfung - Buschbeck Flashcards
Tag 1 und 2 zusammengefasst
Warum ist die IT Notwendiger Bestandteil der JAP?
- IT Anwendung = Teil IKS Komponente “Informationssysteme und Kommunikation”
- Verständnis erforderlich
- Identifikation Risiken = IT Umfeld
- Dienstleister
- abgeschottet oder nicht
- Komplexität
- aus welchen Aspekten ergeben sich Risiken für JAP
- Sicherheit bei Prüfung automatischer Kontrolle
- automatische Kontrolle relevant → allg. IT-Kontrolle zugrundeliegende System zu prüfen
- ist es richtig programmiert
- Effektivitätsprüfung allg. IT-Kontrollen → Effizienz erhöhen
- automatische Kontrolle relevant → allg. IT-Kontrolle zugrundeliegende System zu prüfen
Welche Standards sind seit dem 15.12.2021 wichtig für die IT Prüfung?
- ISA DE 315 2019 revised
- Softwarezertifizierung IDW PS 880
- Einsatz Dienstleister ISA DE 402
- Verwertung externe Prüfungsberichte nach ISAE 3402 → IDW PS 951 n.F.
- Projektbegleitend IDW PS 850
Welche Ebenen der IT gibt es in einem Unternehmen und was sind die dazugehörigen Prüfungsbereiche?
Was sind die Aufgaben der IT-Abteilung?
Was sind die Prüfbereiche in der IT-Abteilung?
Was ist der Inhalt und das Ziel des ISA DE 315 rev 2019?
- Ziel: unverändert (Identifikation Risiko wesentlicher falscher Darstellung doloser Handlungen / Irrtümer)
- IT: integrierter Bestandteil IKS
- IT-Begriffe in Definition enthalten
- umfangreichere/detaillierte Vorgaben, wann/wie IT-geprüft werden
- Anlage 5: Informationstechnologie
- Anlage 6: generelle IT-Kontrolle
Was sind Informationssysteme nach dem neuen ISA DE 315 rev 2019
Verstehen Informationsverarbeitungstätigkeiten der Einheit, einschließlich Daten/Information
Skizzieren Sie beispielhaft den Einkaufsprozess eines produzierenden Unternehmen
In welchen Bereichen wird IT im Bereich der Informationssysteme eingesetzt?
Welche Kontrollaktivitäten ergeben sich aus dem ISA DE 315 rev. 2019?
- Identifizierung Kontrollen, die Risiken wesentlicher falscher Darstellungen auf Aussageebene
- Identifizierung von IT-Anwendungen und anderen Aspekten der IT-Umgebung, IT-Einsatz ergebenden Risiken
- solche IT-Anwendungen
- verbundene, aus IT-Einsatz ergebende Risiken
- generelle IT-Kontrollen, die solche verhindern sollen
- für jede Kontrolle unter 1/3 (D&I Prüfung)
- Beurteilung Kontrolle wirksam ausgestaltet
- Kontrolle implementiert wurde, Befragung, Prüfungshandlungen
Welche Informationsverarbeitungskontrollen ergeben sich aus dem ISA DE 315 rev. 2019?
- Verarbeitung von Informationen in IT-Anwendungen
- Integritätsrisiken direkt behandeln
- kann sagen: neue Daten nur dann, wenn zu alten passt
- kann nur festlegen: “das was da steht, nicht das da was richtiges steht”
Welche Risiken ergeben sich für die Informationsintegrität nach ISA DE 315 rev. 2019?
- fehlerhafte/unvollständige Datenerfassung
- Erfassung Daten ohne Zuordnung
- Fehlerhafte/unvollständige Datenverarbeitung
- manueller Eingriff automatisierte Verarbeiteung
- Fehlerhafte/unvollständige Datengenerierung
- Fehlerhafte/unvollständige Datenaufbereitung/-extrakt
Skizzieren Sie Beispielhaft die Kontrollaktivitäten wenn das RoMM die unzutreffende Erfassung der Verbindlichkeiten durch Abweichung von RE zu Bestellung / Wareneingang ist
- Kontrollaktivität: automatischer Three-Way-Match
- Identifikation: It-Anwendung, aus deren Einsatz IT-Risiken entstehen
- siehe BIld
- GITC für ERP prüfen
Wie wird der Umfang der IT Prüfungsplanung abgeleitet?
Was passiert, wenn er unvollständig ist und warum ist ein gutes Verständnis notwendig?
- unvollständige Identifikation: Umfang wahrscheinlich Unvollständigkeiten
- gutes Verständnis IT-gestützte Geschäftsprozesse: notwendig für korrekte Prüfungsplanung
Reichen GITC aus um ein RoMM zu adressieren?
- GITC behandeln nicht direkt RoMM
- reichen nicht um Risiko zu behandeln
Wie wird der Einsatz der IT im Informationssystem geregelt? Inwieweit machen sich Unterschiede bemerkbar?
- je komplexer, desto wahrscheinlicher Risiken
- Unterschiede
- Ausmaß Automatisierung / Nutzung von Daten
- IT-Anwendungen und -Infrastruktur
- IT-Prozesse (Personalmangel)
Welche Risiken können aus dem Einsatz von IT resultieren?
- Anfällige Kontrollen der Informationsverarbeitung für unwirksame Ausgestaltung/Funktion
- unautorisierter Datenzugriff
- Zugriffsberechtigungen, die Funktionstrennung aufheben
- unautorisierte Änderungen Daten/Stammdaten
- unautorisierte Änderungen IT-Anwendungen/andere Aspekte IT-Umgebung
- Versäumnis, notwendige Änderungen/IT-Anwendungen vorzunehmen
- unangemessene manuelle Eingriffe
- möglicher Datenverlust / fehlende Möglichkeit für Datenzugriff
wann resultieren, und wann nicht aus dem IT-Einsatz Risiken?
Stellen Sie die Bereiche “Anwendung, Datenbank, Betriebssystem und Netzwerk ggü”
Was sind GITC nach ISA DE 315 rev 2019?
- Zugriff bzw. Zugang (auf Datenbanken etc.)
- Änderungen
- IT-Betrieb
- GITC: typischerweise jeder Aspekt IT-Umgebung implementiert
- je nach Komplexität → unterschiedlich umfangreich ausgeprägt/implementiert
Skizzieren Sie in folgenden Bereichen des Prozess zur Verwaltung des Zugriff/Zugangs die wichtigen Bereiche (8 Stück)
AAPDPÜSP
Nennen Sie Beispiele für die GITC im Bereich Zugriffsverwaltung
Nennen Sie im Bereich des Prozesses zur Verwaltung von Programmänderungen und anderen Änderungen die wichtigen Bereiche
CFSD
Nennen Sie Beispiele für GITC im Bereich Change-Management
Nennen Sie die Wichtigen Bereiche im Prozess zur Verwaltung des IT-Betriebs
Nennen Sie Beispielhafte GITC im Bereich des IT-Betriebs
Wie werden GITC geprüft?
- automatische Kontrollen: auch Kontrollen bzgl. systemgenerierte Berichte
Wie wird die Wirksamkeitsprüfung der GITC durchgeführt?
- nicht verpflichtend
- grundsätzliche Frage: Soll Arbeit beim IT-Team oder beim Prüfteam liegen
- Wirksamkeit GITC nicht verpflichtend, um Wirksamkeit automatischer Kontrollen zu prüfen
Wie ist die Funktionsprüfung der GITC ausgestaltet?
- gem. ISA DE 330
- keine spezifischen Vorgaben für GITC
- Nutzung Nachweise aus vorhergehenden AP
- Wirksamkeit GITC ein zu würdigendes Kriterium
Warum ist IT Sicherheit wichtig? Welche Wesentliche Bedrohungen umfasst dieser Bereich?
- kann IT Risiken auslösen
- Wesentliche Bedrohungen
- Cyber-Erpressungen/Ransomware
- Schwachstellen Systeme/Anwendungen
- Distributed Denial of Service Angriffe (DDoS)
- Advanced Persistent Threats (APT)
- Phishing
Was sind die Unterschiedlichen Fokuspunkte der IT Sicherheit heute im Vergleich zu Früher?
- Früher: Ultra-Verfügbarkeit der Server
- Heute: Unantastbarkeit Datensicherung
- Wenn bei Erpressung gezahlt wird: Terrorfinanzierung US-Recht
Was sind die Grundsätze der IDW RS FAIT?
Leitfragen:
- GoB beim IT Einsatz wie umgesetzt
- Welche Sicherheitsanforderungen zu beachten
- Welche Maßnahmen umzusetzen
Was sind die Leitfragen des FAIT 1?
- IT-Systeme wie aufgebaut?
- IT-Systeme im Unternehmen wie eingesetzt?
- Einfluss IT auf RL?
- Was muss bei IT-Einrichtung mit RL-Relevanz beachtet werden?
Welche Elemente sind Wichtig für den Einsatz von IT in der Rechnungslegung?
- Gesetzliche Vertreter müssen geeignete Regelungen einführen, IT-Risiken zu Managen und O-Anforderungen erfüllen
- Bandbreite von Standardapplikationen (manuell) zu integrierten Systemen
- # 238HGB #239HGB und #257HGB sind zu beachten
- Gesetzeskonformität RL und Sicherheit RL-Daten sind Voraussetzung für Ordnungsmäßigkeit IT-RL
Welche Zwei Bereiche von Anforderungen hat die IT im Bereich der Rechnungslegung? Geben Sie die Aspekte der Bereiche an.
- Sicherheit
- Vertraulichkeit (→Datenweitergabe)
- Integrität
- Verfügbarkeit (→Ausfallschutz)
- Autorisierung
- Authentizität (→Autorisierung)
- Verbindlichkeit (→wenn Buchung gebucht, muss sie gelten)
- Ordnungsmäßigkeit
- GoB
- Belegfunktion
- Journalfunktion
- Kontenfunktion
- Dokumentation
- Aufbewahrungspflichten
Welche Bereiche hat die Einrichtung von IT mit RL Bezug?
Wie wird der Einsatz von IT nach ISA DE 315 rev 2019 iVm ISA DE 330 behandelt?
- Empfehlungen, Hilfestellungen, Hinweise etc. wie IT-Einsatz iRd AP behandelt werden kann
- Hinweis auf bessere Integration Risiken aus IT-Einsatz in AP
- Hinweise/Erläuterungen/Beispiele
- Verständnis Informationssystem bei IT-Einsatz
- Info-System als Grundlage Identifikation Risiken IT-Einsatz
- Verständnis IT-Umgebung
- Automatisierte InfoVerarbeitungskontrollen
Geben Sie Beispiele für GITC allgemein
- automatisierter Schutz automatisierter UE-Konten vor manuellen Buchungen
- Ausgestaltung Systemberechtigungen
- Systemeinstellung zu Unveränderbarkeit/Nachvollziehbarkeit von Buchungen
- Systemseitige Schnittstellenüberwachung
- Automatisierte UE-Abgrenzung nach IFRS 15
- Kontenfindung FiBu-System
- Automatisierte Bewertungsverfahren Anlagenbuchhaltung Vorratsvermögen
- Systemseitige HB-NB-Abstimmung
- Automatisierte Funktionstrennung
- Einstellungen Verhinderungen UE-Buchung ohne Warenausgang
Nennen Sie beispielhafte GITC für den Verkaufsprozess
- Bonitätsprüfungen vor Auftragsannahme und Erfassung Kreditlimit IT-Anwendung
- Abgleich Kundenaufträge mit Warenausgängen bzgl. der zu liefernden Waren/Mengen
- Abgleich gelieferte und berechnete Waren bzgl. Angebotspreis
Nennen Sie beispielhafte GITC für den Einkauf
- Freigabe Bestellungen durch Leiter Einkauf bei Überschreiten Grenzwerten
- Abgleich Wareneingänge mit zugrundeliegenden Bestellungen bzgl. gelieferte Waren und Mengen
- automatisierter Abgleich gelieferter und berechneter Waren bzgl. Bestellpreis
- automatisierte Rechnungsprüfung iRd RE-Eingang
- funktionale Trennung Bestellabwicklung, Warenannahme, RE-Prüfung, Zahlungsverkehr
Nennen Sie beispielhafte GITC für Journalbuchungen
- Automatisierte Überwachung Übertragung, erfasste Geschäftsvorfälle aus NB in HB, z.B: systemseitige Fehlermeldungen
- nur vorgesehene Soll/Haben-Konten Kombination und Soll/Haben-Gleichheit
- Systemeinstellungen, dass im HB erfasste Buchungen nicht/ nur mit entsprechender Freigabe geändert werden
- Änderungen protokolliert
- Buchungen systemseitig nur in gültigen Perioden
- Buchungen nur durch MA mit entsprechender Berechtigung
- unvollständige Buchungen werden nicht verarbeitet
Was sind die Ziele der Datenanalyse im Rahmen der AP?
- Einsatz kann umfassende Prüfung ermöglichen
Was sind die Voraussetzungen für den Einsatz von Datenanalysen im Bereich der AP?
- ausreichendes Prozessverständnis
- Verfügbarkeit Daten/Datenexport/Datenverarbeitung
- Datenqualität/-granularität
- Vollständigkeit/Korrektheit Grunddaten
- Ausreichende Kenntnis für Interpretation Analyseergebnisse
Was ist der Gegenstand der Datenanalysen im Bereich der AP?
Was ist das technische Umfeld der Datenanalysen im Bereich der AP?
Was ist das rechtliche Umfeld der Datenanalyse iRd AP?
- # 320I2HGB #320IIHGB : AP kann Aufklärung und Nachweise verlangen
- # Art6IcDSGVO Zulässigkeit Verarbeitung personenbezogene Daten bei rechtlichen Verpflichtungen
- # 51bIWPO Aufbewahrung für Dauer gesetzlicher Fristen
Welche Einsatzbereiche kennt die Datenanalyse im Bereich der AP?
Fehlerrisiken erkennen
IKS
Wie kann Datenanalyse bei der Erkennung von Fehlerrisiken nützlich sein?
- Datenanalyse zur Identifikation von RoMM, insb. mögliche Anfälligkeiten
Wie kann Datenanalyse im Bereich des IKS nptzlich sein?
Welche Instrumente hat die Datenanylse im Bereich des IKS?
Was sind ausgelagerte Prozesse?
- RL-relevant wenn Sie dazu dienen, folgendes zu speichern oder zu verarbeiten
- Daten (weit gefasst, alles HR/RL maybe nicht rein operative Produktionsdaten)
- Geschäftsvorfälle
- betriebliche Ereignisse
Was sind typischerweise ausgelagerte Prozesse und Funktionen?
- Typischerweise ausgelagerte Prozesse und Funktionen
- IT-gestützte RL-relevante Geschäftsprozesse
- Verarbeitung RL-Relevante Unterlagen
- Erfassung und Verarbeitung von für den Abschluss relevante Ereignisse
- Kontrolltätigkeiten iZm Aufzeichnung von Geschäftsvorfälle
Was sind Bestandteile von IT-Outsourcing und Cloud-Computing?
- Rechenzentrumsbetrieb
- Basisbetrieb von IT-Anwendungen
- Business Process Management
- Shared Service Center
- Cloud Computing
Was sind die typischen Arten von Cloud Computing?
Was sind die typischen Arten von Bereitstellungsmethoden für Cloud-Computing?
Was sind Sicherheitsrisiken beim IT-Outsourcing?
Was sind rechtliche Risiken beim IT-Outsourcing?
- Datenschutz
- Sicherungsmaßnahmen Bundesdatenschutzgesetz
- IT-Outsourcing: Auftragnehmer #11IIBDSG
- auslagernde Unternehmen bleibt nach #11IBDSG verantwortlich für Datenschutz
- National/International
- grenzüberschreitende Speicherung → weitere rechtliche Risiken
- national/internationales Handelsrecht
- Steuerrecht/Strafrecht
- Zivilrecht
- Datenschutz
- grenzüberschreitende Speicherung → weitere rechtliche Risiken
- Rechnungslegung
- # 238ffHGB
- Anforderung an Ordnungsmäßigkeit
Welche Verantwortung tragen die gesetzlichen Vertreter beim IT-Outsourcing?
- müssen gesetzliche Anforderung bzgl. Datenschutz sicherstellen
- Auslagerung Prozesse/Funktionen → IKS muss angemessen ausgestaltet werden
- Unrichtigkeit/Verstöße müssen Seiten IKS verhindert/aufgedeckt/bereinigt werden
- von Beginn bis Ende Auslagerung zu steuern und zu überwachen
- verbundene Systeme/Risiken müssen analysiert und strukturiert werden
Was ist das Kontrollumfeld im Bereich des IT-Outsourcing?
Wie ist die Organisation von IT-Outsourcing gestaltet?
- sachgerechte Umsetzung
- Bedeutung auszulagernden IT-gestützte Geschäftsprozesse → klar definiert/abgegrenzt
- ordnungsmäßige organisatorische Verzahnung → Prozesse/Funktionen ist Anpassung
- RMS
- Aufbau/Ablauforganisation → Notwendigkeit Dienstleistermanagement
- Verzahnung → Betriebshandbücher
Wie wird das Outsourcing überwacht?
- prozessunabhängige Überwachungsmaßnahmen → gesetzliche Vertreter → unabhängige Dritte, interne Revision, Datenschutzbeauftragte
- vertraglich vereinbarte Prüfungsrechte → auslagerndes Unternehmen mittels eigener Prüfungshandlungen → Wirksamkeit Kontrollen
- regelmäßige Prüfungen, durch unabhängige Dritte, ausgelagerte Unternehmen entsprechende Nachweise zur Verfügung zu stellen
Welches Verständnis muss im Rahmen des ISA DE 402 über die erbrachten Dienstleistungen vorhanden sein?
- Auswirkungen auf IK
- Art/Wesentlichkeit vom Dienstleister verarbeitete Geschäftsvorfälle
- Wechselwirkungen Tätigkeiten Dienstleister und der Einheit
- Beziehung und vertragliche Bestimmungen
Wie kann das Verständnis über erbrachte Dienstleistungen nach ISA DE 402 erlangt werden?
- über auslagernde Einheit erlangt
- wenn nicht möglich
- Dienstleisterbericht Typ 1 oder 2
- Kontaktaufnahme über Einheit zum Dienstleister
- Aufsuchen Dienstleister / PH vor Ort
- Hinzuziehen anderer Prüfer
Wie wird das Outsourcing geprüft?
Welche Arten von Dienstleisterberichten gibt es und wie unterscheiden sie sich?
- Typ 1: Beschreibung / Konzeption Kontrollen zu bestimmten Zeitpunkt
- Typ 2: Prüfung Beschreibung / Konzeption und Wirksamkeit Kontrollen für bestimmten Zeitraum
Was müssen Dienstleisterberichte beurteilen und was muss zusätzlich erbracht werden, wenn Sie als Nachweise gebraucht werden?
- Bericht beurteilen ob
- ausreichend/geeignet ist für IKS Verständnis Dienstleister
- Prüfer kompetent und unabhängig
- verwendeter Standard angemessen
- Verwendung als Nachweis zusätzlich:
- Zeitpunkt/-raum angemessen
- Umfang Nachweise ausreichend
- Komplementärkontrollen definiert
Wie funktioniert die Funktionsprüfung bei ausgelagerten Kontrollen?
- Durchführung Prüfung beim Dienstleister
- Hinzuziehen anderer Prüfer
- Verwendung Typ 2 Bericht
- Zeitpunkt/-raum Beschreibung/Konzeption/Wirksamkeit angemessen
- Komplementärkontrollen eingerichtet / wirksam
- abgedeckter Zeitraum vergangene Zeit → angemessen
- Funktionsprüfung → Ergebnisse angemessen
Beispiel: Dienstleister A bietet die komplette Lohn- und Gehaltsabrechnung als Dienstleistung an. Dazu verwendet Dienstleister A IT-Anwendungen, die von Dienstleister B betrieben werden. Frage: Was muss bei B betrachtet werden?
Welche Dokumentationshinweise sind bei Dienstleisterberichten zu beachten?
Was sind Internationale Alternativen des IDW PS 951 nF?
- ISAE 3402 (International Standard on Assurance Engagements)
- IASE 3402 = Basis für IDW PS 951 n.F.
- IDW PS mehr Anforderungen als ISAE 3402
- USA = Eher SSAE 18
Was sind nach ISAE 3402 die Objectives des Service auditors?
- reasonable assurance materially respects
- service organizations descriptions fairly presents system as designed and implemented in specified period (Type 1 = specific date)
- controls related to control objectives stated = suitably designed throughout specified period
- included in scope of engagement, controls operated effectively to provide reasonable assurance that control objectives were achieved
- report on matters above in accordance with findings
Was ist der Gegenstand der Prüfung nach IDW PS 951 nF?
- Beschreibungs Dienstleistungs-IKS und in der IKS-Beschreibung dargestellte Kontrollen und Kontrollziele auf Basis MGT abgegebener Erklärung
- Subdienstleister ggf. einbeziehen
- inklusive Methode: IKS Subdienstleister ist Teil Prüfung
- Carve-Out Methode: Es erfolgt keine Darstellung Kontrollziele und Kontrollen Subdienstleister sondern lediglich Beschreibung erbrachte Subdienstleistungen
Was sind Dienstleistungsbezogene IKS?
- Anforderungen an Ausgestaltung
- Organisatorisch und technisch umgesetzte Sicherung von:
- Wirtschaftlichkeit
- Ordnungsmäßigkeit/Verlässlichkeit RL
- Einhaltung Gesetz/Sonstige Vorschriften
- Kontrollziele anhand geeigneter Kriterien abgeleitet und beurteilt werden
- gesetzlich/regulatorisch
- Themen/Branchen/Industriespezifisch
- Dienstleister selbst entwickelt
- Organisatorisch und technisch umgesetzte Sicherung von:
Wie wird die Prüfung des Dienstleistungsbezogenen IKS prozessual durchgeführt?
- Verständnisgewinnung dienstleistungsbezogene interne Kontrollen
- Prüfung Beschreibung dienstleistungsbezogene IKS und zugrundeliegende Kriterien/Kontrollziele
- Prüfung Angemessenheit eingerichtete Kontrollen
- Prüfung Wirksamkeit eingerichtete Kontrollen
- Berichterstattung/-erstellung (inkl. Prüfungsurteil)
Was sind die Idealtypischen Phasen der Konsolidierung?
Was sind Risiken der IT Gestützen Konsolidierung?
- ergeben RoMM innerhalb der Konzern RL
Was sind Beispiele für die Risiken der IT gestützten Konsolidierung?
- Unterschiedliche
- Buchungszeitpunkte
- Abschlusszeitpunkte
- Informationsstände
- Unvollständige / fehlerhafte
- Daten aufgrund fehlender Funktionalitäten/manuelle Anpassungen
- Datenpakete (Übertragung aus Quellsystem)
- Automatische/parametrisierte Buchungen
Was sind zeitliche Unterschiede zwischen IDW PS 850 vs ISA DE 315?
Was sind die Projektphasen nach IDW PS 850 nF?
Was sind Projektrisiken im Rahmen des IDW PS 850 nF?
Was sind die wichtigen Faktoen des IKS im Rahmen des IDW PS 850 nF?
- zuständige Gremien bereits während Prüfungsdurchführung auf wesentliche Mängel aufmerksam zu machen → Gegenmaßnahmen sollen bereits jetzt möglich sein
- Indikatoren für weitere Schwachstellen
- komplexe Projekte = laufende Berichterstattung jeweiliger Phasen
Was sind Aspekte der Dokumentation und Berichterstattung nach IDW PS 850 nF?
- Prüfer: Erkenntnisse dokumentieren → wesentliche Ergebnisse im Prüfbericht JAP zusammenfassen (Grundsatz Klarheit)
- Einige Inhalte
- Auftraggeber / Auftragsdurchführung
- Prüfungsgegenstand
- Art/Umfang PH
- Informationen über IT-Projekt
- Fachliche Grundlagen
Wie werden Ergebnisse nach IDW PS 850 nF verwertet?
- AP
- Verwertung anhand Bescheinigung und Bericht
- Beurteilung Fehlerrisikos
- Beurteilung projektbegleitende Prüfung sowie Berichterstattung
→ Nachweis / Begründung Prüfung
Wie muss bei Ineffektiven GITC vorgegangen werden? Beschreiben Sie die Schritte
- Beurteilung Auswirkung Feststellungen bei GITC anhand 5 Stufen Modell
- Einfluss auf Wirksamkeit: kein unmittelbaren Einfluss auf Wirksamkeit Informationsverarbeitungskontrolle
- Kompensation alternativer Kontrolle: IT-Risiko kann durch andere GITC / alt. PH innerhalb IT-Kontrollen kompensiert werden
- direkte Prüfung GITC: Prüfung Wirksamkeit durch Prüfen Kontrolle
- Kompensation durch andere Kontrollen: RoMM durch manuelle Kontrollen behandelbar
- Neueinschätzung Kontrollrisiko: Behandlung RoMM durch aussagebezogene PH
- Zusätzlich:
- wesentliche Schwäche IKS?
- Muss Prüfungsbericht über Schwäche berichten?
- sind zusätzliche PH notwendig um Ordnungsmäßigkeit der Buchführung zu belegen
Wie werden Ergebnisse eines zentral geprüften GITCs verwendet?
- Werden alle relevanten IT-Risiken angemessen durch Kontrollen behandelt?
- Sind GITC für alle relevanten IT-Anwendungen geprüft?
- Sind Ergebnisse angemessen (Methodik, Zeitraum)
- Feststellungen, lokale Reaktion nötig?
- weitere lokale Risiken aus dem Einsatz von IT
Wie werden Zertifikate verwertet und welcher Standard greift hier?
- IDW PS 880 nF
- kompletter Prüfbericht (ISA DE 315 rev 2019 →Zertifikat alleine reicht nicht)
- Prüfer ausreichend Kompetent (WP+IT-Kenntnisse erkennbar)
- Stimmt Version überein? ggf. Release-Version?
- Bericht lesen und prüfen, ob Mandat richtig umgesetzt?
Wie werden Softwareprodukte geprüft und welcher Standard ist einschlägig?
IDW PS 880 nF
- Ziel: Beurteilung Ordnungsmäßigkeit / Sicherheit RL-bezogener Programmfunktion
- neue Fassung: 2022
- Prüfungsgegenstand können sein: Software insgesamt, einzelne Module, einzelne Funktionen
- Softwareprüfungen umfassen: Beurteilung für das Aufgabengebiet notwendige Programmfunktionen
- zu programminternen KS insb.:
- Eingabe-, Verarbeitungs- und Ausgabekontrolle und programmierte Ablaufsteuerung (Programmabläufe und programmierte Regeln Workflowsteuerung) einschließlich des programmierten Zugriffsschutzsystems
Welche Komponenten hat das IPE Risiko?
Was ist der Unterschied zwischen Kontrolle und Aktivität?
Kontrolle ISA DE 315 (rev 2019)
* von Einheit eingerichtet
* Regelung oder Maßnahme zum Erreichen eines Kontrollziels des Mangagements oder Überwachung Verantwortlichen
* Regelungen: Erklärung was innerhalb der Einheit (nicht) getan werden soll um Kontrolle auszuführen
* Erklärungen dokumentieren, ausdrücklich erklärt/ durch Handlungen/Entscheidungen impliziert
* Maßnahmen: Handlungen zur Implementierung Regelungen
Was sind Häufige Effizienzpotentiale im Rahmen der IT Prüfung?
- überflüssige Kontrollen
- keine prüferischen Risiken werden abgedeckt
- reduziert bei keiner Aussage das RoMM
- Stichprobengröße im Funktionstest
- Häufigkeit Kontrolldurchführung, die für prüferische Zwecke benötigt wird, ist relevant und nicht tatsächliche (idR manuelle Auswertung von System-Fehlerreports z.B. Prüfung Altersstrukturliste auf EWB wöchentliche, jährliche Durchführung würde gleiche Sicherheit ergeben → nur YE mit IPE prüfen)
- manuelle Prüfung automatischer Kontrollen trotz effektiv geprüfter GITC
- Did-Do-Analysen statt Kontrollen zu nutzen
- Massendatenanalysen als substantielle PH bieten höhere PH als Stichprobe
- Bsp: Funktionstrennung im Verkaufsprozess SAP: Analyse, wer mit welchen Transaktionscodes bucht statt Berechtigungsprüfung
- Bsp: Manuelle UE-Buchungen, manuelle WERE-Buchungen: JET-Routine manuelle Buchungen auf ausgewählten Konten statt Prüfung automatischer Kontrollen
- Frühzeitig den Prüfungsansatz mit den IT-Prüfern abstimmen
Was sind Aktuelle Themen der Digitalisierung?
- schnellere Veränderungen in Unternehmen, Informationen werden zunehmend automatisch verarbeitet
- Prüfer muss Verarbeitung Prüfungsurteil trotzdem verstehen
- mehr IT-Knowhow oder Spezialisteneinsatz nötig
- Routine-Prüfungsnachweise automatisiert erhoben werden
- weniger Bedarf Assistenten, mehr Zeit komplexe Bilanzierungsentscheidungen
- Big-Data und KI
- ChatGPT
- viel WPG investieren hohe Summen in Entwicklung eigener generativer KI
Welcher Standard beinhaltet IT Prüfungen außerhalb der AP, was sind die wichtigen Punkte?
- zwei Aufträge
- Prüfung einer Erklärung zum IT
- Erklärung gesetzliche Vertreter frei von wesentlichen Fehler
- Direkte IT Prüfung
- Prüfungsauftrag abgegrenzter IT-System auf Basis vereinbarter Kriterien
- Prüfung einer Erklärung zum IT
- Anwendungsmöglichkeit
- IDW PH 9.860.1
- Hintergrund: DSGVO EU-Weit einheitliches Niveau → Mindestanforderungen
- IDW PH 9.860.1
- 06/2018 veröffentlicht
- Anlage 1: konkretisiert Kriterien in Form Anforderungskatalog mit beispielhaften PH
Was sind die berufsrechtlichen Auswirkungen der DSGVO?
- kaum Auswirkungen durch Verschwiegenheitspflicht
- WP/StB = nicht Auftragsverarbeiter, da eigenständig
- s.a. Erläuterungen rechtliches Umfeld Datenanalysen
Was sind Anwendungsmöglichkeiten der DSGVO Einflüsse auf Berufsrecht?
- Prüfung Erklärung Betreiber kritischer Infrastruktur #8aIBSIG
- Hintergrund: Einige Branchen (Energie, Wasser etc.) müssen Nachweisen dass sie Maßnahmen zur Störungsvermeidung implementiert haben
- IDW PS 9.860.2 04/2020 veröffentlicht
Was sind die Grunddaten der BAIT und VAIT?
- Anforderungen größer als bei ISA DE 315 rev. 2019
- IDA DE 315 rev 2019: Risiko für AP einschätzen/behandeln
- BAIT/VAIT/KAIT/ZAIT: Ausgestaltung IT-Systeme/zugehöriger Prozess diesbezüglicher Anforderungen auf IT-Governance
- auch hier Prüfung nach IDW PS 860 vorstellbar
Was sind die Anwendungsmöglichkeiten der BAIT und VAIT?
Prüfung Cloud-Diensten IDW PH 9.860.3
- Hintergrund
- Cloud Dienstleister Mindestanforderungen an sicheres Cloud-Computing durch Umsetzung BSI Kriterienkatalog C5
- IDW PH 9.860.3: 10/2021 veröffentlich, Anlage 1 konkretisiert C5 Kriterien via Anforderungskatalog mit beispielhaften PH
- “kleiner Bruder” IDW PS 951 nF
#### Prüfung GoBD Compliance IDW PH 9.860.4
- Hintergrund: abgegrenzte GoBD relevante Geschäftsprozesse können auf GoBD Compliance geprüft werden
- IDW PH 9.860.4: 07/2021 veröffentlicht, Anlage 1 konkretisiert GoBD Kriterien → Anforderungskatalog inkl. beispielhafter PH
- kleiner “Bruder” IDW PS 951 nF (der für ganzen Prozess gilt)
Wie werden KI-Systeme geprüft, welcher Standard greift?
IDW PS 861
- 2023 veröffentlicht
- Standard freiwillige Prüfung KI-Systeme außerhalb AP
- aufgebaut auf IASE 3000 rev. “Assurance Engagements Other than Audits or Reviews of Historical Financial Information”
- Prüfungsgegenstand: Beschreibung KI-Systems einschl. Beschreibugn enthaltener Darstellungen gesetzlicher Vertreter des Unternehmens, ob beschriebene KI-System die Kriterien einhält
- Prüfung Angemessenheit oder WIrksamkeit möglich
Was sind geeignete Kriterien für die Prüfung von KI Systemen?
- miteinander in Wechselwirkung stehend
1. ethische / rechtliche Anforderungen für KI
2. Nachvollziehbarkeit
3. IT-Sicherheit
4. Leistungsfähigkeit
Was sind geprüfe Elemente von KI-Systemen?
- KI-Governance/Compliance/Monitoring
- Daten
- Algorithmus
- Anwendung
- Infrastruktur