Prüfungsdurchführung - Planung und Risiko Flashcards
Was ist die Zielsetzung der JAP?
- Bestätigung Verlässlichkeit JA/LB-Infos → Erhöhung Glaubhaftigkeit
- Prüfungsaussagen unter Beachtung Grundsatz Wesentlichkeit, Wirtschaftlichkeit, hinreichende Sicherheit
-
Keine Gewähr für zukünftige Lebensfähigkeit Unternehmens
- # 317IVaHGB
Was ist der Prüfungsumfang der JAP?
- JA
- Buchführung
- LB
- ESEF
- derzeit nur Börsenorientierte und IFRS Abschlüsse
- Risikofrüherkennungssystem
Welche Aussagen in der RL werden iRd JAP abgeprüft?
- Arten der Geschäftsvorfälle (OCCCA)
- Eintritt (Occurence)
- Vollständigkeit (Completeness)
- Genauigkeit (Accuracy)
- Periodenabgrenzung (CutOff)
- Kontenzuordnung (Classification)
- Kontensalden Periodenende (VAROCE)
- Vorhandensein (Existence)
- Zurechnung/Rechte und Verpflichtung (Rights and Obligations)
- Vollständigkeit (Completeness)
- Bewertung/Zuordnung (Valuation and Allocation)
- Abschlussinformationen (AVCURO)
- Zurechnung/Recht und Pflichten (Rights and Obligations)
- Vollständigkeit (Classification and Understandability)
- Genauigkeit und Bewertung (Accuracy and Valuation)
Wie sind die Bilanzbezogenen Aussagen der RL aufzuteilen?
Aktiva:
- Vorhandensein
- Periodenabgrenzung
Passiva:
- Vollständigkeit
- Periodenabgrenzung
Allg.:
- Genauigkeit
- Bewertung
- Eintritt
- Ausweis
Was umfasst die Erweiterung des Prüfungsauftrag nach HGrG und GenG
53HGrG #53GEnG
- Prüfung Ordnungsmäßigkeit GF
- Urteil wirtschaftliche Verhältnisse
- IDW PS 720 enthält Fragenkatalog
- nicht im WP-Examen selbst abgefragt aber:
- Was ist Früherkennungssystem
- Was ist RMS
- Wie Zuschüsse zu behandeln (HFA1/IAS21)
Für wen ist das HGrG einschlägig und warum?
- für alle >50% staatlich
- Grundsatz: Rechtfertigung weil öffentliche Gelder verwaltet/verwendet werden
Wie wird der AP ausgewählt?
- WP/WPG (vBP bei mittelgroßer GmbH)
- Bescheinigung über Teilnahme Qualitätskontrolle
- früher richtige Bescheinigung
- anderer WP prüft QM Kontrolle
- heute: APAS 1x Jahr (Schulung, Independence, Archivierung, Dispo)
- darüber hinaus einzelne Mandate
- bei APAS Kontrolle haften WPs selbst
- Burnout Gefahr
- Nicht unter Druck setzen lassen
- Keine Ausschlussgründe (Bachte: Besondere Ausschlussgründe #319bHGB)
Welche Fragen muss der AP im Rahmen der Annahme/Fortführung klären?
- Verfügt der AP über die Ressourcen, Zeit und Kompetenz?
- Ist WP unabhängig und frei von Interessenskonflikten?
- Sind die mit Auftrag verbundenen Risiken vertretbar?
- Gibt es (absehbare) Prüfhemmnisse?
- Vereinbarung Auftragsbedingungen?
- Erstellung / Unterzeichnung Auftragsbestätigungsschreiben
Was sind Ausschlussgründe für einen AP?
Allgemeine #319HGB
- Besorgnis reicht auch ohne Nachweis
- Besorgnis Befangenheit
- geschäftlich
- Finanziell
- Persönliche Beziehungen
- Anteilsbesitz/fin. Interessen
- Organmitgliedschaft (GF geht nie, AR geht grdstzl. bei Nicht-Mandanten)
- Ausübung Tätigkeit von Nicht-untergeordneter Bedeutung
- Buchführung
- Interne Revision
- grds. in begrenztem Umfang ok
- aber nicht: Planug, weil sonst Risikoeinschätzung einhergeht
- zulässig z.B. fertig geplante Kontrolle iRd internen Revision durchzuführen
- grds. in begrenztem Umfang ok
- Finanzdienstleistungen etc.
- Bewertungsleistungen
- Befangener Mitarbeiter
- Erzielung >30% Gesamteinnahmen
Besondere #EUVO537/2014
- gilt für Konzern AP, nicht für Component AP
- PIE
- Begrenzung Nichtprüfungsleistungen
- Erzielung >15% Gesamteinnahmen
- Verbot bestimmter Nicht-Prüfungsleistungen (z.B. StB, v.a. LSt)
Erweiterung auf Netzwerk des WP #319bHGB
Wie wird der AP bestellt?
- Wahl durch
- Gesellschafter #318IHGB
- Kap-Marktorientiert → HV
- Erteilung Prüfauftrag
- G’ter (GmbH) bzw. AR (AG)
- # 318I4HGB iVm #111IIAktG
- nach Satzung kann ggf. abgewichen werden
- Auftragsannahme
Wie kann der Auftrag abgelehnt oder gekündigt werden?
- Auftragsablehnung #51WPO #49WPO
- sofort (14 Tage), sonst Auftrag zustandegekommen
- kann z.B. vom Bericht bestimmt werden → dann nur durch wichtige Gründe, z.B: Unabhängigkeit ablehnbar
- Kündigung
- nur durch AP #318VIHGB mit Begründung
Was regelt das Auftragsbestätigungsschreiben und wo ist es geregelt?
ISA_DE_210
- Zielsetzung, Art, Umfang AP → deklaratorisch, Wahl/Bestellung entscheidend
- Verantwortlichkeiten
- Hinweis Risiko, dass wesentliche Fehler nicht aufgedeckt werden
- Erfordernis uneingeschränkten Zugangs/Vorlage von erforderlichen Zusatzinfos und VE
- Das Recht auf alle Rechnungsbezogenen Infos kommt aus #320I2HGB aus dem HGB und sticht DSGVO
- Grundlage Honorarabrechnung
- Festlegung Prüfungsschwerpunkte
- im PV und in der Bilanzsitzung AR darüber zu berichten
- von AR vorgegeben
- reicht eig. bis kurz vor Testat weil ABS ist Teil der Prüfungsdokumentation
- Auftragserweiterung
- sofern RL-bezogen kann es Teil des ABS sein, sonst separater Auftrag
Was ist die Prüfungsplanung?
- Entwurf Ordnung, nach der sich Prüfung vollzieht
- System zukunftsbezogener Entscheidungen
- Gewährleistung der Wirtschaftlichkeit der Prüfungsdurchführung und hinreichenden Sicherheit Prüfungsurteils
Welcher ISA regelt die Prüfungsplanung?
ISA DE 300
Wie hängen Prüfungsstrategie und Prüfungsprogramm zusammen?
Strategie:
- Grundsatzentscheidung; Ansatz; erwartetes Ausmaß der PH.
- Basis: Identifikation Risiken
Programm:
- Aufteilung Gebiete in Prüffelder
- Für jedes Prüffeld: sachliche/zeitliche/personelle Planung
Kontinuierlicher, rückgekoppelter Prozess bis zur Prüfungsbeendigung
Welche Aufgabe hat die Prüfungsplanung?
- Basis
- Zielgerechte
- Wirtschaftliche
- Durchführung der Prüfung
- Berücksichtigung vereinbarter Schwerpunkte
Was beeinflusst die Prüfungsplanung?
- Geschäftstätigkeit sowie wirtschaftliches/ rechtliches Umfeld
- Risikobeurteilung
- Prüfungsbereitschaft Mandant
- Erst- o. Wiederholungsprüfung
- Jährlich neue Planung vs. Bestimmung mehrjähriger Prüfungsschwerpunkte
- ggf. nicht jedes Jahr alles
- nur mit mehrjährigem Prüfungsplan
- Verwertung Prüfungsergebnisse Dritter, Einbeziehung Spezialisten
Welche Schritte umfasst der Risikoidentifikationsprozess?
- Kenntnis Unternehmen - Verständnis Einheit/Umfeld
- Festlegung vorl. W
- Verständnis RL-bezogenes IKS
- Fehlerrisiken (Inhärente+Kontrollrisiken)
- Entwicklung Prüfungsstrategie und Ableitung -programm
Was sind die wichtigen Standards für die UEE-AP?
- Unternehmen(-sumfeld) – #ISA_DE_315
- Nahe stehende Personen – #ISA_DE_550 ( #IDW_PS_255)
- PS255 besser zu lesen wie 550
- Erfolgskennzahlen (vorbereitende analytische PH) – #ISA_DE_520
- (Vorläufige) Einschätzung Unternehmensfortführung – #IDW_PS_270nF
- kann ggf. entfallen wenn
- genügend EK
- genügend Liquidität
- eindeutige Fortführung
- kann ggf. entfallen wenn
- (Vorläufige) Einschätzung Fraud – #ISA_DE_240
- Fraud Triangle
- (Vorläufige) Einschätzung geschätzte Werte – #ISA_DE_540
- ggf. Skalierung zwischen “einfachen” und “schwierigen” geschätzten Werten
- (Vorläufige) Einschätzung Rechtstreitigkeiten – #ISA_DE_501
- (Vorläufige) Einschätzung Einbindung Sachverständige – #ISA_DE_501 #ISA_DE_505
- (Vorläufige) Einschätzung Konsultation ( #QSS)
Wie werden Informationen für UEE AP beschafft?
- Nutzung Branchen/Unternehmenskenntnisse des WP
- Gespräche (Protokoll!) mit TCWG, Gesetzlichen Vertretern, leitenden Angestellten, interner Revision
- Information Fachleute, Kunden, Lieferanten, Wettbewerbern, Aufsichtsbehörden usw.
- Besichtigung Unternehmen (Wichtig!)
- Veröffentlichungen des U
- Weitere Unterlagen des U
- Registerauszüge, (G)BV
Was nützt die Kenntnis der Geschäftstätigkeit und des Umfelds dem AP?
ISA DE 315
- Kenntnisse zur Ermöglichung Identifikation von
- zentrale Einflussfaktoren Unternehmenserfolg
- KPIs
- Abwesenheit KPI = Geschäftsrisiko
- Strategie
- Geschäftsrisiken/Reaktion des Unternehmens
- Geschäftsprozesse inkl. wesentlicher Risiken und Kontrollen
- Identifikation Geschäftsrisiken
- Beurteilung Auswirkung JA/LB
Wo sind nahestehende Personen geregelt?
ISA DE 550
seit IAS24 relevant
Wie werden die Risiken im Zusammenhang mit Nahestehenden Personen identifiziert?
- Identifikation Beziehungen/Geschäftsvorfälle mit nsP durch Befragung Mandant
- Identifikation Geschäftsvorfälle mit nsP iRd Aufbauprüfung IKS
- Identifikaiton Geschäftsvorfälle nsP anhand Prüfung ungewöhnlichen Geschäftsvorfällen / Geschäften außerhalb gewöhnlicher Tätigkeit
- Austausch Infos über nsP im AP-Team
Was beinhaltet da weitere Vorgehen bei Feststellung von nsP?
- Bedeutsame Geschäftsvorfälle mit nsP außerhalb gewöhnlicher Tätigkeit
- Einsicht Verträge
- Schätzung bzgl. Fraud, Erfassung/Abbildung RL, Genehmigung
- Neu identifizierte nsP/Geschäftsvorfälle (keine Mitteilung von Mandant)
- geeignete PH
- Auswirkung Prüfung bzgl. Fraud / Wirksamkeit IKS
- Aussage über Marktüblichkeit Geschäftsvorfälle
- Ausreichende/angemessene PH, z.B:
- Vergleich Konditionen Drittgeschäfte, Einholung Bestätigung Dritter
Wo wird die Festlegung der vorläufigen Westenlichkeit und NAG geregelt?
- Vorläufig → im Rahmen der Prüfung ggf. anzupassen
- # ISA_DE_320
- # ISA_DE_450 NAG
Wo ist das Verständnis des RL-bezogenen IKS durch den AP geregelt und was umfasst es?
ISA_DE_315
- Verständnis Orga, RW, KontrollS, Kontrollbewusstsein
- Prozesse und Kontrollen
- IT-Systeme/Kontrollen
- Gesamteindruck des AP
- Risikobeurteilung (Aufbauprüfung) → Angemessenheit IKS
- Reaktion (festgestellte) Fehlerrisiken (Funktionsprüfung) → Wirksamkeit IKS
Wo ist die Reaktion auf das Risiko aus dem RL-Bezogenen IKS geregelt?
ISA DE 330
Was ist das IKS im Allg. und im Konkreten?
Allg.: Grundsätze, Verfahren, Maßnahmen(Regelungen) zur organisatorischen Umsetzung der Entscheidung des MGT
- Sicherung der Wirksamkeit/Wirtschaftlichkeit Geschäftstätigkeit (einschl. Schutz Vermögen, Verhinderung und Aufdeckung von Vermögensschädigung)
- Ordnungsmäßigkeit/Verlässlichkeit interner/externer RL
- Einhaltung maßgeblicher U/rechtlicher Vorschriften
Welche drei Ebenen hat der Kuso Würfel?
Ziele
Komponenten
Unternehmen
Welche Ziele hat der Kuso-Würfel?
- Wirksamkeit/Wirtschaftlichkeit Geschäftstätigkeit
- Ordnungsmäßigkeit und Verlässlichkeit RL
- Einhaltung sonstigen Gesetzen/Vorschriften
“KRIKKÜ-IKS”
Welche Komponenten hat der Kuso Würfel
“KRIKKÜ-IKS”
- Kontrollumfeld
- Risikobeurteilung
- Kontrollaktivitäten
- Information und Kommunikation
- Überwachung IKS
Was beinhaltet das Kontrollumfeld des KusoWürfel?
- durch Mandant zu machen, AP kontrolliert
- Verstehen der Kontrollen, Prozesse, Strukturen zu
- Aufsichtsverantwortlichkeiten/Selbstverpflichtung MGT zu Integrität/Ethik
- Unabhängigkeit TCWG
- Zuordnung Befugnisse/Verantwortlichkeiten
- Gewinnung, Entwicklung, Bindung kompetenter Personen
- Wie zieht Einheit Personen zur Rechenschaft
- Beurteilung
- MGT unter Aufsicht TCWG ethische/ehrliche Kultur schafft/aufrecht erhält
- Kontrollumfeld unter Berücksichtigung Art/Komplexität Einheit eine angemessene Grundlage für weitere Komponenten IKS bildet
- identifizierte Kontrollmängel andere Komponenten untergraben
- wenn Kontrollumfeld mangelhaft, dann keine PH zu Kontrollen mehr möglich/nötig
Was beinhaltet die Risikobeurteilung des KusoWürfel?
- Verstehen Prozess
- Identifikation RL-Zielen und relevanten Geschäftsrisiken
- Beurteilung
- Bedeutsamkeit Risiken
- Beurteilung Risikobeurteilungsprozess der Einheit
- Eintrittswahrscheinlichkeit Risiken “likelyhood”
- Behandlung Risiken “reaktion”
Was beinhaltet die Kontrollaktivitäten des KusoWürfel?
- Identifikation folgender Kontrollen
- Kontrolle, die bedeutsames Risiko behandelt
- JET
- Kontrollen, für die AP Wirksamkeitsprüfungen plant inkl. Kontrollen wo aussagebez. PH nicht reicht
- Kontrollen die AP zur Zielerreichung als angemessen erachtet
- IT Kontrollen, die für die obigen Kontrollen relevant sind
- Beurteilung
- Kontrollen wirksam gestaltet um Risiko wesentlicher falscher Darstellung auf aussageebene zu behandeln/ andere Kontrollen zu stützen
- Feststellung ob Kontrolle implementiert wurde (zusätzliche PH notwendig)
Was beinhaltet die Information&Kommunikation des KusoWürfel?
- Verstehen von
- Informationsverarbeitung, Daten, Information, genutzte Ressourcen, Regelungen für bedeutsame Arten von Geschäftsvorfällen, Kontensalden, Abschlussangaben
- Fluss der Infos durch System (“Walkthrough”, Flussdiagramme, Flowcharts)
- Verarbeitung Infos
- Unterlagen RL
- RL-Prozess zur Abschlusserstellung
- Verstehen Kommunikation bedeutsamer SV zw. RL, MGT und AR
- Informationsverarbeitung, Daten, Information, genutzte Ressourcen, Regelungen für bedeutsame Arten von Geschäftsvorfällen, Kontensalden, Abschlussangaben
- Beurteilung
- Infosystem Abschluss angemessen unterstützt
Was beinhaltet die Überwachung des Kuso-Würfel
- Verstehen Prozessaspekte, die ausgerichtet sind auf
- laufende/separate Beurteilung Wirksamkeit/Kontrollen
- Identifikation / Behebung Kontrollmängel
- interne Revision Einheit
- Verstehen Quellen der genutzten Infos
- Beurteilung ob Prozess zur Überwachung angemessen ist
Wie kann man die Angemessenheit des IKS feststellen und wo ist das geregelt?
- # ISA_DE_315_Tz12-24
- Alle Komponenten Kuso-Würfel
- Erfassung “Soll-IKS”
- Durchführung “Soll-Soll-Vergleich”
- PH
- Befragung
- Durchsicht Orga-Handbücher
- Beobachtung Arbeitsabläufe
- einschl. IT-Verfahren
- Nachvollziehen Verarbeitung best. Geschäftsvorfälle
- vorgezogene PH → dual purpose test
Wie nimmt man einen Prozess auf?
- Befragung verschiedener MA, Vorlage für Flowchart von Mandant
- Im Prozess die Risiken und Kontrollen identifizieren
- Abzweigungen aus dem Prozess identifizieren
Was beinhaltet die Reaktion = Funktionsprüfung bzgl. der Wirksamkeit des IKS? Welcher Standard ist einschlägig?
- # ISA_DE_330_Tz8-17
- nicht ISA DE 315 weil Reaktion nicht Planung
- Ergebnis Aufbauprüfung → AP erwartet Wirksamkeit
- Erfassung Beurteilung “Ist-IKS”
- Durchführung Soll-Ist-Vergleich
- Aufdeckung Schwachstellen sachgerecht gestalteten IKS
- menschliche Fehlleistungen (“verschreiben, vertippen”)
- Unübliche Geschäftsvorfälle
- Umgehung von IKS
- Unterlassen Kontrollen durch Control Owner
- Zeitweise Unwirksamkeit
- Frage der Anomalie (z.B. Nichterreichbarkeit der IT für 1 Monat → Kontrolle muss nicht verworfen werden wenn alternative PH für diesen Monat möglich ist)
- Verzicht auf Maßnahmen
Wie ist der Prozess der Risikoklassifikation?
- Analyse UEE & Analyse IKS Aufbauprüfung
- Risikoidentifikation
- Inhärente & Kontrollrisiken werden festgestellt
- Fehlerrisiken werden analysiert
- Risiken werden klassifiziert
- PH als Reaktion auf R wird festgelegt → Planung & Durchführung
Welche Art der Prüfung ist bei einem Bedeutsamen Risiko angemessen?
Risikobeurteilung: Pflicht
IKS-Aufbauprüfung: Pflicht
IKS-Funktionsprüfung: Optional (nur wenn man sich drauf verlassen will)
Aussagebezogene PH (inkl. SAP): Pflicht
Welche Art der Prüfung ist bei einem Risiko aus Massentransaktionen angemessen?
Risikobeurteilung: Pflicht
IKS-Aufbauprüfung: Pflicht
IKS-Funktionsprüfung: Pflicht (mind. alle 3 Jahre, wenn im Walkthrough alles gleich geblieben ist kann Funktionsprüfung rollierend erfolgen)
Aussagebezogene PH (inkl. SAP): Pflicht
Welche Art der Prüfung ist bei einem Risiko, dass weder bedeutsam noch aus Massentransaktionen stammt, angemessen?
Risikobeurteilung: Pflicht
IKS-Aufbauprüfung: Optional
IKS-Funktionsprüfung: Optional
Aussagebezogene PH (inkl. SAP): Pflicht
Wie ist die Prüfungsstrategie zu verstehen?
- Beschreibung Ansatz
- Zusammenführung Ergebnisse 1.-4.
- Identifikation Risikobereiche und damit verb. wesentliche Prüfgebiete
- Art/zeitlicher Ablauf/Ausmaß der PH
- mehrperiodische Prüfungsschwerpunktsetzung
- z.B.: Prozessprüfung und Funktionsprüfung nur alle 3 Jahre
- Einbindung EDV-Prüfer, Experten
- mehrperiodische Prüfungsschwerpunktsetzung
Auf welche zwei Ebenen erfolgt die Festlegung der PH als Reaktion auf Risikobeurteilung?
- Abschlussebene:
- Betonung kritische Grundhaltung
- Einsatz Spezialisten
- Durchführung Art/Umfang/Zeitpunkt überraschende PH
- Besonder QS-Maßnahmen
- Aussageebene
- Funktionsprüfung IKS (Beurteilung Wirksamkeit)
- Aussagebezogene PH
Wie wird das Prüfungsprogramm abgeleitet?
- Aufteilung JA in Teilbereiche (Prüffelder)
- Geschäftsprozesse
- Transaktionskreise (Einkauf, LagerMGT, HR-MGT)
- JA-Posten
- jedes Prüffeld
- sachliche Planung - Prüfungsziele, PH
- zeitliche Planung - Terminierung (vor und nach Stichtag)
- personelle Planung - Berücksichtigung Qualifikation
- bisher Abschluss noch gar nicht betrachtet
- Kann Bilanzorientiert sein, verbindet Risikobeurteilung