Die Lehren aus der Aufsichtstätigkeit der RAB

Transkript

1 Die Lehren aus der Aufsichtstätigkeit der RAB Wie immer: Eine sehr persönliche Zusammenfassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden habe Nicht unbedingt was die Referenten wirklich gesagt haben Eine Veranstaltung der Educaris AG Akademie der Treuhand-ammer in Zusammenarbeit mit ISACA Switzerland Chapter

2 Die Landkarte der Fehler C A B Die Lehren aus der Aufsichtstätigkeit der RAB, Zusammenfassung Bitterli, Bern, 15. Juni

3 A B Die Lehren aus der Aufsichtstätigkeit der RAB, Zusammenfassung Bitterli, Bern, 15. Juni

4 ontrollen in Geschäft und IT ontrollen finden sich auf allen Ebenen im Cremeschnitten-Modell R Prozessebene Geschäftsprozesskontrollen R R R Generelle IT-ontrollen IT-Anwendung IT-Anwendungskontrollen IT-Basissysteme spezifische IT-ontrollen IT-Infrastruktur spezifische IT-ontrollen R R R R R R Risiko im Geschäftsprozess R Risiko in Informatik- Infrastruktur ontrolle

5 Dokumentation der Prüftätigkeit absolut entscheidend Planung nicht ersichtlich, wer an Sitzung teilgenommen hat nicht ersichtlich, ob für alle TN Unabhängigkeitsbestätigungen eingeholt wurden (PS300) Prüfumfang hinsichtlich IT nicht nachvollziehbar Übersicht (als Grundlage) eine Übersicht, die alle wesentlichen Geschäftsprozesse und ontrollen enthält Durchführung nicht ersichtlich, ob Zugriffsrechte geprüft wurden nicht nachvollziehbar, warum ITGC trotz fehlender Prüfungshandlungen als gut befunden Interviews nicht festgehalten nicht ersichtlich, ob Prüfer ein ausreichendes Verständnis hat nicht erkennbar, ob IS existiert resp. wie das geprüft wurde Generell Was nicht dokumentiert ist, gilt als nicht durchgeführt!

6 Dokumentation des IS (als Teil der Arbeitspapiere) Übersicht der ern-anwendungen Quelle: Vorgehensmodell Anwendungsprüfung Risiko-/ontrollmatrix Quelle: Michel Huissoud, EF

7 Dokumentation des IS (als Teil der Arbeitspapiere) Quelle: Accounting Information Systems; by Gelinas, Sutton, Oram

8 Prüfung von generellen IT-ontrollen (ITGC) keine Prüfung der ITGC aber auch keine weiteren ergebnisorientierten Prüfungen durchgeführt keine Berücksichtigung dieser Tatsache bei Applikationsprüfungen Prüfung der ITGC zwar gemacht, aber: Wirksamkeit ITGC nicht beurteilt für ausreichend lange Periode für richtige Periode nicht jährlich (PS890) Änderungen nicht verfolgt Anmerkung (M. Huissoud) Detailprüfungen sind kein vollwertiger Ersatz für ITGC-Tests Prüfung vollständig um den Computer herum wäre möglich; wenn man sich dabei auf systemgenerierte Auswertungen verlässt, muss die Erstellung der verwendeten Berichte durch Prüfer verifiziert werden 8

9 Das Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für MU-Prüfer primär für generelle IT-ontrollen urz-check als Teil der (IT-) Risikoanalyse Erste Bestandesaufnahme Abhängigkeit IS von Informatik (Phase 1) Reifegrad der Informatik (Phase 2) keine eigentlichen Prüfungshandlungen indirekter Rückschluss auf Risiken Geschrieben für PS890 (primär für strategische Prüfungsplanung) Quellen (D, F):

10 Prüfung von Anwendungskontrollen (AC) keine Prüfung der AC keine weiteren ergebnisorientierten Prüfungen durchgeführt keine Prüfung der AC wegen Vorjahresprüfung nicht verifiziert, ob Änderungen im ontrolldesign erfolgten ontrollen nicht nachgetestet Prüfung der AC nur einmalig durchgeführt auf Anwendungskontrollen abgestützt ohne Applikationskontrollen getestet zu haben Auswirkung der nicht funktionierenden ontrollen nicht berücksichtigt kompensierende ontrollen nicht identifiziert und geprüft keine Tests der relevanten ITGC durchgeführt (jährlich!) unterjährige Änderungen in den ontrollen nicht angemessen berücksichtigt

11 Vorgehensmodell Anwendungsprüfung Quellen: D: E: F:

12 Vorgehen zur Anwendungsprüfung Quelle: Bernhard Hamberger, Ernst & Young Top-down Ansatz von den Finanzdaten über wesentliche onten zu Transaktionsklassen, wesentlichen Prozessen und damit zu manuellen und automatisierten ontrollen neben den wirklich generellen IT-ontrollen existieren auch applikationsspezifische ITGC

13 Prüfung von Standard-Software Standardsoftware (ERP) Bedeutung des ERP für Abschlussprüfung nicht erkannt ERP aus Prüferoptik oft als unkritisch angeschaut nicht erkannt, dass Maturität innerhalb eines ERP extrem schwanken kann bekannte Schwachstellen vor Prüfung nicht seriös recherchiert aktuelle onfiguration nicht geprüft Typische Fehlerquellen zuwenig berücksichtigt Fehler bei Einführung / onfiguration Umgehung des bestehenden IS durch neues ERP Workaround, weil Element in ERP fehlt Fehler in der späteren Anwendung des ERP (Benutzer-Schulung)

14 Zeitliche Planung und Umsetzung der Prüfung Reihenfolge Prüfungen Anwendungskontrollen und generelle IT-ontrollen gleichzeitig getestet Prüfungen in Periode Prüfung ontrolle Change Management im falschen Jahr j+1 statt j Abstützung auf Vorjahr ohne Verifikation des Designs (Baselining) ISA Zeitdruck bei Problemen Anpassung von Prüfstrategie nicht (mehr) möglich keine Puffer für zusätzliche Abklärungen Bericht veröffentlicht ohne Engagement Quality Control Review (ISA220) Anmerkung Bilanz = Stichtagsbezogen Erfolgsrechnung bezogen auf gesamtes Geschäftsjahr Existenz IS ist unabhängige Zusatzprüfung PS890

15 Zeitliche Planung und Umsetzung der Prüfung Quelle: Andreas Toggwyler, PMG zeitlich korrekte Umsetzung ist in der Praxis eine grosse Herausforderung hängt sowohl vom Prüfer als auch vom geprüften Unternehmen ab alternative Prüfmassnahmen (z.b. Prüfung von kompensierenden ontrollen, Verdoppelung der Stichprobe) benötigen mehr Zeit als die ursprünglich vorgesehene Prüfung

16 Div. Schnittstellen und Berichterstattung IS-Mängel nicht in Berichterstattung eingeflossen Scoping Auf Verlangen des VR wurden IT-Umfeld, generelle IT- ontrollen und Anwendungkontrollen nicht aufgenommen Outsourcing ohne weitere Verifikation sich auf Aussagen Dritter verlassen, dass ontrollen implementiert sind Daten vollständig sind keine saubere Planung/ Abgrenzung vorgenommen (PS402, PS400) kein korrekter Umgang mit den Berichten der Revision des Outsourcers (PS402)

17 Prüfung von Outsourcing-Providern Quelle: Andreas Toggwyler, PMG Verantwortung auch für Feststellungen von Dritten liegt (bei Abstützen auf dem Bericht des Dritten) beim Abschlussprüfer! Zusätzliche Prüfungshandlungen fast immer notwendig; sollte bereits bei Planung berücksichtigt werden

18 Zusammenarbeit mit anderen Prüfern Arbeit der Internen Revision Dokumentation der Int. Revision nicht verifiziert Organisation, Umfang, techn. ompetenz, Professionalität Arbeitsdurchführung nur teilweise geprüft/dokumentiert Arbeit des internen Prüfers nicht in Stichproben geprüft (z.b. Walkthrough für jede Transaktionsklasse) Delegation der Prüfung an Interne Revision Prüfung delegiert, obwohl interne Revision nicht kompetent und unabhängig Delegation der Prüfung an Provider siehe vorherige Folie > Anmerkung: Audit Standard AS2 des PCAOB wurde durch AS5 ersetzt in AS2 finden sich aber noch wichtige Hinweise für Organisation interne <-> externe Revision

19 Berücksichtigung ICT-Umfeld Einfluss ICT auf Prüfung wird nicht verstanden (PS300) notwendige Grundkenntnisse über Umfeld nicht vorhanden oder nicht nachweisbar (PS310) Unternehmen Umfeld (Branche, ) keine Prüfungen des ICT- Umfelds gemacht (PS401) Sachverstand Abschlussprüfer verfügt nicht über genügend enntnisse des ICT (PS401) Gemäss P. Steuri (BDO) jährlich: Vorgehensmodell Phase I 30 Schlüsselkontrollen Vorgehensmodell Phase II alle 3 Jahre: Vorgehensmodell Phase II (IT-Check) Gemäss Bitterli 3 Jahre: IT-Querschnittsprüfung

20 Schlussfolgerungen für geprüftes Unternehmen Für geprüftes Unternehmen VR muss Umsetzung des IS überwachen VR müsste Interesse haben an guter interner und externer Prüfung externen Prüfer sorgfältig wählen (z.b. Fragen stellen hinsichtlich einschlägiger Fachkenntnisse) ausreichendes Budget bereitstellen Feststellung im Prüfbericht detailliert anschauen, hinterfragen und Verbesserungen konsequent einfordern Umfassendere IT-Querschnittsprüfung beauftragen, um zu beurteilen, ob Maturität des IS in der IT ausreicht für aktuelle Geschäftstätigkeit

21 Schlussfolgerungen für Prüfer Richtige Prozesse (und PS usw.) kennen und im richtigen Moment korrekt anwenden und angemessen reagieren Je höher das Risiko, desto mehr Nachweise einholen Wenn niedriges Prüfrisiko nicht beweisbar ist, muss von grossem Prüfrisko ausgegangen werden Prüfer fit machen hinsichtlich Geschäftstätigkeit und IT Abschlussprüfer muss Grundverständnis für IT haben IT-Prüfer muss aktuell eingesetzte Technologie verstehen Leiter Interne Revision muss ebenbürtiger Sparringpartner sein

22 Die 9 Fallbespiele in der Ausbildung 1 eine Übersicht (Topographie) 2 Zeitdimension ignoriert 3 Mangelhafte Information 4 Standard-Software falsch behandelt 5 ichteinhaltung des PS890 6 Ungenügende Tests (ITGC AC) 7 Outsourcing falsch behandelt 8 IS-Prüfung nicht dokumentiert 9 eine Tests der kompens. ontrollen Die Lehren aus der Aufsichtstätigkeit der RAB, Zusammenfassung Bitterli, Bern, 15. Juni

23 Weitere themenspezifische Ausbildung Seminar vom 26. Juni 2012, Bern (frç./dt.): IT-Risikoanalyse für MU und IT-Prüfung in Outsourcing- Situationen Seminar vom 5. Juni 2012, Zürich (in German): IS, Prozessprüfungen, PS 890 und IT-Audit: Die Lehren aus der Aufsichtstätigkeit der RAB Séminaire du 7 juin 2012, Lausanne (in French): SCI, examen des processus, NAS 890 et audit informatique: les enseignements à tirer des reviews de l ASR Weitere auf und Die Lehren aus der Aufsichtstätigkeit der RAB, Zusammenfassung Bitterli, Bern, 15. Juni