IT Governance Einführung in die IT-Revision Inhalt 1 Begriffder Revision 2 BegriffsabgrenzungKontrolle / Aufsicht/ Revision 3 Begriffsabgrenzung Interne / Externe Revision 4 IT und Ordnungsmäßigkeit 5 Interne Kontrolle 6 Internes Kontrollsystem 7 Ziel einer Jahresabschlussprüfung 8 Ausgangssituation hinsichtlich IT 9 Auswirkung auf die JA-Prüfung 10 Rolle des IT-Prüfers in der JA-Prüfung Zusammenfassung Testfragen 1 22. April 2008 1
IT Governance Einführung in die IT-Revision Inhalt 11 Prüfungsrisiko 12 Audit Risk Model 13 Sicherheitsbeiträge einzelner Prüfungshandlungen 14 Gesetzliche Grundlagen und Standards der IT Revision 15 Der Sarbanes-Oxley-Act 16 Standards & Stellungnahmen 17 Berufsständische Standards und Stellungnahmen des IDW 18 Relevante Frameworks für die IT-Revision 19 Anforderungen an den IT-Prüfer 2 22. April 2008 2
Begriff der Revision (Prüfung) Soll-System Normen Ist-System Abweichung Prüfen heißt: 1) Ist-Zustand aufnehmen 2) Soll-Zustandableiten 3) über Abweichungen berichten und ggf. Empfehlungenabgeben Quelle: HWP 3.11 3 22. April 2008 3
Begriffsabgrenzung Kontrolle / Aufsicht / Revision Kontrolle Aufsicht Revision gegenwartsbezogen gegenwarts -/ vergangenheitsbezogen vergangenheits -/ zukunftsbezogen ständig am Arbeitsablauf beteiligt, weisungsberechtigt Einflussnahme durch Motivation, Anordnungen, Sanktionen, Fachvorgesetzte, Linienvorgesetzte Erreichen von Zielsetzungen, Einhalten von Handlungsanweis ungen periodisch im Ermessen der Aufsichtsstelle, bei Abweichungen nicht am Arbeitsablauf beteiligt, weisungsberechtigt Einflussnahme durchweisungen an leitende Organe, Sanktionen Beispiele Audit Comittee, Eidg. Bankenkommission, nicht geschäftsführender VR Einhaltung Richtlinien, Gesetze, Statuten unregelmäßig nichtam Arbeitsablauf beteiligt, nicht weisungsberechtigt, nicht weisungsgebunden Einfl ussnahme durch Mitteilung an leitende Organe oder Aufsichtsgremien Revisionsstelle Abschlussprüfung, Post-Investment -Prüfung, Forensic Accounting Quelle: HWP 3.11 4 22. April 2008 4
Begriffsabgrenzung Interne / Externe Revision Interne Revision Freiwillig bzw. Bankengesetz Im Auftrag des Verwaltungsrates Breites Tätigkeitsfeld: IKS, Prozesse, Reporting, Geschäftsführung, Schutz der Vermögenswerte Interne Unabhängigkeit Externe Revision Gesetzlich abgestützt, klare Anforderungen an Kompetenz und Unabhängigkeit Wahl durch GV, nicht weisungsgebunden Vorwiegend Abschlussprüfung Unterliegt Organhaftung, formelle und substanzielle Unabhängigkeit 5 22. April 2008 5
IT und Ordnungsmässigkeit ssigkeit (1) Gegenstand: ZahlenmässigeErfassungund Verarbeitungder fürdie Buchführendenvermögensmässigerheblicheninternen und externen Vorgänge Buchführung Darstellung der jeweiligen wirtschaftlichenund finanziellenlage der Unternehmung Rechnungslegung 6 22. April 2008 6
IT und Ordnungsmässigkeit ssigkeit (3) Kernelemente der Ordnungsmäßigkeit nach GoBS 8 Kriterien 3 Funktionen (1) vollständig (5) nachvollziehbar (2) richtig (wahr) (6) berechtigt (3) geordnet (7) unveränderlich (4) periodengerecht (8) authentisch (1) Belegfunktion Existenz und Verarbeitungsberechtigung Nachvollziehbarkeit Urbeleg -> Abschluss Definition gilt als gebucht (2) Journalfunktion zeitliche Entstehung / Ordnung der GV Verhinderung Veränderung / Löschung (2) Kontenfunktion (sachliche Ordnung) Internes Kontrollsystem Sicherstellung, dass alle Geschäftsvorfälle ordnungsgemäß dokumentiert und ordnungsgemäß verarbeitet werden können. 7 22. April 2008 7
IT und Ordnungsmässigkeit ssigkeit (3) IT-relevanteBereiche: IT Umgebung Eingabe Anwendung Ausgabe Basissystem/ Daten Netzwerk Betriebssystem Hardware 8 22. April 2008 8
Interne Kontrolle Begriff: Interne Kontrolleumfasst alleüberwachenden Massnahmen, welchein die betrieblichen Arbeitsläufeintegriertsind. Ziel: Das interne Kontrollsystemunterstütztund sichert eineordnungsgemässeund effiziente Geschäftsführung, die Einhaltung geschäftspolitischer Grundsätze, den Schutz des Geschäftsvermögens, die Verminderungund Aufdeckungvon Fehlernund Unregelmässigkeiten, die Zuverlässigkeitund Vollständigkeitder Buchführung, die zeitgerechte Rechnungslegung mit zuverlässigenfinanzielleninformationen. 9 22. April 2008 9
Internes Kontrollsystem Organisatorische Massnahmen Die Wirkung beruht auf Zwangsläufigkeit und/oder Automatik der Tätigkeit Kontrolle durch Kontrolle mittels techni-scher Organisation selbst, z.b. Hilfsmittel, z.b. Instanzengliederung Funktionentrennung Regelung der Arbeitsabläufe Systematisch eingebaute Kontrollen Messeinrichtungen Sicherungsvorrichtungen Datenverarbeitungssysteme (Applikationen, Systeme) Führungsverantwortung Die Wirkung beruht auf Fachkenntnissen und/oder Autorität der kontrollierenden Personen Kontrolle durch Kontrolle durch Beauftragte Geschäftsleitung und Kader nach freiem, persönlichen Ermessen gestützt auf interne Weisungen Assistenten, Stabsstellen, Ausschüsse, Sekretariate, Projektorganisation externe Fachleute und Berater Organisatorische Hilfsmittel Organisationsplan, Ablauf- und Funktionendiagramm, Handbuch, Formular- und Belegwesen, Kontierungsvorgaben, Nummern- und Abstimmkreise, Zeitstempel, Unterschriftsregelung, Visaordnung, Sperrcodes etc. Geschäftsreglemente, Pflichtenhefte, Stellenbeschreibungen, Zielvorgaben, Budgets, Vorschlags- und Antragswesen, Terminlisten etc. 10 22. April 2008 10
Ziel einer Jahresabschlussprüfung To enable the independent auditor to express an opinion on whether the financial statements are prepared, in all material respects, in accordance with an identified financial reporting framework (e.g., GAAP). Testat (IDW PS 400) 11 22. April 2008 11
Ausgangssituation hinsichtlich IT Steigende Komplexität von IT Umgebungen Integrierte Informationssysteme in allen Bereichen des Business Erwartung des Mandanten in Bezug auf technologische Risiken ist zu adressieren Aufnahme und Analyse komplexer IT Systeme ist erforderlich Einsatz von IT-Prüfung bei Vorliegen von: erheblichernutzungvon Technologie starkerveränderungenvon Technologienoder Prozessen(immer kürzere Produktlebenszyklen) 12 22. April 2008 12
Auswirkung auf die JA-Pr Prüfung Fast alle Mandanten weisen IT-bezogene Risiken auf IT ist integraler Bestandteil vieler wesentlicher Prozesse Die Prüfungsteams benötigen Verständnis für - IT-Konzepte - IT-bezogene Risiken - Wirksame Kontrollen für IT-bezogene Risiken - Wirksame Tests IT-bezogener Kontrollen IT-spezifische Kenntnisse sind essentiell! 13 22. April 2008 13
Rolle des IT-Pr Prüfers in der JA-Pr Prüfung Identifikation der relevanten IT-Systeme und der relevanten Informationsflüsse Identifikation systemseitig bestehenderrisiken Beurteilung der Wirksamkeit systemseitigexistierender Kontrollen Unter Berücksichtigung von: -GoBS -FAIT I + II -PS330 -etc. 14 22. April 2008 14
Prüfungsrisiko Prüfungsrisiko Geschäfts- Risiko Risiko fehlerhafter Rechnungslegung Risiko unentdeckter Fehler Inhärentes Risiko Kontrollrisiko Aufdeckungsrisiko 15 22. April 2008 15
Audit Risk Model (I) Audit Risk = Risiko, dass einwesentlicherfehlerimrahmen der Jahresabschlussprüfung unerkannt bleibt. Inherent Risk = Risiken, die unabhängigvomkontrollsystemdes Mandanten bestehen (rechtliche, wirschaftliche, personellerisikenetc.). D.h., die inhärente Risikenbezeichnen allgemeindie Wahrscheinlichkeitfür das Auftreten wesentlicherfehlerin der Rechnungslegung. IT-bezogensind folgende Risikoindikatorenzu beachten: Abhängigkeit, Änderungen, Know-how und Ressources sowiegeschäftliche Ausrichtung. Control Risk = Risiko, das imwesentlichen durchdie Wirksamkeitder allgemeinenit-kontrollen und Anwendungskontrollen determiniertwird. Detection Risk = Risiko, dass ein wesentlichen Fehler, der in einer Aussagevorhandenist, nicht entdecktwird (bspw.: Kontostand odertransaktionsklasse). 16 22. April 2008 16
Audit Risk Model (II) Audit Risk Inherent Risk Control Risk = x x Detection Risk Inherent Risk Combined Risk Assessment Control Risk Minimum Moderate Maximum (Test) (Walk-Through) (Ineffective) Minimum Moderate Maximum Lower Minimal Low Moderate Higher Low Moderate High Bsp.: Ein geringes inhärentes Risiko bzgl. der rechnungslegungsrelevanten Teile der IT in Verbindung mit einem geringen IT-Kontrollrisiko führen zu einem minimalen IT-Fehlerrisiko, während das IT- Fehlerrisiko bei gleichem inhärenten Risiko, aber hohem IT-Kontrollrisiko lediglich als moderat eingeschätzt werden kann. 17 22. April 2008 17
Sicherheitsbeiträge einzelner Prüfungshandlungen Prüfungssicherheit Prüfungssicherheit 95% Risikoanalyse (IT-Komplexität und Dynamik) Analytische Prüfungshandlungen (z.b. Datenanalysen) Systemprüfung (Prüfung der allgemeinen IT- Kontrollen und der Anwendungskontrollen) 95% Analytische Prüfungshandlungen Einzelfallprüfungen Systemprüfung Einzelfallprüfungen Risikoanalyse Prüfungsaufwand Prüfungsaufwand Durch Kombination von Prüfungshandlungen kann die angestrebte Prüfungssicherheit von 95% erreicht werden. 18 22. April 2008 18
Gesetzliche Grundlagen und Standards der IT Revision - Übersicht * Abbildung erhebt keinen Anspruch auf Vollständigkeit. 19 22. April 2008 19
Gesetzliche Grundlagen (1) Handelsgesetzbuch (HGB 238 ff.) Grundsätze ordnungsmäßiger Buchführung wie z.b.: Grundsatz der Belegbarkeit Unveränderbarkeit ( Radierverbot ) etc. Zeitnahe Aufzeichnung sämtlicher buchungspflichtigen Geschäftsvorfälle in zeitlicher Reihenfolge (Journal) Abgabenordung (AO 140 ff. ) Buchführungs-und Aufzeichnungspflichten nach anderen Gesetzen Aufzeichnung des Wareneinganges / -ausganges Allgemeine Anforderungen an Buchführung und Aufzeichnungen Ordnungsvorschriften für die Buchführung und für Aufzeichnungen Ordnungsvorschriften für die Aufbewahrung von Unterlagen Bundesdatenschutzgesetz (BDSG) Gesetz zur Regelung des Umganges mit den in IT-Systemen(oder auch manuell) verarbeiteten personenbezogenen Daten 20 22. April 2008 20
Gesetzliche Grundlagen (2) Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme (GoBS) u.a. Vorschriften zu Dokumentation, Prüfbarkeit, Datenwiedergabe, Datensicherheit elektronischer Daten Ausgearbeitet von der Arbeitsgemeinschaft für wirtschaftliche Verwaltung e.v. (AWV), erlassen vom Bundesministerium der Finanzen Präzisierung der allgemeinen GoB für den Bereich der DV-gestützten Buchführung Kein Gesetz, die GoBSbinden nicht direkt den steuerpflichtigen Mandanten, sondern zunächst nur die Finanzverwaltung. Bei Nichteinhaltung drohen jedoch Zwangsmaßnahmen oder Schätzung des steuerlichen Gewinns durch Finanzverwaltung Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen (GDPdU) Erörterung der Anwendung der Regelungen zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen ( 146 Abs. 5, 147 Abs. 2, 5, 6, 200 Abs. 1 AO und 14 Abs. 4 UStG) Drei Formen des Datenzugriffs: Direkt per EDV, maschinelle Auswertung oder Datenüberlassung Datenzugriff bleibt beschränkt auf steuerlich relevante Daten Aktiengesetz Bußgelder oder sogar Freiheitsstrafe bei mangelnder Umsetzung von IT-Sicherheitsbestimmungen 91 AktG: Der Vorstand einer Aktiengesellschaft ist verpflichtet, ein Überwachungssystem einzurichten, das rechtzeitig darauf hinweist, wenn der Fortbestand des Unternehmens gefährdet ist. 21 22. April 2008 21
Der Sarbanes-Oxley Oxley-Act (SOX) Beurteilung der Wirksamkeit des internen Kontrollsystems SOX, Section 404, regelt die jährliche Berichterstattung des Managements und der Revisionsstelle zur Internen Kontrolle in der Unternehmung. Das Management erstellt neu einen Bericht zum Funktionieren der Internen Kontrolle, welcher von CFO und CEO unterschrieben werden müssen. Die Revisionsstelle zertifiziertdas richtige Funktionieren dieses Managementprozesses und beurteilt die Wirksamkeit der Internen Kontrollen der Unternehmung. Testvorgehen Basis für die Bestätigung des Managements zum Funktionieren der Internen Kontrollenbilden Tests, welches dieses Funktionieren mittels Nachweisen belegen. Es gibt 4 Arten von Testvorgehen: Befragung (inquiry), Einsicht (inspection), Beobachtung (observation) und Nachvollzug (reperformance). Einhaltung der Minimalanforderungen Damit Tests als gültig und effektiv beurteilt werden können, müssen sie hinreichend repräsentativ sein. Deshalb sind Minimalanforderungen an die Stichprobenauswahl von zu testenden Kontrollen seitens des Managements und der Revision einzuhalten. 22 22. April 2008 22
Der Sarbanes-Oxley Oxley-Act (SOX) Ausführliche Kontrolldokumentation SOX verlangt vom Management, dass Kontrollen identifiziert, dokumentiert und evaluiert werden. Ohne genügende Kontrolldokumentation kann der Nachweis der Wirksamkeit der Kontrollen nicht erbracht werden. Mängel in der Kontrolldokumentation können als Hinweise für ControlDeficiencies gewertet werden. Kontrollen im Informatikbereich müssen analog den Kontrollen in den Businessprozessen dokumentiert und evaluiert werden. Allerdings ist es wichtig, bei den IT General Controls das Zusammenwirken mit den betroffenen Applikationen und Applikationskontrollen zu erkennen. SOX-Relevanz der Applikationen Applikationen sind dann SOX-relevant, wenn sie Businessprozesse unterstützen, welche SOX-relevant sind. In einem solchen Fall ist jedoch nicht nur eine automatisierte Kontrollprozedur (z.b. ein Editcheck bei der Erfassung von Daten am Bildschirm) zu dokumentieren, sondern auch damit zusammenhängende andere Applikationsfunktionalitäten (z.b. die Verwaltung der Parameter, welche die Editchecks mit Steuergrößen (z.b. Kreditlimite) versehen; die Zugriffskontrollen auf die relevanten Applikationsfunktionalitäten). 23 22. April 2008 23
Standards IDW PS 330 Abschlussprüfung bei Einsatz von Informationstechnologie IDW PS 331 Abschlussprüfung bei teilweiser Auslagerung der Rechnungslegung auf Dienstleistungsunternehmen General Standards forinformation Systems Auditing (ISACA ) Die Prüfung von IT-Systemen erfordert besondere Fähigkeiten, weshalb die ISACA Allgemeine Standards für die Revision von Informatik-Systemen und DV-Verfahren entwickelt hat. Hierzu zählen bspw. der Prüfungsantrag, Unabhängigkeit, Fachkompetenz etc. Statements on Information Systems Auditing Standards (ISACA ) Guidelines (Revisionsrichtlinien), die die bestehenden Standards ergänzen und spezifizieren, wie die Standards umzusetzen sind. 24 22. April 2008 24
Stellungnahmen IDW RS FAIT 1 Der Einsatz von IT in der Rechnungslegung in Bezug auf Sicherheitsanforderungen und GoBS IDW ERS FAIT 2 Grundsätze ordnungsmäßiger Buchführung bei Einsatz von E-Commerce 25 22. April 2008 25
Berufsständische Standards und Stellungnahmen des IDW IDW PS 260: Das interne Kontrollsystem im Rahmen der Abschlussprüfung IDW RS FAIT1: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von IT IDW ERS FAIT2: Grundsätze ordnungsmäßiger Buchführung bei Einsatz von Electronic Commerce IDW PS 330: Abschlussprüfung bei Einsatz von IT Anforderungen an einen ordnungsmäßigen IT-Einsatz Einrichtung von ordnungsmäßigen IT-Systemen Anforderungen an die E-Commerce Systeme Einrichtung von E- Commerce Systemen Regelt Ziele und Umfang einer IT- Systemprüfung durch den Abschlussprüfer 26 22. April 2008 26
IDW PS 260 Das IKS im Rahmen der Abschlussprüfung IDW PS 260 ersetzt Abschnitt D.II.2 des Fachgutachtens 1/1988: Grundsätze ordnungsmäßiger Durchführung von Abschlussprüfungen IDW PS 260 entspricht ISA 400 Risk Assessment and Internal Control IDW PS 260 beschreibt sowohl die Aufgaben und die Ausgestaltung des IKS, als auch die Prüfung des IKS (d.h. nicht in RS und PS aufgeteilt wie bei RS FAIT 1 und PS 330) Die in IDW PS 260 beschriebenen Grundsätze zur Prüfung des IKS (Grobeinteilung: Aufbauprüfung und Funktionsprüfung) sind auch bei der Prüfung bei Einsatz von IT zu beachten (PS 330) 27 22. April 2008 27
IDW PS 330 Ziele und Umfang von IT-Systempr Systemprüfungen Der Abschlussprüfer hat das IT-gestützteRechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen insbesondere den im IDW RS FAIT 1 dargestellten Ordnungsmäßigkeits- und Sicherheitsanforderungen entspricht Dies ist notwendig, um die nach 322 Abs. 1 Satz 1 HGB i. V. m. 317 Abs. 1 Satz 1 HGB und 321 Abs. 2 Satz 2 HGB geforderten Prüfungsaussagen über die Ordnungsmäßigkeit der Buchführung treffen zu können Folglich hat der Abschlussprüfer das IT-System des Unternehmens insoweit zu prüfen, als dessen Elemente dazu dienen, Informationen über Geschäftsvorfälle abzubilden, die für die Rechnungslegung von Bedeutung sein können Der Begriff der Rechnungslegung umfasst dabei die Buchführung, den Jahresabschluss und den Lagebericht bzw. auf Konzernebene den Konzernabschluss und den Konzernlagebericht 28 22. April 2008 28
IDW PS 330 Ziele und Umfang von IT-Systempr Systemprüfungen 29 22. April 2008 29
IDW PS 330 Ziele und Umfang von IT-Systempr Systemprüfungen Die IT-Systemprüfungstellt einen Teilausschnitt aus der Prüfung des internen Kontrollsystems dar und wird nach den allgemeinen Grundsätzen für die Prüfung des IKS geplant und durchgeführt Ziel der IT-Systemprüfungist die Beurteilung der IT-Fehlerrisiken, d. h. des Risikos wesentlicher Fehler in IT-Systemen, soweit diese rechnungslegungsrelevant sind Prüfungsgegenstand sind die Prüfungsgebiete IT-Infrastruktur, IT-Anwendungen und ITgestützteGeschäftsprozesse einschließlich des IT-Umfeldes und der IT-Organisation Art und Umfang der IT-Systemprüfungenbestimmen sich auch aus der Wesentlichkeit des IT- Systemsfür die Rechnungslegung 30 22. April 2008 30
IDW PS 330 Ziele und Umfang von IT-Systempr Systemprüfungen Bei IT-Anwendungenmit geringer Komplexität (z. B. PC-gestützte Buchführungssysteme) kann sich die IT-Systemprüfungauf ausgewählte Funktionalitäten wie bspw. Funktionalitäten zur Generierung automatischer Buchungen beschränken, wenn eine hinreichende Sicherheit der Prüfungsaussagen durch aussagebezogene Prüfungshandlungen bzw. Plausibilisierungshandlungenerlangt werden kann Bei komplexen IT-Systemenist eine umfassende IT-Systemprüfung stets erforderlich Neben der Aufnahme des IT-Systemsim Unternehmen muss sich der Abschlussprüfer auch einen Überblick über ausgelagerte Bestandteile des IT-Systems verschaffen 31 22. April 2008 31
IDW PS 330 Ziele und Umfang von IT-Systempr Systemprüfungen IT-Systemprüfungen können als ex-post-prüfungen, nach Modifikation, Neueinführung oder Erweiterungen wesentlicher rechnungslegungsrelevanter IT-Anwendungenerfolgen Im Interesse einer frühzeitigen Berücksichtigung von Ordnungsmäßigkeits-und Sicherheitsanforderungen empfiehlt sich die projektbegleitende Prüfung EDV-gestützter Systeme (vgl. Stellungnahme HFA 4/ 1997) In der Regel wird es sich anbieten, IT-Systemprüfungenbereits im Vorfeld der Jahresabschlussprüfung durchzuführen 32 22. April 2008 32
IDW RS FAIT 1 Der Einsatz von IT in der Rechnungslegung Bandbreite: von PC-Standardapplikation (z.b. Excel) bis ERP-System (z.b. SAP R/3) Rechnungslegungsrelevante IT-gestützte Geschäftsprozesse: Daten über betriebliche Aktivitäten (z.b. IT-gestützteMaterialwirtschaft) gehen direkt in die IT-gestützteRechnungslegung ein Gesetzliche Vertreter sind verantwortlich für die Erfüllung der gesetzlichen Ordnungsmäßigkeitsanforderungen Voraussetzung für Ordnungsmäßigkeit: Gesetzesentsprechung des Rechnungslegungssystems und Sicherheit der verarbeiteten Daten 33 22. April 2008 33
IDW RS FAIT 1 Der Einsatz von IT in der Rechnungslegung Sicherheitsanforderungen Nur bei Vorliegen sicherer Daten kann die Verlässlichkeit der in Buchführung, Jahresabschluss und Lagebericht enthaltenen Informationen gewährleistet werden Neben Daten gehören auch IT-Anwendungen(Verfahren) sowie die IT-Infrastruktur zu den sicherheitsrelevanten Bereichen Sicherheitskonzept: Bewertung der Sicherheitsrisiken aus dem IT-Einsatzaus Sicht der gesetzlichen Vertreter sowie getroffene Maßnahmen 34 22. April 2008 34
IDW RS FAIT 1 Der Einsatz von IT in der Rechnungslegung Bezieht die allg. Grundsätze des HGB auf IT-Systeme (Vollständigkeit, Richtigkeit, Zeitgerechtheit, Ordnung, Nachvollziehbarkeit, Unveränderbarkeit) Macht Vorgaben zu Belegfunktion, Journalfunktion, Kontenfunktion Regelt Art und Umfang angemessener Dokumentation Regelt Aufbewahrungpflichten Macht Aussagen zu IT-Strategie, IT-Umfeld und IT-Organisation Gibt Vorgaben zu IT-Infrastruktur, IT-Anwendungen, IT-gestützteGeschäftsprozesse sowie zum IT-Outsourcing 35 22. April 2008 35
IDW ERS FAIT 2 Vorbemerkungen Konkretisierung der aus den 238, 239 und 257 HGB resultierenden Anforderungen an die Führung der Handelsbücher mittels IT-gestützter Systeme. Verdeutlichung von Ordnungsmäßigkeits- und Sicherheitsanforderungen im Bereich E-Commerce und ergänzende Anforderungen, um den mit dem Einsatz von E-Commerce-Systemen zusammenhängenden besonderen IT-Risiken zu begegnen. IDW Stellungnahme zur Rechnungslegung ersetzt die Stellungnahme FAMA 1/1995: Aufbewahrungspflichten beim Einsatz von EDI. 36 22. April 2008 36
IDW ERS FAIT 2 E-Commerce-Geschäftsprozesse (1) Implementierung von E-Commerce-Geschäftsprozessenführt zu einer ganzheitlichen Betrachtung und Analyse aller relevanten Wertschöpfungsprozesse. Entscheidend ist die Einrichtung des E-Commerce-Systemssowie der betroffenen E-Commerce- Geschäftsprozesse in Übereinstimmung mit der IT-Strategieund dem Sicherheitskonzept. Informationen und Daten über betriebliche Aktivitäten fließen direkt in das Rechnungslegungssystem, und damit in die IT-gestützteRechnungslegung. Gefahr einer mangelnden Berücksichtigung systemtechnischer Zusammenhänge. 37 22. April 2008 37
IDW ERS FAIT 2 E-Commerce-Geschäftsprozesse (2) Wesentliche Voraussetzung für eine vollständige und richtige Weiterverarbeitung im Rechnungslegungssystem ist die sachgerechte Implementierung von Schnittstellen- und Konvertierungsprogrammen, deren korrekte Funktionsweise durch prozessintegrierte Kontrollen und Sicherungsmaßnahmen zu gewährleisten ist. Bedeutend: Protokollierung des Datentransfers auf Schnittstellenebene. Sicherstellung der Einrichtung von Eskalationsverfahren, die unvollständige bzw. fehlerbehaftete Transaktions-datensätzeggf. automatisch an die verantwortliche Stelle zur Sicherheitsklärung weiterleiten. 38 22. April 2008 38
Relevante Frameworks für f r die IT-Revision (1) Source: IT GovernanceInstitute, Cobit Mapping, 2004 39 22. April 2008 39
Anforderungen an den IT-Pr Prüfer (1) Unabhängigkeit Unabhängigkeitvon der zu prüfendenorganisation / Instanz DirektesReporting an die höchsteninstanzen Kompetenz KenntnisseimbreitenSpektrumvon IT-Prozessen, IT-Architekturen, Anwendungs-und Betriebssystemen Planungstechniken Audit Tools Technischund systematischup to date (steterwandel) FähigkeitgenerelleKontrollzielein einerbestimmtenit-umgebungzu konkretisieren, dereneinhaltungzu prüfenund Kontrollrisikenabzuschätzen z.b.: SAS 48 -The Effect of Computer Processing on the Examination of Financial Statements Clear understanding of IT audit theory and practice Solid background in accounting and internal control Knowledge of computers and computer system security Skill in developing work papers Ability in interviewing personnel and recording findings Ability in supervising staff Ability in documenting workflow operations 40 22. April 2008 40
Anforderungen an den IT-Pr Prüfer (2) Anforderungen an die Persönlichkeitdes Prüfers: Phasen Dominierende Eigenschaften Einarbeitung (Familiarization) Tatsachenermittlung (Verification) Bewertung (Evaluation) Empfehlung (Recommendation) Berichterstattung (Reporting) Neugier, Kontaktfreudigkeit, Diplomatie, Lernfähigkeit fachliches Können, berufliche Erfahrung, Beharrlichkeit, Systematik Objektivität, kritisches Urteil, wirtschaftliches Denken Phantasie, Innovationsfreudigkeit, Organisationstalent Ueberzeugungsfähigkeit, Sinn für Proportionen, klar im Ausdruck 41 22. April 2008 41
Zusammenfassung Kontrolle bezeichnet Mechanismen, welche zwangsläufig, möglichst systemunterstützt ablaufen. Revision bezeichnet Tätigkeiten, welche im Nachhinein erfolgen, ohne Weisungsbefugnis der Durchführenden. Die IT-Revision erfolgt für Anwendungen (Applikationen) und für die IT-Prozesse. Die Interne Revision ist ein Instrument, welches der Unternehmensführung hilft, z.b. Sachverhalte abzuklären oder die Einhaltung von Weisungen, Strategien und andern Vorschriften zu überprüfen. Die Externe Revision arbeitet in der Regel nach gesetzlich abgestützten Zielvorgaben und unter Einhaltung von Prüfungsstandards. Die Revisionsstelle der AG prüft die ordnungsgemässe Rechnungslegung (Resultat der Buchführung) sowie die ordnungsgemässe Buchführung (Regeln der Buchführung). Die allgemeinen Prüfungsstandards regeln die allgemeinen Anforderungen (Kompetenzen, Unabhängigkeit, Integrität, grundsätzliches Vorgehen) an IT-Prüfer. Sie sind als Richtlinien zu verstehen und gelten für alle Mitglieder der ISACA. Die Prüfungsstandards für die Abschlussprüfung beinhalten die grundsätzlichen Regelungen für den fachgerechten Einbezug von Informatikaspekten und risikenin die Prüfung sowie die Prüfung der Informatik. Diese Prüfungsstandards sind für alle in der IFAC zusammengeschlossenen Berufsorganisationen verbindlich (inkl. Schweiz). Die Frameworks für die Informatikrevision regeln in einer standardisierten Weise das Prüfungsvorgehen und definieren Kontrollstandards. In der Praxis stark verbreitet sind das COSO Framework für das Enterprise Risk Management und das Cobit- Framework für die Kontrollanforderungen im Bereich der IT-Prozesse. Die Grundsätze der Ordnungsmässigkeit umschreiben grundsätzlich, welche Ziele Buchführung und Rechnungslegung erfüllen sollen. Die ordnungsgemässe Buchführung befolgt Regeln, welche sich auf den Verarbeitungsprozess (Auswahl, Bewertung, Abgrenzung, Verarbeitung, Dokumentation) und den Ausbaugrad des Buchführungssystems beziehen. Die ordnungsgemässe Rechnungslegung bezieht sich auf den Inhalt der Rechnungslegung und ist im OR grundsätzlich definiert sowie im Revisionshandbuch präzisiert. Das Interne Kontrollsystem (IKS) ist Teil der Ordnungsmässigkeit. Es stellt Mechanismen für die Umsetzung der Ordnungsmässigkeits-Grundsätze zur Verfügung. Die Anforderungen an ordnungsmässige IT Systeme leiten sich aus diesen generellen Anforderungen ab. Der risikoorientierte Prüfungsansatz orientiert sich an einer Risikoanalyse, insbesondere an der Ausgestaltung und Qualität des IKS zur Festlegung von Prüfungsmethode, -gebiet und -umfang. 42 22. April 2008 42