Fall 1: Keine Übersicht (Topographie) Peter Steuri CISA / dipl. Wirtschaftsinformatiker Partner BDO AG, Solothurn Fall-1: Keine Übersicht (Topographie) a) Darstellung der wesentlichen Geschäftsprozesse auf Konzernebene Der Konzernprüfer hat auf Gruppenstufe keine Übersicht erstellt oder entgegen genommen, die alle wesentlichen Geschäftsprozesse der Gruppengesellschaften sowie der Konzernebene darstellt. Wesentliche Geschäftsprozesse, einschliesslich des Abschlusserstellungsprozesses sind auf Gruppenstufe nicht aufgenommen und überprüft worden. IKS, Prozessprüfungen, PS 890 und IT-Audit: Die Lehren aus der Aufsichtstätigkeit der RAB Peter Steuri, Bern, 15. Juni 2011 2 1
Fall-1a: Keine Übersicht (Topographie) Als erster Schritt erfolgt ein Scoping (bei BDO unter Zuhilfenahme eines Excel-Tools) Daraus werden abgeleitet: das weitere Vorgehen auf Unternehmens-Ebene das weitere Vorgehen auf Geschäftsprozess-Ebene einschliesslich Abschlussarbeiten Häufig macht dies der Kunde (Interne Revision) für den Konzernprüfer; dies muss/ sollte aber kritisch hinterfragt und entsprechend dokumentiert werden. 3 Fall-1a: Keine Übersicht (Topographie) Scoping im Umfeld von Informatik-Applikationen 1. Das Senior-Management definiert, unter Berücksichtigung der Wesentlichkeit, die einzubeziehenden Konten der Bilanz und der Erfolgsrechnung sowie die sie beeinflussenden Geschäftsstandorte und Geschäftsprozesse 2. Für die ausgewählten Geschäftsstandorte und Geschäftsprozesse werden vom Prüfteam die Kontrollaktivitäten und die Schlüsselkontrollen hinsichtlich Buchführung und Rechnungslegung aufgenommen; bei applikationsgestützten Schlüsselkontrollen ist die Applikation inkl. deren IT-Infrastruktur einzubeziehen 3. Der IT-Prüfer beurteilt die Applikationen und die IT general controls von deren IT-Infrastruktur, um dem Umfang der Detailbeurteilungen zu bestimmen 4. Der IT-Prüfer beurteilt die Angemessenheit (design assessment) und die Wirksamkeit (operating effectiveness testing). Er leitet seine Erkenntnisse an das Senior-Management und das Prüfteam zur Bewertung weiter 4 2
Fall-1: Exkurs VM Anwendungs-Prüfung Vorgehensmodell Anwendungs-Prüfung Stab Informatik der Treuhand-Kammer Das VM unterstützt den WP in der Entwicklung eines integrierten Prüfungsansatzes Beginnt mit Analyse der Rechnung und resultiert in Betrachtung der Auswirkungen der Prüfungsergebnisse auf diese Rechnung Identifikation und Prüfung der relevanten Geschäftsprozesse und der entsprechenden IT-Anwendungen 5 Fall-1: Exkurs VM Anwendungs-Prüfung Analyse von Bilanz und Erfolgsrechnung Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und wichtigsten IT-relevanten SST Identifikation der Risiken und Schlüsselkontrollen Walk-Through Beurteilung des Kontroll-Designs Beurteilung der Umsetzung der Kontrollen Gesamtbetrachtung und Ergebnisfindung 6 3
Fall-1: Exkurs VM Anwendungs-Prüfung 7 Fall-1: Keine Übersicht (Topographie) b) Prüfung der generellen IT- und Applikationskontrollen Auf Verlangen des Verwaltungsrates einer Gesellschaft wurden das IT- Umfeld, die generellen IT-Kontrollen sowie die Applikationskontrollen auf Konzernebene sowie für die überprüften Gesellschaften nicht aufgenommen und beurteilt. Die Prüfungsrisiken im Zusammenhang mit der eingesetzten IT konnten nicht abschliessend aufgedeckt und bewertet werden. IKS, Prozessprüfungen, PS 890 und IT-Audit: Die Lehren aus der Aufsichtstätigkeit der RAB Peter Steuri, Bern, 15. Juni 2011 8 4
Fall-1b: Keine Übersicht (Topographie) Gemäss Obligationenrecht (OR) verantwortet der Verwaltungsrat ein angemessenes IKS (Ausgestaltung Implementierung Betrieb) Die Geschäftsleitung verantwortet die Umsetzung des IKS Das IKS umfasst Kontrollen auf der Unternehmens-, Prozess- und der generellen Informatik-/IT-Ebene in 5 Kontrollkomponenten Umsetzung und Ausgestaltung des IKS unterliegen einem grossen Ermessenspielraum 9 Fall-1b: Keine Übersicht (Topographie) Die Vorgehensweise des VR führt hier zu einer Existenzverneinung des IKS, welche im Bericht an die Generalversammlung zu dokumentieren ist Zur Erlangung der Prüfsicherheit sind alternative Prüfungshandlungen korrekte Erfassung, Abwicklung und Darstellung der Transaktion notwendig 10 5
Fall-1b: Keine Übersicht (Topographie) Möglichkeiten verfahrensorientierter Prüfhandlungen sind: Walk-Through Tests von Transaktionen durch das gesamte System Einsichtnahme in Transaktionsbelege und weitere Ereignisse, um Nachweise für das korrekte Funktionieren der interner Kontrollen zu erlangen Befragung über interne Kontrollen und Beobachtung interner Kontrollen, die keinen Prüfpfad hinterlassen Erneute Vornahme interner Kontrollen (bspw. Abstimmung Bankkonten) zwecks Sicherheit über die korrekte Handlung seitens des Unternehmens Software-Einsatz zur Daten-Abfrage, -Test und/oder -Überprüfung 11 Fall-1: Keine Übersicht (Topographie) Je höher das Kontrollrisiko eingeschätzt wird desto mehr Nachweise muss der Prüfer dafür erlangen, dass das Rechnungswesen-System und dessen Kontrollen geeignet konzipiert sind und wirksam funktionieren! Vielen Dank für ihre Aufmerksamkeit! Gibt es Fragen zum Fall 1 - bevor es weitergeht? 12 6