IT-Prüfung Flashcards

Question

Was sind Informationssysteme nach dem neuen ISA DE 315 rev 2019

Answer 1

Verstehen Informationsverarbeitungstätigkeiten der Einheit, einschließlich Daten/Information

Answer 2

1. Identifizierung Kontrollen, die Risiken wesentlicher falscher Darstellungen auf Aussageebene 2. Identifizierung von IT-Anwendungen und anderen Aspekten der IT-Umgebung, IT-Einsatz ergebenden Risiken 3. solche IT-Anwendungen 1. verbundene, aus IT-Einsatz ergebende Risiken 2. generelle IT-Kontrollen, die solche verhindern sollen 4. für jede Kontrolle unter 1/3 (D&I Prüfung) 1. Beurteilung Kontrolle wirksam ausgestaltet 2. Kontrolle implementiert wurde, Befragung, Prüfungshandlungen

Answer 3

- Verarbeitung von Informationen in IT-Anwendungen - Integritätsrisiken direkt behandeln - kann sagen: neue Daten nur dann, wenn zu alten passt - kann nur festlegen: "das was da steht, nicht das da was richtiges steht"

Answer 4

- fehlerhafte/unvollständige Datenerfassung - Erfassung Daten ohne Zuordnung - Fehlerhafte/unvollständige Datenverarbeitung - manueller Eingriff automatisierte Verarbeiteung - Fehlerhafte/unvollständige Datengenerierung - Fehlerhafte/unvollständige Datenaufbereitung/-extrakt

Answer 5

1. Kontrollaktivität: automatischer Three-Way-Match 2. Identifikation: It-Anwendung, aus deren Einsatz IT-Risiken entstehen 3. siehe BIld 4. GITC für ERP prüfen

Answer 6

- unvollständige Identifikation: Umfang wahrscheinlich Unvollständigkeiten - gutes Verständnis IT-gestützte Geschäftsprozesse: notwendig für korrekte Prüfungsplanung

Answer 7

* GITC behandeln nicht direkt RoMM * reichen **nicht** um Risiko zu behandeln

Answer 8

- je komplexer, desto wahrscheinlicher Risiken - Unterschiede - Ausmaß Automatisierung / Nutzung von Daten - IT-Anwendungen und -Infrastruktur - IT-Prozesse (Personalmangel)

Answer 9

- Anfällige Kontrollen der Informationsverarbeitung für unwirksame Ausgestaltung/Funktion - unautorisierter Datenzugriff - Zugriffsberechtigungen, die Funktionstrennung aufheben - unautorisierte Änderungen Daten/Stammdaten - unautorisierte Änderungen IT-Anwendungen/andere Aspekte IT-Umgebung - Versäumnis, notwendige Änderungen/IT-Anwendungen vorzunehmen - unangemessene manuelle Eingriffe - möglicher Datenverlust / fehlende Möglichkeit für Datenzugriff

Answer 10

1. Zugriff bzw. Zugang (auf Datenbanken etc.) 2. Änderungen 3. IT-Betrieb - GITC: typischerweise jeder Aspekt IT-Umgebung implementiert - je nach Komplexität → unterschiedlich umfangreich ausgeprägt/implementiert

Answer 11

- automatische Kontrollen: auch Kontrollen bzgl. systemgenerierte Berichte

Answer 12

- nicht verpflichtend - grundsätzliche Frage: Soll Arbeit beim IT-Team oder beim Prüfteam liegen - Wirksamkeit GITC nicht verpflichtend, um Wirksamkeit automatischer Kontrollen zu prüfen

Answer 13

- gem. ISA DE 330 - keine spezifischen Vorgaben für GITC - Nutzung Nachweise aus vorhergehenden AP - Wirksamkeit GITC ein zu würdigendes Kriterium

Answer 14

- kann IT Risiken auslösen - Wesentliche Bedrohungen - Cyber-Erpressungen/Ransomware - Schwachstellen Systeme/Anwendungen - Distributed Denial of Service Angriffe (DDoS) - Advanced Persistent Threats (APT) - Phishing

Answer 15

* Früher: Ultra-Verfügbarkeit der Server * Heute: Unantastbarkeit Datensicherung * Wenn bei Erpressung gezahlt wird: Terrorfinanzierung US-Recht

Answer 16

Leitfragen: - GoB beim IT Einsatz *wie* umgesetzt - Welche Sicherheitsanforderungen zu beachten - Welche Maßnahmen umzusetzen

Answer 17

- IT-Systeme wie aufgebaut? - IT-Systeme im Unternehmen wie eingesetzt? - Einfluss IT auf RL? - Was muss bei IT-Einrichtung mit RL-Relevanz beachtet werden?

Answer 18

- Gesetzliche Vertreter müssen geeignete Regelungen einführen, IT-Risiken zu Managen und O-Anforderungen erfüllen - Bandbreite von Standardapplikationen (manuell) zu integrierten Systemen - #238HGB #239HGB und #257HGB sind zu beachten - Gesetzeskonformität RL und Sicherheit RL-Daten sind Voraussetzung für Ordnungsmäßigkeit IT-RL

Answer 19

- Sicherheit - Vertraulichkeit (→Datenweitergabe) - Integrität - Verfügbarkeit (→Ausfallschutz) - Autorisierung - Authentizität (→Autorisierung) - Verbindlichkeit (→wenn Buchung gebucht, muss sie gelten) - Ordnungsmäßigkeit - GoB - Belegfunktion - Journalfunktion - Kontenfunktion - Dokumentation - Aufbewahrungspflichten

Answer 20

- Empfehlungen, Hilfestellungen, Hinweise etc. wie IT-Einsatz iRd AP behandelt werden kann - Hinweis auf bessere Integration Risiken aus IT-Einsatz in AP - Hinweise/Erläuterungen/Beispiele - Verständnis Informationssystem bei IT-Einsatz - Info-System als Grundlage Identifikation Risiken IT-Einsatz - Verständnis IT-Umgebung - Automatisierte InfoVerarbeitungskontrollen

Answer 21

* automatisierter Schutz automatisierter UE-Konten vor manuellen Buchungen * Ausgestaltung Systemberechtigungen * Systemeinstellung zu Unveränderbarkeit/Nachvollziehbarkeit von Buchungen * Systemseitige Schnittstellenüberwachung * Automatisierte UE-Abgrenzung nach IFRS 15 * Kontenfindung FiBu-System * Automatisierte Bewertungsverfahren Anlagenbuchhaltung Vorratsvermögen * Systemseitige HB-NB-Abstimmung * Automatisierte Funktionstrennung * Einstellungen Verhinderungen UE-Buchung ohne Warenausgang

Answer 22

* Bonitätsprüfungen vor Auftragsannahme und Erfassung Kreditlimit IT-Anwendung * Abgleich Kundenaufträge mit Warenausgängen bzgl. der zu liefernden Waren/Mengen * Abgleich gelieferte und berechnete Waren bzgl. Angebotspreis

Answer 23

* Freigabe Bestellungen durch Leiter Einkauf bei Überschreiten Grenzwerten * Abgleich Wareneingänge mit zugrundeliegenden Bestellungen bzgl. gelieferte Waren und Mengen * automatisierter Abgleich gelieferter und berechneter Waren bzgl. Bestellpreis * automatisierte Rechnungsprüfung iRd RE-Eingang * funktionale Trennung Bestellabwicklung, Warenannahme, RE-Prüfung, Zahlungsverkehr

Answer 24

* Automatisierte Überwachung Übertragung, erfasste Geschäftsvorfälle aus NB in HB, z.B: systemseitige Fehlermeldungen * nur vorgesehene Soll/Haben-Konten Kombination und Soll/Haben-Gleichheit * Systemeinstellungen, dass im HB erfasste Buchungen nicht/ nur mit entsprechender Freigabe geändert werden * Änderungen protokolliert * Buchungen systemseitig nur in gültigen Perioden * Buchungen nur durch MA mit entsprechender Berechtigung * unvollständige Buchungen werden nicht verarbeitet

Answer 25

- Einsatz kann umfassende Prüfung ermöglichen

Answer 26

- Unternehmen setzt IT-gestützte Prozesse ein - - ausreichendes Prozessverständnis - Verfügbarkeit Daten/Datenexport/Datenverarbeitung - Datenqualität/-granularität - Vollständigkeit/Korrektheit Grunddaten - Ausreichende Kenntnis für Interpretation Analyseergebnisse - Datenzugang Prüfer - Sicherstellen das keine Daten im Produktivsystem geändert werden bei Analyse und keine Beeinflussung Laufzeitenverhalten - Einhaltung technischer Voraussetzung für Datenexport einschließlich Formate bei Nutzung eigener Analyse-Programme

Answer 27

- #320I2HGB #320IIHGB : AP kann Aufklärung und Nachweise verlangen - #Art6IcDSGVO Zulässigkeit Verarbeitung personenbezogene Daten bei rechtlichen Verpflichtungen - #51bIWPO Aufbewahrung für Dauer gesetzlicher Fristen

Answer 28

Fehlerrisiken erkennen IKS

Answer 29

- Datenanalyse zur Identifikation von RoMM, insb. mögliche Anfälligkeiten

Answer 30

* RL-relevant wenn Sie dazu dienen, folgendes zu speichern oder zu verarbeiten * Daten (weit gefasst, alles HR/RL maybe nicht rein operative Produktionsdaten) * Geschäftsvorfälle * betriebliche Ereignisse

Answer 31

* Typischerweise ausgelagerte Prozesse und Funktionen * IT-gestützte RL-relevante Geschäftsprozesse * Verarbeitung RL-Relevante Unterlagen * Erfassung und Verarbeitung von für den Abschluss relevante Ereignisse * Kontrolltätigkeiten iZm Aufzeichnung von Geschäftsvorfälle

Answer 32

- Rechenzentrumsbetrieb - Basisbetrieb von IT-Anwendungen - Business Process Management - Shared Service Center - Cloud Computing

Answer 33

- Datenschutz - Sicherungsmaßnahmen Bundesdatenschutzgesetz - IT-Outsourcing: Auftragnehmer #11IIBDSG - auslagernde Unternehmen bleibt nach #11IBDSG verantwortlich für Datenschutz - National/International - grenzüberschreitende Speicherung → weitere rechtliche Risiken - national/internationales Handelsrecht - Steuerrecht/Strafrecht - Zivilrecht - Datenschutz - Rechnungslegung - #238ffHGB - Anforderung an Ordnungsmäßigkeit

Answer 34

- müssen gesetzliche Anforderung bzgl. Datenschutz sicherstellen - Auslagerung Prozesse/Funktionen → IKS muss angemessen ausgestaltet werden - Unrichtigkeit/Verstöße müssen Seiten IKS verhindert/aufgedeckt/bereinigt werden - von Beginn bis Ende Auslagerung zu steuern und zu überwachen - verbundene Systeme/Risiken müssen analysiert und strukturiert werden

Answer 35

- sachgerechte Umsetzung - Bedeutung auszulagernden IT-gestützte Geschäftsprozesse → klar definiert/abgegrenzt - ordnungsmäßige organisatorische Verzahnung → Prozesse/Funktionen ist Anpassung - RMS - Aufbau/Ablauforganisation → Notwendigkeit Dienstleistermanagement - Verzahnung → Betriebshandbücher

Answer 36

- prozessunabhängige Überwachungsmaßnahmen → gesetzliche Vertreter → unabhängige Dritte, interne Revision, Datenschutzbeauftragte - vertraglich vereinbarte Prüfungsrechte → auslagerndes Unternehmen mittels eigener Prüfungshandlungen → Wirksamkeit Kontrollen - regelmäßige Prüfungen, durch unabhängige Dritte, ausgelagerte Unternehmen entsprechende Nachweise zur Verfügung zu stellen

Answer 37

- Auswirkungen auf IK - Art/Wesentlichkeit vom Dienstleister verarbeitete Geschäftsvorfälle - Wechselwirkungen Tätigkeiten Dienstleister und der Einheit - Beziehung und vertragliche Bestimmungen

Answer 38

- über auslagernde Einheit erlangt - wenn nicht möglich - Dienstleisterbericht Typ 1 oder 2 - Kontaktaufnahme über Einheit zum Dienstleister - Aufsuchen Dienstleister / PH vor Ort - Hinzuziehen anderer Prüfer

Answer 39

- Typ 1: Beschreibung / Konzeption Kontrollen zu bestimmten Zeitpunkt - Typ 2: Prüfung Beschreibung / Konzeption **und Wirksamkeit** Kontrollen für bestimmten Zeitraum

Answer 40

- Bericht beurteilen ob - ausreichend/geeignet ist für IKS Verständnis Dienstleister - Prüfer kompetent und unabhängig - verwendeter Standard angemessen - Verwendung als Nachweis zusätzlich: - Zeitpunkt/-raum angemessen - Umfang Nachweise ausreichend - Komplementärkontrollen definiert

Answer 41

- Durchführung Prüfung beim Dienstleister - Hinzuziehen anderer Prüfer - Verwendung Typ 2 Bericht - Zeitpunkt/-raum Beschreibung/Konzeption/Wirksamkeit angemessen - Komplementärkontrollen eingerichtet / wirksam - abgedeckter Zeitraum vergangene Zeit → angemessen - Funktionsprüfung → Ergebnisse angemessen

Answer 42

- ISAE 3402 (International Standard on Assurance Engagements) - IASE 3402 = Basis für IDW PS 951 n.F. - IDW PS mehr Anforderungen als ISAE 3402 - USA = Eher SSAE 18

Answer 43

- reasonable assurance materially respects - service organizations descriptions fairly presents system as designed and implemented in specified period (Type 1 = specific date) - controls related to control objectives stated = suitably designed throughout specified period - included in scope of engagement, controls operated effectively to provide reasonable assurance that control objectives were achieved - report on matters above in accordance with findings

Answer 44

- Beschreibungs Dienstleistungs-IKS und in der IKS-Beschreibung dargestellte Kontrollen und Kontrollziele auf Basis MGT abgegebener Erklärung - Subdienstleister ggf. einbeziehen - inklusive Methode: IKS Subdienstleister ist Teil Prüfung - Carve-Out Methode: Es erfolgt keine Darstellung Kontrollziele und Kontrollen Subdienstleister sondern lediglich Beschreibung erbrachte Subdienstleistungen

Answer 45

- Anforderungen an Ausgestaltung - Organisatorisch und technisch umgesetzte Sicherung von: - Wirtschaftlichkeit - Ordnungsmäßigkeit/Verlässlichkeit RL - Einhaltung Gesetz/Sonstige Vorschriften - Kontrollziele anhand geeigneter Kriterien abgeleitet und beurteilt werden - gesetzlich/regulatorisch - Themen/Branchen/Industriespezifisch - Dienstleister selbst entwickelt

Answer 46

1. Verständnisgewinnung dienstleistungsbezogene interne Kontrollen 2. Prüfung Beschreibung dienstleistungsbezogene IKS und zugrundeliegende Kriterien/Kontrollziele 3. Prüfung Angemessenheit eingerichtete Kontrollen 4. Prüfung Wirksamkeit eingerichtete Kontrollen 5. Berichterstattung/-erstellung (inkl. Prüfungsurteil)

Answer 47

- ergeben RoMM innerhalb der Konzern RL

Answer 48

* Unterschiedliche * Buchungszeitpunkte * Abschlusszeitpunkte * Informationsstände * Unvollständige / fehlerhafte * Daten aufgrund fehlender Funktionalitäten/manuelle Anpassungen * Datenpakete (Übertragung aus Quellsystem) * Automatische/parametrisierte Buchungen

Answer 49

- zuständige Gremien bereits *während* Prüfungsdurchführung auf wesentliche Mängel aufmerksam zu machen → Gegenmaßnahmen sollen bereits jetzt möglich sein - Indikatoren für weitere Schwachstellen - komplexe Projekte = laufende Berichterstattung jeweiliger Phasen

Answer 50

- Prüfer: Erkenntnisse dokumentieren → wesentliche Ergebnisse im Prüfbericht JAP zusammenfassen (Grundsatz Klarheit) - Einige Inhalte - Auftraggeber / Auftragsdurchführung - Prüfungsgegenstand - Art/Umfang PH - Informationen über IT-Projekt - Fachliche Grundlagen

Answer 51

- AP - Verwertung anhand Bescheinigung und Bericht - Beurteilung Fehlerrisikos - Beurteilung projektbegleitende Prüfung sowie Berichterstattung → Nachweis / Begründung Prüfung

Answer 52

- Beurteilung Auswirkung Feststellungen bei GITC anhand 5 Stufen Modell 1. Einfluss auf Wirksamkeit: kein unmittelbaren Einfluss auf Wirksamkeit Informationsverarbeitungskontrolle 2. Kompensation alternativer Kontrolle: IT-Risiko kann durch andere GITC / alt. PH innerhalb IT-Kontrollen kompensiert werden 3. direkte Prüfung GITC: Prüfung Wirksamkeit durch Prüfen Kontrolle 4. Kompensation durch andere Kontrollen: RoMM durch manuelle Kontrollen behandelbar 5. Neueinschätzung Kontrollrisiko: Behandlung RoMM durch aussagebezogene PH - Zusätzlich: - wesentliche Schwäche IKS? - Muss Prüfungsbericht über Schwäche berichten? - sind zusätzliche PH notwendig um Ordnungsmäßigkeit der Buchführung zu belegen

Answer 53

- Werden alle relevanten IT-Risiken angemessen durch Kontrollen behandelt? - Sind GITC für alle relevanten IT-Anwendungen geprüft? - Sind Ergebnisse angemessen (Methodik, Zeitraum) - Feststellungen, lokale Reaktion nötig? - weitere lokale Risiken aus dem Einsatz von IT

Answer 54

- IDW PS 880 nF - kompletter Prüfbericht (ISA DE 315 rev 2019 →Zertifikat alleine reicht nicht) - Prüfer ausreichend Kompetent (WP+IT-Kenntnisse erkennbar) - Stimmt Version überein? ggf. Release-Version? - Bericht lesen und prüfen, ob Mandat richtig umgesetzt?

Answer 55

IDW PS 880 nF - Ziel: Beurteilung Ordnungsmäßigkeit / Sicherheit RL-bezogener Programmfunktion - neue Fassung: 2022 - Prüfungsgegenstand können sein: Software insgesamt, einzelne Module, einzelne Funktionen - Softwareprüfungen umfassen: Beurteilung für das Aufgabengebiet notwendige Programmfunktionen - zu programminternen KS insb.: - Eingabe-, Verarbeitungs- und Ausgabekontrolle und programmierte Ablaufsteuerung (Programmabläufe und programmierte Regeln Workflowsteuerung) einschließlich des programmierten Zugriffsschutzsystems

Answer 56

Kontrolle ISA DE 315 (rev 2019) * von Einheit eingerichtet * Regelung oder Maßnahme zum Erreichen eines Kontrollziels des Mangagements oder Überwachung Verantwortlichen * Regelungen: Erklärung was innerhalb der Einheit (nicht) getan werden soll um Kontrolle auszuführen * Erklärungen dokumentieren, ausdrücklich erklärt/ durch Handlungen/Entscheidungen impliziert * Maßnahmen: Handlungen zur Implementierung Regelungen

Answer 57

- überflüssige Kontrollen - keine prüferischen Risiken werden abgedeckt - reduziert bei keiner Aussage das RoMM - Stichprobengröße im Funktionstest - Häufigkeit Kontrolldurchführung, die für prüferische Zwecke benötigt wird, ist relevant und nicht tatsächliche (idR manuelle Auswertung von System-Fehlerreports z.B. Prüfung Altersstrukturliste auf EWB wöchentliche, jährliche Durchführung würde gleiche Sicherheit ergeben → nur YE mit IPE prüfen) - manuelle Prüfung automatischer Kontrollen trotz effektiv geprüfter GITC - Did-Do-Analysen statt Kontrollen zu nutzen - Massendatenanalysen als substantielle PH bieten höhere PH als Stichprobe - Bsp: Funktionstrennung im Verkaufsprozess SAP: Analyse, wer mit welchen Transaktionscodes bucht statt Berechtigungsprüfung - Bsp: Manuelle UE-Buchungen, manuelle WERE-Buchungen: JET-Routine manuelle Buchungen auf ausgewählten Konten statt Prüfung automatischer Kontrollen - Frühzeitig den Prüfungsansatz mit den IT-Prüfern abstimmen

Answer 58

- schnellere Veränderungen in Unternehmen, Informationen werden zunehmend automatisch verarbeitet - Prüfer muss Verarbeitung Prüfungsurteil trotzdem verstehen - mehr IT-Knowhow oder Spezialisteneinsatz nötig - Routine-Prüfungsnachweise automatisiert erhoben werden - weniger Bedarf Assistenten, mehr Zeit komplexe Bilanzierungsentscheidungen - Big-Data und KI - ChatGPT - viel WPG investieren hohe Summen in Entwicklung eigener generativer KI

Answer 59

- zwei Aufträge - Prüfung einer Erklärung zum IT - Erklärung gesetzliche Vertreter frei von wesentlichen Fehler - Direkte IT Prüfung - Prüfungsauftrag abgegrenzter IT-System auf Basis vereinbarter Kriterien - Anwendungsmöglichkeit - IDW PH 9.860.1 - Hintergrund: DSGVO EU-Weit einheitliches Niveau → Mindestanforderungen - IDW PH 9.860.1 - 06/2018 veröffentlicht - Anlage 1: konkretisiert Kriterien in Form Anforderungskatalog mit beispielhaften PH

Answer 60

- kaum Auswirkungen durch Verschwiegenheitspflicht - WP/StB = nicht Auftragsverarbeiter, da eigenständig - s.a. Erläuterungen rechtliches Umfeld Datenanalysen

Answer 61

- Prüfung Erklärung Betreiber kritischer Infrastruktur #8aIBSIG - Hintergrund: Einige Branchen (Energie, Wasser etc.) müssen Nachweisen dass sie Maßnahmen zur Störungsvermeidung implementiert haben - IDW PS 9.860.2 04/2020 veröffentlicht

Answer 62

- Anforderungen größer als bei ISA DE 315 rev. 2019 - IDA DE 315 rev 2019: Risiko für AP einschätzen/behandeln - BAIT/VAIT/KAIT/ZAIT: Ausgestaltung IT-Systeme/zugehöriger Prozess diesbezüglicher Anforderungen auf IT-Governance - auch hier Prüfung nach IDW PS 860 vorstellbar

Answer 63

Prüfung Cloud-Diensten IDW PH 9.860.3 - Hintergrund - Cloud Dienstleister Mindestanforderungen an sicheres Cloud-Computing durch Umsetzung BSI Kriterienkatalog C5 - IDW PH 9.860.3: 10/2021 veröffentlich, Anlage 1 konkretisiert C5 Kriterien via Anforderungskatalog mit beispielhaften PH - "kleiner Bruder" IDW PS 951 nF #### Prüfung GoBD Compliance IDW PH 9.860.4 - Hintergrund: abgegrenzte GoBD relevante Geschäftsprozesse können auf GoBD Compliance geprüft werden - IDW PH 9.860.4: 07/2021 veröffentlicht, Anlage 1 konkretisiert GoBD Kriterien → Anforderungskatalog inkl. beispielhafter PH - kleiner "Bruder" IDW PS 951 nF (der für ganzen Prozess gilt)

Answer 64

IDW PS 861 - 2023 veröffentlicht - Standard freiwillige Prüfung KI-Systeme außerhalb AP - aufgebaut auf IASE 3000 rev. "Assurance Engagements Other than Audits or Reviews of Historical Financial Information" - Prüfungsgegenstand: Beschreibung KI-Systems einschl. Beschreibugn enthaltener Darstellungen gesetzlicher Vertreter des Unternehmens, ob beschriebene KI-System die Kriterien einhält - Prüfung Angemessenheit oder WIrksamkeit möglich

Answer 65

- miteinander in Wechselwirkung stehend 1. ethische / rechtliche Anforderungen für KI 2. Nachvollziehbarkeit 3. IT-Sicherheit 4. Leistungsfähigkeit

Answer 66

- KI-Governance/Compliance/Monitoring - Daten - Algorithmus - Anwendung - Infrastruktur

Answer 67

zielgerichtete und IT-gestützte Selektion, Aufbereitung und Auswertung von RL-relevante Daten sowie solche iZm Steuerung und Überwachung IT System mittels Analysewerkzeuge (spezielle Auswertungsprogramme)

Answer 68

- automatisierte PH - Prüfungsumfang manueller PH reduzieren - effektive und effiziente Prüfung - Erhöhung Wirtschaftlichkeit - **keine alleineige Grundlage für Prüfungsurteil**

Answer 69

- Wann ReLe-relevant? - Daten fließen direkt in ReLe ein oder - Daten dienen dem ReLe-System als Grundlage für Buchungen - →Prozesse und Fkt. zur Speicherung und Verarbeitung relerelevanter Daten werden Teil des ITSystems und des IT-gestützten ReLeSystems - Auslagerung kann umfassen - Von Datenerfassung und –speicherung - Bis zur vollständigen Verarbeitung von Transaktionen und Ereignissen - Oft auch Bereitstellung des IT-Systems (lt. IDW RS FAIT 1 = Hard- und Software)

Answer 70

- Servicemodelle: - Infrastructure as a service (laaS): bei Bedarf IT-Infrastruktur bereitgestellt - Platform as a service (PaaS): Umgebung zum Betrieb selbst erstellter Software - Software as a service (SaaS): IT-Anwendungen aus der Cloud nutzen - Bereitstellungsmodelle - Public Cloud: für alle offen - Private Cloud: nur für ein bestimmtes UN nutzbar - Community Cloud: Nutzung durch eine Interessensgruppe - Hybrid Cloud

Answer 71

- Gesetzl. Ordnungsmäßigkeitsanforderungen und GoB (§239 Abs. 4 HGB) gelten auch bei Outsourcing - Sicherheits- und Ordnungsmäßigkeitsanforderungen des [[IDW RS FAIT 1]] gelten auch im Zusammenspiel mit dem Insourcer (betrifft die gesamte Nutzungsphase (s. Schaubild oben))

Answer 72

- Insbes. in den Bereichen - Orga und Aufgabenteilung - Risiken für Sicherheitsanforderungen (Autorisierung, Verbindlichkeit der Buchung) - Autorisierung wg. geteilter Zugriffsrechte - Schnittstellen und genutzter Übertragungsweg - Schnittstellen: Risiken für Integrität und Verfügbarkeit - Bei CC: Sicherheitslücken beim DL-UN (Verlust Integrität, Autorisierung, Authentizität) - Öffentl. Netzte => erhöhtes Risiko => Verlust Integrität, Vertraulichkeit, Authentizität - Abhängigkeit vom Übertragungsweg - Datenspeicherung und Speicherort - Outsourcer verliert vollständige Kontrolle über die Daten - Bei CC: Wechsel des Speicherorts mgl., ohne Kenntnis des Outsourcers - Change Management - Bei CC: Programmänderungen ohne Kenntnis des Outsourcers (Risiken für Integrität, Verfügbarkeit)

Answer 73

- Anforderungen an Verarbeitung, Zugriff und Aufbewahrung - Unvollständige Zuordnung von Rollen, Aufgaben, Kompetenzen => Risiko für Vollständigkeit, Zeitgerechtheit - Bei CC: ggf. Speicherung der Daten in Drittländern -> Risiko der Sicherheitsbestimmungen in Drittland - Datenübertragungen fehlerhaft -> Risiko Verletzung des GoB der Vollständigkeit und Richtigkeit - Bei CC: Anwendungen müssen Anforderungen an Beleg-, Journal- und Kontenfkt. Erfüllen - Aufbewahrungsanforderungen nach 8 257 HGB -> ggf. Risiko bzgl. Unveränderlichkeit

Answer 74

- Bspw. Schutz von personenbezogenen Daten nach dem BDSG - Bei CC: bei grenzüberschreitender Speicherung und Verarbeitung - Risikobereiche: - Strafrechtl. Ermittlungen gegen DL-UN (Vertraulichkeit der Daten des Outsourcers?) - Unterschiedl. Gesetzl. Regelungen in den jeweiligen Ländern - Unsicherer Rechtslage ‚, bspw. staatlich autorisierter Datenzugriff

Answer 75

- Gesetzl. Vertreter müssen Einhaltung der gesetzl. Anforderungen an die Ordnungsmäßigkeit der ReLe sicherstellen - IKS muss auch im Hinblick auf die ausgelagerten Funktionen angemessen und wirksam sein - In Vorbereitungsphase - Risiken analysieren und Auswirkungen auf IKS bestimmen (Risikoinventur, -beurteilung) - Ausgehend davon IKS entsprechend gestalten und angemessene Kontrollen definieren dabei festlegen, wer Kontrolle durchführt (Outsourcer oder Insourcer?) - Vertragl. Regeln: - Verantwortlichkeiten - Prüfungsrechte IR und AP - Offenlegung der Subunternehmen - Nachvollziehbare Doku der Kontrollen und Maßnahmen - Ort der Verarbeitung und Speicherung der Daten - Im Falle der Beendigung Rückgabe der Daten - In Aufbauphase: - Einrichtung und Ausgestaltung des IKS - Verantwortlichkeiten zw. Outsourcer und Insourcer eindeutig und lückenlos festlegen - Outsourcer muss sich davon überzeugen, dass Kontrollen angemessen sind

Answer 76

- Geeignetes Kontrollumfeld und Problembewusstsein - Umsetzung der UN-Strategie => IT-Strategie und Sicherheitskonzept hiermit in Einklang - Regelmäßig das Sicherheitskonzept und das IT-Kontrollsystem auf Angemessenheit prüfen - Risikomanagement, Aufbau- und Ablauforga anpassen, Doku - Welche Kontrollen mit Insourcer vereinbart - Eskalationsverfahren - Verantwortlichkeiten und Kompetenzen - Service Level Agreements - WVerfahrensdoku - Beurteilung der Wirksamkeit der Kontrollen durch Service Level Agreements, regelm. Reports etc. - Reaktion auf festgestellte Mängel: wer setzt diese um?

Answer 77

- IT-Infrastruktur = Rechenzentrum, Hardware, Netzwerke, Systemsoftware - IT-Betrieb = Regelbetrieb + Notfallbetrieb - Regelm. Notfalltests wg. Funktionsfähigkeit

Answer 78

- GoB (Beleg-, Journal- und Kontenfkt.), Anwendungssicherheit, relerelevante Verarbeitungsregeln gelten bei auch bei Auslagerung - Anwendungsbezogene und generelle Überwachungsmaßnahmen definieren + Doku - Vollständigkeit, Richtigkeit, Zeitgerechtheit der ausgetauschten Daten - Kontrollen zur Überwachung der ausgelagerten Prozesse und Funktionen

Answer 79

- Vollständige oder teilweise Auslagerung - Service Level Agreements mit: - Anwendungsbezogenen und prozessintegrierten Kontrollen - Wie und in welcher Form werden relerelevante Daten übergeben - Wie und in welcher Form werden relerelevante Daten in die ReLe des Outsourcers übertragen

Answer 80

- Prozessunabhängige Überwachungsmaßnahmen durch gesetzl. Vertreter, IR oder Datenschutzbeauftr. - Vertraglich vereinbarte Prüfungsrechte - Eigene PH oder Vorlage Berichte der IR des Insourcers

Answer 81

Konzeption zur Daten- und Dienstleistungsmigration

Answer 82

Konkretisierung der aus den §§ 238, 239 & 257 HGB resultier-enden Anforderungen an die Buchführung mittels IT-Systemen und mögliche Risiken aus dem Einsatz der IT für die Einhaltung der GoB

Answer 83

* Sicherheit der rechnungslegungsrelevanten Daten ist Voraussetzung für die Ordnungsmäßigkeit/Verlässlichkeit der Buchführung * Verantwortlichkeit der gesetzl. Vertreter → ein geeignetes Sicherheitskonzept zu entwickeln, einzuführen und aufrecht zu erhalten * Vertraulichkeit (z.B. Verschlüsselung) * Integrität (vollständig und richtig, Schutz vor Manipulation) * Verfügbarkeit (z.B. Datensicherung) * Autorisierung (z.B. Zugriffs* und Berechtigungskonzept) * Authentizität (z.B. Signatur) * Verbindlichkeit (Rechtsfolgen werden bindend)

Answer 84

* GoB IT-gestützter Rechnungslegungssysteme sind nur erfüllt, wenn folgende GoB bzgl. der rechnungslegungsrelevaten Daten sichergestellt sind: * Vollständigkeit (§239 (2) HGB) * Richtigkeit (§239 (2) HGB) * Zeitgerechtigkeit (§239 (2) HGB) * Ordnung (§239 (2) HGB) * Nachvollziehbarkeit (§238 (1) 2 HGB) * Unveränderlichkeit (§239 (3) HGB)

Answer 85

* Belegfunktion (Nachweis der Existenz und Verarbeitungsberechtigung eines Geschäftsvorfalls (GV) für jede Buchung) * Journalfunktion (zeitnahe, vollständige, zeitgerechte Aufzeichnung der GV) * Kontenfunktion (Abbildung der Geschäftsvorfälle in sachlicher Ordnung) * Dokumentation (Anwender-, technische System* und Betriebsdokumentation) * Aufbewahrungspflichten (jederzeitige Lesbarmachung, Unveränderbarkeit => §§ 257, 261 i.V.m. 239 (4) S. 2HGB)

Answer 86

* **IT-Umfeld und IT-Organisation** (IT-Umfeld: angemessene Grundeinstellung, Problembewusstsein von IT-Risiken, - Sicherheitskonzept und IT-Kontrollsystem, IT-Organisation: Zuordnung von Kompetenzen und Verantwortlichkeiten in der Aufbau- und Ablauforganisation) * **IT-Infrastruktur** (abgestimmtes Sicherheitskonzept mit physischen Sicherungsmaßnahmen, logischen Zugriffskontrollen, Datensicherungs* und Auslagerungsverfahren, Regelungen zum Regel- und Notfallbetrieb) *** IT-Anwendungen** (Umsetzung der Anforderungen der Beleg-, Journal- und Kontofunktion durch generelle ITKontrollen (GITC) und anwendungsbezogenen Kontrollen (ITAC)) *** IT-gestützte Geschäftsprozesse** (Organisation der Geschäftsprozesse bei Risikoanalyse und Kontrollen beachten) * **Überwachung des IT-Kontrollsystems** (Beurteilung der Wirksamkeit des IT-Systems durch das Unternehmen mittels Aufbau- und Funktionsprüfungen, prozessintegrierte sowie prozessunabhängige Überwachung) * **IT-Outsourcing** (Beachtung von Auswirkungen auf IKS des Unternehmens Analyse analog IDW PS 331, Verantwortung für Ordnungsmäßigkeit der IT verbleibt bei den gesetzl. Vertretern)

Answer 87

- Konkretisierung Anforderungen aus § 257 HGB an Archivierung aufbewahrungspflichtiger Unterlagen (verbindlich für WP bei der Bewertung von ECM-Anwendungen) - Veranschaulichung Aufbewahrungspflichten beim Einsatz elektronischer Archivierungsysteme gem. IDW RS FAIT 1 - Berücksichtigung beim elektronischen Datenaustausch "e-Commerce" gem. IDW RS FAIT 2 ("e-Invoicing") - langfristige und unveränderliche Speicherung von ReLe-relevanten Unterlagen auf maschinenlesbaren Datenträgern (Archivierungssysteme oder IT-gestütze Rechnungslegungssysteme = ERP-Systeme) - Buchungsbelege, Handelsbücher und Handelsbriefe in elektronischer Form - physische Dokumente in Papierform - Verfahrens- und Anwenderdokumentationen, Dokumentation des IT-Kontrollsystems, sonstige zum Verständnis der Buchführung notwendigen Unterlagen - Spezifikation für Wirtschaftsprüfer zur systematischen und vereinheitlichen Bewertung der Ordnungsmäßigkeit von elektronischer Archivierung ReLe-relevanter Unterlagen

Answer 88

- GoBS, GDPdU: - Verfahrendokumentation - Verfälschungssicherheit bei langzeitiger Archivierung Zugiffsmöglichkeiten auf GDPdU-Archive (steuerlich) - *§ 238 HGB*: Nachvollziehbarkeit des Buchführungs- bzw. Rechnungslegungsverfahrens sowie der Abbildung der einzelnen Geschäftsvorfälle in Entstehung und Abwicklung - *§ 239 HGB*: GoB Führung der Handelsbücher, Sicherheit IT-gestützter Rechnungslegung - *Vollständigkeit*: lückenlose Erfassung aller rechungsrelevanter Dokumente und Daten im Einzelnen - *Richtigkeit*: Sicherstellung Übereinstimmung mit Original und der bildlichen Wiedergabe; - *Zeitgerechtheit*: zeitnahe Überführung in das Archivierungssystem (technisch und organisatorisch) - *Nachvollziehbarkeit*: zeitgerechter Überblick von sachverständigen Dritten zu Geschäftsvorfällen und Vermögenslage - *Unveränderlichkeit*: keine nachträglichen Änderungen / Korrekturen (technisch und organisatorisch) - *§ 257, 261 HGB* Aufbewahrung von Unterlagen, Aufbewahrungsfristen - Eröffnungsbilanzen und Abschlüsse im Original - empfangene Handelsbriefe und Buchungsbelege in Form von bildlichen Wiedergaben - alle andere Buchführungsunterlagen in Form von inhaltlichen Wiedergaben - *§ 146 AO* Ordnungsvorschriften für die Buchführung und Aufzeichnungen - *§ 147 AO* Ordnungsvorschriften für die Aufbewahrung von Unterlagen - *§ 371 ZPO* Beweis durch Augenschein (i.V.m § 144 ZPO) - *§ 371a ZPO* Beweiskraft elektronischer Dokumente - *§ 14b UStG* Aufbewahrung von Rechnungen - *weitere* Branchenspezifische Rechtsvorschriften, Zivil-, Straf- und Verwaltungsprozesse

Answer 89

- nicht rein auf technische Komponenten sondern auf die gesamte Lösung - IT-Infrastruktur - IT-Anwendungen IT-Kontrollsystem (IT-Umfeld, IT-Organisation) - IT-gestütze Archivierungsprozesse - Auswirkungen / Anforderungen bei der Auslagerung von Daten - Verknüpfung von Daten und Dokumenten mit eindeutigen Ordnungskriterien (z.B. Belegummern) sowie Kontrolle auf Vollständigkeit und Richtigkeit - Unterscheidung des Archivierungsverfahrens in:

Answer 90

- unzureichende Dokumentation, fehlende IT-Kontrollen, Verlust von Daten (und somit Beweiskraft) - fehlende Migrationskonzepte trotz kurzer Innovationszyklen (technologische Alterung)

Answer 91

- **Vertraulichkeit** physischer und logischer Zugriffsberechtigungsschutz und -kontrollen - **Integrität** fehlerfreie, eindeutige Identifizierung sowie Schutz vor Manipulation und Änderungen - **Verfügbarkeit** IT-Anwendung / -Infrastruktur zur Lesbarmachung während der Aufbewahrungsfrist - **Autorisierung** Maßnahmen zur Sicherstellung des Zugriffsberechtigungskonzepts auf allen Ebenen - **Authentizität** eindeutige Zuordnung archivierter Unterlagen zu zugehörigen Geschäftsvorfällen - **Verbindlichkeit** Eigenschaft, gewollte Rechtsfolgen nach § 257 Abs. 3 HGB zu gewährleisten

Answer 92

- angemessenes Problembewusstsein (geeignetes IT-Umfeld, Schulungsbedarf der Mitarbeiter) - schriftliche Verfahrensdokumentation - Entwicklung einer internen unternehmensspezifischen Ablauforganisation - Einsatz technischer Sicherungsmaßnahmen - **physisch** Schutz vor Verlust, Zerstörung oder unberechtigter Abänderung - **logisch** Zugriffkontrollen, Implementierung eines geeigneten Berechtigungskonzepts - **Datensicherung** Sicherstellung der Lesbarkeit der Sicherungen bzw. ausgelagerten Daten - **Organisation** im Regel- und im Notbetrieb, Erarbeitung eines Notfallkonzepts unter Berücksichtigung von Ausfallzeiten, Sicherstellung des vollständigen Wiederanlaufs - IT-Anwendungen - Schnittstellenproblematik, Dokumentation Parametrisierung von Standardsoftware - Auswahl-, Integrationstests- und Freigabedokumentation gem. IDW RS FAIT 1; - Mindestanforderug: Protokollierung der Sicherungen, regelmäßige Plausibilitätskontrollen, Berechtigungskonzept - Erfassung - **Indexierung** geordnete Ablagestruktur zur Wiederauffindbarkeit der Dokumente und Daten mittelbar (z.B. über Belegnummer) oder unmittelbar (über Dokument-Identifikation) sowie eindeutige Dokument-Identifikation durch Verknüpfung zu einem Ordnungskriterium des entspr. Geschäftsvorfalls (Belegnummer, Stammdaten etc.) und deren Nachweis - **Speicherung / Verwaltung** regelmäßige Prüfung auf langfristige und vollständige Verfügbarkeit sowie interne und externe Datensicherungskonzepte und deren Überwachung - **Lesbarmachung (Retrieval)** Sicherstellung der angemessenen Lesbarkeitsmachung der einzelnen Dokumente sowie der Vollständigkeit bei Daten-Rücksicherungen - **Vernichtung der Originale** erst bei GoB-konformer elektronischer Archivierung und Einhaltung aller handelsrechtlichen Vorschriften (§ 257 HGB), innerbetrieblichen Regelungen, organisatorischen Anforderungen, ohne Originalbesitzpflicht und Herausgabeanspruch - **Überwachung** prozessabhängige Beurteilung der Wirksamkeit des IT-Kontrollsystems auf eine automatisierte Erfassung elektronische Erfassung angemessene und kontinuierliche Funktionsweise durch die interne Revision, unmittelbare Überwachungsmaßnahmen oder den Wirtschaftsprüfer - **Outsourcing** Sicherstellung der Einhaltung der Anforderungen an elektronische Archivierung beim Dienstleistungsunternehmen (durch interne Kontrollen oder vertragliche Prüfungs- und Kontrollrechte z.B. durch den Abschlussprüfer)

Answer 93

IT-Anwendungen, die eine automatisierte Durchführung von Konsolidierungsmaßnahmen mittels Stamm- und Steuerungsdaten (Parameter) und Kontroll- und Abstimmverfahren ermöglichen.

Answer 94

- unterschiedliche Buchungs- /Abschlusszeitpunkte - fehlerhafte/unvollständige Übermittlung der Reporting Packages aus dezentralen Rechnungslegungsytemen - fehlerhafte/unvollständige konsolidierungsbedingte Anpassungsbuchungen aufgrund der Komplexität der Parametrisierung - (fast) ausschließlich manuelle Erfassung der konsolidierungsbedingten Anpassungsbuchungen im IT-System - → Einrichtung IKS durch Management

Answer 95

- **Vertraulichkeit**: Daten dürfen nur an Berechtigte weitergegeben werden - **Integrität**: IT-Anwendungen dürfen nur in einem klar definierten Zustand eingesetzt werden - **Verfügbarkeit**: IT-Anwendungen müssen in angemessener Zeit funktionsfähig bereitstehen - **Autorisierung**: nur im voraus festgelegte Personen dürfen auf Daten zugreifen - **Authentizität**: Berechtigungs- und Protokollierungsverfahren - **Verbindlichkeit**: Anpassungsmaßnahmen dürfen durch den Veranlasser nicht abstreitbar sein

Answer 96

- Vollständigkeit des Konsolidierungskreises und der einbezogenen VG, Schulden, RAP, Erträge, Aufwendungen + sonstigen Angaben - Richtigkeit, Zeitgerechtheit (richtiger Periodenbezug) und Ordnung der Einbeziehung - Nachvollziehbarkeit des KA, des Konzernrechnungslegungsverfahrens + Konsolidierungsmaßnahmen - abgeleitet aus - Grundsätze der Konsolidierung und der einheitlichen Bewertung / Bilanzierung (§§300 I, 308 HGB) - Vollständigkeitsgebot (§§294 I, 300 II 1 HGB; §246 I iVm §298 I HGB) - Pflicht zur Prüfung des Konzernabschlusses und der konsolidierungsbedingten Anpassungsmaßnahmen (§317 III HGB) - Angabe der wesentlichen Merkmale des internen IKS (§315 II 5 HGB)

Answer 97

- Maßnahmen (abhängig von Komplexität): - Durchsicht der Kontrolldokumentation - Plausibilisierung von Beträgen und Angaben im KA - Durchsicht Kontrolldoku auf erkannte Verprobungsdifferenzen durch interne Revision

Answer 98

- Auswirkungen des Outsourcing auf IKS: - gesetzliche Vertreter weiterhin für Einhaltung der Ordnungsmäßigkeit und Sicherheitsanforderung verantwortlich - angemessene Ausgestaltung der Datensicherungs- und Auslagerungsprozesse (Backup/Recovery) nötig → zusätzlich interne Üerwachungsmaßnahme

Answer 99

- **IT-Umfeld**: verbindliche und einheitliche RiLi sowie Festlegung Verantwortungsbereiche, durchgängige Kommunikations- und Informationsverfahren zur Überwachung, Prozesse zur Identifizierung, Beurteilung und Begegnung von Risiken - **IT-Organisation**: IT-Kontrollen für eine konsistente Berechtigungsvergabe und Stammdatenänderung, logische Zugriffskontrolle + Kontrollen im Bereich des Change-Management - **IT-Infrastruktur**: technische Ressourcen und Regelungen des IT Betriebs sowie Sicherstellung von Integrität und Verfügbarkeit des IT-Systems auf Grundlage des Sicherheitskonzepts - **IT-Anwendungen**: Abbildung Funktionalitäten die für Erfassung, Kommunikation und Verarbeitung von konsolidierungsbedingten Anpassungsmaßnahmen notwendig sind → Darstellung Daten im KA in zeitlicher und sachlicher Ordnung

Answer 100

1. Hintergrund * Die fortschreitende Digitalisierung führt zur zunehmenden Integration von Geschäftsprozessen in IT-Systeme. * ISA (DE) 315 (Revised 2019) ersetzt IDW PS 330 und fordert eine tiefere Einbindung der IT-Systemprüfung in die Jahresabschlussprüfung. * Ziel: Stärkere Risikoorientierung und Skalierbarkeit der Prüfung abhängig von Unternehmensgröße und Komplexität. 2. Skalierung in den GoA * Die Skalierung ist gesetzlich verankert (§ 39 BS WP/vBP) und zentraler Bestandteil risikoorientierter Abschlussprüfungen (ISA (DE) 200 Tz. A66 ff.). * Die Prüfung soll an Größe, Komplexität und Risiken des Unternehmens angepasst werden. * Reduzierter Prüfungsumfang bei weniger komplexen Einheiten ist zulässig und effizient. 3. Prüfung der IT-Umgebung nach ISA (DE) 315 (Revised 2019) * Die IT-Umgebung ist Bestandteil des Internen Kontrollsystems. * Der Prüfer muss ein Verständnis über IT-Anwendungen, IT-Infrastruktur und IT-Prozesse gewinnen (ISA (DE) 315 Tz. 12(g)). * Informationssysteme und systemgenerierte Berichte (IPE) sind prüfungsrelevant. * Der Fokus liegt auf Risiken wesentlicher falscher Darstellungen und der Wirksamkeit genereller IT-Kontrollen. 4. Skalierung der Prüfungshandlungen * Art und Umfang hängen von der Komplexität der IT-Umgebung ab. * Bei einfachen Systemen reichen oft Befragungen; bei komplexen Systemen sind Einsichtnahmen und Nachvollzüge erforderlich. * Ziel ist es, relevante IT-Kontrollen zu identifizieren und auf Effektivität zu prüfen. 5. Risikoorientierte IT-Prüfung * Die Beurteilung der IT-Risiken richtet sich an spezifischen Risiken wie unautorisierten Zugriffen oder fehlerhaften Programmen. * ISA (DE) 315 enthält in den Anhängen 5 und 6 zahlreiche Beispiele und Anwendungshinweise zur Risikoidentifikation und Kontrollbeurteilung. 6. Ergebnis * ISA (DE) 315 (Revised 2019) ermöglicht eine skalierte, risikoorientierte und wirtschaftlich effiziente IT-Prüfung. * Die Anwendung führt zu klareren Vorgaben und unterstützt den Prüfer bei der zielgerichteten Prüfung der IT-Umgebung.

IT-Prüfung Flashcards

(153 cards)