rab-beanstandungen it-revision
TRANSCRIPT
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 1
© ISACA After Hours Seminar 27.9.2011
Aktuelle Fragender IT-Revision
RAB-Beanstandungen IT-Revision ISACA After Hours Seminar, 27.9.2011 Peter R. Bitterlidipl. math. ETH, CISA, CISM, CGEITBitterli Consulting AG / ITACS Training AG / BPREX Group [email protected] www.bitterli.com www.itacs.ch www.bprex.ch Mitglied Fachstab Informatik der Treuhand-Kammer Mitglied Vorstand ISACA Switzerland Chapter
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Beaufsichtigung der Wirtschaftsprüfer in der Schweiz
bis 2007 Selbstregulierung nicht wirklich auf hohem
Maturitätsniveau
ab 2007 Revisionsaufsichtsbehörde gegründet
beaufsichtigt 21 (17/4)Revisionsunternehmen, welche Publikumsgesellschaften prüfen
man kann sich auch freiwillig unterstellen (4)
Qualität, Unabhängigkeit, Mitarbeiter, Förderung, Prozesse und ganz generell Maturität der Prüfung sollten dadurch gesteigert werden
ermöglicht Continuous Improvement
Lehren aus Aufsichtstätigkeit sollen institutionalisiert werden
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 2
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Kontrollen in Geschäft und IT Wirkungsvolles Prüfungsvorgehen ?
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Kontrollen in Geschäft und IT Kontrollen finden sich auf allen Ebenen im “Cremeschnitten-Modell”
IT-Infrastruktur
IT-Anwendung
Prozessebene
IT-Basissysteme
R RK
R
R
R
R
R
R
R
K K
K
K
K
K
IT-Anwendungs- kontrollen
Geschäftsprozess- kontrollen
K
K
K
K
spezifische IT-Kontrollen
spezifische IT-Kontrollen
R KRRisiko im Geschäftsprozess
Risiko in Informatik- Infrastruktur
Kontrolle
Gene
relle
IT-K
ontro
llen
IT-Revision (information systems auditing) ist definiert als jede Revision, welche die Überprüfung und Beurteilung aller Aspekte von automatisierten, informationsverarbeitenden Systemen (oder Teilen davon) umfasst; inklusive der damit zusammen-hängenden nicht-automatisierten Prozesse und ihrer Schnittstellen.
ISACA
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 3
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfungsverfahren … aber bitte richtig anwenden
5
PS 890
IKS
Prüfung der Existenz
Quelle: Revisionshandbuch (RHB) 2009
Verfahrensprüfung
EinhalteprüfungDetailprüfung/
ErgebnisprüfungIKS beurteilen
? ?
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 1 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was für Anforderungen kennen Sie für die Durchführung von Planungssitzungen … 1. hinsichtlich der Teilnehmer?2. hinsichtlich dem Prüfungsumfang?
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 4
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation der Prüftätigkeit absolut entscheidend
Planungssitzung1. Teilnehmer
nicht ersichtlich, wer an Sitzung teilgenommen hat nicht ersichtlich, ob für alle Teilnehmer eine Unabhängigkeitsbestätigungen eingeholt wurden (PS300)
2. Prüfumfang hinsichtlich IT nicht nachvollziehbar
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 2 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was für Anforderungen kennen Sie hinsichtlich der Übersichtsdokumentation (als Grundlage der Prüfung)?
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 5
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation der Prüftätigkeit absolut entscheidend
Übersicht (als Grundlage) Keine Übersicht, die alle wesentlichen Geschäftsprozesse und Kontrollen enthält
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation des IKS (als Teil der Arbeitspapiere)
Übersicht der Kern-Anwendungen Quelle: Vorgehensmodell Anwendungsprüfung
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 6
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation des IKS (als Teil der Arbeitspapiere)
Quelle: echter SAS70-Bericht; anonymisierte Ausbildungsunterlagen © ITACS Training AG
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 3 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was für Anforderungen kennen Sie für die Dokumentation der Prüfungsdurchführung?1. konkretes Prüfgebiet z.B. Zugriffsrechte2. Interviews
3. Prüfurteil für “ITGC”4. Verständnis des Prüfers für IKS
5. Existenz des IKS
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 7
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation der Prüftätigkeit absolut entscheidend
Durchführung1. Nicht ersichtlich, ob Zugriffsrechte geprüft
wurden2. Interviews (Teilnehmer und wesentliche
Inhalte) nicht festgehalten
3. Nicht nachvollziehbar, warum ITGC trotz fehlender Prüfungshandlungen als gut befunden
4. Nicht ersichtlich, ob Prüfer ein ausreichendes Verständnis für vorhandenes IKS hat
5. Nicht erkennbar, ob IKS existiert resp. wie das geprüft wurde
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Dokumentation des IKS (als Teil der Arbeitspapiere)
Übersicht der Kern-Anwendungen Quelle: Vorgehensmodell Anwendungsprüfung
Risiko-/Kontrollmatrix Quelle: Michel Huissoud, EFK
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 8
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Quelle: Accounting Information Systems;
by Gelinas, Sutton, Oram
Dokumentation des IKS (als Teil der Arbeitspapiere)
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 4 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was machen Sie, wenn Sie keine Prüfung der ITGC durchführen wollen/können?
16
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 9
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von generellen IT-Kontrollen (ITGC)
Keine Prüfung der ITGC aber auch … keine Berücksichtigung dieser Tatsache bei den Applikationsprüfungen keine weiteren ergebnisorientierten Prüfungen durchgeführt
17
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 5 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Welche Anforderungen gelten für die Prüfung der Wirksamkeit der ITGC?1. Wie lang ist die zu prüfende Periode?2. Welche Periode?
3. Wie häufig?
18
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 10
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von generellen IT-Kontrollen (ITGC)
Prüfung der ITGC gemacht: aber Wirksamkeit der ITGC nicht beurteilt
1. für ausreichend lange Periode2. für richtige Periode
3. jährlich (PS890)
Änderungen nicht verfolgt
19
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 6 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Kann man auf die Prüfung der Wirksamkeit der ITGC verzichten?
20
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 11
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von generellen IT-Kontrollen (ITGC)
Anmerkung (M. Huissoud) Detailprüfungen sind kein vollwertiger Ersatz für ITGC-Tests
Prüfung vollständig um den Computer herum wäre möglich; jedoch muss die Erstellung der verwendeten Berichte durch Prüfer verifiziert werden
21 cet environnement soit sous
contrôle….
Ergebnis-orientierte
PrüfungProzesse
Veröffentlichte Jahresrechnung
Buchungs-Belege
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer – primär für generelle IT-Kontrollen
Teil der strateg. Prüfungs-planung (PS890)
Erste Bestandesaufnahme Abhängigkeit IKS von Informatik (Phase 1) Reifegrad der Informatik (Phase 2)
keine eigentlichen Prüfungshandlungen
indirekter Rückschluss auf Risiken
IT-Infrastruktur
IT-Basissysteme
IT-Anwendungen
Geschäftsprozesse
© ITACS Training
Vorgehensmodell IT-RisikoanalyseArbeitshilfe für KMU-Prüfer
6.10.2010
Quellen: www.treuhand-kammer.ch www.isaca.ch
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 12
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 7 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Kann man auf die Prüfung der Wirksamkeit der Anwendungskontrollen verzichten? Ja: unter welchen Voraussetzungen?
Nein: warum?
23
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Anwendungskontrollen (AC)
Keine Prüfung der AC keine weiteren ergebnisorientierten Prüfungen durchgeführt
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 13
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 8 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Man hat im Vorjahr bereits die Anwendungskontrollen geprüft. Kann man jetzt auf die erneute Prüfung der Wirksamkeit der Anwendungskontrollen verzichten? Wenn ja: unter welchen Voraussetzungen? Wenn nein: warum nicht?
25
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Anwendungskontrollen (AC)
Keine Prüfung der AC wegen Vorjahresprüfung, aber nicht verifiziert, ob Änderungen im Kontrolldesign erfolgten
Kontrollen nicht nachgetestet
Prüfung der AC nur einmalig durchgeführt
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 14
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 9 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Unter welchen Voraussetzungen kann man sich auf die Anwendungskontrollen abstützen?1. hinsichtlich “testen”?
2. Auswirkungen nicht funktionierender Kontrollen?
3. kompensierende Kontrollen?
4. Tests von ITGC?5. unterjährige Änderungen in Kontrollen?
27
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Anwendungskontrollen (AC)
Auf Anwendungskontrollen abgestützt …1. ohne Applikationskontrollen getestet zu haben
2. Auswirkung der nicht funktionierenden Kontrollen nicht berücksichtigt
3. kompensierende Kontrollen nicht identifiziert und geprüft
4. keine Tests der relevanten ITGC durchgeführt (jährlich!)
5. unterjährige Änderungen in den Kontrollen nicht angemessen berücksichtigt
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 15
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Vorgehen zur Anwendungsprüfung
“Top-down Ansatz” von den Finanzdaten über wesentliche Konten zu Transaktionsklassen, wesentlichen Prozessen und damit zu manuellen und automatisierten Kontrollen neben den “wirklich generellen” IT-Kontrollen existieren auch applikationsspezifische ITGC
Quelle: Bernhard Hamberger, Ernst & Young
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Vorgehensmodell Anwendungsprüfung
XXXX Quellen: www.treuhand-kammer.ch www.isaca.ch www.afai.fr
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 16
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 10 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Welche Erkenntnisse haben Sie für die Prüfung von ERP?1. Bedeutung für Abschlussprüfung2. Maturität innerhalb ERP-Komponenten
3. Schwachstellen von ERP4. Konfiguration der ERP
31
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Standard-Software (ERP)
Standardsoftware (ERP)1. Bedeutung des ERP für Abschlussprüfung
nicht erkannt und ERP aus Prüferoptik oft als unkritisch angeschaut
2. Nicht erkannt, dass Maturität innerhalb eines ERP extrem schwanken kann
3. Bekannte Schwachstellen vor Prüfung nicht seriös recherchiert
4. Aktuelle Konfiguration nicht geprüft
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 17
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 11 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was müssen Sie bei der Prüfung von ERP hinsichtlich der typischen Fehlerquellen bei dessen Einführung berücksichtigen?
33
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Standard-Software (ERP)
Typische Fehlerquellen zu wenig berücksichtigt … Fehler bei Einführung / Konfiguration Umgehung des bestehenden IKS durch neues ERP
Workaround, weil “Element” in ERP fehlt Fehler in der späteren Anwendung des ERP (Benutzer-Schulung)
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 18
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 12 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Was wissen Sie über die zeitlichen Aspekte der Prüfungen der generellen IT-Kontrollen (ITGC)?1. Zeitliche Reihenfolge; was zuerst:
Anwendungskontrollen oder ITGC?
2. In welchem Jahr prüfen Sie die ITGC, wennPrüfung des Abschlusses 2010 im Februar 2011 erfolgt?
35 Stimmkarten anwenden:grün: richtig / einverstandenrot: falsch / nicht einverstanden
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Zeitliche Planung und Umsetzung der Prüfung
Reihenfolge Prüfungen Anwendungskontrollen und generelle IT-Kontrollen gleichzeitig getestet
Prüfungen in Periode Prüfung Kontrolle Change Management in Jahr j+1 statt j
Abstützung auf Vorjahr ohne Verifikation des Designs (Baselining) ISA330.39
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 19
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 13 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Wie gehen Sie um mit dem Zeitdruck bei Prüfungen?1. Erkenntnisse bei Prüfung stellen die bis jetzt
erarbeiteten Ergebnisse grundsätzlich in Frage
2. Zusätzliche Detail-Abklärungen wären notwendig
3. Engagement Quality Control Review-Verantwortlicher ist nicht verfügbar
37
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Zeitliche Planung und Umsetzung der Prüfung
Zeitdruck bei Problemen1. Anpassung von Prüfstrategie nicht (mehr)
möglich2. keine Puffer für zusätzliche Abklärungen
3. Bericht veröffentlicht ohne Engagement Quality Control Review (ISA220)
Anmerkungen Bilanz = Stichtagsbezogen Erfolgsrechnung bezogen auf gesamtes Geschäftsjahr
Existenz IKS ist unabhängige Zusatzprüfung PS890
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 20
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Zeitdimension ignoriert Andreas Toggwyler, Bern, 15. Juni 2011
Planung einer Revision (zeitlich) Planung und
Risikoidentifikation
Strategie und Risikobeurteilung
Durchführung
Konklusion und Reporting
• Analyse von Bilanz und Erfolgsrechnung
• Identifikation der Geschäftsprozesse und Datenflüsse
• Identifikation der Kernanwendungen und der wichtigsten Schnittstellen
• Identifikation der Risiken und Schlüsselkontrollen
• Walkthrough
• Beurteilung des Kontroll-Designs
• Beurteilung der Umsetzung der Kontrollen
• Gesamtbetrachtung und Ergebnisfindung
Abstimmung der Zwischen- und Schlussrevision
formell und inhaltlich
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Zeitliche Planung und Umsetzung der Prüfung
zeitlich korrekte Umsetzung ist in der Praxis eine grosse Herausforderung hängt sowohl vom Prüfer als auch vom geprüften Unter-nehmen ab alternative Prüfmassnahmen (z.B. Prüfung von kompen-sierenden Kontrollen, Ver-doppelung der Stichprobe) benötigen mehr Zeit als die ursprünglich vorgesehene Prüfung
Quelle: Andreas Toggwyler, KPMG
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 21
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
“Prüfungsfrage” 14 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung
Wie gehen Sie mit Outsourcing um?1. Abstützen auf Aussagen Dritter
2. Planung/Scoping3. Verwendung von Berichten des Providers
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung und Outsourcing
Outsourcing1. Auf Aussagen Dritter verlassen, dass
Kontrollen implementiert sind Daten vollständig sind
2. Keine saubere Planung/Abgrenzung vorgenommen (PS402, PS400)
3. Kein korrekter Umgang mit den Berichten der Revision des Outsourcing Providers (PS402)
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 22
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfung von Outsourcing-Providern
Verantwortung auch für Feststellungen von Dritten liegt (bei Abstützen auf dem Bericht des Dritten) beim Abschlussprüfer! Zusätzliche Prüfungs-handlungen fast immer notwendig; sollte bereits bei Planung berücksichtigt werden Quelle: Andreas Toggwyler, KPMG
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
IKS ignoriert oder nicht 100% getestet• Keine Übersicht (Topographie)• Zeitdimension ignoriert• Outsourcing falsch behandelt• Standard-Software falsch behandelt• Ungenügende Tests (ITGC – AC)• Mangelhafte Information (IR,
Selbstdeklaration des Geprüften)
IKS-Prüfung nicht
dokumentiert
Fehlerhaftes IKS gemäss
ArbeitspapiereGesamtprüfurteil
über die IKS-Wirksamkeit
Wirksames IKS gemäss
Arbeitspapiere
Korrekte und dokumentierte IKS-Prüfung
Keine Tests der kompensierenden
Kontrollen
44
Bei unwirksamem IKS keine Anpassung bei den Einzelfallprüfungen
Gesamt-prüfurteil
Die Landkarte der Fehler … grundsätzlich auch für interne Revision vorstellbar
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 23
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Beanstandungen & Ausbildung
45
1 Keine Übersicht (Topographie)2 Zeitdimension ignoriert3 Mangelhafte Information4 Standard-Software falsch behandelt5 ichteinhaltung des PS890
6 Ungenügende Tests (ITGC – AC)
7 Outsourcing falsch behandelt8 IKS-Prüfung nicht dokumentiert9 Keine Tests der kompens. Kontrollen
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Zusammenfassung RAB Absolut ungenügende Berücksichtigung ICT-Umfeld
Einfluss ICT auf Prüfung ICT wird nicht verstanden (PS300)
Notwendige Grundkenntnisse über Umfeld nicht vorhanden oder nicht nachweisbar (PS310)
Unternehmen
Umfeld (Branche, …)
Keine Prüfungen des ICT-Umfelds gemacht (PS401)
Sachverstand Abschlussprüfer verfügt nicht über genügend Kenntnisse des ICT (PS401)
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 24
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
RAB-Schlussfolgerungen
Generell Was nicht dokumentiert ist, gilt als nicht durchgeführt!
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
RAB-Schlussfolgerungen
Richtige Prozesse (und PS usw.) kennen und im richtigen Moment korrekt anwenden und angemessen reagieren Je höher das Risiko, desto mehr Nachweise einholen Wenn niedriges Prüfrisiko nicht beweisbar ist, muss von grossem Prüfrisko ausgegangen werden
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 25
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Prüfungsrisiko Risiko, dass ein im Geschäft steckender, wesentlicher Fehler weder vom IKS noch vom Prüfer entdeckt wird
Audit Risk=
Inherent Risk⌧
Control Risk⌧
Detection Risk
Mögliche BerechnungAudit Risk
=
2 x Inherent Risk+
Control Risk+
1/2 Detection Risk
Prüfungsrisiko
IKS
Inhärentes Risiko
Wahrscheinlichkeit von Fehlern des zu prüfenden Abschlusses
Risiko des Prüfers, dass er die Fehler resp. Schwachstellen nicht erkennt
Fehler, welche die Kontroll- mechanismen umgehen
Fehler, welche von der internen Kontrolle nicht entdeckt werden
Kontrollrisiko
IT-Komponente
Prüfung Aufdeckungsrisiko
Hinweis: Auch wenn die Terminologie primär aus dem Umfeld der Revision stammt, sind die Überlegungen uneingeschränkt auch für die (IT-) Sicherheit oder Risikomanagement gültig!
Business-Komponente
Restrisiko Fehler, welche von den internen Kontrollen nicht verhindert/entdeckt werden, sowie Fehler, welche die Kontrollmechanismen umgehen = Risiko nach dem Treffen aller Massnahmen
HWP 2009: “Fehlerrisiko”
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
RAB-Schlussfolgerungen
Prüfer fit machen hinsichtlich Geschäftstätigkeit und IT Abschlussprüfer muss Grundverständnis für IT haben
IT-Prüfer muss aktuell eingesetzte Technologie verstehen Leiter Interne Revision muss ebenbürtiger Sparringpartner sein
Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 26
© ISACA After Hours Seminar 27.9.2011
RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011
Weitere themenspezifische Ausbildung
Seminar vom 5. Juni 2012, Zürich (in Deutsch):“IKS, Prozessprüfungen, PS 890 und IT-Audit: Die Lehren aus der Aufsichtstätigkeit der RAB”
Weitere auf www.isaca.ch und www.treuhand-kammer.ch
51