IT - Prüfung / IT als Prüfungshilfsmittel

• Im Rahmen der IT-Systemprüfung kann Abschlussprüfer die Ergebnisse einer Softwareprüfung in seiner Risikobeurteilung verwerten
• Er wird dazu das Softwarezertifikat uund den vollständigen Prüfungsbericht (nach PS 870) analysieren
• Es ist zu beachten, dass Zertifikat zwar grundsätzlich Desing of Effectiveness in Testumgebung bestätigt, dass aber keine Einhalteprüfungen (operational effectiveness) hinsichtlich der kundenspezifischen Softwareinstallation vorgenommen werden

• Überprüen, welche Kernanwendungen bzw. Schnittstellen durch externern Diensleister betrieben werden (oder bei einem externen Dienstleister in dessen Räumglichkeiten zur Verfügung gestellt werden)
• Identifzieren, welche Schlüsselkontrolen sich bei einem Dienstleister befinden
• bei Vorliegen eines Berichts Typ 2 kann Abschlussprüfer gemäss PS 402 das Kontrollrisiko allenfalls tiefer einschätzen
• Alternativ kann er eigene Prüfungen beim Dienstleister durchführen

• Prüfungshandlungen zu automatisieren, mit dem Ziel, die Prüfungseffizienz zu steigern, die Sichherheit der Prüfungsaussag e zu verbessern oder die Prüfung von Transaktionen zu ermöglichen, welche manuell nicht geprüft werden können
• Grundsätzlich kann Einsatz von DA die Effektivität in der Abschlussprüfung erhöhen. Derzeit ist unklar, ob Prüfungsachwesie, die sich as der Datenanalyse ergeben, angemessen sind oder mit anderen Prüfungsvrfahren auf der Grundlage des aktuellen Prüfungsnachweismodells einhergehen solten (PS äussert sich noch nicht dazu)

Datenauswahl/Stichprobe

• bestimmte Transaktionen zu selektieren, dami sie in Folge manuell geprüft werden können
• Nutzen: bei zufälliger Auswahl sorgt Prüfungssoftware dafür, dass keine subjektiven Komponenten ins Spiel kommen und dass Hochrechnung nach statistischen Regeln erfolgt

Einzelfallprüfung

• Quantifizierung Risiko durh umfangreiche automatisierte Einzelfallprüfungen (bspw. Transaktionsanalyse)
• Nutzen: Effizienzsteigerung im Vergleich zur manuellen Quantifizierung der Risiken. Analyse kann über gesamte Population erfolgen, was Prüfungssicherheit erhöht

Nachvollzug von Berechnungen/Funktionen

• Berechnungen und andere automatische Funktionalitäten wrden nachfollzogen (bspw. Zinsbrechnung, Kursumrechnungen) oder Funktionieren von automatisierten oder manuellen Kontrollen (bspw. Vierausgenprinzip, keine Auscbuchungen von Diffs. über bestimmten Betrag, Soll-Hanben-Übereinstimmung)
• Nutzen: Effizienzsteigerung durch automatisierte Prüfung von verschiedenen Sachverhalten und Möglichkeit, hohe Transaktionsvolumen bzw. ganzer Bestand zu prüfen

Suche nach Unregelmässigkeiten

• Suche nach bspw. irrtümlich doppelt erfasste Daten oder Suche nach Unregelmässigkeiten (Bspw. Negativpositionen im Warenlager, Aufträge ohne Zahlung)
• Nutzen: Erhöhung Prüfungssicherheit, da solche Unregelmässigkeiten durch manuelle Prüfungshandlungen oft gar nicht oder mit sehr grossen Aufwand identifiziert werden können

Datenabfrage/Auswertung

• Im Vordergrund steht Verarbeitung von Datenihalten zu Resultaten, welche dann für Prüfung verwendet werden können (bspw. Trendberechnung für analytische PHs)
• Nuten: Effizienzsteigerung durhc Automatisierung von Einzelfallprüfungen und analytischen PHs

• Sicherheit von Wiederherstellung und Nachvollzug
• Automatisierung
• Grösse der Dateien
• Importier- und Expoortierbarkeit der Auswertungsroutinen
• Kontrolldaten (Vollständigkeit und Richtigkeit?)
• Indexierung (Sortierung, Filtern, selektives Zugreifen möglich?)
• Berichtsfunktionaloität (Grafik, Tabellen?)
• Analysemodelle (vorderfinierte Modelle wie statistische Verteilungen, Trendberechnungen)?
• Sicherheit der zu verarbeiteten Daten

• Descriptive, das Business Intelligence und Data Mining verwendet -> Was ist passiert?
• Predictive, das anhand statistischer Modellwe und Prognosen fragt -> Was kann passieren?
• Prescriptive, die Optimierung und Simulation verwendet, um zu fragen -> Was sollen sir tun?

1. Planning
2. Data Extraction
3. Processing (Visualisierung)
4. Analyse und Report
5. Completion

Elemente bei denen zu Unrecht eine Übereinstimmun gzu gewissen Kriterien festgestellt werden

Data input Risk

• Sind die verwendeten Daten in einer kontrollierten weise in das Kundensystem eingegeben worde?
• Bsp. Doku: Memo, welches das Verständnis der IT-Umgebung, aus der die Daten für die weiteren Dantenalyse extrahiert werden, beschreibt. Das Memo sollte den "end-to-end"-Datenfluss und die damit verbundenen Risiken bei der Dateneingabe klären

Data Interity Risk

• Können die eingegeben Daten im Kundensystem (ERP) unkontrolliert abgeändert werden?
• Bsp. Doku: Memo, welches beschreibt, welche Schritte ds Prüfungsteam unternommen hat, um die Risiken der IT-Datenintegrität zu adressieren (Bs. Prüfung GITC / Prüfun gIT-Applikationskontrollen / Prüfung Kontrollen zur Funktionstrennung

Data Extraction and Manipulation Risk

• Sind die extrahierten Daten aus dem Kundensystem (ERP) vollständig und korrekt?
• Bsp. Doku: Memo zum Vorgehen zur Behebung der Risiken über die Vollständigkeit und Richtigkeit der Daten und Ergebnisse der Analyse
• Memo wie das Prüfungsteam bei Ausnahmen (Findings) vorgegangen ist, um diese zu klären und welche weiteren Prüfungshandlungen unternommen wurden

Relevanz GITC:

• GITC sind relevant für Data Integrity Risk und Data Extraction Risk
• Zusätzlich Auswirkungen auf systemgeschützte Kontrollen, die Data Input Risk abdecken
  • Option 1: infeffektive GITC haben keinen Einfluss auf verwendete Datenelemente in D&A -> keine weiteren PH
  • Option 2: ineffektive GITC haben Einfluss -> zusätzliche PHs (kompensierte Kontrollen oder aussagebezogenen PH)
  • Keine effektiven GITC -> Prüfung IPE basierend auf PS 500, TZ 9 (falls sich Datenanalysen auf IPE basieren)