BaliYoga HWP II

Das Kontrollrisiko ist das Risiko, dass eine falsche Angabe eines bestimmten Kontosaldos oder einer bestimmten Art von Geschäftsvorfällen, die - einzeln oder zusammen mit falschen Angaben anderer Kontensalden oder Arten von Geschäftsvorfällen - wesentlich sein kann, durch das Rechnungswesen-System oder durch das IKS nicht rechtzeitig verhindert bzw. aufgedeckt werden.

Unter Geschäftsrisiken sind die Risiken allgemeiner Natur zu verstehen, welche in den Aktivitäten der Unternehmung, dem wirtschaftlichen Umfeld sowie der Art und Weise der Geschäftsausübung begründet sind.

Das Fehlerrisiko beschreibt das Risiko, dass ungenügende oder fehlende interne Kontrollen Auswirkungen auf die Jahresrechnung haben können. Es umfasst das inhärente Risiko und das Kontrollrisiko.

Das Aufdeckungsrisiko ist das Risiko, dass aussagenbezogene Prüfungshandlungen des Abschlussprüfers eine falsche Angabe eines bestimmten Kontosaldos oder einer bestimmten Art von Geschäftsvorfällen nicht aufdecken, die - einzeln oder zusammen mit falschen Angaben anderer Kontensalden oder Arten von Geschäftsvorfällen - wesentlich sein können.

Das Prüfungsrisiko (=audit risk) besteht im Wesentlichen darin, dass der Prüfer zu einem falschen Urteil über den Abschluss kommt. Das Prüfungsrisiko lässt sich in der Praxis nicht völlig vermeiden.

- Pflichten bleiben weitgehend unverändert
- Pflicht zur Prüfung des Antrages über die Verwendung des Bilanzgewinnes entfällt
- Prüfung verlagert sich zusehends in Richtung Bewertung von Aktiven und Passiven (zu Liquidationswerten)

- Vorauszahlung (=> Aktivierung bei Gesellschaft)
- Kapitalherabsetzung mit Freigabe von Mitteln
- Auszahlung nach 3 Monaten sofern eine Bestätigung eines zugelassenen Revisionsexperten vorliegt (ab dritten Schuldenruf)

Sie besteht nur noch aus flüssigen Mitteln und Eigenkapital

- Berücksichtigung der Wesentlichkeit:  Im Normalfall Top-down Ansatz
 - Bedeutsame Risiken (=significant risks) => jährliche Prüfung der relevanten Kontrollen
 - Risiken, bei denen aussagenbezogene Prüfungen nicht ausreichen
- sonstige Risiken

- Befragungen
- analytische Prüfungshandlungen
- Beobachtung und Durchsicht

Risikobeurteilung hat folgende Ziele:
- Offenlegung Prüfungsrisiko
- Identifikation bedeutender Risiken
- Identifikation Schlüsselprüfgebiete
- Darstellung Auswirkung von Risikobeurteilung auf Prüfvorgehen und Berichterstattung
- Auswahl der Prüfungshandlungen

Die Analyse der Jahresrechnung basiert auf bereinigten betriebswirtschaftlichen Daten und hat folgende Ziele:
- Ermöglichung einer Einschätzung der finanziellen Situation der Unternehmung
- Gewinnung von Informationen zur Beurteilung der Unternehmesrisiken
- Feststellung der Stetigkeit der Jahresrechnung im Vorjahresvergleich
- Erlangung der Grundlage zur Festlegung der Wesentlichkeitsgrenzen
- Unterstützung bei Themendefinitionen

- Vorjahresvergleiche
- Budgetvergleiche (Achtung bei unrealistischen Budgetvorgaben und/oder Anreizsystemen)
- Trendanalyse (statistische Berechnung)
- Branchenvergleiche
- Benchmarking (Vergleich mit den „Klassenbesten“)
- Kennzahlenanalysen

- Sicherung der ordnungsgemässen und effizienten Geschäftsführung
- Schutz des Geschäftsvermögens und Vermeidung von Verstössen oder Irrtümern
- Richtigkeit und Vollständigkeit der Buchhaltung
- Zeitgerechte Erstellung von verlässlichen Finanzinformationen
- Einhaltung von Gesetzen und Vorschriften

- Kontrollumfeld
- Risikobeurteilungsprozess der Unternehmung
- Rechnungslegungsbezogenes IT-System
- Kontrollaktivitäten
- Überwachung des IKS

Das Kontrollumfeld umfasst die allgemeine Einstellung, das Bewusstsein und die Massnahmen der Führungskräfte, insbesondere der obersten Leitungsorgane, hinsichtlich der Überwachung der ordnungsgemässen und wirtschaftlichen Betriebstätigkeit.
Folgende Faktoren beschreiben das Konrollumfeld:
- Integrität und ehtische Grundwerte
- Kompetenz
- Funktionen der Leitungsorgane (Unabhängigkeit, Erfahrung, Involvierung, Zusammenarbeit, whistle-blowing)
- Grundsätze und Arbeitsweise der Unternehmensleitung (Vorgehen und Verhalten des Managements)
- Organisationsstruktur
- Regelung der Arbeitsabläufe
- Festlegung von Verantwortlichkeiten und Kompetenzen
- Organisatorische Hilfsmittel (Organigramm, Ablauf- und Funktionendiagramm, Stellebeschreibung, Reglemente, Kontenplan, Handbücher, Formular- Belegwesen, etc.)

- Anordnung/Vollzug und Kontrolle
- Kontrolle und Prüfung (interne Revision)
- Verwaltung und Aufzeichnung

- Risikobeurteilung des Unternehmens geht über das finanzielle Rechnungswesen hinaus. Wichtig: Risikobeurteilungsprozess soll die Auswirkungen auf die Jahresrechnung aufzeigt
- Risikobeurteilungsprozess ist individuell auszugestalten und setzt die Festlegung von Zielen und Strategien voraus
Management: Entwicklung von Prozessen um die Risiken zu identifizieren, deren Bedeutung und Eintrittswahrscheinlichkeit  zu bestimmen und nötige Gegenmassnahmen treffen
- Abschlussprüfer: bewertet die Risikobeurteilung auf:
a. Eintrittswahrscheinlichkeit der erkannten Risiken
b. Massnahmen im Risikomanagement getroffen werden
c. Sind die Risiken die einen Einfluss auf die Jahresrechnung haben identifiziert
d. Ausmass und Tragweite der Risiken korrekt eingeschätzt 

Abschlussprüfer macht sich einen Eindruck vom System & erlangt die nötigen Kenntnisse über:
- die manuellen und automatischen Prozesse
- erkennen, ob die Unternehmung wesentliche Massentransaktionen abwickelt
- erkennen der Informationsflüsse im Zusammenhang mit den einzelnen Elementen der Jahresrechnung
- erkennen von nicht standardisierten Prozessen und Transaktionen
Ziel =>  Sicherstellen, dass System korrekt funktioniert und die nötige Prüfungssicherheit bietet

Kontrollaktivitäten sind einzelne Vorgägne und Massnahmen, welche die Umsetzung und die Erreichung der definierten Kontrollziele sicherstellen.

- Präventive Kontrollen:
sollen verhindern, dass Fehler überhaupt gemacht werden
- Detektive Kontrollen:
müssen vorgenommen werden, wenn bei den präventiven Kontrollen grosse Fehlerhäufigkeit aufgetreten sind
- Selbsttätige Kontrolle:
organisatorische und technische Massnahmen, die direkt in die Abläufe integriert sind (Funktionentrennung, Kompetenzstufen, Regelung Arbeitsabläufe)
- Programmierte Kontrollen:
Zugriffsdifferenzierung, Authentisierung (Passwörter), Autorisierung, Prüfziffern, Plausibilisierungen, Kontrollsummen usw.
- Manuelle Kontrollen:
ergänzen programmierte Kontrollen (Genehmigungen, kritische Durchsicht, Abklärungen Fehlermeldungen usw.)
- Kontrollen durch Management:
Wahrnehmung Führungs- und Überwachungsaufgaben nach freiem Ermessen

Durch die Überwachung der Wirksamkeit einer Kontrolle kann die Leistung eines Kontrollesystems beurteilt werden

Fehler und Fraud werden durch die Absichtlichkeit abgrenzt, vgl. PS 240.3

Manipulation der Rechnungslegung:
Falsche Angaben in der Jahresrechnung, ie absichtlich herbeigeführt werden
Bsp. Fälschung der Buchführung und der ihr Zugrunde liegenden Transaktionen

Vermögensschädigungen:
Diebstahl von Vermögensgegenständen, die sich im Eigentum des Unternehmens Befinden (oftmals in Verbindung mit Urkundenfälschung)

- Instanzengliederung
- Funktionentrennung
- Regelung der Arbeitsabläufe (auch Spezialfälle, soweit als möglich)
- manuelle Kontrollen (Reporting, Genehmigungsverfahren, Abstimmungen, Zutrittskontrollen usw.)
- Programmierte Kontrollen (Zugriffsberechtigungen, Passwortschutz, Datenabgleich usw.)

HWP Band II, Seite 149

- interne Kontrollen werden von der Unternehmensleitung nicht angemessen überwacht
- Unternehmensleitung beschäftigt im RW ungeeignetes Personal
- Unrealistische Prognoseziele
- hohe Geldbestände und Bewegungen
- keine angemessene Funktionentrennung
- unvernünftige Forderungen an den Abschlussprüfer
- aggressive Anreizprogramme

- Befragung der Unternehmensleitung (Fraud Interview)
- Befragung der Überwachungsorgane (Fraud Interview)
- Beurteilung der Risikofaktoren für Verstösse
- Einbau von Überraschungselementen
- analytische Prüfungshandlungen

- Veränderung oder Löschung von Informationen, ohne ein erkennbare Spur zu hinterlassen
- ungenügend getestete Programme können Fehler enthalten (Auswirkung auf Transaktionen und evtl. auch auf andere Programme)
- Unbefugte Personen können von beliebigem Ort aus Daten lesen, ändern oder löschen, Programmänderungen vornehmen oder Prozesse auslösen
- automatische Generierung von Buchungen (z. B. Abschreibungen, Umlage auf Kosten auf rechtlich selbständige Einheiten, Bestellung eines Kunden kann Bestellung bei Lieferanten für Rohmaterial auslösen usw.)

- IT Prüfer ist in alle Prozesse des Prüfteams integriert
- IT-Prüfer weder eine Experte noch ein anderer Prüfer, ist im Prüfteam integriert
- AP's der IT-Prüfer gehören zu den allgemeinen AP's
- Abschlussprüfer muss Kontrollschwächen beurteilen

Anwendungsabhängige Prüfungen:
= umfasst alle automatisierten Verfahren einer Anwendung
Anwendungsunabhängige Prüfungen:
= umfasst alle manuellen oder automatisierten Kontrollen in denjenigen IT-Prozessen, welche für Betrieb, Unterhalt und Weiterentwicklung der IT-Infrastruktur massgebend sind (ITGC)
automatisierte Prüfungen:
= IT als Mittel zum Zweck (Bsp. OP-Listen, Altersgliederungen, etc.)