Besitzen Sie diesen Inhalt bereits,
melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.
Die IT-Prüfung im Kontext des ISA 315 (revised 2019)
Neue Vorgehensweise und Abkehr von der klassischen IT-Systemprüfung
Der neue ISA 315 (revised 2019) löst im Hinblick auf die IT-Prüfung die Methodik des IDW PS 330 ab. Er modernisiert den ISA-Prüfungsansatz auf Basis des Einflusses des technologischen Fortschritts auf die Abschlusserstellung und Abschlussprüfung. Im Rahmen des Prüfungsansatzes nach ISA 315 (revised 2019) gewinnt die IT-Prüfung an Bedeutung. Der Standard ist verpflichtend für Jahresabschlussprüfungen anzuwenden, die nach dem beginnen.
Canipa-Valdez, ISA, infoCenter, NWB PAAAE-15455
ISA 315 (revised 2019) wertet die IT-Prüfung innerhalb der Jahresabschlussprüfung gegenüber dem Vorgängerstandard deutlich auf.
Die Komplexität der IT-Umgebung ist ein konkretisierbares Kriterium für die Beurteilung inhärenter Risiken.
Die IT-Prüfung beschränkt sich auf generelle IT-Kontrollen und Informationsverarbeitungskontrollen, die nach Durchführung der Risikobeurteilung das Risiko einer wesentlichen falschen Darstellung auf Aussageebene adressieren (Risiken aus dem Gebrauch der IT).
Bei Identifizierung von Risiken aus dem Gebrauch von IT sind entsprechende Kontrollen auf Angemessenheit (Aufbauprüfung) und in aller Regel auch auf Wirksamkeit (Funktionsprüfung) zu prüfen.
I. IT-Prüfung im Kontext des ISA 315 (revised 2019)
1. Einleitung
Die IT-Prüfung innerhalb der Jahresabschlussprüfung folgte bislang der Methodik des IDW PS 330 i. d. F. vom . Schon am Datum der Fassung des Prüfungsstandards sieht man, dass er nicht mehr zeitgemäß sein kann. Mit der schrittweisen Einführung der ISA in Deutschland verschwindet der „Klassiker“ der IT-Prüfung als Arbeitsrichtlinie für den Abschlussprüfer. Im aktuellen ISA [DE] 315 wird die IT-Prüfung eher stiefmütterlich behandelt. Auf besondere Risiken von Technologien, neue Prüfungstechniken (automatisierte Tools und Prüfungstechniken) und Megatrends wie Digitalisierung, Künstliche Intelligenz und Cybersecurity etc. wurde nicht eingegangen. Der ISA 315 (revised 2019) adressiert die Veränderungen der letzten Jahre und widmet dem Thema IT einen großen Anteil. Übersicht 1 gibt Auskunft über relevante Textziffern und Anlagen in Bezug zur IT-Prüfung.
Tabelle in neuem Fenster öffnen
Übersicht 1: Relevante Textziffern
und Anlagen in Bezug zur IT-Prüfung | |
Textziffer | Gegenstand |
12(d) | Definition „General Information Technology (IT)
Controls“ |
12(e) | Definition „IT environment“ |
12(g) | Definition „Information Processing Controls“ |
12(i) | Definition „Risks arising from the use of IT“ |
19(a)(i) | Understanding the extent to which the business model integrates
the use of IT |
25 | Understanding the understanding of the entity's information
system |
25(a)(i) | Understanding the entity's information processing
activities |
25(a)(i)-(iv) | Information flow, accounting records, financial reporting
process, relevant IT environment |
25(b) | Understanding how the entity communicates significant matters
that support the preparation of the financial statements and related reporting
responsibilities in the information system |
25(c) | Evaluation whether the entity's information system support the
preparation of the financial statements |
26(b), 26(a) (i)-(iv) | Identifying risks arising from the use of IT (RAIT) |
26(c)(i) | Related risks arising from the use of IT |
26(c)(ii) | General IT controls addressing related risks arising from
IT |
A56, A131-A174 | Erläuterungen zu den Tz. 19, 25 und 26 |
Appendix 5 | Considerations for Understanding Information Technology
(IT) |
Appendix 6 | Considerations for Understanding General IT Controls |
S. 228Neben einer veränderten Methodik in Bezug zur IT-Prüfung führt der ISA 315 (revised 2019) auch neue Kriterien zur Beurteilung des inhärenten Risikos ein. Für die Beurteilung von Risiken aus dem Gebrauch von IT (RAIT) wird insbesondere der Komplexitätsgrad, der seinerzeit über den Prüfungshinweis IDW PH 9.100.1 zur Durchführung von IT-Prüfung bei kleinen und mittleren Unternehmen (KMU) hinzugezogen wurde, um den IT-Prüfungsumfang einzugrenzen, auf internationaler Ebene eingeführt. Neben diesen beiden Aspekten stellt sich des Weiteren die Frage, ob die Aussage im Prüfungsbericht „die Buchführung entspricht den Grundsätzen ordnungsmäßiger Buchführung“ über den Umfang des ISA 315 hinaus weitere IT-Prüfungshandlungen verlangt. Die Diskussion dieser Aspekte ist Gegenstand dieses Artikels.