Revision (REVIS)

Inhaltsverzeichnis[Verbergen]

Lernziele

Sie können den Zweck der IT-Revision – in Praxis und Fachliteratur auch als DV- oder IV-Revision bezeichnet – erläutern und kennen die Vorgehensweise der Revision. Sie kennen Grundsätze der Ordnungsmäßigkeit sowie der ordnungsmäßigen Datenverarbeitung und ihre Bedeutung für die Erreichung des Revisionszwecks. Sie erkennen die Bedeutung der Dokumentation für die Revision. Sie kennen Methoden, Techniken und Werkzeuge der IT-Revision sowie die Besonderheiten der Projekt begleitenden Revision.

Definitionen und Abkürzungen

  • AICPA = American Institute of Certified Public Accountants.

  • CA = Continuous Auditing.

  • CICA = Canadian Institute of Chartered Accountants.

  • EAM = Embedded Audit Module.

  • Ereignis (event) = Geschehnis, Vorkommen oder Begebenheit, das bzw. die zeitpunktbezogen und daher nicht Zeit verbrauchend sind.

  • Ereignisaufzeichnung (event logging) = Erfassung sämtlicher oder besonders definierter Ereignisse während eines Verarbeitungsvorgangs auf einer Log-Datei unter der Steuerung des Abrechnungssystems.

  • FAIT = Fachausschuss IT im IDW (ehemals FAMA).

  • FAMA = Fachausschuss für Moderne Abrechnungssysteme im IDW, heute FAIT.

  • FAMA-Gutachten (FAMA expertise) = Grundsätze für die Prüfung von IT-Systemen.

  • GoBS = Grundsätze ordnungsmäßiger DV-gestützter Buchführungssysteme.

  • Grundsatz (principle) = Richtlinie für das Handeln oder Verhalten. Synonym: Prinzip.

  • HFA = Hauptfachausschuss des IDW.

  • IDW = Institut der Wirtschaftsprüfer in Deutschland e. V. (Düsseldorf).

  • DIIR = Deutsches Institut für Interne Revision e. V. (Frankfurt a. M.).

  • IKS = Internes Kontrollsystem.

  • Kontrollierbarkeit (checkability) = Möglichkeit der Beobachtung des Verhaltens eines Objekts und seiner Beurteilung anhand von Verhaltenserwartungen.

  • Kurzprüfung (rapid audit) = mit einem Arbeitsaufwand von zwei bis drei Mitarbeitertagen einschließlich Auswertung und Dokumentation durchgeführte Prüfung.

  • Ordnungsmäßigkeit (regularity) = zusammenfassende Bezeichnung für Vollständigkeit, Richtigkeit, Zeitgerechtigkeit und Sicherheit einschließlich der Prüfbarkeit dieser Anforderungen durch einen sachkundigen Dritten (Prüfer, Revisor) in angemessener Zeit.

  • Prüfliste (checklist) = Methode zum Überprüfen von Systemeigenschaften mit dem Zweck, Systemmängel aufzudecken. Synonyme: Prüfungsfragebogen, Checkliste.

  • Prüfung (audit) = auf die Vergangenheit gerichtete Untersuchung von Vorgängen und Ereignissen durch prozessunabhängige Personen.

  • Verfahrensdokumentation (procedure documentation) = eine aus System-, Programm- und Benutzerdokumentation bestehende Dokumentation.

Zweck der Revision
Vorgehensweise der Revision
Grundsätze der Ordnungsmäßigkeit
Grundsätze ordnungsmäßiger Datenverarbeitung
Dokumentation und Revision
Projekt begleitende Revision
Werkzeuge

Forschungsbefunde

Nach Auffassung von Philipp (keine Angabe über verwendete Untersuchungsmethoden) hat sich bei der Umsetzung der GoBS in der Praxis und deren Kontrolle durch die Revision im Rahmen von Jahresabschlussprüfungen gezeigt, dass insbesondere in den Bereichen Erstellung und Pflege von Verfahrensdokumentationen ein erheblicher Handlungsbedarf besteht. Werkzeuge zur automatisierten Erstellung sind kaum vorhanden. Festzustellen ist auch, dass viele Unternehmen zwar zahlreiche Kontrollen in den Geschäftsprozessen vorgesehen haben, über deren Konsistenz, Zuverlässigkeit und Lückenlosigkeit aber oft keine Aussagen machen können. Ursache dafür ist das Fehlen einer geschlossenen Konzeption zur optimalen Gestaltung und zur Prüfung von internen Kontrollsystemen.

Philipp, M.: Ordnungsmäßige Informationssysteme im Zeitablauf – Umsetzung der GoBS im Informationssystem-Lebenszyklus. In: WIRTSCHAFTSINFORMATIK 4/1998, 312-317


Wähner kritisiert insbesondere Komplexität und Umfang von COBIT. Obwohl aufgrund der Herkunft des Frameworks eine prüfungsorientierte Sichtweise auf die IT verfolgt wird, scheint eine durchgängige Anwendung im Rahmen einer Systemprüfung nicht praktikabel zu sein.

Wähner, G. W.: DV-Revision – Handbuch für die Unternehmenspraxis. Ludwigshafen 2002

Aus der Praxis

Demonstrationsbeispiel

Es wird ein Auszug aus der FAMA-Checkliste EDV-Systemprüfung gezeigt, die zunächst in Prüfungsbereiche gegliedert ist (z. B. „C. Beurteilung der Datenverarbeitungsorganisation im Allgemeinen“). Jeder Prüfungsbereich ist in Teilbereiche gegliedert (z. B. „1. Aufbauorganisation“). In jedem Teilbereich wird zuerst das Arbeitsprogramm für den Prüfer erläutert; danach werden die Prüffragen gestellt, die vom Prüfer mit JA oder NEIN und gegebenenfalls mit einem Hinweis auf Arbeitspapiere beantwortet werden. Zu den Prüffragen finden sich teilweise Erläuterungen, die den Prüfer bei der Beantwortung unterstützen. Nachfolgend werden für C.1. Arbeitsprogramm und Prüffragen auszugsweise wiedergegeben.

Arbeitsprogramm: a) Erstellen Sie – oder beschaffen Sie sich – ein aktuelles Organisationsschema, das den Aufbau der EDV-Abteilung und ihre Eingliederung in die Unternehmensorganisation darstellt. b) Stellen Sie die Anzahl der Beschäftigten sowie Aufgaben und Verantwortlichkeiten jeder Organisationseinheit innerhalb der EDV-Abteilung fest. c) Stellen Sie fest, ob es elektronische Datenverarbeitung oder Komponenten davon ... außerhalb der unter a) dargestellten EDV-Abteilung gibt. Stellen Sie auch deren Aufgaben und Verantwortlichkeiten fest.

Prüffragen:

  • 1.11 Untersteht die EDV-Abteilung einer Institution, die unabhängig gegenüber den die EDV benutzenden Fachabteilungen ist (z. B. Controller, Verwaltungsvorstand)?
  • 1.12 (Wenn 1.11: Nein) Ist trotzdem sichergestellt, dass der übergeordnete Fachbereich keinen Einfluss auf die Arbeiten für andere Fachbereiche nimmt (insbesondere hinsichtlich Reihenfolge der Auftragsbearbeitung in der EDV-Abteilung; Beschränkung des Informationsumfanges der anderen Fachbereiche)?
  • 1.13 Sind innerhalb der EDV-Abteilung die folgenden Funktionen voneinander unabhängigen Arbeitsbereichen zugeordnet: Systemanalyse, Programmierung, Erstellung Erfassungsbeleg, Dateneingabe, Eingabekontrolle, Arbeitsvorbereitung, Maschinenbedienung (Operating), Nachbearbeitung? In großen Betrieben muss die Funktionstrennung genauer beachtet werden als in kleinen. Bei gering ausgeprägter Funktionstrennung müssen an die anderen Teile des Kontrollsystems, z. B. Überwachung des Ablaufs durch die jeweiligen Aufsichtsorgane, erhöhte Anforderungen gestellt werden. Zwischen der Datenerfassung/-eingabe, der Programmierung sowie der Maschinenbedienung (einschließlich Arbeitsvorbereitung) ist auf jeden Fall zu trennen.
  • 1.14 Bleibt auch bei Einsatz eines Stellvertreters für wichtige Mitarbeiter die Funktionstrennung erhalten?
  • 1.15 Wird überprüft (z. B. von der Revision), ob die festgelegte Funktionstrennung eingehalten wird?
Das Beispiel zeigt den Richtliniencharakter einer Checkliste; es ist aber auch erkennbar, dass sie in der Fassung 1993 (1987 publiziert) nicht den neuesten Stand der Aufbauorganisation und der Nutzungsformen der IT berücksichtigt; sie zeigt eine zentralisierte, stapelorientierte Ausrichtung. Die FAMA-Checkliste kann also – wie jede Checkliste – nur als Leitfaden für den Prüfer verstanden werden, der situativ angepasst werden muss.
 
Quelle
www.diir.de/arbeitskreise/ak09/wichtige-arbeitsgrundlagen/fama-stellungnahme/ Abruf am 24.1.2010

Methodenverweise

Kontrollfragen

  1. Welchen Zweck verfolgt die IT-Revision?

  2. Welche Vorgehensweisen sind für die IT-Revision kennzeichnend?

  3. Wodurch unterscheiden sich regelorientierte Prüfung und datenorientierte Prüfung?

  4. Welche Bedeutung haben die Grundsätze der Ordnungsmäßigkeit für die IT-Revision?

  5. Wie kann die Zweckmäßigkeit einer Projekt begleitenden Revision begründet werden?

Quellen

  • DIIR: FAMA Stellungnahme Datenverarbeitungsorganisation http://www.diir.de/arbeitskreise/ak09/wichtige-arbeitsgrundlagen/fama-stellungnahme ; Abruf: 2.2.2010

  • Groomer, S. M. / Murthy, U. S.: Continuous Auditing of Database Application - An Embedded Audit Module Approach. In: Journal of Information Systems 4/1989, 53-69

  • Groß, St. / Vogl, A.: Continuous Auditing – Ein Ansatz zur zeitnahen und kontinuierlichen Prüfung. http://www.elektronische-steuerpruefung.de ; Abruf: 29.3.2011

  • Heinrich, L. J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur. 7. A., München/Wien 2002

  • IDEA: http://www.auditware.co.uk/downloads/180_V8-Highlights-A4-AUDITWARE.pdf; Abruf 11.5.2011

  • IDW (Hrsg.): Stellungnahme FAMA 1/1987: Grundsätze ordnungsmäßiger Buchführung bei computergestützten Verfahren und deren Prüfung. In: Die Wirtschaftsprüfung 1,2/1988, 1-35

  • Marten, K.-U. / Quick, R. / Ruhnke, K.: Lexikon der Wirtschaftsprüfung. Stuttgart 2006

  • Odenthal, R.: Sicherheit und Prüfung von Betriebssystem und Netzwerk in einer SAP R/3-Umgebung. http://www.roger-odenthal.de/Mitgliederbereich/downloads/Netz_1.pdf; Abruf: 6.3.2008

  • Philipp, M.: Ordnungsmäßige Informationssysteme im Zeitablauf. In: WIRTSCHAFTSINFORMATIK 4/1998, 312-317

  • Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung (GoDV). Düsseldorf 1998

Vertiefungsliteratur

  • Amling, Th. / Bantleon, U.: Handbuch der Internen Revision – Grundlagen, Standards, Berufsstand. Berlin 2007

  • IDW (Hrsg.): Prüfung von IT-gestützten Geschäftsprozessen im Rahmen der Abschlussprüfung. In: IDW Fachnachrichten 1/2009, 39–49 (IDW PH 9.3302)

  • IDW (Hrsg.): Projekt begleitende Prüfung von Informationstechnologie. In: IDW Fachnachrichten 10/2008, 427–441 (IDW PS 850)

  • Institut für Interne Revision Austria (Hrsg.): Das interne Kontrollsystem aus Sicht der Internen Revision. Wien 2004

  • Peemöller, C.-Ch. / Volker, H.: Corporate Governance und Interne Revision – Handbuch für die Neuausrichtung des Internal Auditings. Berlin 2007

  • Schranner, G. / Gläser, D.: Nutzen der IT-Revision. In: Deutsches Institut für Interne Revision (Hrsg): Interne Revision aktuell. Berlin 2008, 39–338

Informationsmaterial

  • EDV-Audit Consult: Information zum AIS SAP R/3

  • IDW (Hrsg.): Grundsätze ordnungsmäßiger Durchführung von Abschlussprüfungen. In: Die Wirtschaftsprüfung 1+2/1989, 9–19

  • IDW (Hrsg.): FAMA-Checkliste „EDV-Systemprüfung“. In: Die Wirtschaftsprüfung 1,2/1988, 17–35

  • IDW (Hrsg.): FAMA-Fragebogen „DV-Systemprüfung“ – Anlage zur Stellungnahme FAMA 1/1987. In: FN-IDW 11/1993, 462 ff.

  • IDW (Hrsg.): HFA-Stellungnahme 4/1997: Projektbegleitende Prüfung EDV-gestützter Systeme. In: Die Wirtschaftsprüfung 19/1997, 680–682

  • IT-Audit.de: Bücher und Webseiten zu IT-Revision: http://www.it-audit.de/html/ian_sch_ita_standard.html