Besitzen Sie diesen Inhalt bereits, melden Sie sich an.
oder schalten Sie Ihr Produkt zur digitalen Nutzung frei.

Dokumentvorschau
WP Praxis Nr. 7 vom Seite 227

Die IT-Prüfung im Kontext des ISA 315 (revised 2019)

Neue Vorgehensweise und Abkehr von der klassischen IT-Systemprüfung

WP/StB Prof. Dr. Jonas Tritschler

Der neue ISA 315 (revised 2019) löst im Hinblick auf die IT-Prüfung die Methodik des IDW PS 330 ab. Er modernisiert den ISA-Prüfungsansatz auf Basis des Einflusses des technologischen Fortschritts auf die Abschlusserstellung und Abschlussprüfung. Im Rahmen des Prüfungsansatzes nach ISA 315 (revised 2019) gewinnt die IT-Prüfung an Bedeutung. Der Standard ist verpflichtend für Jahresabschlussprüfungen anzuwenden, die nach dem beginnen.

Canipa-Valdez, ISA, infoCenter, NWB PAAAE-15455

Kernaussagen
  • ISA 315 (revised 2019) wertet die IT-Prüfung innerhalb der Jahresabschlussprüfung gegenüber dem Vorgängerstandard deutlich auf.

  • Die Komplexität der IT-Umgebung ist ein konkretisierbares Kriterium für die Beurteilung inhärenter Risiken.

  • Die IT-Prüfung beschränkt sich auf generelle IT-Kontrollen und Informationsverarbeitungskontrollen, die nach Durchführung der Risikobeurteilung das Risiko einer wesentlichen falschen Darstellung auf Aussageebene adressieren (Risiken aus dem Gebrauch der IT).

  • Bei Identifizierung von Risiken aus dem Gebrauch von IT sind entsprechende Kontrollen auf Angemessenheit (Aufbauprüfung) und in aller Regel auch auf Wirksamkeit (Funktionsprüfung) zu prüfen.

I. IT-Prüfung im Kontext des ISA 315 (revised 2019)

1. Einleitung

Die IT-Prüfung innerhalb der Jahresabschlussprüfung folgte bislang der Methodik des IDW PS 330 i. d. F. vom . Schon am Datum der Fassung des Prüfungsstandards sieht man, dass er nicht mehr zeitgemäß sein kann. Mit der schrittweisen Einführung der ISA in Deutschland verschwindet der „Klassiker“ der IT-Prüfung als Arbeitsrichtlinie für den Abschlussprüfer. Im aktuellen ISA [DE] 315 wird die IT-Prüfung eher stiefmütterlich behandelt. Auf besondere Risiken von Technologien, neue Prüfungstechniken (automatisierte Tools und Prüfungstechniken) und Megatrends wie Digitalisierung, Künstliche Intelligenz und Cybersecurity etc. wurde nicht eingegangen. Der ISA 315 (revised 2019) adressiert die Veränderungen der letzten Jahre und widmet dem Thema IT einen großen Anteil. Übersicht 1 gibt Auskunft über relevante Textziffern und Anlagen in Bezug zur IT-Prüfung.


Tabelle in neuem Fenster öffnen
Übersicht 1: Relevante Textziffern und Anlagen in Bezug zur IT-Prüfung
Textziffer
Gegenstand
12(d)
Definition „General Information Technology (IT) Controls“
12(e)
Definition „IT environment“
12(g)
Definition „Information Processing Controls“
12(i)
Definition „Risks arising from the use of IT“
19(a)(i)
Understanding the extent to which the business model integrates the use of IT
25
Understanding the understanding of the entity's information system
25(a)(i)
Understanding the entity's information processing activities
25(a)(i)-(iv)
Information flow, accounting records, financial reporting process, relevant IT environment
25(b)
Understanding how the entity communicates significant matters that support the preparation of the financial statements and related reporting responsibilities in the information system
25(c)
Evaluation whether the entity's information system support the preparation of the financial statements
26(b), 26(a) (i)-(iv)
Identifying risks arising from the use of IT (RAIT)
26(c)(i)
Related risks arising from the use of IT
26(c)(ii)
General IT controls addressing related risks arising from IT
A56, A131-A174
Erläuterungen zu den Tz. 19, 25 und 26
Appendix 5
Considerations for Understanding Information Technology (IT)
Appendix 6
Considerations for Understanding General IT Controls

S. 228Neben einer veränderten Methodik in Bezug zur IT-Prüfung führt der ISA 315 (revised 2019) auch neue Kriterien zur Beurteilung des inhärenten Risikos ein. Für die Beurteilung von Risiken aus dem Gebrauch von IT (RAIT) wird insbesondere der Komplexitätsgrad, der seinerzeit über den Prüfungshinweis IDW PH 9.100.1 zur Durchführung von IT-Prüfung bei kleinen und mittleren Unternehmen (KMU) hinzugezogen wurde, um den IT-Prüfungsumfang einzugrenzen, auf internationaler Ebene eingeführt. Neben diesen beiden Aspekten stellt sich des Weiteren die Frage, ob die Aussage im Prüfungsbericht „die Buchführung entspricht den Grundsätzen ordnungsmäßiger Buchführung“ über den Umfang des ISA 315 hinaus weitere IT-Prüfungshandlungen verlangt. Die Diskussion dieser Aspekte ist Gegenstand dieses Artikels.