Startseite Aktuelle Auflage Lerneinheiten
REVIS - Revision
Inhalt
» Lernziele
» Definitionen und Abkürzungen
» Zweck der Revision
» Vorgehensweise der Revision
» Grundsätze der Ordnungsmäßigkeit
» Grundsätze ordnungsmäßiger Datenverarbeitung
» Dokumentation und Revision
» Projekt begleitende Revision
» Revision und Controlling
» Werkzeuge
» Forschungsbefunde
» Demonstrationsbeispiel
» Aus der Praxis
» Methodenverweise
» Kontrollfragen
» Quellen
» Vertiefungsliteratur
» Informationsmaterial
» Links

Lernziele

Sie können den Zweck der IT-Revision - in Praxis und Fachliteratur auch als DV- oder IV-Revision bezeichnet - erläutern und kennen die Vorgehensweise der Revision. Sie kennen Grundsätze der Ordnungsmäßigkeit sowie der ordnungsmäßigen Datenverarbeitung und ihre Bedeutung für die Erreichung des Revisionszweckes. Sie kennen Methoden und Werkzeuge der IT-Revision und erkennen die Bedeutung der Dokumentation für die Revision. Sie können Unterschiede und Gemeinsamkeiten zwischen Revision und Controlling erläutern.

Definitionen und Abkürzungen

  • AICPA = American Institute of Certified Public Accountants.

  • CA = Continuous Auditing.

  • Checkliste (checklist) = Methode zum Überprüfen von Systemeigenschaften mit dem Zweck, Systemmängel aufzudecken. Synonym: Prüfliste.

  • CICA = Canadian Institute of Chartered Accountants.

  • EAM = Embedded Audit Module.

  • Ereignis (event) = Geschehnis, Vorkommen oder Begebenheit, das bzw. die zeitpunktbezogen und daher nicht Zeit verbrauchend sind.

  • Ereignisaufzeichnung (event logging) = Erfassung sämtlicher oder besonders definierter Ereignisse während eines Verarbeitungsvorgangs auf einer Log-Datei unter der Steuerung des Abrechnungssystems.

  • FAIT = Fachausschuss IT im IDW (ehemals FAMA).

  • FAMA = Fachausschuss für Moderne Abrechnungssysteme im IDW, heute FAIT.

  • FAMA-Gutachten (FAMA expertise) = Grundsätze für die Prüfung von IT-Systemen.

  • Grundsatz (principle) = Richtlinie für das Handeln oder Verhalten. Synonym: Prinzip.

  • HFA = Hauptfachausschuss des IDW.

  • IDW = Institut der Wirtschaftsprüfer in Deutschland e. V.

  • IIR = Institut für Interne Revision (Deutschland).

  • IKS = Internes Kontrollsystem.

  • Kontrollierbarkeit (checkability) = Möglichkeit der Beobachtung des Verhaltens eines Objekts und seiner Beurteilung anhand von Verhaltenserwartungen.

  • Kurzprüfung (rapid audit) = mit einem Arbeitsaufwand von zwei bis drei Mitarbeitertagen einschließlich Auswertung und Dokumentation durchgeführte Prüfung.

  • Ordnungsmäßigkeit (regularity) = zusammenfassende Bezeichnung für Vollständigkeit, Richtigkeit, Zeitgerechtigkeit und Sicherheit einschließlich der Prüfbarkeit dieser Anforderungen durch einen sachkundigen Dritten (Prüfer) in angemessener Zeit.

  • Prüfung (audit) = auf die Vergangenheit gerichtete Untersuchung von Vorgängen und Ereignissen durch prozessunabhängige Personen.

  • Regel (rule) = Aussage, die eine bestimmte Handlung vorschreibt.

  • Verfahrensdokumentation (procedure documentation) = zusammenfassende Bezeichnung für System-, Programm- und Benutzerdokumentation.

Zweck der Revision
Vorgehensweise der Revision
Grundsätze der Ordnungsmäßigkeit
Grundsätze ordnungsmäßiger Datenverarbeitung
Dokumentation und Revision
Projekt begleitende Revision
Revision und Controlling
Werkzeuge
Forschungsbefunde

Demonstrationsbeispiel

Es wird ein Auszug aus der FAMA-Checkliste EDV-Systemprüfung gezeigt, die zunächst in Prüfungsbereiche gegliedert ist (z. B. „C. Beurteilung der Datenverarbeitungsorganisation im Allgemeinen“). Jeder Prüfungsbereich ist in Teilbereiche gegliedert (z. B. „1. Aufbauorganisation“). In jedem Teilbereich wird zuerst das Arbeitsprogramm für den Prüfer erläutert; danach werden die Prüffragen gestellt, die vom Prüfer mit JA oder NEIN und gegebenenfalls mit einem Hinweis auf Arbeitspapiere beantwortet werden. Zu den Prüffragen finden sich teilweise Erläuterungen, die den Prüfer bei der Beantwortung unterstützen. Nachfolgend werden für C.1. Arbeitsprogramm und Prüffragen auszugsweise wiedergegeben.

Arbeitsprogramm: a) Erstellen Sie – oder beschaffen Sie sich – ein aktuelles Organisationsschema, das den Aufbau der EDV-Abteilung und ihre Eingliederung in die Unternehmensorganisation darstellt. b) Stellen Sie die Anzahl der Beschäftigten sowie Aufgaben und Verantwortlichkeiten jeder Organisationseinheit innerhalb der EDV-Abteilung fest. c) Stellen Sie fest, ob es elektronische Datenverarbeitung oder Komponenten davon ... außerhalb der unter a) dargestellten EDV-Abteilung gibt. Stellen Sie auch deren Aufgaben und Verantwortlichkeiten fest.

Prüffragen:

  • 1.11 Untersteht die EDV-Abteilung einer Institution, die unabhängig gegenüber den die EDV benutzenden Fachabteilungen ist (z. B. Controller, Verwaltungsvorstand)?
  • 1.12 (Wenn 1.11: Nein) Ist trotzdem sichergestellt, dass der übergeordnete Fachbereich keinen Einfluss auf die Arbeiten für andere Fachbereiche nimmt (insbesondere hinsichtlich Reihenfolge der Auftragsbearbeitung in der EDV-Abteilung; Beschränkung des Informationsumfanges der anderen Fachbereiche)?
  • 1.13 Sind innerhalb der EDV-Abteilung die folgenden Funktionen voneinander unabhängigen Arbeitsbereichen zugeordnet: Systemanalyse, Programmierung, Erstellung Erfassungsbeleg, Dateneingabe, Eingabekontrolle, Arbeitsvorbereitung, Maschinenbedienung (Operating), Nachbearbeitung? In großen Betrieben muss die Funktionstrennung genauer beachtet werden als in kleinen. Bei gering ausgeprägter Funktionstrennung müssen an die anderen Teile des Kontrollsystems, z. B. Überwachung des Ablaufs durch die jeweiligen Aufsichtsorgane, erhöhte Anforderungen gestellt werden. Zwischen der Datenerfassung/-eingabe, der Programmierung sowie der Maschinenbedienung (einschließlich Arbeitsvorbereitung) ist auf jeden Fall zu trennen.
  • 1.14 Bleibt auch bei Einsatz eines Stellvertreters für wichtige Mitarbeiter die Funktionstrennung erhalten?
  • 1.15 Wird überprüft (z. B. von der Revision), ob die festgelegte Funktionstrennung eingehalten wird?
Das Beispiel zeigt den Richtliniencharakter einer Checkliste; es ist aber auch erkennbar, dass sie in der Fassung 1993 (1987 publiziert) nicht den neuesten Stand der Aufbauorganisation und der Nutzungsformen der IT berücksichtigt; sie zeigt eine zentralisierte, stapelorientierte Ausrichtung. Die FAMA-Checkliste kann also – wie jede Checkliste – nur als Leitfaden für den Prüfer verstanden werden, der situativ angepasst werden muss.
Aus der Praxis

Methodenverweise

Kontrollfragen

  1. Welchen Zweck verfolgt die IT-Revision?

  2. Welche Vorgehensweisen sind für die IT-Revision kennzeichnend?

  3. Wodurch unterscheiden sich regelorientierte Prüfung und datenorientierte Prüfung?

  4. Welche Bedeutung haben die Grundsätze der Ordnungsmäßigkeit für die IT-Revision?

  5. Wie kann die Zweckmäßigkeit einer Projekt begleitenden Revision begründet werden?

Quellen

  • DIIR: FAMA Stellungnahme Datenverarbeitungsorganisation http://www.diir.de/arbeitskreise/ak09/wichtige-arbeitsgrundlagen/fama-stellungnahme ; Abruf: 2.2.2010

  • Groomer, S. M. / Murthy, U. S.: Continuous Auditing of Database Application - An Embedded Audit Module Approach. In: Journal of Information Systems 4/1989, 53-69

  • Groß, St. / Vogl, A.: Continuous Auditing – Ein Ansatz zur zeitnahen und kontinuierlichen Prüfung. http://www.elektronische-steuerpruefung.de ; Abruf: 3.3.2008

  • Heinrich, L. J.: Informationsmanagement - Planung, Überwachung und Steuerung der Informationsinfrastruktur. 7. A., München/Wien 2002

  • IDEA: Audicon GmbH Düsseldorf. http://www.audicon.net/

  • IDW (Hrsg.): Stellungnahme FAMA 1/1987: Grundsätze ordnungsmäßiger Buchführung bei computergestützten Verfahren und deren Prüfung. In: Die Wirtschaftsprüfung 1,2/1988, 1-35

  • Odenthal, R.: Sicherheit und Prüfung von Betriebssystem und Netzwerk in einer SAP R/3-Umgebung. http://www.roger-odenthal.de/Mitgliederbereich/downloads/Netz_1.pdf; Abruf: 6.3.2008

  • Philipp, M.: Ordnungsmäßige Informationssysteme im Zeitablauf. In: WIRTSCHAFTSINFORMATIK 4/1998, 312-317

  • Schuppenhauer, R.: Grundsätze für eine ordnungsmäßige Datenverarbeitung (GoDV). Düsseldorf 1998

Vertiefungsliteratur

  • Institut für Interne Revision Austria (Hrsg.): Das interne Kontrollsystem aus Sicht der Internen Revision. Wien 2004

  • König, R. et al.: Prüfungsaspekte beim Outsourcing von DV-Leistungen. In: Zeitschrift Interne Revision 6/1994, 285-301

  • Kozlova, E. / Hasenkamp, U.: IT-Systeme in der Rechnungslegung und entsprechende Prüfungsanforderungen. Rechtliche Rahmenbedingungen: Aktueller Stand und Perspektiven. In: Oberweis, A. et al. (Hrsg.): eOrganisation. 8. Int. Tagung Wirtschaftsinformatik Karlsruhe 2007 Bd. 2, 985-1001

  • Ludewig, R.: Revisions- und Treuhandwesen. In: Wittmann, W. et al. (Hrsg.): Handwörterbuch der Betriebswirtschaft. 5. A., Stuttgart 1993, 3786-3798

Informationsmaterial

  • Deutsches Institut für Interne Revision (Hrsg.): IT-Revision - Leitfaden zur Durchführung von Prüfungen der Informationsverarbeitung. Berlin (CD ROM) o. J.

  • EDV-Audit Consult: Information zum AIS SAP R/3

  • IDW (Hrsg.): Grundsätze ordnungsmäßiger Durchführung von Abschlussprüfungen. In: Die Wirtschaftsprüfung 1+2/1989, 9-19

  • IDW (Hrsg.): FAMA-Checkliste „EDV-Systemprüfung". In: Die Wirtschaftsprüfung 1,2/1988, 17-35

  • IDW (Hrsg.): FAMA-Fragebogen „DV-Systemprüfung" - Anlage zur Stellungnahme FAMA 1/1987. In: FN-IDW 11/1993, 462 ff.

  • IDW (Hrsg.): HFA-Stellungnahme 4/1997: Projektbegleitende Prüfung EDV-gestützter Systeme. In: Die Wirtschaftsprüfung 19/1997, 680-682

Links

« CONTR - Controlling   OUTSO - Outsourcing »