Auditing in einer computerbasierten Umgebung

Relevant für Foundation Level Paper FAU und ACCA Qualification Papers F8 und P7

Spezifische Aspekte der Prüfung in einer computerbasierten Umgebung

Informationstechnologie (IT) ist ein wesentlicher Bestandteil moderner Buchhaltungs- und Managementinformationssysteme. Es ist daher zwingend erforderlich, dass die Abschlussprüfer sich der Auswirkungen auf die Prüfung des Jahresabschlusses eines Kunden voll bewusst sind, sowohl im Zusammenhang damit, wie sie von einem Kunden verwendet werden, um Finanzinformationen in seinem Jahresabschluss zu sammeln, zu verarbeiten und zu melden, als auch wie der Abschlussprüfer sie bei der Prüfung des Jahresabschlusses verwenden kann.
Der Zweck dieses Artikels ist es, Leitlinien zu folgenden Aspekten der Prüfung in einer computergestützten Rechnungslegungsumgebung bereitzustellen:

  • Anwendungskontrollen, die Eingabe-, Verarbeitungs-, Ausgabe- und Masterdateikontrollen umfassen, die von einem Prüfungskunden über sein computergestütztes Buchhaltungssystem eingerichtet wurden, und
  • Computergestützte Prüfungstechniken (CAATs), die von Abschlussprüfern eingesetzt werden können, um die Integrität des computergestützten Buchhaltungssystems eines Kunden zu testen und zu schließen.

Prüfungsfragen zu jedem der oben genannten Aspekte werden oft von einer erheblichen Anzahl von Studenten zu einem unzureichenden Standard beantwortet – daher der Grund für diesen Artikel.
Umgang mit Anwendungskontrollen und CAATs wiederum:
ANWENDUNGSKONTROLLEN
Anwendungskontrollen sind diejenigen Kontrollen (manuell und computergestützt), die sich auf die Transaktions- und Bestandsdaten eines computergestützten Buchhaltungssystems beziehen. Sie sind spezifisch für einen bestimmten Antrag und dienen dazu, die Vollständigkeit und Richtigkeit der Buchhaltungsunterlagen und die Gültigkeit der in diesen Aufzeichnungen vorgenommenen Einträge sicherzustellen. Ein wirksames computergestütztes System stellt sicher, dass angemessene Kontrollen an den Eingangs-, Verarbeitungs- und Ausgabephasen des Computerverarbeitungszyklus und über die in den Stammdaten enthaltenen Daten vorhanden sind. Anwendungskontrollen müssen vom Abschlussprüfer im Rahmen der Ermittlung des Risikos wesentlicher falscher Angaben im Abschluss des Prüfungskunden ermittelt, aufgezeichnet und bewertet werden.
Eingabekontrollen
Kontrollmaßnahmen, die sicherstellen sollen, dass die Eingabe autorisiert, vollständig, genau und rechtzeitig erfolgt, werden als Eingabekontrollen bezeichnet. Abhängig von der Komplexität des betreffenden Anwendungsprogramms variieren solche Steuerelemente in Bezug auf Menge und Raffinesse. Zu den Faktoren, die bei der Bestimmung dieser Variablen zu berücksichtigen sind, gehören Kostenerwägungen und Vertraulichkeitsanforderungen in Bezug auf die Dateneingabe. Eingabesteuerungen, die den meisten effektiven Anwendungsprogrammen gemeinsam sind, umfassen Eingabeaufforderungen auf dem Bildschirm (z. B. eine Aufforderung an einen autorisierten Benutzer, sich anzumelden) und eine Einrichtung zur Erstellung eines Audit-Trails, mit dem ein Benutzer eine Transaktion von ihrem Ursprung bis zur Disposition im System verfolgen kann.
Spezifische Eingabevalidierungsprüfungen können umfassen:
Formatprüfungen
Diese stellen sicher, dass Informationen in der richtigen Form eingegeben werden. Zum Beispiel die Anforderung, dass das Datum eines Verkaufs in Sprache nur im numerischen Format eingegeben werden muss – nicht numerisch und alphanumerisch.
Bereichsprüfungen
Diese stellen sicher, dass die Informationseingabe erwartungsgemäß angemessen ist. Wenn ein Unternehmen beispielsweise selten, wenn überhaupt, Großkäufe mit einem Wert von mehr als 50.000 USD tätigt, wird eine Kaufrechnung mit einem Eingabewert von mehr als 50.000 USD zur Überprüfung und Nachverfolgung abgelehnt.
Kompatibilitätsprüfungen
Diese stellen sicher, dass Dateneingaben aus zwei oder mehr Feldern kompatibel sind. Beispielsweise sollte ein Verkaufsrechnungswert mit dem auf der Rechnung berechneten Umsatzsteuerbetrag vereinbar sein.
Validitätsprüfungen
Diese stellen sicher, dass die Dateneingabe gültig ist. Wenn ein Unternehmen beispielsweise ein Auftragskalkulationssystem betreibt, sollten Kosteneingaben in einen zuvor abgeschlossenen Auftrag als ungültig abgelehnt werden.
Ausnahmeprüfungen
Diese stellen sicher, dass ein Ausnahmebericht erstellt wird, in dem ungewöhnliche Situationen hervorgehoben werden, die nach der Eingabe eines bestimmten Elements aufgetreten sind. Zum Beispiel der Vortrag eines negativen Wertes für den Bestand.
Sequenzprüfungen
Diese erleichtern die Vollständigkeit der Verarbeitung, indem sie sicherstellen, dass Dokumente, die außerhalb der Sequenz verarbeitet werden, abgelehnt werden. Wenn beispielsweise vornummerierte Wareneingangsnotizen ausgegeben werden, um den Wareneingang in das physische Inventar zu erfassen, sollte jede Eingabe von Notizen außerhalb der Reihenfolge abgelehnt werden.
Kontrollsummen
Diese erleichtern auch die Vollständigkeit der Verarbeitung, indem sie sicherstellen, dass vor der Eingabe manuell vorbereitete Kontrollsummen mit den eingegebenen Kontrollsummen verglichen werden. Beispielsweise sollten nicht übereinstimmende Summen einer Charge von Einkaufsrechnungen zu einer Benutzeraufforderung auf dem Bildschirm oder zur Erstellung eines Ausnahmeberichts für die Nachverfolgung führen. Die Verwendung von Steuersummen auf diese Weise wird allgemein auch als Ausgangssteuerungen bezeichnet (siehe unten).
Check digit verification
Dieser Prozess verwendet Algorithmen, um sicherzustellen, dass die Dateneingabe korrekt ist. Beispielsweise sollten intern generierte gültige numerische Referenzcodes für Lieferanten so formatiert werden, dass alle mit einem falschen Code eingegebenen Einkaufsrechnungen automatisch abgelehnt werden.
Verarbeitungskontrollen
Es gibt Verarbeitungskontrollen, um sicherzustellen, dass alle Dateneingaben korrekt verarbeitet werden und dass Datendateien angemessen und rechtzeitig aktualisiert werden. Die Verarbeitungssteuerungen für ein bestimmtes Anwendungsprogramm sollten entworfen und dann getestet werden, bevor sie mit realen Daten ausgeführt werden. Diese können typischerweise die Verwendung von Run-to-Run-Kontrollen umfassen, die sicherstellen, dass die Integrität der kumulierten Summen, die in den Buchhaltungsdatensätzen enthalten sind, von einem Datenverarbeitungslauf zum nächsten aufrechterhalten wird. Zum Beispiel der Saldo, der auf dem Bankkonto im allgemeinen (nominalen) Hauptbuch eines Unternehmens vorgetragen wird. Andere Verarbeitungskontrollen sollten die nachfolgende Verarbeitung von Daten umfassen, die zum Zeitpunkt der Eingabe abgelehnt wurden, zum Beispiel:

  • Ein Computer produzierte einen Ausdruck von abgelehnten Artikeln.
  • Formelle schriftliche Anweisungen, die das Personal der Datenverarbeitung über die Verfahren informieren, die in Bezug auf abgelehnte Artikel zu befolgen sind.
  • Angemessene Untersuchung / Follow-up in Bezug auf abgelehnte Artikel.
  • Nachweis, dass abgelehnte Fehler korrigiert und erneut eingegeben wurden.

Ausgabesteuerungen
Es gibt Ausgabesteuerungen, um sicherzustellen, dass alle Daten verarbeitet werden und die Ausgabe nur an vorgeschriebene autorisierte Benutzer verteilt wird. Während der Grad der Ausgabekontrollen von Organisation zu Organisation unterschiedlich ist (abhängig von der Vertraulichkeit der Informationen und der Größe der Organisation), umfassen gemeinsame Kontrollen:

  • Verwendung von Chargenkontrollsummen, wie oben beschrieben (siehe ‘Eingabekontrollen’).
  • Angemessene Überprüfung und Weiterverfolgung von Ausnahmeberichtsinformationen, um sicherzustellen, dass keine dauerhaft ausstehenden Ausnahmepositionen vorliegen.
  • Sorgfältige Planung der Datenverarbeitung, um die rechtzeitige Verteilung von Informationen an die Endbenutzer zu erleichtern.
  • Formelle schriftliche Anweisungen zur Benachrichtigung des Datenverarbeitungspersonals über vorgeschriebene Verteilungsverfahren.
  • Laufende Überwachung der Verteilung der Produktion durch einen verantwortlichen Beamten, um sicherzustellen, dass sie gemäß den genehmigten Richtlinien verteilt wird.

Stammdatenkontrollen
Der Zweck von Stammdatenkontrollen besteht darin, die fortlaufende Integrität der in den Stammdateien enthaltenen Stammdaten sicherzustellen. Es ist von entscheidender Bedeutung, dass strenge Sicherheitskontrollen über alle Stammdaten durchgeführt werden.
Dazu gehören:

  • angemessene Verwendung von Passwörtern, um den Zugriff auf Stammdatendaten einzuschränken
  • die Einrichtung angemessener Verfahren für die Änderung von Daten, einschließlich einer angemessenen Aufgabentrennung, und die Befugnis zur Änderung, die auf geeignete verantwortliche Personen beschränkt ist
  • regelmäßige Überprüfung der Stammdatendaten auf autorisierte Daten durch einen unabhängigen verantwortlichen Beamten
  • Verarbeitungskontrollen bei der Aktualisierung von Stammdaten, einschließlich der Verwendung von Datensatzzahlen und Kontrollsummen.

COMPUTER ASSISTED AUDIT TECHNIQUES (CAATs)
Computergestützte Buchhaltungssysteme sind so beschaffen, dass Wirtschaftsprüfer den Computer des Prüfungsauftraggebers oder seinen eigenen als Prüfungsinstrument verwenden können, um sie bei ihren Prüfungsverfahren zu unterstützen. Inwieweit ein Prüfer bei einem bestimmten Prüfungsauftrag zwischen der Verwendung von CAATs und manuellen Techniken wählen kann, hängt von den folgenden Faktoren ab:

  • die Praktikabilität der Durchführung manueller Tests
  • die Kosteneffizienz der Verwendung von CAATs
  • die Verfügbarkeit der Prüfungszeit
  • die Verfügbarkeit der Computereinrichtung des Prüfungskunden
  • das Niveau der Prüfungserfahrung und des Fachwissens bei der Verwendung eines bestimmten CAAT
  • das Niveau der von der internen Prüfungsfunktion des Prüfungskunden durchgeführten CAATs und das Ausmaß, in dem der externe Prüfer kann sich auf diese Arbeit verlassen.

Es gibt drei Klassifikationen von CAATs – nämlich:

  • Audit-Software
  • Testdaten
  • Andere Techniken

Umgang mit jedem der oben genannten wiederum:
Audit-Software
Audit-Software ist ein Oberbegriff zur Beschreibung von Computerprogrammen zur Durchführung von Kontroll- und / oder inhaltlichen Verfahren. Solche Programme können klassifiziert werden als:
Paketprogramme
Diese bestehen aus vorbereiteten generalisierten Programmen, die von Auditoren verwendet werden, und sind nicht ‘kundenspezifisch’. Sie können verwendet werden, um zahlreiche Prüfungsaufgaben auszuführen, beispielsweise um eine Stichprobe entweder statistisch oder beurteilend während arithmetischer Berechnungen auszuwählen und auf Lücken in der Verarbeitung von Sequenzen zu prüfen.
Zweckgebundene Programme
Diese Programme sind in der Regel ‘kundenspezifisch’ und können zur Durchführung von Kontroll- oder Inhaltsverfahren verwendet werden. Prüfungssoftware kann gekauft oder entwickelt werden, aber in jedem Fall sollte der Prüfungsplan der Prüfungsgesellschaft sicherstellen, dass Vorkehrungen getroffen werden, um sicherzustellen, dass bestimmte Programme für das System eines Kunden und die Bedürfnisse der Prüfung geeignet sind. In der Regel können sie verwendet werden, um computergestützte Kontrollverfahren (z. B. Umsatzkostenberechnungen) erneut durchzuführen oder möglicherweise eine Altersanalyse der Forderungen aus Lieferungen und Leistungen (Debitorensalden) durchzuführen.
Anfrageprogramme
Diese Programme sind integraler Bestandteil des Buchhaltungssystems des Kunden; sie können jedoch für Prüfungszwecke angepasst werden. Wenn ein System beispielsweise die routinemäßige monatliche Berichterstattung über Mitarbeiterstarter und -abgänge vorsieht, kann diese Möglichkeit vom Wirtschaftsprüfer bei der Prüfung von Gehältern und Löhnen im Jahresabschluss des Kunden genutzt werden. In ähnlicher Weise könnte eine Fazilität zur Meldung von langen ausstehenden Salden aus Lieferungen und Leistungen (Gläubiger) von einem Wirtschaftsprüfer bei der Überprüfung des gemeldeten Wertes von Gläubigern verwendet werden.
Testdaten
Audit-Testdaten
Audit-Testdaten werden verwendet, um die Existenz und Wirksamkeit von Kontrollen zu testen, die in ein Anwendungsprogramm integriert sind, das von einem Audit-Client verwendet wird. Daher werden Scheintransaktionen über das Computersystem des Kunden abgewickelt. Die Ergebnisse der Verarbeitung werden dann mit den erwarteten Ergebnissen des Auditors verglichen, um festzustellen, ob die Kontrollen effizient funktionieren und die Objektivität der Systeme erreicht wird. Beispielsweise können zwei Scheinbankenzahlungstransaktionen (eine innerhalb und eine außerhalb der Parameter) mit der Erwartung verarbeitet werden, dass nur die innerhalb der Parameter verarbeitete Transaktion vom System ‘akzeptiert’ wird. Wenn die verarbeiteten Transaktionen nicht zu den erwarteten Ergebnissen führen, muss der Abschlussprüfer die Notwendigkeit verstärkter materieller Verfahren in dem zu überprüfenden Bereich berücksichtigen.
Integrierte Testeinrichtungen
Um das Risiko einer Beschädigung des Kundenkontosystems zu vermeiden, können Auditoren durch die Verarbeitung von Testdaten mit den anderen ‘Live’ -Daten des Kunden spezielle ‘Nur-Testdaten’ -Verarbeitungsläufe für Audit-Testdaten veranlassen. Der Hauptnachteil davon ist, dass der Auditor nicht die volle Sicherheit hat, dass die Testdaten in ähnlicher Weise wie die Live-Daten des Kunden verarbeitet werden. Um dieses Problem anzugehen, kann der Abschlussprüfer daher die Erlaubnis des Kunden einholen, eine integrierte Testeinrichtung innerhalb des Rechnungslegungssystems einzurichten. Dies beinhaltet die Einrichtung einer Dummy-Einheit, beispielsweise eines Dummy-Lieferantenkontos, gegen das die Testdaten des Auditors während normaler Verarbeitungsläufe verarbeitet werden.
Andere Techniken
Dieser Abschnitt enthält nützliche Hintergrundinformationen, um Ihr Gesamtverständnis zu verbessern.
Andere CAATs umfassen:
Embedded Audit Facilities (EAFs)
Diese Technik erfordert, dass der eigene Programmcode des Auditors in die Anwendungssoftware des Kunden eingebettet (integriert) wird, so dass Verifizierungsverfahren nach Bedarf für zu verarbeitende Daten durchgeführt werden können. Zum Beispiel können Kontrolltests die erneute Durchführung spezifischer Eingabevalidierungsprüfungen umfassen (siehe Eingabekontrollen oben) – ausgewählte Transaktionen können ‘markiert’ und durch das System verfolgt werden, um festzustellen, ob die angegebenen Kontrollen und Prozesse auf diese Transaktionen durch das Computersystem angewendet wurden. Das EAFs sollte sicherstellen, dass die Testergebnisse in einer speziellen sicheren Datei aufgezeichnet werden, die der Prüfer anschließend überprüfen kann, der aus den Testergebnissen auf die Integrität der Verarbeitungskontrollen im Allgemeinen schließen kann. Ein weiteres EAF, das von Studenten übersehen wird, ist das eines analytischen Überprüfungsprogramms, das die gleichzeitige Durchführung analytischer Überprüfungsverfahren für Kundendaten ermöglicht, während diese über das automatisierte System verarbeitet werden.
Prüfung des Anwendungsprogramms
Bei der Bestimmung des Umfangs, in dem sie sich auf Anwendungskontrollen verlassen können, müssen Prüfer berücksichtigen, in welchem Umfang bestimmte Kontrollen korrekt implementiert wurden. Wenn beispielsweise Systemänderungen während eines Abrechnungszeitraums vorgenommen wurden, müsste der Abschlussprüfer sicherstellen, dass sowohl vor als auch nach der Änderung die erforderlichen Kontrollen vorhanden sind. Der Abschlussprüfer kann versuchen, eine solche Zusicherung zu erhalten, indem er ein Softwareprogramm verwendet, um die vor und nach dem Änderungsdatum geltenden Kontrollen zu vergleichen.
Zusammenfassung
Die Hauptziele einer Prüfung ändern sich nicht, unabhängig davon, ob der Prüfungsauftrag in einer manuellen oder einer computergestützten Umgebung erfolgt. Der Prüfungsansatz, Planungsüberlegungen und Techniken, die verwendet werden, um ausreichende angemessene Prüfungsnachweise zu erhalten, ändern sich natürlich. Die Studierenden werden ermutigt, weiter zu lesen, um ihr Wissen über das Auditing in einer computergestützten Umgebung zu erweitern und ihre Fähigkeit zu üben, Prüfungsfragen zu diesem Thema zu beantworten, indem sie Fragen aus früheren ACCA-Prüfungsarbeiten versuchen.
Geschrieben von einem Mitglied des Audit Exam Teams

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.