Transcription of Entwurf IDW Prüfungsstandard: Abschlußprüfung …
1 IDW EPS 330 1 Entwurf IDW Pr fungsstandard: Abschlu pr fung bei Einsatz von Informationstechnologie (IDW EPS 330) (Stand: )1 Der Fachausschu f r Informationstechnologie (FAIT) des IDW hat den nachfolgen-den Entwurf eines IDW Pr fungsstandards verabschiedet. Eventuelle nderungs- oder Erg nzungsvorschl ge zu dem Entwurf werden schrift-lich an die Gesch ftsstelle des IDW, Postfach 32 05 80, 40420 D sseldorf, bis zum erbeten. Der Entwurf steht bis zu seiner endg ltigen Verabschiedung als IDW Pr fungsstandard im Internet ( ) unter der Rubrik Verlautba-rungen als Download-Angebot zur Verf gung. 1. 2. Ziele und Umfang von IT-Systempr Risiken aus dem Einsatz von Vorgehensweise bei der IT-Systempr Besonderheiten des risikoorientierten Pr fungsansatzes bei IT-Systempr fungen ..13 3. Durchf hrung von IT-Systempr fungen ..13 Auftragsannahme und Pr fungsplanung ..13 Erhebung von Informationen.
2 14 Pr fung des IT-Umfelds und der IT-Organisation ..16 Pr fung der IT-Infrastruktur ..16 Physische Sicherungsma Logische Zugriffskontrollen ..17 Datensicherungs- und Auslagerungsverfahren ..17 Ma nahmen f r den Regel- und Notbetrieb ..18 Sicherung der Betriebsbereitschaft ..19 Pr fung der Auswahl-, Entwicklungs- und nderungsproze ..21 Implementierung ..22 Pr fung IT-gest tzter Gesch ftsprozesse ..23 Pr fung des IT- berwachungssystems ..23 Pr fung des 4. IT-gest tzte Pr Einsatzbereiche ..25 1 Verabschiedet vom Fachausschu f r Informationstechnologie (FAIT) als Entwurf am IDW EPS 330 2 Einsatz im Rahmen der IT-Systempr fung ..26 Aussagebezogene Pr fungshandlungen ..27 IT-gest tzte Pr fungsdurchf hrung ..27 Verwendung des IT-Systems des Unternehmens f r Pr fungszwecke ..28 Besonderheiten bei Einsatz IT-gest tzter Pr fungstechniken.
3 29 5. Dokumentation und Berichterstattung ..30 6. bereinstimmung mit 1. Vorbemerkungen (1) Das Institut der Wirtschaftspr fer in Deutschland (IDW) legt in diesem IDW Pr fungsstandard die Berufsauffassung dar, nach der Wirtschaftspr fer unbeschadet ihrer Eigenverantwortlichkeit im Rahmen von Abschlu pr fun-gen IT-Systempr fungen durchf hren. (2) Der IDW Pr fungsstandard betrifft Abschlu pr fungen, Pr fungen von Jahres-, Konzern- und Zwischenabschl ssen IDW Pr fungsstandards: Ziele und allgemeine Grunds tze der Durchf hrung von Abschlu pr fungen (IDW PS 200)2, Tz. 5). (3) Wirtschaftszweigspezifische ( bei der Pr fung von Kreditinstituten, Versi-cherungsunternehmen) und sonstige Besonderheiten, die im Einzelfall zu-s tzlich zu ber cksichtigen sind, bleiben in diesem IDW Pr fungsstandard au er Betracht. (4) F r Pr fungen mit einem abweichenden Pr fungsgegenstand oder Pr fun-gen, die Abschlu pr fungen nach Art und Umfang nicht entsprechen, ist im Einzelfall zu entscheiden, inwieweit die Grunds tze dieses IDW Pr fungs-standards Anwendung finden.
4 Erweiterte und spezielle Anforderungen an IT-Systempr fungen, die ber die f r Abschlu pr fungen geltenden Anforde-rungen hinausgehen, sind in der Stellungnahme HFA 4/1997: Pro-jektbegleitende Pr fung EDV-gest tzter Systeme3 und dem IDWPr fungs-standard: Erteilung und Verwendung von Softwarebescheinigungen (IDW PS 880)4 dargestellt. (5) Der IDW Pr fungsstandard entspricht dem International Standard on Auditing (ISA) 401 Auditing in a Computer Information Systems Environment 5 unter Ber cksichtigung neuer Entwicklungen. Der IDW Pr fungsstandard beinhal-tet zudem erg nzende Anforderungen, die sich aus der deutschen Rechtsla-ge und Berufs bung ergeben. 2 WPg 2000, S. 706 ff. 3 WPg 1997, S. 680 ff. 4 WPg 1998, S. 1066 ff. 5 IFAC Handbook 2000, Technical Pronouncements, New York 2000, S. 230 ff. IDW EPS 330 3 (6) Dieser IDW Pr fungsstandard ersetzt die Abschn.
5 C. und D. der Stellung-nahme FAMA 1/1987: Grunds tze ordnungsm iger Buchf hrung bei com-putergest tzten Verfahren und deren Pr (7) Zum Einsatz von IT im Unternehmen und der Einrichtung eines IT-Systems gelten die Regelungen der IDW Stellungnahme zur Rechnungslegung: Grunds tze ordnungsm iger Buchf hrung bei Einsatz von Information-stechnologie (IDW ERS FAIT 1)7. Dieser IDW Pr fungsstandard basiert auf den allgemeinen Anforderungen an die Pr fung des internen Kontrollsystems durch den Abschlu pr fer (vgl. IDW Pr fungsstandard: Das interne Kontroll-system im Rahmen der Abschlu pr fung (IDW PS 260)8. 2. Ziele und Umfang von IT-Systempr fungen (8) Der Abschlu pr fer hat das IT-gest tzte Rechnungslegungssystem daraufhin zu beurteilen, ob es den gesetzlichen Anforderungen insbesondere den im IDW ERS FAIT 1 dargestellten Ordnungsm igkeits- und Sicherheitsanfor-derungen entspricht, um die nach 322 Abs.)
6 1 Satz 1 HGB 317 Abs. 1 Satz 1 HGB und 321 Abs. 2 Satz 2 HGB geforderten Pr fungsaus-sagen ber die Ordnungsm igkeit der Buchf hrung treffen zu k nnen (vgl. IDW Pr fungsstandard: Grunds tze f r die ordnungsm ige Erteilung von Best tigungsvermerken bei Abschlu pr fungen (IDW PS 400)9, Tz. 42, 66; IDW Pr fungsstandard: Grunds tze ordnungsm iger Berichterstattung bei Abschlu pr fungen (IDW PS 450)10, Tz. 60 ff.). Folglich hat der Ab-schlu pr fer das IT-System des Unternehmens insoweit zu pr fen, als des-sen Elemente dazu dienen, Informationen ber Gesch ftsvorf lle abzubilden, die f r die Rechnungslegung von Bedeutung sein k nnen (rechnungsle-gungsrelevant). Der Begriff der Rechnungslegung umfa t dabei die Buchf h-rung, den Jahresabschlu und den Lagebericht bzw. auf Konzernebene den Konzernabschlu und den Konzernlagebericht (vgl.)
7 IDW PS 400, Tz. 2). 6 WPg 1988, S. 1 ff. 7 Liegt derzeit als Entwurf IDW Stellungnahme zur Rechnungslegung: Grunds tze ordnungsm iger Buchf h-rung bei Einsatz von Informationstechnologie (IDW ERS FAIT 1) vor, (WPg 2001, S. 512 ff.). 8 WPg 2001, S. 9 WPg 1999, S. 641 ff. 10 WPg 1999, S. 601 ff. IDW EPS 330 4 IT-Kontrollsystem(IT-Organisation/IT-Umf eld) Anforderungen an das IT-System: Ordnungsm igkeit der Rechnungslegung (Vollst ndigkeit, Richtigkeit, Zeitgerechtigkeit, Ordnung, Nachvollziehbarkeit, Unver nderlichkeit) Voraussetzung ist Sicherheit(Authentizit t, Autorisierung, Vertraulichkeit, Verbindlichkeit, Integrit t,Verf gbarkeit)IT-Fehlerrisiken* soweit rechnungslegungsrelevantIT-Gesch fts-proze risikenIT-Anwendungs-risikenIT-Infrastru ktur-risikenIT-Gesch ftsprozesse*IT-Anwendungen*IT-Infrastruk tur*IT-SystemPr fungskriterienPr fungsgegenstandPr fungsziel Abbildung: IT-Systempr fung (9) Die IT-Systempr fung stellt damit einen Teilausschnitt aus der Pr fung des internen Kontrollsystems dar und wird nach den allgemeinen Grunds tzen f r die Pr fung von internen Kontrollsystemen geplant und durchgef hrt.
8 Ziel der IT-Systempr fung ist die Beurteilung der IT-Fehlerrisiken, des Risikos wesentlicher Fehler im IT-System, soweit diese rechnungslegungsrelevant sind (vgl. IDW PS 260, Tz. 23 ff.). Da das IT-Kontrollsystem integraler Bestandteil des Internen Kontrollsystems eines Unternehmens ist, hat der Abschlu pr fer die aussagebezogenen Pr -fungshandlungen (analytische Pr fungshandlungen sowie Einzelfallpr -fungen) unter Ber cksichtigung sowohl der Ergebnisse der Pr fung des IT-Kontrollsystems als auch des Internen Kontrollsystems in seiner Gesamt-heit zu bemessen. (10) IT-Systempr fungen erfordern spezielle, auf das IT-System bezogene Pr -fungsmethoden. Pr fungsgegenstand sind die Pr fungsgebiete IT-Infrastruktur, IT-Anwendungen und IT-gest tzte Gesch ftsprozesse ein-schlie lich des IT-Umfeldes und der IT-Organisation. Art und Umfang der IT-Systempr fungen bestimmen sich auch aus der Wesentlichkeit des IT-Systems f r die Rechnungslegung bzw.
9 F r die Beurteilung der Ordnungsm igkeit der Rechnungslegung und der Komplexit t des eingesetzten IT-Systems, die insbesondere von dem Grad der Integration in umfassende EDV-L sungen abh ngt. (11) Die IT-Systempr fung kann sich grunds tzlich auf die Elemente des IT-Systems beschr nken, die f r die IT-gest tzte Rechnungslegung von we-sentlicher Bedeutung sein k nnen. IDW EPS 330 5 (12) Bei der Bemessung des Umfangs von IT-Systempr fungen ist weiterhin die Komplexit t der eingesetzten IT zu ber cksichtigen. Bei IT-Anwendungen mit geringer Komplexit t ( PC-gest tzte Buchf hrungssysteme) kann sich die IT-Systempr fung auf ausgew hlte Funktionalit ten wie bspw. Funktiona-lit ten zur Generierung automatischer Buchungen beschr nken, wenn die hinreichende Sicherheit der Pr fungsaussagen (vgl. IDW PS 200, Tz. 24 ff.) durch aussagebezogene Pr fungshandlungen bzw. Plausibilisierungshand-lungen erlangt werden kann.
10 Bei komplexen IT-Systemen ist eine umfassen-de IT-Systempr fung stets erforderlich, weil eine Beurteilung der Ordnungs-m igkeit und Sicherheit der IT-gest tzten Rechnungslegung ohne Ber ck-sichtigung der programmierten rechnungslegungsrelevanten Abl ufe nicht m glich ist. (13) Neben der Aufnahme des IT-Systems im Unternehmen mu sich der Ab-schlu pr fer auch einen berblick ber ausgelagerte Bestandteile des IT-Systems verschaffen. Die Pr fung von Unternehmen mit einem eigen-st ndigen Rechenzentrumsbetrieb im Unternehmen erfordert eine andere Vorgehensweise als die Pr fung von Unternehmen, deren IT-System ganz oder teilweise ausgelagert ist. Die Verantwortlichkeit des Abschlu pr fers er-streckt sich in jedem Fall auf das gesamte rechnungslegungsrelevante IT-System. (14) IT-Systempr fungen k nnen als ex-post-Pr fungen, nach Modifikation, Neu-einf hrung oder Erweiterungen wesentlicher rechnungslegungsrelevanter IT-Anwendungen erfolgen.
