Studiennotizen: ISA-CH 315 (Ausgabe 2024) - Risikobeurteilung

This set of 200 flashcards covers all sections of the ISA-CH 315 (Revised 2024) summary, focusing on definitions, key concepts, IKS components, and IT risk assessment in the context of Swiss auditing standards.

Ab wann ist der ISA-CH 315 (Revised) in der Ausgabe 2024 verpflichtend anzuwenden?

Er gilt für die Prüfung von Abschlüssen für Zeiträume, die am oder nach dem 15.12.2024 beginnen.

Wie lautet die Formel für das Prüfungsrisiko gemäss ISA-CH 315?

Prüfungsrisiko = $Risiken\,wesentlicher\,falscher\,Darstellungen \times Entdeckungsrisiko$.

Welches Ziel verfolgt der Abschlussprüfer in Bezug auf das Prüfungsrisiko?

Das Prüfungsrisiko auf ein vertretbar niedriges Mass zu reduzieren.

Auf welchen zwei Ebenen können Risiken wesentlicher falscher Darstellungen bestehen?

Auf der Ebene des Abschlusses als Ganzes (Abschlussebene) und auf der Aussageebene.

Was versteht man unter dem 'inhärenten Risiko'?

Die Anfälligkeit einer Aussage für eine falsche Darstellung vor Würdigung von Kontrollen.

Was versteht man unter dem 'Kontrollrisiko'?

Das Risiko, dass eine falsche Darstellung durch Kontrollen nicht verhindert oder nicht zeitgerecht aufgedeckt und korrigiert wird.

Was bezeichnet der Begriff 'Spektrum inhärenter Risiken'?

Das Ausmass, in dem das inhärente Risiko variiert.

Welche zwei Arten von Ursachen für falsche Darstellungen deckt der ISA-CH 315 ab?

Irrtümer und dolose Handlungen.

Welcher zusätzliche Standard enthält ergänzende Anforderungen wegen der Bedeutsamkeit doloser Handlungen?

ISA-CH 240.

Gilt der ISA-CH 315 für alle Einheiten unabhängig von ihrer Grösse?

Ja, er gilt für Prüfungen aller Einheiten, ist jedoch skalierbar.

Ist die Grösse einer Einheit gleichbedeutend mit ihrer Komplexität?

Nein, die Grösse ist ein Indikator, aber auch kleine Einheiten können komplex sein.

Was ist das primäre Ziel des Abschlussprüfers nach Tz. 11 des ISA-CH 315?

Risiken wesentlicher falscher Darstellungen auf Abschluss- und Aussageebene zu identifizieren und zu beurteilen.

Was sind 'Aussagen' (Assertions) gemäss den Definitionen des Standards?

Explizite oder anderweitige Darlegungen zu Ansatz, Bewertung, Darstellung und Angabe im Abschluss.

Wovon sind Aussagen laut Tz. 3.1 abzugrenzen?

Von schriftlichen Erklärungen nach ISA-CH 580.

Was ist ein 'Geschäftsrisiko'?

Ein Risiko, das aus bedeutsamen Gegebenheiten resultiert und sich nachteilig auf die Zielerreichung oder Strategieumsetzung auswirkt.

Wie werden 'Kontrollen' definiert?

Von der Einheit eingerichtete Regelungen oder Massnahmen zum Erreichen von Kontrollzielen.

Was ist der Unterschied zwischen Regelungen und Massnahmen im Kontext von Kontrollen?

Regelungen erklären, was getan werden soll; Massnahmen sind Handlungen zur Implementierung dieser Regelungen.

Was sind 'direkte Kontrollen'?

Kontrollen, die präzise genug sind, um Risiken auf Aussageebene direkt zu behandeln.

Was sind 'indirekte Kontrollen'?

Kontrollen, die direkte Kontrollen unterstützen, wie z. B. das Kontrollumfeld.

Was umfassen 'generelle IT-Kontrollen' (GITCs)?

Kontrollen über IT-Prozesse, die den kontinuierlichen ordnungsgemässen Betrieb der IT-Umgebung unterstützen.

Welche drei Aspekte der Informationsintegrität sichern GITCs?

Vollständigkeit, Richtigkeit und Gültigkeit.

Was sind 'Kontrollen der Informationsverarbeitung'?

Kontrollen in IT-Anwendungen oder manuelle Prozesse, die Risiken für die Integrität der Informationen direkt behandeln.

Was sind 'inhärente Risikofaktoren'?

Merkmale von Ereignissen oder Umständen, die die Anfälligkeit einer Aussage beeinflussen, bevor Kontrollen berücksichtigt werden.

Nenne die fünf im Standard explizit genannten qualitativen inhärenten Risikofaktoren.

Komplexität, Subjektivität, Veränderung, Unsicherheit und Anfälligkeit für Management-Bias/dolose Handlungen.

Was sind Beispiele für 'weitere inhärente Risikofaktoren'?

Quantitative Bedeutsamkeit, Volumen oder Uneinheitlichkeit in der Zusammensetzung der verarbeiteten Gegenstände.

Was umfasst die 'IT-Umgebung'?

IT-Anwendungen, unterstützende Infrastruktur, IT-Prozesse und das beteiligte Personal.

Wie ist eine 'IT-Anwendung' definiert?

Programme zur Initiierung, Verarbeitung, Aufzeichnung und Berichterstattung von Geschäftsvorfällen oder Informationen.

Was gehört zur 'IT-Infrastruktur'?

Netzwerk, Betriebssysteme, Datenbanken sowie zugehörige Hardware und Software.

Welche vier Kernbereiche verwalten 'IT-Prozesse'?

Zugriff, Programmänderungen, Änderungen an der IT-Umgebung und den IT-Betrieb.

Wann ist eine Aussage 'relevant' gemäss Tz. 3.8?

Wenn sie ein identifiziertes Risiko wesentlicher falscher Darstellungen aufweist.

Wann erfolgt die Feststellung, ob eine Aussage 'relevant' ist?

Vor Berücksichtigung etwaiger Kontrollen (auf Basis des inhärenten Risikos).

Was sind 'aus dem IT-Einsatz resultierende Risiken'?

Anfälligkeit von Kontrollen oder Prozessen für unwirksame Ausgestaltung/Funktion aufgrund der IT.

Was ist eine 'bedeutsame Art von Geschäftsvorfällen'?

Eine Art, für die eine oder mehrere relevante Aussagen vorhanden sind.

Wann liegt ein Risiko 'nahe am oberen Ende des Spektrums' inhärenter Risiken?

Wenn es als 'bedeutsames Risiko' (Significant Risk) eingestuft wird.

Welche zwei Faktoren bestimmen die Position eines Risikos im Spektrum?

Eintrittswahrscheinlichkeit und Ausmass der möglichen falschen Darstellung.

Nenne ein Beispiel für ein Risiko, das laut ISA-CH 240 immer als bedeutsam zu behandeln ist.

Risiken aus dolosen Handlungen (Tz. 27).

Nenne ein Beispiel für ein Risiko, das laut ISA-CH 550 immer als bedeutsam zu behandeln ist.

Risiken im Zusammenhang mit nahestehenden Personen (Tz. 18).

Was ist das 'Interne Kontrollsystem' (IKS)?

Ein System zur Erlangung hinreichender Sicherheit über die Verlässlichkeit der Rechnungslegung, Wirksamkeit der Tätigkeit und Gesetzeskonformität.

Nenne die fünf Komponenten des IKS gemäss ISA-CH 315.

Kontrollumfeld, Risikobeurteilungsprozess der Einheit, Überwachung des IKS, Informationssystem und Kommunikation, Kontrollaktivitäten.

Worauf darf sich der Prüfer bei der Risikoidentifizierung laut Tz. 13 nicht einseitig ausrichten?

Auf untermauernde Nachweise oder den Ausschluss widersprüchlicher Nachweise.

Warum ist eine nicht-einseitige Prüfung wichtig?

Sie hilft, widersprüchliche Informationen zu identifizieren und stützt die kritische Grundhaltung.

Welche drei Prüfungshandlungen müssen gemäss Tz. 14 zur Risikobeurteilung eingeschlossen werden?

Befragungen, analytische Prüfungshandlungen sowie Beobachtung und Inaugenscheinnahme.

Wer muss innerhalb der Einheit zwingend befragt werden, sofern vorhanden?

Das Management und die interne Revision.

Welche Informationen aus früheren Prüfungen müssen laut Tz. 16 gewürdigt werden?

Ob diese Informationen weiterhin relevant und verlässlich als Prüfungsnachweise sind.

Wer muss an der Diskussion im Prüfungsteam gemäss Tz. 17 teilnehmen?

Der Auftragsverantwortliche und andere Mitglieder mit Schlüsselfunktionen.

Was sind zwei Hauptthemen der Teamdiskussion?

Anwendung der Rechnungslegungsgrundsätze und die Anfälligkeit des Abschlusses für wesentliche falsche Darstellungen.

Nenne drei Beispiele für öffentlich verfügbare Informationsquellen zur Risikobeurteilung.

Pressemitteilungen, Investorenmaterialien und Analystenberichte.

Was bedeutet 'kritische Grundhaltung' (Professional Skepticism) konkret?

Hinterfragen widersprüchlicher Informationen, Prüfen der Verlässlichkeit von Dokumenten und Aufmerksamkeit für Anzeichen falscher Darstellungen.

Welche Aspekte der Einheit und ihres Umfelds müssen gemäss Tz. 19 verstanden werden?

Organisationsstruktur, Eigentümerschaft, Führung, Geschäftsmodell, Branchenfaktoren und Kennzahlen.

Was muss der Prüfer in Bezug auf das Geschäftsmodell verstehen?

Den Umfang, in dem das Geschäftsmodell den IT-Einsatz integriert.

Was muss der Prüfer in Bezug auf Rechnungslegungsmethoden beurteilen?

Ob sie angemessen sind und mit den massgebenden Rechnungslegungsgrundsätzen im Einklang stehen.

Welche Rolle spielt die Unternehmenskultur im Kontrollumfeld?

Sie zeigt die Selbstverpflichtung zu Integrität und ethischen Werten.

Was muss der Prüfer beurteilen, wenn Aufsichtsorgan und Management getrennt sind?

Die Unabhängigkeit und Aufsicht des Aufsichtsorgans über das IKS.

Welche Konsequenz haben identifizierte Kontrollmängel im Kontrollumfeld laut Tz. 21?

Sie können andere IKS-Komponenten untergraben.

Was sind die drei Schritte im Risikobeurteilungsprozess der Einheit?

Identifizierung von Geschäftsrisiken, Beurteilung ihrer Bedeutsamkeit und Behandlung dieser Risiken.

Was muss der Prüfer tun, wenn er ein Risiko findet, das die Einheit selbst nicht identifiziert hat?

Feststellen, ob der Prozess der Einheit das Risiko hätte finden müssen und warum dies nicht geschah.

Was versteht man unter dem 'Prozess der Einheit zur Überwachung des IKS'?

Laufende und separate Beurteilungen der Wirksamkeit von Kontrollen sowie die Behebung von Mängeln.

Welche Informationsquellen nutzt das Management üblicherweise zur IKS-Überwachung?

Interne Revision, Kundenbeschwerden oder Stellungnahmen von Aufsichtsbehörden.

Was ist das primäre Ziel des Verständnisses des Informationssystems?

Zu verstehen, wie Informationen durch das System fliessen - von der Auslösung bis zur Abbildung im Abschluss.

Was gehört zum 'angewandten Rechnungslegungsprozess' gemäss Tz. 25?

Die IT-Umgebung sowie die Ressourcen zur Aufstellung des Abschlusses inklusive Abschlussangaben.

Welche drei Ebenen der Kommunikation müssen verstanden werden?

Innerhalb der Einheit, zwischen Management und Aufsichtsorgan sowie mit Externen.

Welche Kontrollen im Bereich 'Kontrollaktivitäten' müssen zwingend identifiziert werden?

Kontrollen, die bedeutsame Risiken behandeln, und Kontrollen über Journalbuchungen.

Über welche Art von Buchungen müssen Kontrollen laut Tz. 26(a)(ii) zwingend verstanden werden?

Journalbuchungen (standardisiert und nicht-standardisiert).

Wann muss der Prüfer IT-Anwendungen identifizieren?

Wenn sie aus dem IT-Einsatz resultierenden Risiken unterliegen.

Welche zwei Schritte sind für jede identifizierte Kontrolle erforderlich?

Beurteilung der Ausgestaltung (Design) und Feststellung der Implementierung.

Reicht eine Befragung allein aus, um die Implementierung einer Kontrolle festzustellen?

Nein, es sind zusätzliche Prüfungshandlungen erforderlich.

Was muss der Prüfer tun, wenn er Kontrollmängel innerhalb des IKS feststellt?

Er muss beurteilen, ob ein oder mehrere Mängel identifiziert wurden und deren Auswirkungen würdigen.

Worauf bezieht sich die Risikoidentifizierung gemäss Tz. 28?

Auf die Abschlussebene und die Aussageebene.

Was muss der Prüfer bei der Beurteilung des inhärenten Risikos auf Aussageebene kombinieren?

Die Wahrscheinlichkeit und das Ausmass ($Wahrscheinlichkeit \times Ausmass$).

Wann muss das Kontrollrisiko zwingend beurteilt werden?

Wenn der Prüfer plant, Funktionsprüfungen (Tests of Controls) durchzuführen.

Wie wird das Kontrollrisiko beurteilt, wenn keine Funktionsprüfungen geplant sind?

Es wird so angesetzt, dass die Gesamtrisikobeurteilung der Beurteilung des inhärenten Risikos entspricht.

Welche Art von Nachweisen muss bei der abschliessenden Beurteilung der Risikobeurteilungs-Nachweise berücksichtigt werden?

Sowohl untermauernde als auch widersprüchliche Nachweise.

Was muss der Prüfer tun, wenn neue Informationen inkonsistent zu den ursprünglichen Nachweisen sind?

Die Identifizierung oder Beurteilung der Risiken anpassen.

Welche vier Hauptbereiche müssen in der Prüfungsdokumentation gemäss Tz. 38 enthalten sein?

Diskussion im Team, Schlüssel-Elemente des Verständnisses, Beurteilung von Ausgestaltung/Implementierung und die identifizierten Risiken.

Was ist ein Beispiel für eine 'indirekte Kontrolle'?

Die Überwachung durch den Verwaltungsrat.

Welche qualitativen Faktoren erschweren die objektive Erstellung von Informationen?

Komplexität und Subjektivität.

Was ist der Unterschied zwischen physischen und logischen Kontrollen?

Physisch bezieht sich auf den Zugang zu Gebäuden/Hardware; logisch auf den Zugang zu Software/Daten.

Warum ist die 'Funktionstrennung' eine wichtige Kontrollaktivität?

Um Gelegenheiten zu reduzieren, Irrtümer oder dolose Handlungen zu begehen und gleichzeitig zu verschleiern.

Was versteht man unter 'Provisionierung' im IT-Kontext?

Die Autorisierung neuer Nutzer und Änderungen an Zugriffsberechtigungen.

Was ist 'Deprovisionierung'?

Die Aufhebung von Zugriffsrechten, z. B. bei Beendigung des Arbeitsverhältnisses.

Was bedeutet 'Walk-Through' in der Prüfung?

Die Nachverfolgung eines Geschäftsvorfalls durch das Informationssystem vom Entstehen bis zum Abschluss.

Können Drohnen als Prüfungshandlung (ATT) eingesetzt werden?

Ja, laut Tz. A35 als Fernüberwachungstools zur Beobachtung von Vermögenswerten.

Was ist 'End-User Computing' (EUC)?

Die Nutzung von Tools wie Tabellenkalkulationen (Excel) durch Endnutzer ausserhalb der zentralen IT-Anwendungen.

Werden Excel-Tabellen normalerweise als IT-Anwendungen gemäss Tz. 26(b) identifiziert?

Typischerweise nicht, da sie keine formalen generellen IT-Kontrollen besitzen.

Was ist ein 'Three-Way-Match'?

Ein automatisierter Abgleich zwischen Bestellauftrag, Wareneingang und Lieferantenrechnung.

Was versteht man unter 'Cyberrisiken' im Kontext der Rechnungslegung?

Risiken durch unautorisierten Zugriff, die die Integrität der Finanzdaten gefährden könnten.

Was ist eine 'Systemkonfigurationskontrolle'?

Schlüssel-Einstellungen in der Software, die z. B. Berichtsparameter oder Toleranzschwellen festlegen.

Welchen Einfluss hat die IT auf die Skalierbarkeit?

In weniger komplexen Einheiten wird oft unveränderte Standard-Software genutzt, was die Risikobeurteilung vereinfacht.

Wann ist die Einbindung von IT-Spezialisten im Prüfungsteam meist unverzichtbar?

Bei komplexen IT-Umgebungen mit hoher Integration oder Eigenentwicklungen.

Was ist das primäre Risiko bei direktem Datenbankzugriff?

Unangemessene oder unautorisierte Änderungen an Daten unter Umgehung der Anwendungskontrollen.

Nenne drei Beispiele für 'neu entstehende Technologien' laut Anlage 5.

Blockchain, Robotik und künstliche Intelligenz.

Was umfasst das 'Change-Management' in der IT?

Die Verwaltung von Programmänderungen von der Entwicklung bis zur Migration in die Produktion.

Was ist 'Job-Überwachung'?

Die Überwachung, ob automatisierte Verarbeitungen (Batch-Jobs) erfolgreich abgeschlossen wurden.

Was ist das Kontrollziel bei der Beurteilung der 'Ausgestaltung'?

Ob die Kontrolle in der Lage ist, wesentliche falsche Darstellungen wirksam zu verhindern oder aufzudecken.

Muss nach ISA-CH 315 jeder einzelne inhärente Risikofaktor dokumentiert werden?

Nein, nur die besonders wichtigen Bestandteile, auf die die Beurteilung gestützt wurde.

Was ist eine 'Zweckgesellschaft' (Special Purpose Entity)?

Eine Einheit mit einem engen, genau definierten Ziel, z. B. für Leasing oder Verbriefungen.

Warum ist Subjektivität ein Risikofaktor?

Weil sie Ermessensspielräume lässt, die für Management-Bias genutzt werden könnten.

Was versteht man unter 'Schätzunsicherheit'?

Wenn ein Geldbetrag nicht mit Genauigkeit festlegbar ist und erst in der Zukunft feststeht.

Gilt die Pflicht zum Verständnis des IKS auch für informelle Systeme in kleinen Firmen?

Ja, der Prüfer muss das Verständnis auch bei fehlender Formalisierung erlangen.

Welche Prüfungshandlung liefert Informationen über die Haltung des Managements (Tone at the Top)?

Befragungen und Beobachtung des Verhaltens des Managements.