Studiennotizen: ISA-CH 315 (Ausgabe 2024) - Risikobeurteilung

ISA-CH 315 (Revised) – Identifizierung und Beurteilung der Risiken wesentlicher falscher Darstellungen

  • Ausgabe: 2024.
  • Anwendungsbereich: Prüfung von Abschlüssen für Zeiträume, die am oder nach dem 15.12.2024 beginnen.
  • Status: Verabschiedet vom Vorstand EXPERTsuisse am 25.09.2024; setzt den ISA 315 (Revised 2019) um.
  • Zusammenhang: Muss im Kontext von ISA-CH 200 (Übergeordnete Ziele des Prüfers) gelesen werden.

Wichtige Konzepte und Grundlagen

  • Prüfungsrisiko:
    • Definition: Eine Funktion aus den Risiken wesentlicher falscher Darstellungen und dem Entdeckungsrisiko.
    • Formel: PrPr%fungsrisiko = Risiken wesentlicher falscher Darstellungen \times Entdeckungsrisiko.
    • Ziel: Reduzierung des Risikos auf ein vertretbar niedriges Mass durch ausreichende geeignete Pr%fungsnachweise.
  • Ebenen der Risiken:
    • Ebene des Abschlusses als Ganzes (Abschlussebene).
    • Aussageebene f%r Arten von Gesch%ftsvorf%llen, Kontensalden und Abschlussangaben.
  • Reaktionen nach ISA-CH 330:
    • Allgemeine Reaktionen auf Risiken auf Abschlussebene (beeinflusst durch das Kontrollumfeld).
    • Weitere Pr%fungshandlungen (Art, zeitliche Einteilung, Umfang) f%r Risiken auf Aussageebene.
  • Kritische Grundhaltung (Professional Skepticism):
    • Hinterfragen widerspr%chlicher Informationen und der Verl%sslichkeit von Dokumenten.
    • W%rdigung von Antworten des Managements/Aufsichtsorgans.
    • Aufmerksamkeit f%r Umst%nde, die auf dolose Handlungen (Fraud) oder Irrt%mer (Error) hinweisen.
  • Nicht-einseitige Pr%fungsnachweise:
    • Pr%fer darf sich nicht nur auf untermauernde Nachweise konzentrieren oder widerspr%chliche Nachweise ausschliessen.
    • Dies unterst%tzt die kritische Grundhaltung.
  • Skalierbarkeit:
    • Gilt f%r alle Einheiten. Gr%sse ist ein Indikator, aber nicht gleichbedeutend mit Komplexit%t. Kleine Einheiten k%nnen komplex, grosse Einheiten weniger komplex sein.

Definitionen (Tz. 12)

  • Aussagen (Assertions): Explizite oder anderweitige Darlegungen zu Ansatz, Bewertung, Darstellung und Angabe, die der Pr%fer nutzt, um potenzielle falsche Darstellungen zu w%rdigen.
  • Gesch%ftsrisiko: Risiko aus Gegebenheiten oder Handlungen, das die F%higkeit der Einheit zur Zielerreichung beeintr%chtigt.
  • Kontrollen:
    • Regelungen: Erkl%rungen, was getan werden soll.
    • Massnahmen: Handlungen zur Implementierung dieser Regelungen.
    • Direkte Kontrollen: Pr%zise genug, um Risiken auf Aussageebene direkt zu behandeln.
    • Indirekte Kontrollen: Unterst%tzen direkte Kontrollen (z. B. Kontrollumfeld).
  • Generelle IT-Kontrollen (GITCs): Kontrollen %ber IT-Prozesse (Zugriff, %nderungen, Betrieb), die den ordnungsgem%ssen Betrieb der IT-Umgebung sichern.
  • Kontrollen der Informationsverarbeitung: Kontrollen in IT-Anwendungen oder manuelle Prozesse zur Sicherung der IT-Integrit%t (Vollst%ndigkeit, Richtigkeit, G%ltigkeit).
  • Inh%rente Risikofaktoren: Merkmale, welche die Anf%lligkeit einer Aussage f%r falsche Darstellung beeinflussen (vor Ber%cksichtigung von Kontrollen):
    • Qualitativ: Komplexit%t, Subjektivit%t, Verh%nderung, Unsicherheit, Anf%lligkeit f%r einseitige Ausrichtung (Management Bias).
    • Quantitativ: Volumen oder Komplexit%t der Daten.
  • Bedeutsames Risiko (Significant Risk):
    • Entweder: Beurteilung liegt aufgrund von Wahrscheinlichkeit und Ausmass nahe am oberen Ende des Spektrums der inh%renten Risiken.
    • Oder: Obligatorische Behandlung nach anderen Standards (z. B. ISA-CH 240 dolose Handlungen; ISA-CH 550 nahestehende Personen).
  • Relevante Aussagen: Eine Aussage ist relevant, wenn sie ein identifiziertes Risiko wesentlicher falscher Darstellungen aufweist (vor Kontrollen).

Das Interne Kontrollsystem (IKS)

Das IKS besteht aus f%nf in Wechselbeziehung stehenden Komponenten:

  1. Kontrollumfeld:
    • Grundlage f%r alle anderen Komponenten. Umfasst Unternehmenskultur, ethische Werte, Aufsicht durch das Management/Aufsichtsorgan und Rechenschaftspflichten.
    • Pr%fer beurteilt, ob das Management eine Kultur der Ehrlichkeit geschaffen hat.
  2. Risikobeurteilungsprozess der Einheit:
    • Prozess der Einheit zur Identifizierung, Beurteilung und Behandlung von Gesch%ftsrisiken.
    • Falls der Pr%fer ein Risiko findet, welches das Management %bersehen hat: Feststellung, warum der Prozess versagt hat.
  3. Prozess der Einheit zur %berwachung des IKS:
    • Laufende oder separate Beurteilungen der Wirksamkeit von Kontrollen.
    • Beinhaltet oft die Interne Revision.
  4. Informationssystem und Kommunikation:
    • Verst%ndnis der Informationsverarbeitung (Datenfluss von Ausl%sung bis Abschluss) und der internen/externen Kommunikation bedeutsamer Sachverhalte.
  5. Kontrollaktivit%ten:
    • Spezifische Kontrollen zur Minderung von Risiken auf Aussageebene.
    • Identifizierungspflichtig sind: Kontrollen f%r bedeutsame Risiken, Kontrollen %ber Journalbuchungen, Kontrollen f%r Funktionspr%fungen und solche, bei denen aussagebezogene Pr%fungen allein nicht ausreichen.

Pr%fungshandlungen zur Risikobeurteilung (Tz. 13-18)

Der Pr%fer muss folgende Handlungen durchf%hren:

  • Befragungen: Management, Interne Revision und andere Mitarbeiter (z. B. Rechtsberater, Marketing, IT).
  • Analytische Pr%fungshandlungen: Identifizierung von ungew%hnlichen Trends oder Relationen (z. B. Umsatz zu Verkaufsfl%che).
  • Beobachtung und Inaugenscheinnahme: Besichtigung von Anlagen, Durchsicht von Strategiepapieren oder IKS-Handb%chern.
  • Diskussion im Pr%fungsteam: Austausch %ber Anf%lligkeit f%r falsche Darstellungen (insb. dolose Handlungen gem. ISA-CH 240).

Identifizierung und Beurteilung der Risiken (Tz. 28-37)

  • Inh%rentes Risiko:
    • Beurteilung durch Kombination von Eintrittswahrscheinlichkeit und Ausmass der potenziellen falschen Darstellung.
    • Einordnung im "Spektrum inh%renter Risiken".
  • Kontrollrisiko:
    • Falls Funktionspr%fungen geplant sind: Gesonderte Beurteilung.
    • Falls keine Funktionspr%fungen geplant sind: Kontrollrisiko m%ndet in die Beurteilung des inh%renten Risikos.
  • Anpassung: Die Risikobeurteilung ist ein iterativer Prozess. Neue Informationen w%hrend der Pr%fung k%nnen eine Anpassung der Beurteilung und der weiteren Pr%fungsschritte erfordern.

IT-Spezifika (Anlage 5 & 6)

  • IT-Umgebung: Umfasst IT-Anwendungen, IT-Infrastruktur (Netzwerke, Datenbanken, Betriebssysteme), IT-Prozesse und Personal.
  • Aus IT-Einsatz resultierende Risiken:
    • Unautorisierter Zugriff auf Daten oder Programme.
    • Unautorisierte Programmänderungen oder Datenmanipulationen (z. B. direkter Datenbankzugriff).
    • Datenverlust.
  • Komplexit%tsstufen der IT:
    • Nicht-komplex: Gekaufte Standard-Software ohne Quellcode-Zugriff.
    • Mittel: Standard-Software mit geringen Anpassungen, kleine Client-Server-L%sungen.
    • Komplex: Hochgradig angepasste ERP-Systeme (z. B. SAP), webbasierte Plattformen, Nutzung von neuen Technologien (Blockchain, KI).
  • Systemgenerierte Berichte: Falls sich der Pr%fer auf diese Berichte verl%sst, m%ssen die Kontrollen %ber deren Genauigkeit und Vollst%ndigkeit gepr%ft werden (incl. GITCs).

Dokumentationsanforderungen (Tz. 38)

In die Pr%fungsdokumentation gem%ss ISA-CH 230 sind aufzunehmen:

  • Die Diskussion im Pr%fungsteam.
  • Wesentliche Elemente des Verst%ndnisses der Einheit und ihres IKS.
  • Quellen der erlangten Informationen.
  • Identifizierung und Beurteilung der Risiken (Abschluss- und Aussageebene).
  • Begr%ndung f%r die Feststellung bedeutsamer Risiken.
  • Nachweise %ber die Beurteilung der Ausgestaltung und Implementierung identifizierter Kontrollen.

Kategorien von Aussagen (Tz. A190)

  • Gesch%ftsvorf%lle (Berichtszeitraum): Eintritt, Vollst%ndigkeit, Genauigkeit, Periodenabgrenzung, Kontenzuordnung, Darstellung.
  • Kontensalden (Stichtag): Vorhandensein, Rechte und Verpflichtungen, Vollst%ndigkeit, Genauigkeit/Bewertung/Zuordnung, Ausweis, Darstellung.

Spezialfall: %ffentlicher Sektor

  • Zus%tzliche Ziele: Wirtschaftlichkeit, Effizienz und Einhaltung von Gesetzen (Compliance).
  • Zus%tzliche Quellen: Berichte an die Legislative oder Ergebnisse von Wirtschaftlichkeitspr%fungen.
  • Zus%tzliche Aussagen: Transaktionen wurden gem%ss beh%rdlichen Vorgaben vollzogen.

Beispiele aus dem Standard

  • Gesch%ftsmodell: Vergleich physischer Schuhverkauf vs. Online-Handel (sehr unterschiedliche Risikoprofile bei gleicher Branche).
  • Bedeutsames Risiko:
    • Bargeld im Supermarkt: Hohe Wahrscheinlichkeit bei Diebstahl, aber oft geringes Ausmass pro Vorfall → meist kein bedeutsames Risiko.
    • Unternehmensverkauf/Goodwill-Impairment: Hohe Subjektivit%t und hohes Ausmass → oft ein bedeutsames Risiko.
  • Aussagebezogene Pr%fungen allein nicht ausreichend: Bei Telekommunikationsunternehmen (Massendaten, keine Belege in Papierform) sind Funktionspr%fungen der IT-Kontrollen zwingend.