Interne Revision - Prüfungsprozess (2. SOB)

Descripción

Quelle: Bünis, Gossens, Das 1x1 der Internen Revision
Claudia Loksik
Fichas por Claudia Loksik, actualizado hace más de 1 año
Claudia Loksik
Creado por Claudia Loksik hace más de 4 años
239
1

Resumen del Recurso

Pregunta Respuesta
In welche Teilprozesse wird die Revisionsprüfung unterteilt? 1. Planen 2. Durchführen 3. Kommunizieren => Achtung: lt. Schubiger sind die Kernprozesse lt. Amerling u. Bantleon prüfungsrelevant
Beschreibe den 1. Teilprozess der Revisionsprüfung 1. Teilprozess = Planen > Prüfungsziel und -Umfang bestimmen > den geprüften Bereich und seine Ziele verstehen > Risiken identifizieren und bewerten > Schlüsselkontrollen identifizieren > Angemessenheit der Kontrollen bewerten > Prüfungsplan entwickeln > Prüfungsressourcen planen > Geplante Test- u. Prüfungsschritte in einem Arbeitsplan zusammenfassen > Prüfungsressourcen planen => Achtung: lt. Schubiger sind die Kernprozesse lt. Amerling u. Bantleon prüfungsrelevant
Beschreibe den 2. Teilprozess der Revisionsprüfung 2. Teilprozess = Durchführen > Prüfungshandlungen durchführen > Nachweise generieren > Schlüsse ziehen > Prüfungsfeststellungen und -empfehlungen entwickeln und formulieren => Achtung: lt. Schubiger sind die Kernprozesse lt. Amerling u. Bantleon prüfungsrelevant
Beschreibe den 3. Teilprozess der Revisionsprüfung 3. Teilprozess = Kommunizieren > Bewerten der Feststellungen und Abstimmung > Berichtsentwurf erstellen > Finalen Bericht erstellen und verteilen > Follow-up-Verfahren
Wie regelt das IPPF die Prüfungsplanung? Das IPPF regelt die Prüfungsplanung unter dem Begriff "Planung einzelner Aufträge" in den Ausführunsstandards 2200 und 2201 und den dazugehörigen Implementierungsleitlinien
Im Ausführungsstandard 2200 ist festgelegt was Interne Revisoren für einen Prüfungsauftrag zu berücksichtigen haben. Was könnte das sein? Zusammenfassung Standard 2200: Für jeden Prüfungsauftrag muss ein dokumentierter Prüfungsplan entwickelt werden, der folgendes enthält: -) Prüfungsziele -) Prüfungsumfang -) Prüfungszeitplan -) zugeordnete Ressourcen (personell)
Welche Determinanten (= bestimmende Faktoren) sind für die Prüfungsplanung erforderlich? 1. Verteilung der Rollen und Tätigkeiten 2. Auswahl des Prüfungsleiters und der Teammitglieder 3. Identifikation und Festlegung der Prüfungsgrundlagen 4. Vorbereitung des Arbeitsprogrammes 5. Fachliche Durchdringung des Prüfungsobjektes 6. Festlegung des Unterlagen- und Datensammelprozesses
Was muss bei der Planung des Prüfungsauftrages berücksichtigt werden? Die Strategien, Ziele und Risiken der Organisation.
Welche Informationsquellen kann man bei der Planung der Prüfung heranziehen? 1. Frühere Prüfungsergebnisse (zB früheres Audit, Management-Review) 2. Finanzinformationen u. Kennzahlen 3. Berichte von externen Prüfungen u. Beratungen (zB. WP, QM-Audit) 4. Leistungsmessungen u. Trendanalysen 5. SWOT-Analysen 6. Risikobericht 7. Dokumenetenreview 8. Gesetzliche u. regulatorische Anforderungen u. deren Prüfungserg. 9. Self Assessments von Risiken in den geprüften Bereichen 10. Prüfungsinterview auf versch. Hierarchieebenen
Wofür ist der Prüfungsleiter verantwortlich? 1. Vorbereitung des Arbeitsprogramms 2. Vorbereitung Auftakt- u. Schlussgespräch 3. Richtigkeit Prüfungsergebnisse 4. Erstellung u. Herausgabe d. Prüfungsberichts 5. Performance des Prüfungsteams 6. Iniitierung u. Beibehaltung d. Kommunikation mit der Rev.leitung 7. Follow up 8. Einhaltung d. Revisionstandards u. d. Revisionshandbuchs 9. Angemessene Dokumentation der Prüfung
Was ist bei der Ressourcenzuteilung für einen Prüfungsauftrag zu berücksichtigen? Interne Revisoren müssen eine angemessene und zum Erreichen der Auftragsziele ausreichende Ressourcenausstattung festlegen. Dabei sind Art und Komplexität des Auftrags, Zeitvorgaben und die zur Verfügung stehenden Ressourcen zu berücksichtigen. (Standard 2230)
Wann und in welchem Umfang muss die Identifikation der Prüfungsunterlagen erfolgen? Vor der Kontaktaufnahme mit der zu prüfenden Einheit, muss sich die Revision angemessene Unterlagen zum Prozess bzw. der prüfenden Einheit beschaffen: PLK, Prozessbeschreibung, Ziele, Risikomatrix u. Risiko-Kontroll-Matrix sowie Risikoberichte, Organigramm, Stellenbeschreibungen, Strategien, Websiten
Was sind wesentliche Fragestellungen für die Planung der Prüfung? 1. Was sind die Ziele und Mittel der zu prüfenden Organisationseinheit. 2. Was sind die Risiken der OE. 3. Wird die OE effektiv und ihrem Nutzen entsprechend angemessen gesteuert. 4. Welche Möglichkeiten gibt es zur Verbesserung der Steuerung und des IKS der OE.
Ist es erlaubt, dass die Revision vor der Prüfung mit dem Fachbereich über den Prüfungsgegenstand kommuniziert? Ja. In der Prüfungsvorbereitung kann es sinnvoll sein, mit dem Fachbereich ein gemeinsames Verständnis über den Prüfungsgegenstand und die Prüfungsunterlagen zu entwickeln. Das erleichtert die spätere Prüfungsdurchführung ist die Basis für eine konstruktive und partnerschaftliche Zusammenarbeit.
Wie sind Prüfungsziele festzulegen? Die Prüfungsziele sind basierend auf den analysierten bzw. vermuteten Risiken festzulegen (dh. risikoorientiert). Und zwar nicht nur auf den jährlichen Prüfungsprozess bezogen, sondern für jede einzelne Prüfung.
Warum sind die Prüfungsziele so wichtig? Sie sind eine grundlegende Voraussetzung zur Gestaltung der Prüfungsdurchführung.
Was muss vor der Auftragsdurchführung seitens der IR noch berücksichtigt werden? (Hinweis: es ist ein essentieller Teil der Prüfungsplanung) Vor der Auftragsdurchführung müssen interne Revisoren eine Einschätzung der Risiken des zu prüfenden Tätigkeitsbereich vornehmen. Die Auftragsziele müssen diese Einschätzung widerspiegeln. Daher besorgt man sich im Vorfeld ja auch die Risikomatrix und den Risikobericht => siehe Quellen. (siehe auch Standard 2210.A1)
Wieviele Prüfungsziele werden pro Prüfung festgelegt? Nur eines? Es können ein oder mehrere Prüfungsziele pro Prüfung definiert werden.
Was passiert nach der Festlegung des/der Prüfungsziels/e? In Abhängigkeit von dem/den Prüfungsziel/en wird die Prüfungsstrategie festgelegt. Das Ziel dabei ist eine möglichst objektive Aussage zu den festgestellten Prüfungsergebnissen zu ermöglichen.
Ist der Prüfungsleiter bei der Formulierung der Prüfungsziele vollkommen frei? Nein. Es müssen immer das Fraud-Risiko und das Risiko von Compliance-Verstößen mit berücksichtigt werden. Siehe auch Standard 2210.A2
Dolose Handlungen, Regelverstöße bzw. die Nicht-Einhaltung von Vorschriften sind Angelegenheit von Compliance und nicht von IR - richtig? Nein. Interne Revisoren müssen bei der Festlegung der Prüfungsziele die Wahrscheinlichkeit, dass wesentliche Fehler, dolose Handlungen, Regelverstöße sowie sonstige Risikopotenziale vorliegen und Vorschriften nicht eingehalten werden, berücksichtigen. (Standard 2210.A2) Es wäre jedoch ebenfalls zulässig, dass die 2. Linie (Compliance) eine Sonderprüfung zu Regelverstößen etc. durchführt.
Gibt es in den Standards eine Empfehlung/Vorgabe zum Umfang der Prüfung oder kann das die IR selbst festlegen? Ja, es gibt eine Vorgabe: Der festgelegte Umfang muss ausreichend sein, um das Erreichen der Auftragsziele zu ermöglichen. (Standard 2220)
Welche Zielsetzungen von Kontrollen unterscheidet man generell? 1. Präventive/Vorbeugende/Vorgelagerte/Verhindernde Kontrollen 2. Aufdeckende/Nachgelagerte Kontrollen
Was beinhalten allgemeine Kontrollen? 1. Kontrollen im internen Rechnungswesen zur Vermögenssicherung u. Überprüfung der Verlässlichkeit der Finanzdaten. 2. Operative Kontrollen (Prozesskontrollen), um die Übereinstimmung mit den Geschäftszielen sicherzustellen 3. Administrative Kontrollen: welche die Effizienz eines funktionalen Bereichs u. Übereinstimmung mit Managementvorgaben betreffen. 4. Verfahren u. Anweisungen der Org.sicherheit, die die korrekte Nutzung u. Information u. Technologie sicherstellen. 5. Übergreifende Verfahren zur Erstellung u. Nutzung angemessener Dokumente u. Aufzeichnungen (Audit Trail). 6. Anweisungen u. Tätigkeiten, die eine angemessene Sicherheit beim Zugriff auf und bei der Nutzung von Vermögenswerten u. Einrichtungen gewährleisten. 7. Physische u. logische Sicherheitsvorgaben für alle Rechenzentren u. IT-Ressourcen.
Wie definiert die IIA den Begriff "Kontrolle" (Frage SOB!!!) Unter Kontrolle wird jede Maßnahme der GF, des Überwachungsorgans oder externer Stellen verstanden, die dazu dient Risiken zu steuern und die Wahrscheinlichkeit zu erhöhen, dass gesetzte Ziele erreicht werden.
Wie definiert die IIA den Begriff "Kontrollprozesse" (Frage SOB!!!) Kontrollprozesse sind Richtlinien, Verfahren (sowohl manuelle als auch automatisierte) und Aktivitäten, die Teil des Kontrollsystems sind und so ausgestaltet und betrieben werden, dass sie im Einklang mit der Risikoakzeptanz der Organisation stehen. Kontrollen finden sich in den einzelnen Richtlinien und Verfahren.
Wie definiert die IIA den Begriff "Kontrollumfeld" (Frage SOB!!!) Das Kontrollumfeld sind die Einstellung und die Handlungen von Überwachungsorgan, Geschäftsleitung und Management im Hinblick auf die Bedeutung der Kontrollen in der Organisation. Das Kontrollumfeld bestimmt den Rahmen und die Struktur für das Erreichen der Hauptziele eines IKS.
Was sind Schlüsselkontrollen? Das sind Kontrollen, die erforderlich sind, um genügend Sicherheit zu gewährleisten, so dass kritische Risiken wirksam gesteuert werden können.
Wofür sind Schlüsselkontrollen erforderlich? Um die Risiken im Zusammenhang mit einem kritischen Geschäftsziel zu steuern.
Wie kann man Kontrollen gem. der Leitlinie GAIT-R identifizieren? (Hinweis: GAIT-R = Guide for Business and IT Risk) 1. Kontrollen auf Ebene einer Organisationseinheit 2. Kontrollen auf Ebene eines Geschäftsprozesses (manuell oder automatisch, mit IT-Unterstützung)
Was beinhaltet eine Prüfungsankündigung? 1. Prüfungstitel 2. Prüfungsauftrag 3. Prüfungsziel 4. Planung des Prüfungszeitraums (Termine für Auftaktgespräch, Finalgespräch, Berichtsentwurf) 5. Prüfungsleiter und Team 6. Ansprechpartner 7. Liste der gewünschten Unterlagen, die vorab oder zu Beginn der Prüfungsdurchführung vorliegen sollen
Was beinhaltet das Auftaktgespräch? 1. Vorstellung der Teilnehmer 2. Überprüfung des Prüfungsplans 3. Prüfungseinschränkungen 4. Prüfungsmethoden- und techniken 5. Berichterstattung 6. Interviewplan 7. Festlegung des Schlussgesprächs
Was beinhaltet die Überprüfung des Prüfungsplans im Rahmen des Auftaktgesprächs? (Hinweis: Punkt 2 vom Auftaktgespräch) 1. Ziele u. Umfang der Prüfung 2. Abfrage aktueller u. geplanter Veränderungen v. Prozessen oder Einheiten 3. Evtl. Übergabe des Prüfungsplanes an die Prozesseigner/geprüfte Org.einheit
Die IR hat ein uneingeschränktes Informationsrecht. Was sind dennoch mögliche Prüfungseinschränkungen, welche im Rahmen des Auftaktgesprächs besprochen werden müssen? 1. Einschränkungen zu Zugänglichkeiten => keine Zutrittsberechtigung, Sicherheitsbelange 2. Einschränkungen zu Daten => Datenschutz, eigentumgeschütze Informationen ( 3. Fehlende Ressourcen => plötzlich auftretende Abwesenheiten von zu prüfenden Personen )
Was ist die sogenannte "Schreibtischprüfung" im Rahmen der Prüfungsvorbereitung? Das ist die erste Phase der Prüfungsvorbereitung (1 von 3) und beinhaltet eine formale Auswertung der Dokumentation.
Beschreibe die 2. Phase der Prüfungsvorbereitung Das ist die Durchsicht von relevanten Dokumenten mit der Absicht Fragestellungen in das Arbeitsprogramm aufzunehmen.
Beschreibe die 3. Phase der Prüfungsvorbereitung Analyse und Darstellung von Prozessen, um ein Verständnis für die Prozesse zu entwickeln.
Muss die IR im Rahmen der Prüfung auch die Wirksamkeit vom Risikomanagement und von Kontrollen überprüfen? Ja. Zur Bewertung von Steuerung, Risikomanagement und Kontrollen sind angemessene Kriterien erforderlich. Interne Revisoren müssen ermitteln, inwieweit das Management und/oder Geschäftsleitung bzw. Überwachungsorgan angemessene Kriterien zur Beurteilung der Zielerreichung festgelegt hat. Soweit die Kriterien angemessen sind, müssen sie von Internen Revisoren bei der Beurteilung verwendet werden. Soweit die Kriterien nicht angemessen sind, müssen Interne Revisoren durch Diskussion mit dem Management und/oder Geschäftsleitung bzw. Überwachungsorgan angemessene Beurteilungskriterien identifizieren. (Standard 2210.A3)
Wenn sich im zu prüfenden Prozess ein System oder Vorgang befindet, das/der von Dritten/Externen gesteuert wird (zB. Software oder Fremdpersonal) - muss das dann auch intern geprüft werden? Ja. Bei der Festlegung des Prüfungsumfangs müssen relevante Systeme, Aufzeichnungen, Personalausstattung und Vermögensgegenstände einbezogen werden, einschließlich jener, die sich in der Kontrolle Dritter befinden. (Standard 2220.A1)
Was ist der nächste logische Schritt in der Prüfungsplanung, sobald die Prüfungsziele und der Prüfungsumfang fixiert wurden? Das Arbeitsprogramm wird entwickelt und dokumentiert. Standard 2240 Arbeitsprogramm: Interne Revisoren müssen Arbeitsprogramme entwickeln und dokumentieren, die dem Erreichen der Auftragsziele dienen.
Was genau enthält ein Arbeitsprogramm? => Verfahrensschritte zur Identifikation, Analyse, Bewertung und Aufzeichnung von Informationen während der Prüfung. Das Arbeitsprogramm muss vor Beginn seiner Umsetzung genehmigt werden; alle späteren Anpassungen sind umgehend zur Genehmigung vorzulegen. (Standard 2240.A1)
Warum ist es wichtig, dass Arbeitsprogramme und deren Änderungen genehmigt werden? Das ist Bestandteil der laufenden Qualitätssicherung von Prüfungen im Rahmen des Qualitätssicherungs- und verbesserungsprogrammes der Internen Revision zu sehen.
Kann die Genehmigung des Arbeitsprogrammes durch einen Kollegen/Kollegin im Prüfungsteam erfolgen? Nein. Die Genehmigung sollte nicht durch jemanden erfolgen, der sich im Prüfungsteam befindet, sondern durch den Leiter der Internen Revision
Ist es zulässig, dass interne Revisoren für eine externe Organisation eine Prüfung durchführen? Ja, zB. im Rahmen eines Joint Ventures. Standard 2201.A1: Wenn interne Revisoren einen Auftrag für organisationsfremde Dritte planen, muss mit dem Dritten eine schriftliche Vereinbarung betreffs Ziel, Umfang, der Verantwortlichkeiten sowie anderer Erwartungen einschließlich Beschränkung der Ergebnisvorbereitung und Zugang zu den Auftragsakten getroffen werden.
Nenne wichtige Bestandteile im Arbeitsprogramm Prüfungsleitfäden und Checklisten
Was ist der Zweck einer Prüfungscheckliste? Die Unterstützung des Prüfungsteams bei der Sammlung von Nachweisen. Sie dient zur strukturierten Dokumentation der gewonnenen Informationen. Da sie vor der Prüfung erstellt wird, unterstützt sie auch bei der Vorbereitung. Die ausgefüllte Checkliste ist ein wesentlicher Schlüssel für eine erfolgreiche, effektive und gut nachvollziehbare Prüfung.
Darf die geprüfte Organisationseinheit die Prüfungscheckliste erhalten? Die unausgefüllte Checkliste darf an die OE weitergegeben werden, wenn es sich nicht um die Prüfung eines Fraud-Falles (dolose Handlung) handelt. Die ausgefüllte Checkliste wird üblicherweise nicht weitergegeben, da sie streng vertraulich ist.
Nenne die wichtigsten Aufgaben der Prüfungscheckliste 1) Der Prüfung Struktur und Form geben. 2) Möglichkeiten für Kommunikation schaffen (Felder für Anmerkungen). 3) Raum für Prüfungsergebnisse und Evidenz bieten. 4) Das Zeitmanagement unterstützen.
Was versteht man unter dem "Unterlagen- und Datensammelprozess" Dieser Prozess findet in der Prüfungsvorbereitung statt. Es wird festgestellt, welche Unterlagen und Informationen/Daten erforderlich sind, damit das Prüfungsteam den Prüfungsauftrag erfüllen kann (zB. Bestellliste, Ausschusslisten, Lieferbelege).
Welchen Zweck erfüllen "Arbeitspapiere" in der Internen Revision? Arbeitspapiere werden während der Prüfung von der IR erstellt und: 1) Unterstützen bei der Planung, Durchführung und Überprüfung der Aufträge und enthalten Analyse, Bewertung u. Schlussfolgerungen 2) sind Hauptgrundlage für Prüfungsergebnisse 3) Dokumentation, ob Prüfungsziele erreicht wurden. 4) Förderung der Genauigkeit u. Vollständigkeit der ausgeführten Prüfungshandlungen 5) Bereitstellung einer Grundlage für das Programm zur Qualitätssicherung und -verbesserung der Internen Revision. 6) Ermöglichen von Überprüfungen durch Dritte.
Bantleon und Amerling haben einen Leitfaden für die Kernprozesse der Prüfungsdurchführung erarbeitet. Wie lautet dieser? (Frage SOB!!!) Kernprozesse lt. Bantleon u. Amerling: 1) Prüfungsplanung: einzelner Auftrag wird geplant (Prüfungsziel-,umfang-, zeitplan-, u. Team) 2) Voruntersuchung: Bestandsaufnahme, Prüfplan im Detail, Prüfungsankündigung 3) Feldarbeit: Kick-Off, Prüfungshandlungen, eigentl. Prüfungsdurchführung 4) Abstimmung: Berichtsentwurf, Besprechung der Ergebnisse, Stellungnahme einholen u. einarbeiten 5) Bericht: finaler Bericht wird erstellt, Übermittlung 6) Follow-Up: Maßnahmen-Monitoring, Berichterstattung über Maßnahmen, evtl. Eskalation
Welche formalen Strukturinhalte/ Elemente sollte jedes Arbeitspapier der IR haben? 1) Aussagekräftige Überschrift 2) Referenz/Bezug zur dokumentierten Prüfung 3) Bearbeitungsvermerke 4) Datum d. Erstellung, Handzeichen des Prüfers und des Qualitätssicherers 5) Index- oder Referenzierungsnummer 6) Angaben zur Quelle der Informationen
Gibt es in den IPPF eine Vorgabe, dass Arbeitspapiere oder generell Aufzeichnungen zur Prüfung geführt werden oder kann das die IR flexibel entscheiden? Interne Revisoren müssen die zur Begründung der Schlussfolgerungen und Revisionsergebnisse relevanten Informationen aufzeichnen, um die Revisionsergebnisse und Schlussfolgerungen zu begründen. (Standard 2330)
Was versteht man gem. Füss unter den traditionellen Prüfungsarten der Internen Revision? 1) Prüfungsziel: - Ordnungsmäßigkeit - Sicherheit - Zweckmäßigkeit u. Wirtschaftlichkeit 2) Prüfungsinhalt: - Compliance u. Financial Auditing - Operational Auditing - Management Auditing 3) Vorgehensweise - Einzelfallprüfung - Systemprüfung
Was versteht man unter Operational Auditing? = Zukunftsorientierte, unabhängige und systematische Beurteilung der organisatorischen Aktivitäten auf der Grundlage von Systemprüfungen und Organisationsprüfungen. Ziel = Systemverbesserung, Verbesserung des betriebl. Leistungsgrades u. der innerbetriebl. Kontrollfunktionen
Was versteht man in der Revisionspraxis unter Sonderprüfungen? = eine Prüfungsart, die bei speziellen Anlässen oder Vorkommnissen anfällt, zB. aufgrund besonderer Feststellungen im Rahmen von normalen Prüfungen oder im Auftrag der GF. Sie müssen kurzfristig in den Prüfungsablauf integriert werden (Ad-hoc-Revision).
Was versteht man gem. Bauer unter Sonderprüfungen? Sonderprüfungen sind eine Teilmenge der Special Audits in der Revisionspyramide. Sie beziehen sich auf Prüffelder, die nicht in der Prüfungslandkarte definiert sind, sie sind einmalig.
Beschreibe die Revisionspyramide nach Bauer 1) Basis u. unterste Stufe: Self Assessments 2) 2. Stufe: Standard Audits 3) 3. Stufe u. Pyramidenspitze: Special Audits
Nenne Beispiele für Sonderprüfungen nach Bauer 1) Post-Project Audits (vergangenheitsorientierte Prüfung v. Projekten) 2) Projektbegleitende Sonderprüfungen 3) IT-Sonderprüfungen (Penetrationstests) 4) Prüfung von M&A-Prozessen 5) Fraud Audits bei Verdachtsfällen u. Hinweisen 6) Management Audits (zB. Prüfung des Strategieprozesses)
Wie definieren Amling und Bantleon Sonderprüfungen? = Prüfungen, die aus nicht vorhersehbaren und nicht planbaren Ereignissen resultieren, zB. Fraud oder Ergebniseinbruch
Welche Beispiele führen Hannemann und Schneider als Auslöser für Sonderprüfungen an? 1) Bewertungsergebnis einer vorangegangenen Revisionsprüfung 2) bisher nicht erkannte Handelsusancen 3) Entwicklung bei wichtigen Geschäftspartnern 4) Schwächen im IKS 5) neue rechtliche Entwicklungen 6) vermutete dolose (betrügerische) Handlungen 7) Betrugsfälle durch Dritte 8) negatives Erscheinungsbild in der Presse
Kann die interne Revision ihre Prüfungen auch ohne Beauftragung durchführen? Nein. Es gilt der genehmigte Jahresprüfplan als Auftrag zur Durchführung der Prüfungen. Sonderprüfungen müssen ebenfalls auf Basis einer formalen Auftragserteilung erfolgen. Prüfungen "auf Zuruf" sollten unterbleiben.
Wie ist vorzugehen, wenn aufgrund häufiger Sonderprüfungen der Jahresprüfplan nicht einhaltbar ist? Die interne Revision muss bei der Jahresplanung im vorhinein einen Anteil der Zeit für Sonderprüfungen reservieren. Der Jahresprüfplan muss eingehalten werden.
Was ist unter Compliance- Untersuchungen zu verstehen? Eine Sonderprüfung, die aufgrund der Vermutung einer dolosen Handlung stattfindet. Solche Sonderprüfungen werden auch Fraud Audit bezeichnet.
Abgesehen von der IR, welche Organisationseinheiten/Stabstellen könnten noch mit der Untersuchung von Fehlverhalten befasst sein? 1) Compliance & Recht 2) Risikomanagement 3) Unternehmenssicherheit 4) Personalangelegenheiten 5) Datenschutz 6) IT-Sicherheit 7) speziell eingerichtete Untersuchungseinheiten
Dürfen gemäß dem 3-Linien-Modell nur interne Revisionen Sonderuntersuchungen durchführen? Nein. Auch eine Organisationseinheit oder Stabstelle der zweiten Linie (zB. Compliance, RM) darf Sonderuntersuchung durchführen.
Wie definiert das DIIR Projekte? Ein Projekt ist eine zeitlich befristete Aufbau- und Ablauforganisation einer besonderen Management-Umgebung, mit dem Ziel auf Basis eines bestimmten Geschäftsplans. Das Projekt beeinhaltet dabei die Planung, den Einsatz und die Steuerung aller dafür vorgesehenen Unternehmensressourcen im Rahmen der ihm übertragenen Vollmachten.
Nenne die Prüfgebiete der Projektrevision gem. DIIR 1) Projektmanagement-Revision: die Organisation, die Planung, die Kontrollen 2) Business Case Revision: Geschäftsplan und Projektgrundlage 3) Revision der fachlichen Anforderungen: Projektergebnisse
Nenne mögliche Inhalte der Projektrevision Projektauftrag, Projektziel, Projektrisiken, Qualitätsziele, Projektorganisation, Projektdokumentation, Eskalationsverfahren, Change-Request-Verfahren, Meilensteinplan, Ressourcenplanung, Verantwortlichkeiten, Projektbudget, Nachkalkulation, Kritischer Pfad, Projektabschlussbericht, Implementierung von Learnings in den KVP
Bei welchen Projekten sollte die IR gemäß MaRisk (BA) begleitend/beratend tätig sein und warum? Die IR sollte bei Projekten zu wesentlichen Veränderungen in der Aufbau- oder Ablauforganisation oder IT-Systemen beteiligt sein, damit sie wichtige Hinweise und Wissen schon frühzeitig einbringen kann. Bsp. f. Projekte: gesetzl. oder regulatorische Änderungen, Änderungen an Prozessen und dem IKS
Nenne Kategorien der Projektbeschäftigung für die IR 1) Prüfung: Projektstatusprüfung, Projektbegleitende Prüfung, Projektabschlussprüfung 2) Beratung: Projektbegleitung auf Eigeninitiative der IR, Projektbegleitung auf Initiative durch das Projekt oder die Projektauftraggeber
Welche Herausforderungen birgt die Projektbegleitung für interne Revisoren bzw. was sind die Erfolgsfaktoren? 1) das notwendige Know-How muss vorhanden oder erarbeitet werden 2) die IR muss sich eine Wahrnehmung als Sparringpartner erarbeiten 3) ein Vertrauensverhältnis zur Projektleitung muss erarbeitet werden 4) die IR muss trotzdem ihre Unabhängigkeit wahren 5) die Projektbegleitung durch die IR ersetzt nicht das Qualitäts-u. RM im Projekt
Was ist hinsichtlich der Zuverlässigkeit der Prüfungsnachweise von Bedeutung? 1) Belege aus externen Quellen sind zuverlässiger als Belege von internen Quellen (zB. Saldenbestätigungen) 2) Die Qualifikation, Funktion u. Zuständigkeit jener Person, die die Belege liefert 3) Ein objektiver Nachweis ist verlässlicher als ein Beleg der Interpretationsspielraum bietet 4) Verfügbarkeit von Nachweisen berücksichtigen, zB. nicht dauerhaft reproduzierbare Daten 5) Originale sind zuverlässiger als Kopien 6) Verlässlichkeit höher, wenn Quellen unabhängig vom geprüften Bereich sind
Welcher Arbeitsschritt ist in der Informationsbeschaffung und Datensammlung am Ende von großer Relevanz? Am Ende der Prüfung muss der Revisor anhand seiner Checkliste alle Anforderungen mit den gesammelten Prüfungsnachweisen in Beziehung gesetzt haben. Es darf keine offene Anforderung und kein nicht zugeordneter Nachweis übrig bleiben.
Nenne Techniken zum Sammeln der Prüfungsevidenz 1) Überprüfung der Organisationsstrukturen (angemessene Funktionstrennung) 2) Überprüfung von Verfahren und Abläufen 3) Überprüfung von Dokumentationen (Prozessbeschreibungen) 4) Interviews mit Mitarbeitern 5) Beobachtung von Abläufen (live) 6) Physische Untersuchung (Stichproben)
Was versteht die IR unter einem Interview? ein Prüfungsgespräch
Welche Phasen unterscheidet die IR bei einem Interview? 1) Einführungsphase: schaffen einer positiven Gesprächskultur, offene Fragen 2) Befragungsphase: nutzen des Gesprächsleitfadens bzw. d. Prüfungsplans 3) Schlussphase: Wertschätzung und Interview abschließen (danach: Interview protokollieren)
Nenne die Regeln des "aktiven zuhörens" im Rahmen des Interviews 1) Konzentration auf das Gehörte 2) Senden der nonverbalen Botschaft, dass man zuhört 3) frühzeitige Bewertungen vermeiden 4) nicht abwehrend wirken 5) Einsatz von Paraphrasierungen 6) Hören und beobachten von Gefühlen 7) geschicktes Fragen
Was ist bei der Beobachtung von Abläufen und Aktivitäten zu beachten? 1) Örtlichkeit als Ganzes ansehen 2) auffällige Gerüche beachten 3) ausgetretene Flüssikeiten, Flecken in der Prozessumgebung beachten u. hinterfragen 4) möglichst nicht eingreifen (außer bei Gefahr), um die Ergebnisse nicht zu verfälschen
Gibt es in den internationalen Standards eine Vorgabe zur Analyse und Bewertung? Ja: Interne Revisoren müssen ihre Schlussfolgerungen und Revisionsergebnisse auf geeignete Analysen und Bewertungen stützen. (Standard 2320)
Nenne Beispiele für analytische Prüfverfahren Kennzahlen, Trend- und Regressionsanalysen, Angemessenheitstests, Zeitvergleiche, Prognosen, Benchmark-Informationen
Wie ergibt sich die Bewertung bei einem analytischen Prüfverfahren? Vergleich zwischen Informationen und Erwartungen der IR
Definiere Verifizierung und Validierung in der IR Verifizierung = Prüfung der Übereinstimmung mit einer Spezifikation bzw. Anforderung (zB. durch Sichtung von Dokumenten und Abläufen); Theorie u. Praxis stimmen überein Validierung = Bewertung der Erreichung der beabsichtigten Wirkung (kann das Ziel erreicht werden?)
Was versteht man unter dem Prüfungsrisiko? Dass Informationen einen wesentlichen Fehler enthalten, der während der Prüfung unentdeckt bleibt.
Was versteht man unter der Wesentlichkeit? Die Auswirkung auf die Organisation als Ganzes. Ein Wesentlichkeitskonzept muss vor der Prüfung überlegt werden, denn die Wesentlichkeit ist maßgeblich entscheidend dafür, welche Prüfungsfeststellungen in den Bericht kommen.
Was ist wesentlich bei der Revisionsarbeit? die Risikoorientierung
Welche Auswahlverfahren gibt es bei der Auswahl von Prüfungselementen (Stichproben)? 1) Vollerhebung 2) Bewusste Auswahl 3) Repräsentative Auswahl (Stichproben): - Statistische Verfahren - Nichtstatistische Verfahren
Was sind die Gemeinsamkeit der drei Auswahlverfahren von Prüfungselementen? 1. Alle 3 Verfahren benötigen prüferisches Urteilsvermögen bei der Planung, Durchführung und Beurteilung. => der Einsatz statistischer Verfahren ersetzt nicht prüferisches Urteilsvermögen 2. Prüfungshandlungen sind unabhängig vom gewählten Auswahlverfahren 3. Einsatz aller Verfahren ist durch die Standards (IPPF) legitimiert.
Was sind die Risiken bei einer Stichprobenauswahl? 1. Stichprobenrisiko: die Stichprobe könnte nicht repräsentativ sein für die Grundgesamtheit => falsche Schlussfolgerungen wären möglich 2. Fehlendes statistisches Know How
Nenne die Vorteile von statistischen Stichproben 1) Der zum Erreichen des Prüfungsziels erforderliche Stichprobenumfang kann ermittelt werden 2) Quantitative Auswertung und Darstellung der Prüfungsergebnisse ist möglich 3) Stichprobenrisiko ist messbar 4) Stichprobe = Messlatte für ausreichende Prüfungsnachweise 5) Sicherheitsniveau und Präzision der Aussagen können individuell festgelegt werden
Nenne die Nachteile von statistischen Stichproben 1) eine Zufallsauswahl kann teuer und zeitaufwendig sein 2) ggf. Ausbildungsbedarf für Revisor 3) ggf. Aufwand f. Statistiksoftware
Nenne die Vorteile nichtstatistischer Stichproben 1) der Prüfer kann eigene Erfahrungen und Überlegungen miteinfließen lassen 2) Stichprobe kann auf individuelle Bedürfnisse angepasst werden
Nenne die Nachteile der nichtstatistischen Stichproben 1) Ergebnis ist nicht auf Grundgesamtheit übertragbar 2) Stichprobenrisiko ist nicht messbar 3) es besteht das Risiko eines zu geringen oder zu großen Prüfungsumfanges 4) Qualität stark abhängig von Qualifikation und Erfahrung des Prüfers
In welche Kategorien lässt sich das Prüfungsrisiko unterteilen?
zum besseren merken: wie lautet die Formel für das Prüfungsrisiko? Prüfungsrisiko = Inhärentes Risiko+Kontrollrisiko+Entdeckungsrisiko Entdeckungsrisiko = Stichprobenrisiko+Nichtstichprobenrisiko
Was ist der Unterschied zwischen dem inhärenten Risiko und dem Kontrollrisiko? Das inhärente Risik ist die Gefahr eines wesentlichen Fehlers unter der Annahme, dass kein IKS besteht. Im Gegensatz dazu ist ein Kontrollrisiko die Gefahr eines wesentlichen Fehlers unter der Annahme, dass ein IKS besteht, dieses aber den Fehler nicht verhindert oder entdeckt und somit nicht wirksam ist.
Was ist ein Entdeckungsrisiko? Der IR (Prüfer) übersieht einen wesentlichen Fehler im Rahmen der Internen Revision.
Wenn das Auswahlverfahren "Bewusste Stichprobe" gewählt wird - welches Risiko hat der Prüfer dann? Das Nicht-Stichprobenrisiko weil: eine bewusste Stichprobe wird ohne statistische Verfahren gezogen
Welche Stichproben gibt es zur Auswahl der Prüfungselemente? 1) Zufallsstichprobe 2) Geldwertbasierte Stichprobe 3) Geschichtete Stichprobe 4) Merkmalsstichprobe 5) Variablenstichprobe 6) Einschätzende Stichprobe (basiert auf Einschätzung des Prüfers) 7) Entdeckungsstichprobe (Entdeckung eines Fehlers führt zu einer größeren Stichprobe)
Was ist eine Geldwertbasierte Stichprobe? Das ist eine Technik für Stichprobenverfahren, welche benutzt wird, um mögliche Falschangaben monetärer Art auf einem Konto zu identifizieren.
Was ist der Unterschied zwischen einer Merkmalsstichprobe und einer Variablenstichprobe? Die Merkmalstichprobe basiert auf qualitativen Kriterien, die festgelegt werden. Die Variablenstichprobe basiert auf quantitativen Kriterien, um die monetäre Auswirkung von Merkmalen einer Grundgesamtheit zu bestimmen.
Was ist eine geschichtete Stichprobe? Die Grundgesamtheit wird in Untergruppen aufgeteilt, danach wird üblicherweise aus den Untergruppen eine Zufallsstichprobe ausgewählt.
Was ist nach der Ziehung der Stichprobe ganz essientiell? Die Analyse der Ergebnisse. Die Abweichungen müssen analysiert und erklärt werden, Schlussfolgerungen müssen gezogen werden (siehe auch 10. Gebot der Stichprobenerhebung)
Nenne sinngemäß die 10 Gebote der Stichprobenerhebung (1/2) 1) statistische Verfahren kennen und nutzen, wenn erforderlich 2) Grundgesamt kennen und beim Prüfungsurteil darauf referenzieren 3) Gebe bei statistischen Analysen jedem Mitglied der Grundgesamtheit die gleiche Chance ausgewählt zu werden 4) Keine persönliche Voreingenommenheit bei der Auswahl der statist. Stichprobe 5) Zufälligkeit der Stichprobe darf nicht durch Muster in der Grundgesamtheit beeinträchtigt werden
Nenne sinngemäß die 10 Gebote der Stichprobenerhebung (2/2) 6) Ziehe keine Schlussfolgerungen bezüglich der Grundgesamtheit bei bewusster Auswahl 7) Fehlerraten realistisch schätzen und berücksichtigen, dass ab einer gewissen Fehlerrate automat. Korrekturen zu berücksichtigen sind 8) Nutze die Schichtung der Grundgesamtheit, um die Varianz der Stichprobe einzugrenzen 9) Setze nicht grundlos auf hohe Ziele für die Verlässlichkeit 10) Analysiere die Ergebnisse
Was ist beim Prüfungsabschluss hinsichtlich der Beanstandungen sehr wichtig? Dass die Beantstandungen von dem geprüften Fachbereich verstanden und akzeptiert werden. Ziel ist es den Fachbereich davon zu überzeugen, dass die Optimierungen dringend erforderlich sind, um Fehler zu vermeiden u. die Prozessqualität zu erhöhen. Wenn die Beanstandungen nicht akzeptiert werden, ist eine spätere Aufarbeitung (Follow-Up) schwieriger.
Nenne Faktoren für die erfolgreiche Kommunikation von Beanstandungen 1) Feststellungen und abzuleitende Maßnahmen so früh wie möglich adressieren - wenn möglich noch während der Prüfung 2) Einvernehmliche Abstimmung der Findings für den Prüfungsbericht (keine neuen Beanstandungen im Bericht) 3) Klärung von unterschiedichen Ansichten zwischen IR und geprüfter OE 4) Geringfügige Feststellungen während der Prüfung korrigieren lassen und nicht in den Prüfungsbericht aufnehmen 5) Wenn Korrekturen von Beanstandungen bereits während der Prüfung erfolgen, dann ist das im Bericht als "erledigt" anzuführen
Welche Vorgehensweise wird empfohlen, um den Abstimmungsaufwand für den Prüfbericht zu reduzieren und beeinflußt außerdem die Zusammenarbeit in positiver Weise? -) Dokumentation der Beanstandungen in der Findings List und Übermittlung an den geprüften Fachbereich noch vor Prüfungsende -) Wechselseitige Abstimmung der Formulierungen für den Bericht
Wenn im Verlauf der Prüfung ein Beratungsbedarf offenkundig wird - darf die IR die Beratung übernehmen? Ja. Sollte im Verlauf eines Prüfungsauftrages ein Beratungsbedarf auftreten, sollte eine gezielte schriftliche Vereinbarung getroffen werden, welche Ziele, Umfang, Verantwortlichkeiten und Erwartungen umfasst. Die daraus resultierenden Ergebnisse werden unter Zugrundelegung der Beratungsstandards kommuniziert. (Standard 2220.A2)
Wer nimmt üblicherweise beim Schlussgespräch teil bzw. wird zu diesem eingeladen? Die zuständigen Kompetenzträger: -) Prüfungsleiter*in -) Mitglieder aus dem Prüfungsteam -) Führungskraft der geprüften Einheit -) ausgewählte Mitglieder der geprüften Einheit
Nenne die Inhalte des Schlussgesprächs 1) Diskussion des Entwurfs des Prüfberichts und gemeinsames Verständnis erlangen 2) eine Vereinbarung über die Prüfungsfeststellungen und Maßnahmen zu erzielen 3) die Prüfungsdurchführung abschließen
Was ist das Ziel des Schlussgesprächs? Eine weitgehende einvernehmliche Verabschiedung des Prüfungsergebnisses einschließlich Maßnahmen und Umsetzungstermine
Ist es zulässig auf die Schlussbesprechung zu verzichten? Nur wenn seitens der geprüften Einheit keine Schlussbesprechung gewünscht wird. Alternativ ist eine schriftliche Dokumentation und Kommunikation zum Prüfungsergebnis ebenfalls konform mit den Standards.
Was passiert wenn im Schlussgespräch keine Einigung zwischen IR und geprüfter Einheit erzielt wird? -) Die IR sollte einen Eskalationsprozess für solche Fälle definieren. -) Die geprüfte Einheit darf im Prüfungsbericht eine Stellungnahme abgeben. => Damit erhält der Berichtsempfänger (= Auftraggeber) ein vollständiges Bild.
Kann es vorkommen, dass ein Prüfungsbericht nach erfolgter Prüfung nicht herausgegeben wird? Nein. Gemäß den Standards (2400 Berichterstattung) muss die IR über Prüfungsergebnisse und Beratungsergebnisse berichten.
Nenne die, gemäß der Standards, vorgeschriebenen Kriterien für die Inhalte von Berichten der IR 1) Ziel, Umfang u. Ergebnisse der Prüfung 2) geeignete Schlussfolgerungen und getroffene Feststellungen 3) zugehörige Umsetzungsempfehlungen und Maßnahmen 4) eine durch Informationen belegte Beurteilung durch die IR (Standard 2410)
Darf ein Prüfungsbericht an Organisationsexterne versendet werden? Ja, aber in diesem Fall muss der Prüfungsbericht einen Vertraulichkeitsvermerk enthalten. Standard 2410.A3: Beim Offenlegen von Auftragsergebnissen an organisationsexterne Stellen muss auf Verbreitungs-und Nutzungsbeschränkungen hingewiesen werden.
Welche qualitativen Anforderungen müssen Prüfungsberichte erfüllen? Revisionsberichte müssen richtig, klar, objektiv, prägnant, konstruktiv und vollständig sein und zeitnah erstellt werden. (Standard 2420)
Unter anderem muss ein Revisionsbericht klar und prägnant sein. Was bedeutet das konkret? Klar und prägnant: -) keine unnötigen Fachbegriffe -) keine ausufernden Prozessbeschreibungen -) Beurteilung muss auf den Punkt gebracht werden
Berichte müssen zeitnah übermittelt werden - was bedeutet das konkret? unmittelbar nach dem Prüfungsende muss der Bericht versendet werden, damit sofort mit der Umsetzung der Maßnahmen begonnen werden kann
Hinsichtlich der Aussendung der Prüfungsergebnisse - was ist zu beachten? Leitung IR ist verantwortlich dafür, dass alle zweckdienlichen Parteien den finalenBericht erhalten. Bei der Versendung an Externe: -) Risiko f. d. Org. bewerten -) sich mit Führungskräften und/oder Rechtsbeistand abstimmen -) die Verbreitung durch Nutzungsbeschränkungen einschränken
Welche Empfehlung gibt es hinsichtlich Empfängerorientierung für den Prüfungsbericht? -) Management-Summary (=Zusammenfassung) dem Bericht voranstellen -) Adressatenorientiert denken: evtl. ist es ausreichend, wenn der Vorstand nur die Management-Summary bekommt
Nenne die 5 Bestandteile für die Formulierung einer Beanstandung 1) Soll-Zustand: Regulatorien oder Best Practice Empfehlung 2) Ist-Zustand: klar u. präzise 3) Ursache 4) Risiko 5) Maßnahme
Nenne Kriterien für gute Revisionsberichte Es gibt 12 Kriterien: es gibt eine Management Summary; es gibt auch positive Feststellungen; die Sprache ist nicht belehrend; Grafiken verdeutlichen Zusammenhänge; Text ist gegliedert u. strukturiert; kein Zahlenfriedhof; keine Erwähnung von Annahmen/Behauptungen ohne Beleg; Korrekte Grammatik; kurze Sätze; nur abgestimmte Berichtstexte; keine Namen; keine persönlichen Schuldzuweisungen
Gibt es eine Empfehlung für die Klassifikation von Beanstandungen bzw. überlege was hier sinnvoll wäre Eine fünfstufige Bewertungsskala: -) Besonders schwerwiegend -) Schwerwiegend -) Wesentlich -) Bemerkenswert -) Geringfügig Es ist für jede Bewertungsstufe eine Definition und die Konsequenz für die Berichterstattung festzulegen.
Nenne ein Beispiel für eine Klassifikation von Beanstandungen
Wenn eine Beanstandung die Wertung "Wesentlich" erhält, wie ist das Risiko einzustufen? Müsste man unverzüglich an den Aufsichtsrat berichten? Bei wesentlichen Beanstandungen ist eine mittlere Risikoeinstufung empfehlenswert. Im Prüfungsbericht sind wesentliche Beanstandungen hervorzuheben. Eine unverzügliche Berichterstattung an den AR wäre erst bei existenzgefährenden Beanstandunen erforderlich.
Darf die IR die Klassifikationsmatrix für Beanstandungen an die geprüften Einheiten weitergeben? Ja, das ist sogar vorteilhaft, damit die geprüften Einheiten sich ein Bild von der Schwere der Beanstandungen machen können.
Die Prüfung wird auch einer Gesamtbewertung unterzogen - welches Bewertungssystem ist empfehlenswert? Es empfiehlt sich eine fünfstufige Skala für die Gesamtbewertung - wichtig: es muss pro Bewertungsstufe eine präzise Definition erdacht werden.
Erkläre beispielhaft ein System für eine Gesamtbewertung
Wo bringt man sinnvoll die Gesamtbewertung der Prüfung im Bericht unter? In der Management Summary
Was ist in der IR die "Berichtskritik"? Ein Instrument zur Qualitätssicherung der Prüfberichte => erfolgt immer pro Bericht => erfolgt durch eine nicht in die Prüfung involvierte und fachlich qualifizierte Führungskraft => die Berichtskritik ist im Rahmen der Abstimmung mit dem geprüften Bereich zu dokumentieren
Wer ist im Follow-Up-Prozess dafür verantwortlich, dass die Maßnahmen umgesetzt werden? Die geprüfte Fachabteilung ist für die Umsetzung der Maßnahmen verantwortlich. Die IR ist für die Überwachung der Umsetzung verantwortlich und für die Berichterstattung der Ergebnisse aus der Überwachung.
Nenne die Komponenten des wirksamen Follow-Up 1) Abstimmung und Formulierung 2) Adressaten 3) Eskalierung 4) Klassifikation 5) externe Beanstandungen 6) Unterstützung
Was kann/soll die IR unternehmen wenn die Maßnahmen gemäß Follow-Up zum vereinbarten Zeitpunkt (Termin) noch nicht umgesetzt wurden? Für diesen Fall muss es einen Eskalationsmechanismus geben (=> eine der 6 Komponenten des wirksamen Follow-Up)
Nenne die Komponenten eines Eskalationsverfahrens in der IR 1) Festlegung Empfänger 2) Zeitpunkt 3) Genehmigung von Verlängerungen 4) Adressierung an Organisationseinheiten 5) Nachgewiesene Akzeptanz 6) Ausnahmslosigkeit
Bezüglich Eskalationprozess: was ist gemeint mit "Adressierung an Organisationseinheiten"? Dass die Beanstandung nicht an die Führungskraft persönlich gerichtet sind, sondern an die Organisationseinheit. Das ist besser für den Fall, dass die Führungskraft wechselt.
Bezüglich Eskalationprozess: was ist gemeint mit "Nachgewiesene Akzeptanz"? Wenn der geprüfte Fachbereich die Beanstandung nicht akzeptiert und folglich keine Maßnahmen setzt, muss die GF darüber entscheiden, ob das Risiko akzeptiert wird. Falls ja, darf die Beanstandung aus dem Follow-Up entfernt werden (=> dokumentieren!).
Bezüglich Eskalationprozess: was ist gemeint mit "Zeitpunkt"? Die Festlegung von Erledigungsterminen.
Die klassischen Prüftätigkeiten können nach Ziel, Inhalt und Vorgehensweise unterschieden werden. Stelle diese grafisch dar. (Frage SOB!!!)
Mostrar resumen completo Ocultar resumen completo

Similar

Capítulo III. Procesos de dirección de proyectos
molo544
Práctica de Biología para la Prepa 1
Raúl Fox
Preposiciones en inglés
Lolo Reyes
TEORÍA DE LA PERSONALIDAD según Freud
Erika Alexandra 1467
Arte Egipcio
maya velasquez
Vocabulario Pescados y Mariscos
ExamTime Reviewer
Matematicas exanii-ii
Monica Sanchez8667
=ARTE=...
JL Cadenas
ESPAÑA FÍSICA: TERMOS
Nuria Prado Álvarez
Foro 4_MAD
Itziar Arnelas
Fichas Evaluación de las actividades de la vida Diaria
ELSY DEL CARMEN QUEVEDO TEJERO