ISSA [E-DE] 5000

ISSA [E-DE] 5000

A389 Beispiele für andere Kontrollen, bei denen es angemessen sein kann, dass der Prüfer ein Verständnis erlangt, schließen ein: ● Kontrollen, die Risiken wesentlicher falscher Darstellungen behandeln, die im Spekt rum der Risiken auf Grundlage ihrer Wahrscheinlichkeit und ihres Ausmaßes als hö her beurteilt wurden ● Kontrollen, die sich auf die Zusammenstellung oder Anpassungen der Nachhaltig keitsinformationen beziehen ● falls die Einheit einen Dienstleister nutzt, Kontrollen bei der Einheit, die sich auf die vom Dienstleister erbrachten Dienstleistungen beziehen. A390 Die Identifizierung von IT-Anwendungen und anderen Aspekten der IT-Umgebung, damit ver bundener Risiken aus dem IT-Einsatz sowie generellen IT-Kontrollen, die vorhanden sind, um diese Risiken zu behandeln, beeinflusst die Entscheidungen des Prüfers über die Prüfung von Kontrollen, die Beurteilung von Risiken wesentlicher falscher Darstellungen, die Prüfung der von IT-Anwendungen erstellten Informationen sowie die Planung weiterer Prüfungshandlun gen. A391 Bei der Identifizierung von IT-Anwendungen, die aus dem IT-Einsatz resultierenden Risiken unterliegen, kann der Prüfer die automatisierten Kontrollen der Einheit, die Speicherung und Verarbeitung von Informationen sowie das Verlassen auf generelle IT-Kontrollen würdigen. Der Umfang des Verständnisses und die Anzahl der Anwendungen, die aus dem IT-Einsatz resultierenden Risiken unterliegen, variieren je nach der Komplexität der Einheit. Hat der Prü fer IT-Anwendungen identifiziert, die aus dem IT-Einsatz resultierenden Risiken unterliegen, ist es wahrscheinlich, dass andere Aspekte der IT-Umgebung (z.B. Netzwerk, Betriebssys teme, Datenbanken und Schnittstellen zwischen IT-Anwendungen) identifiziert werden, da sol che Aspekte die identifizierten IT-Anwendungen unterstützen und mit ihnen interagieren. A392 Aus dem IT-Einsatz resultierende Risiken können unautorisierten Zugang, Programmänderun gen und unangemessene Datenänderungen einschließen und ihr Umfang hängt von der Art und den Merkmalen der IT-Anwendungen und IT-Umgebung ab. 5.15.9. Ausgestaltung und Implementierung von Kontrollen (Vgl. Tz. 120L, 120R) A393 Die Beurteilung der Ausgestaltung einer identifizierten Kontrolle beinhaltet die Würdigung durch den Prüfer, ob die Kontrolle, einzeln oder in Kombination mit anderen Kontrollen, dazu in der Lage ist, wesentliche falsche Darstellungen wirksam zu verhindern oder aufzudecken und zu korrigieren (d.h. das Kontrollziel). A394 Der Prüfer stellt die Implementierung einer identifizierten Kontrolle fest, indem er feststellt, dass die Kontrolle existiert und dass die Einheit sie nutzt. Es ist wenig sinnvoll, dass der Prüfer die Implementierung einer Kontrolle beurteilt, die nicht wirksam ausgestaltet ist. Daher beurteilt der Prüfer zuerst die Ausgestaltung einer Kontrolle. Eine nicht sachgerecht ausgestaltete Kon trolle kann einen Kontrollmangel darstellen. A395 Der Prüfer kann schlussfolgern, dass es angemessen sein kann, eine wirksam ausgestaltete und implementierte Kontrolle zu prüfen, um die Wirksamkeit ihrer Funktion bei der Festlegung von Art, zeitlicher Einteilung und Umfang weiterer Prüfungshandlungen zu berücksichtigen. Ist

190 © IDW Verlag GmbH