Können Data analytics benutzt werden in der Risikoidentifikation und für was? unter welchen Voraussetzungen?
Ja
▪ Besseres Verständnis Geschäftsbereiche / IKS
▪ Berechnung und Analyse von Kennzahlen
▪ Identifikation von ausserordentlichen Sachverhalten / Ausreissern
▪ Untersuchung und Visualisierung von Prozessen
▪ Identifikation Prüfungsfeld / Fehlerrisiken
Voraussetzungen:
- gut strukturierte Daten aus finanzrelevanten Systemen
- Gewisse Unternehmensgrösse
Was für eine Prüfungshandlung ist Datenanalyse?
WICHTIG: Datenanalyse ist keine «eigene» Prüfungsart oder –methodik sondern
Werkzeug der bekannten Prüfungshandlungsarten
Für was kann Datenanalyse eingesetzt werden in den Prüfungshandlungen?
▪ Wirksamkeitsprüfungen
- automatisierte Prüfung von Kontrollen inkl. Quantifizierung von Fehlern
- Auswahl statistisch relevanter Stichproben
▪ analytische Prüfungen
- Analyse von Datenmengen / Trends etc.
- Vergleich von Kennzahlen / Erwartungswerten
▪ Einzelfallprüfungen
- Überprüfung von Berechnungen durch Nachvollzug
- Prüfung Grundgesamtheit durch Identifikation und Überprüfung von «Ausreissern»
Der Einsatz von Datenanalyseinstrumenten führt zu einem grundsätzlich neuen Ansatz bei der Prüfungsstrategie. Der Prüfer muss sich also bereits im Rahmen der Entwicklung der Prüfstrategie für oder gegen den Einsatz von Datenanalysen entscheiden, da seine
Prüfungsstrategie hiervon abhängig ist.
Richtig oder falsch und warum?
Falsch
Datenanalyseinstrumente können sowohl bei
Wirksamkeitsprüfungen von Kontrollen als auch bei aussagebezogenen Prüfungen sowie für die Auswahl bzw. Selektion von Stichproben eingesetzt werden. Sie ändern aber nichts grundsätzlich an der Prüfungsstrategie, die auf Kontroll- sowie aussagebezogenen Prüfungen basiert.
Allerdings kann die Möglichkeit zum Einsatz von
Datenanalyseinstrumenten einen Einfluss auf die
Prüfungsstrategie haben, die der Prüfer wählt. Bspw. kann es sinnvoll sein, den Umsatz mittels aussagebezogenen Prüfungshandlungen auf Basis von Datenanalysen zu prüfen, anstelle die entsprechenden Kontrollen auf ihre Wirksamkeit hin zu überprüfen
Datenanalysen könne sowohl in der
Phase der Risikoidentifikation als
auch bei der Prüfungsdurchführung
sinnvoll eingesetzt werden.
Richtig oder falsch und warum?
Richtig
Gerade bei grossen Transaktionsvolumina und sehr grossen Unternehmen können Datenanalysen bereits im Rahmen der Risikoidentifikation sinnvoll eingesetzt werden. So können bspw. Prüffelder aufgrund von besonders vielen Nicht Standardtransaktionen oder identifizierten Einzelfällen als Schlüsselprüffelder gewählt werden. Bei der Prüfungsdurchführung können sie dann bei der Auswahl statistisch relevanter Stichproben hilfreich sein,
zum Testen der Wirksamkeit automatischer Kontrollen dienen oder auch Berechnungen durch Nachvollzug überprüfen
Nennen und erläutern sie jeweils ein Beispiel für den Einsatz von Datenanalysen
bei der
1. Wirksamkeitsprüfung einer Kontrolle
- Prüfung 3-way-match im
Einkaufsprozess
Andere geeignete Beispiele: - Einhaltung automatische Funktionentrennung (bspw. Im Bestellprozess, bei Zahlungen,
Stammdatenmutationen etc.) - Instrument zur Auswahl von Stichproben für manuelle Wirksamkeitsprüfungen
Nennen und erläutern sie jeweils ein Beispiel für den Einsatz von Datenanalysen
bei der
2. Aussagebezogene Prüfungshandlung
- Prüfung von Abschreibungen im Bereich Anlagevermögen
Andere geeignete Beispiele:
- Berechnung von systematischen Wertberichtigungen auf Vorräten oder Forderungen
- Einhaltung Niederstwertprinzip bei Vorräten
- Nachvollzug Lagerwert anhand sämtlicher Lagerzu- und –abgänge und der auf den Bewegungen erfassten Preise
- Prüfung der Richtigkeit von Saldenlisten oder Altersgliederungen
- Instrument zur Auswahl von Stichproben für Belegprüfungen, bspw. beim Umsatz
- Analytische Prüfungen bei digitalen Massentransaktionen bspw. bei Banken oder Versicherungen
Können Datenanalysen (Data analytics) bei IT benutzt werden?
Ja
▪ Immer höhere Durchdringung von Geschäftsprozessen mit IT
▪ Ermöglicht automatisierte aussagebezogene Prüfungen
Welches sind Vorteil und Nachteil bei Data Analytics (für IT Kontrollen aber auch anderswo)?
▪ Vorteile
− Hohe Sicherheit durch Prüfung des gesamten Bestandes an Geschäftsfällen. Ermöglicht oftmals weiterführende Analysen
− Durch Automatisierung relativ geringer Aufwand für aussagebezogene Prüfung
▪ Nachteile
− Oft hoher Initialaufwand, um Daten zu extrahieren und aufzubereiten
− In vielen Fällen keine Abdeckung des IKS da vollständig aussagebezogenes Vorgehen
Was ist das Ziel von Data Analytics?
Das Ziel jeder Analytics-Lösung besteht darin, der Organisation handlungsrelevante Erkenntnisse für intelligentere Entscheidungen und bessere
Geschäftsergebnisse zu liefern
Welche Arten von Datenanalyse Lösungen gibt es?
1) Descriptive, das Business Intelligence und Data Mining verwendet, um zu fragen:
“Was ist passiert?”
2) Predictive, das anhand statistischer Modelle und Prognosen fragt: “Was kann passieren?”
3) Prescriptive, die Optimierung und Simulation verwendet, um zu fragen: “Was sollen wir tun?”
Mögliche Vorteil von Datenanalysen in der Abschlussprüfung?
- Automatisierung von aussagebezogenen
Prüfungshandlungen - Zentralisierung von Prüfungshandlungen
- Reduktion von manuellen Prüfschritten
und dadurch Minimierung von potentiellen Fehlern - Wichtige Einblicke in Geschäftsprozessabläufe und Identifizierung von möglichen Prozess-Engpässe (Zusammenhänge, Kennzahlen)
- Prüfung von 100% der Transaktionsmenge anstelle Stichprobenprüfung
- Fokussierung der aussagebezogenen Prüfungshandlungen auf die Transaktionen, welche tatsächlich ein erhöhtes Risiko
darstellen - Identifikation von Ausreissern oder ungewöhnlichen Transaktionen
- Fokus wird auf existierende Datenflüsse gesetzt wie sie in den ERP Systemen abgebildet sind
- Visualisierung von Ergebnissen
Herausforderungen bei Data Analytics?
- Software muss auf Zuverlässigkeit geprüft sein
- Umfang der Tests abhängig von Prüfungshandlungen und pflichtgemässen Ermessen
- IT Prüfer sollten einbezogen werden
- Gewisse DA-Routinen können nur bei bestimmten Situationen/Branchen/Transaktionen gebraucht werden
- evtl. externe Daten nötig um die Analyse machen zu können
- Tools nicht mit allen Daten kompatibel
- In gewissen Situationen ist manuelle Bearbeitung schneller oder effizienter abhängig von der Population
- Datenschutz, vor allem bei grenzüberschreitenden Audits
- Obwohl es effizienter werden kann, kann bei grossem Umfang von Ausreissern die Prüfung sogar weniger effizient werden
- Die Erwartung der Stakeholder hinsichtlich des Einsatzes von DA (Erwartungslücke), z.b. dass jeder Ausreisser identifiziert werden muss
- Erwartungslücke: nur weil 100% der Population analysiert wurde, heisst es nicht, dass 100% der Population “getestet” ist
- Prüfungsstandard entwickeln sich langsamer als DA: Ist DA nach Standard genügend oder nicht?
- Angemessenheit: Reichen Nachweise aus DA alleine oder “müssen” diese noch bekräftigt werden mit “herkömmlichen” Grundlagen des Prüfungsnachweismodells.
Beispiele von Einsatzmöglichkeiten von Data analytics bei gewissen Prüfungen
- Journalbuchungen
- Lieferantenanalysen aus Kreditoren
- Lieferantenanalysen aus Debitoren
- Gehaltsabrechnungen
- Spesen
Was wären die typischen Teilnehmer des Abschlussprüfers beim Einsatz von DA und was würden diese machen?
▪ Audit Champion(s):
□ In-charge Audit Manager im Team verantwortlich für das Aufsetzen des
Prüfungsplanes und der Definition der DA-Einsatzbereiche entlang der
Prüfungsphasen
▪ ERP & Process-Spezialist
□ IT Spezialist mit starkem ERP und Geschäftsprozess Know-How verantwortlich
für die Definition der DA-routinen
▪ DA-Spezialist
□ Verantwortlich für die Extraktion, Aufbereitung und Analyse (zusammen mit
Audit Manager) der Daten
□ Benötigt solide Statistikkenntnisse, Programmierfähigkeiten und Interesse bzw.
Verständnis für den Prüfungsprozess (Phasen, Risikoüberlegungen und Testen
von Kontrollen, Detailprüfungen,…
Was muss bei Planung definiert werden?
▪ “Klare Definition und Zuordnung mit Deadlines” von DA-routinen zu den Prüfungsschwerpunkten (Significant Accounts) und „What Could Go Wrongs“ aus der Prüfungsstrategie / -programm
▪ “Klare Erwartungen” zu Lieferobjekten der DA aufnehmen und von Anfang an definieren wie diese in der Prüfungsdokumentation zu verwenden sind
▪ Genaue Rollen und Verantwortlichkeiten im integrierten Prüfungsteam definieren
▪ Früher Einbezug von ERP, IT und Prozessspezialisten: Zugangsberechtigungen zu Systemen sind oft ein Problem und brauchen typischerweise viel Zeit zur Bereinigung
Welche 5 Teile gibt es im Prozess von Data analytics innerhalb der Prüfung?
- Planung
- Dataextraktion
- Verarbeitung
- Analyse und Dokumentation
- Completion (Berichterstattung)
Was muss man bei der Datenextraktion früh sicherstellen?
▪ Frühe Initiierung des Datenextraktionsprozesses und Durchführung von Probeläufen
▪ Definition von Datensicherheitsmassnahmen im Prüfungsteam und auf Kundenseite
▪ Mit der IT-Organisation des Kunden früh in Kontakt treten und die Erwartungen festhalten
▪ IT Spezialisten aus dem Prüfungsteam sollten früh die Kundensysteme aufnehmen und begutachten
▪ Frühzeitige Aufnahme des Prozess- / Kontrollverständnisses (Walkthroughs) und wenn möglich Process Mining um ein klares
Verständnis über die zu analysierenden Prozesse und Daten zu
entwickeln
Was muss man bei der Verarbeitung der DA früh sicherstellen?
▪ Überlegungen zur Datenintegrität anstellen – sind die zu bearbeitenden Daten vollständig und korrekt? / sind die Daten kontrolliert in die Systeme eingeflossen?
▪ Wurden die Datenanalysen die zum Einsatz kommen vorgängig getestet, validiert
und genehmigt?
▪ Ist das Datenanalyseteam entsprechend geschult
▪ Frühzeitige Klärung über die Eignung der einzusetzenden Datenanalysetools
▪ In-charge Audit Manager stellt sicher, dass eine Prüfung der Datenintegrität stattfindet und dokumentiert wird
▪ Eine Beurteilung der Kompetenzen und des Verständnisses für die Prüfungsziele seitens der einzusetzenden Datenanalysespezialisten muss frühzeitig sichergestellt und dokumentiert werden
Was muss man beim Schritt “Analyse” der DA sicherstellen?
▪ Sicherstellung der Validierung und Qualitätssicherung der Analyseresultate
▪ Analyseresultate wurden zwischen dem In-charge Audit Manager und dem Datenanalysespezialisten besprochen und das Thema „False - Positives“ adressiert
▪ Der Prozess und die Resultate zur Qualitätssicherung müssen entsprechend dokumentiert werde
▪ Vorlagen (Templates) für die Dokumentation der Qualitätssicherung aufbereiten und abstimmen
Was muss man beim Schritt “Completion/Berichterstattung” der DA sicherstellen?
▪ Klare Definition der Form der Berichterstattung für DA-Resultate und wie diese als Prüfungsnachweis verwendet wird
▪ Dokumentation von Feststellungen als Teil der Berichterstattung und die Abstimmung mit dem Kunden bezüglich potentieller “Business Insights”
▪ Erstellung einer Checkliste mit allen Abschlusspunkten welche beachtet werden müssen
▪ Erstellung eines Kommunikationsplans für die Kommunikation zurück an den Kunden sobald die Daten analysiert wurden (Bsp.: Datenlöschung, ….)
Welche Fragen müssen wir uns stellen wenn wir berücksichtigen, DA zu gebrauchen
▪ Wie effizient können die Daten extrahiert werden?
▪ Wieviel Unterstützung ist der Kunde bereit uns zu geben?
▪ Ist unser Prüfungsteam ausreichend geschult und vorbereitet, um mit komplexen
Datenanalyseergebnissen zu arbeiten?
▪ Hat das gesamte Prüfungsteam ein gleiches Verständnis für den Datenanalyseprozess
und den Einsatz von Analyseergebnissen bei der Prüfungsdokumentation?
Welche Prüfungsaspekte gibt es bei Datenintegrität? (3)
- Data Input Risk
- Data Integrity Risk
- Data Extraction and Manipulation Risk
Was prüft man zur Datenintegrität?
- Sind die verwendeten Daten in einer kontrollierten Weise in das Kundensystem
(ERP) eingegeben worden? - Können die eingegebenen Daten im Kundensystem (ERP) unkontrolliert abgeändert
werden? - Sind die extrahierten Daten aus dem
Kundensystem (ERP) vollständig und
korrekt?
-
Audit159
-
OR7
-
2023224
-
Pension59
-
PS 70029
-
PS 40033
-
PS 50041
-
PS 30026
-
Kapitalverlust/Überschuldung/Going Concern94
-
PS 20077
-
PS 60051
-
Eingeschränkte Rev/ Unabhängigkeit71
-
Wesentlichkeit37
-
Zwischendividende3
-
Fusion & verwandte Themen114
-
PS 800-900 (ohne IKS)102
-
Zulassungen RAG11
-
IKS71
-
Datenanalysen24
-
Komische/Seltene Themen1
-
Rechnungslegungsfragen15
-
Ifrs Us Gaap5
-
EQR/ Concurring Review / Other DTT3
-
Swiss GAAP FER7
-
IFRS2
-
ISA-CH Namen49
-
IFRS Names42
-
Kotierungsreglement11
