Der Praktische Ratschlag „2200-2 Anwendung eines risikobasierten Top Down-Ansatzes zur Identifikation der im Rahmen eines Prüfungsauftrages zu identifizierten Kontrollen“ (2200-2 Using a Topdown, Risk-based Approach to Identify the Controls to Be Assessed in an Internal Audit Engagement) unterstützt die Interne Revision bei der Anwendung des Standards „2200 Planung einzelner Aufträge“ (2200 Engagement Planning), der zu den Ausführungsstandards der Internationalen Standards für die berufliche Praxis der Internen Revision gehört.
Der Praktische Ratschlag empfiehlt zum besseren Verständnis die Ratschläge „2010-2 Nutzung des Risikomanagements durch die Interne Revision“, „2210-1 Ziele des Auftrags“, „2210.A1-1 Risikobeurteilung in der Prüfungsplanung“ sowie den Praxisleitfaden „GAIT 3 Analyse von IT-Geschäftsrisiken“ in ihrer Gesamtheit zu betrachten und leistet zugleich Hilfestellung bei der Identifikation von Schlüsselkontrollen, um diese im Anschluss in den Prüfungsumfang einzubeziehen.
Im Gegensatz zur Festlegung des Prüfungsumfangs auf Basis der Risiken eines – ggf. für die Gesamtorganisation unwesentlichen – Standorts, berücksichtigt ein Top Down-Ansatz nur wesentlichere Risiken der Organisation. Der Interne Revisor hat dabei zu beurteilen, ob eine angemessene Kombination von manuellen und automatisierten Kontrollen sowie IT-Kontrollen besteht, welche die Geschäftsrisiken innerhalb der von der Organisation festgelegten Grenzen beschränkt.
Der Prüfungsumfang muss alle Schlüsselkontrollen umfassen, die notwendig sind, um hinreichende Sicherheit zu gewährleisten, dass die Risiken wirksam gesteuert werden. Dabei können auch Nicht-Schlüsselkontrollen in Betracht gezogen werden. Sind die Schlüsselkontrollen bekannt, ist eine Beurteilung der Angemessenheit angebracht. Schlüsselkontrollen können folgende Formen annehmen:
Schlüsselkontrollen können entweder mit Hilfe eines einzelnen integrierten Prüfungsauftrages oder einer Kombination von Prüfungsaufträgen beurteilt werden. Eine Kombination von Prüfungsauftragen ist üblich, wenn für verschiedene Risikofelder auf gleiche Kontrollen zurückgegriffen wird. Umfasst eine Prüfung nicht alle Schlüsselkontrollen, sollte eine Beschränkung des Prüfungsumfangs in Betracht gezogen werden. Dieser Sachverhalt ist klar in der Prüfungs-ankündigung und im Schlussbericht zu kommunizieren.
Für den vollständigen Text des Praktischen Ratschlags „2200-2 Anwendung eines risikobasierten Top Down-Ansatzes zur Identifikation der im Rahmen eines Prüfungsauftrages zu identifizierten Kontrollen“ (2200-2 Using a Topdown, Risk-based Approach to Identify the Controls to Be Assessed in an Internal Audit Engagement) sowie dem zugehörigen Standard „2200 Planung einzelner Aufträge“ (2200 Engagement Planning) vgl. die Praktischen Ratschläge sowie die Internationalen Standards für die berufliche Praxis der Internen Revision (www.theiia.org oder www.diir.de).
Um unseren Webauftritt für Sie und uns erfolgreicher zu gestalten und
Ihnen ein optimales Webseitenerlebnis zu bieten, verwenden wir Cookies.
Das sind zum einen notwendige für den technischen Betrieb. Zum
anderen Cookies zur komfortableren Benutzerführung, zur verbesserten
Ansprache unserer Besucherinnen und Besucher oder für anonymisierte
statistische Auswertungen. Um alle Funktionalitäten dieser Seite gut
nutzen zu können, ist Ihr Einverständnis gefragt.
Weitere Informationen finden Sie in unserer Datenschutzerklärung.
Notwendige | Komfort | Statistik
Bitte wählen Sie aus folgenden Optionen: