Im Oktober 2023 hat die FRC eine überarbeitete Version von ISA (UK) 505 – Externe Bestätigungenveröffentlicht. Sie tritt für Prüfungen von Abschlüssen für Zeiträume in Kraft, die am oder nach dem 15. Dezember 2024 beginnen. Da sich die Veröffentlichung dieser Überarbeitung jährt, fassen wir die Kernelemente von ISA 505 zusammen.
Was ist ISA 505?
ISA 505 befasst sich mit der Nutzung externer Bestätigungsverfahren durch den Prüfer als Teil der Gewinnung von Prüfungsnachweisen. Verwandte ISAs sind ISA 500 (Prüfungsnachweise) und ISA 330 (Reaktionen des Prüfers auf beurteilte Risiken).
Hintergrund
Abgesehen von einigen im Jahr 2022 vorgenommenen Änderungen wurde der eigentliche Kernstandard seit 2017 nicht überarbeitet. In der Zwischenzeit sind digitale Tools (wie Circit) wesentlich populärer geworden.
Die überarbeitete Version von ISA 505 (Mai 2022) enthält Leitlinien zur Nutzung digitaler Plattformen im Bestätigungsverfahren, um Informationen zu verifizieren und die Zuverlässigkeit und Glaubwürdigkeit der durch das Verfahren gewonnenen Prüfungsnachweise zu verbessern.
Die verwandte ISA 500 weist darauf hin, dass die Zuverlässigkeit von Prüfungsnachweisen von drei wichtigen Merkmalen beeinflusst wird, nämlich:
- Prüfungsnachweise sind zuverlässiger , wenn sie von unabhängigen Quellen außerhalb des Unternehmens stammen;
- Prüfungsnachweise die direkt vom Prüfer erlangt wurden sind zuverlässiger als Prüfungsnachweise, die indirekt oder durch Schlussfolgerungen erlangt wurden; und
- Prüfungsnachweise sind zuverlässiger, wenn sie in dokumentarischer Form, z. B. in Papierform, elektronisch oder in einem anderen Medium, vorliegen.
Update vom Mai 2022
Ziel externer Bestätigungen ist es, relevante und zuverlässige Prüfungsnachweise zu erhalten. Die aktualisierte Version von ISA 505 vom Mai 2022, beschreibt die folgenden Schlüsselelemente des Prozesses:
- Die Nutzung digitaler Plattformen,
- Verschärfte Anforderungen an die Untersuchung von Ausnahmen und
- Ein Verbot negativer Bestätigungen
Wir werden uns die Elemente digitaler Plattformen und negativer Bestätigungen genauer ansehen.
Nutzung digitaler Plattformen
Das FRC hat eine Maßnahme eingeführt, um sicherzustellen, dass Bestätigungen direkt durch den Zugriff auf Informationen Dritter über Webportale oder Softwareschnittstellen eingeholt werden können. Plattformen wie Circit können die Effizienz und Zuverlässigkeit der Rücklaufquoten im Rahmen eines sicheren und ordnungsgemäß kontrollierten Prozesses verbessern.
ISA 505 weist Prüfer auf die Gefahren hin, die mit dem Erhalt von Bestätigungsantworten in Papier- oder elektronischer Form verbunden sind: Die Antwort könnte von einer ungeeigneten Quelle stammen; ein Antwortender könnte nicht zur Beantwortung befugt sein, oder die Integrität der Übertragung könnte beeinträchtigt sein.
Bei Nutzung einer digitale Bestätigungsplattform kann viele dieser Probleme lindern, indem sie die Übertragungssicherheit verbessert, Transparenz über die Vollständigkeit schafft und dazu beiträgt, dass die gesammelten Beweismittel alle relevanten Behauptungen stützen. Die Umstellung auf einen digitalen Prozess erhöht auch die Sicherheit, indem die Identität eines Absenders von Informationen in elektronischer Form validiert wird, zum Beispiel mit elektronischen digitalen Signaturen.
Negative Bestätigungen
Eine negative Bestätigung liegt vor, wenn die bestätigende Partei dem Prüfer nur dann direkt antwortet, wenn sie mit den in der Anfrage enthaltenen Informationen nicht einverstanden ist. Der Vorschlag verbietet negative Bestätigungen, da diese nicht so effektiv sind wie positive.
Negative Bestätigungen können problematisch sein, da das Ausbleiben einer Antwort auf eine Anfrage weder den Empfang durch die beabsichtigte bestätigende Partei explizit anzeigt noch die Richtigkeit der in der Anfrage enthaltenen Informationen überprüft. Bestätigende Parteien reagieren eher auf eine Anfrage, um ihre Uneinigkeit auszudrücken, wenn die Informationen in der Anfrage nicht zu ihren Gunsten sind, und reagieren andernfalls seltener.
Revision vom Oktober 2023
Elektronische Bestätigungen und digitale Sicherheit
Die Revision des Standards vom Oktober 2023 würdigt die zunehmende Rolle digitaler Technologien in Auditprozessen noch stärker, indem sie sich auf die Nutzung elektronischer Bestätigungen konzentriert und umfassende Leitlinien zu diesem Thema bereitstellt. Sie hebt die Rolle des Prüfers hervor, die Sicherheit und Integrität der verwendeten elektronischen Kanäle zu gewährleisten.
Sie betont sichere Methoden wie Verschlüsselung und digitale Signaturen, um das Abfangen oder die Veränderung von Bestätigungen zu verhindern.
Negative Bestätigungen
Die Revision greift auch negative Bestätigungen wieder auf und stellt diesmal fest, dass negative Bestätigungen nicht als alleinige aussagebezogene Prüfungshandlung zulässig sind, es sei denn, es sind sehr spezifische Bedingungen erfüllt, wie zum Beispiel, wenn das Risiko wesentlicher falscher Darstellungen gering ist und der Prüfer Vertrauen in die Kontrollen bezüglich dieser Behauptung hat.
Fazit: Digitale Bestätigungen verbessern die Zuverlässigkeit
Eines ist sowohl aus der Revision als auch aus dem Update klar: Digitale Bestätigungsplattformen spielen eine Schlüsselrolle im Prozess.
Die FRC hat spezifische Leitlinien zur Nutzung digitaler Plattformen für Bestätigungen aufgenommen, da diese Vorteile mit sich bringen: erhöhte Effizienz, Unveränderlichkeit der erhaltenen Antworten und die Gewissheit, dass die Antworten von einer ordnungsgemäßen, autorisierten Quelle stammen. Diese Plattformen erhöhen die Prüfungszuverlässigkeit, indem sie sichere, manipulationssichere Antworten durch Techniken wie Verschlüsselung und digitale Signaturen gewährleisten.
Dies ist ein wichtiger Indikator für Unternehmen, dass die Implementierung der richtigen Technologie ihnen helfen kann, bei der Bewertung und Verbesserung von Auditprozessen die Nase vorn zu haben.
Durch die Verbesserung der Effizienz und der Antwortgenauigkeit mindern sie Risiken im Zusammenhang mit Betrug und unbefugtem Zugriff, was sie zu unverzichtbaren Werkzeugen im heutigen digitalen Audit-Umfeld macht. Unternehmen, die diese Technologien einführen, sind besser positioniert, um sich an sich entwickelnde Standards anzupassen und robuste Auditpraktiken aufrechtzuerhalten.
