Was Prüfer tatsächlich als Nachweis akzeptieren.
Prüfungsnachweise müssen hinreichend sein, also genug, und angemessen, also relevant und verlässlich. Das ist der Kern von ISA 500. In der Praxis scheitern intern erzeugte Nachweise meist an der Verlässlichkeit: Sie können nicht belegen, woher sie stammen und dass niemand sie verändert hat. Hier ist, was besteht, und warum.
Die zwei Tests, denen jeder Nachweis begegnet.
ISA 500 stellt an alles, worauf sich ein Prüfer stützt, zwei Fragen. Ist es hinreichend, deckt die Menge also das beurteilte Risiko? Und ist es angemessen, also relevant für die geprüfte Aussage und verlässlich in der Herkunft? An der Verlässlichkeit sterben intern erzeugte Nachweise gewöhnlich. Der Standard ordnet Nachweise ausdrücklich nach ihrer Quelle, und vom geprüften Unternehmen selbst erzeugte Informationen rangieren am unteren Ende, es sei denn, die Kontrollen über ihre Erzeugung sind ihrerseits nachgewiesen.
Warum Screenshots und Exporte scheitern.
Ein Screenshot beweist, dass ein Bildschirm für jemanden einmal so aussah. Ein CSV-Export beweist nichts über Vollständigkeit (was wurde herausgefiltert?), Zeitpunkt (wann gezogen?) oder Integrität (was wurde danach bearbeitet?). Prüfer wissen das. Deshalb führen unternehmenseigene Exporte zur Wiederholungsprüfung: Das Prüfungsteam zieht die Daten selbst noch einmal, auf fakturierbaren Stunden. Der Nachweis war nicht falsch. Er war nicht verifizierbar, und nicht verifizierbar bedeutet im Ergebnis dasselbe wie nicht vorhanden.
Die vier Eigenschaften verwertbarer Nachweise.
- Herkunft. Jeder Datenpunkt benennt sein Quellsystem und den Extraktionszeitpunkt, maschinell und nicht per Behauptung.
- Vollständigkeit. Der Nachweis deckt die volle Grundgesamtheit des Zeitraums und kann das zeigen, über Satzzahlen, Zeitraumfixierung und Lückenerkennung.
- Integrität. Nachträgliche Veränderung ist unmöglich oder sichtbar. Nur-anfügende Speicherung mit kryptographischer Verkettung macht Manipulation offenkundig statt bloß verboten.
- Unabhängige Verifizierbarkeit. Der Prüfer kann all das prüfen, ohne dem Ersteller zu vertrauen, idealerweise mit einem eigenen Verifikationswerkzeug.
Was sich dadurch wirtschaftlich ändert.
Nachweise mit diesen vier Eigenschaften nehmen dem Abschlussprüfer Arbeit ab. Statt stichprobenbasierte Tests zu wiederholen, verifiziert er die Nachweiskette und stützt sich darauf, und dieser Unterschied zeigt sich unmittelbar im Honorar. Das ist die Konstruktionsvorgabe hinter den Nachweispaketen von RiskForge: zeitraumfixiert, quellenattribuiert, kryptographisch verkettet, mit unabhängigem Verifikationsskript. Das Prinzip gilt aber unabhängig vom Werkzeug. Wenn Ihre Nachweise ihre eigene Geschichte nicht belegen können, bezahlen Sie Ihren Prüfer dafür, sie neu zu bauen.
Sehen Sie RiskForge auf Ihren eigenen Prozessen.
30 Minuten am lebenden Produkt: Zahlläufe, Buchungen, Transporte. Keine Folien, das echte System.