740 likes | 941 Views
BUSINESS ADVISORY SERVICE . IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit. IT Advisory. Michael Schirmbrand Dezember 2010. Warum (IT-) Audits noch immer nicht bestanden werden. Unkenntnis der relevanten Regularien Bessere Ausbildung und Kenntnis der Prüfer
E N D
BUSINESS ADVISORY SERVICE IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit IT Advisory Michael SchirmbrandDezember 2010
Warum (IT-) Audits noch immer nicht bestanden werden • Unkenntnis der relevanten Regularien • Bessere Ausbildung und Kenntnis der Prüfer • Event getriebener Ansatz für Compliance • Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten (Siehe auch Information Systems Control Journal 5/2007)
IT GovernanceBalance zwischen Risiko und Performance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis. Stabiler Wert und Vertrauen Integriertes Risiko Management Risiko Verbesserte Kontrolle Prozess Transformation Prozess Verbesserung Compliance Performance
IT-Governance: Eine Definition CorporateGovernance Business ITGovernance Informations-systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. — IT Governance Institute
Was ist IT-Governance? IT-GOVERNANCE IT-GOVERNANCE • Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment) • IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) • IT Ressourcen werden verantwortungsvoll eingesetzt • IT-bezogene Risiken werden angemessen gemanagt Evaluiere Performance Gib die Richtung vor Messe und Berichte über Performance Überführe die Richtung in eine Strategie • Setze die Strategie um • Erhöhe die Automation (mache das Kerngeschäft wirksam) • Senke Kosten (mache das Unternehmen wirtschaftlich) • Manage Risiken (Security, Verlässlichkeit und Compliance) IT-MANAGEMENT • Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt • Methode: Führungs- und Organisationsstrukturen sowie Prozesse • Verantwortung: Vorstand und Geschäftsführung
Wesentliche Standards für IT Governance • fordernd • Fachgutachten (IFAC, AICPA, KWT) • SAS 70 • Sarbanes Oxley Act • 8. EU-Audit-Richtlinie • Sonstige relevante Gesetze • helfend • CobiT • ValIT • ITIL • ISO 17799 • CMMI • …
Fachgutachten - Verschiedene herausgebende Organisationen • IFAC – International FederationofAccountants • ISA 315 / ISA 330 • ISA ISA 402 - Audit Considerations relating to Entities using Service Organizations • KFS – Kammer der WT - FachsenatfürDatenverarbeitung • KFS/DV1 • KFS/DV2 • AICPA – American Institute of CPAs • Zb SAS 70 - Reports on the Processing of Transactions by Service Organizations • IWP – Institut der Wirtschaftsprüfer • IWP PE 14 – Prüfung bei ausgelagerten Funktionen • IDW – Institut der Wirtschaftsprüfer (Deutschland) • PS331 (Serviceorganisationen) • FAIT (Fachgutachtenfür die Prüfung von Informationstechnologie)
ISA 315 • Identifying and Assessing the Risks of Material Misstatement through Understanding the Entity and Its Environment • 18. The auditor shall obtain an understanding of the information system, including the related business processes, relevant to financial reporting, including the following areas: (a) The classes of transactions in the entity’s operations that are significant to the financial statements; (b) The procedures, within both information technology (IT) and manual systems, by which those transactions are initiated, recorded, processed, corrected as necessary, transferred to the general ledger and reported in the financial statements; (c) The related accounting records, supporting information and specific accounts in the financial statements that are used to initiate, record, process and report transactions; this includes the correction of incorrect information and how information is transferred to the general ledger. The records may be in either manual or electronic form; (d) How the information system captures events and conditions, other than transactions, that are significant to the financial statements; (e) The financial reporting process used to prepare the entity’s financial statements, including significant accounting estimates and disclosures; and (f) Controls surrounding journal entries, including non-standard journal entries used to record non-recurring, unusual transactions or adjustments. (Ref: Para. A81–A85)
ISA 315 • A95. The use of IT affects the way that control activities are implemented. From the auditor’s perspective, controls over IT systems are effective when they maintain the integrity of information and the security of the data such systems process, and include effective general IT controls and application controls. • A96. General IT controls are policies and procedures that relate to many applications and support the effective functioning of application controls. They apply to mainframe, miniframe, and end-user environments. General IT controls that maintain the integrity of information and security of data commonly include controls over the following: • Data center and network operations. • System software acquisition, change and maintenance. • Program change. • Access security. • Application system acquisition, development, and maintenance.
ISA 315 • A97. Application controls are manual or automated procedures that typically operate at a business process level and apply to the processing of transactions by individual applications. Application controls can be preventive or detective in nature and are designed to ensure the integrity of the accounting records. Accordingly, application controls relate to procedures used to initiate, record, process and report transactions or other financial data. These controls help ensure that transactions occurred, are authorized, and are completely and accurately recorded and processed. Examples include edit checks of input data, and numerical sequence checks with manual follow-up of exception reports or correction at the point of data entry.
Fachgutachten Österreich • KFS/DV1 der Kammer der WT • Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) • Forderung nach Funktionstrennung • Detaillierte Forderungen an die Systemdokumentation • KFS/DV 2 • Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen
KFS/DV 1 - Grundsätze • Allgemeine Anforderungen • Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) • Radierverbot • Prüfspur progressiv und retrograd • Verbot nachträglicher Schreibvorgänge
Österreich KFS/DV 1 – Dokumentation • Verfahrensdokumentation • Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein: • Anforderung/Aufgabenstellung • Datensatzaufbau • Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung • Datenausgabe • Datensicherung • Verfügbare Programme • Art, Inhalt und Umfang der durchgeführten Tests • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) • Versionsmanagement • Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… • Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden • Dokumentation der Zugriffsverfahren • Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)
KFS/DV 1 - IKS • Zusätzlich notwendig • Funktionstrennung (Fachabteilung/Entwickler/Admin) • Zugriffsberechtigungen auf allen Systemebenen • Datensicherungen • Schutz vor Sabotage, Missbrauch und Vernichtung • Kontinuitätsmanagement • Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre
IDW RS FAIT 2 - Dokumentation • Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 • Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: • Doku HW/SW (zB Router, Firewall, Virenscanner,..) • Netzwerkarchitektur (auch Anbindung ISP) • Verwendete Protokolle • Verschlüsselungsverfahren • Signaturverfahren • Datenflusspläne, Schnittstellen, relevante Kontrollen • Autorisierungsverfahren, Verfahren zur Generierung von Buchungen
IDW RS FAIT 2 - IKS • Für IKS zusätzlich notwendig • Firewall Einstellungen (+Überprüfungen) • Firewall-Logs (+Überprüfungen) • Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) • Scanner (IDS, Viren, Kontrollen,..) • Penetration Tests • Überprüfung dieser Themen durch die Revision • Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren
Überblick Fachgutachten KFS/DV 2 • Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“ • Erarbeitet durch FS DV • Gemeinsame Überarbeitung durch FS DV und FS HR • Verabschiedet im November 2004
Struktur KFS/DV 2 A. Vorbemerkungen A.1.Anwendungsbereich des Fachgutachtens A.2.Einbindung in die Abschlussprüfung B.Ziel und Umfang der Prüfung der Informationstechnik C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5.Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)
KFS/DV 2 - Grundsätze • Prüfung der IT ist der der Prüfung des Internen Kontrollsystems • Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) • Risikoorientierte Prüfung • Prüfung von Stichproben • Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme
KFS/DV 2 – Grobüberblick über IT Prüfungen • Gewinnung eines Überblicks über Systeme und Abläufe • Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT • Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)
Prüffelder IT-Prüfung • allgemeine IT Kontrollen (General IT Controls / ITGC) • Anwendungskontrollen • Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)
Arten von Kontrollen • Kontrollarten (vgl. Prüfungsmethoden / KAM) • authorization • system configuration and account mapping controls • exception / edit reports • interface / conversion controls • key performance indicators • management review • reconciliation • segregation of duties • system access • Die meisten dieser Kontrollen sind in der IT – in Form von Anwendungskontrollen oder halb automatisierten Kontrollen – realisiert • Achtung:Zusammenarbeit / Abgrenzung von Fachbereichen und IT IT IT
Minimale Prüfungsgebiete der ITGC • Kontrollumgebung • Systemübersicht / Informationsflüsse (GoBS) • Planung und Steuerung der IT • Monitoring und Verbesserung der IT-Prozesse • IKS der IT • Zugriffsschutz • Security Policy • Logischer Zugriffsschutz • Funktionstrennung • Änderungswesen • Programmänderungen • Konfigurationsänderungen • Inbetriebnahme der Änderungen • Software-Entwicklung • Betrieb • Datensicherung • Incident-Management • Automatisierte Systemabläufe • Physischer Zugriffsschutz (Rechenzentrum) • Kontinuitätsmanagement der IT Dringend empfohlen: CobiT
KFS/DV 2 – Prüfung anwendungsabhängig • Einholung von Informationen über die relevanten Anwendungen • Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung • Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle. • Verbindung von Bilanz/G&V-Position mit Prozessen/Kontrollen auf Assertion-Level
Nicht durchgeführt Prozessanalyse Nicht geprüft Controls Application IT-General Manual Nicht wirksam Geprüft & kontrolliert Risk = High Risk = Low Beurteilung des IKS imRahmen der Prüfung Substantieller Prüfungsansatz Kontrollorientierter Prüfungsansatz
KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kanninsbesondere aus Prüfung von Dienstleistungsunternehmenoder Serviceunternehmen nach demStandard ISA 402der IFAC herangezogen werden.
Überblick SAS 70 (siehe auch ISA 402) • Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) • Veröffentlichung der AICPA • Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP • Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen • Praktisch inhaltsgleich zu ISA 402 der IFAC • In Deutschland auch Standard PS 331 • Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben • Auch in Österreich bei (fast) allen RZ in Umsetzung • In Österreich in Richtlinie IWP-PE14 umgesetzt
ISA 402 / SAS 70 Anforderungen an Prüfer • Anzuwenden bei (Teil-) Outsourcing der IT • Prüfer von RZ-Kunden müssen • Report nach SAS 70 / ISA 402 des RZ einholen oder • selbst das RZ prüfen oder • jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder • Bestätigungsvermerk einschränken oder versagen
SAS 70 - Berichterstattung • Standard-Text für Bestätigungsvermerk definiert • Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen • Die Verantwortungen von Kunde und RZ sind klar abzugrenzen • Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen
Sarbanes-Oxley (SOX) Paragraph 404 • Section 404 des Sarbanes-Oxley Act fordert: • Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber • Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test • Prüfer berichtet direkt über die Wirksamkeit des IKS • Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich • Andere Unternehmen (foreign issuers) seit 2006
Ausprägung in Österreich • Unternehmensrechtsänderungsgesetz (URÄG) 2008 • Verabschiedung am 10. April 2008 • In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008 • Unternehmen von öffentlichem Interesse (Betroffene) • Kapitalmarktorientierte Unternehmen • Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren • Versicherungen, Banken • „Sehr“ große Unternehmen • >192 Mio. EUR Umsatz oder > 96 Mio. EUR Bilanzsumme • Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern
URÄG 2008Gesetzliche Rahmenbedingungen Vorstand Aufsichtsrat Publizität Überwachung Implementierung URÄG 2008 § 92 (4a) AktG Implementierungeines Internen Kontrollsystems, das den Anforderungen des Unternehmens entspricht URÄG 2008 Überwachung der Wirksamkeit des IKS und des Risikomanagementsystems im Hinblick auf das Gesamtunternehmen § 243 a UGB Auseinandersetzung mit der Effektivität des bestehenden Kontrollsystems im Zuge der Offenlegung Beschreibung der wesentlichen Merkmale des internen Kontroll- und Risikomanagementsystems im Hinblick auf die Rechnungslegung . § 82 AktG§ 22 GmbHG Risikomanagement Überwachung der Wirksamkeit Internes Kontrollsystem
Auswirkungen des URÄG 2008 auf die IT • Massive Auswirkungen • Kontrollen müssen dokumentiert und geprüft werden • große Teile der Kontrollen in der IT (oft 50 bis 70 %) • Im Regelfall mehrere hundert Kontrollen • Wesentliche Kontroll-Schwachstellen sind oft in der IT • Unterscheidung in Anwendungskontrollen und General IT Controls • Cobit als Standard für General IT Controls anerkannt • Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute
IKS der ITVollständig Wirksam IKS und IT Unternehmensweites IKS M A Geschäftsprozesse M M M M M M A A A A COSO System A System B A A A Schnittstellen COBIT IT-Prozesse (zB Zugriffsschutz, Change-Management, Betrieb, …) A M A A M M SAS 70 Legende: M M manuelle Kontrolle A A automatische Kontrolle Fachabteilung IT
Frameworks und Standards… Quelle: Pink Roccade/Elefant Source: PINK
COSO (Internal Control - Integrated Framework) • 1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht • Gemeinsame Sprache über Kontrollen, Definitionen, Modelle • Unternehmensziele im Rahmen von COSO sind • Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) • Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) • Compliance (Einhaltung von Gesetzen und Regulationen) • Zielerreichung über die Ausgestaltung der Komponenten des Frameworks • Control Environment (Kontrollumfeld) • Risk Assessment (Risikobewertung) • Control Activities (Kontrollaktivitäten) • Information & Communication (Information & Kommunikation) • Monitoring (Überwachung) • Benchmark für interne Kontrollen und Verweis in SOX • Weiterentwicklungen: • September 2004: Enterprise Risk Management (COSO II) • Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“
Entwicklung von CobiT Governance Management Control Audit COBIT 1 COBIT 2 COBIT 3 COBIT 4 1996 1998 2000 2005
Unterstützung durch CobiT Unternehmensziele CobiT IT Ziele IT Prozesse
Ausrichtung von IT-Prozessen an Unternehmensziele Typische Unternehmensziele Referenz zu IT-Ziel
CobiT IT-Prozesse Plan and Organise PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects INFORMATION Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance • Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability Monitor and Evaluate Plan and Organise IT RESSOURCES • Applications • Information • Infrastructure • People Deliver and Support Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes