930 likes | 1.04k Views
BUSINESS ADVISORY SERVICE. Standards für IT - Audit und IT - Governance. INFORMATION RISK MANAGEMENT. Dr Michael Schirmbrand Mai 2007. Agenda. Aktuelle Entwicklungen IT Governance (Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley)
E N D
BUSINESS ADVISORY SERVICE Standards für IT - Audit und IT - Governance INFORMATION RISK MANAGEMENT Dr Michael Schirmbrand Mai 2007
Agenda • Aktuelle Entwicklungen • IT Governance • (Neue) Internationale und Nationale Compliance-Anforderungen (inkl Sarbanes-Oxley) • Standards für IT Prozesse und Compliance • ITIL • CobiT • Weitere relevante Standards • Integration von CobiT mit ITIL, ISO 17799, CMMI, etc • Ausblick
Beobachtungen in Österreich • Mehr als 50% der Unternehmen haben keine IT Strategie • 80% der Großunternehmen haben kein nachvollziehbares IT Steuerungsgremium • Bei einem Großteil der Unternehmen sind die IT Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet • Der Nutzen von (IT) Projekten wird meist nicht gemessen • Bei mehr als 50% der Unternehmen sind IT Prozesse nicht dokumentiert oder messbar • Bei mehr als 90% der Unternehmen sind Kontrollen in IT Prozessen nicht dokumentiert oder nachvollziehbar
Aktuelle Schlagzeilen 20 % der IT Budgets gehen weltweit verloren
IT Governance: Wesentlich ist die Generierung von Nutzen durch die IT • 85% der Untenehmen verlangen Busines-Cases für Changes • Nur 40% der freigegebenen Projekte basieren auf realistischen Nutzen-Statements • Weniger als 10% der Unter-nehmen stellen nachträglich sicher, dass Nutzen tatsächlich generiert wurde • Weniger als 5% definieren persönliche Verantwortung für die Nutzenstiftung Nutzen Risiken Kosten (Meta Group Juli 2004)
IT Governance: Eine Definition CorporateGovernance Business ITGovernance Informations-systeme Für IT Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate-Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt — IT Governance Institute
Prioritäten der Analysten • Strategic Alignment • Value Delivery • IT Asset Management • Risk Management • Performance Measurement • Gartner • CSC • Compass • Giga • AICPA/CICA • CIO Magazine • Technology Council
IT Governance Domänen Value Delivery Strategic Alignment IT Governance Risk Management Performance Measurement Resource Management
IT GovernanceBalance zwischen Risiko und Performance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis. Stabiler Wert und Vertrauen Integriertes Risiko Management Risiko Verbesserte Kontrolle Prozess Transformation Prozess Verbesserung Compliance Performance
Wesentliche Standards für IT Governance • fordernd • Fachgutachten (IFAC, AICPA, KWT) • SAS 70 • Sarbanes Oxley Act • Sonstige relevante Gesetze • helfend • CobiT • ITIL • ISO 17799 • CMMI
Herausgebende Organisationen • IFAC – International Federation of Accountants • ISA (ISA 402 - Audit Considerations relating to Entities using Service Organizations) • AICPA – American Institute of CPAs • SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) • PCAOB – Public Company Accounting Oversight Board • Auditing Standards • KFS – Kammer der WT - Fachsenat für Datenverarbeitung • KFS/DV1 • KFS/DV2 • IDW – Institut der Wirtschaftsprüfer • PS331 (Serviceorganisationen) • FAIT (Fachgutachten für die Prüfung von Informationstechnologie)
ISAs (IFAC) • Standards der International Federation of Accountants • Für (österreichische) Wirtschaftsprüfer bindend - sofern nicht lokale Regeln dagegen sprechen • Vom PCAOB (US) für Umsetzung von Sarbanes Oxley auch gefordert • De Facto „Gesetz“ für „ordnungsgemäße Datenverarbeitung“ • Auszug aus den ISAs • ISA 200 - Objective and General Principles Governing an Audit of Financial Statements • ISA 315 - Understanding the Entity and its Environment and Assessing Risks of Material Misstatement • ISA 330 - The Auditors Procedures in Response to Assessed Risks • ISA 402 - Audit Considerations relating to Entities using Service Organizations • ISA 500 - Audit Evidence
Fachgutachten Österreich • KFS/DV1 der Kammer der WT • Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) • Forderung nach Funktionstrennung • Detaillierte Forderungen an die Systemdokumentation • KFS/DV 2 • Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen
KFS/DV 1 - Ordnungsmäßigkeit • Gliederung des Fachgutachtens • Grundsätze • Die Prüfbarkeit als Ordnungsmäßigkeitskriterium • Die Nachvollziehbarkeit des einzelnen Geschäftsvorfalles • Belegfunktion • Journalfunktion • Kontenfunktion • Verfahrensdokumentation • Das Interne Kontrollsystem • Systemeinführung und Weiterentwicklung • Aufbauorganisation • Ablauforganisation • Dokumentation
KFS/DV 1 - Grundsätze • Allgemeine Anforderungen • Kaufmann buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) • Radierverbot • Prüfspur progressiv und retrograd • Verbot nachträglicher Schreibvorgänge
KFS/DV 1 - Prüfbarkeit • Verfahrensdokumentation • Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-einstellungen) muss verfügbar sein: • Anforderung/Aufgabenstellung • Datensatzaufbau • Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung • Datenausgabe • Datensicherung • Verfügbare Programme • Art, Inhalt und Umfang der durchgeführten Tests • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) • Versionsmanagement • Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… • Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden
KFS/DV 1 - IKS • Zusätzlich notwendig • Funktionstrennung (Fachabteilung/Entwickler/Admin) • Zugriffsberechtigungen auf allen Systemebenen • Datensicherungen • Schutz vor Sabotage, Missbrauch und Vernichtung • Kontinuitätsmanagement • Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre
IDW RS FAIT 2 - Dokumentation • Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 • Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: • Doku HW/SW (zB Router, Firewall, Virenscanner,..) • Netzwerkarchitektur (auch Anbindung ISP) • Verwendete Protokolle • Verschlüsselungsverfahren • Signaturverfahren • Datenflusspläne, Schnittstellen, relevante Kontrollen • Autorisierungsverfahren, Verfahren zur Generierung von Buchungen
IDW RS FAIT 2 - IKS • Für IKS zusätzlich notwendig • Firewall Einstellungen (+Überprüfungen) • Firewall-Logs (+Überprüfungen) • Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) • Scanner (IDS, Viren, Kontrollen,..) • Penetration Tests • Überprüfung dieser Themen durch die Revision • Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren
Überblick Fachgutachten KFS/DV 2 • Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“ • Erarbeitet durch FS DV • Gemeinsame Überarbeitung durch FS DV und FS HR • Verabschiedet im November 2004
Struktur KFS/DV 2 A. Vorbemerkungen A.1.Anwendungsbereich des Fachgutachtens A.2.Einbindung in die Abschlussprüfung B.Ziel und Umfang der Prüfung der Informationstechnik C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5.Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)
KFS/DV 2 - Grundsätze • Prüfung der IT ist der der Prüfung des Internen Kontrollsystems • Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) • Risikoorientierte Prüfung • Prüfung von Stichproben • Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme
KFS/DV 2 – Grobüberblick über IT Prüfungen • Gewinnung eines Überblicks über Systeme und Abläufe • Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT • Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)
Prüffelder IT-Prüfung • allgemeine IT Kontrollen (General IT Controls) • Anwendungskontrollen • Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)
KFS/DV 2 – Prüfung anwendungsunabhängig (2) • Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... • Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur • IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen
KFS/DV 2 – Prüfung anwendungsabhängig • Einholung von Informationen über die relevanten Anwendungen • Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung • Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.
KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kann insbesondere aus Prüfung von Dienstleistungsunternehmen oder Serviceunternehmen nach dem Standard ISA 402 der IFAC herangezogen werden.
Überblick SAS 70 (siehe auch ISA 402) • Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) • Veröffentlichung der AICPA • Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP • Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen • Praktisch inhaltsgleich zu ISA 402 der IFAC • In Deutschland auch Standard PS 331 • Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben • Auch in Österreich bei (fast) allen RZ in Umsetzung
ISA 402 / SAS 70 Anforderungen an Prüfer • Anzuwenden bei (Teil-) Outsourcing der IT • Prüfer von RZ-Kunden müssen • Report nach SAS 70 / ISA 402 des RZ einholen oder • selbst das RZ prüfen oder • jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder • Bestätigungsvermerk einschränken oder versagen
SAS 70 – Die Reports (1) Typ I: ”Report on controls placed in operation” Die im Service-Unternehmen vorgesehenen internen Kontrollen, die für einen Kunden relevant sind, werden auf Ihre Angemessenheit hin überprüft. Der Report beinhaltet folgende Informationen: • den Fluss der Transaktionen des Kunden innerhalb des Service-Unternehmens • Kontrollen der relevanten Applikationen im Service-Unternehmen • ob diese Kontrollen angemessen sind und angewendet werden Der Report Typ I umfasst nicht den Test der eingesetzten Kontrollmaßnahmen.
SAS 70 – Die Reports (2) Typ II: „Reports on controls placed in operation and tests of operating effectiveness” Für Wirtschaftsprüfer jedenfalls notwendig, da nur dieser die Effektivität der Kontrollen beurteilt und sich Wirtschaftprüfer in Teilbereichen darauf verlassen können und so bei funktionierenden Kontrollen im Rechenzentrum bei Prüfungen von Kunden mit einer reduzierten Risikoeinschätzung vorgehen können. Voraussetzung: Die Kontrollen in Prozessen müssen definiert und wirksam sein.
SAS 70 - Berichterstattung • Standard-Text für Bestätigungsvermerk definiert • Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen • Die Verantwortungen von Kunde und RZ sind klar abzugrenzen • Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen
Würdigung von SAS 70 Reports Typ II • Kritisch zu würdigen und eventuell abstützen • Bei Zweifeln: • Gespräche mit dem Prüfer des RZ • Anforderung von Zusatzprüfungen durch den Prüfer des RZ • Eventuell selbst Zusatzprüfungshandlungen (nicht nach ISA 402) • Verweis auf SAS 70 Report unzulässig
ISA 402 / SAS 70 - Weitere IT Prüfungshandlungen bei Rechenzentrumskunden • Bei Vorliegen von SAS 70/ISA 402 – Reports: • Klares Aufzeigen der Serviceverantwortungen von Kunde und Rechenzentrum • Die IT Prozesse und -Systeme, die in der Verantwortung des Kunden liegen, sind auch von dessen Wirtschaftsprüfer zu prüfen
Sarbanes-Oxley (SOX) Paragraph 404 • Section 404 des Sarbanes-Oxley Act fordert: • Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber • Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test • Prüfer berichtet direkt über die Wirksamkeit des IKS • Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich • Andere Unternehmen (foreign issuers) ab 2006
PCAOB, Auditing Standard No. 2 • Prüfungsstandard Nr. 2 des PCAOB (Public Company Accounting Oversight Board) • Anforderungen für die SOX-Prüfungen und Anleitung zur Durchführung • Management Tests • Jahresabschlussprüfung • Grundsätzlich am Internal Control framework COSO ausgerichtet • Umfeld (control environment) • Risikobewertung (risk assessment) • Kontrollen (control activities) • Information und Kommunikation (information and communication) • Überwachung (monitoring)
Verantwortung des Management • Übername der Verantwortung für die Wirksamkeit des IKS • Beurteilung der Wirksamkeit an Hand entsprechender Kriterien (Management-Assessment) • Bereitstellung von Evidence und Dokumentation • Erstellung einer schriftlichen Erklärung über die Wirksamkeit des IKS
Verantwortung des Auditors • Der Auditor muss die Vorgehensweise des Management-Assessments verstehen und die Beurteilung des Managements evaluieren • Der Auditor muss hierbei • bestimmen, welche Kontrollaktivitäten wesentlich sind • die Kontrollaktivitäten dokumentieren • Design und Wirksamkeit beurteilen • Kontrolle dazu geeignet, das Prozessziel zu erreichen • Kontrollen sind den Risiken entsprechend festgelegt • Kontrollschwächen bestimmen und deren Auswirkung bewerten (Significant Deficiencies oder Material Weaknesses) • Findings und Auswirkungen kommunizieren
IT Controls – gemäß PCAOB • IT controls in drei Ebenen • IT Überlegungen im Kontrollumfeld (Planung, Organisation, Personal, …) • Anwendungskontrollen (Application Controls) • IT General Controls • Management ist für Definition und Test von IT Kontrollen auf allen drei Ebenen verantwortlich • Einsatz eines Control Frameworks, das sich an COSO orientiert, empfohlen
Auswirkungen von Sarbanes Oxley Act auf die IT • Massive Auswirkungen • Kontrollen müssen dokumentiert und geprüft werden • große Teile der Kontrollen in der IT (oft 50 bis 70 %) • Im Regelfall mehrere hundert Kontrollen • Wesentliche Kontroll-Schwachstellen sind oft in der IT • Unterscheidung in Anwendungskontrollen und General IT Controls • CobiT als Standard für General IT Controls anerkannt • Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute
IT General Controls – gemäß PCAOB • IT General Controls sind Kontrollen, die zur Steuerung von IT Systemen und IT Prozessen im Einsatz sind. • ITGCs sind für Risiken der folgenden Bereiche umzusetzen • Zugriff zu Programmen und Daten • Änderung von Programmen • Entwicklung von Programmen • Betrieb von IT • End User Computing * * End User Computing umfasst den Einsatz von Tools wie Excel-Spreadheets oder Access-Datenbanken
ITGC und Anwendungskontrollen • Anwendungskontrollen sind Kontrollen in den Kerngeschäftsprozessen, die durch IT Systeme und Applikationen unterstützt werden • Der Kernprozess ist üblicherweise für die Identifikation und Dokumentation der Kontrollen zuständig • Beispiele für derartige Kontrollen • Autorisierung • Konfigurationen (zB Kontenpläne) • Ausnahmereports (zB über erfolgte Bearbeitungen) • Schnittstellen • Systemzugriff • Die Wirksamkeit von ITGC hat einen direkten Einfluss auf die Wirksamkeit von Anwendungskontrollen • Die Wirksamkeit von Anwendungskontrollen ist bei unwirksamen ITGC automatisch unwirksam!
SOX Zusammenfassung • Fokussiert auf Finanzberichte • Festlegung des IKS durch das Management • Identifikation von Risiken und Prozessen • Identifikation oder Neudefinition von entsprechenden Kontrollen • Dokumentation der Prozesse und Kontrollen • Regelmäßige Tests der Kontrollen durch das Management • Design: Art der Kontrolle, Anordnung im Prozess • Wirksamkeit: Prüfung an Hand von Stichproben, erfordert die Nachvollziehbarkeit der Durchführung von Kontrollen • Einleitung und Umsetzung von Verbesserungsmaßnahmen
„Euro-SOX“ • 8. EU-Audit Richtlinie wurde im Juni 2006 vom europäischen Parlament beschlossen • Ist bis Juni 2008 in lokales Recht umzusetzen (dann keine Übergangsfrist) • Das Funktionieren des Internen Kontrollsystems ist danach (jährlich) vom Prüfungsausschuss des Aufsichtsrates zu prüfen
Gesetzestexte • § 189 UGB: • (2) Lesbarkeit • (3) Inhaltsgleiche, vollständige, geordnete Wiedergabe (volle Aufbewahrungsfrist) • § 131 BAO: • (2) Zusammenhang zw. Buchungen und Belegen nachweisbar; Nachweis der Vollständigkeit und Richtigkeit • (3) Datenträger können verwendet werden