Fall 6: Ungenügende Tests IT General Controls Application Controls

Transkript

1 Fall 6: Ungenügende Tests IT General Controls Application Controls Bernhard Hamberger Partner Ernst & Young, Bern 6: Fehlende Prüfung der Existenz des IKS Aus den Arbeitspapieren geht hervor, dass die Generellen IT-Kontrollen nur teilweise getestet wurden. Beispielsweise wurde hinsichtlich der Zugriffsrechte nicht geprüft, dass nur autorisierte Personen Zugriff auf das ERP, einschliesslich der entsprechenden Daten und Funktionen, haben. Das Prüfungsteam hat weiter keine Prüfungshandlungen im Bereich der Applikationskontrollen durchgeführt. Mangelnde Prüfung der Generellen IT-Kontrollen Der Prüfumfang des IT-Prüfers geht unzureichend aus dem Memo hervor. Für die RAB ist unklar, ob die Prüfungshandlungen zur IT in ihrer Art (Besprechungen vs. Kontrollen testen) sowie im Umfang (Testen der relevanten Applikationen und Gesellschaften) ausreichend waren. Bernhard Hamberger, Bern, 15. Juni

2 Vorgehensmodell Applikationsprüfung Planung und Risikoidentifikation 1 Analyse von Bilanz und Erfolgsrechnung 2 3 Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und der wichtigsten Schnittstellen 4 Identifikation der Risiken und Schlüsselkontrollen Strategie und Risikobeurteilung 5 Walk-through 6 Beurteilung des Kontroll-Designs Durchführung 7 Beurteilung der Umsetzung der Kontrollen Konklusion und Reporting 8 Gesamtbetrachtung und Ergebnisfindung Bernhard Hamberger, Bern, 15. Juni Testen von Anwendungen? Wann ist eine Applikation im Scope der Prüfers? Festlegen der Bilanz- und Erfolgsrechnungspositionen, welche für die Prüfung relevant sind Berücksichtigung von Konzernstrukturen Identifikation der Transaktionen (Geschäftsvorfälle) bzw. Transaktionsklassen, welche diese Positionen generieren Identifikation der Kontrollziele und Schlüsselkontrollen Bernhard Hamberger, Bern, 15. Juni

3 Schichten des Modells Geschäftsprozesse Manuelle Kontrollen IT-Anwendungen Automatisierte & Hybride Kontrollen IT-Basissysteme Anwendungsspezifische ITGC IT-Infrastruktur ITGC Bernhard Hamberger, Bern, 15. Juni Risiken und Kontrollen im Wertefluss 2003 Financial Statements? Finanzdaten Wesentliche Konten Wesentliche Prozesse Risiken / Was kann schief gehen Manuelle Kontrollen? Applikationen, die die Prozesse wesentlich unterstützen Risiken / Was kann schief gehen Applikationskontrollen Bernhard Hamberger, Bern, 15. Juni

4 Arten von Kontrollen Manuelle Kontrollen Automatisierte Kontrollen (Rein) Manuelle Kontrollen IT-unterstützte manuelle Kontrollen Applikationskontrollen Generelle IT-Kontrollen (IT General Controls) Bernhard Hamberger, Bern, 15. Juni Arten von Kontrollen im Kontext Application controls Mandant CH Mandant UK Mandant Asien Mandanten ERP Application (Transaction integrity) Configuration settings (limits, ) Input controls (edit checks, validations) Data transfer (interfaces) Access to key transactions/functions (override, validation, master data) Segregation of duties (business) Report Definitions (EAE) IT General Controls übergreifend ERP Data Base OS used by ERP Network for ERP ITGC at Application Level Application security Data base (Oracle 1.x) Operation system (AS/400) Network (Windows 200x) Manage Changes Authorized, Tested, Approved, Monitored Segregation of duties (Move to production) Logical access Systems security configurations Privileged User Rights Key resource security (ie RACF, DFU400, SQL, ) User access authorizations controls / Monitoring Segregation of duties (end user administration) IT Operations Backup and Recovery, Scheduling Problem and Incident Management, Monitoring Bernhard Hamberger, Bern, 15. Juni

5 Black Box Approach Ergebnisorientierter Prüfungsansatz Aufwändige Prüfung von Routinetransaktionen Hohe Samplesizes oder umfassende Datenanalysen Inhaltliche Prüfung von Electronic Audit Evidence Spezifische Prüfungshandlungen für spezifische Risiken der eingesetzten Applikation im Prozess (Funktionentrennung, single-pointof-entry), d.h. Walkthrough so detailliert, das diese erkannt werden der Entscheid hinsichtlich Vorgehen fällt spätestens beim Walkthrough Bernhard Hamberger, Bern, 15. Juni Umfang des Walkthrough Der Detaillierungsgrad des WT ist abhängig davon, ob der Prüfer auf enthaltene Kontrollen abstützen will Abstützen Nicht Abstützen Detailverständnis der Kontrolle Beurteilung der Wirksamkeit der Kontrolle Bestätigung des Prozess- Verständnis und der Risikobeurteilung Bernhard Hamberger, Bern, 15. Juni

6 Generelle IT-Kontrollen Effektive IT General Controls sind eine Voraussetzung für das verlässliche Funktionieren der Applikationskontrollen über die gesamte Prüfungsperiode Generelle IT-Kontrollen betreffen die Bereiche SW-Entwicklung, SW-Konfiguration, logische und physische Sicherheit und operationelle IT-Prozesse: Benutzerkontenadministration Konfiguration bezüglich Sicherheitseinstellungen Applikationswartung Änderungen von Applikationen Backup Prozesse Bernhard Hamberger, Bern, 15. Juni Applikationskontrollen In die Anwendung eingebettete Kontrollen (inkl. Parameter und Stammdaten) Steuern die Werteflüsse durch die Applikation Relevanz hinsichtlich: Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung Bernhard Hamberger, Bern, 15. Juni

7 Gesamtzusammenhang Bedeutende Positionen in Bilanz / Erfolgsrechnung Bilanz Erfolgsrechnung... Allgemeine IT-Kontrollen Kontrollumgebung (Policen, Direktiven) Programmentwicklung IT-Änderungen IT-Betrieb Zugriffskontrolle Systemsicherheit Datensicherheit Überwachung Geschäftsprozesse / Transaktionsarten Prozess A Prozess B... IT-Finanzanwendungen Anwendung A Anwendung B... IT-Dienste Datenbanken Betriebssysteme Middleware, Netzwerke IT-Applikationskontrollen Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung 13 Bernhard Hamberger, Bern, 15. Juni 2011 Wie sollte geprüft werden? 1 Analyse von Bilanz und Erfolgsrechnung Planung und Risikoidentifikation 2 3 Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und Schnittstellen 4 Identifikation der Risiken und Schlüsselkontrollen Strategie und Risikobeurteilung 5 Walk-through 6 Beurteilung des Kontroll-Designs Durchführung 7 Beurteilung der Umsetzung der Kontrollen Konklusion und Reporting 8 Gesamtbetrachtung und Ergebnisfindung Bernhard Hamberger, Bern, 15. Juni

8 Testansatz Jährliches Testing oder Rotationsprinzip? PS890 gewichtet die generellen IT-Kontrollen gleich wie die Unternehmensweiten Kontrollen und verlangt eine jährliche Prüfung Bei den automatischen Kontrollen scheint eine Rotation der Prüfung möglich, muss sich aber am Risikoprofil orientieren Baselining Testansatz für automatische Kontrollen Einmaltest (Test-of-One) Direktes Testen Baselining / Benchmarking Datenanalyse Bernhard Hamberger, Bern, 15. Juni Effizienzfragen im Vorgehen Bernhard Hamberger, Bern, 15. Juni