Audit Journal. Zeitschrift des Instituts für Interne Revision Österreich - IIA Austria. Institut für Interne Revision. Audit Journal IIA 07

Transkript

1 IIA 07 Institut für Interne Revision Zeitschrift des Instituts für Interne Revision Österreich - IIA Austria ERFA IT-Tools für die Interne Revision Let s talk Audit Doppelveranstaltung Wien und Salzburg 29. Mitgliederversammlung am Buchvorstellung: Interne Revision im öffentlichen Sektor Organisatorische Ausrichtungen für die Anforderungen der Zukunft 5. Konferenz der Revisionsinstitute der CEE-Gruppe sowie 2. Jahrestagung des IIA Croatia Prüfleitfaden SAP ERP 6.0 (2. Teil) Vorstellung neuer Mitglieder Heft 2 / Juni 2010

2 ERFA IT-Tools für die Interne Revision Rund 100 Kolleginnen und Kollegen sind der Einladung nachgekommen und haben an dem ERFA am 15. April 2010 zum Thema IT-Tools für die interne Revision teilgenommen. Der EDV-Arbeitskreis des Instituts für Interne Revision Österreich zeichnete für die Inhalte und die Vortragenden diese Veranstaltung verantwortlich, die Organisation lag in bewährter Weise in den Händen des Teams der Akademie Interne Revision. Ziel dieses ERFA s war, zu ausgewählten Themen einen weiten Bogen zu spannen, um einerseits bereits bestehende Technologien besser nutzen und gegenwärtige Trends besser einschätzen zu können sowie andererseits gegenüber zukünftigen Entwicklungen zu sensibilisieren. Nach der Eröffnung durch die Vorstandsvorsitzende des IIR Österreich Mag. Angela Witzany, CIA und einführenden Worten von Mag. Thomas Goldstein, CISM in seiner Funktion als EDV Arbeitskreisleiter wurde der Vortragsreigen mit einer Präsentation von Herrn Oliver Fiedler CIA, CISA - Senior Auditor im Corporate Internal Audit der Zumtobel Gruppe - zum Thema "ASAP-Utilities - Ein Excel Werkzeugkasten" begonnen. Die ASAP Utilities sind ein Add-on zu Microsoft Excel und umfassen mehr als 300 Funktionen, die aus einem gut strukturierten Menü, über Symbolleisten, einer selbst verwalteten Favoritenliste sowie mittels frei belegbarer Tastenkürzel aufgerufen werden können. Zusätzlich sind noch einige Arbeitsblattfunktionen enthalten, die wie Excel- Formeln verwendet werden können. Wie der Name ASAP ("As Soon As Possible") schon andeutet, helfen die ASAP Utilities Zeit bei der täglichen Arbeit mit Excel zu sparen. Darüber hinaus gibt es Funktionen, die ohne Makroprogrammierung in Excel gar nicht realisierbar wären. Zu guter Letzt können einige ASAP Funktionen manche Excel Standardfunktionen vollständig ersetzen (bei gleichzeitiger Erweiterung der Funktionalität, z.b. Inhalte einfügen, Datensortierung etc.). Je nach Excel Know-how sind mehr oder weniger Funktionen für die tägliche (Revisions- oder Consulting-)Praxis geeignet. Herr Fiedler wies insbesondere auf nachfolgende Funktionalitäten hin, die aus Revisionssicht sicherlich zu den Highlights zu zählen sind: Suche und Bereinigung von Duplikaten (gleiche Werte in Zellen, Spalten oder Zeilen sowie Abgleich mehrerer Dateien) Aufteilung (Splitting) von Daten auf mehrere Arbeitsblätter anhand eines Kriteriums (z.b. Kontonummer, Datum etc.), auf Wunsch sogar mit automatischer Erstellung einer Linkliste auf die neuen Blätter Export von mehreren Tabellen in eigene Excel Dateien Zusammenfassung mehrerer gleich aufgebauter Excel Dateien in eine einzige Tabelle 1

3 Import von Textdateien, wobei die Dezimalund Tausendertrennzeichen frei definiert werden können (z.b. Import von Zahlen im Amerikanischen Zahlenformat) Unnötige Leerzeilen und -spalten außerhalb des Datenbereichs löschen (deutliche Reduktion des Speicherbedarfs, z.b. vor dem Versand per ). Eine Auflistung von 78 für die Revision besonders interessanten ASAP Funktionen finden Sie bei den Unterlagen zum ERFA auf der Webpage des IIA Austria unter Für die ASAP Utilities ist keine Schulung nötig, es sollte allerdings etwas Zeit in das Kennenlernen und Ausprobieren der zahlreichen Möglichkeiten investiert werden es lohnt sich! Zu den häufigsten Sicherheitslücken in Unternehmungen zählen in der Regel Mangelnde Benutzerkonten- und Passwortverwaltung (inkl. Berechtigungen) Fehlende bzw. veraltete Programmkorrekturen (Hotfixes und Patches) Unzureichend abgesicherte Netzwerke (innen und außen) Falsche Konfiguration von Hard- und Software Vergessene und unbekannte Hardware in der IT-Infrastruktur Nicht approbierte Software- Installationen Nutzung nicht vertrauenswürdiger Internetseiten (inkl. Social Networks und Tauschbörsen) Unaktuelle Virenschutzprogramme IIA 07 Institut für Interne Revision Details für Interessierte: Die ASAP Utilities sind bei Privatnutzung sowie zum Testen kostenlos (Freeware). Bei gewerblicher Nutzung fallen geringe einmalige Lizenzgebühren an, eine Einzelplatzlizenz kostet ca. 30 EUR. Zur Installation sind Administrator-Rechte notwendig, für die Nutzung allerdings nicht. Die ASAP Utilities funktionieren mit allen Excel- Versionen, inklusive der für 2010 angekündigten nächsten Version. Webpage: Der anschließende Vortrag Sicherheitsanalyse von IT-Architekturen bzw. IT-Infrastrukturen begann mit den Worten Vertrauen in die IT-Administration ist gut, Kontrolle ist besser. Gemäß diesem Leitsatz auditiert René Schametz, Senior Auditor der Unicredit Bank Austria (UCBA), im Zuge seiner Prüfungen regelmäßig die Client-/Serversysteme und IT-Infrastrukturen der UCBA-Gruppe. Dabei zeigt sich, dass die Security-Awareness heute weit über den Erwartungen steht als noch vor einigen Jahren, wodurch auch der IT-Sicherheit wesentlich mehr Bedeutung beigemessen wird. Reichen jedoch die bestehenden Sicherheitsvorkehrungen aus, um Unternehmen effektiv vor Angriffen und Schadprogrammen zu schützen? Eine Sicherheitsanalyse der bestehenden IT ist insofern wichtig, weil Angriffe auf IT-Strukturen immer noch über unzureichend geschützte Benutzerkonten und ungesicherte (ungepatchte) Systeme erfolgen. In vielen Fällen ist dieses Manko auf personelle Engpässe in der IT- Administration zurückzuführen, welche nur die Abwicklung der daily business Tätigkeiten erlauben. Eine Vernachlässigung der Benutzerkontenverwaltung bzw. der Schwachstellenbereinigungen (Vulnerability-Management) ist in den meisten Fällen die Folge. Unzureichend geschützte IT-Systeme stellen demnach ein operationales, aber auch ein Reputationsrisiko dar. Stellen sie sich einmal vor, die IT von Amazon oder ebay wird erfolgreich penetriert. Die Substanz solcher Unternehmungen die ja von der IT und vom Vertrauen abhängig sind kann dadurch massiv gefährdet sein. Der Investment-Guru Warren Buffett etwa meinte Es dauert 20 Jahre damit Unternehmen das Vertrauen ihrer Kunden gewinnen, jedoch nur 5 Minuten um es zu verlieren. Herr Schametz behandelte in der Folge ausgewählte Teilbereiche der oben angeführten Sicherheitslücken, und demonstrierte wie mit IT-Werkzeugen, im speziellen mit den Freewareprodukten Dump Sec und MBSA (Microsoft Baseline Security Analyzer), aber auch - bei zusätzlich vorhandenen Unix-Derivaten - mit dem allerdings kostenpflichtigen Nessus Vulnerability-Scanner von Tenable, mangelnde 2

4 Benutzerkonten- und Passwortverwaltung bzw. fehlende Programmkorrekturen oder schwache Systemparameter festgestellt werden können. Details für Interessierte: Die Benutzerkontenverwaltung umfasst primär das Anlegen, Betreiben, Sperren (Stilllegen) und Löschen von Benutzerkonten. Sie muss zentral erfolgen und durch etablierte und vor allem effektive Kontrollen tourlich geprüft werden. Hierbei kann das alte, aber immer noch gute (und vor allem kostenlose) DumpSec wertvolle Hilfe leisten. Es ist ein Auditing-Tool für Microsoft Windows Systeme und liefert unter anderem konfigurierbare, textorientierte Reports über Benutzerkonten und Zugriffsrechte. Ein weiteres, nützliches Werkzeug ist der (ebenfalls kostenlos) von Microsoft selbst zur Verfügung gestellte Microsoft Baseline Security Analyzer (MBSA). Dieses Tool zeigt neben einer mangelnden Benutzerverwaltung auch fehlende bzw. veraltete Programmkorrekturen, sowie unzureichend konfigurierte Systemparameter auf. MBSA Reports werden im XML-Format ausgegeben und können über jeden Internet- Browser benutzerfreundlich dargestellt werden. Erwähnenswert ist jedoch, dass MBSA nur in der Windows-Welt zu Hause ist. Programmkorrekturen müssen im Rahmen eines institutionalisierten Vulnerability-Managements (VM) durchgeführt werden. VM befasst sich demnach mit den sicherheitsrelevanten Schwachstellen in IT- Systemen und dient der Risikominimierung durch Identifizierung (welche Systeme sind betroffen), Klassifizierung (critical, important, moderate, low) und Beseitigung (z.b. Einspielen von Patches, Ändern von Systemparametern) von IT-Sicherheitslücken. In großen Unternehmungen ist es ratsam, die Identifizierung und Klassifizierung über ein internes Security Emergency Response Team (SERT) zu managen, wobei die Beseitigung immer durch die jeweils zuständigen Systemverantwortlichen zu erfolgen hat. Auch hier muss ein internes Kontrollsystem etabliert sein, um die Nachvollziehbarkeit und Beweissicherung zu gewährleisten. Als hilfreiches Revisionstool hat sich auch hier der bereits erwähnte MBSA erwiesen. Weist die IT-Infrastruktur neben Windows Systemen auch Unix-Derivate auf, ist der (kostenpflichtige) Nessus Vulnerability-Scanner von Tenable eine überlegenswerte Alternative. Ein weiterer Vorteil ist, dass auch Netzwerk-Architekturen auditiert werden können. Im Detail können fehlende Programmkorrekturen, verwundbare Systemeinstellungen, konforme bzw. nicht-konforme Konfigurationen und das Vorhandensein von sensitiven Daten (z.b. Kreditkartennummern) untersucht werden. Reports werden im HTML-Format ausgegeben und können über einen Internet-Browser dargestellt werden. DumpSec MBSA Nessus Nach der Kaffeepause, die genügend Zeit zum Networking ließ, folgte eine Präsentation von novaaudit Managementlösung für die Interne Revision, einem neuen Produkt auf Sharepointbasis. Dipl.-Ing. Maria-Theresia Stadler, CISM (Oesterreichische Kontrollbank AG) stellte in ihrem Teil des Vortrags die Anforderungen an ein IT-Tool zur Unterstützung der wesentlichen Verwaltungsprozesse in der IR dar. Diese reichen von der Erstellung der Jahresplanung über eine Übersicht des aktuellen Standes der Prüfungen bis hin zur Unterstützung der Audits (Vorbereitung, Durchführung) und Follow Ups. Eine einfache Erstellung von standardisierten Prüfberichten, die Unterstützung der Zusammenarbeit mehrerer Prüfer und die Gewährleistung der Nachvollziehbarkeit der Berichterstellung (Versionierung) sind weitere wesentliche Anforderungen. Mag. Thomas Spanel, Geschäftsführer der OeKB Business Services GmbH zeigte in einer Live-Demo die wesentlichsten Funktionen von novaaudit - einem neuen IT-Tool auf der Basis von Microsofts Sharepoint-Plattform, die 3

5 Vorteile die diese Lösung bieten kann und wie sie den IR-Prozess (von der Risikoanalyse und Planung über den gesamten Verlauf) unterstützt. IIA 07 Institut für Interne Revision Details für Interessierte: Die Basis-Technologie Microsoft SharePoint garantiert höchste Flexibilität, Zukunftssicherheit, Anpassbarkeit, Integrationsfähigkeit und Erweiterbarkeit. Ein höchstes Maß an Integration mit Microsoft Office sorgt für Unterstützung auf allen Ebenen der Tätigkeit als Revisionsmitarbeiter. Die zentrale Daten- und Dokumentenhaltung, ergänzt durch die Offline-Fähigkeit aller Daten und Dokumente sorgen für Datensicherheit gepaart mit der erforderlichen Mobilität des modernen IR-Arbeitsplatzes. Die OeKB Business Services GmbH ist Vertriebs- und Implementierungspartner für novaaudit in Österreich (Kontakt: Nach der Mittagspause traten Social Networks in den Vordergrund. Beziehungen zwischen Menschen waren in der Vergangenheit auf die Kontaktaufnahme mittels Telefon, Brief, oder auf persönliche Treffen eingeschränkt. Durch die in den letzten Jahren entwickelten Web 2.0 Anwendungen im Bereich der Social Networks (z. B. Facebook, XING) erweitern sich die Kontaktmöglichkeiten beträchtlich und können bei richtiger Nutzung Vorteile für die Nutzer dieser Netzwerke mit sich bringen. Ing. Manfred Scholz CISA CISM (SEC4YOU) präsentierte in seinem Vortrag Social Networks Chancen und Risiken die Möglichkeiten dieser Netzwerke und wies zugleich auch auf die Risiken durch die Nutzung hin. Aus der Sicht des Vortragenden können für diese Risiken nicht alleine die Anbieter dieser Portale verantwortlich gemacht werden, denn auch die Anwender tragen durch die leichtfertige Weitergabe bzw. Veröffentlichung sensibler Informationen wesentlich dazu bei. Jeder Einzelne muss für sich selbst entscheiden, welche Informationen preisgegeben und welche Nutzen bzw. Risiken dadurch generiert werden können. Gleich im Anschluss hat Herr Ing. Manfred Scholz CISA CISM (SEC4YOU), als Ersatz für den Ausfall des Vortrages Skype, unter dem Titel Password Recovery versus Hacking in einer kurzen Live-Demo die Entschlüsselung von Windows-Passwörtern demonstriert und auf die Schwachstellen der gegenwärtig eingesetzten Authentifizierungs-Verfahren sowie auf die unzureichende Qualität von Passwörtern hingewiesen. Durch die fortschreitende Technik bei der Passwortentschlüsselung und Steigerung der Rechenleistung durch die Nutzung der Prozessoren (GPU) in Grafikkarten ist es möglich, nahezu jedes heute verwendete Passwort innerhalb eines akzeptablen Zeitraumes zu ermitteln. Im Ergebnis ist festzuhalten, dass dies nur durch den Einsatz einer Zwei-Faktor- Authentifizierung verhindert werden kann und diese Form der Authentifizierung in den nächsten Jahren zwingend erforderlich sein wird. 4

6 Abgerundet wurde der Tag durch die Präsentation von den Herren Otto Erbert (Siemens AG) und Dkfm. Ralf Grunge (Ralph Grunge Consulting GmbH) zum Thema IKS im SAP- Verfahren: Wechselwirkungen von SAP Berechtigungen und wirksamen Quellcodeanalysen. Ein erfolgreich implementiertes Internes Kontroll-System (IKS) trägt wesentlich zum Unternehmenserfolg bei (Reduktion von Risiken, Compliance, ). Auf SAP Systeme bezogen wurde bereits vielfach erkannt, dass die Berechtigungen im Fokus eines IKS stehen sollten. SAP Berechtigungen steuern primär den Zugriff lesender und verändernder Art auf die sensiblen Daten des Unternehmens. Herr Erbert und Herr Grunge veranschaulichten, dass eine Prüfung von SAP Berechtigungen heute mit den zur Verfügung stehenden Möglichkeiten (z.b. IKS-Explorer, Fraud-Explorer von Siemens) sehr zielgerichtet und zeitsparend für die Revision durchgeführt werden kann. Ein Abgleich, ob nur berechtigte Personen über die sensiblen Prozessberechtigungen verfügen (Beispiel Kreditorenstammpflege, Lieferantenrechnung erfassen, Zahllauf.) oder über sensible Basisberechtigungen (SAP Entwicklerberechtigungen, Administrationsberechtigungen, ) kann somit rasch ermittelt und dokumentiert werden. Veränderung des ABAP Quellcodes alle Sicherheitsmechanismen der SAP Berechtigungen ausgehebelt werden können. Dieser Sicherheitsstandard kann mit Hilfe von Quellcodereviews, Überprüfung auf Einhaltung von Entwicklungsvorgaben, Analysen von Eigenentwicklungen nach definierten Kriterien sowie regelmäßiger toolgestützter Scans der SAP Berechtigungen und des ABAP Quellcodes erreicht werden. Nach abschließenden Worten von Mag. Angela Witzany und Mag. Thomas Goldstein endete das ERFA. Die TeilnehmerInnen konnten eine Fülle von interessanten und vor allem nützlichen Informationen mit nach Hause nehmen. Um das Gehörte nochmals in Erinnerung rufen bzw. Interessierten den Einstieg in die Materie erleichtern sind - wie immer sämtliche Präsentationen als downloads auf der Website des Instituts verfügbar Mag. Thomas Goldstein, CISM Im Rahmen des Vortrages wurde ebenfalls darauf hingewiesen, dass eine Prüfung der SAP Berechtigungen alleine allerdings nicht ausreichend ist, um den anforderungsgerechten Zugriff auf sensible Daten des Unternehmens abschließend beurteilen zu können. Ein hoher Sicherheitsgrad kann nur im Zusammenspiel aus den Aspekten der SAP Berechtigungen und der Prüfung des ABAP Quellcodes erfolgen (sowie den wesentlichen Einflussfaktoren aus dem Customizing), da mit einer manipulativen 5

7 Let s talk Audit Doppelveranstaltung Wien und Salzburg Die gemeinsam vom Institut für Interne Revision mit der Firma Ernst & Young organisierte Veranstaltungsreihe hat sich sehr gut bewährt und ist mittlerweile zu einer von Revisionsleiterinnen und Revisionsleitern sehr geschätzten Informations- und Diskussionsplattform geworden. Gerade das nachhaltig große Interesse daran veranlasste die Veranstalter den Interessenten im wahrsten Sinne des Wortes entgegen zu kommen. So wurde am 20. Mai 2010 eine Veranstaltung in den Räumen des Wiener Büros von Ernst & Young und am 1. Juni 2010 die gleiche Veranstaltung für Kollegen aus dem Westen in den Salzburger Büroräumen von Ernst & Young abgehalten. Das Thema war diesmal Data Mining - Einsatzmöglichkeiten und Nutzen für die Interne Revision. Der Referent Regierungsrat Erich Huber ist der Leiter des Aufgabenbereichs Neue Prüfungstechnik im Risiko-, Informations- und Analysezentrum des Bundesministeriums für Finanzen; Mitwirkender am Projekt INSIKA (deutscher Fiskalspeicher); Seminarleiter an der österreichischen Bundesfinanzakademie; Gastdozent für Prüfungstechnik an der deutschen Bundesfinanzakademie etc. spannend waren die Fragen der Teilnehmer an Herrn Huber, die sehr rasch und zielgerichtet auf die Kernprobleme der Neuen Prüfungstechnik stießen und letztlich sehr offen diskutiert worden sind. Die vielfach nachgefragten und sehr umfangreichen Unterlagen werden auf die Homepage des Institutes gestellt. Aus meiner Sicht hat sich die Präsentation eines Themas an zwei Standorten sehr gut bewährt. Es wurde damit zusätzlich zum Wiener Raum ein interessiertes Publikum von Salzburg bis Tirol angesprochen, das bislang kaum in die Let s Talk Audit-Reihe eingebunden war und die Veranstaltung sichtlich interessiert und positiv aufgenommen hat. Möge die Idee, regional verteilt Veranstaltungen abzuhalten, weiter Beachtung finden. Wir danken der Firma Ernst & Young recht herzlich für die gute Zusammenarbeit und Unterstützung. IIA 07 Institut für Interne Revision Herr Huber hat beginnend von einem breiten systemischen Ansatz Kontrollebenen und mathematisch-statistisch geprägte Prüfmethoden dargestellt. Seine Beispiele hat er aus seiner Berufswelt, der steuerlichen Betriebsprüfung, geschöpft. Die Praxisbeispiele wurden durch die Ausführungen von Mag. Schwarzbartl, Ernst & Young, im Hinblick auf seine Erfahrungen im Bereich des Fraud Audit bestätigt. Besonders Dr. Hannes Schuh, MBA 6

8 29. Mitgliederversammlung am Die bereits 29. Mitgliederversammlung des Instituts für Interne Revision Österreich fand am 15. Juni 2010 im Don Bosco-Haus in Wien statt. Mehr als 80 Mitglieder haben teilgenommen und so ihr Interesse für die Aktivitäten, Ergebnisse und weitere Planungen des IIRÖ gezeigt. Erstmalig führte Mag. Angela Witzany, CIA als Vorsitzende des IIRÖ durch das Programm der MGV und erstattete den vom Vorstand vorbereiteten Bericht über das Jahr Als Highlights konnten die durchgeführten Veranstaltungen genannt werden: Sowohl die Jahrestagung im September 2009 unter dem Titel Wirtschaftskrise Strategie in schwierigen Zeiten in Gars am Kamp als auch die beiden Erfas des Jahres 2009 Revisionsergebnisse Bewertung, Berichtswesen und Feedback- Systeme und Compliance was bedeutet das für die Interne Revision sind auf großes Interesse der Mitglieder gestoßen und waren sehr gut besucht. Zu erwähnen war auch die Audit Competence Conference, die im Jänner 2010 im Austria Center Wien stattgefunden hat. Viele werden sich vielleicht noch an die Anfänge zurückerinnern. Mit Stolz können wir sagen, dass sich diese alle zwei Jahre organisierte Conference äußerst gut entwickelt hat. Eine weitere Möglichkeit zum Austausch zu aktuellen Revisionsthemen eröffnen die regelmäßigen Let s talk Audit-Treffen, die gemeinsam mit der Firma Ernst & Young durchgeführt werden sowie die CIA-Tagung. Die Übersiedlung des Instituts und der Akademie in neue Seminar- und Büroräumlichkeiten fand im Februar 2009 statt. An der neuen Adresse 1120 Wien, Schönbrunner Straße stehen nun größere und ansprechende Räumlichkeiten für die Abwicklung der Seminartätigkeit durch die Akademie Interne Revision zur Verfügung. Das in der letztjährigen MGV angekündigte neue Corporate Design für IIR-Ö und AIR wurde bereits weitgehend umgesetzt und findet sich auf dem Schriftverkehr, den Einladungen und den Publikationen und ist Ihnen hoffentlich zwischenzeitlich schon ein vertrauter Anblick. Als letzter Schritt wird in den nächsten Wochen eine Aktualisierung der Homepage erfolgen. Stolz sind wir auch auf die Übersetzung und Publikation von COSO ERM (Enterprise Risk Management - Integrated Framework) in die deutsche Sprache. Sehr positiv zu erwähnen ist weiterhin das Engagement der Mitglieder, die in derzeit 10 Arbeitskreisen (Privatversicherer, Banken, Public Sector, New Auditors, CIA, EDV, SAP, Universitäten, Energiewirtschaft, Wirtschaftskriminalität) tätig sind. Im Jahr 2009 musste erstmalig ein Jahresverlust für Institut und Akademie verzeichnet werden, der sich allerdings durch die Durchführung von Projekten und verstärkte Aktivitäten nachvollziehbar erklären lässt. Insgesamt ist die Vermögenslage aber sehr stabil und damit beruhigend. Die aktuelle Mitgliederanzahl beträgt derzeit 409 Mitglieder, wobei die Firmenmitgliedschaften mit 324 den weitaus größten Anteil darstellen. Positiv ist die Entwicklung auch 2010, da bisher schon 12 Beitritte vermerkt werden konnten. Erfreuliches konnte auch aus dem Bereich Internationales berichtet werden: Das langjährige Mitglied des Vorstands des IIRÖ, Ing. Günther Meggeneder, CIA der Ihnen auch nach seinem aus privaten Gründen nach Deutschland erfolgten Umzug wahrscheinlich noch in bester Erinnerung sein wird wurde zum Chairman of the Board of Directors des Institute of Internal Auditors gewählt. Wir gratulieren ihm an dieser Stelle recht herzlich! Mag. Angela Witzany, CIA ist im Board of Regents und Mag. Norbert Wagner ist Mitglied des Globalen CSO, Chairman European CSO (Chief Staff Officer) sowie Mitglied beim Audit Committee des ECIIA. Beide sind daher aktiv in die Weiterentwicklung des Berufsstandes Interne Revision eingebunden. Nach der Darstellung des Erreichten folgte noch ein Ausblick auf die kommenden nationalen und internationalen Veranstaltungen. Wir hoffen, dass die für die Mitglieder organisierten Veranstaltungen wiederum Ihr Interesse finden werden. 7

9 Das IIRÖ wird im Mai 2011 Gastgeber für wichtige internationale Konferenzen sein: Das Global Council wird erstmalig in Österreich tagen. Die CEE-Konferenz wird in Wien stattfinden. Die Dreiländer Versicherungs-Tagung wird wieder die Möglichkeit zum Erfahrungsaustausch bieten. Nach der Präsentation des Vorstandes erstattete Frau Mag. Rossgatterer, CIA in ihrer Funktion als Rechnungsprüferin des IIRÖ und der AIR positive Berichte und stellte den Antrag auf Entlastung des Vorstandes für das Jahr 2009, die anschließend durch die Mitglieder erfolgte. Auf eigenen Wunsch aus dem Vorstand ausgeschieden sind Dietmar Grabher, CIA, CISA und Helmut Reitmeier. Namens des Vorstandes bedankte sich Mag. Witzany recht herzlich für die geleistete Arbeit im Vorstand des IIR-Ö. Kollege Reitmeier wird dankenswerter Weise auch künftig mit Rat und Tat dem Institut zur Verfügung stehen. Die ab zur Anwendung gelangenden jährlichen Mitgliedsbeiträge sind nunmehr: 280,- für kleine Unternehmen (bis 999 MitarbeiterInnen) 360,- für große Unternehmen (ab MitarbeiterInnen) 60,- für Einzelmitglieder. Dr. Hannes Schuh, MBA wies im Rahmen der MGV auf das von ihm verfasste Buch Interne Revisionen im öffentlichen Sektor hin siehe auch separaten Artikel in diesem AJ. Mit seinem Vortrag Manager müssen Mut machen Mythos Shackleton zog Dipl.Päd. und Wirtschaftsingenieur Peter P. Baumgartner die Zuhörer und Zuseher (der mittels Beamer projizierten Bilder) in seinen Bann. Er entführte mit seiner deutlich erkennbaren Begeisterung für dieses Ereignis und die Person Shackleton in die spannende Begebenheit der schicksalhaften Endurance-Expedition. In diesen historischen Zusammenhang eingewoben ist seine Führungskunst, insb. unter dem Gesichtspunkt zentraler Fragen zu Unternehmensphilosophie und Neuausrichtung. IIA 07 Institut für Interne Revision Entsprechend dem vorgelegten Wahlvorschlag wurden Mag. Dr. Matthias Kopetzky, CIA, CPA, CFE, SV und Dir. Wolfgang Zotter als neue Vorstandsmitglieder gewählt. Der nächste Punkt beschäftigte sich mit der Anpassung der Mitgliedsbeiträge. Die letzte Erhöhung wurde mit vorgenommen. Anhand eines Vergleiches der Gebühren der Institute unterschiedlicher Länder und für diverse Konstellationen zeigte sich ganz klar, dass das IIRÖ auch nach der in Aussicht genommenen Erhöhung sehr moderate Preise verrechnen wird. Die Mitglieder haben antragsgemäß eine Erhöhung beschlossen. Wir blicken zurück auf ein erfolgreiches Jahr 2009 und sind schon mitten in den Aktivitäten des laufenden Jahres und planen die Vorhaben für In diesem Sinne danke für Ihr Interesse, das sie mit dem Besuch der Mitgliederversammlung 2010 ausgedrückt haben. Sollten Sie heuer nicht dabei gewesen sein, so dürfen wir Sie vielleicht bei einer der nächsten Veranstaltungen begrüßen. Mag. Eva Weiszgerber 8

10 Interne Revisionen im öffentlichen Sektor - Organisatorische Ausrichtungen für die Anforderungen der Zukunft Nachhaltige und grundlegende Veränderungen der Organisationskultur und steigende Zielorientierung prägen den öffentlichen Sektor. Interne Revisionen müssen sich als Teil ihrer Gesamtorganisation mit und in ihr weiterentwickeln. Die Verwaltungsentwicklung bewegt sich über New Public Management-Ansätze zu Good Governance und zeichnet sich durch eine zunehmende Wirkungsorientierung aus. Dies wird z.b. bei der Bundesverwaltung durch die zweite Etappe Haushaltsrechtsreform des Bundes spätestens ab 2013 massiv gefördert werden. Die Dynamik in der Verwaltungsentwicklung und in der Wirkungsorientierung ist von der Internen Revision aufzugreifen und hat Folgen für ihre eigene Organisation und für ihre strategische Ausrichtung. Die praktikable Einbindung der Internen Revision in moderne Führungsinstrumente, wie Mitarbeitergespräche, MbO-Zielsysteme und Belohnungssysteme werden aufgezeigt. 2. Strategische Ausrichtung interner Revisionen in einem dynamischen Umfeld Das vom Institut Interne Revision Österreich herausgegebene Buch versucht eine Antwort auf die Frage nach der organisatorischen Ausrichtung moderner Interner Revisionen des Public Sectors zu geben. Die Leitgedanken sind in Bezug auf die Gesamtorganisation Mehrwert und Förderung des Organizational Fit For Future und in Bezug auf die Revisionsorganisation Qualität, Teamarbeit und Projektorientierung. Im Hinblick auf die strategischen Ziele moderner Unternehmen in Richtung Nachhaltigkeit und Sozial Responsibility ergibt sich daraus auch für den Private Sector eine gute Orientierungshilfe. Inhaltliche Schwerpunkte sind: 1. Die Interne Revision als Teil einer wirkungsorientierten Organisation Die strategische Ausrichtung der Internen Revision und ihre Verbindung zur öffentlichen Verwaltung, der sie eingegliedert ist, lassen sich gut anhand einer Balanced Scorecard darstellen. Das Innovative dieser BSC ist die starke Ausrichtung am Gesamt unternehmen, die Wirkungsorientierung, das Partnering in Bezug auf Zukunftsthemen und die intensive Personalentwicklung, die auch in Karrierezielen der RevisionsmitarbeiterInnen mündet. 3. Teamorientierte Organisationsform interner Revisionen Die risikoorientierten Prüfthemen eines breiten und anspruchvollen Audit Universe können nur in Teams bewältigt werden. 87% der ca. 300 internationalen Teilnehmer am IAS-Congress 2008 der Europäischen Kommission bestätigen dies. Als Antwort darauf ergibt sich für die Interne Revision eine Pool-Organisation. 4. Projektorientierte Prüfungsansätze Die Umsetzung der teamorientierten Organisation auf Ebene der einzelnen Revision führt zu einem projektorientierten Arbeits- 9

11 ansatz. Die Projektstandards der PMA, insbesondere das Projekthandbuch, bieten eine ausgezeichnete Hilfe für die Abwicklung von Prüfungen. 5. Audit Universe, Qualität und Akzeptanz als Basis für Mehrwert Wegen fehlender Weisungsrechte kann die Interne Revision nur über die Qualität und Akzeptanz ihrer Arbeit Verbesserungen initiieren. Dies setzt eine sorgfältige und risikoorientierte Auswahl der Prüffälle ebenso voraus wie umfassende Qualitätssicherungsmaßnahmen, eine gediegene Personalentwicklung und eine verantwortliche systemische Einbindung der obersten zuständigen Linienverantwortlichen in die Verbesserungsmaßnahmen. Eine Verprobung mit dem Internal Audit Capability Model des IIA zeigt, dass das vorgestellte Modell der höchsten Stufe der Reifegrade, dem optimized, entspricht. Besonders erfreulich sind die Testimonials zu diesem Buch: (Reihung nach Sachlogik von Theorie zu Praxis) Univ.Prof. Dr. Martin Richter, Lehrstuhl für Rechnungswesen und Wirtschaftsprüfung, Universität Potsdam Eine zukunftsweisende Veröffentlichung,, überzeugend begründet und mit vielen zum Nachdenken anregenden bzw. sofort umsetzbaren Hinweisen. Das Buch ist eine Pflichtlektüre für jeden Internen Revisor in der öffentlichen Verwaltung; es ist auch ein Appell an die Führung in der öffentlichen Verwaltung, das Instrument Interne Revision zu nutzen. Dr. Josef Moser, Präsident des Rechungshofes und Generalsekretär der INTOSAI Das vorliegende Buch zeigt in eindrucksvoller Weise die Herausforderungen auf, denen sich die Internen Revisionen in einer modernen Verwaltung stellen müssen. wichtige Hinweise auf Best Practice Modelle für eine erfolgreiche Organisation und Prüfungsdurchführung. Univ.Prof. Dr. Roland Gareis, Projektmanagement Group, Wirtschaftsuniversität Wien Der Zugang dieses Buches, Interne Revisionen als projektorientierte Organisationen zu verstehen, ist daher schlüssig und geeignet, die neuen Anforderungen der Prüfungspraxis zu lösen. Dipl.Ing. Josef Pröll, Vizekanzler und Finanzminister Die Interne Revision des Bundesministeriums für Finanzen zeigt, dass ihre in der Theorie geforderte Funktion als Eckpfeiler von Good Governance auch gelebt wird. Das Buch ist im österreichischen Linde Verlag (ISBN ) und im deutschen Boorgberg Verlag (ISBN ) erschienen. Der Verkaufspreis beträgt in Österreich 38,-. Das Buch kann auch beim Institut für Interne Revision Österreich bezogen werden. Dr. Hannes Schuh, MBA IIA 07 Institut für Interne Revision 10

12 5. Konferenz der Revisionsinstitute der CEE Gruppe sowie 2. Jahrestagung des IIA Croatia (25. bis 27. März 2010 in Opatija (Kroatien) Von 25. bis 27. März fand neben der 2. nationalen Tagung des kroatischen Revisionsinstitutes die bereits 5. CEE Konferenz im heurigen Gastgeberland Kroatien statt. Der so genannten CEE-Gruppe gehören folgende Länder bzw. Institute an: Bosnien und Herzegowina, Bulgarien, Kroatien, Tschechische Republik, Ungarn, Polen, Rumänien, Russland, Serbien, Slowakei, Lettland und Österreich. Mit dem Tagungsort Opatija, in der landschaftlich reizvollen Kvarner Bucht gelegen, war auch der Rahmen für eine inhaltlich sehr interessante Veranstaltung gegeben. Die Konferenz stand heuer unter dem Titel Development and Challenges of Internal Auditing. Die ersten beiden Konferenztage wurden mit Fachvorträgen im Plenum begonnen und mit jeweils zwei Workshopsitzungen geschlossen. Neben ausgezeichneten nationalen Vortragenden konnten auch, insbesondere für beide Plenarsitzungen, international bekannte Vortragende und Moderatoren wie J.P. Garitte (Belgien), Bernd Schartmann (Sprecher des Vorstandes des Deutschen Revisionsinstitutes) und Peter Galambos (Präsident des IIA Hungary) gewonnen werden. Die Themen waren breit gefächert und reichten von Risikomanagement, Corporate Governance, IKS, IT Audit, HR in der Internen Revision, über IR im öffentlichen Sektor, Fraud - Themen, bis hin zur Revisionsfunktion in multinationalen Konzernen und den IPPFs. Die vorbereiteten Themen waren auf zukünftige Entwicklungen und Herausforderungen an die Interne Revision gerichtet. Prof. Peter Hauser (nach 15 jähriger Tätigkeit als CAE der UNIQA Insurance Group, nunmehr Vorstandsmitglied der Collegialität Versicherung auf Gegenseitigkeit) und ich hatten die Möglichkeit mit einem Plenarvortrag zum Thema Internal Audit in Solvency II einen Beitrag aus der Versicherungsbranche zu leisten. Ein Galaabend bei kroatischer Musik und Tanz war ein gelungener Abschluss der ersten beiden Konferenztage und bot auch Gelegenheit zu persönlichen Erfahrungsaustauschgesprächen. Aktuelle Berichte der Vertreter der teilnehmenden Revisionsinstitute von der Organisation des Instituts, der Mitgliederstruktur, nationaler Veranstaltungen, Ausbildungsprogrammen bis hin zu strategischen Vorhaben der einzelnen Institute bildeten den letzten Tag und damit den Schlusstag der dreitägigen Konferenz. Neben den Fachvorträgen und Workshops war auch ausreichend Platz für Networking im internationalen Umfeld; ich selbst konnte viele neue Kontakte zu Revisionskollegen aus meiner Versicherungsbranche als auch zu Vorstandskollegen aus diversen CEE Revisionsinstituten knüpfen. Die Herzlichkeit und Gastfreundlichkeit der kroatischen Kolleginnen und Kollegen, insbesondere des Präsidenten des IIA Croatia, Hrn. Stanko Tokic, machten die drei Konferenztage zu einer rundum erfolgreichen Veranstaltung! Im Namen des Vorstandes des IIRÖ freut es mich, an dieser Stelle ankündigen zu können, dass die 6. CEE Konferenz im Jahr 2011 erstmalig in Österreich stattfinden wird: Datum: 5. und 6. Mai 2011 Ort: Wien Wir freuen uns auf Ihre hoffentlich zahlreiche Teilnahme an dieser internationalen Veranstaltung mit national und international anerkannten Vortragenden und einer abwechslungsreichen Mischung aus Plenarvorträgen und branchenspezifischen Workshops. An der Gestaltung des Konferenzprogramms wird bereits intensiv gearbeitet; halten Sie sich daher jetzt schon diesen Termin für 2011 frei und nutzen Sie die Gelegenheit bei dieser internationalen Tagung in Wien länderübergreifende Revisionsthemen zu diskutieren und neue Kontakte zu knüpfen! Mag. Angela Witzany, CIA 11

13 Prüfleitfaden SAP ERP 6.0 (2. Teil) Kapitel 5: Systemintegrität auf der Anwendungsebene Von der deutschsprachigen SAP-Anwendergruppe wurde ein neuer Prüfleitfaden erarbeitet, welcher von der DSAG unter zum allgemeinen Download bereitgestellt wurde. Die SAP-Arbeitsgruppe des IIA Austria befasst sich im Rahmen einer Artikelserie mit den wichtigsten Punkte dieses neuen Leitfadens. Das Kapitel 5 beschreibt die Risiken, wenn die Standardinstallation eines SAP-Systems unverändert als Produktivsystem genutzt wird. In der Standardinstallation sind kritische Funktionen, die den unternehmensindividuellen und gesetzlichen Anforderungen an Sicherheit und Ordnungsmäßigkeit genügen müssen, nicht angemessen konfiguriert. Für ein funktionelles Internes Kontrollsystem sind daher vom Kunden entsprechende Anpassungen vorzunehmen. Die wesentlichsten Gefahren liegen in nachstehend angeführten Punkten: Im Produktivsystem können nicht autorisierte und nicht nachvollziehbare Änderungen an Programmen, Tabellen und Daten vorgenommen werden. Im Produktivsystem werden bei der Konfiguration eines neuen Unternehmens (Mandant) Sicherheitslücken geöffnet. Softwareentwickler können auf dem Produktivsystem die Vorgaben eines geordneten Entwicklungs-, Test- und Freigabeverfahrens unterlaufen. Änderungen an Tabellen mit Parametern für die Steuerung der Geschäftsabläufe und an den systemintern geführten Belegen sind nicht nachvollziehbar. Erfasste Buchungen werden vom SAP- System zwar bestätigt, werden aber aufgrund eines technischen Problems nur zwischengespeichert, ohne im Buchungswerk registriert zu werden. Nicht autorisierte Zugriffe auf Systemeinstellungen, die interne Kontrollen für Geschäftsabläufe oder sicherheitskritische systemtechnische Ablaufe steuern, sind möglich. Die eingerichtete systemübergreifende Kommunikation lässt nicht autorisierte Zugriffe von unsicheren Systemen zu. Vorhandene Berechtigungsprüfungen sind deaktiviert, wodurch das Zugriffskontrollsystem unterlaufen werden kann. Nicht autorisierte Eingriffe in automatisierte Buchungsablaufe sind möglich. Sicherheitsrelevante Systemereignisse werden nicht protokolliert und überwacht. Angriffe oder Sicherheitsverletzungen werden nicht erkannt und verfolgt. In weiterer Folge werden die erforderlichen Systemanpassungen (Kontrollziele) sowie geeignete Prüfmöglichkeiten vorgestellt: Systemeinstellungen zum Schutz der Produktion gegen Änderungen Systemeinstellungen zum Schutz der Mandanten Nachvollziehbarkeit von Änderungen an Tabellen im Produktivsystem Ordnungsmäßige Verbuchung Schutz sicherheitskritischer Systemeinstellungen und Basisberechtigungen Schutz der RFC-Aufrufe Schutz der Batch-Input-Prozesse Schutz sicherheitskritischer Anwendungsberechtigungen Schutz der Job-Abläufe Schutz der Druckaufträge Etwa 2/3 der erforderlichen Maßnahmen betreffen die Einschränkung von Userberechtigungen, der Rest entfällt auf diverse Systemeinstellungen. SAP Arbeitsgruppe IIA 07 Institut für Interne Revision 12

14 Neue Mitglieder Das Institut für Interne Revision Österreich IIA Austria begrüßt folgende neue Mitglieder: Media-Saturn BeteiligungsgesmbH Österreich DO & CO Restaurant & Catering AG Grünberger IT-Consulting Dkfm. Liu, Xiao Keller Grundbau GmbH Hermann Pfanner Getränke GmbH Raiffeisen Kapitalanlage- Gesellschaft m.b.h. Mag. Monika Schrems Wir freuen uns auf eine gute Zusammenarbeit! Mag. Eva Weiszgerber Termine des Institutes Jahrestagung Jahrestagung des Instituts für Interne Revision im Congress Centrum Alpbach Let s Talk Audit - Wien Termin folgt Let s Talk Audit - Salzburg II. ERFA 2010 Veranstaltungsort: F.-W.-Raiffeisenplatz 1, 1020 Wien Wir danken der Raiffeisen Landesbank NÖ-Wien für die Einladung! Die Termine der Arbeitskreise sowie sonstige Termine entnehmen Sie bitte unserer Homepage Der Vorstand des Institutes für Interne Revision Österreich IIA Austria, das Sekretariat und das Team der Akademie Interne Revision wünschen allen Mitgliedern und deren Familienangehörigen einen schönen Sommer und erholsame Ferientage! 13

15 Die Akademie Interne Revision informiert: Seminarvorschau Herbst 2010 Einführung in die Interne Revision Das Seminar soll Einsteigern in die Interne Revision mit den Grundlagen der Internen Revision, ihren Zielen, Aufgaben und Vorgehensweisen vertraut machen. Termin: Referent(en): Mag. Birgit WEIDENAUER, Dipl.-Ing. Maria-Theresia STADLER, CISM Mitglieder: 1.140,00 / Nicht-Mitglieder: 1.330,00 IIA 07 Institut für Interne Revision Durchführung eines Prüfauftrages Planung und Vorbereitung, Abwicklung, Bericht und Monitoring Progress. Die Grundlagen der praktischen Durchführung des Prüfungsablaufes werden vorgestellt und mit praktischen Beispielen erläutert. Termin: Referent(en): Dkfm. Jörg JOHANNSEN, CIA, Dr. Markus FALLY, Mag. Birgit WEIDENAUER Mitglieder: 1.140,00 / Nicht-Mitglieder: 1.330,00 Prüfungsvorbereitung: CIA Block B (Teil III & IV) Termin: Referent(en): Dr. Ulrich HAHN, CIA, CCSA CISA, Prof. Dr. Joachim TANSKI Mitglieder: 1.250,00 / Nicht-Mitglieder: 1.450,00 Beurteilung der Beschaffung aus strategischer und operativer Sicht Im Seminar werden die grundsätzlichen Ansätze und Ausrichtungen der Beschaffungsfunktion (langfristige strategische Komponente der Beschaffung, Prozess der Beschaffung) veranschaulicht. Termin: Referent(en): Dipl.-Ing. Rudolf BAUMGARTNER, Mag. Gerald SCHÖNLEITNER, CIA Mitglieder: 490,00 / Nicht-Mitglieder: 620,00 IT - Security Anforderungen aus Sicht der IT-Revision, typische Prüfungshandlungen, Beispiele für technische und organisatorische Maßnahmen. Termin: Referent(en): Ing. Manfred SCHOLZ, CISA, CISM Mitglieder: 490,00 / Nicht-Mitglieder: 620,00 Forensische Datenanalyse Der Schwerpunkt des Seminars ist die Aufdeckung wirtschaftskrimineller Handlungen anhand von Datenanalysen. Diese Datenanalysen bilden einen wesentlichen Bestandteil der IKS und sollten zur Prävention standardisiert durchgeführt werden. Termin: Referent(en): Dipl.-Ing. Thomas SCHWALB, Mag. Bernhard FROMM Mitglieder: 870,00 / Nicht-Mitglieder: 1.020,00 Vernehmungstechnik für Revisoren Training für Befragungen bei dolosen Handlungen. Praktische Übungen! Termin: Referent(en): Dr. Helmut SALOMON, Mag. Bernhard FROMM Mitglieder: 780,00 / Nicht-Mitglieder: 930,00 Qualitätssicherung in der Internen Revision Ein Programm zur Qualitätssicherung und -verbesserung ist in den Internationalen Standards vorgeschrieben. Das Seminar vermittelt wesentliche Elemente sowie Erfolgsfaktoren für den Aufbau und die Weiterentwicklung eines Qualitätsmanagementsystems in der Internen Revision. Termin: Referent(en): Mag. Birgit FAHRNBERGER Mitglieder: 490,00 / Nicht-Mitglieder: 620,00 14

16 Zeitschrift des Instituts für Interne Revision Österreich - IIA Austria Impressum Verleger, Hersteller und Herausgeber Institut für Interne Revision Österreich - IIA Austria Schönbrunner Strasse U4 Center, Stiege B, 3. OG A Wien Für den Inhalt verantwortlich: Mag. Eva Weiszgerber Hinweis: Die namentlich gekennzeichneten Beiträge müssen nicht die Meinung des Herausgebers wiedergeben