Existenzbestätigung IKS in der IT

Transkript

1 Existenzbestätigung IKS in der IT Forum IT-Themen in der Wirtschaftsprüfung Fachstab Informatik EXPERTsuisse In Zusammenarbeit mit ISACA Hotel Bellevue Palace Bern, Juni 2016 Felipe Koller, CISA, CRISC, CGEIT, PMP Agenda Gesetzliche und regulatorische Grundlagen Technische Grundlagen Praxisbeispiele Wichtigste Punkte 2 1

2 Gesetzliche und regulatorische Grundlagen 1 3 Gesetzliche und regulatorische Grundlagen 1/2 Art. 716a Abs. 1 Ziff. 3 i.v.m. Art. 662a sowie Art 957ff. OR Der Verwaltungsrat ist für die Ausgestaltung, Implementierung und Aufrechterhaltung eines geeigneten und angemessenen IKS verantwortlich. Art. 728a Abs. 1 Ziff. 3 OR Die Revisionsstelle bestätigt einmal jährlich die Existenz dieses vom Verwaltungsrat definierten IKS. Sofern das vom Verwaltungsrat definierte IKS den minimalen generellen Anforderungen an ein IKS aufgrund der Grösse, Komplexität und dem Risikoprofil der Unternehmung entspricht, wird die Revisionsstelle die Existenz im Sinne von Art. 728a Abs. 1 Ziff. 3 OR zuhanden der Generalversammlung positiv bestätigen können. Voraussetzung dieser Existenzbestätigung ist jedoch, dass dieses vom Verwaltungsrat definierte IKS schriftlich dokumentiert ist und im Tagesgeschäft des Unternehmens Anwendung findet. («Design» und «Implementation»). Nicht Bestandteil der IKS Existenzprüfung ist hingegen die Prüfung des dauerhaften und mängelfreien Funktionierens des IKS («Operational Effectiveness»). Funktionierendes IKS sollte in allen Bereichen vorhanden sein, Abschlussprüfer muss jedoch nach Art. 728a Abs. 1 Ziff 3 OR lediglich dessen Existenz im Hinblick auf die finanzielle Berichterstattung prüfen und bestätigen. 4 2

3 Gesetzliche und regulatorische Grundlagen 2/2 Schweiz Prüfungsstandard (PS) 890: «Prüfung der Existenz des internen Kontrollsystems» Limitierter Prüfungsumfang: Nur jene Vorgänge und Massnahmen, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen. Best Practice: Kontrollkomponenten gemäss Committee of Sponsoring Organizations of the Treadway Commission (COSO): - Kontrollumfeld - Risikobeurteilung des Unternehmens - Informationssysteme, damit verbundene Geschäftsprozesse und Kommunikation - Kontrollaktivitäten - Überwachung der Kontrollen «Der Abschlussprüfer prüft die Existenz sowie die Kontrollen auf Unternehmensebene als auch der Kontrollen auf Prozessebene und die generellen IT Kontrollen.» 5 Aufgaben und Verantwortung des Abschlussprüfers Berücksichtigung des IKS zur Bestimmung, welche Bereiche der Jahresrechnung mittels ergebnisorientierter oder verfahrensorientierter Prüfungshandlungen zu prüfen sind. Gemäss Art. 728a Abs. 1 Ziff. 3 OR zu prüfen, ob das vom Verwaltungsrat ausgestaltete IKS für die finanzielle Berichterstattung existiert. Info an GV (Art. 728b Abs. 2 OR). Info inkl. Feststellungen an Verwaltungsrat (Art. 728a Abs. 1 OR). 6 3

4 Technische Grundlagen 2 7 Definitionen Risiko im Sinne des PS: Wesentliche falsche Angabe in der Jahresrechnung (Teilrisiko) Kontrolle: - Entity-Level Controls (ELC) / Kontrollen auf Unternehmensebene - IT General Controls / Generelle Informatik-Kontrollen - Anwendungskontrollen auf Stufe Geschäftsprozess (automatisch, manuell, abhängig von IT) Design effectiveness vs operating effectiveness Audit approach / Prüfungsansatz 8 4

5 Vierstufiges Schichtenmodell Quelle: Vorgehensmodell IT-Risikoanalyse, EXPERTsuisse 9 Wann existiert eine Kontrolle? 1/3 Beispiel Software Änderungsverfahren Szenario 1: Hohe Maturität Starke formelle Regeln für Änderungen an Programmen und Konfigurationen Notfalländerungen werden abgedeckt Lückenlose Nachvollziehbarkeit Berechtigungen sind klar geregelt Tests seitens Endbenutzer sowie Freigabe vor Installation zwingend Änderungen werden laufend überwacht und nachvollziehbar dokumentiert 10 5

6 Wann existiert eine Kontrolle? 2/3 Beispiel Software Änderungsverfahren Szenario 2: Tiefe Maturität Keine Verfahren zur Kontrolle von Änderungen Entwickler können uneingeschränkt Änderungen vornehmen Änderungen sind nicht nachvollziehbar 11 Wann existiert eine Kontrolle? 3/3 Beispiel Software Änderungsverfahren Szenario 3: Interpretationsspielraum Wenig formelle Änderungsverfahren Entwickler haben Zugriff auf produktiven Betrieb Notfalländerungen sind kaum rekonstruierbar Einhaltung der Verfahren wird nur fallweise überprüft 12 6

7 Prüfungshandlungen für Existenzbestätigung IKS Prüfungshandlungen: - Ergebnisorientiert - Verfahrensorientiert Wurzelstichproben («Walk-Through Tests») Befragung Observation Dokumentenstudium 13 IT General Controls: Domänen The ITGCs shall effectively and traceably cover all relevant business applications. ITGC Domäne Control components other than control activities (ex-coso), Entity-Level Controls Objective Kontrollen auf Stufe Gesamtbank, z.b. Weisungen, Code of Conduct, Organigramm, Rollen und Verantwortlichkeiten, Ausbildung, Überwachung. Programme development Programme changes Access to programmes and data Systementwicklung und einführung. Sicherstellen, dass Systeme entwickelt, konfiguriert und implementiert werden so dass die Applikationskontrollziele erreicht werden. Änderungswesen für wesentliche Programme, Sicherstellung der Korrektheit. Sicherstellen, dass Programmänderungen and Infrastrukturkomponenten angefragt, authorisiert, ausgeführt, getestet und implementiert werden um die Applikations- kontrollziele zu erreichen. Zugriffs- und Zutrittssicherheit auf/zu wesentlichen Systemen. Sicherstellen, dass nur authorisierter Zugriff auf Programme und Daten gewährt wird nach Überprüfung der Identität des Benutzers. Computer operations Verarbeitung und Wartung, Systemeingriffe, Batch Management. Sicherstellen, dass der IT-Betrieb der produktiven Systeme gewährleistet ist sowie dass Probleme in der Ausführung zeitnah identifiziert und behoben werden damit die Integrität der finanziellen Information gewährleistet ist. 14 7

8 IT General Controls: Das Regenschirm-Modell Weak ITGCs Strong ITGCs Automated control procedures and manual control procedures which use computer-generated information are dependent upon the effectiveness of ITGCs. 15 Anwendungskontrollen Kreditrisikoberechnung Steuerberechnung 4-Augenprinzip (Zahlungsverkehr, Stammdaten) Berechtigungsprofile Completeness Check Key Report Schnittstellen 16 8

9 Praxisbeispiele 3 17 Praxisbeispiele Revisionsaufsichtsbehörde (RAB) Reviews ITGC Statutarische Prüfung Prüfprogramme Welche Kontrollen sind wirklich wichtig? - Als Teil der generellen IT-Kontrollen (Input Vorgehensmodell IT- Risikoanalyse, Maturitätsmodell) - Damit sich Anwendungskontrollen darauf abstützen können 18 9

10 Welche Kontrollen sind wirklich wichtig? Arbeitshilfe: Vorgehensmodell IT-Risikoanalyse der Treuhand Kammer / EXPERTsuisse, 92 IT-Kontrollen Entity-Level Controls (ELC) Zugriffsberechtigungen («Access Management») Veränderungswesen («Change Management») Informatik-Betrieb («IT Operations») Programmentwicklungen («Program Development») Funktionentrennung zwischen Rechnungswesen und Informatik Auslagerungen / Outsourcing Priorisierung Maturität 19 Auslagerung/Outsourcing Service receiver ICS BoD BoD EB AC EA IA ISAE 3402 Responsibility for ICS/governance SSAE 16 Monitoring the relationship between service provider and service receiver as well as the ability of service provider Independent controls report Service provider X Reporting/SLA X Monitoring SLA Reporting/Operations Outsourcing Key to abbreviations : ICS: SLA: BoD: EB: AC: Internal Control System Service Level Agreement Board of Directors Executive Board Audit Committee IA: Internal Audit EA: External Audit X: Outsourced Service ISAE: International Standard on Assurance Engagements SSAE: Statement on Standards of Attestation Engagements 20 10

11 Informatikeinsatz in KMU Anforderungen an Informatik bzgl. Funktionsumfang, Verfügbarkeit und Sicherheit weichen nicht wesentlich ab ggü. Grossunternehmen und sind oftmals wesentliche Voraussetzungen für die effiziente und zuverlässige Abwicklung der Geschäftsprozesse. Typische Risiken: Fehlendes Know-how zu Informatikanwendungen sowie Schnittstellen (Daten- und Werteflüsse), Abhängigkeit von externen Partnern Starke Konzentration des Know-hows auf Einzelne, tiefer Dokumentationsgrad, hohe Abhängigkeit von Schlüsselpersonen Fehlende Funkti0nentrennung zwischen Rechnungswesen und Informatik Zugriffsschutz: Auf Stufe Betriebssystem und Netzwerk hoch, auf Stufe Applikation kaum Differenzierung, schwache Passwortkonfigurationen Individuallösungen und auswertungen («End-User Computing») Schwachstellen im Bereich physischer Sicherheit Regelmässige Datensicherungen, jedoch kaum Auslagerungen sowie Restore Tests Business Continuity Management (inklusive Cyber Security Vorfall als Szenario) 21 Schlusswort Viele Hilfsmittel (Vorgehensmodell IT-Risikoanalyse, COBiT, ITIL) Professional judgement Austausch zwischen Wirtschaftsprüfer und IT-Revisoren 22 11

12 Wichtigste Punkte 4 23 Wichtigste Punkte Limitierter Prüfungsumfang gemäss PS 890 Verwendung von Hilfsmitteln sowie professional judgement (Schlüsselkontrollen und Maturität) Risikobasierte Prüfung & Prüfungsansatz Prüfungshandlungen Dokumentation & Implementation 24 12

13 Ihre Fragen 25 Besten Dank für Ihre Aufmerksamkeit! PricewaterhouseCoopers AG Birchstrasse 160 CH-8050 Zürich T: +41 (0) M: +41 (0) Felipe Koller Senior Manager CISA, CRISC, CGEIT, PMP This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers AG, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it All rights reserved. In this document, refers to PricewaterhouseCoopers AG which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity. 13