26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen

Transkript

1 1 26. Juni 2012 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen Wie immer: Eine sehr persönliche Zusammen-fassung des Tages (unvollständig, mit Beispielen) Was ich gehört und verstanden habe Nicht unbedingt was die Referenten wirklich gesagt haben Peter R. Bitterli, CISA, CISM, CGEIT Eine Veranstaltung der Educaris AG Akademie der Treuhand-Kammer in Zusammenarbeit mit ISACA Switzerland Chapter 3

2 2 Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer : Einführung Peter R. Bitterli, CISA, CISM, CGEIT Bitterli Consulting AG, ITACS Training AG & BPREX Group AG Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Einführung (Peter R. Bitterli) Cremeschnitten-Modell Wir messen Maturität der erwarteten IT-Kontrollen und schliessen daraus indirekt auf mögliche IT-Risiken Primär gedacht für strategische Prüfungsplanung bei ordentlichen Prüfungen anwendbar für viele andere Zwecke für KMU-Prüfer, nicht nur für Prüfung von KMUs 5

3 3 IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel Peter Steuri Partner / Verantwortlicher CC Informatik BDO AG, Solothurn Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Einsatz bei Revisionen: Fallbeispiel (Peter Steuri) Modell der BDO Mandatsleiter WP zt. mit IT-Prüfer Die richtigen Personen befragen Phase I: Self Assessment durch REWE-Verantw. Phase II: IT-Verantw. Bereitstellen der Dokumente für ausgewählte Schlüsselkontrollen Rundgang durchführen gerade im IT-Umfeld sehr hilfreich 7

4 4 Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Einsatz bei Revisionen: Fallbeispiel (Peter Steuri) Standardisierte Hilfsmittel Fragen Phase I Fragen Phase II IT-Schlüsseldokumente Informatik-Check (Bericht) IT Summary Completion Memorandum (IT SCM) wesentliche Feststellungen Was genau gemacht wurde In vorhandenen Audit- Workflow einbauen (z.b. Software) 8 Vorgehensmodell IT-Risikoanalyse zu vermeidende Fehler Peter R. Bitterli, CISA, CISM, CGEIT Bitterli Consulting AG, ITACS Training AG & BPREX Group AG

5 5 Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Zu vermeidende Fehler (Peter R. Bitterli) Vorgehensmodell hilft bei Standortbestimmung quick aber bitte nicht zu dirty kompetente Prüfer einsetzen Nachvollziehbarkeit sicherstellen standardisierte Hilfsmittel einsetzen Die typischen Fehler vermeiden (siehe Details in Präsentation) 10 Outsourcing: Die weitverbreitetsten Modelle und ihre Risiken Andreas Toggwyler Partner Ernst & Young, Genf und Zürich

6 6 Outsourcing: Die verbreitetsten Modelle und ihre Risiken (Andreas Toggwyler) Offshoring Nearshoring Business Process Outsourcing Application Service (BPO) Providing Outtasking Multi-Sourcing (ASP) On Site Management Selective Outsourcing Captive offshore Managed Services Vertriebs- Comprehensive Business Outsourcing (Complete) Transformation Transitional Outsourcing Outsourcing Outsourcing Outsourcing Begriffe klären Outsourcing kann gleichzeitig verschiedenste Arten von Outsourcing beinhalten Es wird mehr ausgelagert, als auf ersten Blick erkennbar Würden Sie es prüfen, wenn dieser Bereich nicht ausgelagert wäre? wesentlich für Unternehmen vs. für WP relevant 12 Outsourcing: Die verbreitetsten Modelle und ihre Risiken (Andreas Toggwyler) Maturitätsgrad Providerwechsel Outsourcing wird wohl kaum gemacht, um die Qualität des IKS zu verbessern Effizientes Vorgehen des Prüfers 7 Schlüsselfragen Zeit beantworten Risiken für Prüfer rasch identifizieren Risiken für Unternehmen (IKS) rasch erkennen Prozess- und Systembrüche 13

7 7 Fallstudie mit einem ausgelagerten Kernprozess Fraesy Föhn dipl. Wirtschaftsprüfer Bereichsleiter WP Partner OBT AG, Rapperswil Fallstudie mit einem ausgelagerten Geschäftsprozess (Fraesy Föhn) Bestehendes Vorgehensmodell Anwendungsprüfung sinngemäss anwenden Kategorisierung der Risiken Rechtliche/finanzielle Risiken Geschäftsprozesse Applikationen Datenbanken Betriebssystem Infrastruktur In KMU existieren praktisch keine 3rd Party Assurance- Berichte 15

8 8 Fallstudie mit einem ausgelagerten Geschäftsprozess (Fraesy Föhn) Analyse von Bilanz und Erfolgsrechnung Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und der wichtigsten IT-relevanten Schnittstellen Identifikation der Risiken und Schlüsselkontrollen Walk-through Beurteilung des Kontroll-Designs Beurteilung der Umsetzung der Kontrollen Gesamtbetrachtung und Ergebnisfindung Bei welchem Schritt im Vorgehensmodell wird Grad des Outsourcing erkennbar und was heisst das? Outsourcing erkennbar Prüfungsauswirkungen 1: eher nein spielt noch keine Rolle 2: ja vielleicht Input Planung 3: ja hoffentlich aufzeigen von AKV 4: ja, mehr Risiken identifizierbar 5: ja vielleicht durchführbar 6: ja z.t. Abstützen auf Bericht 7: ja z.t. Abstützen auf Bericht 8: vielleicht eher nein 16 Outsourcing: Fallstudie mit ausgelagertem System Alain Beuchat Partner, Head IT Advisory KPMG AG, Zürich

9 9 Fallstudie mit ausgelagertem System (Alain Beuchat) Ganzes Bild anschauen aber relevante IT erkennen anwendungsspezifische ITGC sind wichtiger als alle ITGC einige ITGC sind aus Optik finanz. Berichterstattung weniger wichtig als andere bei einigen ITGC kann ich als kleiner Kunde sowie nichts machen Outsourcing spielt für Scoping (eigentlich) keine Rolle 18 Fallstudie mit ausgelagertem System (Alain Beuchat) ISAE3402-Bericht X deckt nicht alle regulatorischen Anforderungen ab Verschiedene Prüfansätze Eigene Prüfungen vornehmen Andere Prüfer beauftragen (wo diese bereits Prüfungen durchführen) Änderung der Prüfstrategie vergiss Funktionsprüfungen Blackbox-Ansatz (vorwiegend Abstimmkreise; kann Kontroll-orientiert sein) Abstützung auf externem Bericht 19 aber bitte nicht auf ISO27001

10 10 Cloud computing: où est la nouveauté? Michel Huissoud lic. droit, CISA, CIA expert-réviseur agréé ASR vice-directeur Contrôle fédéral des finances membre de la commission informatique de la Chambre fiduciaire Cloud computing: où est la nouveauté? (Michel Huissoud) Cloud Computing ist aus Prüfersicht nicht wirklich neu klassische Auditansätze für Outsourcing funktionieren einigermassen gut Landesgrenzen spielen plötzlich eine grosse Rolle es gibt keinen Grund, warum Outsourcing oder Cloud- Computing die bisherigen Probleme plötzlich löst -> Risiken bleiben bestehen 21

11 11 Cloud computing: où est la nouveauté? (Michel Huissoud) Prüfer sollte sich vermehrt auf Auftraggeber von Outsourcing konzentrieren Cloud Computing die wichtigsten Fragen werden durch Prüfer kaum je gestellt Beaufsichtigung des Providers (im Sinne von Governance) Preis-Leistung Ausstiegsszenarien die meisten Cloud-Anbieter geben Prüfern gar keine Chance für weitergehende Prüfungen Einkauf von Cloud-Services geht nicht mehr über IT 22

12 12 Warum ist PS 402 bald nicht mehr aktuell? Jürg Brun Partner Advisory Ernst & Young, Zürich Warum ist PS402 bald nicht mehr aktuell? (Jürg Brun) Effectiveness of Service Organization Controls Service Organization Controls Report Financial Statement Accounts Specific Business Processes Specific Computing Applications General IT Processes Effectiveness of ABC User Organization s Controls Outsourcing verlagert die Verantwortung noch mehr zum Auftraggeber Wichtige Fragestellungen wer bestimmte Tätigkeiten (Transaktionen) genehmigt wer die durchgeführten Tätigkeiten aufzeichnet und archiviert wie genau die Schnittstellen technisch wie organisatorisch aussehen was ist für alle Kunden relevant vs. was ist für ein Kunde relevant 25

13 13 Warum ist PS402 bald nicht mehr aktuell? (Jürg Brun) Fokus Prüfgesellschaft des Servicebezügers Intern. Prüfungsstandard Schweiz. Prüfungsstandard Unternehmen, die DLO in Anspruch nehmen Auswirkung auf die ISA 402 PS 402 Abschlussprüfung Typ A: Bericht über die Angemessenheit der Konzeption / Typ B: Zusätzlich die Wirksamkeit des Funktionierens BERICHT GEHT VON DLO AN SERVICEBEZÜGER Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard Zusammenfassende Bestätigung zu Kontrollen der DLO hinsichtlich N/A AT Section 101 SOC 3 Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz (SysTrust Principles) Ohne Testbeschreibung Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard Kontrollen der DLO hinsichtlich Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz ISAE 3000 AT Section 101 SOC 2 (SysTrust Principles) Typ Reasonable Ass. & Typ Lim. Ass. Typ 1 & 2 Fokus Kontrollziele und Kontrollen Internationaler Berichtsstandard Amerikanischer Berichtsstandard Kontrollen der Dienstleistungsorganisation ISAE 3402 SSAE No. 16 (früher SAS 70) SOC 1 (DLO) hinsichtlich finanzielle Typ 1: Design der Kontrollen / Typ 2: Zusätzlich periodenweise Umsetzung Berichterstattung ERSTELLEN EINES BESTÄTIGUNGSBERICHTS ISAE 3000: ASSURANCE ENGAGEMENTS OTHER THAN AUDITS OR REVIEWS OF HISTORICAL FINANCIAL INFORMATION Für jeden Verwendungszweck gibt es den richtigen Bericht aber es kommt auch in Zukunft drauf an, wer den Bericht erstellt hat Prüfer sollte sich (mehr?) fokussieren auf andere Outsourcing-Risiken Rechts-, Reputations- und Strategie-Risiken Gerade für Service-Provider (& Cloud-Anbieter) wird z.b. die soziale Reputation immer wichtiger Fokus IT auf klassische Sicherheit Relevanz von DL-Aktivitäten Art, Äuftragsbedingungen, Inhärentes Risiko, Interne Kontrollen, Leistungsfähigkeit und Finanzkraft, Informationen über die Dienstleistungsorganisation, Information über interne Kontrollen usw. 26 Und jetzt?

14 14 Begriffsdefinitionen (I) Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli Begriffsdefinitionen (II) Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli

15 15 IT-Risikoanalyse für KMU & IT-Prüfungen in Outsourcing-Situationen Alle Folien ab nächste Woche auf Schauen Sie bei vorbei: dort gibt es bald COBIT for Assurance Kommen Sie gut nach Hause Und kommen Sie nächstes Jahr wieder! Eine Veranstaltung der Educaris AG Akademie der Treuhand-Kammer in Zusammenarbeit mit ISACA Switzerland Chapter