Übersicht der Fehler

Transkript

1 1 Fehler vermeiden! Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer Wie man es nicht verwenden sollte Peter R. Bitterli, CISA, CISM, CGEIT Bitterli Consulting AG & BPREX Group AG Übersicht der Fehler IT-Risikoanalyse für Finanz- und IT-Prüfer Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer ITACS Training Geschäftsprozesse IT-Anwendungen IT-Basissysteme IT-Infrastruktur KMU falsch definiert (1) bei ordentlicher Prüfung zum falschen Zeitpunkt (2) als Wundermittel (3) als Revisionsbericht (4) Umsetzungs-/Anwendungsfehler Phase I (5) Phase II (6) Weitere Fehler (7) 2

2 2 Zweck des Kurz-Checks 3 Einschränkungen Innerhalb und ausserhalb PS890 gilt es zu beachten Kurz-Check als Teil der (IT-) Risikoanalyse Erste Bestandesaufnahme Abhängigkeit IKS von Informatik (Phase 1) Reifegrad der Informatik (Phase 2) keine eigentlichen Prüfungshandlungen indirekter Rückschluss auf Risiken Wichtig: Phase I: durch WP/Treuhänder Phase II: Beurteilung durch IT-Spezialisten ist kostengünstiger 4

3 3 Fehler 1 KMU falsch definiert Vorgehensmodell für KMU-Prüfer := alle Prüfungsgesellschaften ausser: Deloitte Ernst & Young KPMG PWC Begründung: Diese Prüfungsgesellschaften verfügen über eigene, in aller Regel international standardisierte Prozesse usw. für die Risikoanalyse der IT als Teil der strategischen Prüfungsplanung die anderen Prüfer eher nicht 5 Fehler 2 Ord. Prüfung: Zeitpunkt Vorgehen gemäss dem alten Schweizerischen Handbuch für Wirtschaftsprüfung Moderner Prüfungsansatz (HWP 3.22) Phase 1 Prüfungsvorbereitung Phase 2 Prüfungsplanung Falsch: gleichzeitig oder nach Prüfung Richtig: frühzeitig jährlich? Phase 3 Phase 4 Wesentlichkeit Interne Kontrollen vor der Prüfungsdurchführung strategische Planung Risikobeurteilung Analyse Informatik der Jahresrechnung Strategiefestlegung Detailplanung Prüfungsdurchführung Prüfungsabschluss & Berichterstattung 6 Datenmenge

4 4 Fehler 3 Ord. Prüfung: Wundermittel Falsch: IT-Risikoanalyse sagt dem Abschlussprüfer, was er genau anzuschauen hat Richtig: Finanzprüfer: Scope, Ziele usw. festlegen grobe Vorgehensplanung für Revision aufstellen Erkenntnisse aus IT-Risikoanalyse berücksichtigen 7 Fehler 4 Ord. Prüfung: Revisionsbericht Falsch: IT-Risikoanalyse als eigentlichen Revisionsbericht mit allem drum und dran verkaufen Richtig: Ergebnisse kann man als Aktennotiz durchaus dem Kunden abgeben; gibt Erkenntnisse über Abhängigkeit des Unternehmens von der IT und über allenfalls nicht ausreichende Maturität 8

5 5 Typischer Inhalt Kurzbericht Zusätzlicher Nutzen für Prüfer/Beratung und Kunde Auftrag, Vorgehen und Berichterstattung Gesamtbeurteilung Details zu den Informatik-Prozessen Feststellungen, Beurteilung, Empfehlungen Details zu den Informatik-Anwendungen Feststellungen und Beurteilung Empfehlungen Ergänzende Details aus Self-Assessment Schlusswort 9 Fehler 5 Umsetzung: Phase I Erkennung der Abhängigkeit von der IT Falsch: jeder Wirtschaftsprüfer kann das versuchen, die Dinge schön zu reden Ergebnisse als Risiken zu verkaufen Farben als Risiken zu sehen Richtig: Der einschätzende Prüfer muss ein gutes Grundverständnis des Informatikeinsatzes in diesem Unternehmen mitbringen 10

6 6 Inhalte Phase 1 Übersicht 15 Themen zu bewerten in vier Stufen Seite 9 11 Geschäftsstrategie und IT Inhalte der Phase 1 Seite 9 12

7 7 Ergebnisse Phase I IT-Risikoanalyse für Finanz- und IT-Prüfer: Überblick 13 Fehler 6 Umsetzung: Phase II Bewertung des Reifegrads von IT-Kontrollen Falsch: jeder IT-Prüfer kann das versuchen, die Dinge schön zu reden nur Ergebnisse ankreuzen und keine Notizen machen Richtig: 2 Prüfer gleichzeitig einsetzen; mindestens der Interviewer muss viel Erfahrung mitbringen konsequent protokollieren 14

8 Schema und erfüllen ihren Zweck nicht. f. Kat Titel am höchsten hoch mittel gering eg Maturitätsstufe 0 Maturitätsstufe 1 Maturitätsstufe 2 Maturitätsstufe 3 ori e 1 Übersicht IT-Infrastruktur Es besteht keine Übersicht über die Informatik-Infrastruktur. Es besteht eine veraltete (älter als 1 jahr) Übersicht über die Informatik- Eine aktuelle Übersicht der wesentlichen Komponenten der Informatik- Infrastruktur. Infrastruktur (Systeme und Vernetzung) besteht. Beschaffungs-, Projekt- und Es besteht ein erhebliches Risiko von länger dauernden Änderungsprozesse führen nicht zwangsläufig zu einer Aktualisierung dieser Dienstleistungsstörungen oder -unterbrüchen infolge schlecht Es besteht ein grosses Risiko von länger dauernden Dienstleistungsstörungen Übersicht. abgestimmter Änderungen und Implementationen. oder -unterbrüchen infolge schlecht abgestimmter Änderungen und Implementationen. Es besteht das Risiko, dass Dienstleistungsstörungen oder -unterbrüche infolge nicht-aktueller Informationen grössere Auswirkungen haben. 2 Hardware-Inventare Es besteht kein Hardware-Inventar. Es besteht ein veraltetes (älter als 1 Jahr) Hardware-Inventar. Ein Hardware-Inventar wird aktuell geführt; Beschaffungsprozesse stellen jedoch die zwingende Aktualisierung dieses Inventars nicht sicher. Es besteht ein erhebliches Risiko, dass Infrastrukturpflege-Prozesse Es besteht ein grosses Risiko, dass Infrastrukturpflege-Prozesse (Versicherung, Anpassung/Abschluss allfälliger Wartungsverträge. (Versicherung, Beschaffung, usw.) aufgrund einer schlechten Beschaffung, usw.) aufgrund einer schlechten Datenbasis nicht effektiv Es besteht das Risiko, dass Infrastrukturpflege-Prozesse (Versicherunge, Datenbasis nicht effektiv funktionieren. funktionieren. Beschaffung, usw.) aufgrund einer schlechten Datenbasis nicht effektiv funktionieren. 3 Software-Inventare Es besteht kein Software-Inventar. Es besteht ein veraltetes (älter als 1 Jahr) Software-Inventar. Ein Software-Inventar (auch für die Lizenzkontrolle) wird aktuell geführt; Beschaffungsprozesse stellen jedoch die zwingende Aktualisierung dieses Es besteht ein erhebliches Risiko, dass Infrastrukturpflege-Prozesse Es besteht ein grosses Risiko, dass Infrastrukturpflege-Prozesse (Lizenzierung, Inventars nicht sicher. (Lizenzierung, Beschaffung, usw.) aufgrund einer schlechten Beschaffung, usw.) aufgrund einer schlechten Datenbasis nicht effektiv Datenbasis nicht effektiv funktionieren. funktionieren. Es besteht das Risiko, dass Infrastrukturpflege-Prozesse (Lizenzierung, Beschaffung, usw.) aufgrund einer schlechten Datenbasis nicht effektiv funktionieren. 4 Verträge und Dienstleistungsvereinbarungen Dritten, obwohl Leistungen bezogen werden. relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner); diese ist jedoch relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Es bestehen kaum Verträge zwischen dem Informatikbereich und Es bestehen eine Übersicht/Zusammenstellung von im Informatikbereich Es besteht eine Übersicht/Zusammenstellung aller im Informatikbereich unvollständig und nicht aktuell. Es besteht ein erhebliches Risiko, dass erwartete Dienstleistungen Es besteht das Risiko, dass im Falle von Auseinandersetzungen mit Driten nicht erbracht und erbrachte Dienstleistungen nicht korrekt verrechnet Es besteht ein grosses Risiko, dass erwartete Dienstleistungen nicht Bestandteil relevante Vertrags-Informationen nicht oder nur lückenhaft zur Verfügung werden. der bestehenden Verträge sind, dass redundante Verträge bestehen oder das stehen. Unternehmen durch schlecht aufgesetzte Verträge zu hohe Kosten hat. 5 6 Verantwortlichkeiten Die Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz Die Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz von IT- Die meisten Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz von IT-Ressourcen sind nicht geregelt. Ressourcen werden in der Regel informell übertragen. von IT-Ressourcen sind schriftlich dokumentiert. Die Dokumentation wird jedoch nicht zentral verwaltet und ist teilweise veraltet. Es besteht ein erhebliches Risiko, dass wichtige Aufgabenbereiche Es besteht ein grosses Risiko, dass wichtige Aufgabenbereiche vernachlässigt vernachlässigt werden, was zu gravierenden Fehlern und Ausfällen werden, was zu Fehlern und Ausfällen führen kann. Es besteht das Risiko, dass einzelne Aufgaben nicht korrekt ausgeführt werden. führen kann. 7 Architektur / Technologie Neue Technologien werden umgehend eingeführt, ohne dass ihr Neue Technologien werden umgehend eingeführt, wenn sie einen wirtschaftlichen Neue Technologien werden erst eingeführt, wenn sie sich am Markt etabliert wirtschaftlicher oder strategischer Nutzen und ihr korrektes oder strategischen Vorteil versprechen. Vor dem ersten Einsatz werden teilweise haben und Referenzen verfügbar sind. Vor dem ersten Einsatz werden die Funktionieren in der bestehenden Umgebung nachgewiesen ist. technische Abklärungen durchgeführt. üblichen Tests durchgeführt. Es besteht ein erhebliches Risiko, dass Inkompatibilitäten zwischen Es besteht ein grosses Risiko, dass Inkompatibilitäten zwischen bestehenden und Es besteht das Risiko, dass Inkompatibilitäten zwischen bestehenden und neuen bestehenden und neuen Produkten zu Fehlern und Datenverlust neuen Produkten zu Fehlern und Datenverlust führen. Zudem besteht ein grosses Produkten zu Fehlern und zu Datenverlust führen. führen. Zudem besteht ein grosses Risiko, dass diese Technologien Risiko, dass diese Technologien sich am Markt nicht durchsetzen und wieder sich am Markt nicht durchsetzen und wieder verschwinden, womit die verschwinden, womit die weitere Verfügbarkeit der Produkte und der davon weitere Verfügbarkeit der Produkte und der davon abhängiger IT- abhängiger IT-Systeme gefährdet ist. Systeme gefährdet ist. Eine aktuelle Übersicht der gesamten Informatik-Infrastruktur (Systeme und Vernetzung) besteht. Beschaffungs-, Projekt- und Änderungsprozesse beinhalten die zwingende Aktualisierung dieser Übersicht. Ein Hardware-Inventar wird aktuell und vollständig geführt. Beschaffungs- und Projektprozesse beinhalten die zwingende Aktualisierung dieses Inventars sowie Ein Software-Inventar (auch für die Lizenzkontrolle) wird aktuell und vollständig geführt. Beschaffungs- und Projektprozesse beinhalten die zwingende Aktualisierung dieses Inventars sowie die Klärung allfälliger Lizenzierungs- und Nachlizenzierungsfragen. Es besteht eine Übersicht/Zusammenstellung aller im Informatikbereich relevanten Verträge mit Dritten (Lieferanten, Kunden, Partner). Sie wird zentral und aktuell geführt und beinhaltet alle Verträge sowie zugehörigen Dokumente wie SLA usw. Die Verantwortlichkeiten für Einführung, Betrieb, Unterhalt und Schutz von IT- Ressourcen sind in Stellen- oder Porzessbeschreibungen schriftlich dokumentiert. Diese Dokumentationen werden bei Bedarf aber mindestens jährlich überprüft und angepasst. Neue Technologien werden systematisch evaluiert und auf ihre Bedeutung für die IT-Strategie geprüft. Vor dem ersten Einsatz werden neue Produkte auf Funktionalität, Zuverlässigkeit und Kompatibilität ausserhalb der produktiven Umgebung umfassend getestet. 8 Funktionentrennung Es besteht innerhalb der IT keine Funktionentrennung; kritische Es besteht innerhalb der IT nur eine rudimentäre, informelle Es besteht eine Funktionentrennung für kritische IT-Funktionen; diese ist aber Es wird innerhalb des IT-Fachbereichs konsequent auf eine funktionale Funktionen (z.b. Entwickler/Operator) werden nicht getrennt. Funktionentrennung; kritische Funktionen (z.b. Entwickler/Operator) werden nicht dokumentiert und wird nicht weiter überwacht. Funktionentrennung geachtet; diese ist in den Aufgabenbeschreibungen nicht getrennt. dokumentiert und deren Einhaltung wird ständig überwacht. Es besteht ein erhebliches Risiko, dass kritische Arbeiten an Systemen Es besteht das Risiko, dass die Funktionentrennung nicht nachhaltig umgesetzt und Applikationen unkontrolliert vorgenommen werden können. Es besteht ein grosses Risiko, dass kritische Arbeiten an Systemen und werden kann und Verstösse nicht oder nur verspätet bemerkt werden. Applikationen unkontrolliert vorgenommen werden können. 9 Stellvertretung Es besteht innerhalb der IT keine Stellvertretungsregelung. Es besteht innerhalb der IT nur eine rudimentäre Stellvertretungsregelung. Für die wichtigsten Positionen innerhalb der IT sind Stellvertretungen definiert Für alle wesentlichen Positionen innerhalb der IT sind Stellvertretungen aber kaum geschult; entsprechende Dokumentationen sind teilweise vorhanden vorhanden und geschult; entsprechende aktuelle Dokumentationen ermöglichen Es besteht ein erhebliches Risiko, dass der Ausfall von Einzelpersonen Es besteht ein grosses Risiko, dass der Ausfall von Einzelpersonen bereits im und unterstützen die Durchführung der Tätigkeiten durch den/die Stellvertreter. de facto die Durchführung der Tätigkeiten durch den/die Stellverterter. bereits im normalen IT-Betrieb zu Problemen führt und der Betrieb nur normalen IT-Betrieb zu Problemen führt und der Betrieb nur unter unter Schwierigkeiten aufrecht erhalten werden kann. Schwierigkeiten aufrecht erhalten werden kann. Es besteht das Risiko, dass der Ausfall von Einzelpersonen sich nach einigen Tagen auf den IT-Betrieb auswirkt und die Bewältigung von IT-Problemen nicht möglich ist. 0 Freigabeverfahren für IT- Es existieren keine Freigabeverfahren für Änderungen im IT- Es existieren informelle Freigabeverfahren für Änderungen im IT- Für sämtliche IT-Infrastrukturbereiche sind formelle Freigabeverfahren für Für sämtliche IT-Infrastrukturbereiche sind formelle Freigabeverfahren für Infrastrukturänderungen Infrastrukturbereich. Infrastrukturbereich. Änderungen definiert, diese können jedoch umgangen oder ausgelassen werden. Änderungen definiert. Ihre Einhaltung wird durchgesetzt und regelmässig überprüft. Änderungsanträge ohne die notwendigen Freigaben werden Es besteht ein erhebliches Risiko, dass falsche oder fehlerhafte Es besteht ein grosses Risiko, dass falsche oder fehlerhafte Änderungen Es besteht das Risiko, dass fehlerhafte Änderungen umgesetzt werden, die zu konsequent zurückgewiesen. Änderungen umgesetzt werden, die zu Störungen führen oder umgesetzt werden, die zu Störungen führen oder unberechtigte Aktivitäten Störungen führen oder unberechtigte Aktivitäten ermöglichen. unberechtigte Aktivitäten ermöglichen. ermöglichen. 1 Nachvollziehbarkeit von Freigaben für Änderungen an der IT-Infrastruktur werden nicht Es existieren kaum Aufzeichnungen von Freigaben für Änderungen an der IT- Die meisten Freigabevorgänge für Änderungen an der IT-Infrastruktur sowie die Alle Freigabevorgänge für Änderungen an der IT-Infrastruktur sowie die Freigaben für IT- schriftlich festgehalten. Infrastruktur. Änderungen selbst werden aufgezeichnet; eine Überwachung findet hingegen nur Änderungen selbst werden lückenlos aufgezeichnet. Die Einhaltung der Infrastrukturänderungen punktuell statt. Freigabeprozesse wird laufend überwacht und regelmässig kontrolliert. Es besteht ein erhebliches Risiko, dass falsche oder fehlerhafte Es besteht ein grosses Risiko, dass falsche oder fehlerhafte Änderungen und Änderungen und unberechtige Aktivitäten nicht entdeckt resp. nicht unberechtigte Aktivitäten nicht entdeckt resp. nicht nachvollzogen werden Es besteht das Risiko, dass falsche oder fehlerhafte Änderungen an der ITnachvollzogen werden können. können. Infrastruktur unentdeckt bleiben und nicht nachvollzogen werden können. 2 Kostenkontrolle IT-Kosten werden in der Buchhaltung nicht nach klaren Vorgaben Kosten für die IT werden budgetiert und laufend erfasst. Eine Aufschlüsselung zu Kosten für die IT werden global budgetiert und laufend erfasst. Eine Es gibt einen umfassenden Prozess zur finanziellen Kontrolle aller IT-Aktivitäten einheitlich behandelt. Die Zurechnung von Kosten und Zeiten zu IT- einzelnen IT-Aktivitäten findet jedoch nicht statt. Bei Projekten erfolgt keine Aufschlüsselung zu einzelnen IT-Aktivitäten findet jedoch nicht statt. Bei und IT-Projekte inkl. Planung, Budgetierung, Kosten- und Zeiterfassung und Aktivitäten ist nicht möglich. Nachkalkulation. grösseren Projekten erfolgt eine Nachkalkulation, wobei wesentliche Ergebniskontrolle. Abweichungen werden systematisch analysiert. Überschreitungen begründet werden. Es besteht ein erhebliches Risiko, dass Investitionen in resp. die Es besteht ein grosses Risiko, dass Investitionen in resp. die Kosten von IT- Kosten von IT-Aktivitäten unwirtschaftlich sind. Aktivitäten nicht wirtschaftlich getätigt werden. Es besteht das Risiko, dass Investitionen in resp. die Kosten von IT-Aktivitäten nicht wirtschaftlich getätigt werden. 3 4 Abgestimmte IT- Infrastruktur Beschaffung, Betrieb und Wartung der IT-Infrastruktur folgen einer vom Business unabhängigen Strategie. Es besteht ein erhebliches Risiko, dass IT-Betrieb und IT-Infrastruktur die Geschäftsziele nicht im erforderlichen Masse unterstützen. 5 Vorgaben für IT (SLA) Zwischen der IT-Abteilung und den Fachabteilungen (Benutzern) bestehen keinerlei Leistungsvereinbarungen bezüglich Servicezeiten, Verfügbarkeit und Performance der IT-Dienstleistungen. Es besteht ein erhebliches Risiko, dass die erbrachten IT- Dienstleistungen die eigentlichen Geschäftsziele nur unzureichend unterstützen. 6 IT-Governance Es findet keine Steuerung der Informatik-Organisation und IT- Prozessn statt. Es besteht ein erhebliches Risiko, dass wichtige Kernprozesse zur Steuerung und Überwachung der Informatik (z.b. Change Mgmt., Service Mgmt. usw.) fehlen und der Normalbetrieb nicht aufrecht erhalten werden kann. 7 Dokumentation der IT- Prozesse IT-Prozesse und zuständige Verantwortlichkeiten werden nicht kommuniziert. Einzelpersonen sind frei in ihrer Tätigkeit. Es findet keinerlei Überwachung und Kontrolle statt. Es besteht ein erhebliches Risiko, dass uneinheitlich gehandhabte Vorgänge bereits im Normalbetrieb zu Fehlern und Störungen führen. Im Störungsfall ist eine Behebung stark erschwert. Daten und die Zugriffsrechte der Benutzer regelt. Es besteht ein erhebliches Risiko, dass die Benutzer zu umfassende Zugriffsrechte besitzen und damit die Integrität, Vertraulichkeit und Verfügbarkeit der Daten nicht gewährleistet ist. 8 Zugriffsschutzkonzept Daten Es besteht kein Zugriffsschutzkonzept, das die Klassifizierung der 9 Zugriffsschutzkonzept Anwendungen Es besteht kein Zugriffsschutzkonzept, das die Zugriffsrechte der Benutzer auf die Applikationen und die darin verfügbaren Applikationsfunktionen regelt. Es besteht ein erhebliches Risiko, dass die Benutzer zu umfassende Zugriffsrechte besitzen und damit die Integrität, Vertraulichkeit und Verfügbarkeit der Daten nicht gewährleistet ist. Beschaffung, Betrieb und Wartung der IT-Infrastruktur folgen keiner Das Unternehmen achtet darauf, dass die IT-Infrastruktur abgestimmt auf die Es besteht ein formalisierter Prozess, der sicherstellt, dass IT-Infrastruktur übergeordneten, aus den Geschäftszielen abgeleiteten Strategie. Orientiert sich Geschäftsziele beschafft, betrieben und gewartet wird; es existiert hierzu jedoch abgestimmt auf die Geschäftsziele beschafft, betrieben und gewartet wird. im Ansatz aber am Business. kein formalisierter Prozess. Es besteht ein grosses Risiko, dass IT-Betrieb und IT-Infrastruktur die Es besteht das Risiko, dass die Ausrichtung der IT auf die Geschäftsziele nicht Geschäftsziele nicht im erforderlichen Masse unterstützen. nachhaltig ist. In der IT-Abteilung bestehen Leistungsziele für die Erbringung ihrer Services. Zwischen der IT-Abteilung und den Fachabteilungen (Benutzer) bestehen Zwischen der IT-Abteilung und den Fachabteilungen (Benutzern) bestehen Diese sind nicht kommuniziert oder mit den Fachabteilungen abgesprochen. informelle Leistungsvereinbarungen bezüglich Servicezeiten, Verfügbarkeit und formelle Leistungsvereinbarungen bezüglich Servicezeiten, Verfügbarkeit und Performance der IT-Dienstleistungen; diese sind jedoch nicht vollständig Performance der IT-Dienstleistungen in Form von schriftlichen SLA. Diese werden Es besteht ein grosses Risiko, dass die IT-Dienstleistungen aufgrund unklarer dokumentiert und werden nicht periodisch auf ihre Einhaltung geprüft. periodisch auf ihre Einhaltung geprüft. Vereinbarungen nicht konsequent oder nur mit erheblicher Verzögerung an die Bedürfnisse der Fachbereiche angepasst werden. Es besteht das Risiko, dass die IT-Dienstleistungen aufgrund unklarer Vereinbarungen nicht konsequent an die Bedürfnisse der Fachbereiche angepasst werden. Die Gestaltung und Steuerung von Informatik-Organisation und -Prozessen Die Gestaltung und Steuerung von Informatik-Organisation und IT-Prozessen Die Gestaltung und Steuerung von Informatik-Organisation und IT-Prozessen orientieren sich an keinerlei Standards, sondern sind Eigenentwicklungen. orientieren sich an Standards wie COBIT (Governance), ITIL (Service- werden gemäss Standards wie COBIT (Governance), ITIL (Service-Management) Management) sowie ISO & (Sicherheits-Management). sowie ISO & (Sicherheits-Management) konsequent umgesetzt. Es besteht ein grosses Risiko, dass wichtige Kernprozesse zur Steuerung und Überwachung der Informatik (z.b. Change Mgmt., Service Mgmt. usw.) fehlen Es besteht das Risiko, dass wichtige Kernprozesse zur Steuerung und und Störungen und Unterbrüche gravierender ausfallen. Überwachung der Informatik (z.b. Change Mgmt., Service Mgmt. usw.) nur lückenhaft implementiert sind und der Informatikbetrieb damit anfälliger ist für Störungen und Unterbrüche. Die IT-Prozesse und zuständigen Verantwortlichkeiten werden informell Nur die wichtigsten IT-Prozesse und zuständigen Verantwortlichkeiten sind Alle relevanten IT-Prozesse und zuständigen Verantwortlichkeiten sind schriftlich, kommuniziert und Einzelpersonen sind weitgehend frei in ihrer Tätigkeit. Es schriftlich festgehalten; diese Dokumentation ist nicht zwingend aktuell und aktuell und den Tatsachen entsprechend dokumentiert; ihre Einhaltung wird findet keinerlei Überwachung und Kontrolle statt. korrekt. Die Einhaltung dieser Prozesse wird nur sporadisch überwacht; laufend überwacht und regelmässig kontrolliert. Kontrollen finden nur nach aussergewöhnlichen Ereignissen statt. Es besteht ein grosses Risiko, dass uneinheitlich gehandhabte Vorgänge bereits im Normalbetrieb zu Fehlern und Störungen führen. Im Störungsfall ist eine Es besteht das Risiko, dass aufgrund fehlender Dokumentation vom effiziente Behebung nicht möglich. Normalbetrieb abweichende Aktivitäten nicht richtig gehandhabt werden. Es besteht ein informelles Zugriffsschutzkonzept, das die Klassifizierung der Es besteht ein Zugriffsschutzkonzept, das die Klassifizierung der Daten und die Es besteht ein Zugriffsschutzkonzept, das die Klassifizierung der Daten und die Daten und die Zugriffsrechte der Benutzer regelt; jedoch wurde es den Benutzern Zugriffsrechte der Benutzer regelt; es wird jedoch nicht regelmässig auf Zugriffsrechte der Benutzer regelt. Es wird regelmässig auf Einhaltung und nicht durchgängig kommuniziert. Einhaltung überprüft und aktualisiert. Effektivität überprüft und bei Bedarf aktualisiert. Es besteht ein grosses Risiko, dass die Benutzer zu umfassende Zugriffsrechte Es besteht das Risiko, dass das Konzept und die darauf basierenden besitzen und damit die Integrität, Vertraulichkeit und Verfügbarkeit der Daten Zugriffsrechte nicht mehr den aktuellen Anforderungen genügen und die nicht gewährleistet ist. Benutzer weitreichendere als nötig oder zu stark eingeschränkte Zugriffsmöglichkeiten haben. Es besteht ein informelles Zugriffsschutzkonzept, das die Zugriffsrechte der Benutzer auf die Applikationen und die darin verfügbaren Applikationsfunktionen regelt; jedoch wurde es den Benutzern nicht durchgängig kommuniziert. Es besteht ein grosses Risiko, dass die Benutzer zu umfassende Zugriffsrechte besitzen und damit die Integrität, Vertraulichkeit und Verfügbarkeit der Daten nicht gewährleistet ist. Es besteht ein Zugriffsschutzkonzept, das die Zugriffsrechte der Benutzer auf die Applikationen und die darin verfügbaren Applikationsfunktionen regelt; es wird jedoch nicht regelmässig auf Einhaltung überprüft und aktualisiert. Neue Applikationen werden nicht oder stark zeitverzögert berücksichtigt. Es besteht das Risiko, dass das Konzept und die darauf basierenden Zugriffsrechte nicht mehr den aktuellen Anforderungen genügen und die Benutzer zu weitreichende oder zu eingeschränkte Zugriffsmöglichkeiten haben. Neue Applikationen werden mit einem bereits veralteten Zugriffsschutz ausgestattet. Es besteht ein Zugriffsschutzkonzept, das die Zugriffsrechte der Benutzer auf die Applikationen und die darin verfügbaren Applikationsfunktionen regelt. Es wird regelmässig auf Einhaltung und Effektivität überprüft und bei Bedarf aktualisiert Risiko-Management IT-Risiken und Sicherheitserfordernisse werden nicht erhoben oder IT-Risiken und Sicherheitserfordernisse werden nur nach sicherheitsrelevanten IT-Risiken und Sicherheitserfordernisse werden in unregelmässigen Abständen IT-Risiken und Sicherheitserfordernisse werden periodisch und systematisch geprüft. Ereignissen geprüft. Die Umsetzung von geplanten Verbesserungsmassnahmen oder wenig systematisch hinterfragt. Geplante Verbesserungsmassnahmen hinterfragt und durch ein regelmässiges Control Self Assessment aktiv bearbeitet. wird nicht überwacht. werden nur teilweise überwacht. Die vollständige Umsetzung geplanter Verbesserungsmassnahmen wird zeitnah Es besteht ein erhebliches Risiko, dass die IT-Infrastruktur und überwacht. sämtliche darauf befindlichen Daten bezüglich Vertraulichkeit, Es besteht ein grosses Risiko, dass die IT-Infrastruktur und sämtliche darauf Es besteht das Risiko, dass Risiken und Bedrohungen nicht zeitnah erkannt oder Integrität und Verfügbarkeit akut gefährdet sind. befindlichen Daten bezüglich Vertraulichkeit, Integrität und Verfügbarkeit nicht in der vereinbarten Frist vermindert werden. gefährdet sind. 22 Sicherheitspolitik IT-Sicherheitspolitik und Sicherheitskonzept sind nur rudimentär IT-Sicherheitspolitik und Sicherheitskonzept sind teilweise vorhanden, aber IT-Sicherheitspolitik und Sicherheitskonzept werden in unregelmässigen IT-Sicherheitspolitik und Sicherheitskonzept werden periodisch überprüft und an vorhanden oder fehlen vollständig. bereits älter als 1 Jahr. Abständen überprüft und angepasst. die konkrete Bedrohungslage sowie die aktuelle Geschäftsstrategie/Geschäftsziele angepasst. Es besteht ein erhebliches Risiko, dass notwendige Es besteht ein grosses Risiko, dass notwendige Sicherheitsmassnahmen fehlen, Es besteht das Risiko, dass Sicherheitsmassnahmen nicht genügend mit den Sicherheitsmassnahmen fehlen, die Erreichung der Geschäftsziele die Erreichung der Geschäftsziele wenig unterstützen oder unwirtschaftlich sind. Geschäftszielen abgestimmt und dadurch unwirksam oder unwirtschaftlich sind. kaum unterstützen oder unwirtschaftlich sind. 23 Versicherungen Es bestehen keine Versicherungen für IT-Infrastrukturen und -Geräte Für IT-Infrastrukturen und -Geräte (Hardware) bestehen teilweise Für IT-Infrastrukturen und -Geräte (Hardware) besteht eine Sachversicherung; Für IT-Infrastrukturen und -Geräte (Hardware) besteht eine Sachversicherung; (Hardware). Versicherungen; jedoch ist unklar, ob für alle möglichen Ereignisse eine der Bedarf nach weiteren Versicherungen (z.b. Datenträger/Mehrkosten, der Bedarf nach weiteren Versicherungen (z.b. Datenträger/Mehrkosten, angemessene Versicherungsdeckung besteht. Betriebsunterbruch) ist informell geklärt. Betriebsunterbruch) ist formell geklärt. Beschaffungs- und Projektprozesse Es besteht ein erhebliches Risiko, dass bei Ereignissen gravierende beinhalten die zwingende Klärung zusätzlicher Versicherungsdeckung; es besteht Schäden auftreten, welche die Überlebensfähigkeit des Unternehmens Es besteht ein grosses Risiko, dass bei Ereignissen ungedeckte Schäden Es besteht das Risiko, dass die Versicherungsdeckung aufgrund unsystematischer eine zentrale aktuelle Übersicht aller abgeschlossenen Versicherungsleistungen. gefährden. auftreten, welche die Liquidität des Unternehmens gefährden. Aktualisierung den Anforderungen im Schadensfall nicht genügt und ungedeckte Schäden auftreten können Nichteinhaltung von Die Erkennung der Anwendbarkeit von Gesetzen, Normen und Es gibt keine Vorkehrungen zur systematischen Erfassung von für das Die wichtigsten relevanten Gesetze, Normen und Vorschriften sind in den Es existiert ein definierter Prozess zur Erfassung sämtlicher relevanten Gesetze, Gesetzen / Normen / Vorschriften und der Einhaltung ist nicht geregelt. Unternehmen relevanten Gesetzen, Normen und Vorschriften und deren verschiedenen Fachabteilungen bekannt. Die Einhaltung wird bereichsweise Normen und Vorschriften sowie klare interne Kontrollen zu ihrer Einhaltung. Vorschriften Einhaltung. geregelt. Es besteht ein erhebliches Risiko, dass Verstösse von für für das Unternehmen relevanten Gesetze, Normen und Vorschriften auftreten Es besteht ein grosses Risiko, dass für das Unternehmen relevante Gesetze, Es besteht das Risiko, dass nicht alle für das Unternehmen relevanten Gesetze, aber (intern) nicht erkannt werden. Normen und Vorschriften unbekannt sind oder nicht konsequent eingehalten Normen und Vorschriften bekannt sind und in jedem Fall eingehalten werden. werden. 26 Unabhängige Prüfung der IT Es werden keine unabhängigen Prüfungen der IT-Infrastruktur und Es werden kaum unabhängige Prüfungen der IT-Infrastruktur und des IT- Es werden zwar unabhängige Prüfungen der IT-Infrastruktur und des IT- Es werden regelmässig unabhängige Prüfungen der IT-Infrastruktur und des ITdes IT-Betriebes durchgeführt. Betriebes durchgeführt. Massnahmen zur Behebung von erkannten Betriebes durchgeführt, aber nur aufgrund spezifischer Ereignisse oder Betriebes durchgeführt. Angemessene Massnahmen werden konsequent und Schwachstellen oder Lücken werden nicht umgesetzt. Anforderungen. Massnahmen zur Behebung von Schwachstellen oder Lücken zeitnah umgesetzt, die dazu notwendigen Arbeiten werden kontrolliert. Es besteht ein erhebliches Risiko, dass Schwachstellen und werden nicht konsequent umgesetzt. Verwundbarkeiten aber auch Nonkonformitäten zu internen/externen Es besteht ein grosses Risiko, dass Schwachstellen und Verwundbarkeiten aber Anforderungen nicht entdeckt werden und dies zu gravierenden auch Nonkonformitäten zu internen/externen Anforderungen nicht entdeckt Es besteht das Risiko, dass Schwachstellen und Verwundbarkeiten sowie Schadensfällen oder Verstössen führt. werden und dies zu Schadensfällen oder Verstössen führt. Nonkonformitäten zu internen/externen Anforderungen zu spät entdeckt werden und diese Zustände nicht zeitnah behoben werden IT-Projektmanagement Es besteht keine Übersicht über die informatikrelevanten Projekte. Eine teilweise Übersicht über laufende IT-Projekte besteht; es gibt jedoch keine Eine aktuelle Übersicht aller informatikrelevanten Projekte besteht; es besteht Es wird ein unternehmensweites Projekt-Portfolio gepflegt, dass auch alle weiterführende Dokumentationen. jedoch keine zwingende Abstimmung mit einem unternehmensweiten Portfolio informatikrelevanten Projekte einschliesst. Der Projektprozess beinhaltet die Es besteht ein erhebliches Risiko, dass die Projekte schlecht sämtlicher Projekte. zwingende Abstimmung mit diesem Portfolie und dessen Aktualisierung. aufeinander abgestimmt sind und dadurch die Benutzeranforderungen, Es besteht ein grosses Risiko, dass die Projekte schlecht aufeinander abgestimmt Kosten- und Terminvorgaben nicht eingehalten werden können. sind und dadurch die Benutzeranforderungen, Kosten- und Terminvorgaben nicht Es besteht das Risiko, dass IT- und andere Projekte nicht optimal aufeinander eingehalten werden können. abgestimmt sind. 29 Projektaufteilung in Phasen Projekte werden kaum in Phasen unterteilt; Lieferobjekte oder Projekte werden in lange Einzelphasen ohne klare Lieferobjekte und Meilensteine Projekte werden in wenige Phasen mit Lieferobjekten unterteilt; die frühen Projekte werden eindeutig in Meilensteine sowie verschiedene Haupt- und Meilensteine fehlen zum grössten Teil. unterteilt. Planungsphasen (Pflichtenheft / Spezifikationen) werden typischerweise Unteraktivitäten mit klaren Lieferobjekten unterteilt (z.b. Pflichtenheft / zugunsten der Durchführungsphase verkürzt. Eine Projektfortschrittskontrolle Spezifikationen / Durchführung / Test / Abnahme / Einsatz); es finden Es besteht ein erhebliches Risiko für das Fehlen notwendiger Es besteht ein grosses Risiko für das Fehlen notwendiger Funktionalitäten und findet nur teilweise statt. regelmässige Sitzungen zum Projektfortschritt statt. Funktionalitäten und einer angemessenen Qualität in den einer angemessenen Qualität in den Projektergebnissen sowie von Projektergebnissen sowie von erheblichen Verzögerungen und Verzögerungen und substantiellen Mehrkosten. Es besteht das Risiko, dass die Projektergebnisse nicht den Anforderungen substantiellen Mehrkosten. entspricht, dass bestimmte Funktionen in der Planungsphase übersehen wurden und diese Punkte verspätet sowie zu grossen Mehrkosten nachträglich integriert werden müssen. 30 Projektteam Es werden keine Teams benannt, Mitarbeiter werden dynamisch und Projektleiter und Teams werden informell benannt; es gibt aber keine klaren Es werden zwar Projektleiter und Projektteams benannt, doch deren konkrete Es werden Projektleiter und Projektteams benannt und es wird klar festgelegt, unkoordiniert eingebunden. Aufgabenbeschreibungen. Eine Schulung der Projektteams in der angewandten Aufgaben wie auch der damit verbundene Zeitaufwand wurde nicht konsequent wer für welche Aufgaben mit wie viel Prozent seiner Arbeitszeit im Projekt Projektmanagementmethode hat kaum stattgefunden. eingeplant. Eine Schulung der angewandten Projektmanagementmethode hat nur engangiert. Projektleiter wie sämtliche Projektmitarbeiter sind in der Es besteht ein erhebliches Risiko, dass Projekte unzureichend teilweise stattgefunden. angewandten Projektmanagementmethode ausreichend geschult. gesteuert und überwacht werden und dass es deswegen zu Es besteht ein grosses Risiko, dass Projekte unzureichend gesteuert und gravierenden Verzögerungen, Fehlern und Mehrkosten kommt. überwacht werden und dass es deswegen zu gravierenden Verzögerungen, Es besteht das Risiko, dass Projektteams nicht über die für die Projekte nötige F hl d M h k t k t Z it d K t i fü d d d ä i IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen 8 Inhalte Phase II IT-Risikoanalyse für Finanz- und IT-Prüfer: Überblick 20 Themen / 91 Kriterien IT-relevante Dokumentation (4) Organisation der IT (7) IT-Governance (6) IT-Risikomanagement (3) Compliance (2) IT-Projektmanagement (6) Software-Entwicklung (7) Testen von Anwendungen (5) Rechnungswesen (3) direkte Anwend.kontrollen (4) unterstützende Anwendungskontrollen (5) Anwender-Richtlinien (3) Anwender-Ausbildung (3) Zugriffsschutz (5) IT-Sicherheit (6) Physische Sicherheit (3) IT-Betrieb (7) Problem Management (3) Datensicherung (5) Outsourcing (4) 15 ab Seite 25 Inhalte Phase II 91 Kriterien zu bewerten in 4 Stufen IT-Projektmanagement Compliance IT-Risk Management IT-Governance Organisation der IT IT-relevante Dokumentation 16

9 9 Fehler 7 Sonstige Fehler Falsch: nur für externe Revision nur für Abschlussprüfung keinen Mehrwert schaffen Richtig: auch für interne Revision auch für Jahresplanung mehrerer Revisionen auch für Planung von Anwendungsprüfungen Kurzbericht erstellen und an Kunden abgeben auch für CIO und GL/VR 17 Anwendungs-Varianten (I) Soll-Profil generieren und mit Ist-Profil vergleichen 18

10 10 Anwendungs-Varianten (II) Kurzbericht mit Erkenntnissen der Untersuchung abgeben 4.14 Datensicherung Feststellungen als Text: Es besteht ein schriftliches Sicherungskonzept, datiert vom Januar 200x; IT-Querschnittsprüfung dieses wurde nicht formell genehmigt. An Werktagen werden vollständige Sicherungen erstellt, wobei für den Freitag 4 Tapes vorhanden sind (Woche 1-4). Wiederherstellungstests zur Überprüfung der Lesbarkeit werden keine durchgeführt. Die Backup-Bänder werden nicht ausser ca. 1 2 Wochen vor Ort, Dokumentenprüfung, Bericht ab 10 Tage Haus gelagert, sondern in einer Schublade des zuständigen IT-Verantwortlichen. Ein IT-Notfallplan existiert nicht. Ermittelter Reifegrad: Sicherungskonzept Sicherungsprozess Ein Datensicherungskonzept ist dokumentiert und wird in der Regel angewendet; es wurde aber nie formell verabschiedet. Es werden tägliche Sicherungen durchgeführt, aber nicht auf Vollständigkeit überprüft. Handlungsbedarf formelle Verabschiedung des Backup-Konzeptes Durchführung regelmässiger Wiederherstellungstests Auslagerung der Bänder ausser Haus Definition eines IT-Notfallplans IT-Notfallplan Wiederherstellungstest Datenauslagerung Es werden keine systematischen Tests zum Zurückladen der Sicherungen durchgeführt. Es wurden kaum Überlegungen zum Thema IT-Notfallplan angestellt. Es werden keine ausreichend aktuellen Datensicherungen an einem Standort ausserhalb des Unternehmens aufbewahrt. Risiken Unvollständige Datenwiederherstellung im Schadenfall Datenwiederherstellung nicht in der geforderten Zeit Datenverlust im Katastrophenfall Gefährdete Fortsetzung des IT-Betriebes 19 Danke Das Vorgehensmodell wurde im Oktober 2010 offiziell herausgegeben durch den Fachstab für Informatik der Schweizerischen Treuhand-Kammer Download von 20