15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG

Größe: px

Ab Seite anzeigen:

Download "15. ISACA TrendTalk. Sourcing Governance Audit. C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG"

Waltraud Krüger
vor 8 Jahren
Abrufe

1 15. ISACA TrendTalk Sourcing Governance Audit C. Koza, 19. November 2014, Audit IT, Erste Group Bank AG Page 1

2 Agenda IT-Compliance Anforderung für Sourcing Tradeoff between economic benefit and data security Aufbereitung einer Sourcing-Entscheidung Darauf sollten Sie bei der Vereinbarung achten Nachweis eines effektiven IKS durch eine Prüfung nach ISAE 3402 (ex SAS 70) Typical cascade of ISAE reports in case of an IT-subsidiary using suboutsourcing Page 2

Vereinbarung achten Nachweis eines effektiven IKS durch eine Prüfung nach ISAE 3402 (ex

3 IT-Compliance Anforderung für Sourcing Grundsatz Die Leistungserbringung ist outsourcebar aber Das Risiko und das Risiko-Management bleibt beim Auftraggeber Auftraggeber muss ordnungsgemäßen IT-Betrieb (effektives IKS) weiterhin sicherstellen von der eigenen Inhouse-Organisation über die gruppeninternen Dienstleister bis zu den Outsourcing-Partnern Dazu muss der Überblick über Outsourcings und Purchasing sichergestellt werden, Achtung! Purchasings können materiell und zu meldepflichtigen Outsourcings werden Page 3

von der eigenen Inhouse-Organisation über die gruppeninternen Dienstleister bis zu den Outsourcing-Partnern Dazu muss der

4 Tradeoff between economic benefit and data security Better economic benefits mean Use service in a country with smaller salaries EU-countries (and save harbor countries (US)) are no low salary countries High economic benefit is in conflict with high level of data security Better data security level means Use a service with a high level of data security Assure that data (and company) are located in EU-countries (or save harbor countries (US)) High level of data security is in conflict with high economic benefit The trade-off between economic benefit and data security has to be made depending on the Criticality of the data and application and The risk appetite of the outsourcing organization Page 4

security Assure that data (and company) are located in EU-countries (or save harbor countries (US)) High level of data security is in conflict with high economic benefit The

5 Aufbereitung einer IT Sourcing- Entscheidung Neben dem Business-Case wird eine Risikoanalyse erstellt (orientiert an Basel II), sie beinhaltet Strategic risk Reputation risk (including Fraud) Counterparty risk Operational risk Dependency risk Financial risk Legal and compliance risk Other risk Beide bilden die Grundlage für die Gesamtentscheidung Zustimmung/Information der Auftraggeber (entsprechend dem Umfang des Vorhabens) erforderlich Page 5

Operational risk Dependency risk Financial risk Legal and compliance risk Other risk Beide bilden die Grundlage

6 Darauf sollten Sie bei der Vereinbarung achten Die Leistungserbringung ist outsourcebar, aber Risiko und Risiko-Management bleibt beim Auftraggeber Die IT Prozessbetrachtung muss auf den neuen (angepassten) IT-Prozess ausgeweitet werden, entsprechend IT-Prozessteilen des Aufraggebers (Inhouse-Organisation), IT-Prozessteilen des gruppeninternen Dienstleiters und IT-Prozessteilen des Outsourcing-Partners In ihrer Gesamtheit muss ein ordnungsgemäßer IT-Betrieb sicher gestellt werden Die Dienstleistungssteuerung stellt den Kontakt und die Steuerung des Dienstleisters sicher Die Retained Organization ist fachlicher Ansprechpartner für den Dienstleister in stellt einen etwaig erforderlichen Notbetrieb und Dienstleisterwechsel sicher Die internen Revision berichtet der Geschäftsführung über den Stand der Gesamtorganisation Die Vereinbarungen (Teil der Verträge) zwischen den Partnern müssen die jeweils vereinbarten Prozesse mit Ihren Schnittstellen, die erwarteten Controls, den Nachweis der Wirksamkeit, das Prüfrecht und die Maßzahlen zur Beurteilung der erbrachten Qualität beschreiben Governance, Organisation und Vereinbarungen müssen der resultierenden (höheren) Gesamtkomplexität genügen Page 6

Outsourcing-Partners In ihrer Gesamtheit muss ein ordnungsgemäßer IT-Betrieb sicher gestellt werden Die Dienstleistungssteuerung stellt den Kontakt und die Steuerung des Dienstleisters sicher Die

Nachweis eines effektiven IKS durch eine Prüfung nach ISAE 3402 (ex SAS 70) Bei Services die, von mehreren Kunden genutzt werden, einen Nachweis über die Einhaltung der IT- Compilance erfordern, im

7 Nachweis eines effektiven IKS durch eine Prüfung nach ISAE 3402 (ex SAS 70) Bei Services die, von mehreren Kunden genutzt werden, einen Nachweis über die Einhaltung der IT- Compilance erfordern, im Focus der Jahresabschlussprüfung stehen bilanzrelevant, große G&V Position oder großes Risiko kann Mehrfachprüfung vermieden werden ein jährlicher ISAE -Bericht bestätigt die Effektivität der Kontrollen für die Geschäftsführung und den Wirtschaftsprüfer Ein ISAE 3402 Bericht ist ein Prüfbericht eines externen Prüfers über Die Effektivität des interne Kontrollsystem eines (IT-) Unternehmens Die Big Four akzeptieren SAS 70 Berichte gegenseitig Ausgelagerte IT-Services müssen nicht im Zuge der Jahresabschlussprüfung geprüft werden es kann auf den SAS 70 Bericht zurückgegriffen werden. Page 7

Kontrollen für die Geschäftsführung und den Wirtschaftsprüfer Ein ISAE 3402 Bericht ist ein Prüfbericht eines externen Prüfers über Die Effektivität des interne Kontrollsystem eines (IT-)

8 Typical cascade of ISAE reports in case of an IT-subsidiary using sub-outsourcing Contractor s IT-services are located in a group ITcompany IT-company is outsourcing parts of the services IT-company controls subcontractors by SLA- and ISAE-reports IT-company provides ISAEreports including subcontractor-mgmt. Contractor has audit rights to audit all parts of the process chain Sub- Contractor (provids ISAE reports) Contractor (controls ISAE 3402 reports, random Audits) IT-Company (controls ISAE 3402 reports of sub-contractors) Sub- Contractor (provids ISAE reports) Detailed Audit by contractor on random sample basis Page 8

Contractor has audit rights to audit all parts of the process chain Sub- Contractor (provids ISAE 3402 - reports) Contractor (controls ISAE 3402 reports, random

Ähnliche Dokumente

Unsere neue Dienstleistung - ISAE 3402 / SSAE 16 Typ II Berichterstattung. Marco Pellizzari, Mai 2012

Unsere neue Dienstleistung - ISAE 3402 / SSAE 16 Typ II Berichterstattung Marco Pellizzari, Mai 2012 1 Unsere neue Dienstleistung Ihr Gewinn Für das Jahr 2012 bietet IWB Telekom Ihren Kunden neu eine Berichterstattung