Internes Kontrollsystem und Risikobeurteilung in der IT

Transkript

1 IBM ISS Security Circle 7. Mai 2009, Hotel Widder, Zürich Internes Kontrollsystem und Risikobeurteilung in der IT Angelo Tosi Information Security Consultant

2 Übersicht Was ist ab 2008 neu im Schweiz. Obligationenrecht? Beziehung zw. Risikomanagement und IKS Kosten und Nutzen eines IKS Wie werden IKS und RM heute in Unternehmen und Spitälern erlebt? Stand in der IT nach der Jahresrevision 2008 Findings und Massnahmen Wie gehen wir in 2009 in der IT weiter? 2 7. Mai 2009

3 2008 (*) Änderungen im Obligationenrecht: IKS III. Ordentliche Revision Art. 728a Die Revisionsstelle prüft ob: 3. ein internes Kontrollsystem existiert. Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. Art. 728b Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mit Feststellungen über ( ) das interne Kontrollsystem. (*) 2005 gesetzlich eingeführt, gültig ab dem Mai 2009

4 2008 Änderungen im Obligationenrecht: RM B. Geschäftsbericht Art. 662 Die Jahresrechnung besteht aus der Erfolgsrechnung, der Bilanz und dem Anhang. Art. 663b Der Anhang enthält: 12. Angaben über die Durchführung einer Risikobeurteilung Mai 2009

5 Schweiz. Prüfungsstandard 890 (Treuhandkammer) PS 890: Prüfung der Existenz des internen Kontrollsystems I. Einleitung a) Zweck des Prüfungsstandards ist die Umschreibung des Vorgehens zur Erlangung eines Prüfungsurteils über die Existenz eines internen Kontrollsystems nach Art. 728a Abs. 1 Ziff 3 OR. II. Definitionen a) ( ) Das IKS im Sinne dieses Prüfungsstandards umfasst nur jene Vorgänge und Massnahmen in einer Unternehmung, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen. ( ) f) Generelle Informatik (IT)-Kontrollen bilden die Grundlage für ordnungsgemäss funktionierende automatisierte IT- Anwendungskontrollen. Generelle IT-Kontrollen adressieren beispielsweise Risiken in den Bereichen Zugriffsrechte, Datenqualität, Datensicherheit oder System-Änderungen (Hardware und Software) und -Unterhalt Mai 2009

6 Definitionen von IKS und RM 1. Das Risikomanagement ist ein Prozess, um Ereignisse und Situationen zu identifizieren, zu beurteilen, zu steuern und zu kontrollieren, mit dem Ziel, eine angemessene Sicherheit in Bezug auf die Erreichung der Unternehmensziele zu gewährleisten. 2. Das interne Kontrollsystem ist ein Prozess, beeinflusst durch den Verwaltungsrat, die Geschäftsleitung oder andere, um eine zweckmässige Sicherheit in Bezug auf die Erreichung von Zielen in den folgenden Kategorien bieten zu können: Effektivität und Effizienz der operativen Tätigkeiten (Operations) Verlässlichkeit der finanziellen Berichterstattung (Financial Reporting) Gesetzes- und Normenkonformität (Compliance). 1. The Institute of Internal Auditors (IAA), COSO Internal Control Integrated Framework, Mai 2009

7 Beziehung zwischen RM und IKS Risiken Internes Kontrollsystem (Massnahmen) Schadensfall I E I E E I I E Sicherheit und BCM Organisation SCHADEN Systeme & Prozesse E xterne und I nterne Bedrohungen Das IKS ist ein Führungsinstrument zum Risikomanagement 7 7. Mai 2009

8 Kosten und Nutzen eines IKS Kosten Realisierungskosten (einmalig) Betriebskosten (wiederkehrend) Nutzen Compliance einhalten Dokumentierte u. kommunizierte Prozesse und Verantwortlichkeiten Einhaltung der Richtlinien seitens der Mitarbeiter Operative Risiken erkennen und reduzieren Effizienz und Wirksamkeit des IKS steigern (Erhöhte Revisionskosten vermeiden) IKS: Pflichtübung oder Steuerungswerkzeug? 8 7. Mai 2009

9 Das IKS in mittelgrossen Unternehmen und Spitälern Aussagen und Zustimmung (% der Teilnehmer) Das IKS ist ein in die Geschäftsaktivitäten integrierter Prozess Das IKS ist auf die spezifischen Geschäftsrisiken ausgerichtet Das IKS ist auf die Verlässlichkeit der finanziellen Berichterstattung ausgerichtet Das IKS ist auf die Einhaltung von Gesetzen und Vorschriften sowie internen Weisungen ausgerichtet (Compliance) Das IKS ist auf die Effektivität und Effizienz der operativen Tätigkeiten ausgerichtet Unternehmen Spitäler 79.2% 50% 82.4% 66.6% 86.7% 79.2% 79.1% 62.5% 61.6% 50% Das IKS ist überprüfbar und dokumentiert 78.3% 41.7% Quelle: Wie schneiden Sie ab?, Studie der Universität Zürich und PricewaterhouseCoopers, Mai 2009

10 Weitere Aussagen aus der Studie 75.8 % der Unternehmen und 91.7% der Spitäler schreiben dem IKS für die Jahre eine zunehmende Bedeutung an. Mittelgrosse Unternehmen (76.7%) und Spitäler (83.3%) schätzen, dass die Bedeutung des Risikomanagements in den Jahren zunehmen wird. Spitäler messen dem Risikomanagement einen höheren Stellenwert im Hinblick auf die Erreichung der finanziellen Ziele als die mittelgrossen Unternehmen (61.9% gegen 47.4%). Quelle: Wie schneiden Sie ab?, Studie der Universität Zürich und PricewaterhouseCoopers, Mai 2009

11 IKS: die häufigsten Feststellungen aus der IT-Revision 2008 Change Management Trennung von Entwicklung und Produktion, Kontrollen über die Migration von einer Umgebung zur anderen, Testing Benutzerverwaltung und Zugriffskontrollen Steuernde Kontrollen über Anfragen, Mutationen und Entzüge Aufdeckende Kontrollen über unbenutzte Accounts und ausgeschiedene Benutzer Einhaltung der Funktionentrennung und des 4-Augen-Prinzips Nachvollziehbarkeit der Bewilligungen Nachvollziehbarkeit der Datenzugriffe (keine Shared-Accounts) Business Continuity Management Anforderungen der Geschäftsprozesse, Einschätzung von Risiken und Auswirkungen je nach Dauer eines Unterbruchs, Massnahmen Backup & Recovery von Daten und Anwendungen Dokumentation ergänzen: Policies und operative Prozeduren Welche ist Ihre Erfahrung? Mai 2009

12 Wie gehen wir in 2009 in der IT weiter? Angaben der Revisionsstelle adressieren, Kontrollmängel in der IT beheben Vorbereitung auf die Jahresrevision 2009 Beschränkt auf diesem Umfang, wird das Nutzen der zu realisierenden Massnahmen angestrebt (Wirksamkeit und Effizienz). Interne Priorisierung der (IT-)Massnahmen anhand einer Risikobeurteilung Die IT-Risikobeurteilung soll mit der unternehmensweite Beurteilung der operativen Risiken abgestimmt werden! Dadurch kann auch das interne Nutzen zusätzlich zu der externen Compliance berücksichtigt werden Mai 2009

13 Die IT-Risikobeurteilung als Silo Nur qualitativ Nur qualitativ Einstufung bezogen auf Security Best Practices, nicht auf Risiken Quantitativ, aber was ist ein- und ausgeschlossen? Mai 2009

14 Danke für Ihre Aufmerksamkeit! Angelo Tosi Tel. 058 /