Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Transkript

1 Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

2 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 2

3 Agenda Einführung Konzepte und Prinzipien für die Überwachung Ausgestaltung und Durchführung des Überwachungsprozesses Automatisierung der Überwachung von Kontrollen Weitere wichtige Überlegungen 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 3

4 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 4

5 Die Krise 3 Tage sind vergangen. Ihre Teams können immer noch keine Kundentransaktionen verarbeiten. Es sieht danach aus, dass ein unbedeutender Change in einer Anwendung ein System zum Absturz gebracht hat. Ihre besten Leute arbeiten an dem Problem. Sie sollten morgen um 06:00 Uhr wieder back in Business sein. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 5

6 Die Krise Erst letztes Jahr wurden neue Kontrollen und Massnahmen im Change-Management eingeführt. Ihr CRO meldet, dass anscheinend über die letzten Monate die Kontrollen nachgelassen haben. Bessere, unter Berücksichtigung von durch Risiko & Compliance Experten sogenannten Persuasive Informationen, hätten dies aufgedeckt. Fazit: Die Krise wäre verhindert worden. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 6

7 Strategische Bedeutung einer effektiven Überwachung Angemessene Überwachung ist eine der häufigsten, potentiell kritischen und oft vergessenen Herausforderungen. Dieser Herausforderung müssen sich die für Governance, Risiko Management, Compliance und Interne Revision verantwortlichen Führungskräfte stellen. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 7

8 Die Lösung Was ist zu tun, dass sich dies nicht wiederholt? Erkennen und berücksichtigen der kritischen Rolle der Überwachung speziell in Bezug auf IT-Kontrollen - und der Automatisierung wesentlicher Überwachungsprozesse! Anerkanntes Wissen (Body of Knowledge) und Good Practices existieren bereits. Sie müssen diese nur einsetzen und anwenden. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 8

9 Wie konnte dies passieren? Über die Zeit nimmt die Effektivität von Kontrollen ab. Ausfälle können passieren. Interne Kontrollen arbeiten teilweise nicht gemäss deren Design. Kontrollen sind aufgrund von Änderungen im Business oder in der Strategie nicht mehr aktuell. Es kann vorkommen, dass Schlüsselkontrollen fehlen bzw. der Unternehmung fehlen Prozesse für deren Design, Einführung, Durchsetzung und Kommunikation. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 9

10 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 10

11 Definition Überwachung Überwachung ist der Prozess, die Prozeduren, die Werkzeuge und die Aktivitäten, welche eine Unternehmung zur Sicherstellung einer kontinuierlichen und effektiven Funktion der internen Kontrollen etabliert. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 11

12 COSO-Überwachung Fokussiert auf die Überwachung von Kontrollen Beinhaltet die Überwachung von Kontrollen bezüglich finanzieller Berichterstattung, operationeller Risiken und Compliance Beinhaltet generell keine Aspekte der Effizienz. Ausnahme: Effizienz von Kontrollen 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 12

13 COSO-Model für Überwachung Copyright 2009 by The Committee of Sponsoring Organisations of the Treadway Commission. All rights reserved. Reprinted with permission 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 13

14 «Persuasive Information» «Persuasive Information» ist gleichzeitig angemessen und ausreichend in Beziehung zum Sachverhalt. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 14

15 Die richtige Balance 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 15

16 Konzepte für IT-Überwachung Bei automatisierten Schlüsselkontrollen sind auch die zugrunde liegenden generischen IT-Kontrollen zu überwachen. Manuelle Schlüsselkontrollen welche auf durch die IT produzierten Informationen basieren sind üblicherweise von generischen IT-Kontrollen abhängig. Diese müssen ebenfalls überwacht werden. Der Risikomanagement-Prozess und die Verfügbarkeit von rechnergestützten Informationen steuern welche IT und manuellen Kontrollen überwacht werden. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 16

17 Konzepte für IT-Überwachung Für die Überwachung benötigte Informationen stehen möglicherweise nur in IT-Prozessen zur Verfügung. Die Überwachung von IT-Kontrollen und automatisierte Überwachung unterstützen oft die Erreichung mehrerer Überwachungs-Ziele. IT ermöglicht einen periodischen und oft auch kontinuierlichen Überwachungsprozess. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 17

18 COBIT 5 und Überwachung 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 18

19 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 19

20 Design und Ausführung 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 20

21 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 21

22 Automatisierte Überwachung von Kontrollen Machen Sie sich mit Werkzeugen für die Überwachung vertraut! Kennen Sie ihre Prozess-Management Werkzeuge! Verstehen Sie die Vorteile und Herausforderungen von automatisierten Kontrollen! Identifizieren Sie Schlüsselkontrollen! Identifizieren Sie elektronische Informationen! Entwickeln und implementieren Sie kosteneffektive automatisierte Lösungen! Entwickeln und implementieren Sie kontinuierliche Überwachung! Überlegen Sie sich die Verwendung von Reifegrad-Modellen! 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 22

23 Vorteile und Herausforderungen Es ist schwierig um die Ecke zu schauen: Es kann sein, dass Unternehmungen den Nutzen einer Einführung von automatisierten Überwachungsprozessen nicht klar sehen. Dies gilt auch für Unternehmungen welche bereits Methoden für die Daten-Analyse einsetzen. Warum? Sie vertrauen möglicherweise zu stark auf Ad-Hoc Tests bezüglich Effektivität von Kontrollen. Sie sind sich nicht bewusst, welch enormer Nutzen ein wiederholbarer Prozess für die Evaluation der Effektivität von Kontrollen längerfristig bietet. 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 23

24 Beispiele von Werkzeugen ACL ACL Continous Controls Monitoring (CCM) Approva s Process Configuration Insight Bwise Continous Controls Monitoring CaseWare IDEA Infogix Assure Infogix Insight Oversight Systems SAS SymSure Monitor 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 24

25 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 25

26 Weitere wichtige Überlegungen Automatisierung des Überwachungsprozesses reduziert die Kosten von Compliance Verstehen der Konsequenzen für KMU und grosse Unternehmungen Management der Auswirkungen von kontinuierlicher Überwachung und separaten Bewertungen Berücksichtigung von Third-Party Überlegungen Verstehen der Auswirkungen von Überwachung auf die Revision 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 26

27 Fragen an das Senior Mgmt Wie stellt die Unternehmung sicher, dass der Risikomanagement- Prozess die IT angemessen berücksichtigt? Werden die IT-Risiken separat von den Geschäfts-Risiken evaluiert und adressiert? Welches sind die generischen Schlüsselkontrollen? Wie werden Schlüssel- und automatisierte Kontrollen zur Minderung von identifizierten Risiken eingesetzt? In welchem Ausmass wird Überwachung zur Sicherstellung des Funktionierens der Kontrollen eingesetzt? Wer ist für die Überwachungsaktivitäten bezüglich IT-Kontrollen verantwortlich (Business, IT, Compliance, interne Revision usw.)? 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 27

28 Fragen an das Senior Mgmt Welche automatisierten Werkzeuge werden eingesetzt und was machen diese überhaupt? In welchem Ausmass wird kontinuierliche Überwachung von Kontrollen eingesetzt? Wie integriert die Unternehmung Überwachungsaktivitäten bezüglich finanzieller Berichterstattung, Compliance und operativer Ziele? Überwacht die Unternehmung Kontrollen bei Dienstleistern und wenn ja, wer ist dafür verantwortlich? 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 28

29 Fragen an das IT Mgmt Sind die wesentlichen IT Risiken und Schlüsselkontrollen identifiziert? Wie sind die IT und das Business in die Überwachung von internen Kontrollen integriert? Für welche IT-Schlüsselkontrollen wird automatisierte oder kontinuierliche Überwachung eingesetzt? Wie werden IT-Schlüsselkontrollen bei Dienstleistern überwacht? Wie ist das Controlling der IT-Performance in die Überwachung von Kontrollen eingebunden? Wie werden die Resultate aus der Überwachung von IT- Schlüsselkontrollen verwendet? Wer ist für die Überwachung von Anwendungskontrollen verantwortlich (Business-Einheiten oder die IT)? 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 29

30 Fragen / Diskussion 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 30

31 Informationen: Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Consulting & Training Xing: Linkedin: 5. November ISACA & fischer IT GRC Beratung & Schulung. All rights reserved 31

32