Fall 6: Ungenügende Tests IT General Controls Application Controls

Ähnliche Dokumente
Fall 8: IKS-Prüfung nicht dokumentiert

Fall 1: Keine Übersicht (Topographie)

Fall 4: Standard Software falsch behandelt

RAB-Beanstandungen IT-Revision. ISACA After Hours Seminar,

IT-Prüfung im Rahmen der Jahresabschlussprüfung

Erfahrung aus SOA (SOX) Projekten. CISA 16. Februar 2005 Anuschka Küng, Partnerin Acons AG

ITIL und Entwicklungsmodelle: Die zwei Kulturen

Der Blindflug in der IT - IT-Prozesse messen und steuern -

Urs Fischer, dipl. WP, CRISC, CISA, CIA Fischer IT GRC Beratung & Schulung

Cloud Zertifizierung und Kompetenz. Hendrik A. Reese, Principal Consultant, TÜV Rheinland

IT-Outsourcing aus Sicht der Wirtschaftsprüfer

Typisierung des Replikationsplan Wirries, Denis Datenbankspezialist

Die Lehren aus der Aufsichtstätigkeit der RAB

IDV Assessment- und Migration Factory für Banken und Versicherungen

Test zur Bereitschaft für die Cloud

DER CONFIGURATION MANAGEMENT PROZESS

Installation & Konfiguration AddOn Excel Export Restriction

Übersetzung des englischen Berichts. SAS 70 Type II. Bericht über implementierte Kontrollen und Wirksamkeit eingerichteter Kontrollverfahren.

Standardisiert aber flexibel

Integriertes ITSM mit 100% Open Source

Hans-Joachim Lorenz Teamleiter Software Sales GB LE Süd

Managements. Änderungsprozess. Wolfgang Witerzens, Manager 31. Januar 2008 ADVISORY

Oracle GridControl Tuning Pack. best Open Systems Day April Unterföhring. Marco Kühn best Systeme GmbH

2. Prozessfux IT Service Management Tagung

Resilien-Tech. Resiliente Unternehmen. Security Consulting. 08. Mai Burkhard Kesting

Migration von Ontap 7-Mode zu Clustered ONTAP

International Tax Highlights for German Subsidiaries. Umsatzsteuer mit IT. 21. November 2013

Ordner Berechtigung vergeben Zugriffsrechte unter Windows einrichten

ONET: FT-NIR-Netzwerke mit zentraler Administration & Datenspeicherung. ONET Server

Änderungen ISO 27001: 2013

Inhaltsverzeichnis. Christian Wischki, Lutz Fröhlich. ITIL & ISO/IEC für Oracle Datenbanken. Praxisleitfaden für die Einführung und den Betrieb

IT-Risikoanalyse als Basis für die strategische Prüfungsplanung sowie die Jahresplanung

Upgrade-Leitfaden. Apparo Fast Edit. Wechsel von Version 2 auf Version oder Wechsel von Version auf Version 3.0.

ERP-Evaluation systematisch und sicher zum optimalen ERP-System

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

OP-LOG

Zugriff auf Unternehmensdaten über Mobilgeräte

Installation & Konfiguration AddOn Excel Export Restriction

Das Configuration Management im Oracle-Datenbank-Umfeld

HLB International Risikomanagement in IT-Projekten: praktische Erfahrungen aus externer Sicht

Anti-Botnet-Beratungszentrum. Windows XP in fünf Schritten absichern

Systemen im Wandel. Autor: Dr. Gerd Frenzen Coromell GmbH Seite 1 von 5

HowTo: Einrichtung & Management von APs mittels des DWC-1000

MS Outlook Integration

Konzentration auf das. Wesentliche.

Patchmanagement. Jochen Schlichting Jochen Schlichting

Nischendisziplin Configuration Management?

Nischendisziplin Configuration Management?

4. FIT-ÖV Juli 2009 in Aachen Informationssicherheit im IT Service Management

Step by Step Webserver unter Windows Server von Christian Bartl

Configuration management

SharePoint Demonstration

WINDOWS 8 WINDOWS SERVER 2012

Medizintechnik und Informationstechnologie im Krankenhaus. Dr. Andreas Zimolong

Scheer Management Report 2014 Operative Strategieumsetzung. Herausforderungen und Methoden aus der Unternehmenspraxis

Gründe für fehlende Vorsorgemaßnahmen gegen Krankheit

SAP-Systemsicherheit und Content-Security Continuous Monitoring

Vermeiden Sie es sich bei einer deutlich erfahreneren Person "dranzuhängen", Sie sind persönlich verantwortlich für Ihren Lernerfolg.

4... SAP Solution Manager als Plattform für den End-to-End-Anwendungsbetrieb... 63

Spotlight 5 Gründe für die Sicherung auf NAS-Geräten

Effiziente Administration Ihrer Netzwerkumgebung

Internes Kontrollsystem in der IT

Empfehlungen von ITIL zu ITSM Einführung. Jacqueline Batt, 12. Juni 2012

Upgrade-Leitfaden. Apparo Fast Edit 1 / 7

SharePoint - Security

Xerox Device Agent, XDA-Lite. Kurzanleitung zur Installation

Installation EPLAN Electric P8 Version Bit Stand: 07/2014

ITSM (BOX & CONSULTING) Christian Hager, MSc

Virtual Roundtable: Business Intelligence - Trends

In der agree ebanking Private und agree ebanking Business Edition ist die Verwendung der USB- und Bluetooth-Funktion aktuell nicht möglich.

Anleitung zum Prüfen von WebDAV

Rechenzentrums-Betrieb von ArcGIS-Servern im RZ Süd

Requirements Engineering für IT Systeme

Modernes Vulnerability Management. Christoph Brecht Managing Director EMEA Central

a.i.o. control AIO GATEWAY Einrichtung

Risikomanagement Gesetzlicher Rahmen SAQ Sektion Zürich: Risikomanagement ein Erfolgsfaktor. Risikomanagement

Muster-Angebotsinformation

Unternehmens durch Integratives Disaster Recovery (IDR)

IT-Risikoanalyse für KMU Einsatz bei Revisionen - Fallbeispiel

Multichannel Challenge: Integration von Vertriebsorganisation und Contact Center in der Versicherung

1 Application Compatibility Toolkit (ACT) 5.6

White Paper. Konfiguration und Verwendung des Auditlogs Winter Release

ID Management, Security Management, Enterprise Risk Management

Treffpunkt Internet Reutlingen, B.Schüle 1

bizsoft Rechner (Server) Wechsel

Modul 3: Service Transition

GPP Projekte gemeinsam zum Erfolg führen

Fall 7: Outsourcing falsch behandelt

Windows Server 2012 R2 Essentials & Hyper-V

Praktische Erfahrungen aus hunderten von Sicherheitsabnahmen German OWASP Day Dr. Amir Alsbih CISO Haufe Gruppe

Risikobasierte Bewertung von Hilfsstoffen

Ordentliche Prüfung nach OR Art. 727

Operational Big Data effektiv nutzen TIBCO LogLogic. Martin Ulmer, Tibco LogLogic Deutschland

Abschluss Version 1.0

DIRECTINFO ANBINDUNG AN VERZEICHNISDIENSTE WIE ACTIVE DIRECTORY

Service Transition. Martin Beims. WKV SS13 Karsten Nolte. Mittwoch, 19. Juni 13

Powermanager Server- Client- Installation

Synchroner Spiegel & Applikationsverfügbarkeit. Johan van den Boogaart

E POSTBUSINESS BOX Release Notes. Release 2.0

Transkript:

Fall 6: Ungenügende Tests IT General Controls Application Controls Bernhard Hamberger Partner Ernst & Young, Bern 6: Fehlende Prüfung der Existenz des IKS Aus den Arbeitspapieren geht hervor, dass die Generellen IT-Kontrollen nur teilweise getestet wurden. Beispielsweise wurde hinsichtlich der Zugriffsrechte nicht geprüft, dass nur autorisierte Personen Zugriff auf das ERP, einschliesslich der entsprechenden Daten und Funktionen, haben. Das Prüfungsteam hat weiter keine Prüfungshandlungen im Bereich der Applikationskontrollen durchgeführt. Mangelnde Prüfung der Generellen IT-Kontrollen Der Prüfumfang des IT-Prüfers geht unzureichend aus dem Memo hervor. Für die RAB ist unklar, ob die Prüfungshandlungen zur IT in ihrer Art (Besprechungen vs. Kontrollen testen) sowie im Umfang (Testen der relevanten Applikationen und Gesellschaften) ausreichend waren. Bernhard Hamberger, Bern, 15. Juni 2011 2 1

Vorgehensmodell Applikationsprüfung Planung und Risikoidentifikation 1 Analyse von Bilanz und Erfolgsrechnung 2 3 Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und der wichtigsten Schnittstellen 4 Identifikation der Risiken und Schlüsselkontrollen Strategie und Risikobeurteilung 5 Walk-through 6 Beurteilung des Kontroll-Designs Durchführung 7 Beurteilung der Umsetzung der Kontrollen Konklusion und Reporting 8 Gesamtbetrachtung und Ergebnisfindung Bernhard Hamberger, Bern, 15. Juni 2011 3 Testen von Anwendungen? Wann ist eine Applikation im Scope der Prüfers? Festlegen der Bilanz- und Erfolgsrechnungspositionen, welche für die Prüfung relevant sind Berücksichtigung von Konzernstrukturen Identifikation der Transaktionen (Geschäftsvorfälle) bzw. Transaktionsklassen, welche diese Positionen generieren Identifikation der Kontrollziele und Schlüsselkontrollen Bernhard Hamberger, Bern, 15. Juni 2011 2

Schichten des Modells Geschäftsprozesse Manuelle Kontrollen IT-Anwendungen Automatisierte & Hybride Kontrollen IT-Basissysteme Anwendungsspezifische ITGC IT-Infrastruktur ITGC Bernhard Hamberger, Bern, 15. Juni 2011 5 Risiken und Kontrollen im Wertefluss 2003 Financial Statements? Finanzdaten Wesentliche Konten Wesentliche Prozesse Risiken / Was kann schief gehen Manuelle Kontrollen? Applikationen, die die Prozesse wesentlich unterstützen Risiken / Was kann schief gehen Applikationskontrollen Bernhard Hamberger, Bern, 15. Juni 2011 6 3

Arten von Kontrollen Manuelle Kontrollen Automatisierte Kontrollen (Rein) Manuelle Kontrollen IT-unterstützte manuelle Kontrollen Applikationskontrollen Generelle IT-Kontrollen (IT General Controls) Bernhard Hamberger, Bern, 15. Juni 2011 7 Arten von Kontrollen im Kontext Application controls Mandant CH Mandant UK Mandant Asien Mandanten ERP Application (Transaction integrity) Configuration settings (limits, ) Input controls (edit checks, validations) Data transfer (interfaces) Access to key transactions/functions (override, validation, master data) Segregation of duties (business) Report Definitions (EAE) IT General Controls übergreifend ERP Data Base OS used by ERP Network for ERP ITGC at Application Level Application security Data base (Oracle 1.x) Operation system (AS/400) Network (Windows 200x) Manage Changes Authorized, Tested, Approved, Monitored Segregation of duties (Move to production) Logical access Systems security configurations Privileged User Rights Key resource security (ie RACF, DFU400, SQL, ) User access authorizations controls / Monitoring Segregation of duties (end user administration) IT Operations Backup and Recovery, Scheduling Problem and Incident Management, Monitoring Bernhard Hamberger, Bern, 15. Juni 2011 8 4

Black Box Approach Ergebnisorientierter Prüfungsansatz Aufwändige Prüfung von Routinetransaktionen Hohe Samplesizes oder umfassende Datenanalysen Inhaltliche Prüfung von Electronic Audit Evidence Spezifische Prüfungshandlungen für spezifische Risiken der eingesetzten Applikation im Prozess (Funktionentrennung, single-pointof-entry), d.h. Walkthrough so detailliert, das diese erkannt werden der Entscheid hinsichtlich Vorgehen fällt spätestens beim Walkthrough Bernhard Hamberger, Bern, 15. Juni 2011 9 Umfang des Walkthrough Der Detaillierungsgrad des WT ist abhängig davon, ob der Prüfer auf enthaltene Kontrollen abstützen will Abstützen Nicht Abstützen Detailverständnis der Kontrolle Beurteilung der Wirksamkeit der Kontrolle Bestätigung des Prozess- Verständnis und der Risikobeurteilung Bernhard Hamberger, Bern, 15. Juni 2011 10 5

Generelle IT-Kontrollen Effektive IT General Controls sind eine Voraussetzung für das verlässliche Funktionieren der Applikationskontrollen über die gesamte Prüfungsperiode Generelle IT-Kontrollen betreffen die Bereiche SW-Entwicklung, SW-Konfiguration, logische und physische Sicherheit und operationelle IT-Prozesse: Benutzerkontenadministration Konfiguration bezüglich Sicherheitseinstellungen Applikationswartung Änderungen von Applikationen Backup Prozesse Bernhard Hamberger, Bern, 15. Juni 2011 11 Applikationskontrollen In die Anwendung eingebettete Kontrollen (inkl. Parameter und Stammdaten) Steuern die Werteflüsse durch die Applikation Relevanz hinsichtlich: Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung Bernhard Hamberger, Bern, 15. Juni 2011 12 6

Gesamtzusammenhang Bedeutende Positionen in Bilanz / Erfolgsrechnung Bilanz Erfolgsrechnung... Allgemeine IT-Kontrollen Kontrollumgebung (Policen, Direktiven) Programmentwicklung IT-Änderungen IT-Betrieb Zugriffskontrolle Systemsicherheit Datensicherheit Überwachung Geschäftsprozesse / Transaktionsarten Prozess A Prozess B... IT-Finanzanwendungen Anwendung A Anwendung B... IT-Dienste Datenbanken Betriebssysteme Middleware, Netzwerke IT-Applikationskontrollen Vollständigkeit Genauigkeit Gültigkeit Berechtigung Rollentrennung 13 Bernhard Hamberger, Bern, 15. Juni 2011 Wie sollte geprüft werden? 1 Analyse von Bilanz und Erfolgsrechnung Planung und Risikoidentifikation 2 3 Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und Schnittstellen 4 Identifikation der Risiken und Schlüsselkontrollen Strategie und Risikobeurteilung 5 Walk-through 6 Beurteilung des Kontroll-Designs Durchführung 7 Beurteilung der Umsetzung der Kontrollen Konklusion und Reporting 8 Gesamtbetrachtung und Ergebnisfindung Bernhard Hamberger, Bern, 15. Juni 2011 14 7

Testansatz Jährliches Testing oder Rotationsprinzip? PS890 gewichtet die generellen IT-Kontrollen gleich wie die Unternehmensweiten Kontrollen und verlangt eine jährliche Prüfung Bei den automatischen Kontrollen scheint eine Rotation der Prüfung möglich, muss sich aber am Risikoprofil orientieren Baselining Testansatz für automatische Kontrollen Einmaltest (Test-of-One) Direktes Testen Baselining / Benchmarking Datenanalyse Bernhard Hamberger, Bern, 15. Juni 2011 15 Effizienzfragen im Vorgehen Bernhard Hamberger, Bern, 15. Juni 2011 16 8

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback