1 Aktuelle Herausforderungen der Revision im IT-Umfeld Bewegen Sie sich jetzt, bevor Sie untergehen! ISACA After Hours Seminar 29. Juni 2010 Peter R. Bitterli CISA, CISM, CGEIT Bitte beachten Sie das Urheberrecht: Sie dürfen diese Folien ausschliesslich zusammen mit diesem Copyright-Vermerk an Dritte weitergeben. Wenn Sie Teile daraus in eigenen Referaten oder Darstellungen verwenden, bitte ich Sie um einen entsprechenden Quellenhinweis so wie auch ich bei allen von anderen Personen oder Stellen übernommenen Darstellungen einen entsprechenden Hinweis aufführe. Jegliche kommerzielle Verwendung (z.b: in einem Kurs, in Artikeln, in Broschüren usw.) ist nur mit schriftlicher Einverständnis des Verfassers gestattet. Inhaltsübersicht Typische Feststellungen von IT-Revisionen Neue (?) IT-Architekturen Virtualisierung & Cloud Computing Zukunft der IT Zusammenarbeit Interne/Externe Revision mit IT-Revision Schlussfolgerungen
2 Kurze Einführung Prozessebene Geschäftsprozesskontrollen IT-Anwendung IT-Anwendungskontrollen IT-Basissysteme Generelle / spezielle IT-Kontrollen IT-Infrastruktur Generelle / spezielle IT-Kontrollen Risiko im Geschäftsprozess Risiko in Informatik- Infrastruktur Kontrolle Definition Informatikrevision Informatikrevision (information systems auditing) ist definiert als jede Revision, welche die Überprüfung und Beurteilung aller Aspekte von automatisierten, informationsverarbeitenden Systemen (oder Teilen davon) umfasst; inklusive der damit zusammenhängenden nicht-automatisierten Prozesse und ihrer Schnittstellen. ISACA
3 Definition Ordnungsmässigkeit Eine Buchführung, Bilanzierung und Erfolgsermittlung ist dann ordnungsgemäss, wenn sie vollständig wahr klar aktuell (à jour) systematisch angelegt zweckmässig organisiert nachprüfbar ist. Ordnungsmässigkeit und Informatik Phasen/ Anforderungen Erfassung & Eingabe Verarbeitung Ausgabe & Aufbewahrung wahr x x klar x x vollständig x x x aktuell (à jour) x x systematisch x x x zweckmässig x x nachprüfbar x x x Fortführung x Vorsicht x Stetigkeit (x) x Bruttoprinzip x x Interne Kontrolle Besondere Aspekte der Informatik Belegprinzip Kontenführung Grundjournal Aufbewahrung Prüfpfad Quelle: Lukas Marbacher
4 Typische Feststellungen Eine Einführung in eher generische Schwachstellen Die nachfolgenden Zitate stammen aus Revisionsberichten der letzten zehn Jahre. Die Aussagen sind echt, aber aus didaktischen Gründen und wegen dem notwendigen Vertraulichkeitsschutz so entstellt, dass keine Rückschlüsse auf die betroffenen Unternehmen möglich sind. Die Beispiele sind aber dermassen typisch, dass sich jeder angesprochen fühlen könnte. Änderungsmanagement (I) Typische Revisionsfeststellungen Änderungen werden nicht nachvollziehbar festgehalten Für normale Programm-Änderungen besteht ein klarer Prozess mit den üblichen Schlüsselkontrollen. Wir haben jedoch festgestellt, dass Änderungen an Anwendungen nicht automatisch festgehalten werden und somit nicht zwingend erkennbar sind.
5 Änderungsmanagement (II) Typische Revisionsfeststellungen Notfall-Änderungen werden nicht nachvollziehbar festgehalten Für normale Änderungen besteht ein klarer Prozess mit den üblichen Schlüsselkontrollen. Wir haben jedoch festgestellt, dass für Notfalländerungen ein abgekürztes Verfahren besteht, und dass diese Notfalländerungen nicht weiter überwacht werden. Damit kann der normale Änderungsmanagement-Prozess unterlaufen werden. Berechtigungsmanagement Typische Revisionsfeststellungen Die Gültigkeit von Berechtigungen wird nicht nachweislich verifiziert Die Fachbereiche erhalten alle 6 Monate eine Liste mit den Berechtigungen ihrer Mitarbeiter zur Überprüfung. Notwendige Korrekturen werden markiert und durch den Administrator umgesetzt. Wir haben festgestellt, dass die Erledigung der Korrekturaufträge in keiner Art und Weise nachvollziehbar ist.
6 Neuvergabe von Passwörtern Typische Revisionsfeststellungen Die verwendeten Initialpasswörter sind leicht erratbar und widersprechen den aufgestellten Passwort-Regeln Als Initialpasswort wird ein vierstelliges Kürzel verwendet, das der Mitarbeiter- Personalnummer entspricht und beim ersten Login geändert werden muss. Falls Mitarbeiter ihr Passwort vergessen haben, wird ihnen ebenfalls das ursprüngliche Initialpasswort gesetzt. Entwickler Typische Revisionsfeststellungen Entwickler haben schreibenden Zugriff auf die Produktion Die Anwendungsentwickler können sich mit der produktiven Datenbank XY verbinden. Wir haben festgestellt, dass ein schreibender Zugriff auf die Tabellen möglich ist, dieser Zugriff nicht protokolliert wird
7 Zugriffsschutz allgemein Typische Revisionsfeststellungen Etablierter Berechtigungsmanagementprozess kann umgangen werden Wir haben herausgefunden, dass es für jeden Mitarbeiter möglich ist: sich direkt mit der produktiven Datenbank ZZZ zu verbinden sich für diese Datenbank Berechtigungsprofile jeglicher Art zuzuteilen einem bestehenden Benutzer innerhalb des DBMS ein neues Passwort zuzuteilen Helpdesk Typische Revisionsfeststellungen Der Helpdesk verfügt über die Möglichkeit und die Berechtigungen für Änderungen an produktiven Daten. Wir haben festgestellt, dass der User Helpdesk verschiedentlich im Auftrag eines Benutzers direkte Änderungen an produktiven Daten vorgenommen hat.
8 Betriebsvereinbarungen Typische Revisionsfeststellungen Eine Betriebsvereinbarung besteht nicht resp. wird nicht regelmässig verifiziert Wir haben herausgefunden, dass zwischen MusterAG und dem Provider XYZ ein Rahmenvertrag sowie separate Dienstleistungsvereinbarungen (SLAs) bestehen für den Server X kein SLA besteht und keinerlei Sicherheitsanforderungen festgehalten wurden die Dienstleistungsvereinbarung (SLA) für den Server Y nicht regelmässig verifiziert wird Konfigurationsmanagement Typische Revisionsfeststellungen Ungetestete und ungenehmigte Konfigurationsänderungen gefährden den Betrieb Für die Vorgehensweise bei Konfigurationsänderungen sowie den vorhergehenden Tests und Fallback-Vorbereitungen gibt es keine dokumentierten Richtlinien und Test- Standards. Änderungen durchlaufen keine expliziten Genehmigungsschritte.
9 Netzwerk-Zugang Typische Revisionsfeststellungen Jeder Mitarbeiter oder Besucher kann ein beliebiges Gerät an das interne Netzwerk anhängen Wir haben festgestellt, dass auf Netzwerkebene keine funktionierende Zugriffskontrolle besteht, so dass z.b. Notebooks von Beratern, Gästen oder unberechtigten Dritten in das interne Netzwerk eingebunden werden können. Netzwerk-Administration Typische Revisionsfeststellungen Die für die Netzwerk-Administration verwendeten Passwörter sind unsicher Die Netzwerk-Komponenten werden über unpersönliche Administrator-Accounts verwaltet. Alle Netzwerk-Komponenten verfügen über das gleiche fünfstellige Passwort, das allen Mitarbeitern der Netzwerkabteilung bekannt ist.
10 Virenschutz Typische Revisionsfeststellungen Die Überprüfung der Clients hinsichtlich Virenschutz erfolgt zu selten und ist nicht nachvollziehbar Auf den Netzwerk-Gateways sowie auf allen Servern sind Virenschutz-Programme mit aktuellen Signaturdateien vorhanden. Die Clients werden monatlich zentral durch den Betrieb gescannt; dieser Prozess ist weder dokumentiert noch nachvollziehbar festgehalten. Datensicherungen Typische Revisionsfeststellungen Datensicherungen werden periodisch erstellt, ihre Lesbarkeit wird aber nicht geprüft Wir haben festgestellt, dass operationelle Datensicherungen nach einem vordefinierten Plan erstellt werden; es findet jedoch keine Überprüfung statt, ob der Backup auch vollständig und lesbar ist.
11 Elektroinstallation/USV Typische Revisionsfeststellungen Die Wirksamkeit der unterbruchsfreien Stromversorgung (USV) ist nicht sicher Wir haben festgestellt, dass keinerlei Informationen über die Elektroinstallation und -verkabelung vorliegen. Die USV- Anlage ist zwar dokumentiert, es besteht aber weder ein Inventar der angeschlossenen Bezüger noch der jeweiligen Leistungsbezüge und Anforderungen an Laufzeiten. Datenträger-Entsorgung Typische Revisionsfeststellungen Es ist nicht erkennbar, ob zur Entsorgung bereitgestellte Medien wirklich vernichtet werden Alte, nicht mehr benötigte Datenträger werden aus Druckern, Computern usw. ausgebaut und zur Entsorgung in einer Kiste beim Hausdienst gesammelt. Wir haben festgestellt, dass der Entsorgungsablauf keiner Protokollierung unterliegt.
12 Neue IT-Architekturen Klassisches & kaskadiertes Outsourcing ERP das Problem mit den Anwendungen Virtualisierung (-> nächstes Thema) Outsourcing Problembereich IT-Architektur Typische Erfahrungen bei echtem und unechtem (internem) Outsourcing
13 Outsourcing: Beispiele Problembereich IT-Architektur Produktivitätssteigerungen/Kostenreduktion durch Auslagerung des Verwaltung von: Telekommunikation: 15% Infrastruktur (Server, Speicher, Informationsschutz, Notfall-RZ): 20% Technischer Support: 5 40% IT Asset Management Managed Security Services Quelle: IBM Global Technology Services 2009 Auftraggeber <-> Provider Typische Aufgabenteilung im Service Management Business Unit Business Unit Business Unit IT Service Mgmt System Auftraggeber Taktical Processes Business Relationship Mgmt Supplier Mgmt Operational Processes Request Mgmt Tactical Processes IT Service Mgmt System Operational Processes Business Relationship Mgmt Availability & IT Continuity Mgmt Incident Mgmt Configuration Mgmt Provider Service Level Mgmt Capacity Mgmt Problem Mgmt Capacity Mgmt Service Reporting IT Security Mgmt Change Mgmt IT Security Mgmt Supplier Mgmt Budgeting & Accounting Release Mgmt Budgeting & Accounting Sub Contracting Subcontracted Supplier Tactical Processes Business Relationship Process IT Service Mgmt System Operational Processes Incident Mgmt Quelle: Martin Andenmatten / Glenfis
Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 14 Fragebogen mit Schlüselkontrollen gemäss Maturitätsmodell Process Maturity Level Assessment Management System Security Management 4.5 5 3.5 4 Incident Mgmt IT Service Continuity Mgmt 2.5 3 Problem Mgmt 1.5 2 0.5 1 Availability 0 Configuration Management Capacity Mgmt Change Mgmt Service Level Mgmt Release Mgmt Business Relationship Mgmt fiktives aber realistisches Beispiel Quelle: Martin Andenmatten / Glenfis Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Beispiel Inventare (Config. Management) mehrere verschiedene Inventare für unterschiedliche (teilweise auch identische) HW/SW- Kategorien Mutationsanomalien Mehrkosten, z.t. auf Kunden abwälzbar langsamere Problemlösung event. falsche Fakturierung erbrachter Leistungen event. fehlende Notfall-Reaktionsmöglichkeit Tactical Processes Operational Processes
Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 15 Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Beispiel Change Management unwirksame Tests/Kontrollen bei Change Management Belastung durch Changes anderer Kunden hohe Zahl von Fehlern ausgelöst durch unsaubere Changes Umgehung von Change Management durch falsch deklarierte Notfälle Tactical Processes Operational Processes Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Tactical Processes Operational Processes Beispiel Incident/Problem Management zu langsame Fehlerbehebung zu rasche Fehlerhebung > neue Fehler Symptom- statt Ursachenbekämpfung wiederholtes Auftreten von Fehlern Beispiel Capacity Management) keine autom. Zusammenführung der Zahlen kein proaktives Kapazitätsmanagement (->Absturz)
Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 16 Typische Revisionsergebnisse Niedrige Prozess-Maturität von ausgelagerten Prozessen Provider Tactical Processes Operational Processes Beispiel Notfall (Business Continuity Mgmt) für Störfallbehebung notwendige Informationen nicht auffindbar oder falsch nicht optimal aufbereitet nur wenige Kompetenzträger verfügbar Disaster Recovery zu wenig gut getestet Notfälle tangieren häufig mehrere Kunden z.b. gehackter Server in Netzwerksegment Störungen werden zu Lasten anderer Kunden gelöst Typische Revisionsergebnisse Outsourcing-Risiken, welche Auswirkungen auf Auftraggeber haben Provider Tactical Processes Operational Processes Allgemein niedrige Maturität von IT-Prozessen (viel auf Stufe 1, wenige auf 2) Unklare Zuständigkeiten Direkte Schnittstellen in Provider hinein Regulatorische Anforderungen Bankgeheimnis FINMA(EBK) RS99/2 > führen manchmal zu Insellösungen
Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 17 Typische Revisionsergebnisse Outsourcing-Risiken, welche Auswirkungen auf Auftraggeber haben Provider Tactical Processes Operational Processes Ungenügende Kontroll- und Überwachungsmöglichkeiten der erbrachten Leistungen Erhebliche Mehrkosten, welche teilweise auf Kunden abgewälzt werden Trägheit in der Anpassung an die spezifischen Bedürfnisse des Auftraggebers Länger als notwendig dauernde Behebung von Störungen bis zu gravierenden Ausfällen Typische Revisionsergebnisse Ursachen der typischen Outsourcing-Risiken Belastung durch Integration neuer Kunden hoher Projektdruck belastet konzeptionelles und strategisches Denken neue Projekte belasten insbesondere Knowhow- Träger Vernachlässigung des eigentlichen Betriebes Provider Tactical Processes Operational Processes Belastung durch unnötige Revisionen zu viele (jeder Kunde will selber) sinnlose Themen zu schlechte Durchführung / Berichterstattung
Business Relationship Mgmt Service Level Mgmt Service Reporting Supplier Mgmt IT Service Mgmt System Availability & IT Continuity Mgmt Incident Mgmt Capacity Mgmt Problem Mgmt IT Security Mgmt Change Mgmt Budgeting & Accounting Release Mgmt Configuration Mgmt Capacity Mgmt IT Security Mgmt Budgeting & Accounting Aktuelle Herausforderungen der Revision im IT-Umfeld 18 Typische Revisionsergebnisse Ursachen der typischen Outsourcing-Risiken Hoher Preisdruck durch Auftraggeber immer neue Sparprojekte keine Investitionen in Mittelfrist-Massnahmen wenig Personal > keine Stellvertretungen Engpässe im Normalbetrieb kritische Abhängigkeiten im Notfall Provider Tactical Processes Operational Processes Outsourcing-Vereinbarungen Wichtigste Fragestellungen Quelle: 2000 Newsletter ISACA Switzerland Chapter www.isaca.ch
19 PS402/SAS-70 Bericht Möglicher Lösungsansatz zur Eindämmung von Outsourcing-Risiken Quelle: ITACS Training AG Outsourcing & Revision Kunde (User Organization) hat ausgelagert, weil er etwas nicht (mehr) machen will hat keine Ahnung, wie er Provider überwachen könnte hat keine Lust, den Provider zu prüfen geht davon aus, dass SAS-70 eine Zertifizierung ist, die alles abdeckt Revisor A (User Auditor) muss das IKS der ausgelagerten finanzrelevanten Prozesse beurteilen muss das Risiko von material misstatement of financial statements beurteilen muss entweder selber beim Provider prüfen oder eine bereits erfolgte Prüfung eines anderen Revisors verwenden Provider (Service Organization) hat bereits alles im Griff nervt sich über jeden Revisor, der in seinem Bereich herumtrampelt möchte eine eierlegende Wollmilchsau, die er für alle unbequemen Kunden einsetzen kann hat Angst, dass Revisor von Kunde A etwas über Kunde B heraus findet Revisor B (Service Auditor) ist sowieso schon im Haus muss aber nicht das IKS in den finanzrelevanten Prozessen des Providers prüfen sondern das IKS in den finanzrelevanten Prozessen des (der) Kunden haftet (zu einem gewissen Grad) für seine Beurteilung und will daher möglichst viel und lange prüfen Quelle: P.R.Bitterli; Seminar ISACA/Treuhand-Kammer 2006
20 ERP Anwendungsprobleme Problembereich IT-Architektur Mögliche Arten von Anwendungen: Standard-Anwendungen stark angepasste Standard-Anwendungen intern entwickelte Anwendungen Obige Unterscheidung ist wichtig, da diese Kategorien sehr unterschiedliche Risikoprofile haben ERP Anwendungsprobleme Problembereich IT-Architektur Z.B. Standard-Anwendungen: Vielfalt von relevanten, eingebauten Kontrollen, typischerweise für: Validierung der Eingaben Steuerung der Verarbeitung Verarbeitung der Transaktionen Management von Ausnahmen Sicherstellen, dass entsprechende Kontrollen vorhanden sind und angewandt werden Frage: Wurden die Standard-Anwendungen zertifiziert und durch wen?
21 ERP Anwendungsprobleme Problembereich IT-Architektur Z.B. stark angepasste Standard- Anwendungen: Obwohl solche Komponenten zuverlässig sein könnten, werden weitere Informationen benötigt über Interaktion dieser Komponenten, da solche Anwendungen für jeden Kunden individuell angepasst werden zusätzliche kundenspezifische Programmierung ERP Anwendungsprobleme Problembereich IT-Architektur Standard-Anwendungen sind nicht immer zuverlässig erst recht die stark angepassten Standard-Anwendungen Parameter Standard- Anwendung Kern Technische Umgebung Ruck- Säcke Informationen einholen über: Maturität der Softwareversion Grad der Parametrisierung Frühere Prüfresultate (von Kollegen?) Internet Foren Offizielle Release-Dokumentation
22 Access Control Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern Correctness Inventory Closing Microsoft Business Solutions Axapta 3.0 and Service Packs Version: 1.0, published: December, 2004 Under certain conditions, Microsoft Axapta 3.0 can return incorrect inventory values in the general ledger as reported from different modules within Microsoft Axapta. Customers may also experience issues with running inventory closing routines at all, due to one or more code issues that can manifest under specific conditions. Finally, the value of the inventory as reported from the Microsoft Axapta Financial Management module may not match the expected value when customers perform a physical inventory count.. Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern
23 Correctness Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern
24 Quelle: Michel Huissoud, EFK, Kammertagung 2007, Bern
25 Virtualisierung & Cloud Computing Problembereich IT-Architektur Definition (Ch. Wegener) Virtualisierung bezeichnet Methoden, die es erlauben, Ressourcen im IT-Bereich zusammenzufassen oder aufzuteilen Virtualisierung Hardware-Virtualisierung (Bsp. virtueller Speicher, virtuelle CPU) Software-Virtualisierung (Bsp. virtuelles Betriebssystem wie Java) Netzwerk-Virtualisierung (Bsp. virtuelles LAN) Virtualisierung Problembereich IT-Architektur Betriebssystem Betriebssystem Betriebssystem Virtual Machine Monitor Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Anwendung Gast Betriebssystem Anwendung Virtual Machine Monitor Betriebssystem Hardware Hardware Hardware Quelle:Wikipedia; gesehen bei Ch. Wegener
26 Cloud Computing (I) Ist nur eine weitere Form von Virtualisierung Cloud Service Delivery Models Software as a service (SaaS) Platform as a service (PaaS) Infrastructure as a service (IaaS) Cloud Service Modalities / Deployment Models private public hybrid Cloud Computing (II) Ist nur eine weitere Variante von Virtualisierung Service-Modell Definition Wichtige Fragestellungen Infrastructure as a Service (IaaS) Platform as a Service (PaaS) Software as a Service (SaaS) Fähigkeit für die Bereitstellung von Verarbeitungs-, Speicher-, Netzwerk- und andere grundlegende Computer-Ressourcen, welche dem Kunden die Möglichkeit bieten, beliebige Software zu installieren und zu betreiben, einschliesslich Betriebssysteme und Anwendungen. IaaS legt deren IT-Betrieb in die Hände einer Drittpartei. Fähigkeit, eigenentwickelte oder eingekaufte Anwendungen auf einer Cloud-Infrastruktur zu betreiben, welche durch vom Provider zur Verfügung gestellten Programmsprachen oder Werkzeugen erstellt wurden. Fähigkeit, die auf einer Cloud-Infrastruktur laufenden Anwendung des Providers zu verwenden. Die Anwendungen sind über verschiedene Geräte des Kunden zugänglich via einer Thin Client-Schnittstelle wie beispielsweise einen Webbrowser (z.b. E-Mail). Optionen zur Beschränkung der Auswirkungen, falls der Provider einen Unterbruch erleidet. Verfügbarkeit Vertraulichkeit Datenschutz und Haftungsfragen im Falle eines Sicherheits-Versagens (da die sensitiven Daten extern verarbeitet werden) Daten-Eigentümerschaft E-Discovery (Herausgabepflicht von Unterlagen) Wer besitzt die Anwendungen= Wo laufen die Anwendungen wirklich? Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli
27 Cloud Computing (III) Ist nur eine weitere Variante von Virtualisierung Quelle: ISACA Whitepaper: Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives; Übersetzung Peter R, Bitterli Auslieferungs- Modell Private cloud Community cloud Public cloud Hybrid cloud Beschreibung der Cloud- Infrastruktur nur für eine Unternehmung betrieben kann sowohl durch das Unternehmen selbst als auch durch eine Drittpartei betrieben werden kann sowohl auf dem Firmengelände als auch ausserhalb sein von mehreren Unternehmungen geteilt Unterstützt eine spezifische Gemeinschaft mit einer gemeinsamen Mission oder Interessen kann sowohl durch das Unternehmen selbst als auch durch eine Drittpartei betrieben werden kann sowohl auf dem Firmengelände als auch ausserhalb sein der generellen Öffentlichkeit oder einer grossen Firmengruppe zugänglich im Besitz eines Unternehmens, dass Cloud-Services verkauft Eine Verbindung von zwei oder mehr Auslieferungsmodellen (private, community or public cloud), welche eigenständig bleiben aber über standardisierte oder proprietäre Technologie verbunden sind, was die Portabilität von Daten und Anwendungen ermöglicht (z.b. Lastausgleich zwischen zwei Wolken) Wichtige Fragestellungen Auslieferungsmodell mit den kleinsten Risiken bietet möglicherweise nicht die Skalierbarkeit und Beweglichkeit von öffentlichen Cloud-Dienstleistungen analog zu Private Cloud, plus: Die Daten werden möglicherweise zusammen mit den Daten von Mitbewerbern gespeichert. analog zu Community Cloud, plus: Daten werden möglicherweise an unbekannten Orten gespeichert und könnten unter Umständen nicht einfach zurückholbar sein. Kombination der Risiken der Vermischung der verschiedenen Auslieferungsmodelle Klassifikation und Kennzeichnung von Daten könnte nützlich sein für den Sicherheitsverantwortlichen, um sicherzustellen, dass Daten dem richtigen Auslieferungsmodell zugewiesen werden. Cloud Computing / Outsourcing Eine Unterscheidung ist oft schwierig Anwendungsbeispiele für Firmen: Mailverkehr (Hotmail, Gmail) Internet-Auftritt -> Webshops Terminsuche Internet-Telefonie Dokumentenaustausch Dokumentenbearbeitung (Google Docs) Speicherplatz
28 Die Zukunft der IT Kann die Interne Revision damit Schritt halten IT-Bedrohungslage Angriffstrends IT-Sicherheits-Modethemen Strategische IT-Trends IT-Bedrohungslage Viren, Würmer und andere Malware Polymorphe Schadprogramme zunehmend auch auf mobilen Endgeräten zunehmend auch gegen exotische Ziele zunehmend für Botnetze und Keylogger Angriffsmethoden Phishing, Farming und andere Social Engineering-Attacken (siehe nächstes Slide) Anstieg von Ausfällen
29 Angriffs-Trends Quelle: u.a. SYSDATA 6/09 Social Engineering-Attacken gut personalisierte Angriffe Angriffe mit angeblichen Sicherheitstools Angriffe über Social Networking Plattformen URL-Abkürzungsdienste Angriffe in korrekter Sprache IT-Sicherheits-Modethemen zur Verminderung von IT-Risiken Data Leakage Prevention / Protection Fraud Prevention Identity & Access Management PCI DSS Kryptographie-Anwendungen Digital Rights Management Records Management Trust Management
30 Strategische IT-Trends Gartner-Orakel 2010 Cloud Computing Advanced Analytics Client Computing Green IT Effizientere Rechenzentren Social Computing Aktives Monitoring Flash Memory Virtualisierung Mobile Anwendungen
31 Zusammenarbeit Interne/Externe Revision mit IT-Revision Optik (externer) Wirtschaftsprüfer Optik interne Revision Externe Revision Aufgaben und Verantwortlichkeiten Externe Revision ist nicht Teil der Internen Kontrolle, berücksichtigt aber im Rahmen des risikoorientierten Prüfansatzes deren Ausgestaltung und Qualität. begutachtet die Ausgestaltung der Internen Kontrolle und der Risikobeurteilung, was Aussagen zur Ordnungsmässigkeit der Buchführung und Rechnungslegung ermöglicht. basiert auf: Interne Kontrolle in der Schweizer Praxis, KPMG 2005
32 Optik Externe Revision Zusammenarbeit mit der IT-Revision Strategische Prüfungsplanung Berücksichtigung von IT-Aspekten Fokus finanzrelevante Anwendungen Integrale Prüfung von Anwendungen (siehe Optik Interne Prüfung) Fokus (wenige) generelle IT-Kontrollen wenn überhaupt Jahresabschlussprüfung Sinnvolle IT-Prüfungen als Basis der Abschlussprüfung Aktuelle Übersicht über die Informationsverarbeitung Analyse der IT-Risiken Kontrolle der Betriebssysteme (Sicherheit) Kontrolle der Datenbank (Sicherheit) Kontrolle der IT-Prozesse Prüfung der IT-abhängigen Geschäftsprozesse Prüfung des Zugriffschutzsystems zu Applikationen Analyse der Bewegungsdaten Einhalteprüfungen regulatorischer Vorschriften
33 Ausgangslage Neue Ausgangslage gemäss Art. 728O Gemäss Art. 728a OR ist ab Geschäftsjahr 2008 Existenz eines Internen Kontrollsystems zu bestätigen Gemäss PS890 sind die Risiken im Informatikbereich zu prüfen: < Kontrollen im Informatikbereich sind umso wichtiger, je stärker der Rechnungslegungs- und Berichterstattungsprozess von Informatik-Systemen abhängig ist und je höher das Risiko ist, dass Fehler ihre Ursache im Aufbau von und Umgang mit Informatik-Systemen haben könnten > Moderner Prüfungsansatz (HWP 3.22) Phase 1 Prüfungsvorbereitung Phase 2 Prüfungsplanung Vorgehen gemäss HWP 1992 Wesentlichkeit Interne Kontrollen strategische Planung Risikobeurteilung Informatik Analyse der Jahresrechnung Datenmenge Strategiefestlegung Detailplanung Phase 3 Prüfungsdurchführung Phase 4 Prüfungsabschluss & Berichterstattung
34 Neues Vorgehensmodell IT-Risikoanalyse Vorgehensmodell IT-Risikoanalyse für KMU-Prüfer 8.12.2009 Geschäftsprozesse IT-Anwendungen (Automatisierte Prozesse) IT-Basissysteme (z.b. SAP, IMS, Oracle, ) Entwickelt durch Peter Steuri Peter R. Bitterli Reviewt von den anderen Mitgliedern des Fachstabs für Informatik der Schweiz. Treuhand-Kammer derzeit in Vernehmlassung IT-Infrastruktur (Hardware, Kommunikationsnetz) = Risiko = Kontrolle ITACS Training Neues Vorgehensmodell IT-Risikoanalyse Das Vorgehensmodell unterstützt den Wirtschaftsprüfer bei der Erkennung und Bewertung von möglichen Risiken, die vom Informatikeinsatz ausgehen deckt die im PS890 angesprochenen generellen Informatik-Kontrollen ab fokussiert auf für Buchführung und Rechnungslegung relevanten Bereiche ist unabhängig von der Art der Revision; es orientiert sich an der Bedeutung der Informatik Herausforderung 68 IT
35 IT-Kurzcheck Warum? Gute Gründe auch ausserhalb der ordentlichen Revision (I) Ordentliche Revision Beurteilung IT-Risiken ist Teil der strategischen Prüfungsplanung Auswahl weiterer Prüfungen Eingeschränkte Revision Beurteilung IT-Risiken ist freiwillig aber sinnvoll Empfehlung weiterer Prüfungen Weitere gute Gründe: hohe Abhängigkeit von der Informatik unklare Abhängigkeit von der Informatik ausgelagerte Informatik Türöffner für vertiefte Untersuchungen (aus Optik Revision) Kunde als Partner anschauen Neues Vorgehensmodell IT-Risikoanalyse Ansatz in zwei resp. drei Phasen Im Vorgehensmodell enthalten Phase-1: Grobe Risikoeinschätzung Phase-2: Erhebung Informatikeinsatz Im Vorgehensmodell nicht enthalten Umfassende Informatik-Revision Herausforderung 70 IT
36 Inhalte der Phase-2 20 Themen / 91 Fragen; grösstenteils generelle IT-Kontrollen IT-relevante Dokumentation (4) Organisation der IT (7) IT-Governance (6) IT-Risikomanagement (3) Compliance (2) IT-Projektmanagement (6) Software-Entwicklung (7) Testen von Anwendungen (5) Rechnungswesen (3) direkte Anwend.kontrollen (4) unterstützende Anwendungskontrollen (5) Anwender-Richtlinien (3) Anwender-Ausbildung (3) Zugriffsschutz (5) IT-Sicherheit (6) Physische Sicherheit (3) IT-Betrieb (7) Problem Management (3) Datensicherung (5) Outsourcing (4) Herausforderung 71 IT Ergebnisse der Phase-2 20 Themen / 91 Fragen; grösstenteils generelle IT-Kontrollen Bank IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Kleinst-Spital IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Problem Management 2.5 IT-Risikomanagement Problem Management 2.5 IT-Risikomanagement 2 2 IT-Betrieb 1.5 1 Compliance IT-Betrieb 1.5 1 Compliance 0.5 0.5 Physische Sicherheit 0 IT-Projektmanagement Physische Sicherheit 0 IT-Projektmanagement IT-Sicherheit Software-Entwicklung IT-Sicherheit Software-Entwicklung Zugriffsschutz Testen von Anwendungen Zugriffsschutz Testen von Anwendungen Anwender-Ausbildung Rechnungswesen Anwender-Ausbildung Rechnungswesen Anwender-Richtlinien direkte Anwend.kontrollen Anwender-Richtlinien direkte Anwend.kontrollen unterstützende Anwendungskontrollen unterstützende Anwendungskontrollen Industrie IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Treuhand IT-relevante Dokumentation Outsourcing 4 Organisation der IT 3.5 Datensicherung IT-Governance 3 Problem Management 2.5 IT-Risikomanagement Problem Management 2.5 IT-Risikomanagement 2 2 IT-Betrieb 1.5 1 Compliance IT-Betrieb 1.5 1 Compliance 0.5 0.5 Physische Sicherheit 0 IT-Projektmanagement Physische Sicherheit 0 IT-Projektmanagement IT-Sicherheit Software-Entwicklung IT-Sicherheit Software-Entwicklung Zugriffsschutz Testen von Anwendungen Zugriffsschutz Testen von Anwendungen Anwender-Ausbildung Rechnungswesen Anwender-Ausbildung Rechnungswesen Anwender-Richtlinien direkte Anwend.kontrollen Anwender-Richtlinien direkte Anwend.kontrollen unterstützende Anwendungskontrollen unterstützende Anwendungskontrollen
37 Ausbaumöglichkeiten Vergleich Soll-/Ist-Profil der generellen IT-Kontrollen Interne Revision Aufgaben und Verantwortlichkeiten Interne Revision unterstützt in erster Linie den Verwaltungsrat bei der Wahrnehmung der Funktion als oberstes Organ im Unternehmen. In dieser Rolle beurteilt sie die Steuerungs- und Kontroll-Prozesse sowie das Risikomanagement des Unternehmens und kommuniziert die Erkenntnisse dem Verwaltungsrat bzw. dem Audit Committee. Ebenso werden Prozessverbesserungen vorgeschlagen. Die Interne Revision hat auch die Effizienz und Effektivität der Internen Kontrolle zu beurteilen. Quelle: Interne Kontrolle in der Schweizer Praxis, KPMG 2005
38 Optik Interne Revision Zusammenarbeit mit der IT-Revision Fokus integrale Anwendungsprüfung Vorgehensmodell Anwendungsprüfung Umfassendere Infrastruktur-Prüfungen ERP-Plattformen Oursourcing-Provider Vorgehensmodell Anwendungsprüfung entwickelt vom Fachstab für Informatik der Schweiz. Treuhand-Kammer Ursprungssprache Deutsch (Mai 08) übersetzt auf Französisch (November 08) Englisch (durch den European Court of Auditors; Juni 09) Weder Prüfungsstandard (PS) noch Prüfungsempfehlung (PE) sondern eine Information
39 Vorgehensansatz: Ziele Für die Prüfung (IT-gestützter) Anwendungen: integrierter, gemeinsamer Ansatz für Finanzwie für IT-Prüfer geeignete Berücksichtung aller wichtiger Aspekte sowohl IT wie nicht-it Prüfung wichtiger IT-Aspekte mit signifikanten Auswirkungen auf die Prüfziele Minimierung des Prüfungsrisikos
40 Unser Ansatz: 8 empfohlene Schritte 1 2 3 4 5 6 7 8 Analyse von Bilanz und Erfolgsrechnung Identifikation der Geschäftsprozesse und Datenflüsse Identifikation der Kernanwendungen und der wichtigsten IT-relevanten Schnittstellen Identifikation der Risiken und Schlüsselkontrollen Walk-through Beurteilung des Kontroll-Designs Beurteilung der Umsetzung der Kontrollen Gesamtbetrachtung und Ergebnisfindung Analyse der finanziellen Berichterstattung und diesbezügliche Risiken ermöglicht Identifikation der wichtigen Anwendungen Analyse der Qualität des Kontrollsystems Design Effectiveness Operational Effectiveness Prüfung der generellen IT- Kontrollen nicht abgedeckt!
41 Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Integrale Prüfung Weil das korrekte Funktionieren heutiger Anwendungen letztlich immer auch die automatisierten Geschäftsprozesse = IT-Anwendungen umfasst ERP- und andere komplexe Anwendungen weil sie einen wesentlichen Anteil am Unternehmenserfolg haben und nicht wirklich optimal laufen weil sogar Standsoftware fehleranfällig ist -> Prüfungen durch die gesamte Cremeschnitte! Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Generellen IT-Kontrollen weil ihr Versagen halt doch Auswirkungen hat auf Themen wie Funktionentrennung, Ordnungsmässigkeit, usw. Outsourcing weil man letztlich vom Provider nur das bekommt, was man bestellt und weil man nur das wirklich bekommt, was man auch ausreichend überwacht und weil aus den Augen aus dem Sinn für den Revisor sowieso keine gute Lösung ist
42 Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Technologie Virtualisierung weil sie reichlich problembehaftet ist auch bei rein interner Anwendung weil auch die generellen IT-Kontrollen bis zu einem gewissen Grad an die Virtualisierung angepasst werden müssten Cloud Computing weil zwangsläufig GL und CIO aus Kostengründen diese Services auch extern beziehen wollen und werden! Was gibt es sonst zu tun? Gute Gründe für einen Ausbau der (internen) IT-Revision Neue (IT-)Projekte immer begleiten! Strategisch: frühzeitiges Einklinken in Investitions-Management Projektportfolio-Management Multi-Compliance Management Taktisch: projektbegleitende Prüfungen Eigenentwicklungen (selber/ausgelagert) bei wichtigsten Phasen Standard-Software (ob minimal angepasst oder stark konfiguriert): bei Anforderungsdefinition bei Testkonzept und Abnahme
43 Personalsituation IT-Revision hat nicht nur mit IT-Revisoren zu tun Generelle Überlegungen Mangel an Informatikern auf Schweizer Markt (und weltweit) Mangel an ausgebildeten Informatik- Prüfern Mangel an IT-affinen Fach-/Finanzprüfern Auslagerung interne IT-Revision -> extern nur teilweise sinnvoll Ursachen IT-Revision hat nicht nur mit IT-Revisoren zu tun Ursachen für nicht ausreichend kompetente interne Revision: Unverständnis dafür, dass die IT so wichtig sein kann Unwillen, IT-Schichten der Cremeschnitte wirksam anzupacken Unwillen, die Problematik holistisch anzugehen Personalmangel
44 Schlussfolgerungen Interne Revisoren benötigen (mindestens) eine vernünftige Grundausbildung in IT Team-Leiter und Revisions-Leiter benötigen breite Ausbildung in IT-Revision (CISA) Informatik-Revisoren benötigen zusätzlich zur breiten Ausbildung in IT-Revision (CISA) auch ausreichende Aktualisierungen hinsichtlich: technologischer Entwicklungen Tools Revision an sich Kontaktangaben Revision und Beratung Bitterli Consulting AG www.bitterli-consulting.ch Tel: 044 444 11 00 Ausbildung (inkl. inhouse-training) ITACS Training AG Tel: 044 444 11 01 www.itacs.ch Standardisierte Prüfungsdienstleistungen BPREX Group AG Tel: 044 444 11 04 www.bprex.ch Peter R. Bitterli Dipl. math. ETH, CISA, CISM, CGEIT persönliche Mailanschrift prb@bitterli-consulting.ch Postanschrift alle Firmen Stampfenbachstr. 40, 8006 Zürich Fax: 044 444 11 01