Wesentliche Aspekte der Berichterstattung von IT-Issues

Transcrição

Wesentliche Aspekte der
Berichterstattung von IT-Issues
Reto Bürgi, Leiter IT Audit
Inhalt

Nationale Suisse

Berichterstattung: IIA vs. ISACA

Revisionsbericht

Detailbericht

Beispiel Benutzerverwaltung

Pendenzenverwaltung

Interne und externe Revision
2
R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues”
Nationale Suisse
Schweizerische National-Versicherungs-Gesellschaft AG

Schweizer Versicherer, Hauptsitz in Basel

Risiko- und Vorsorgelösungen sowie für massgeschneiderte Nischenprodukte

Bruttoprämien 1.7 Milliarden Schweizer Franken

Tochtergesellschaften in Deutschland, Belgien, Italien, Spanien und Liechtenstein

Ca. 1800 Mitarbeiter
3
Nationale Suisse
Corporate Audit
VR Präsident
Dr René Theler
Audit Committee
Stephan A. J. Bachmann
Administrative reporting
Functional reporting
Corporate Audit
CAE Armin Suter
Schweiz
2 Auditors
Ausland
3 Auditors
IT Audit
1 IT Auditor für ganze Gruppe
4
IIA Standard „2400 Communicating Results“ ohne entsprechende Regelung durch ISACA
2410
Criteria for Communicating
2410.A2 Internal auditors are encouraged to
acknowledge satisfactory performance in
engagement communications.
2421
Errors and Omissions
If a final communication contains a significant
error or omission, the chief audit executive
must communicate corrected information to all
parties who received the original
communication.
2440
Disseminating Results
2440.A1 The chief audit executive is responsible for
communicating the final results to parties who
can ensure that the results are given due
consideration.
5
Nicht explizit geregelt durch ISACA

IS Auditing Standard
Reporting
Document #S7

IS Auditing Guideline
Reporting
Document G20
Revisionsbericht
Empfänger des Revisionsberichts
Audit Committee
Mitglieder AC
VR Präsident
Dr. R. Theler 1
Geschäftsleitung
Mitglieder der GL
Geschäftsleitungsbereich
Zuständiges GL-Mitglied
Abteilung
Abteilungsleiter
Revidierter Bereich
Auditee
1
6
erhält nur Zusammenfassung des Berichts
Externe Revision
Mandatsleiter / Revisionsleiter
Revisionsbericht
Inhalt

Zusammenfassung
− Auftrag, Ziel und Umfang
− Durchführung (Vorgehen und Methodik)
− Zusammenfassung der wesentlichen Feststellungen
− Schlussbemerkung

Detailbericht
− Feststellung/Empfehlung 1
− Feststellung/Empfehlung 2
− Zusätzliche Feststellungen

7
Dossierprüfung
Detailbericht
Inhalt eines Berichtspunktes

Feststellung

Risiko

Empfehlung

Priorität
1
hohe Wesentlichkeit (signifikante Kontrollschwäche)
2
mittlere Wesentlichkeit (mässige Kontrollschwäche)
3
tiefe Wesentlichkeit (geringe Kontrollschwäche)

Verantwortliche Person

Umsetzungstermin
8
Feststellung

Der Prozess zur Verwaltung von Benutzern funktioniert nicht einwandfrei. Über 10% der aktiven
Benutzeraccounts können nicht derzeitigen Mitarbeitern zugeordnet werden. Diese Accounts gehören zu
ehemaligen Mitarbeitern sowie aktiven und ehemaligen externen Mitarbeitern.

Regelmässige Reviews von Benutzerkonten und Berechtigungen werden nicht durchgeführt.

Benutzerkonten für externe Mitarbeiter werden durch den jeweiligen Linienvorgesetzten beantragt. Dieser wäre
auch verantwortlich, die Deaktivierung von Accounts zu veranlassen, welche nicht mehr benötigt werden, was
offensichtlich nicht zuverlässig funktioniert.
Risiko

Nicht berechtigte Zugriffe durch Externe

Nicht berechtigte Zugriffe durch Mitarbeiter

Missbrauch von Benutzerkonten ehemaliger Mitarbeiter

Vertraulichkeit, Datenintegrität, etc.
Priorität
1 – hoch
9
Betroffene Bereiche
CEO
Operations
Finanzen
Investment
Etc.
Corporate Security Officer
Group IT
IT Betrieb
10
HR Management
Feststellung

Der Prozess zur Verwaltung von Benutzern funktioniert nicht einwandfrei. Über 10% der aktiven
Benutzeraccounts können nicht derzeitigen Mitarbeitern zugeordnet werden. Diese Accounts gehören zu
ehemaligen Mitarbeitern sowie aktiven und ehemaligen externen Mitarbeitern.

Regelmässige Reviews von Benutzerkonten und Berechtigungen werden nicht durchgeführt.

Benutzerkonten für externe Mitarbeiter werden durch den jeweiligen Linienvorgesetzten beantragt. Dieser wäre
auch verantwortlich, die Deaktivierung von Accounts zu veranlassen, welche nicht mehr benötigt werden, was
offensichtlich nicht zuverlässig funktioniert.
Empfehlung 1
Empfehlung 2
Kurzfristige Massnahme:
Prozess zur Verwaltung von
• Nicht mehr benötigte Benutzerkonten Benutzerkonten zentral durch HRM
steuern und kontrollieren
sperren
Empfehlung 3
Benutzerkonten und Berechtigungen
müssen regelmässig überprüft werden
• Benutzerkonten von externen
Mitarbeitern erhalten Ablaufdatum
IT-Betrieb
HRM (führende Rolle)
IT-Betrieb
CISO
(Business)
31. Dezember 2008
31. März 2009
30. Juni 2009
11
Pendenzenverwaltung

Web-basierende Applikation

Benutzer (Verantwortliche) erfassen Status Updates

Umsetzung wird durch Interne Revision überwacht

Information an Audit Committee
12
Pendenzenverwaltung
13
Interne und Externe Revision

Koordination der Jahresplanung

Berichte der internen Revision
− Externe Revision stützt sich darauf ab
− Prüft das betroffene Gebiet nicht selber

Berichte der externen Revision
− Gebiet wird durch interne Revision i.d.R. nicht geprüft
− Wird in Pendenzenverwaltung aufgenommen
14
Die wesentlichen Aspekte

Standards von IIA und ISACA sind kompatibel
− ISACA bzgl. Berichterstattung weniger konkret

Keine grundsätzlichen Unterschiede in Berichterstattung zwischen Business und IT Issues

Selten reine IT Issues, die nur die IT betreffen

IT Issues allgemeinverständlich formuliert, technische Details können ausserhalb kommuniziert werden

Termineinhaltung bei Umsetzung teilweise schwierig aufgrund verteilter Verantwortung
15
Fragen, andere Erfahrungen?
16
Links

The IIA Performance Standards
http://www.theiia.org/guidance/standards-and-guidance/ippf/standards/standards-items/?C=3094

The ISACA IS Auditing Standard Reporting S7
http://www.isaca.org/ Standards, Standards for IT Audit and Assurance

The ISACA IS Auditing Guideline Reporting G20
http://www.isaca.org/ Standards, IT Audit and Assurance Guidelines
17
IIA Standard
2400
Communicating Results
Internal auditors must communicate the
engagement results.
2410
ISACA Standard1 or Guideline2
S7 – 03 The IS auditor should provide a report, in an
appropriate form, upon completion of the audit.
Communications must include the
S7 – 04 The audit report should state the scope,
engagement's objectives and scope as well as
objectives…
applicable conclusions, recommendations, and
S7 – 05 The report should state the findings,
action plans.
conclusions and recommendations…
2410.A1 Final communication of engagement results
must, where appropriate, contain internal
auditors' overall opinion and/or conclusions.
2410.A2 Internal auditors are encouraged to
acknowledge satisfactory performance in
engagement communications.
1
2
IS Auditing Standard – Reporting – Document S7
IS Auditing Guideline – Reporting – Document G20
18
G20
4.3.2
An expression of opinion about whether, in all
material respects, the design and operation of
control procedures in relation to the area of
activity were effective
No direct counterpart
IIA Standard
ISACA Standard or Guideline
2410.A3 When releasing engagement results to parties S7 – 03 The report should identify the organisation, the
outside the organization, the communication
intended recipients and any restrictions on
must include limitations on distribution and use
circulation.
of the results.
2420
Quality of Communication
Communications must be accurate, objective,
clear, concise, constructive, complete, and
timely.
G20
1.2.6
Criteria should be:
Objective – Free from bias
Measurable – Provide for consistent
measurement
Complete – Include all relevant factors to
reach a conclusion
Relevant – Relate to the subject matter
2421
Errors and Omissions
If a final communication contains a significant
error or omission, the chief audit executive
must communicate corrected information to all
parties who received the original
communication.
19
IIA Standard
2430
Use of “Conducted in Conformance with
the International Standards for the
Professional Practice of Internal Auditing”
G20
4.3.2
2431
Engagement Disclosure of
Nonconformance
When nonconformance with the Definition of
Internal Auditing, the Code of Ethics or the
Standards impacts a specific engagement,
communication of the results must disclose
the:
Principle or rule of conduct of the Code of
Ethics or Standard(s) with which full
conformance was not achieved;
Reason(s) for nonconformance; and
Impact of nonconformance on the
engagement and the communicated
engagement results.
20
Statement that the audit has been conducted in
accordance with ISACA IS Auditing Standards
or other applicable professional standards
S7 – 05 The report should state […] any reservations,
qualifications or limitations in scope that the IS
auditor has with respect to the audit.
IIA Standard
2440
The chief audit executive must communicate
results to the appropriate parties.
2440.A1 The chief audit executive is responsible for
communicating the final results to parties who
can ensure that the results are given due
consideration.
2440.A2 If not otherwise mandated by legal, statutory,
or regulatory requirements, prior to releasing
results to parties outside the organization the
chief audit executive must:
Assess the potential risk to the
organization;
Consult with senior management and/or
legal counsel as appropriate; and
Control dissemination by restricting the use
of the results.
21
S7 – 07 When issued, the IS auditor's report should be
signed, dated and distributed according to the
terms of the audit charter or engagement letter.
S7 – 03 The IS auditor should provide a report, in an
appropriate form, upon completion of the audit.
The report should identify the organisation, the
intended recipients and any restrictions on
circulation.
ISACA IS Auditing Standard Reporting S7
IIA Standard
03 The IS auditor should provide a report, in an
appropriate form, upon completion of the audit. The
report should identify the organisation, the intended
recipients and any restrictions on circulation.
2400
Communicating Results
2410.A3
2440.A2
04 The audit report should state the scope, objectives, 2410
period of coverage and the nature, timing and extent
of the audit work performed.
05 The report should state the findings, conclusions and 2410
recommendations and any reservations,
2431
qualifications or limitations in scope that the IS
auditor has with respect to the audit.
06 The IS auditor should have sufficient and
appropriate audit evidence to support the results
reported.
Documenting Information
2330
07 When issued, the IS auditor's report should be
2440
signed, dated and distributed according to the terms
of the audit charter or engagement letter.
22
Engagement Disclosure of Nonconformance

Wesentliche Aspekte der Berichterstattung von IT-Issues

Transcrição

Documentos relacionados

BARD Engineering - breadcrumbsandberries

Pressebericht im Sendlinger Anzeiger - Uschold

5S / Audit-Checkliste

Altlasten intensiv 2012

Karte und Anfahrtsbeschreibung

Audit Software Messe

Verabredungen zum Suizid im Internet

Stellenzeige herunterladen

Zertifikat als pdf zum

2009 Volksbank Herrenberg