Wesentliche Aspekte der Berichterstattung von IT-Issues
Transcrição
Wesentliche Aspekte der Berichterstattung von IT-Issues
Wesentliche Aspekte der Berichterstattung von IT-Issues Reto Bürgi, Leiter IT Audit Inhalt Nationale Suisse Berichterstattung: IIA vs. ISACA Revisionsbericht Detailbericht Beispiel Benutzerverwaltung Pendenzenverwaltung Interne und externe Revision 2 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Nationale Suisse Schweizerische National-Versicherungs-Gesellschaft AG Schweizer Versicherer, Hauptsitz in Basel Risiko- und Vorsorgelösungen sowie für massgeschneiderte Nischenprodukte Bruttoprämien 1.7 Milliarden Schweizer Franken Tochtergesellschaften in Deutschland, Belgien, Italien, Spanien und Liechtenstein Ca. 1800 Mitarbeiter 3 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Nationale Suisse Corporate Audit VR Präsident Dr René Theler Audit Committee Stephan A. J. Bachmann Administrative reporting Functional reporting Corporate Audit CAE Armin Suter Schweiz 2 Auditors Ausland 3 Auditors IT Audit 1 IT Auditor für ganze Gruppe 4 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Berichterstattung: IIA vs. ISACA IIA Standard „2400 Communicating Results“ ohne entsprechende Regelung durch ISACA 2410 Criteria for Communicating 2410.A2 Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 2421 Errors and Omissions If a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the original communication. 2440 Disseminating Results 2440.A1 The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration. 5 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Nicht explizit geregelt durch ISACA IS Auditing Standard Reporting Document #S7 IS Auditing Guideline Reporting Document G20 Revisionsbericht Empfänger des Revisionsberichts Audit Committee Mitglieder AC VR Präsident Dr. R. Theler 1 Geschäftsleitung Mitglieder der GL Geschäftsleitungsbereich Zuständiges GL-Mitglied Abteilung Abteilungsleiter Revidierter Bereich Auditee 1 6 erhält nur Zusammenfassung des Berichts R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Externe Revision Mandatsleiter / Revisionsleiter Revisionsbericht Inhalt Zusammenfassung − Auftrag, Ziel und Umfang − Durchführung (Vorgehen und Methodik) − Zusammenfassung der wesentlichen Feststellungen − Schlussbemerkung Detailbericht − Feststellung/Empfehlung 1 − Feststellung/Empfehlung 2 − Zusätzliche Feststellungen 7 Dossierprüfung R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Detailbericht Inhalt eines Berichtspunktes Feststellung Risiko Empfehlung Priorität 1 hohe Wesentlichkeit (signifikante Kontrollschwäche) 2 mittlere Wesentlichkeit (mässige Kontrollschwäche) 3 tiefe Wesentlichkeit (geringe Kontrollschwäche) Verantwortliche Person Umsetzungstermin 8 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Beispiel Benutzerverwaltung Feststellung Der Prozess zur Verwaltung von Benutzern funktioniert nicht einwandfrei. Über 10% der aktiven Benutzeraccounts können nicht derzeitigen Mitarbeitern zugeordnet werden. Diese Accounts gehören zu ehemaligen Mitarbeitern sowie aktiven und ehemaligen externen Mitarbeitern. Regelmässige Reviews von Benutzerkonten und Berechtigungen werden nicht durchgeführt. Benutzerkonten für externe Mitarbeiter werden durch den jeweiligen Linienvorgesetzten beantragt. Dieser wäre auch verantwortlich, die Deaktivierung von Accounts zu veranlassen, welche nicht mehr benötigt werden, was offensichtlich nicht zuverlässig funktioniert. Risiko Nicht berechtigte Zugriffe durch Externe Nicht berechtigte Zugriffe durch Mitarbeiter Missbrauch von Benutzerkonten ehemaliger Mitarbeiter Vertraulichkeit, Datenintegrität, etc. Priorität 1 – hoch 9 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Beispiel Benutzerverwaltung Betroffene Bereiche CEO Operations Finanzen Investment Etc. Corporate Security Officer Group IT IT Betrieb 10 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” HR Management Beispiel Benutzerverwaltung Feststellung Der Prozess zur Verwaltung von Benutzern funktioniert nicht einwandfrei. Über 10% der aktiven Benutzeraccounts können nicht derzeitigen Mitarbeitern zugeordnet werden. Diese Accounts gehören zu ehemaligen Mitarbeitern sowie aktiven und ehemaligen externen Mitarbeitern. Regelmässige Reviews von Benutzerkonten und Berechtigungen werden nicht durchgeführt. Benutzerkonten für externe Mitarbeiter werden durch den jeweiligen Linienvorgesetzten beantragt. Dieser wäre auch verantwortlich, die Deaktivierung von Accounts zu veranlassen, welche nicht mehr benötigt werden, was offensichtlich nicht zuverlässig funktioniert. Empfehlung 1 Empfehlung 2 Kurzfristige Massnahme: Prozess zur Verwaltung von • Nicht mehr benötigte Benutzerkonten Benutzerkonten zentral durch HRM steuern und kontrollieren sperren Empfehlung 3 Benutzerkonten und Berechtigungen müssen regelmässig überprüft werden • Benutzerkonten von externen Mitarbeitern erhalten Ablaufdatum IT-Betrieb HRM (führende Rolle) IT-Betrieb CISO (Business) 31. Dezember 2008 31. März 2009 30. Juni 2009 11 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Pendenzenverwaltung Web-basierende Applikation Benutzer (Verantwortliche) erfassen Status Updates Umsetzung wird durch Interne Revision überwacht Information an Audit Committee 12 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Pendenzenverwaltung 13 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Interne und Externe Revision Koordination der Jahresplanung Berichte der internen Revision − Externe Revision stützt sich darauf ab − Prüft das betroffene Gebiet nicht selber Berichte der externen Revision − Gebiet wird durch interne Revision i.d.R. nicht geprüft − Wird in Pendenzenverwaltung aufgenommen 14 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Die wesentlichen Aspekte Standards von IIA und ISACA sind kompatibel − ISACA bzgl. Berichterstattung weniger konkret Keine grundsätzlichen Unterschiede in Berichterstattung zwischen Business und IT Issues Selten reine IT Issues, die nur die IT betreffen IT Issues allgemeinverständlich formuliert, technische Details können ausserhalb kommuniziert werden Termineinhaltung bei Umsetzung teilweise schwierig aufgrund verteilter Verantwortung 15 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Fragen, andere Erfahrungen? 16 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Links The IIA Performance Standards http://www.theiia.org/guidance/standards-and-guidance/ippf/standards/standards-items/?C=3094 The ISACA IS Auditing Standard Reporting S7 http://www.isaca.org/ Standards, Standards for IT Audit and Assurance The ISACA IS Auditing Guideline Reporting G20 http://www.isaca.org/ Standards, IT Audit and Assurance Guidelines 17 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Berichterstattung: IIA vs. ISACA IIA Standard 2400 Communicating Results Internal auditors must communicate the engagement results. 2410 ISACA Standard1 or Guideline2 S7 – 03 The IS auditor should provide a report, in an appropriate form, upon completion of the audit. Criteria for Communicating Communications must include the S7 – 04 The audit report should state the scope, engagement's objectives and scope as well as objectives… applicable conclusions, recommendations, and S7 – 05 The report should state the findings, action plans. conclusions and recommendations… 2410.A1 Final communication of engagement results must, where appropriate, contain internal auditors' overall opinion and/or conclusions. 2410.A2 Internal auditors are encouraged to acknowledge satisfactory performance in engagement communications. 1 2 IS Auditing Standard – Reporting – Document S7 IS Auditing Guideline – Reporting – Document G20 18 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” G20 4.3.2 An expression of opinion about whether, in all material respects, the design and operation of control procedures in relation to the area of activity were effective No direct counterpart Berichterstattung: IIA vs. ISACA IIA Standard ISACA Standard or Guideline 2410.A3 When releasing engagement results to parties S7 – 03 The report should identify the organisation, the outside the organization, the communication intended recipients and any restrictions on must include limitations on distribution and use circulation. of the results. 2420 Quality of Communication Communications must be accurate, objective, clear, concise, constructive, complete, and timely. G20 1.2.6 Criteria should be: Objective – Free from bias Measurable – Provide for consistent measurement Complete – Include all relevant factors to reach a conclusion Relevant – Relate to the subject matter 2421 Errors and Omissions If a final communication contains a significant error or omission, the chief audit executive must communicate corrected information to all parties who received the original communication. 19 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” No direct counterpart Berichterstattung: IIA vs. ISACA IIA Standard ISACA Standard or Guideline 2430 Use of “Conducted in Conformance with the International Standards for the Professional Practice of Internal Auditing” G20 4.3.2 2431 Engagement Disclosure of Nonconformance When nonconformance with the Definition of Internal Auditing, the Code of Ethics or the Standards impacts a specific engagement, communication of the results must disclose the: Principle or rule of conduct of the Code of Ethics or Standard(s) with which full conformance was not achieved; Reason(s) for nonconformance; and Impact of nonconformance on the engagement and the communicated engagement results. 20 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Statement that the audit has been conducted in accordance with ISACA IS Auditing Standards or other applicable professional standards S7 – 05 The report should state […] any reservations, qualifications or limitations in scope that the IS auditor has with respect to the audit. Berichterstattung: IIA vs. ISACA IIA Standard 2440 Disseminating Results The chief audit executive must communicate results to the appropriate parties. 2440.A1 The chief audit executive is responsible for communicating the final results to parties who can ensure that the results are given due consideration. 2440.A2 If not otherwise mandated by legal, statutory, or regulatory requirements, prior to releasing results to parties outside the organization the chief audit executive must: Assess the potential risk to the organization; Consult with senior management and/or legal counsel as appropriate; and Control dissemination by restricting the use of the results. 21 ISACA Standard or Guideline R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” S7 – 07 When issued, the IS auditor's report should be signed, dated and distributed according to the terms of the audit charter or engagement letter. No direct counterpart S7 – 03 The IS auditor should provide a report, in an appropriate form, upon completion of the audit. The report should identify the organisation, the intended recipients and any restrictions on circulation. Berichterstattung: IIA vs. ISACA ISACA IS Auditing Standard Reporting S7 IIA Standard 03 The IS auditor should provide a report, in an appropriate form, upon completion of the audit. The report should identify the organisation, the intended recipients and any restrictions on circulation. 2400 Communicating Results 2410.A3 2440.A2 04 The audit report should state the scope, objectives, 2410 period of coverage and the nature, timing and extent of the audit work performed. Criteria for Communicating 05 The report should state the findings, conclusions and 2410 recommendations and any reservations, 2431 qualifications or limitations in scope that the IS auditor has with respect to the audit. Criteria for Communicating 06 The IS auditor should have sufficient and appropriate audit evidence to support the results reported. Documenting Information 2330 07 When issued, the IS auditor's report should be 2440 signed, dated and distributed according to the terms of the audit charter or engagement letter. 22 R. Bürgi – Wesentliche Aspekte der Berichterstattung von “IT-Issues” Engagement Disclosure of Nonconformance Disseminating Results