Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
•1
Bild mit Bezug zuKunde oder Inhalt einfügen
'Einfügen -> Grafik -> Aus Datei'
Höhe 13.3 cmBreite 14.4 cm
Ein Praxisbericht
ISACA After Hours Seminar 2008
Zürich, 29. April 2008
Autor: Christian Balmer
Email-Adresse: [email protected]
IT-Revisionsplanung und -Durchführung
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
2 29. April 2008
Agenda
Das Umfeld – Unternehmen, IT-Führungsmodell, IT-Landschaft,Revisionsstandards
Risikoorientierte (Mehrjahres-)Prüfungsplanung – Abstimmung vonStakeholderansprüchen, Compliancevorgaben und Prüfbereichen
Prüfungsvorbereitung – Identifikation relevanter Prüffelder
Prüfungsdurchführung – Methodik, Dokumentation und Tools
Berichterstattung – Empfängergerechte Aufbereitung und Auswertung,Abnahmeinstanzen, vereinbarte Massnahmen
Pendenzenverwaltung und Nachschauprüfung (Follow-up) –Massnahmentracking
Projektbegleitung – Audit Agreement
Prüfung von Standardsoftware/-lösungen – Besonderheiten am Beispiel SAP
Ausblick Bankendienstleistungszentrum – Die Rolle als Konzernrevision versusInterne Revision der Tochter (Provider)
•2
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
3 29. April 2008
Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer Grossbank
Unternehmensgründung im Jahr 1870
Die Rechtsform entspricht einer selbstständigen öffentlich-rechtlichen Anstalt gemässkantonalem Recht, mit dem Zweck der Erfüllung des Leistungsauftrages (Versorgung,Unterstützung, Nachhaltigkeit) des Kantons Zürich
Die Kundensegmente bilden Privatkunden, Firmenkunden und Private Banking Kunden
Das Kerngeschäft umfasst Finanzierungen, Immobilien, Anlage-, Vorsorge- undVermögens-verwaltungsgeschäft, Handel, Kapitalmarkt, Zahlungsverkehr undWertschriftenabwicklung
Standard & Poor bewertet die ZKB mit «AAA»
Staatsgarantie
Ca. 4'400 Angestellte (FTE)
104 Niederlassungen im Kanton Zürich
Stark positive Gewinnentwicklung seit 2001, Eigenkapitalrentabilität 12,5% (31.12.07 )
Die Zürcher Kantonalbank (ZKB)Führende Finanzdienstleisterin im Wirtschaftsraum Zürich
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
4 29. April 2008
Das IT-Führungsmodell der ZKB
• Logistik• Privatkunden• Firmenkunden
Business Technology Organisation (BTO)
V
IT-S
teu
eru
ng
sa
us
sc
hu
ss I
IT-C
on
tro
llin
g
Informatik
LZKB FP
Beauftragung Rapportierung
Anforderungen Rapportierung
Pri
ori
sie
run
g
Fre
iga
be
Ra
pp
ort
ieru
ng
Üb
erw
ach
un
g,
Be
urt
eilu
ngZ
• Investment & Privatbanking• Finanz• Gesamtleitung
Vergangenheit
•3
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
5 29. April 2008
Die IT-Landschaft der ZKB - "Big Picture"
Übersicht über das Modell
Management -Prozesse
Vertrieb
Geldverkehr
Finanzierungen & Immobilien
Anlagen, Vermögensverwaltung und Handel
Support -Prozesse
Vertriebsmanagement Produktemanagement Kommunikation PersonalFinanzmanagement
(inkl. Risikosteuerung) Compliance
Akquisition
Kundenbetreuung
Service /Basisdienstleistungen
KundenberatungGeldverkehr
Verarbeitung
Zahlungsverkehrunbar
BestandesführungGeld
BestandesführungKarten
BestandesführungFinanzierungen
BestandesführungSicherheiten
BestandesführungGrundstücke/Immobilien
Handel Asset Management Wertschriften -abwicklung
BestandesführungWertschriften
KundenberatungFinanzierungen
KundenberatungAnlagen & VV
Geschäfts -verwaltung
Informations -sicherheit
InformatikDokumenten -Management
Pricing & Verrechnung
Internes Reporting/Daten auswerten
Auftrags -/Produktionssteuerung
Referenz -Stammdaten
Partner -verwaltung
Kundenreporting
WSAWSA
ASDASD
CIFCIF
Laufendes Programm
Geplantes Programm
Finanzinformationen
Mainframe
Mainframe
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
6 29. April 2008
Anwendung von Revisionsstandardssowie Best Practices
Audit
IIA-Standards (SVIR)
Prüfungsstandards
COSO Framework für Risikoanalyse
Basel II
IIR (Deutsches Institut für Interne Revision e.V.)etc.
Informatik
CISA Review Manual/ ISACA StandardsCobiT 3 / 4.1ISO 20000 (Service Management), ITILISO 27000 (IT Security)BSI IT-GrundschutzProduktspezifische Leitfäden (SAP, AIX,Oracle)
•4
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
7 29. April 2008
These 1
Mit den Berufsbildern CISA® undCISM® sowie dem internationalanerkannten Rahmenwerk CobiT®
verfügt der IT-Revisor über einenRucksack, der ihn für alle Informatik-Revisionsaufgaben rüstet.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
8 29. April 2008
Die Aufgaben der Informatik-Revision
Sie analysiert und beurteilt die Zweckmässigkeit der IT-Risikosteuerungsowie die Angemessenheit der Aufbau- und Ablauforganisation derInformatik und der in den Geschäftsprozessen eingesetztenautomatisierten Schlüsselkontrollen in Bezug auf effiziente Zielerreichungder Unternehmung.
Sie prüft, ob die Kontrollen der Informationssysteme den in Gesetzen,Verordnungen, Statuten, Reglementen, Verträgen sowie internenWeisungen und Richtlinien festgelegten Normen sowie den Geschäftsan-sprüchen entsprechen.
Sie berät und unterstützt die verantwortlichen Fachstellen und das IT-Engineering bei der Planung, Beschaffung, Entwicklung oder Änderungund Implementierung der Kontrollen in Informationssystemen.
Sie stellt der Fachrevision die für ihre Prüfungen notwendigen Aus-wertungen zur Verfügung.
•5
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
9 29. April 2008
Leitung AIdisziplinarische Führung
Prüf-/RessourcenplanungGesamtrisikobeurteilungQualitätsmanagement
IT-Infrastruktur(Hardware, Netzwerk, Web)System-/Prozessprüfungen
Sicherheitsprüfungen, Follow-upProjektbegleitungen
Basis-technologie
zentral/dezentral
Standard-lösungenAvaloq
IT-GovernanceIT-Risikoevaluationaufsichtsrechtliche
AnforderungenKoordination Prüfprogramm
Management-ProzessprüfungenFollow-up, Projektbegleitungen
Daten-management
Support PCReporting
IT-Prozess-management
Daten und SupportAbklärungen
Auswertungen, SupportSpezialprüfungen, Follow-up
Projektbegleitungen
Applikationen/Schnittstellen(Geschäftsanwendungen)
System-/ProzessprüfungenEinhalteprüfungen, Follow-up
Projektbegleitungen
Standard-lösungen
SAP
Individual-lösungenmake/buy
Funktionendiagramm Audit Informatik der ZKBabgeleitet aus dem CISA-Berufsbild
Dotation: 8 FTE
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
10 29. April 2008
These 2
Der Einfluss der IT-Revision auf dierisikoorientierte(Gesamt-)Revisionsplanung bleibt klein.
•6
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
11 29. April 2008
Risikoorientierte (Mehrjahres-)PrüfungsplanungStrategische Revisionsziele
Im Zentrum der IT-Revision stehen:Management der IT-RisikenOrdnungsmässigkeit von IT-Systemen und IT-Betrieb im Rahmen der finanziellenBerichterstattung (Dokumentationsprinzip)Sicherheit von IT-Systemen und IT-Betrieb mit Fokus auf Vermögensschutz undBetriebsbereitschaft (generelle IT-Kontrollen)Effizienz und Effektivität von IT-Organisation und IT-ProzessenExistenz und Wirksamkeit von automatisierten IT-Kontrollen in den Anwendungen
Prüfbereiche:Organisation (Management, Entwicklung, RZ-Betrieb)Infrastruktur (Hardware inkl. Basis-Software, Telekommunikation)Technologie (Strategie, Architektur)Umweltbedingungen RechenzentrumAnwendungssoftware (Applikationen)
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
12 29. April 2008
Risikoorientierte Revisionsplanung
Koordination der Revisionstätigkeiten mitexterner Revisionsstelle und Regulator
Mikroanalyse– Geschäftsinhärente Faktoren
(Ausfall-, Markt-, Liquiditäts-,Abwicklungs-, IT-,
Reputationsrisiken etc.)– Kontrollrisiken (Qualität des IKS)– Aufdeckungsrisiken (Komplexität
Produkte, Prozesse, Systemeetc.)– etc.
Spezialaufgaben– externe Mandate– AufträgeBankbehörden,
Prüfungsausschuss
Makroanalyseexterne Risikotreiber: veränderte Wirtschaftsaussichten, Konkurrenzsituation,
technologische und regulatorische Entwicklungen etc.interne Risikotreiber: wesentliche Änderungen in der ZKB-Strategie,
grössere Reorganisationen, neue Geschäftsfelder etc.
Jahres--Zielsetzungen
•7
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
13 29. April 2008
Definitionen
Operationelle Risiken nach Basel II
Operationelle Risiken sind definiert als die Gefahr von Verlusten, die in Folge
der Unangemessenheit oder des Versagens von internen Verfahren, Menschen
oder Systemen oder in Folge von externen Ereignissen eintreten.
IT Risiken
IT Risiken sind definiert als die Gefahr von Verlusten, die im Business aufgrund
von Verfügbarkeits-, Integritäts- oder Datenvertraulichkeits-Verletzungen von IT-
Leistungen eintreten.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
14 29. April 2008
manuelle,organisatorischeLeistungen
applikations-bezogeneLeistungen
applikations-unabhängigbezogeneLeistungen= generelle IT-Leistungen
Business-Layer (Geschäftsprozess)
EingabeVerarbeitung
Ausgabe
*als Services bezogene IT-Dienstleistungen mit SLA-gesicherten Verfügbarkeiten und Kontrollen
Applikations-Layer
Infrastruktur-Layer (IT-Ressourcen: Hardware/Systeme)
automatisierte / programmierte Abwicklung
IT-gestützteLeistungen*
manuelle / organisatorische Abwicklung
Ausgabe
Grundsätzlicher Methodenansatz 1
Leistungen im Prozessebenen-Modell
•8
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
15 29. April 2008
KontrollrisikoInhärentes
Risiko HöherReifegrad 1 + 0
MittelReifegrad 3 + 2
TieferReifegrad 4 + 5
Tiefer
Höher
MinimalKeine Prüfung
Mittel Prüferische Durchsicht
ModeratPlausibilisierung
ModeratPlausibilisierung
Mittel Prüferische Durchsicht
Maximal Prüfung
Ermittlung Kombiniertes Risiko
Grundsätzlicher Methodenansatz 2
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
16 29. April 2008
Regulatorische Pflichtprüfungen
Risikobewertung Basisinfrastruktur
Risikobewertung IT-Prozesse
Risikobewertung Daten
Risikobewertung Applikationen
IT-Applikationen gemässPrüfungsplanung Fachrevisionen
Auswahl Follow up
Auswahl Projektbegleitungen
Art. 44o BankVSWXetc.
Prüfungen Fachrevision
Jährliche Prüfungsplanung
Risikoorientierte Revisionsplanung der IT-RevisionRisikoportfolio
•9
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
17 29. April 2008
Ziele ROPP Basisinfrastruktur
Die Risikobeurteilung vorfolgt zwei Ziele:
1. Bilden einer Grundlage für die Mehrjahresplanung von Prüfungen im
Rahmen der Basisinfrastruktur.
2. Ermitteln von Kennzahlen, die den Einfluss der Basisinfrastruktur auf die
Applikationen und Daten der ZKB und damit indirekt auf die Geschäfts-
prozesse ergibt.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
18 29. April 2008
Risikobestimmung Basisinfrastruktur
Gefährdung
Auswirkungen
Massnahmen/Feststellungen
Zw Ef Vt In Vf Eh Vl
Daten PersonalApplikationen InfrastrukturTechnologien
W'k
eit
In %
Zahl ZahlSFr. Std.----- ----- -----
CISA-Elemente
Zw = Zweckmässigkeit
Ef = Effizienz
Vt = Vertraulichkeit
In = Integrität
Vf = Verfügbarkeit
Eh = Einhaltung
Vl = Verlässlichkeit
CobiT-Prozesse
Risiko = Eintretens-wahrscheinlichkeit
x Auswirkung
•10
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
19 29. April 2008
Ziele ROPP Applikationen
Pro Applikation werden mehrere Risk Scores zu IT-Risiken und IT-Kontrollen mittels Indikatoren ermittelt:
Die Fachrevision integrieren diese Werte via die Applikationen in das RiskScore der Geschäfte*.*Geschäft = AT (Audit Type) der Fachrevision
¬ Applikationspriorisierung aus Geschäftsoptik.
Die IT-Revision ermittelt die Risk Scores aus reiner IT-Sicht.
¬ Applikationspriorisierung aus IT-Optik.
In den Werten einer Applikation werden die Beurteilungen der IT-Prozesse,Informationen (Daten), Infrastruktur (Technik, Anlagen) sowie Personal viaAuswahl der Indikatoren indirekt subsumiert und noch nicht direkt mittelsRisk Scores-Ansatz integriert.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
20 29. April 2008
Ergebnis für die Fachrevision
Pro Applikation werden Risk Scores* ermittelt für
das inhärente IT-Risiko bezüglich Integrität
das inhärente IT-Risiko bezüglich Verfügbarkeit
das Versagensrisiko der IT-Kontrollen bezüglich Integrität
das Versagensrisiko der IT-Kontrollen bezüglich
Verfügbarkeit
* Werteskala: 1=hohes – 5=tiefes inhärentes IT-Risiko resp. 1=hohes – 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle)
•11
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
21 29. April 2008
Ergebnis für die IT-Revision
Pro Applikation werden Risk Scores* ermittelt für
den IT-Appl.-Faktor (ungewichtet)
den IT-Appl.-RiscScore (gewichtet nach Appl.Klassifikation)
den Fach-Appl.-RiskScore (gewichtet nach Fachrevision)
die Gesamtprüfrelevanz (Prüfstrategie)
zur risikoorienten Priorisierung.
* Werteskala: 1=hohes – 5=tiefes inhärentes IT-Risiko resp. 1=hohes – 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle)
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
22 29. April 2008
Die Beurteilung der ausgewählten IT-Risiken und IT-Kontrollenbasiert auf in der ZKB verfügbaren, messbaren Indikatoren.Diese ist somit nachvollziehbar (nicht subjektiv).
¬ Basis Applikationsrisikoassessment der Informatik (24 Themen zu 92 Indikatoren)
Mit Hilfe von CobiT wurden die passenden Indikatoren für dasinhärente IT-Risiko wie auch für die IT-Kontrollen bestimmt.
Auswahl der Indikatoren
•12
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
23 29. April 2008
Verwendete Indikatorenpro COBIT-Prozess Inhärent
Integrität
IT-Kontrollen
Verfügbarkeit
DS 11Datenmanagement
DS 5Datensicherheit
AI 6Änderungswesen
DS 4Katastrophenvorsorge
Änderungsintervall Abhängigkeit zu UmsystemenRelevanz für Umsysteme
VertraulichkeitExterne KommunikationSicherheitsanforderungen
BussinessdatenkorrekturenDatenleadDatenhaltung dezentral
Applikations-Bewertung
Inhärente IT-Risiken
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
24 29. April 2008
Verwendete Indikatorenpro COBIT-Prozess IT-Kontrollen
Integrität
IT-Kontrollen
Verfügbarkeit
DS 11Datenmanagement
DS 5Datensicherheit
AI 6Änderungswesen
DS 4Katastrophenvorsorge
IT-ProzesseChangesReleasesAnforderungen
Kompensation ICT-System und GebäudeNotfallarbeitsplatz SE
AuthentisierungZugriffsschutzAutorisierungVerschlüsselung
ArchivierungAufzeichnung (Logging)DatenvalidierungSchnittstellenabstimmung
Applikations-Bewertung
Inhärente IT-Risiken
•13
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
25 29. April 2008
COBIT: Minimierung der Wahrscheinlichkeit von Unterbrüchen, unberechtigtenÄnderungen und Fehlern.
Idee: Möglichkeit für Änderungen ohne Kontrolle, Anzahl Emergency Fixes (DLK ...),Anzahl Standard Änderungen (DLK 4..), Anzahl Anforderungen an die Applikation.
OpRisk: Änderungsintervall in der Produktion.Je öfter eine Applikation geändert wird, desto öfter passieren Fehler.
Inhärenter Indikator fürAI 6 Änderungswesen
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
26 29. April 2008
COBIT: Konfigurationsmanagement (KM), Versionenverwaltung, Software-Verteilung.
Idee: Einhaltung des KM, Durchführen von Tests, IT-Betrieb nicht durch Engineering.
OpRisk: IT-Prozesse für Changes, Releases, Anforderungen.Fünf unabhängige Massnahmen, welche ein ideales Vorgehen bei Änderungenbeschreiben.
Durchschnitt der fünf Werte
Kontroll-Indikator fürAI 6 Änderungswesen
•14
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
27 29. April 2008
These 3
Die IT-Revision kann derFachrevision die geforderteBestätigung nur dann ge-zielt abgeben, wenn dieFachrevision ihreAnsprüche in IT-bezogenenPrüfzielen stellt.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
28 29. April 2008
Prüfungsvorbereitung
Prüfauftrag• Prüfobjekt, Prüfziele, Deliveries• Verantwortlichkeiten, wichtigste Kontaktpersonen, Berichtsempfänger• Zeit- & Budget-Vereinbarung, voraussichtlich benötigte Audit-Ressourcen
Informationsbeschaffung• IT-Organisation, IT-Sicherheitskonzepte, Netzwerk, BCP, IT-Architektur• IT-Inventar, Räumlichkeiten & Stockwerk-Pläne, Job-Beschreibungen, A/K/V• Entwicklungs- und Betriebs-Prozesse, Incident/Problem-Handling & ChangeMgmt-
Prozesse
Prüfplan• Zeitplan für die Abwicklung der Prüfungshandlungen, Auswertung und Berichterstattung• Fragekatalog inklusive Interview-Partner & -Timing• Personelle Zusammensetzung und Ablaufplan für allfällige Self Assessments• Vorgehensweise bei Einhalteprüfungen, Stichprobenwahl
Kickoff• Vorstellung Audit-Team, Prüfbereich/-ziele, zeitlicher Ablauf, Self Assessment Methode
•15
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
29 29. April 2008
Auswahl der CobiT® IT-Prozesse
Domain ID Prozess Anz Zwec
kmäs
sigk
eit
Effiz
ienz
Vertr
aulic
hkei
t
Inte
gritä
t
Verfü
gbar
keit
Einh
altun
g
Verlä
sslic
hkei
t
Pers
onal
Anwe
ndun
gen
Tech
nolo
gien
Infra
stru
ktur
Date
n
Planung & PO1 Strategische IT-Planung 8 P S x x x x x
Organisation PO2 IT-Architektur 4 P S S S x x
PO3 Technologische Stossrichtung 5 P S x x
PO4 Informatik-Organisation und Beziehungen 15 P S x
PO5 IT-Finanzplanung 3 P P S x x x x
PO6 Kommunikation der Ziele und Weisungen 11 P S x
PO7 Personalmanagement 8 P P x
PO8 Einhaltung externer Anforderungen 6 P P S x x x
PO9 Risikomanagement 8 S S P P P S S x x x x x
PO10 Projektmanagement 13 P P x x x x
PO11 Qualitätsmanagement 19 P P P S x x
Beschaffung & AI1 Prüfen verschiedener Lösungsvarianten 18 P S x x x
Einführung AI2 Beschaffung und Wartung von Applikationen 17 P P S S S x
AI3 Beschaffung und Wartung der techn. Infrastruktur 7 P P S x
AI4 Entwicklung und Unterhalt von Betriebsanweisungen 4 P P S S S x x x x
AI5 Installation und Abnahme 14 P S S x x x x x
AI6 Änderungswesen (Changemanagement) 8 P P P P S x x x x x
Betrieb & DS1 Festlegen der Systemanforderungen 7 P P S S S S S x x x x x
Support DS2 Beanspruchung externer Dienste 8 P P S S S S S x x x x x
DS3 Performance und Kapazitätskontrolle 9 P P S x x x
DS4 Katastrophenvorsorge 13 P S P x x x x x
DS5 Datensicherheit 21 P P S S S x x x x x
DS6 Kostenkontrolle 3 P P x x x x x
DS7 Schulung und Weiterbildung 3 P S x
DS8 Anwenderunterstützung und Beratung 5 P x x
DS9 Konfigurationsmanagement 8 P S S x x x
DS10 Problemmanagement 5 P P S x x x x x
DS11 Datenmanagement 30 P P x
DS12 Infrastruktursicherheit 6 P P x
DS13 Operating 8 P P S S x x x x
Überwachung M1 Prozessüberwachung 4 P S S S S S S x x x x x
M2 Angemessenheit Interner Kontrollen 4 P P S S S S S x x x x x
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
30 29. April 2008
IT-Prozesse
Kontrollziele/Gegenstände
Aussagen zu IT-Prozessen
Aussagen zu Kontrollzielen/Gegenständen
Aussagen zu den Prüfzielen
Prüfung der Gegenstände im Bezug auf Kontrollziele
Prüfziele (Kriterien,Resourcen)+Prüfobjekte
...werden aufgeteilt in... ...werden zusammengefasst in...
...werden zusammengefasst in...
Zuordnung: Prüfziel Kontrollziel
...werden aufgeteilt in...
•16
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
31 29. April 2008
These 4
Die Prüfungen auf Wirk-samkeit der IT-Kontrollenscheitern daran, dass dieIT-Kontrollen meist nichtoder schlecht dokumentiertsind.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
32 29. April 2008
Prüfungsdurchführung
Methodik• Prüferische Durchsicht, Walkthrough• Einhalteprüfung, Prozessprüfung
• Control Self Assessment (CSA): Identifikation der Risiken und Kontrollen, Bewertung derAngemessenheit der Risiken und Kontrollen
Ausführen der Prüfungshandlungen• Abarbeiten des Prüfplans• Festhalten der Ergebnisse• Bewerten und priorisieren der Ergebnisse
Dokumentation• Nachweispflicht: Prüfungsergebnisse und Bewertungen sind durch entsprechende Analysen und
Interpretationen des Materials zu belegen.
Tools• CobiT® Framework• Anleitungen, Checklisten und strukturierte Arbeitspapiere• Prozess- Applikations-, Betriebs-, Anwenderhandbücher etc.
• persönliche, schriftliche, telefonische Interviews• offene und verdeckte Beobachtungen
•17
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
33 29. April 2008
selbsttätige Prüfungen inder Geschäftsabwicklung
Führungskontrollenim Informatikprozess
organisatori-
sche Kontrolle
Management-Prozesse
Leistungser-stellungs- /Support-Prozesse
Appl.unabh.:
als Service
bezogene
- Qualität(Zweckmässigkeit,Effizienz)
- Sicherheit(Vertraulichkeit,Integrität, Verfügbarkeit)
- Ordnungsmässigkeit(Einhaltung,Verlässlichkeit)
Ressourcen
PersonalApplikationenInfrastrukturDaten
Kontrollen aus Sicht Informatik
Anforderungen an
die Kontrollen (vom
Fachbereich zu
liefern)
Umsetzung der
Kontrollen (durch
die IT zu
erstellen)
Appl.abhängig:
automatische,
programmierte
IT
-gestü
tzt
m
anuell
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
34 29. April 2008
Reglement über die Funktion Compliance (Compliance Reglement) der ZKB
§ 1 Compliance ist einerseits die Übereinstimmung des Verhaltens und derHandlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen desRechts und der Ethik und andererseits die Gesamtheit aller organisatorischenMassnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegenRegeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende.
Rundschreiben der Eidg. Bankenkommission: EBK-RS 06/6 "Überwachung undinterne Kontrolle"
Rz 97 Als Compliance (Normeneinhaltung) gilt das Einhalten von gesetzlichen,regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichenStandards und Standesregeln.
Rz 98 Als Compliance-Risiko gilt das Risiko von Verstössen gegen Vorschriften,Standards und Standesregeln und entsprechenden rechtlichen und regulatorischenSanktionen, finanziellen Verlusten oder Reputationsschäden.
Vorgabe Compliance
•18
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
35 29. April 2008
Nachweis der Integrität der aufgezeichneten Informationen (= Echtheit,Unverfälschbarkeit, Vollständigkeit und Lückenlosigkeit)
Korrekte Aufbewahrung (sorgfältig, geordnet, geschützt, mit festgelegter Dauer, mitfestgelegter Verantwortlichkeit)
Verfügbarkeit (einsehbar und auswertbar innert angemessener Frist)
Übereinstimmung der Dokumente mit dem zu Grunde liegenden und eindeutigreferenzierten Auftrag (d.h. sowohl interne wie externe Anforderungen, Unterlageneinzelnen Geschäftsvorfällen zuordnen zu können)
Zugriffsschutz und Zugriffskontrolle (need to know)
Dokumentation von Organisation, Zuständigkeit, Abläufen, Verfahren und Infrastruktur fürdie Aufzeichnung (Aufbewahrung analog den aufgezeichneten Informationen selbst)
Lückenlos nachvollziehbar - d.h. dokumentiert - müssen sämtliche Compliance-relevanten Handlungen (Aktivitäten) und Ergebnisse aller innerhalb der in der ZKB(Konzern) definierten und ausgeübten Prozesse (entlang der Prozesskette) sein.Dies unter der Einhaltung folgender Rahmenbedingungen an die aufgezeichnetenInformationen (Daten und Dokumente):
Umsetzung IT-Revision
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
36 29. April 2008
These 5
Der IT-Revisor muss vieleEmpfängerbedürfnisseerfüllen können.
Die Berichterstattung derIT-Revision kommt daherder Quadratur desKreises gleich.
•19
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
37 29. April 2008
Prüf-plan
(Planungs-memo)
Revisions-bericht
mitAnhang
Arbeits-papiere
Einzel-berichte
Prüf-auf-trag
Audit, Audit geprüfte, Management Audit,Audit Informatik Bereiche des gepr. Bankpräsidium,
Informatik Bereichs Geschäftsleitung
Arbeitspapiere der Informatik-Revision
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
38 29. April 2008
Die Werkzeuge
HauptfunktionRisikoanalyse ROPP (Access), ExcelPrüfungsplanung Wordvorlagen, ExcelPrüfung/Revision Wordvorlagen, ExcelBerichterstattung WordvorlagengenerellAufbewahrung Adobe PDFE-Mail, Termine Lotus NotesSecure E-Mail WebmailBerichtsdatenbankAccessZeiterfassung Priska, ExcelMathematica ModellabnahmeMathlab ProtototypingFinCad Bewertung FinanzprodukteMonitoring Tool Neue Produkte im Handel
Informatik
Visio Prozesse, Systemübersichten
IBO Prozesse
SAS Datenauswertung
ACS Berechtigungen
ASY Archiv
Intranet Weisungen
cmdb Systemkonfiguration
CheckAud SAP Analyse
"read" lesender Zugriff in Applikationen
•20
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
39 29. April 2008
Berichterstattung
Der Schlussbericht ist den designierten (sachkundigen) Berichts-empfängern in einer empfängergerechten Form vorzulegen.
Im Bericht sind vermerkt:• die geprüften Organisationseinheiten (Verantwortlichkeiten)• die Empfänger des Berichts• allfällige Verwendungsbeschränkungen
Aus diesem Bericht müssen hervorgehen:• Ziele, Art und Umfang der durchgeführten Prüfungshandlungen hervorgehen• die wesentlichen Prüfungsfeststellungen• Folgerungen (Plausibilität)• Empfehlungen der Revision und Stellungnahmen des Managements• Vorbehalte oder Einschränkungen bezüglich Umsetzung
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
40 29. April 2008
Übersicht über die Elemente
Die Berichterstattung bestehend aus
RevisionsberichtDer Revisionsbericht enthält eine Zusammenfassung der wesentlichenFeststellungen. Wesentliche Feststellungen sind nicht a priori nurBeanstandungen. Positive Prüfungsergebnisse (bspw. Stärken, hoherGütegrad des IKS) gehören auch dazu.
EinzelberichtWesentliche negative Feststellungen werden in Form vonEinzelberichten rapportiert und im "Audit Tracking" überwacht.
Anhang zum RevisionsberichtSachverhalte von geringer Bedeutung werden gerafft im Anhang zumBericht dargestellt (ohne Überwachung im "Audit Tracking").
•21
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
41 29. April 2008
These 6
Die fristgerecht Erledigungder Revisionspendenzen isteine Managementaufgabe.
Denn die Fristen sind dempermanenten Druck derwechselnde Prioritäten derFachstellen ausgesetzt.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
42 29. April 2008
Pendenzenverwaltung - Nachschauprüfung
Ablage der Pendenzen im Massnahmen-Repository• Prüfungs-Metadaten: Prüfungs-Typ, -Zeitpunkt, -Nr, etc.• Festgelegte Massnahme: Wortlaut, Fälligkeit, umsetzungsverantwortliche
Stelle/Person, Status• Historisierung der Veränderungen bezüglich Fälligkeit, Verantwortlichkeit,
Umsetzungsmethode• Filterbarkeit der Pendenzen nach Kriterien wie Prüfungs-Metadaten, Fälligkeit,
Umsetzungsstatus der Massnahme, umsetzungsverantwortliche Stelle• Im Nachgang zu den Revisionsarbeiten muss der Informatikrevisor die für die Befunde,
Empfehlungen und Folgerungen der Revision relevanten Informationen anfordern undauswerten, um festzustellen, ob die erforderlichen Massnahmen termingerechtumgesetzt worden sind.
Follow-up• Verifikation der Erledigungsmeldungen• Verifikation des Erledingungsstandes der übrigen Pendenzen• Neubeurteilung der Pendenzen aufgrund veränderter Rahmenbedingungen• Ergänzung der Pendenzen mit neuen Follow-up-Erkenntnissen
•22
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
43 29. April 2008
These 7
Die Projektbegleitung ist ausSicht der Geschäftsleitung derwirkungs-vollste Beitrag derRevision.
Da sich die Prüfungshandlungenschwer nachweisen lassen undder Revisor stets der Problematikder Unabhängigkeit ausgesetztist, wird sie bei der Revisions-leitung wenig geschätzt.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
44 29. April 2008
Projektbegleitung
Ordnungsmässigkeit und Sicherheit• Kontrollen (IKS)• Überwachung und Steuerung• Ordnungsmässigkeit und Compliance
mit Gesetzen, Weisungen, Richtlinien,Standards etc.)
• Prüfspuren & Nachprüfbarkeit• Dokumentation• Sicherheit (Daten, Prozesse)
Zweckmässigkeit und Qualität• Effektivität (Wirksamkeit)• Effizienz (Wirtschaftlichkeit,
Kosten/Nutzen)• Umsetzungsgrad der Anforderungen
(User, Standards)• Qualitätssicherung• Stakeholdereinbezug
Potentielle Prüfbereiche• Alle Projekte gemäss IT-Planung• Technologie• System-Engineering• Projektcontrolling• Projektmanagement• Datenmanagement• IT-Architektur
Grundsatz:Die Unabhängigkeit der Revision bleibtoberstes Gebot. Der Revisor darf inkeiner der aufgeführten Varianten amEntscheidungsprozess oder an derAusübung interner Kontrollen beteiligtsein oder werden.
•23
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
45 29. April 2008
Vorgehen zur Bestimmung des Programms
Auftraggeber und die Informatik-Revision vereinbaren gemeinsam dieprojektbegleitenden Themen anhand der Checkliste der Leistungsan-forderungen, zu denen eine Aussage durch die Revision erwartet wirdresp. attestiert werden soll.
Auswahl und Zuordnung der CobiT®-Prozesse und weitererGrundlagen (Checklisten) zu den projektbegleitenden Themen.
Auswahl der Kontrollziele anhand der identifizierten CobiT®-Prozessen.
Zuordnung der relevanten Lieferobjekte zu den ausgewählten Kontroll-zielen (themengruppiert).
Plausibilisierung / kritische Durchsicht der relevanten Lieferobjekte undBerichterstattung in standardisierter Form pro projektbegleitendeThema.
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
46 29. April 2008
These 8
SAP ist keine Standard-lösung sondern einBaukastensystem mitStandardbausätzen.
Daher gleicht keineInstallation der anderen.
•24
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
47 29. April 2008
Prüfung Standardsoftware/-lösungen 1/2am Beispiel SAP
SAP-Spezifikas:
• Jedes SAP-System verfügt über ein komplette IT-Umgebung
• Jedes SAP-System benötigt des SAP-Basissystem, kann aber mehrereModule, Mandanten umfassen
• SAP-Systeme werden zu logischen Reihen verbunden (C, T, Q, P)
• Alle Objekte (Daten, Programme, Parameter, etc.) werden in Tabellenhinterlegt
• Customizing erfolgt mehrheitlich durch Berater, die auf Module spezialisiertsind
• Komplexe Rollen- und Berechtigungsverwaltung bis auf Stufe Attribut
• Systemreihen sind untereinander mit Datenschnittstellen verbunden (integriert)
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
48 29. April 2008
Prüfung Standardsoftware/-lösungen 2/2am Beispiel SAP
Einführung in den Fachstellen oft als Ersatz für Excel/Access ander IT vorbei
SAP oft nicht Gegenstand des Sicherheitsprogramms der IT
Know how bei der eigenen IT fehlt
Beherrschung der Komplexität erfordert Expertenwissen undToolunterstützung
Grenze zwischen Entwicklung und betrieblicher Veränderung oftverschwommen
•25
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
49 29. April 2008
Sy
ste
mre
ih
e
P11
SAP-Module
P11
Mandanten
P11
SAP-Basis
P11
Datenbank
P11
Betriebssystem
Entwicklung
Entwicklung
Entwicklung
Entwicklung
EntwicklungT
est
Test
Test
Test
QS
Q11
QS
QS
Q40
QS
Produktio
n
P11Produktio
n
FI,MM,SD,C
FM,
CO,PS,RE,SEM
SAP-Module
Test
QSP14
Produktio
n
FS-AM
P40Produktio
n
BW
Produktio
n
Sy
ste
mre
ih
e
P11
SAP-Module
P11
Mandanten
P11
SAP-Basis
P11
Datenbank
P11
Betriebssystem
P11
SAP-Module
P11
SAP-Module
P11
Mandanten
P11
Mandanten
P11
SAP-Basis
P11
SAP-Basis
P11
Datenbank
P11
Datenbank
P11
Betriebssystem
P11
Betriebssystem
Entwicklung
Entwicklung
Entwicklung
Entwicklung
EntwicklungT
est
Test
Test
Test
QS
Q11
QS
QS
Q40
QS
Produktio
n
P11Produktio
n
FI,MM,SD,C
FM,
CO,PS,RE,SEM
SAP-Module
Test
QSP14
Produktio
n
FS-AM
P40Produktio
n
BW
Produktio
n
Entwicklung
Entwicklung
Entwicklung
Entwicklung
Entwicklung
Entwicklung
Entwicklung
Entwicklung
Entwicklung
EntwicklungT
est
Test
Test
Test
Test
Test
Test
Test
QS
QS
Q11
QS
Q11
QS
QS
QS
Q40
QS
Q40
QS
Produktio
n
Produktio
n
P11Produktio
n
P11Produktio
n
FI,MM,SD,C
FM,
CO,PS,RE,SEM
SAP-Module
Test
Test
QS
QSP14
Produktio
n
P14Produktio
n
FS-AM
P40Produktio
n
P40Produktio
n
BW
Produktio
n
Produktio
n
SAP ist eine komplexe Systemlandschaft(Baukastensystem mit individuellen, parametrisierbaren Standardbausteinen)
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
50 29. April 2008
These 9
Mit dem Dienstleistungszentrumorganisiert sich die InterneRevision neu:
Der Datenfluss-/Applikationsprüferintegriert mit den ApplicationControls in die Fachrevision.
Der IT-Prozess-/Infrastrukturprüfererstattet Bericht zu den General ITControls nach PS 402- / SAS 70.
•26
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
51 29. April 2008
Programm ZuVa: Die ZKB setzt ihre Strategie um
Gemeinsames Unternehmen
Dienstleistungs-zentrum fürInformatik
und Backoffice
Kooperations-
vertrag
Kooperationspartner
• Qualitativ hochwertige IT- und Backoffice-Dienstleistungen zu wettbewerbsfähigenPreisen
• Weitgehende Vereinheitlichung der Produkte, Prozesse und Plattformen (Systeme)
• Einsparungen in Höhe von 20 Prozent (Skaleneffekt)
• Sitz in Zürich und Betriebsstätte in Lausanne
• Rund 1300 Arbeitsplätze davon ca. 250 in Lausanne
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
52 29. April 2008
Das IT-Führungsmodell
* Bis Abschluss Programm ZuVa stellt STA ZuVa die Umsetzung sämtlicher ZuVa-relevanten Anforderungensicher
** Bis zum Aufbau DLZ in IT-Architektur und Planung angesiedelt; anschliessende Überführung in die Bank
ZKB Logistik (auszugliedernde Bereiche)
IT-Architektur und Planung
IT-Projekte und Entwicklung
(Change the Bank)
Backoffice Services
(Produktion)
IT-Betrieb und Infrastruktur
(Run the Bank)
IT-C
on
tro
llin
g
(in
kl.
Pla
nu
ng
un
d A
bre
ch
nu
ng
)
IT-S
trate
gie
Anlagen
PPA
PPO
Business-Architekt (Bankfachliches Soll-Modell) **
ZKB ZuVa Steuerungsausschuss (ZKB ZuVa STA) *ZKB
Investment
Banking
PPA
PPO
Geld-
verkehr
PPA
PPO
Vertrieb
PPA
PPO
Finan-
zierungen
PPA
PPO
Bank-
steuerung
PPA
PPO
Support-
prozesse
PPA
PPO
neu ab 1.1.2008
•27
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
53 29. April 2008
Handlungsfelder: Zeitfolge und Abhängigkeiten
Programm Management
Kommunikation / Veränderungsmanagement
Hu
ma
n R
es
ou
rce
s
Mig
rati
on
Sc
hu
lun
g
DL
Z G
rün
du
ng
/Au
fba
u
IT
-In
frastr
uktu
r
ZKB DevelopmentWork
Plattform, Infrastruktur,Architektur
BCV DevelopmentWork
Produkte,Dienstleistungen,
Prozesse
Bankenanpassung
BC
VD
LZ
ZK
B
Bereitstellen Überführen Inbetriebnahme Betreiben
Ve
rträ
ge
Blu
ep
rin
t K
oo
pe
rati
on
ZK
BB
CV
Definition
t
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
54 29. April 2008
DLZ-Gründung und AufbauKonsolidierte Überwachung
Externe
Revision
Interne
Revision
ZKB
Interne
Revision
BCV
IR
Dienst-
Leitungs-
Zentrum
Organisation Interne Revision:
1. IR ZKB = IR DLZ
2. IR DLZ eigenständig
3. IR DLZ extern
4. Interessengemeinschaft
Vorgaben:
• EBK-RS 06/6, RZ 61 (Konsolidierte Überwachung)
• EBK-RS 05/2, RZ 87 (BankG Berichterstattung)
• EBK-RS 99/2 (Outsourcing)
• PS 402 / SAS 70 (Prüfungsstandards bei Auslagerung)
1
2
3
4
2
•28
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
55 29. April 2008
Aufbauorganisation: Interne Revision
Spartenorganisation in Matrixform Integrierte Organisation nach Fachteams
Sekretariat
Corporate Center InformatikKundenbereiche
Audit
Informatik
Investment Banking
Risikomanagement
Kundenausleihungen
Sekretariat
Asset Management,
Private Banking und Logistik
Investment Banking und
Corporate Services
Risikomanagement und
Risikocontrolling
Kundenausleihungen
Privat- und Firmenkunden
CRM und Immobilien
DLZ
Backoffice / IT
Audit
ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung
56 29. April 2008
Fragen / Diskussion