1 / 69

Michael Schirmbrand September 14

BUSINESS ADVISORY SERVICE. IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit. IT Advisory. Michael Schirmbrand September 14. IT-Governance Ausgangslage. Beobachtungen in Österreich:. Fehlende IT-Strategie. Mehr als 50% der Unternehmen haben keine IT-Strategie.

lamis
Download Presentation

Michael Schirmbrand September 14

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. BUSINESS ADVISORY SERVICE IT- Governance Unter besonderer Berücksichtung von Compliance / IT Audit IT Advisory Michael SchirmbrandSeptember 14

  2. IT-Governance Ausgangslage Beobachtungen in Österreich: Fehlende IT-Strategie Mehr als 50% der Unternehmen haben keine IT-Strategie. Kein IT-Steuerungsgremium 80% der Großunternehmen haben kein nachvollziehbares IT-Steuerungsgremium. Fehlende Ausrichtung an den Geschäftszielen Bei einem Großteil der Unternehmen sind die IT-Ziele nicht erkennbar an den Unternehmenszielen ausgerichtet. Fehlende Nutzenbewertung von IT-Projekten Der Nutzen von (IT-)Projekten wird meist nicht gemessen. Fehlende IT-Prozessorganisation Bei mehr als 50% der Unternehmen sind IT-Prozesse nicht dokumentiert oder messbar. Fehlende IT-Kontrollen Bei mehr als 90% der Unternehmen sind Kontrollen in IT-Prozessen nicht dokumentiert oder nachvollziehbar.

  3. Warum (IT-) Audits noch immer nicht bestanden werden • Unkenntnis der relevanten Regularien • Bessere Ausbildung und Kenntnis der Prüfer • Event getriebener Ansatz für Compliance • Eine Vervielfachung der Regularien ist in den folgenden Jahren zu erwarten (Siehe auch Information Systems Control Journal 5/2007)

  4. Gartner’s Regulations and Related Standards Hype Cycle Solvency II

  5. IT GovernanceBalance zwischen Risiko und Performance Die Rechtssprechung zieht das Pendel in Richtung Risiko Wettbewerb und Marktdruck drücken das Pendel Richtung Performance IT Governance managt die Balance zwischen Risikomanagement und Performance-erfordernis. Stabiler Wert und Vertrauen Integriertes Risiko Management Risiko Verbesserte Kontrolle Prozess Transformation Prozess Verbesserung Compliance Performance

  6. IT-Governance: Eine Definition CorporateGovernance Business ITGovernance Informations-systeme Für IT-Governance sind Vorstand und Geschäftsführung verantwortlich. Sie ist integraler Bestandteil der Corporate Governance und besteht aus Führungs- und Organisationsstrukturen sowie Prozessen, die sicherstellen, dass IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt. — IT Governance Institute

  7. Prioritäten der Analysten • Strategic Alignment • Value Delivery • IT Asset Management • Risk Management • Performance Measurement • Gartner • CSC • Compass • Giga • AICPA/CICA • CIO Magazine • Technology Council

  8. IT-Governance Focus Areas Value Delivery Strategic Alignment IT Governance Risk Management Performance Measurement Resource Management

  9. IT Governance Focus Areas (1) • Strategic Alignment (Strategische Ausrichtung) • Sicherstellung des Verbunds von Unternehmens- und IT Zielen • Festlegung, Beibehaltung und Validierung des Wertbeitrags • Abgleich zwischen operativem Betrieb des Unternehmens und jenem der IT • Value Delivery (Schaffen von Werten/Nutzen) • Realisierung des Wertbeitrags im Leistungszyklus • Sicherstellung der Generierung des strategisch geplanten Nutzens • Kostenoptimierung • Erbringung des intrinsischen Nutzens der IT • Resource Management (Ressourcenmanagement) • Optimierung von Investitionen in IT-Ressourcen • geregeltes Management von IT-Ressourcen • Optimierung von Wissen und Infrastruktur

  10. IT Governance Focus Areas (2) • Risk Management (Risikomanagement) • Risiko-Awareness bei der Unternehmensleitung • Verständnis über die Risikobereitschaft (engl: risk appetite) • Verständnis für Compliance-Erfordernisse • Transparenz über die für das Unternehmen wichtigsten Risiken • Integration der Verantwortlichkeit für Risikomanagement in der Organisation • Performance Measurement (Messen von Performance) • Verfolgen und überwachen der Umsetzung der Strategie und von Projekten • Verwendung von Ressourcen • Prozessperformance (Balanced Scorecard) • Leistungserbringung (engl: Service Delivery)

  11. Wesentliche Standards für IT Governance • fordernd • Fachgutachten (IFAC, AICPA, KWT) • SAS 70 • Sarbanes Oxley Act • 8. EU-Audit-Richtlinie • Sonstige relevante Gesetze • helfend • CobiT • ValIT • ITIL • ISO 17799 • CMMI • …

  12. Fachgutachten

  13. Fachgutachten - Verschiedene herausgebende Organisationen • IFAC – International Federation of Accountants • ISA (ISA 402 - Audit Considerations relating to Entities using Service Organizations) • AICPA – American Institute of CPAs • SAS (zB SAS/70 - Reports on the Processing of Transactions by Service Organizations) • PCAOB – Public Company Accounting Oversight Board • Auditing Standards • KFS – Kammer der WT - Fachsenat für Datenverarbeitung • KFS/DV1 • KFS/DV2 • IDW – Institut der Wirtschaftsprüfer • PS331 (Serviceorganisationen) • FAIT (Fachgutachten für die Prüfung von Informationstechnologie)

  14. Fachgutachten Österreich • KFS/DV1 der Kammer der WT • Allgemeine Anforderungen (Belegfunktion, Journalfunktion, Kontenfunktion,...) • Forderung nach Funktionstrennung • Detaillierte Forderungen an die Systemdokumentation • KFS/DV 2 • Richtlinien zur Prüfung der IT im Rahmen von Jahresabschlussprüfungen

  15. KFS/DV 1 - Grundsätze • Allgemeine Anforderungen • Unternehmer buchführungspflichtig und für Ordnungsmäßigkeit verantwortlich (auch bei Fremd-SW und Online-Verfahren) • Radierverbot • Prüfspur progressiv und retrograd • Verbot nachträglicher Schreibvorgänge

  16. Österreich KFS/DV 1 – Dokumentation • Verfahrensdokumentation • Für Programmentwicklungen, Change Management, Zukäufe von SW (inkl. Customizing/Tabellen-Einstellungen) muss verfügbar sein: • Anforderung/Aufgabenstellung • Datensatzaufbau • Verarbeitungsregeln (inkl. Steuerungsparameter, Tabelleneinstellungen) einschl. Kontrolle, Abstimmungsverfahren und Fehlerbehandlung • Datenausgabe • Datensicherung • Verfügbare Programme • Art, Inhalt und Umfang der durchgeführten Tests • Freigaben (Zeitpunkt, Unterschrift des Auftraggebers) • Versionsmanagement • Gilt auch für Datenbanken, Betriebssysteme, Netzwerkkomponenten,… • Eventuell können Teile davon auch von externen Dritten zur Verfügung gestellt werden • Dokumentation der Zugriffsverfahren • Aufbewahrung jeweils 7 Jahre (nach dem letzten Systemeinsatz)

  17. KFS/DV 1 - IKS • Zusätzlich notwendig • Funktionstrennung (Fachabteilung/Entwickler/Admin) • Zugriffsberechtigungen auf allen Systemebenen • Datensicherungen • Schutz vor Sabotage, Missbrauch und Vernichtung • Kontinuitätsmanagement • Aufbewahrung sämtlicher Dokumentationsbestandteile für 7 Jahre

  18. IDW RS FAIT 2 - Dokumentation • Deutsches Fachgutachten – in einigen Bereichen zur Klarstellung detaillierter als KFS/DV 1 • Dokumentation grundsätzlich wie bei FAIT 1, plus zusätzlich: • Doku HW/SW (zB Router, Firewall, Virenscanner,..) • Netzwerkarchitektur (auch Anbindung ISP) • Verwendete Protokolle • Verschlüsselungsverfahren • Signaturverfahren • Datenflusspläne, Schnittstellen, relevante Kontrollen • Autorisierungsverfahren, Verfahren zur Generierung von Buchungen

  19. IDW RS FAIT 2 - IKS • Für IKS zusätzlich notwendig • Firewall Einstellungen (+Überprüfungen) • Firewall-Logs (+Überprüfungen) • Change Management für die gesamte Infrastruktur (Firewalls, Router, Switches,..,) • Scanner (IDS, Viren, Kontrollen,..) • Penetration Tests • Überprüfung dieser Themen durch die Revision • Dient nur als Beispiel; in Deutschland alles für 10 Jahre aufzubewahren

  20. Überblick Fachgutachten KFS/DV 2 • Fachgutachten „Die Prüfung der IT im Rahmen von Abschlussprüfungen“ • Erarbeitet durch FS DV • Gemeinsame Überarbeitung durch FS DV und FS HR • Verabschiedet im November 2004

  21. Struktur KFS/DV 2 A. Vorbemerkungen A.1.Anwendungsbereich des Fachgutachtens A.2.Einbindung in die Abschlussprüfung B.Ziel und Umfang der Prüfung der Informationstechnik C.Tätigkeiten des Abschlussprüfers bei der Prüfung der Informationstechnik C.1.Berücksichtigung der Prüfung der Informationstechnik bei der Prüfungsplanung C.2.Gewinnung eines Überblicks über die Informationstechnik des geprüften Unternehmens C.3.Feststellung der wesentlichen aus dem Einsatz der Informationstechnik resultierenden Risiken C.4.Feststellung der Maßnahmen des geprüften Unternehmens zur Beseitigung oder Verminderung der Risiken Anwendungsunabhängige Kontrollen der Informationstechnik-Prozesse Anwendungsabhängige Kontrollen der Geschäftsprozesse C.5.Prüfungshandlungen des Abschlussprüfers Prüfung der anwendungsunabhängigen Kontrollen Prüfung der anwendungsabhängigen Kontrollen Prüfung der Einhaltung der Grundsätze ordnungsmäßiger Buchführung C.6.Dokumentation der Prüfungshandlungen und Berichterstattung über die Prüfungsfeststellungen D.Vorgangsweise bei Auslagerungen im Bereich der Informationstechnik an ein anderes Unternehmen (IT‑Outsourcing)

  22. KFS/DV 2 - Grundsätze • Prüfung der IT ist der der Prüfung des Internen Kontrollsystems • Geprüft werden die IT Qualitätsmerkmale der Effektivität, Vertraulichkeit, Verfügbarkeit, Integrität, Konformität und Wartbarkeit (nicht Effizienz) • Risikoorientierte Prüfung • Prüfung von Stichproben • Abhängig von Größe und Komplexität des Unternehmens und der eingesetzten Systeme

  23. KFS/DV 2 – Grobüberblick über IT Prüfungen • Gewinnung eines Überblicks über Systeme und Abläufe • Prüfung der IT Prozesse (anwendungsunabhängige IT Kontrollen), orientiert zB an CobIT • Prüfung der Anwendungen (anwendungsabhängige IT Kontrollen)

  24. Prüffelder IT-Prüfung • allgemeine IT Kontrollen (General IT Controls) • Anwendungskontrollen • Sonderthemen (Datenanalysen, Prozess-Erhebung, Schnittstellen, Datenschutz, Archivierung, Migration)

  25. KFS/DV 2 – Prüfung anwendungsunabhängig (2) • Zusätzlich eventuell teilweise ISO 17799, BSI-GSH, IFAC Guideline on Monitoring, SysTrust,... • Prüfung des IT Überwachungssystems (IT Umfeld, IT Organisation, IT Infrastruktur • IT Governance, IT Controlling, Kontrolle der Verfahren, Spezielle Auswirkungen von Outsourcing, Prüfungen unabhängiger Dritter, Revision, Nachvollziehbarkeit der Kontrollen

  26. KFS/DV 2 – Prüfung anwendungsabhängig • Einholung von Informationen über die relevanten Anwendungen • Prüfung und Beurteilung der Programmfunktionen: insbesondere sind Verarbeitungsalgorithmen, Stammdaten- und Tabellenpflege, Journalfunktion, die Vollständigkeit der internen Belegnummernkreise, die Sicherstellung der Aufbewahrungs-pflicht und auch der Abgleich von Nebenbüchern mit dem Hauptbuch Bestandteil der Prüfung • Prüfung der Anwendungskontrollen: hierzu gehören das interne Steuerungssystem (Einstellungsparameter für Programme) und das interne Überwachungssystem sowie die Vollständigkeit und Nachvollziehbarkeit desselben, Eingabe-, Verarbeitungs- und Ausgabekontrollen, sowie alle prozessintegrierten Kontrollen und Sicherungsmaßnahmen wie zB Zugriffskontrollen und Protokolle.

  27. KFS/DV 2 - Outsourcing Sofern Aktivitäten als Dienstleistungsunternehmen wesentliche Auswirkungen auf die Jahresabschlussprüfung haben, hat der Abschlussprüfer ausreichende Informationen einzuholen, um das Interne Kontrollsystem und die Kontrollrisiken des Unternehmens beurteilen zu können. Gegebenenfalls sind entsprechende Informationen vom Prüfer des Dienstleistungs-unternehmens einzuholen oder Prüfungshandlungen vor dem Dienstleistungsunternehmen durchzuführen. Unter Umständen können auch Prüfungsergebnisse des Prüfer, des Dienstleistungs-unternehmen oder des Sachverständigen herangezogen werden, wenn diese entsprechenden Qualitäts-kriterien genügen. Aus derartigen Prüfungsergebnissen kanninsbesondere aus Prüfung von Dienstleistungsunternehmenoder Serviceunternehmen nach demStandard ISA 402der IFAC herangezogen werden.

  28. SAS 70

  29. Überblick SAS 70 (siehe auch ISA 402) • Standard für die Prüfung von Outsourcing-Dienstleistern (und deren Kontrollumfeld) • Veröffentlichung der AICPA • Gilt grundsätzlich für USA, aber auch bei Bilanzierung nach US GAAP • Mittlerweile weltweiter De-Facto Standard für Prüfungen von und für Wirtschaftsprüfern bei (IT ) Service-Organisationen • Praktisch inhaltsgleich zu ISA 402 der IFAC • In Deutschland auch Standard PS 331 • Achtung: Sarbanes Oxley – vom PCAOB vorgeschrieben • Auch in Österreich bei (fast) allen RZ in Umsetzung • In Österreich in Richtlinie IWP-PE14 umgesetzt

  30. ISA 402 / SAS 70 Anforderungen an Prüfer • Anzuwenden bei (Teil-) Outsourcing der IT • Prüfer von RZ-Kunden müssen • Report nach SAS 70 / ISA 402 des RZ einholen oder • selbst das RZ prüfen oder • jemanden beauftragen, das RZ nach SAS 70 zu prüfen oder • Bestätigungsvermerk einschränken oder versagen

  31. SAS 70 - Berichterstattung • Standard-Text für Bestätigungsvermerk definiert • Bei Typ II Report sind die vorhandenen Kontrollen, deren Prüfung und die Ergebnisse der Prüfung im Detail dazustellen • Die Verantwortungen von Kunde und RZ sind klar abzugrenzen • Bei wesentlichen Mängeln ist der Bestätigungsvermerk zu ergänzen, einzuschränken oder zu versagen

  32. Sarbanes Oxley

  33. Sarbanes-Oxley (SOX) Paragraph 404 • Section 404 des Sarbanes-Oxley Act fordert: • Unternehmensleitung beurteilt das Interne Kontrollsystem (IKS) im Unternehmen für Finanzreporting (ICOFR) und berichtet darüber • Der externe, unabhängige Prüfer gibt ein Testat über den Management-Test • Prüfer berichtet direkt über die Wirksamkeit des IKS • Seit 2004 für US-Unternehmen, die SEC gelistet sind, erforderlich • Andere Unternehmen (foreign issuers) seit 2006

  34. 8. EU-Audit-Richtlinie(RL 2006/43/EG)“EuroSox”

  35. Ausprägung in Österreich • Unternehmensrechtsänderungsgesetz (URÄG) 2008 • Verabschiedung am 10. April 2008 • In Kraft: 30.6.2008 bzw. Geschäftsjahre beginnend nach 31.12.2008 • Unternehmen von öffentlichem Interesse (Betroffene) • Kapitalmarktorientierte Unternehmen • Aktien oder Wertpapiere an geregeltem Markt oder anerkannten, offenen Markt in OECD-Staat notieren • Versicherungen, Banken • „Sehr“ große Unternehmen • >196 Mio. EUR Umsatz oder > 98 Mio. EUR Bilanzsumme • Unternehmen mit Aufsichtsrat aus mehr als 5 (gewählten) Mitgliedern

  36. 8. EU-RL / URÄG 2008 – betroffene Parteien • Vorstand / GF • Verantwortet IKS, interne Revision, RM-System • Stellt Lagebericht und CG-Bericht auf und unterschreibt • Prüfungsausschuss • Überwacht IKS, RM-System, interne Revision • Prüft Lagebericht, CG-Bericht (darin: IKS, RM-System) • Abschlussprüfer • Prüft Einhaltung relevanter Gesetze (Lagebericht, Erstellung CG-Bericht, IKS,…) • Berichtet über Beanstandungen

  37. URÄG 2008Pflichten des Prüfungsausschusses • Prüfungsausschuss • § 92 AktG, § 30g GmbHG, § 24 GenG • Pflichten u.a. • Überwachung der Rechnungslegung • Überwachung der Wirksamkeit des IKS • Schließt interne Revision und RM-System mit ein • Prüfung des Lageberichts und des Corporate Governance Berichts

  38. Auswirkungen 8. EU-RL • 8. EU-RL wendet sich kaum direkt an Unternehmen, ABER • Der Benchmark von SOX bezüglich IKS wird abfärben • Über den Prüfungsausschuss • Überwachungsaufgaben (IKS, Risikomanagement, etc.) • Über den Prüfer • Die Ausbildung von Prüfern greift IKS und Risikomanagement auf • Der Prüfer muss über das IKS berichten • Über die Verantwortlichkeiten des Vorstands • Über den Markt • Wie und woher bekommt der Vorstand / Prüfungsausschuss seine Informationen über das IKS?

  39. Auswirkungen von Sarbanes Oxley Act auf die IT • Massive Auswirkungen • Kontrollen müssen dokumentiert und geprüft werden • große Teile der Kontrollen in der IT (oft 50 bis 70 %) • Im Regelfall mehrere hundert Kontrollen • Wesentliche Kontroll-Schwachstellen sind oft in der IT • Unterscheidung in Anwendungskontrollen und General IT Controls • Cobit als Standard für General IT Controls anerkannt • Überleitung von COSO auf CobiT in einer Veröffentlichung vom IT Governance Institute

  40. Frameworks

  41. Frameworks und Standards… Quelle: Pink Roccade/Elefant Source: PINK

  42. COSO (Internal Control - Integrated Framework) • 1992 durch „The Committee of Sponsoring Organizations of the Treadway Commission” veröffentlicht • Gemeinsame Sprache über Kontrollen, Definitionen, Modelle • Unternehmensziele im Rahmen von COSO sind • Operations (Effektivität und Effizienz der Tätigkeiten der Unternehmung) • Financial Reporting (Erstellung von zuverlässigen Jahresabschlüssen) • Compliance (Einhaltung von Gesetzen und Regulationen) • Zielerreichung über die Ausgestaltung der Komponenten des Frameworks • Control Environment (Kontrollumfeld) • Risk Assessment (Risikobewertung) • Control Activities (Kontrollaktivitäten) • Information & Communication (Information & Kommunikation) • Monitoring (Überwachung) • Benchmark für interne Kontrollen und Verweis in SOX • Weiterentwicklungen: • September 2004: Enterprise Risk Management (COSO II) • Juni 2006: Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting“

  43. CobiT

  44. Entwicklung von CobiT Governance Management Control Audit COBIT 1 COBIT 2 COBIT 3 COBIT 4 1996 1998 2000 2005

  45. Was ist IT-Governance? IT-GOVERNANCE IT-GOVERNANCE • Setze Ziele • IT arbeitet im Sinne des Kerngeschäfts (Alignment) • IT ermöglicht das Kerngeschäft (Enablement) und maximiert den Nutzen (Value Delivery) • IT Ressourcen werden verantwortungsvoll eingesetzt • IT-bezogene Risiken werden angemessen gemanagt Evaluiere Performance Gib die Richtung vor Messe und Berichte über Performance Überführe die Richtung in eine Strategie • Setze die Strategie um • Erhöhe die Automation (mache das Kerngeschäft wirksam) • Senke Kosten (mache das Unternehmen wirtschaftlich) • Manage Risiken (Security, Verlässlichkeit und Compliance) IT-MANAGEMENT • Ziel: Sicherstellen, dass die IT die Geschäftsstrategien und -ziele unterstützt und vorantreibt • Methode: Führungs- und Organisationsstrukturen sowie Prozesse • Verantwortung: Vorstand und Geschäftsführung

  46. Unterstützung durch CobiT Unternehmensziele CobiT IT Ziele IT Prozesse

  47. Ausrichtung von IT-Prozessen an Unternehmensziele Typische Unternehmensziele Referenz zu IT-Ziel

  48. Typische IT-Ziele

  49. CobiT IT-Prozesse Plan and Organise PO1 Define a strategic IT plan PO2 Define the information architecture PO3 Determine technological direction PO4 Define the IT processes, organisation and relationships PO5 Manage the IT investment PO6 Communicate management aims and direction PO7 Manage IT human resources PO8 Manage quality PO9 Assess and manage IT risks PO10 Manage projects INFORMATION Monitor and Evaluate ME1 Monitor and evaluate IT performance ME2 Monitor and evaluate internal control ME3 Ensure regulatory compliance ME4 Provide IT governance • Efficiency • Effectiveness • Confidentiality • Integrity • Availability • Compliance • Reliability Monitor and Evaluate Plan and Organise IT RESSOURCES • Applications • Information • Infrastructure • People Deliver and Support Deliver and Support DS1 Define and manage service levels DS2 Manage third-party services DS3 Manage performance and capacity DS4 Ensure continuous service DS5 Ensure systems security DS6 Identify and allocate costs DS7 Educate and train users DS8 Manage service desk and incidents DS9 Manage the configuration DS10 Manage problems DS11 Manage data DS12 Manage the physical environment DS13 Manage operations Acquire and Implement Acquire and Implement AI1 Identify automated solutions AI2 Acquire and maintain application software AI3 Acquire and maintain technology infrastructure AI4 Enable operation and use AI5 Procure IT resources AI6 Manage changes AI7 Install and accredit solutions and changes

  50. Bestandteile von Prozessen (1/3) Prozessbeschreibung Domäne und Information-Criteria IT Ziele Prozessziele wichtige Aktivitäten wichtige Metriken IT Governance & IT Resources

More Related