rab-beanstandungen it-revision

Aktuelle Fragen der IT-Revision: Die Beanstandungen der RAB 1

© ISACA After Hours Seminar 27.9.2011

Aktuelle Fragender IT-Revision

RAB-Beanstandungen IT-Revision ISACA After Hours Seminar, 27.9.2011 Peter R. Bitterlidipl. math. ETH, CISA, CISM, CGEITBitterli Consulting AG / ITACS Training AG / BPREX Group [email protected] www.bitterli.com www.itacs.ch www.bprex.ch Mitglied Fachstab Informatik der Treuhand-Kammer Mitglied Vorstand ISACA Switzerland Chapter

RAB-BeanstandungenIT-Revision ISACA After Hours Seminar vom 27.9.2011

Beaufsichtigung der Wirtschaftsprüfer in der Schweiz

  bis 2007  Selbstregulierung  nicht wirklich auf hohem

Maturitätsniveau

  ab 2007  Revisionsaufsichtsbehörde gegründet

  beaufsichtigt 21 (17/4)Revisionsunternehmen, welche Publikumsgesellschaften prüfen

  man kann sich auch freiwillig unterstellen (4)

  Qualität, Unabhängigkeit, Mitarbeiter, Förderung, Prozesse und ganz generell Maturität der Prüfung sollten dadurch gesteigert werden

  ermöglicht Continuous Improvement

  Lehren aus Aufsichtstätigkeit sollen institutionalisiert werden




Kontrollen in Geschäft und IT Wirkungsvolles Prüfungsvorgehen ?


Kontrollen in Geschäft und IT Kontrollen finden sich auf allen Ebenen im “Cremeschnitten-Modell”

IT-Infrastruktur

IT-Anwendung

Prozessebene

IT-Basissysteme

R RK

R

R

R

R

R

R

R

K K

K

K

K

K

IT-Anwendungs- kontrollen

Geschäftsprozess- kontrollen

K

K

K

K

spezifische IT-Kontrollen

spezifische IT-Kontrollen

R KRRisiko im Geschäftsprozess

Risiko in Informatik- Infrastruktur

Kontrolle

Gene

relle

IT-K

ontro

llen

IT-Revision (information systems auditing) ist definiert als jede Revision, welche die Überprüfung und Beurteilung aller Aspekte von automatisierten, informationsverarbeitenden Systemen (oder Teilen davon) umfasst; inklusive der damit zusammen-hängenden nicht-automatisierten Prozesse und ihrer Schnittstellen.

ISACA




Prüfungsverfahren … aber bitte richtig anwenden

5

PS 890

IKS

Prüfung der Existenz

Quelle: Revisionshandbuch (RHB) 2009

Verfahrensprüfung

EinhalteprüfungDetailprüfung/

ErgebnisprüfungIKS beurteilen

? ?


“Prüfungsfrage” 1 Alle Fragen immer (auch) im Zusammenhang mit IT-Prüfung

  Was für Anforderungen kennen Sie für die Durchführung von Planungssitzungen … 1.  hinsichtlich der Teilnehmer?2.  hinsichtlich dem Prüfungsumfang?




Dokumentation der Prüftätigkeit absolut entscheidend

  Planungssitzung1.  Teilnehmer

  nicht ersichtlich, wer an Sitzung teilgenommen hat  nicht ersichtlich, ob für alle Teilnehmer eine Unabhängigkeitsbestätigungen eingeholt wurden (PS300)

2.  Prüfumfang hinsichtlich IT nicht nachvollziehbar



  Was für Anforderungen kennen Sie hinsichtlich der Übersichtsdokumentation (als Grundlage der Prüfung)?





  Übersicht (als Grundlage) Keine Übersicht, die alle wesentlichen Geschäftsprozesse und Kontrollen enthält


Dokumentation des IKS (als Teil der Arbeitspapiere)

Übersicht der Kern-Anwendungen Quelle: Vorgehensmodell Anwendungsprüfung





Quelle: echter SAS70-Bericht; anonymisierte Ausbildungsunterlagen © ITACS Training AG



  Was für Anforderungen kennen Sie für die Dokumentation der Prüfungsdurchführung?1.  konkretes Prüfgebiet z.B. Zugriffsrechte2.  Interviews

3.  Prüfurteil für “ITGC”4.  Verständnis des Prüfers für IKS

5.  Existenz des IKS





  Durchführung1.  Nicht ersichtlich, ob Zugriffsrechte geprüft

wurden2.  Interviews (Teilnehmer und wesentliche

Inhalte) nicht festgehalten

3.  Nicht nachvollziehbar, warum ITGC trotz fehlender Prüfungshandlungen als gut befunden

4.  Nicht ersichtlich, ob Prüfer ein ausreichendes Verständnis für vorhandenes IKS hat

5.  Nicht erkennbar, ob IKS existiert resp. wie das geprüft wurde



Übersicht der Kern-Anwendungen Quelle: Vorgehensmodell Anwendungsprüfung

Risiko-/Kontrollmatrix Quelle: Michel Huissoud, EFK




Quelle: Accounting Information Systems;

by Gelinas, Sutton, Oram




  Was machen Sie, wenn Sie keine Prüfung der ITGC durchführen wollen/können?

16




Prüfung von generellen IT-Kontrollen (ITGC)

  Keine Prüfung der ITGC aber auch …  keine Berücksichtigung dieser Tatsache bei den Applikationsprüfungen  keine weiteren ergebnisorientierten Prüfungen durchgeführt

17



  Welche Anforderungen gelten für die Prüfung der Wirksamkeit der ITGC?1.  Wie lang ist die zu prüfende Periode?2.  Welche Periode?

3.  Wie häufig?

18





  Prüfung der ITGC gemacht:  aber Wirksamkeit der ITGC nicht beurteilt

1.  für ausreichend lange Periode2.  für richtige Periode

3.  jährlich (PS890)

 Änderungen nicht verfolgt

19



  Kann man auf die Prüfung der Wirksamkeit der ITGC verzichten?

20





  Anmerkung (M. Huissoud) Detailprüfungen sind kein vollwertiger Ersatz für ITGC-Tests

  Prüfung vollständig um den Computer herum wäre möglich; jedoch muss die Erstellung der verwendeten Berichte durch Prüfer verifiziert werden

21 cet environnement soit sous

contrôle….

Ergebnis-orientierte

PrüfungProzesse

Veröffentlichte Jahresrechnung

Buchungs-Belege


Vorgehensmodell IT-Risikoanalyse Arbeitshilfe für KMU-Prüfer – primär für generelle IT-Kontrollen

  Teil der strateg. Prüfungs-planung (PS890)

  Erste Bestandesaufnahme Abhängigkeit IKS von Informatik (Phase 1)  Reifegrad der Informatik (Phase 2)

  keine eigentlichen Prüfungshandlungen

  indirekter Rückschluss auf Risiken

IT-Infrastruktur

IT-Basissysteme

IT-Anwendungen

Geschäftsprozesse

© ITACS Training

Vorgehensmodell IT-RisikoanalyseArbeitshilfe für KMU-Prüfer

6.10.2010

Quellen: www.treuhand-kammer.ch www.isaca.ch





  Kann man auf die Prüfung der Wirksamkeit der Anwendungskontrollen verzichten?  Ja: unter welchen Voraussetzungen?

 Nein: warum?

23


Prüfung von Anwendungskontrollen (AC)

  Keine Prüfung der AC  keine weiteren ergebnisorientierten Prüfungen durchgeführt





  Man hat im Vorjahr bereits die Anwendungskontrollen geprüft. Kann man jetzt auf die erneute Prüfung der Wirksamkeit der Anwendungskontrollen verzichten? Wenn ja: unter welchen Voraussetzungen? Wenn nein: warum nicht?

25



  Keine Prüfung der AC wegen Vorjahresprüfung, aber  nicht verifiziert, ob Änderungen im Kontrolldesign erfolgten

 Kontrollen nicht nachgetestet

  Prüfung der AC nur einmalig durchgeführt





  Unter welchen Voraussetzungen kann man sich auf die Anwendungskontrollen abstützen?1.  hinsichtlich “testen”?

2.  Auswirkungen nicht funktionierender Kontrollen?

3.  kompensierende Kontrollen?

4.  Tests von ITGC?5.  unterjährige Änderungen in Kontrollen?

27



  Auf Anwendungskontrollen abgestützt …1.  ohne Applikationskontrollen getestet zu haben

2.  Auswirkung der nicht funktionierenden Kontrollen nicht berücksichtigt

3.  kompensierende Kontrollen nicht identifiziert und geprüft

4.  keine Tests der relevanten ITGC durchgeführt (jährlich!)

5.  unterjährige Änderungen in den Kontrollen nicht angemessen berücksichtigt




Vorgehen zur Anwendungsprüfung

  “Top-down Ansatz” von den Finanzdaten über wesentliche Konten zu Transaktionsklassen, wesentlichen Prozessen und damit zu manuellen und automatisierten Kontrollen   neben den “wirklich generellen” IT-Kontrollen existieren auch applikationsspezifische ITGC

Quelle: Bernhard Hamberger, Ernst & Young


Vorgehensmodell Anwendungsprüfung

XXXX Quellen: www.treuhand-kammer.ch www.isaca.ch www.afai.fr





  Welche Erkenntnisse haben Sie für die Prüfung von ERP?1.  Bedeutung für Abschlussprüfung2.  Maturität innerhalb ERP-Komponenten

3.  Schwachstellen von ERP4.  Konfiguration der ERP

31


Prüfung von Standard-Software (ERP)

  Standardsoftware (ERP)1.  Bedeutung des ERP für Abschlussprüfung

nicht erkannt und ERP aus Prüferoptik oft als unkritisch angeschaut

2.  Nicht erkannt, dass Maturität innerhalb eines ERP extrem schwanken kann

3.  Bekannte Schwachstellen vor Prüfung nicht seriös recherchiert

4.  Aktuelle Konfiguration nicht geprüft





  Was müssen Sie bei der Prüfung von ERP hinsichtlich der typischen Fehlerquellen bei dessen Einführung berücksichtigen?

33


Prüfung von Standard-Software (ERP)

  Typische Fehlerquellen zu wenig berücksichtigt …  Fehler bei Einführung / Konfiguration Umgehung des bestehenden IKS durch neues ERP

 Workaround, weil “Element” in ERP fehlt  Fehler in der späteren Anwendung des ERP (Benutzer-Schulung)





  Was wissen Sie über die zeitlichen Aspekte der Prüfungen der generellen IT-Kontrollen (ITGC)?1.  Zeitliche Reihenfolge; was zuerst:

Anwendungskontrollen oder ITGC?

2.  In welchem Jahr prüfen Sie die ITGC, wennPrüfung des Abschlusses 2010 im Februar 2011 erfolgt?

35 Stimmkarten anwenden:grün: richtig / einverstandenrot: falsch / nicht einverstanden


Zeitliche Planung und Umsetzung der Prüfung

  Reihenfolge Prüfungen Anwendungskontrollen und generelle IT-Kontrollen gleichzeitig getestet

  Prüfungen in Periode  Prüfung Kontrolle Change Management in Jahr j+1 statt j

 Abstützung auf Vorjahr ohne Verifikation des Designs (Baselining) ISA330.39





  Wie gehen Sie um mit dem Zeitdruck bei Prüfungen?1.  Erkenntnisse bei Prüfung stellen die bis jetzt

erarbeiteten Ergebnisse grundsätzlich in Frage

2.  Zusätzliche Detail-Abklärungen wären notwendig

3.  Engagement Quality Control Review-Verantwortlicher ist nicht verfügbar

37



  Zeitdruck bei Problemen1.  Anpassung von Prüfstrategie nicht (mehr)

möglich2.  keine Puffer für zusätzliche Abklärungen

3.  Bericht veröffentlicht ohne Engagement Quality Control Review (ISA220)

  Anmerkungen  Bilanz = Stichtagsbezogen  Erfolgsrechnung bezogen auf gesamtes Geschäftsjahr

  Existenz IKS ist unabhängige Zusatzprüfung PS890




Zeitdimension ignoriert Andreas Toggwyler, Bern, 15. Juni 2011

Planung einer Revision (zeitlich) Planung und

Risikoidentifikation

Strategie und Risikobeurteilung

Durchführung

Konklusion und Reporting

•  Analyse von Bilanz und Erfolgsrechnung

•  Identifikation der Geschäftsprozesse und Datenflüsse

•  Identifikation der Kernanwendungen und der wichtigsten Schnittstellen

•  Identifikation der Risiken und Schlüsselkontrollen

•  Walkthrough

•  Beurteilung des Kontroll-Designs

•  Beurteilung der Umsetzung der Kontrollen

•  Gesamtbetrachtung und Ergebnisfindung

Abstimmung der Zwischen- und Schlussrevision

formell und inhaltlich



  zeitlich korrekte Umsetzung ist in der Praxis eine grosse Herausforderung   hängt sowohl vom Prüfer als auch vom geprüften Unter-nehmen ab   alternative Prüfmassnahmen (z.B. Prüfung von kompen-sierenden Kontrollen, Ver-doppelung der Stichprobe) benötigen mehr Zeit als die ursprünglich vorgesehene Prüfung

Quelle: Andreas Toggwyler, KPMG





  Wie gehen Sie mit Outsourcing um?1.  Abstützen auf Aussagen Dritter

2.  Planung/Scoping3.  Verwendung von Berichten des Providers


Prüfung und Outsourcing

  Outsourcing1.  Auf Aussagen Dritter verlassen, dass

  Kontrollen implementiert sind  Daten vollständig sind

2.  Keine saubere Planung/Abgrenzung vorgenommen (PS402, PS400)

3.  Kein korrekter Umgang mit den Berichten der Revision des Outsourcing Providers (PS402)




Prüfung von Outsourcing-Providern

  Verantwortung auch für Feststellungen von Dritten liegt (bei Abstützen auf dem Bericht des Dritten) beim Abschlussprüfer!   Zusätzliche Prüfungs-handlungen fast immer notwendig; sollte bereits bei Planung berücksichtigt werden Quelle: Andreas Toggwyler, KPMG


IKS ignoriert oder nicht 100% getestet•  Keine Übersicht (Topographie)•  Zeitdimension ignoriert•  Outsourcing falsch behandelt•  Standard-Software falsch behandelt•  Ungenügende Tests (ITGC – AC)•  Mangelhafte Information (IR,

Selbstdeklaration des Geprüften)

IKS-Prüfung nicht

dokumentiert

Fehlerhaftes IKS gemäss

ArbeitspapiereGesamtprüfurteil

über die IKS-Wirksamkeit

Wirksames IKS gemäss

Arbeitspapiere

Korrekte und dokumentierte IKS-Prüfung

Keine Tests der kompensierenden

Kontrollen

44

Bei unwirksamem IKS keine Anpassung bei den Einzelfallprüfungen

Gesamt-prüfurteil

Die Landkarte der Fehler … grundsätzlich auch für interne Revision vorstellbar




Beanstandungen & Ausbildung

45

1 Keine Übersicht (Topographie)2 Zeitdimension ignoriert3 Mangelhafte Information4 Standard-Software falsch behandelt5 ichteinhaltung des PS890

6 Ungenügende Tests (ITGC – AC)

7 Outsourcing falsch behandelt8 IKS-Prüfung nicht dokumentiert9 Keine Tests der kompens. Kontrollen


Zusammenfassung RAB Absolut ungenügende Berücksichtigung ICT-Umfeld

  Einfluss ICT auf Prüfung  ICT wird nicht verstanden (PS300)

 Notwendige Grundkenntnisse über Umfeld nicht vorhanden oder nicht nachweisbar (PS310)

  Unternehmen

  Umfeld (Branche, …)

 Keine Prüfungen des ICT-Umfelds gemacht (PS401)

  Sachverstand Abschlussprüfer verfügt nicht über genügend Kenntnisse des ICT (PS401)




RAB-Schlussfolgerungen

  Generell Was nicht dokumentiert ist, gilt als nicht durchgeführt!



  Richtige Prozesse (und PS usw.) kennen und im richtigen Moment korrekt anwenden und angemessen reagieren  Je höher das Risiko, desto mehr Nachweise einholen  Wenn niedriges Prüfrisiko nicht beweisbar ist, muss von grossem Prüfrisko ausgegangen werden




Prüfungsrisiko Risiko, dass ein im Geschäft steckender, wesentlicher Fehler weder vom IKS noch vom Prüfer entdeckt wird

Audit Risk=

Inherent Risk⌧

Control Risk⌧

Detection Risk

Mögliche BerechnungAudit Risk

=

2 x Inherent Risk+

Control Risk+

1/2 Detection Risk

Prüfungsrisiko

IKS

Inhärentes Risiko

Wahrscheinlichkeit von Fehlern des zu prüfenden Abschlusses

Risiko des Prüfers, dass er die Fehler resp. Schwachstellen nicht erkennt

Fehler, welche die Kontroll- mechanismen umgehen

Fehler, welche von der internen Kontrolle nicht entdeckt werden

Kontrollrisiko

IT-Komponente

Prüfung Aufdeckungsrisiko

Hinweis: Auch wenn die Terminologie primär aus dem Umfeld der Revision stammt, sind die Überlegungen uneingeschränkt auch für die (IT-) Sicherheit oder Risikomanagement gültig!

Business-Komponente

Restrisiko Fehler, welche von den internen Kontrollen nicht verhindert/entdeckt werden, sowie Fehler, welche die Kontrollmechanismen umgehen = Risiko nach dem Treffen aller Massnahmen

HWP 2009: “Fehlerrisiko”



  Prüfer fit machen hinsichtlich Geschäftstätigkeit und IT Abschlussprüfer muss Grundverständnis für IT haben

  IT-Prüfer muss aktuell eingesetzte Technologie verstehen Leiter Interne Revision muss ebenbürtiger Sparringpartner sein




Weitere themenspezifische Ausbildung

  Seminar vom 5. Juni 2012, Zürich (in Deutsch):“IKS, Prozessprüfungen, PS 890 und IT-Audit: Die Lehren aus der Aufsichtstätigkeit der RAB”

  Weitere auf www.isaca.ch und www.treuhand-kammer.ch

51

rab-beanstandungen it-revision

Documents