Das perfekte IKS für alle Themen - Switzerland Chapter · 1. Juni 2016 Forum IT-Themen in der...
23
1 1. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung Das perfekte IKS für alle Themen Peter R. Bitterli, CISA, CISM, CGEIT Inhaltsverzeichnis Das perfekte IKS für alle Themen • Ausgangslage • Was ist das Ziel? • Kurze Übersicht über das COBIT-Framework (Exkurs) • Kochbuchansatz in 5 Schritten • Zusammenfassung 2 Das perfekte IKS für alle Fälle
Transcript of Das perfekte IKS für alle Themen - Switzerland Chapter · 1. Juni 2016 Forum IT-Themen in der...
11. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Das perfekte IKS für alle ThemenPeter R. Bitterli, CISA, CISM, CGEIT
InhaltsverzeichnisDas perfekte IKS für alle Themen
• Ausgangslage• Was ist das Ziel?• Kurze Übersicht über das COBIT-Framework (Exkurs)• Kochbuchansatz in 5 Schritten• Zusammenfassung
2Das perfekte IKS für alle Fälle
21. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Ausgangslage
Das perfekte IKS für alle FälleSeite 3
Ausgangslage (I)
• Generelle IT-Kontrollen gelten als “Enterprise-wide Controls” resp. “CompanyLevel Controls”, sind also wichtig
• Generelle IT-Kontrollen sind die Basis fürwirksame Anwendungskontrollenà möglichst viele möglichst gut prüfen?
• Generelle IT-Kontrollen können die Aussagekraftvon Auswertungen (z.B. Überwachungsberichteund andere IKS-Listen) erhöhenà möglichst viele möglichst gut prüfen?
• In bestimmten Fällen sollten auch IT-Kontrollenjährlich geprüft werden
4Das perfekte IKS für alle Fälle
31. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Ausgangslage (II)
Möglicher Handlungsbedarf für ein neues IKS-IT• Bestehendes IKS-IT ist
• inexistent• veraltet• zu kompliziert
• Viel zu viele verschiedene Managementsysteme im Einsatz
Chancen• Neuer CFO, CRO, C..., VR• Laufendes IKS-Projekt• Laufendes Projekt für ISAE3402• Diverse IKS-relevante Vorfälle
5Das perfekte IKS für alle Fälle
Das
per
fekt
e IK
S fü
r al
le F
älle
41. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Das perfekte IKS für alle Fälle7
Was ist das Ziel?
Ziele des Projektes
Entwicklung eines nachweislich korrekten IKS-IT für unterschiedlichsteFragestellungen• Ordnungsmässigkeit (Basis der Finanzprüfer)• ausreichender Datenschutz• operationelle Betriebsstabilität• …
Verwendung von Good Practice statt Eigenentwicklungso schlank wie möglich aber beliebig erweiterbar (modular)
8Das perfekte IKS für alle Fälle
51. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Das perfekte IKS für alle Fälle9
Kurzeinführung in COBIT-Framework
Was ist COBIT 5?
Die Sekunde (s) ist das 9 192 631 770-fache der Periodendauer der dem
Übergang zwischen den beidenHyperfeinstrukturniveaus des
Grundzustandes von Atomen des NuklidsCäsium 133 entsprechenden Strahlung.
10Das perfekte IKS für alle Fälle
61. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Was ist COBIT 5?
Das perfekte IKS für alle Fälle11
Was steckt in COBIT drin?
Das perfekte IKS für alle Fälle12
IT in der gesamten Breite
<-ho
ch -
---
Det
aill
ieru
ngsg
rad
----
nied
rig
->
71. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
In COBIT 5 integrierte QuellenNationale und internationale Standards
TOGAF
NISTSP800
ISO27000
mit Korrekturen
ISO9000
COSO, KING III, OECD
Quelle: COBIT 5 Framework, Fig. 25 © 2012 ISACA
Das perfekte IKS für alle Fälle13
Die COBIT-Geschichtebasierend auf “COBIT 5 Introduction Presentation” (ISACA)
ALT
ALT
ALT
ALT
ITAF
Das perfekte IKS für alle Fälle14
81. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
COBIT 5 Prozess-Landschaft37 generische Prozesse (eigene deutsche Übersetzung)
Das perfekte IKS für alle Fälle
15
COBIT 5 Prozess-StrukturErmöglicht gezielte Auswahl von COBIT-Elementen
Das perfekte IKS für alle Fälle
16
91. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
COBIT 5 Prozess-StrukturErmöglicht gezielte Auswahl von COBIT-Elementen
Das perfekte IKS für alle Fälle
17
Prozess mit:
• Prozess-Beschreibung
• Aussage zum Zweck
• IT-bezogene Ziele und entsprechende
Metriken
• Prozess-bezogene Ziele, entsprechende
Metriken
• Schlüssel Governance-/Management-
Praktiken
• RACI-Chart/AKV
- Input/Output-Tabelle
Quelle: COBIT 5 Enabling Processes, EDM01 © 2012 ISACA
COBIT 5 RACI Chart (AKV)BAI6 aus COBIT Enabling Processes Guide
Quelle: COBIT 5 Enabling Processes, BAI06 © 2012 ISACADas perfekte IKS für alle Fälle
18
101. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
COBIT 5 Input-Output ChartBAI06 aus COBIT Enabling Processes Guide
Quelle: COBIT 5 Enabling Processes, BAI06 © 2012 ISACADas perfekte IKS für alle Fälle
19
COBIT 5 Ziele und MetrikenBAI06 aus COBIT Enabling Processes Guide
IT-related goals
Process goals
Quelle: COBIT 5 Enabling Processes, BAI06 © 2012 ISACADas perfekte IKS für alle Fälle
20
111. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Schritt für Schritt - Anleitung1. Wahl des Referenzmodells
2. Sammlung der notwendigen Aussagen (Attestations)
3. Bewertung der COBIT Control Activities für sämtliche Attestations
4. Gruppierung der Attestations zu «Blickwinkeln»
5. Etwas Mathematik
Das perfekte IKS für alle Fälle
Wichtige Notiz:Das vorgestellte Forschungsprojekt wurde (mit)finanziertdurch ein Kundenmandat. Zum Schutz der Investitionenliegt der Fokus auf dem Vorgehensansatz und nicht denDetail-Erkenntnissen.
21
1.Wahl des Referenzmodells2. Sammlung der notwendigen Aussagen3. Bewertung der COBIT Control Activities4. Gruppierung der Attestations5. Etwas Mathematik
Das perfekte IKS für alle Fälle
22
121. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Schritt 1: Wahl des Referenzmodells
Das perfekte IKS für alle Fälle
Möglichkeiten
• Handbuch für Wirtschaftsprüfung
• IT-Grundschutz-Handbuch
• Vorgehensmodell IT-Risikoanalyse
• ISO27002
• NIST 800
• COBIT
• …
20 Themen / 91 Kriterien
IT-relevante Dokumentation (4)
Organisation der IT (7)
IT-Governance (6)
IT-Risikomanagement (3)
Compliance (2)
IT-Projektmanagement (6)
Software-Entwicklung (7)
Testen von Anwendungen (5)
Rechnungswesen (3)
Direkte Anwendungskontrollen (4)
Unterstützende Anwendungskontrollen (5)
Anwender-Richtlinien (3)
Anwender-Ausbildung (3)
Zugriffsschutz (5)
IT-Sicherheit (6)
Physische Sicherheit (3)
IT-Betrieb (7)
Problem Management (3)
Datensicherung (5)
Outsourcing (4)
23
Warum COBIT?
• regelmässig aktualisiert
• angepasst an COSO ERM, King III, TOGAF, ISO2700x, …
• umfassendes Framework für die Führung der IT durch das Business
• beinhaltet wesentlich mehr als reine IT-Aspekte
• Key Governance / Key Management-Praktiken statt “Controls”
based on: ”COBIT 5 Framework”, Fig. 25 © 2012 ISACA
TOGAF
NISTSP800
ISO27000
ISO9000
COSO, KING III, OECD
Das perfekte IKS für alle Fälle
24
131. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Warum COBIT?
Das neue Framework (COBIT 5) erlaubt verschiedene “Blickwinkel”
à flexibel anpassbar an unterschiedlichste Fragestellungen:
• finanzrelevantes IKS innerhalb und ausserhalb der IT
• Risikomanagement innerhalb und ausserhalb der IT
• Security innerhalb und ausserhalb der IT
• Compliance
• …
Governance
Management
Operations
Das perfekte IKS für alle Fälle
25
1. Wahl des Referenzmodells2. Sammlung der notwendigen Aussagen3. Bewertung der COBIT Control Activities4. Gruppierung der Attestations5. Etwas Mathematik
Das perfekte IKS für alle Fälle
26
141. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Sammlung der Aussagen (Attestations) I
Auswahl von konkreten «Aussagen» basierend auf den Kriterien aus OR 728,
Stellungnahme der THK zur Ordnungsmässigkeit, …
• Genehmigung (Autorisierung, Authentisierung)
• Nachvollziehbarkeit (Logs, Dokumentation, Verträge, SLA)
• Integrität von Daten / Logs
• Management Change / Incident / Config / Test
• Management Security / Patch / Hardening
• Backup, Aufbewahrung, Archivierung
Das perfekte IKS für alle Fälle
27
Sammlung der Aussagen (Attestations) II
Das perfekte IKS für alle Fälle
Die klassischen Aussagen
Vollständigkeit
Richtigkeit
Gültigkeit
Verbindlichkeit
Vertraulichkeit
organisatorische Zugriffssicherheit
technische Zugriffssicherheit
operationelle Verfügbarkeit
Continuity Management
Nachvollziehbarkeit
Compliance
Effizienz
Etwas speziellere Aussagen
Third-Party Control
Data Loss Prevention
Risiko-Freiheit
Qualität
Betriebsstabilität
Wertschöpfung
Anforderungsmanagement
28
151. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
1. Wahl des Referenzmodells2. Sammlung der notwendigen Aussagen3. Bewertung der COBIT Control Activities4. Gruppierung der Attestations5. Etwas Mathematik
Das perfekte IKS für alle Fälle
29
Detaillierte Analyse der Kontroll-Aktivitäten
210
Key
Man
agem
ent-
Prak
tiken
Das perfekte IKS für alle Fälle
30
161. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Die BewertungsstufenJede Kontrollaktivität wird im Detail bewertet
Das perfekte IKS für alle Fälle
4 Stufen
N: nicht, gar nicht, nicht anwendbar, leistet
keinen erkennbaren Beitrag
P: partiell, nur zu einem geringen Teil, kann
unterstützend wirken
G: grösstenteils, zu einem grossen Teil,
leistet einen wesentlichen Beitrag
(=: Schlüsselkontrollen)
U: unabdingbar, absolut notwendig
(=: Schlüsselkontrollen)
COBIT Process Assessment Model PAM
(bekannt unter ISO15504)
N – Not achieved / 0–15% (nicht erreicht): Es besteht wenig
oder kein Nachweis des definierten Attributes im bewerteten
Prozess.
P – Partially achieved / 15–50% (teilweise erreicht): Es gibt
Nachweise eines Vorgehensansatzes für das definierte
Attribut (oder für dessen Erreichung) im bewerteten Prozess.
Einzelne Aspekte der Erreichung des Attributes sind allenfalls
nicht vorhersehbar.
L – Largely achieved / 50–85% (grösstenteils erreicht): Es
gibt Nachweise für einen systematischen Vorgehens-ansatz
für das definierte Attribut (oder für dessen signifikante
Erreichung) im bewerteten Prozess. Einzelne Schwächen in
Bezug auf dieses Attribut können im bewerteten Prozess
vorkommen.
F – Fully achieved / 85–100% (vollständig erreicht): Es gibt
Nachweise für einen vollständigen und systematischen
Vorgehensansatz für das definierte Attribut (oder für dessen
Erreichung) im bewerteten Prozess. Keine signifikanten
Schwächen in Bezug auf dieses Attribut bestehen im
bewerteten Prozess.
31
Detaillierte Analyse der Kontroll-Aktivitäten“Forschungsprojekt” aus unserer Beratungspraxis (I)
Die klassischen Aussagen
• Vollständigkeit
• Richtigkeit
• Verbindlichkeit
• Vertraulichkeit
• …
Das perfekte IKS für alle Fälle
32
171. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
18 Themen
CO
BIT
5.0
27 P
roze
sse
-> 2
10 K
ey M
anag
emen
t-Pr
aktik
en -
> 1
111
Akt
ivitä
ten
Das perfekte IKS für alle Fälle
33
1. Wahl des Referenzmodells2. Sammlung der notwendigen Aussagen3. Bewertung der COBIT Control Activities4. Gruppierung der Attestations5. Etwas Mathematik
Das perfekte IKS für alle Fälle
34
181. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Gruppierung der Aussagen (Attestations)Wir interessieren uns kaum für Einzelaussagen
Das perfekte IKS für alle Fälle
Problem: Wie finden wir die relevantenSchlüsselkontrollen?
Zu viele Einzelinformationen(1111 Aktivitäten x 18 Aussagen x4 Bewertungen)
Lösungsansatz
Kontroll-Aktivitäten sind ja Teil von «KeyManagement Practices»
Gewichtung der Bewertungen(Z.B. N: 0, P: 1, G: 5, U: 25)
Gruppierung der Aussagen zu sogenanntenBlickwinkeln
35
Beispiele sinnvoller Blickwinkel
• Finanzrelevantes IKS (IT)• Finanzrelevantes IKS (Business)• Unterstützung Compliance• Informationssicherheit• Persönlichkeitsschutz• Wertschöpfung• Wirtschaftlichkeit• Usw.
Das perfekte IKS für alle Fälle
Inte
grit
ät
18 Themen
Gül
tigk
eit
Nac
hvol
lzie
hbar
keit
Inte
grit
ät
Vert
raul
ichk
eit
Nac
hvol
lzie
hbar
keit
36
191. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Ein Blickwinkel besteht aus mehreren Aussagen
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
Activity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
Activity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
Activity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
Activity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
Activity
Blick-winkel Thema
Blick-winkel
Thema
Thema
Thema
Thema
Thema
Thema
Thema
Thema
Thema
Thema
Thema
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ActivityActivity
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSet
ControlSetControlSet
ControlSetControlSetControlSet
ControlSet
ControlSet
ControlSetControlSet
ControlSet
ControlSet
“Control Set”= Key ManagementPractices
“Control Set”= Key ManagementPractices
“Control Set” =Key ManagementPractices
“Control Set” =Key ManagementPractices
“Control Set” =Key ManagementPractices
“Control Set” =Key ManagementPractices
“Control Set” =Key ManagementPractices
Das perfekte IKS für alle Fälle37
1. Wahl des Referenzmodells2. Sammlung der notwendigen Aussagen3. Bewertung der COBIT Control Activities4. Gruppierung der Attestations5. Etwas Mathematik
Das perfekte IKS für alle Fälle38
201. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Unterschiedliche Gewichtung der AussagenFür jeden Blickwinkel individuelle Zusammenstellung
• Finanzrelevantes IKS (IT)• Finanzrelevantes IKS (Business)• Unterstützung Compliance• Informationssicherheit• Persönlichkeitsschutz• Wertschöpfung• Wirtschaftlichkeit• Usw.
Das perfekte IKS für alle Fälle
Inte
grit
ät
5x
Die Gewichte dienenzur Illustration
Gül
tigk
eit
7x
Nac
hvol
lzie
hbar
keit
3x
18 Themen39
Auswahl der Key Management Praktiken(pro Blickwinkel auf Basis der Gewichtung)
Das perfekte IKS für alle Fälle
A: Das Thema für den Blickwinkelunabdingbar
B: Das Thema ist für den Blickwinkel sehrwichtig
C: Das Thema ist für den Blickwinkel
D: Das Thema ist für den Blickwinkelsekundär
E: Das Thema für den Blickwinkel nichtrelevant
Berechnungsansatz (Ausschnitt)A: à Alle identifizierten Schlüssel-Praktiken des Themasmüssen zwingend implementiert werden, um dieübergeordneten Ziele des Blickwinkels abzudecken – diesunabhängig von Betrachtungen zu anderen Themen.àà 1 “TRUE” für irgendein Thema genügt; das heisst, diePraktik landet im Blickwinkel-Setàà ein “A-TRUE” wird immer zu 100% gewichtet
B:à Schlüssel-Praktiken des Themas werden nur dannselektiert, wenn sie bereits zusammen mit nur einemanderen Thema die übergeordneten Ziele des Blickwinkelsabdecken. Das heisst, dass zwei oder mehrkorrespondierende Schlüssel-Praktiken verschiedenerThemen zusammen zu einer Schlüssel-Praktik für denBlickwinkel werden.àà 2 oder mehr “TRUE” (verschiedener Themen) sind nötig,damit die Praktik im Blickwinkel-Set aufgenommen wirdàà ein “B-TRUE” wird immer zu 50% gewichtet
Usw.
Der obig skizzierte Ansatzist unvollständig
40
211. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Der ultimative Set von Kontrollen
Das perfekte IKS für alle Fälle
LesehilfeFinanzrelevantes IKS setzt sichzusammen aus:
• 3 Kontrollen, welche gleichzeitigauch für Datenschutz sorgen (AB)
• 1 Kontrolle, welche gleichzeitigauch für Betriebsstabilität sorgt(AC)
• 15 Kontrollen, welche gleichzeitigfür Betriebsstabilität undDatenschutz sorgen (ABC)
Zudem• 3 Kontrollen nur für Datenschutz
(B)
• 3 Kontrollen nur für Betrieb
• 4 Kontrollen für Datenschutz undBetrieb
41
Der ultimative Set von KontrollenAus Gründen des Urheberrechts unvollständig (total 19 Schlüsselkontrollen)
APO ….….BAI06.01 Evaluate, priorities and authorize changesBAI06.02 Manage emergency changesBAI06.03 Track and report changes status…BAI07.05 Perform acceptance tests…DSS04.07 Manage backup arrangements…DSS05.04 Manage user identity and logical access…MEA…
Das perfekte IKS für alle Fälle42
221. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
Das perfekte IKS für alle Fälle43
Zusammenfassung
Zusammenfassung
• Es braucht eine Harmonisierung im Markt• Vergleichbarkeit von ISAE3402-Berichten der Provider• Einheitlicheres Verständnis bei Kunden und Prüfern
• Möglicher Ansatz• Standardisierung über PS, PA, PE, ISAs usw.• Harmonisierung EFK (?)• Harmonisierung über freiwillige Zusammenarbeit
• Ein «perfektes» IKS wäre möglich• «wissenschaftlicher Ansatz» wie in dieser Präsentation
Das perfekte IKS für alle Fälle44
231. Juni 2016 Forum IT-Themen in der Wirtschaftsprüfung
?Fragen
Das perfekte IKS für alle Fälle45
