IT-Revisionsplanung und -Durchführung · •2 ISACA After Hours Semiar - IT-Revisionsplanung & Durchführung 3 29. April 2008 Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer

•1

Bild mit Bezug zuKunde oder Inhalt einfügen

'Einfügen -> Grafik -> Aus Datei'

Höhe 13.3 cmBreite 14.4 cm

Ein Praxisbericht

ISACA After Hours Seminar 2008

Zürich, 29. April 2008

Autor: Christian Balmer

Email-Adresse: [email protected]

IT-Revisionsplanung und -Durchführung

ISACA After Hours Semiar - IT-Revisionsplanung &Durchführung

2 29. April 2008

Agenda

Das Umfeld – Unternehmen, IT-Führungsmodell, IT-Landschaft,Revisionsstandards

Risikoorientierte (Mehrjahres-)Prüfungsplanung – Abstimmung vonStakeholderansprüchen, Compliancevorgaben und Prüfbereichen

Prüfungsvorbereitung – Identifikation relevanter Prüffelder

Prüfungsdurchführung – Methodik, Dokumentation und Tools

Berichterstattung – Empfängergerechte Aufbereitung und Auswertung,Abnahmeinstanzen, vereinbarte Massnahmen

Pendenzenverwaltung und Nachschauprüfung (Follow-up) –Massnahmentracking

Projektbegleitung – Audit Agreement

Prüfung von Standardsoftware/-lösungen – Besonderheiten am Beispiel SAP

Ausblick Bankendienstleistungszentrum – Die Rolle als Konzernrevision versusInterne Revision der Tochter (Provider)

•2


3 29. April 2008

Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer Grossbank

Unternehmensgründung im Jahr 1870

Die Rechtsform entspricht einer selbstständigen öffentlich-rechtlichen Anstalt gemässkantonalem Recht, mit dem Zweck der Erfüllung des Leistungsauftrages (Versorgung,Unterstützung, Nachhaltigkeit) des Kantons Zürich

Die Kundensegmente bilden Privatkunden, Firmenkunden und Private Banking Kunden

Das Kerngeschäft umfasst Finanzierungen, Immobilien, Anlage-, Vorsorge- undVermögens-verwaltungsgeschäft, Handel, Kapitalmarkt, Zahlungsverkehr undWertschriftenabwicklung

Standard & Poor bewertet die ZKB mit «AAA»

Staatsgarantie

Ca. 4'400 Angestellte (FTE)

104 Niederlassungen im Kanton Zürich

Stark positive Gewinnentwicklung seit 2001, Eigenkapitalrentabilität 12,5% (31.12.07 )

Die Zürcher Kantonalbank (ZKB)Führende Finanzdienstleisterin im Wirtschaftsraum Zürich


4 29. April 2008

Das IT-Führungsmodell der ZKB

• Logistik• Privatkunden• Firmenkunden

Business Technology Organisation (BTO)

V

IT-S

teu

eru

ng

sa

us

sc

hu

ss I

IT-C

on

tro

llin

g

Informatik

LZKB FP

Beauftragung Rapportierung

Anforderungen Rapportierung

Pri

ori

sie

run

g

Fre

iga

be

Ra

pp

ort

ieru

ng

Üb

erw

ach

un

g,

Be

urt

eilu

ngZ

• Investment & Privatbanking• Finanz• Gesamtleitung

Vergangenheit

•3


5 29. April 2008

Die IT-Landschaft der ZKB - "Big Picture"

Übersicht über das Modell

Management -Prozesse

Vertrieb

Geldverkehr

Finanzierungen & Immobilien

Anlagen, Vermögensverwaltung und Handel

Support -Prozesse

Vertriebsmanagement Produktemanagement Kommunikation PersonalFinanzmanagement

(inkl. Risikosteuerung) Compliance

Akquisition

Kundenbetreuung

Service /Basisdienstleistungen

KundenberatungGeldverkehr

Verarbeitung

Zahlungsverkehrunbar

BestandesführungGeld

BestandesführungKarten

BestandesführungFinanzierungen

BestandesführungSicherheiten

BestandesführungGrundstücke/Immobilien

Handel Asset Management Wertschriften -abwicklung

BestandesführungWertschriften

KundenberatungFinanzierungen

KundenberatungAnlagen & VV

Geschäfts -verwaltung

Informations -sicherheit

InformatikDokumenten -Management

Pricing & Verrechnung

Internes Reporting/Daten auswerten

Auftrags -/Produktionssteuerung

Referenz -Stammdaten

Partner -verwaltung

Kundenreporting

WSAWSA

ASDASD

CIFCIF

Laufendes Programm

Geplantes Programm

Finanzinformationen

Mainframe

Mainframe


6 29. April 2008

Anwendung von Revisionsstandardssowie Best Practices

Audit

IIA-Standards (SVIR)

Prüfungsstandards

COSO Framework für Risikoanalyse

Basel II

IIR (Deutsches Institut für Interne Revision e.V.)etc.

Informatik

CISA Review Manual/ ISACA StandardsCobiT 3 / 4.1ISO 20000 (Service Management), ITILISO 27000 (IT Security)BSI IT-GrundschutzProduktspezifische Leitfäden (SAP, AIX,Oracle)

•4


7 29. April 2008

These 1

Mit den Berufsbildern CISA® undCISM® sowie dem internationalanerkannten Rahmenwerk CobiT®

verfügt der IT-Revisor über einenRucksack, der ihn für alle Informatik-Revisionsaufgaben rüstet.


8 29. April 2008

Die Aufgaben der Informatik-Revision

Sie analysiert und beurteilt die Zweckmässigkeit der IT-Risikosteuerungsowie die Angemessenheit der Aufbau- und Ablauforganisation derInformatik und der in den Geschäftsprozessen eingesetztenautomatisierten Schlüsselkontrollen in Bezug auf effiziente Zielerreichungder Unternehmung.

Sie prüft, ob die Kontrollen der Informationssysteme den in Gesetzen,Verordnungen, Statuten, Reglementen, Verträgen sowie internenWeisungen und Richtlinien festgelegten Normen sowie den Geschäftsan-sprüchen entsprechen.

Sie berät und unterstützt die verantwortlichen Fachstellen und das IT-Engineering bei der Planung, Beschaffung, Entwicklung oder Änderungund Implementierung der Kontrollen in Informationssystemen.

Sie stellt der Fachrevision die für ihre Prüfungen notwendigen Aus-wertungen zur Verfügung.

•5


9 29. April 2008

Leitung AIdisziplinarische Führung

Prüf-/RessourcenplanungGesamtrisikobeurteilungQualitätsmanagement

IT-Infrastruktur(Hardware, Netzwerk, Web)System-/Prozessprüfungen

Sicherheitsprüfungen, Follow-upProjektbegleitungen

Basis-technologie

zentral/dezentral

Standard-lösungenAvaloq

IT-GovernanceIT-Risikoevaluationaufsichtsrechtliche

AnforderungenKoordination Prüfprogramm

Management-ProzessprüfungenFollow-up, Projektbegleitungen

Daten-management

Support PCReporting

IT-Prozess-management

Daten und SupportAbklärungen

Auswertungen, SupportSpezialprüfungen, Follow-up

Projektbegleitungen

Applikationen/Schnittstellen(Geschäftsanwendungen)

System-/ProzessprüfungenEinhalteprüfungen, Follow-up

Projektbegleitungen

Standard-lösungen

SAP

Individual-lösungenmake/buy

Funktionendiagramm Audit Informatik der ZKBabgeleitet aus dem CISA-Berufsbild

Dotation: 8 FTE


10 29. April 2008

These 2

Der Einfluss der IT-Revision auf dierisikoorientierte(Gesamt-)Revisionsplanung bleibt klein.

•6


11 29. April 2008

Risikoorientierte (Mehrjahres-)PrüfungsplanungStrategische Revisionsziele

Im Zentrum der IT-Revision stehen:Management der IT-RisikenOrdnungsmässigkeit von IT-Systemen und IT-Betrieb im Rahmen der finanziellenBerichterstattung (Dokumentationsprinzip)Sicherheit von IT-Systemen und IT-Betrieb mit Fokus auf Vermögensschutz undBetriebsbereitschaft (generelle IT-Kontrollen)Effizienz und Effektivität von IT-Organisation und IT-ProzessenExistenz und Wirksamkeit von automatisierten IT-Kontrollen in den Anwendungen

Prüfbereiche:Organisation (Management, Entwicklung, RZ-Betrieb)Infrastruktur (Hardware inkl. Basis-Software, Telekommunikation)Technologie (Strategie, Architektur)Umweltbedingungen RechenzentrumAnwendungssoftware (Applikationen)


12 29. April 2008

Risikoorientierte Revisionsplanung

Koordination der Revisionstätigkeiten mitexterner Revisionsstelle und Regulator

Mikroanalyse– Geschäftsinhärente Faktoren

(Ausfall-, Markt-, Liquiditäts-,Abwicklungs-, IT-,

Reputationsrisiken etc.)– Kontrollrisiken (Qualität des IKS)– Aufdeckungsrisiken (Komplexität

Produkte, Prozesse, Systemeetc.)– etc.

Spezialaufgaben– externe Mandate– AufträgeBankbehörden,

Prüfungsausschuss

Makroanalyseexterne Risikotreiber: veränderte Wirtschaftsaussichten, Konkurrenzsituation,

technologische und regulatorische Entwicklungen etc.interne Risikotreiber: wesentliche Änderungen in der ZKB-Strategie,

grössere Reorganisationen, neue Geschäftsfelder etc.

Jahres--Zielsetzungen

•7


13 29. April 2008

Definitionen

Operationelle Risiken nach Basel II

Operationelle Risiken sind definiert als die Gefahr von Verlusten, die in Folge

der Unangemessenheit oder des Versagens von internen Verfahren, Menschen

oder Systemen oder in Folge von externen Ereignissen eintreten.

IT Risiken

IT Risiken sind definiert als die Gefahr von Verlusten, die im Business aufgrund

von Verfügbarkeits-, Integritäts- oder Datenvertraulichkeits-Verletzungen von IT-

Leistungen eintreten.


14 29. April 2008

manuelle,organisatorischeLeistungen

applikations-bezogeneLeistungen

applikations-unabhängigbezogeneLeistungen= generelle IT-Leistungen

Business-Layer (Geschäftsprozess)

EingabeVerarbeitung

Ausgabe

*als Services bezogene IT-Dienstleistungen mit SLA-gesicherten Verfügbarkeiten und Kontrollen

Applikations-Layer

Infrastruktur-Layer (IT-Ressourcen: Hardware/Systeme)

automatisierte / programmierte Abwicklung

IT-gestützteLeistungen*

manuelle / organisatorische Abwicklung

Ausgabe

Grundsätzlicher Methodenansatz 1

Leistungen im Prozessebenen-Modell

•8


15 29. April 2008

KontrollrisikoInhärentes

Risiko HöherReifegrad 1 + 0

MittelReifegrad 3 + 2

TieferReifegrad 4 + 5

Tiefer

Höher

MinimalKeine Prüfung

Mittel Prüferische Durchsicht

ModeratPlausibilisierung

ModeratPlausibilisierung

Mittel Prüferische Durchsicht

Maximal Prüfung

Ermittlung Kombiniertes Risiko

Grundsätzlicher Methodenansatz 2


16 29. April 2008

Regulatorische Pflichtprüfungen

Risikobewertung Basisinfrastruktur

Risikobewertung IT-Prozesse

Risikobewertung Daten

Risikobewertung Applikationen

IT-Applikationen gemässPrüfungsplanung Fachrevisionen

Auswahl Follow up

Auswahl Projektbegleitungen

Art. 44o BankVSWXetc.

Prüfungen Fachrevision

Jährliche Prüfungsplanung

Risikoorientierte Revisionsplanung der IT-RevisionRisikoportfolio

•9


17 29. April 2008

Ziele ROPP Basisinfrastruktur

Die Risikobeurteilung vorfolgt zwei Ziele:

1. Bilden einer Grundlage für die Mehrjahresplanung von Prüfungen im

Rahmen der Basisinfrastruktur.

2. Ermitteln von Kennzahlen, die den Einfluss der Basisinfrastruktur auf die

Applikationen und Daten der ZKB und damit indirekt auf die Geschäfts-

prozesse ergibt.


18 29. April 2008

Risikobestimmung Basisinfrastruktur

Gefährdung

Auswirkungen

Massnahmen/Feststellungen

Zw Ef Vt In Vf Eh Vl

Daten PersonalApplikationen InfrastrukturTechnologien

W'k

eit

In %

Zahl ZahlSFr. Std.----- ----- -----

CISA-Elemente

Zw = Zweckmässigkeit

Ef = Effizienz

Vt = Vertraulichkeit

In = Integrität

Vf = Verfügbarkeit

Eh = Einhaltung

Vl = Verlässlichkeit

CobiT-Prozesse

Risiko = Eintretens-wahrscheinlichkeit

x Auswirkung

•10


19 29. April 2008

Ziele ROPP Applikationen

Pro Applikation werden mehrere Risk Scores zu IT-Risiken und IT-Kontrollen mittels Indikatoren ermittelt:

Die Fachrevision integrieren diese Werte via die Applikationen in das RiskScore der Geschäfte*.*Geschäft = AT (Audit Type) der Fachrevision

¬ Applikationspriorisierung aus Geschäftsoptik.

Die IT-Revision ermittelt die Risk Scores aus reiner IT-Sicht.

¬ Applikationspriorisierung aus IT-Optik.

In den Werten einer Applikation werden die Beurteilungen der IT-Prozesse,Informationen (Daten), Infrastruktur (Technik, Anlagen) sowie Personal viaAuswahl der Indikatoren indirekt subsumiert und noch nicht direkt mittelsRisk Scores-Ansatz integriert.


20 29. April 2008

Ergebnis für die Fachrevision

Pro Applikation werden Risk Scores* ermittelt für

das inhärente IT-Risiko bezüglich Integrität

das inhärente IT-Risiko bezüglich Verfügbarkeit

das Versagensrisiko der IT-Kontrollen bezüglich Integrität

das Versagensrisiko der IT-Kontrollen bezüglich

Verfügbarkeit

* Werteskala: 1=hohes – 5=tiefes inhärentes IT-Risiko resp. 1=hohes – 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle)

•11


21 29. April 2008

Ergebnis für die IT-Revision

Pro Applikation werden Risk Scores* ermittelt für

den IT-Appl.-Faktor (ungewichtet)

den IT-Appl.-RiscScore (gewichtet nach Appl.Klassifikation)

den Fach-Appl.-RiskScore (gewichtet nach Fachrevision)

die Gesamtprüfrelevanz (Prüfstrategie)

zur risikoorienten Priorisierung.

* Werteskala: 1=hohes – 5=tiefes inhärentes IT-Risiko resp. 1=hohes – 5=tiefes Versagensrisiko der IT-Kontrolle (1=nicht wirksame, 5=wirksame Kontrolle)


22 29. April 2008

Die Beurteilung der ausgewählten IT-Risiken und IT-Kontrollenbasiert auf in der ZKB verfügbaren, messbaren Indikatoren.Diese ist somit nachvollziehbar (nicht subjektiv).

¬ Basis Applikationsrisikoassessment der Informatik (24 Themen zu 92 Indikatoren)

Mit Hilfe von CobiT wurden die passenden Indikatoren für dasinhärente IT-Risiko wie auch für die IT-Kontrollen bestimmt.

Auswahl der Indikatoren

•12


23 29. April 2008

Verwendete Indikatorenpro COBIT-Prozess Inhärent

Integrität

IT-Kontrollen

Verfügbarkeit

DS 11Datenmanagement

DS 5Datensicherheit

AI 6Änderungswesen

DS 4Katastrophenvorsorge

Änderungsintervall Abhängigkeit zu UmsystemenRelevanz für Umsysteme

VertraulichkeitExterne KommunikationSicherheitsanforderungen

BussinessdatenkorrekturenDatenleadDatenhaltung dezentral

Applikations-Bewertung

Inhärente IT-Risiken


24 29. April 2008

Verwendete Indikatorenpro COBIT-Prozess IT-Kontrollen

Integrität

IT-Kontrollen

Verfügbarkeit

DS 11Datenmanagement

DS 5Datensicherheit

AI 6Änderungswesen

DS 4Katastrophenvorsorge

IT-ProzesseChangesReleasesAnforderungen

Kompensation ICT-System und GebäudeNotfallarbeitsplatz SE

AuthentisierungZugriffsschutzAutorisierungVerschlüsselung

ArchivierungAufzeichnung (Logging)DatenvalidierungSchnittstellenabstimmung

Applikations-Bewertung

Inhärente IT-Risiken

•13


25 29. April 2008

COBIT: Minimierung der Wahrscheinlichkeit von Unterbrüchen, unberechtigtenÄnderungen und Fehlern.

Idee: Möglichkeit für Änderungen ohne Kontrolle, Anzahl Emergency Fixes (DLK ...),Anzahl Standard Änderungen (DLK 4..), Anzahl Anforderungen an die Applikation.

OpRisk: Änderungsintervall in der Produktion.Je öfter eine Applikation geändert wird, desto öfter passieren Fehler.

Inhärenter Indikator fürAI 6 Änderungswesen


26 29. April 2008

COBIT: Konfigurationsmanagement (KM), Versionenverwaltung, Software-Verteilung.

Idee: Einhaltung des KM, Durchführen von Tests, IT-Betrieb nicht durch Engineering.

OpRisk: IT-Prozesse für Changes, Releases, Anforderungen.Fünf unabhängige Massnahmen, welche ein ideales Vorgehen bei Änderungenbeschreiben.

Durchschnitt der fünf Werte

Kontroll-Indikator fürAI 6 Änderungswesen

•14


27 29. April 2008

These 3

Die IT-Revision kann derFachrevision die geforderteBestätigung nur dann ge-zielt abgeben, wenn dieFachrevision ihreAnsprüche in IT-bezogenenPrüfzielen stellt.


28 29. April 2008

Prüfungsvorbereitung

Prüfauftrag• Prüfobjekt, Prüfziele, Deliveries• Verantwortlichkeiten, wichtigste Kontaktpersonen, Berichtsempfänger• Zeit- & Budget-Vereinbarung, voraussichtlich benötigte Audit-Ressourcen

Informationsbeschaffung• IT-Organisation, IT-Sicherheitskonzepte, Netzwerk, BCP, IT-Architektur• IT-Inventar, Räumlichkeiten & Stockwerk-Pläne, Job-Beschreibungen, A/K/V• Entwicklungs- und Betriebs-Prozesse, Incident/Problem-Handling & ChangeMgmt-

Prozesse

Prüfplan• Zeitplan für die Abwicklung der Prüfungshandlungen, Auswertung und Berichterstattung• Fragekatalog inklusive Interview-Partner & -Timing• Personelle Zusammensetzung und Ablaufplan für allfällige Self Assessments• Vorgehensweise bei Einhalteprüfungen, Stichprobenwahl

Kickoff• Vorstellung Audit-Team, Prüfbereich/-ziele, zeitlicher Ablauf, Self Assessment Methode

•15


29 29. April 2008

Auswahl der CobiT® IT-Prozesse

Domain ID Prozess Anz Zwec

kmäs

sigk

eit

Effiz

ienz

Vertr

aulic

hkei

t

Inte

gritä

t

Verfü

gbar

keit

Einh

altun

g

Verlä

sslic

hkei

t

Pers

onal

Anwe

ndun

gen

Tech

nolo

gien

Infra

stru

ktur

Date

n

Planung & PO1 Strategische IT-Planung 8 P S x x x x x

Organisation PO2 IT-Architektur 4 P S S S x x

PO3 Technologische Stossrichtung 5 P S x x

PO4 Informatik-Organisation und Beziehungen 15 P S x

PO5 IT-Finanzplanung 3 P P S x x x x

PO6 Kommunikation der Ziele und Weisungen 11 P S x

PO7 Personalmanagement 8 P P x

PO8 Einhaltung externer Anforderungen 6 P P S x x x

PO9 Risikomanagement 8 S S P P P S S x x x x x

PO10 Projektmanagement 13 P P x x x x

PO11 Qualitätsmanagement 19 P P P S x x

Beschaffung & AI1 Prüfen verschiedener Lösungsvarianten 18 P S x x x

Einführung AI2 Beschaffung und Wartung von Applikationen 17 P P S S S x

AI3 Beschaffung und Wartung der techn. Infrastruktur 7 P P S x

AI4 Entwicklung und Unterhalt von Betriebsanweisungen 4 P P S S S x x x x

AI5 Installation und Abnahme 14 P S S x x x x x

AI6 Änderungswesen (Changemanagement) 8 P P P P S x x x x x

Betrieb & DS1 Festlegen der Systemanforderungen 7 P P S S S S S x x x x x

Support DS2 Beanspruchung externer Dienste 8 P P S S S S S x x x x x

DS3 Performance und Kapazitätskontrolle 9 P P S x x x

DS4 Katastrophenvorsorge 13 P S P x x x x x

DS5 Datensicherheit 21 P P S S S x x x x x

DS6 Kostenkontrolle 3 P P x x x x x

DS7 Schulung und Weiterbildung 3 P S x

DS8 Anwenderunterstützung und Beratung 5 P x x

DS9 Konfigurationsmanagement 8 P S S x x x

DS10 Problemmanagement 5 P P S x x x x x

DS11 Datenmanagement 30 P P x

DS12 Infrastruktursicherheit 6 P P x

DS13 Operating 8 P P S S x x x x

Überwachung M1 Prozessüberwachung 4 P S S S S S S x x x x x

M2 Angemessenheit Interner Kontrollen 4 P P S S S S S x x x x x


30 29. April 2008

IT-Prozesse

Kontrollziele/Gegenstände

Aussagen zu IT-Prozessen

Aussagen zu Kontrollzielen/Gegenständen

Aussagen zu den Prüfzielen

Prüfung der Gegenstände im Bezug auf Kontrollziele

Prüfziele (Kriterien,Resourcen)+Prüfobjekte

...werden aufgeteilt in... ...werden zusammengefasst in...

...werden zusammengefasst in...

Zuordnung: Prüfziel Kontrollziel

...werden aufgeteilt in...

•16


31 29. April 2008

These 4

Die Prüfungen auf Wirk-samkeit der IT-Kontrollenscheitern daran, dass dieIT-Kontrollen meist nichtoder schlecht dokumentiertsind.


32 29. April 2008

Prüfungsdurchführung

Methodik• Prüferische Durchsicht, Walkthrough• Einhalteprüfung, Prozessprüfung

• Control Self Assessment (CSA): Identifikation der Risiken und Kontrollen, Bewertung derAngemessenheit der Risiken und Kontrollen

Ausführen der Prüfungshandlungen• Abarbeiten des Prüfplans• Festhalten der Ergebnisse• Bewerten und priorisieren der Ergebnisse

Dokumentation• Nachweispflicht: Prüfungsergebnisse und Bewertungen sind durch entsprechende Analysen und

Interpretationen des Materials zu belegen.

Tools• CobiT® Framework• Anleitungen, Checklisten und strukturierte Arbeitspapiere• Prozess- Applikations-, Betriebs-, Anwenderhandbücher etc.

• persönliche, schriftliche, telefonische Interviews• offene und verdeckte Beobachtungen

•17


33 29. April 2008

selbsttätige Prüfungen inder Geschäftsabwicklung

Führungskontrollenim Informatikprozess

organisatori-

sche Kontrolle

Management-Prozesse

Leistungser-stellungs- /Support-Prozesse

Appl.unabh.:

als Service

bezogene

- Qualität(Zweckmässigkeit,Effizienz)

- Sicherheit(Vertraulichkeit,Integrität, Verfügbarkeit)

- Ordnungsmässigkeit(Einhaltung,Verlässlichkeit)

Ressourcen

PersonalApplikationenInfrastrukturDaten

Kontrollen aus Sicht Informatik

Anforderungen an

die Kontrollen (vom

Fachbereich zu

liefern)

Umsetzung der

Kontrollen (durch

die IT zu

erstellen)

Appl.abhängig:

automatische,

programmierte

IT

-gestü

tzt

m

anuell


34 29. April 2008

Reglement über die Funktion Compliance (Compliance Reglement) der ZKB

§ 1 Compliance ist einerseits die Übereinstimmung des Verhaltens und derHandlungen der Bank und der Mitarbeitenden mit den für sie geltenden Normen desRechts und der Ethik und andererseits die Gesamtheit aller organisatorischenMassnahmen zur Verhinderung von Gesetzesverletzungen und Verstössen gegenRegeln und Normen der Ethik durch die Bank, deren Organe und deren Mitarbeitende.

Rundschreiben der Eidg. Bankenkommission: EBK-RS 06/6 "Überwachung undinterne Kontrolle"

Rz 97 Als Compliance (Normeneinhaltung) gilt das Einhalten von gesetzlichen,regulatorischen und internen Vorschriften sowie die Beachtung von marktüblichenStandards und Standesregeln.

Rz 98 Als Compliance-Risiko gilt das Risiko von Verstössen gegen Vorschriften,Standards und Standesregeln und entsprechenden rechtlichen und regulatorischenSanktionen, finanziellen Verlusten oder Reputationsschäden.

Vorgabe Compliance

•18


35 29. April 2008

Nachweis der Integrität der aufgezeichneten Informationen (= Echtheit,Unverfälschbarkeit, Vollständigkeit und Lückenlosigkeit)

Korrekte Aufbewahrung (sorgfältig, geordnet, geschützt, mit festgelegter Dauer, mitfestgelegter Verantwortlichkeit)

Verfügbarkeit (einsehbar und auswertbar innert angemessener Frist)

Übereinstimmung der Dokumente mit dem zu Grunde liegenden und eindeutigreferenzierten Auftrag (d.h. sowohl interne wie externe Anforderungen, Unterlageneinzelnen Geschäftsvorfällen zuordnen zu können)

Zugriffsschutz und Zugriffskontrolle (need to know)

Dokumentation von Organisation, Zuständigkeit, Abläufen, Verfahren und Infrastruktur fürdie Aufzeichnung (Aufbewahrung analog den aufgezeichneten Informationen selbst)

Lückenlos nachvollziehbar - d.h. dokumentiert - müssen sämtliche Compliance-relevanten Handlungen (Aktivitäten) und Ergebnisse aller innerhalb der in der ZKB(Konzern) definierten und ausgeübten Prozesse (entlang der Prozesskette) sein.Dies unter der Einhaltung folgender Rahmenbedingungen an die aufgezeichnetenInformationen (Daten und Dokumente):

Umsetzung IT-Revision


36 29. April 2008

These 5

Der IT-Revisor muss vieleEmpfängerbedürfnisseerfüllen können.

Die Berichterstattung derIT-Revision kommt daherder Quadratur desKreises gleich.

•19


37 29. April 2008

Prüf-plan

(Planungs-memo)

Revisions-bericht

mitAnhang

Arbeits-papiere

Einzel-berichte

Prüf-auf-trag

Audit, Audit geprüfte, Management Audit,Audit Informatik Bereiche des gepr. Bankpräsidium,

Informatik Bereichs Geschäftsleitung

Arbeitspapiere der Informatik-Revision


38 29. April 2008

Die Werkzeuge

HauptfunktionRisikoanalyse ROPP (Access), ExcelPrüfungsplanung Wordvorlagen, ExcelPrüfung/Revision Wordvorlagen, ExcelBerichterstattung WordvorlagengenerellAufbewahrung Adobe PDFE-Mail, Termine Lotus NotesSecure E-Mail WebmailBerichtsdatenbankAccessZeiterfassung Priska, ExcelMathematica ModellabnahmeMathlab ProtototypingFinCad Bewertung FinanzprodukteMonitoring Tool Neue Produkte im Handel

Informatik

Visio Prozesse, Systemübersichten

IBO Prozesse

SAS Datenauswertung

ACS Berechtigungen

ASY Archiv

Intranet Weisungen

cmdb Systemkonfiguration

CheckAud SAP Analyse

"read" lesender Zugriff in Applikationen

•20


39 29. April 2008

Berichterstattung

Der Schlussbericht ist den designierten (sachkundigen) Berichts-empfängern in einer empfängergerechten Form vorzulegen.

Im Bericht sind vermerkt:• die geprüften Organisationseinheiten (Verantwortlichkeiten)• die Empfänger des Berichts• allfällige Verwendungsbeschränkungen

Aus diesem Bericht müssen hervorgehen:• Ziele, Art und Umfang der durchgeführten Prüfungshandlungen hervorgehen• die wesentlichen Prüfungsfeststellungen• Folgerungen (Plausibilität)• Empfehlungen der Revision und Stellungnahmen des Managements• Vorbehalte oder Einschränkungen bezüglich Umsetzung


40 29. April 2008

Übersicht über die Elemente

Die Berichterstattung bestehend aus

RevisionsberichtDer Revisionsbericht enthält eine Zusammenfassung der wesentlichenFeststellungen. Wesentliche Feststellungen sind nicht a priori nurBeanstandungen. Positive Prüfungsergebnisse (bspw. Stärken, hoherGütegrad des IKS) gehören auch dazu.

EinzelberichtWesentliche negative Feststellungen werden in Form vonEinzelberichten rapportiert und im "Audit Tracking" überwacht.

Anhang zum RevisionsberichtSachverhalte von geringer Bedeutung werden gerafft im Anhang zumBericht dargestellt (ohne Überwachung im "Audit Tracking").

•21


41 29. April 2008

These 6

Die fristgerecht Erledigungder Revisionspendenzen isteine Managementaufgabe.

Denn die Fristen sind dempermanenten Druck derwechselnde Prioritäten derFachstellen ausgesetzt.


42 29. April 2008

Pendenzenverwaltung - Nachschauprüfung

Ablage der Pendenzen im Massnahmen-Repository• Prüfungs-Metadaten: Prüfungs-Typ, -Zeitpunkt, -Nr, etc.• Festgelegte Massnahme: Wortlaut, Fälligkeit, umsetzungsverantwortliche

Stelle/Person, Status• Historisierung der Veränderungen bezüglich Fälligkeit, Verantwortlichkeit,

Umsetzungsmethode• Filterbarkeit der Pendenzen nach Kriterien wie Prüfungs-Metadaten, Fälligkeit,

Umsetzungsstatus der Massnahme, umsetzungsverantwortliche Stelle• Im Nachgang zu den Revisionsarbeiten muss der Informatikrevisor die für die Befunde,

Empfehlungen und Folgerungen der Revision relevanten Informationen anfordern undauswerten, um festzustellen, ob die erforderlichen Massnahmen termingerechtumgesetzt worden sind.

Follow-up• Verifikation der Erledigungsmeldungen• Verifikation des Erledingungsstandes der übrigen Pendenzen• Neubeurteilung der Pendenzen aufgrund veränderter Rahmenbedingungen• Ergänzung der Pendenzen mit neuen Follow-up-Erkenntnissen

•22


43 29. April 2008

These 7

Die Projektbegleitung ist ausSicht der Geschäftsleitung derwirkungs-vollste Beitrag derRevision.

Da sich die Prüfungshandlungenschwer nachweisen lassen undder Revisor stets der Problematikder Unabhängigkeit ausgesetztist, wird sie bei der Revisions-leitung wenig geschätzt.


44 29. April 2008

Projektbegleitung

Ordnungsmässigkeit und Sicherheit• Kontrollen (IKS)• Überwachung und Steuerung• Ordnungsmässigkeit und Compliance

mit Gesetzen, Weisungen, Richtlinien,Standards etc.)

• Prüfspuren & Nachprüfbarkeit• Dokumentation• Sicherheit (Daten, Prozesse)

Zweckmässigkeit und Qualität• Effektivität (Wirksamkeit)• Effizienz (Wirtschaftlichkeit,

Kosten/Nutzen)• Umsetzungsgrad der Anforderungen

(User, Standards)• Qualitätssicherung• Stakeholdereinbezug

Potentielle Prüfbereiche• Alle Projekte gemäss IT-Planung• Technologie• System-Engineering• Projektcontrolling• Projektmanagement• Datenmanagement• IT-Architektur

Grundsatz:Die Unabhängigkeit der Revision bleibtoberstes Gebot. Der Revisor darf inkeiner der aufgeführten Varianten amEntscheidungsprozess oder an derAusübung interner Kontrollen beteiligtsein oder werden.

•23


45 29. April 2008

Vorgehen zur Bestimmung des Programms

Auftraggeber und die Informatik-Revision vereinbaren gemeinsam dieprojektbegleitenden Themen anhand der Checkliste der Leistungsan-forderungen, zu denen eine Aussage durch die Revision erwartet wirdresp. attestiert werden soll.

Auswahl und Zuordnung der CobiT®-Prozesse und weitererGrundlagen (Checklisten) zu den projektbegleitenden Themen.

Auswahl der Kontrollziele anhand der identifizierten CobiT®-Prozessen.

Zuordnung der relevanten Lieferobjekte zu den ausgewählten Kontroll-zielen (themengruppiert).

Plausibilisierung / kritische Durchsicht der relevanten Lieferobjekte undBerichterstattung in standardisierter Form pro projektbegleitendeThema.


46 29. April 2008

These 8

SAP ist keine Standard-lösung sondern einBaukastensystem mitStandardbausätzen.

Daher gleicht keineInstallation der anderen.

•24


47 29. April 2008

Prüfung Standardsoftware/-lösungen 1/2am Beispiel SAP

SAP-Spezifikas:

• Jedes SAP-System verfügt über ein komplette IT-Umgebung

• Jedes SAP-System benötigt des SAP-Basissystem, kann aber mehrereModule, Mandanten umfassen

• SAP-Systeme werden zu logischen Reihen verbunden (C, T, Q, P)

• Alle Objekte (Daten, Programme, Parameter, etc.) werden in Tabellenhinterlegt

• Customizing erfolgt mehrheitlich durch Berater, die auf Module spezialisiertsind

• Komplexe Rollen- und Berechtigungsverwaltung bis auf Stufe Attribut

• Systemreihen sind untereinander mit Datenschnittstellen verbunden (integriert)


48 29. April 2008

Prüfung Standardsoftware/-lösungen 2/2am Beispiel SAP

Einführung in den Fachstellen oft als Ersatz für Excel/Access ander IT vorbei

SAP oft nicht Gegenstand des Sicherheitsprogramms der IT

Know how bei der eigenen IT fehlt

Beherrschung der Komplexität erfordert Expertenwissen undToolunterstützung

Grenze zwischen Entwicklung und betrieblicher Veränderung oftverschwommen

•25


49 29. April 2008

Sy

ste

mre

ih

e

P11

SAP-Module

P11

Mandanten

P11

SAP-Basis

P11

Datenbank

P11

Betriebssystem

Entwicklung

Entwicklung

Entwicklung

Entwicklung

EntwicklungT

est

Test

Test

Test

QS

Q11

QS

QS

Q40

QS

Produktio

n

P11Produktio

n

FI,MM,SD,C

FM,

CO,PS,RE,SEM

SAP-Module

Test

QSP14

Produktio

n

FS-AM

P40Produktio

n

BW

Produktio

n

Sy

ste

mre

ih

e

P11

SAP-Module

P11

Mandanten

P11

SAP-Basis

P11

Datenbank

P11

Betriebssystem

P11

SAP-Module

P11

SAP-Module

P11

Mandanten

P11

Mandanten

P11

SAP-Basis

P11

SAP-Basis

P11

Datenbank

P11

Datenbank

P11

Betriebssystem

P11

Betriebssystem

Entwicklung

Entwicklung

Entwicklung

Entwicklung

EntwicklungT

est

Test

Test

Test

QS

Q11

QS

QS

Q40

QS

Produktio

n

P11Produktio

n

FI,MM,SD,C

FM,

CO,PS,RE,SEM

SAP-Module

Test

QSP14

Produktio

n

FS-AM

P40Produktio

n

BW

Produktio

n

Entwicklung

Entwicklung

Entwicklung

Entwicklung

Entwicklung

Entwicklung

Entwicklung

Entwicklung

Entwicklung

EntwicklungT

est

Test

Test

Test

Test

Test

Test

Test

QS

QS

Q11

QS

Q11

QS

QS

QS

Q40

QS

Q40

QS

Produktio

n

Produktio

n

P11Produktio

n

P11Produktio

n

FI,MM,SD,C

FM,

CO,PS,RE,SEM

SAP-Module

Test

Test

QS

QSP14

Produktio

n

P14Produktio

n

FS-AM

P40Produktio

n

P40Produktio

n

BW

Produktio

n

Produktio

n

SAP ist eine komplexe Systemlandschaft(Baukastensystem mit individuellen, parametrisierbaren Standardbausteinen)


50 29. April 2008

These 9

Mit dem Dienstleistungszentrumorganisiert sich die InterneRevision neu:

Der Datenfluss-/Applikationsprüferintegriert mit den ApplicationControls in die Fachrevision.

Der IT-Prozess-/Infrastrukturprüfererstattet Bericht zu den General ITControls nach PS 402- / SAS 70.

•26


51 29. April 2008

Programm ZuVa: Die ZKB setzt ihre Strategie um

Gemeinsames Unternehmen

Dienstleistungs-zentrum fürInformatik

und Backoffice

Kooperations-

vertrag

Kooperationspartner

• Qualitativ hochwertige IT- und Backoffice-Dienstleistungen zu wettbewerbsfähigenPreisen

• Weitgehende Vereinheitlichung der Produkte, Prozesse und Plattformen (Systeme)

• Einsparungen in Höhe von 20 Prozent (Skaleneffekt)

• Sitz in Zürich und Betriebsstätte in Lausanne

• Rund 1300 Arbeitsplätze davon ca. 250 in Lausanne


52 29. April 2008

Das IT-Führungsmodell

* Bis Abschluss Programm ZuVa stellt STA ZuVa die Umsetzung sämtlicher ZuVa-relevanten Anforderungensicher

** Bis zum Aufbau DLZ in IT-Architektur und Planung angesiedelt; anschliessende Überführung in die Bank

ZKB Logistik (auszugliedernde Bereiche)

IT-Architektur und Planung

IT-Projekte und Entwicklung

(Change the Bank)

Backoffice Services

(Produktion)

IT-Betrieb und Infrastruktur

(Run the Bank)

IT-C

on

tro

llin

g

(in

kl.

Pla

nu

ng

un

d A

bre

ch

nu

ng

)

IT-S

trate

gie

Anlagen

PPA

PPO

Business-Architekt (Bankfachliches Soll-Modell) **

ZKB ZuVa Steuerungsausschuss (ZKB ZuVa STA) *ZKB

Investment

Banking

PPA

PPO

Geld-

verkehr

PPA

PPO

Vertrieb

PPA

PPO

Finan-

zierungen

PPA

PPO

Bank-

steuerung

PPA

PPO

Support-

prozesse

PPA

PPO

neu ab 1.1.2008

•27


53 29. April 2008

Handlungsfelder: Zeitfolge und Abhängigkeiten

Programm Management

Kommunikation / Veränderungsmanagement

Hu

ma

n R

es

ou

rce

s

Mig

rati

on

Sc

hu

lun

g

DL

Z G

rün

du

ng

/Au

fba

u

IT

-In

frastr

uktu

r

ZKB DevelopmentWork

Plattform, Infrastruktur,Architektur

BCV DevelopmentWork

Produkte,Dienstleistungen,

Prozesse

Bankenanpassung

BC

VD

LZ

ZK

B

Bereitstellen Überführen Inbetriebnahme Betreiben

Ve

rträ

ge

Blu

ep

rin

t K

oo

pe

rati

on

ZK

BB

CV

Definition

t


54 29. April 2008

DLZ-Gründung und AufbauKonsolidierte Überwachung

Externe

Revision

Interne

Revision

ZKB

Interne

Revision

BCV

IR

Dienst-

Leitungs-

Zentrum

Organisation Interne Revision:

1. IR ZKB = IR DLZ

2. IR DLZ eigenständig

3. IR DLZ extern

4. Interessengemeinschaft

Vorgaben:

• EBK-RS 06/6, RZ 61 (Konsolidierte Überwachung)

• EBK-RS 05/2, RZ 87 (BankG Berichterstattung)

• EBK-RS 99/2 (Outsourcing)

• PS 402 / SAS 70 (Prüfungsstandards bei Auslagerung)

1

2

3

4

2

•28


55 29. April 2008

Aufbauorganisation: Interne Revision

Spartenorganisation in Matrixform Integrierte Organisation nach Fachteams

Sekretariat

Corporate Center InformatikKundenbereiche

Audit

Informatik

Investment Banking

Risikomanagement

Kundenausleihungen

Sekretariat

Asset Management,

Private Banking und Logistik

Investment Banking und

Corporate Services

Risikomanagement und

Risikocontrolling

Kundenausleihungen

Privat- und Firmenkunden

CRM und Immobilien

DLZ

Backoffice / IT

Audit


56 29. April 2008

Fragen / Diskussion

Documents

IT-Revisionsplanung und -Durchführung · •2 ISACA After Hours Semiar - IT-Revisionsplanung & Durchführung 3 29. April 2008 Die ZKB ist eine grosse Schweizer Bank, aber keine Schweizer