IBM Internet Security Services
IBM ISS Security Circle 7. Mai 2009, Hotel Widder, Zürich
Internes Kontrollsystem und Risikobeurteilung in der IT Angelo Tosi Information Security Consultant
© 2009 IBM Corporation
IBM Internet Security Services
Übersicht Was ist ab 2008 neu im Schweiz. Obligationenrecht? Beziehung zw. Risikomanagement und IKS – Kosten und Nutzen eines IKS Wie werden IKS und RM heute in Unternehmen und Spitälern erlebt? Stand in der IT nach der Jahresrevision 2008 – Findings und Massnahmen Wie gehen wir in 2009 in der IT weiter?
2
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
2008(*) – Änderungen im Obligationenrecht: IKS III. Ordentliche Revision Art. 728a Die Revisionsstelle prüft ob: 3. ein internes Kontrollsystem existiert. Die Revisionsstelle berücksichtigt bei der Durchführung und bei der Festlegung des Umfangs der Prüfung das interne Kontrollsystem. Art. 728b Die Revisionsstelle erstattet dem Verwaltungsrat einen umfassenden Bericht mit Feststellungen über (…) das interne Kontrollsystem. (*) 2005 gesetzlich eingeführt, gültig ab dem 01.01.2008 3
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
2008 – Änderungen im Obligationenrecht: RM B. Geschäftsbericht Art. 662 Die Jahresrechnung besteht aus der Erfolgsrechnung, der Bilanz und dem Anhang. Art. 663b Der Anhang enthält: 12. Angaben über die Durchführung einer Risikobeurteilung.
4
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Schweiz. Prüfungsstandard 890 (Treuhandkammer) PS 890: Prüfung der Existenz des internen Kontrollsystems I. Einleitung a) Zweck des Prüfungsstandards ist die Umschreibung des Vorgehens zur Erlangung eines Prüfungsurteils über die Existenz eines internen Kontrollsystems nach Art. 728a Abs. 1 Ziff 3 OR. II. Definitionen a) (…) Das IKS im Sinne dieses Prüfungsstandards umfasst nur jene Vorgänge und Massnahmen in einer Unternehmung, welche eine ordnungsmässige Buchführung und finanzielle Berichterstattung sicherstellen. (…) f) „Generelle Informatik (IT)-Kontrollen“ bilden die Grundlage für ordnungsgemäss funktionierende automatisierte ITAnwendungskontrollen. Generelle IT-Kontrollen adressieren beispielsweise Risiken in den Bereichen Zugriffsrechte, Datenqualität, Datensicherheit oder System-Änderungen (Hardware und Software) und -Unterhalt. 5
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Definitionen von IKS und RM 1. Das Risikomanagement ist ein Prozess, um Ereignisse und Situationen zu identifizieren, zu beurteilen, zu steuern und zu kontrollieren, mit dem Ziel, eine angemessene Sicherheit in Bezug auf die Erreichung der Unternehmensziele zu gewährleisten. 2. Das interne Kontrollsystem ist ein Prozess, beeinflusst durch den Verwaltungsrat, die Geschäftsleitung oder andere, um eine zweckmässige Sicherheit in Bezug auf die Erreichung von Zielen in den folgenden Kategorien bieten zu können: – Effektivität und Effizienz der operativen Tätigkeiten (Operations) – Verlässlichkeit der finanziellen Berichterstattung (Financial Reporting) – Gesetzes- und Normenkonformität (Compliance). 1. The Institute of Internal Auditors (IAA), 2007 2. COSO Internal Control – Integrated Framework, 1992 6
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Beziehung zwischen RM und IKS Internes Kontrollsystem (Massnahmen)
Risiken
II
EE
II EE
Sicherheit und BCM
II
EE
Schadensfall
SCHADEN
II EE Organisation Systeme & Prozesse
E xterne und
I nterne Bedrohungen
Das IKS ist ein Führungsinstrument zum Risikomanagement
7
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Kosten und Nutzen eines IKS Kosten
Nutzen
Realisierungskosten (einmalig)
Compliance einhalten
Betriebskosten (wiederkehrend)
Dokumentierte u. kommunizierte Prozesse und Verantwortlichkeiten Einhaltung der Richtlinien seitens der Mitarbeiter Operative Risiken erkennen und reduzieren Effizienz und Wirksamkeit des IKS steigern (Erhöhte Revisionskosten vermeiden)
IKS: Pflichtübung oder Steuerungswerkzeug? 8
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Das IKS in mittelgrossen Unternehmen und Spitälern Aussagen und Zustimmung (% der Teilnehmer)
Unternehmen
Spitäler
Das IKS ist ein in die Geschäftsaktivitäten integrierter Prozess
79.2%
50%
Das IKS ist auf die spezifischen Geschäftsrisiken ausgerichtet
82.4%
66.6%
Das IKS ist auf die Verlässlichkeit der finanziellen Berichterstattung ausgerichtet
86.7%
79.2%
Das IKS ist auf die Einhaltung von Gesetzen und Vorschriften sowie internen Weisungen ausgerichtet (Compliance)
79.1%
62.5%
Das IKS ist auf die Effektivität und Effizienz der operativen Tätigkeiten ausgerichtet
61.6%
50%
Das IKS ist überprüfbar und dokumentiert
78.3%
41.7%
Quelle: „Wie schneiden Sie ab?“, Studie der Universität Zürich und PricewaterhouseCoopers, 2008 9
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Weitere Aussagen aus der Studie 75.8 % der Unternehmen und 91.7% der Spitäler schreiben dem IKS für die Jahre 2009-2011 eine zunehmende Bedeutung an. Mittelgrosse Unternehmen (76.7%) und Spitäler (83.3%) schätzen, dass die Bedeutung des Risikomanagements in den Jahren 2009-2011 zunehmen wird. Spitäler messen dem Risikomanagement einen höheren Stellenwert im Hinblick auf die Erreichung der finanziellen Ziele als die mittelgrossen Unternehmen (61.9% gegen 47.4%).
Quelle: „Wie schneiden Sie ab?“, Studie der Universität Zürich und PricewaterhouseCoopers, 2008 10
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
IKS: die häufigsten Feststellungen aus der IT-Revision 2008 Change Management – Trennung von Entwicklung und Produktion, Kontrollen über die Migration von einer Umgebung zur anderen, Testing Benutzerverwaltung und Zugriffskontrollen – Steuernde Kontrollen über Anfragen, Mutationen und Entzüge – Aufdeckende Kontrollen über unbenutzte Accounts und ausgeschiedene Benutzer – Einhaltung der Funktionentrennung und des 4-Augen-Prinzips – Nachvollziehbarkeit der Bewilligungen – Nachvollziehbarkeit der Datenzugriffe (keine Shared-Accounts) Business Continuity Management – Anforderungen der Geschäftsprozesse, Einschätzung von Risiken und Auswirkungen je nach Dauer eines Unterbruchs, Massnahmen Backup & Recovery von Daten und Anwendungen Dokumentation ergänzen: Policies und operative Prozeduren
Î Welche ist Ihre Erfahrung? 11
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Wie gehen wir in 2009 in der IT weiter? Angaben der Revisionsstelle adressieren, Kontrollmängel in der IT beheben – Vorbereitung auf die Jahresrevision 2009 Beschränkt auf diesem Umfang, wird das Nutzen der zu realisierenden Massnahmen angestrebt (Wirksamkeit und Effizienz). Interne Priorisierung der (IT-)Massnahmen anhand einer Risikobeurteilung – Die IT-Risikobeurteilung soll mit der unternehmensweite Beurteilung der operativen Risiken abgestimmt werden! – Dadurch kann auch das interne Nutzen zusätzlich zu der externen Compliance berücksichtigt werden. 12
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Die IT-Risikobeurteilung als Silo
Nur qualitativ
Einstufung bezogen auf Security Best Practices, nicht auf Risiken 13
Nur qualitativ
Quantitativ, aber was ist ein- und ausgeschlossen?
7. Mai 2009
© 2009 IBM Corporation
IBM Internet Security Services
Danke für Ihre Aufmerksamkeit! Angelo Tosi
[email protected] Tel. 058 / 333 74 84
© 2009 IBM Corporation