Continuous Monitoring/ Continuous Auditing bei Austrian Power Grid AG

Die Seite wird erstellt Simone Steiner

Reisen

Deutsch

Like
Teilen
Einbetten
Vollbild
Folien
HTML Herunterladen
PDF Herunterladen
Missbrauch

←

WEITER LESEN

→

Transkription von Seiteninhalten

Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten

Continuous Monitoring/ Continuous Auditing bei Austrian Power Grid AG

Continuous Monitoring/ Continuous Auditing
                                bei Austrian Power Grid AG
                                Michael Angerer       Koordinator Informationssysteme Austrian   Power Grid

                                Markus Hölzl Managing Director Ernst & Young Advisory Services GmbH

                                Jörg Altmeier   CIO   wikima4 AG

www.dsag.de/go/jahreskongress

AGENDA

    1. Vorstellung Austrian Power Grid (APG), Ernst & Young (EY) und
       wikima4

    2. Ausgangslage/Motive/Ziele für die Umsetzung

    3. Ergebnisse und Lessons Learnt

2

Austrian Power Grid (APG)

3

Austrian Power Grid (APG)

4

Austrian Power Grid (APG)

5

Austrian Power Grid (APG)

6

Vorstellung Ernst & Young Advisory Services GmbH (EY)

►   Unsere starken Teams bieten Ihnen fundiertes Fachwissen,
    ausgezeichnetes Branchen-Know-how und fachübergreifendes
    Denken

►   Wir konzentrieren uns auf Ihre individuellen Anforderungen             Wirtschafts-    Steuerberatung
    und liefern maßgeschneiderte Leistungen                                 prüfung

►   Alle EY-Kollegen verfolgen ein Ziel:                        Advisory
                                                                Services
                                                                           Transaktions-
                                                                             beratung
                                                                                             Financial
                                                                                             Services
    Wir wollen für und mit unseren Klienten Dinge
    voranbringen und entscheidend besser machen
                                               Rechtsberatung              Immobilien-
                                                                            beratung

►   Unser Anspruch lautet:
    „Building a better world“

8

Vorstellung Ernst & Young Advisory Services GmbH (EY)

                                       ►   Über 250 Mitarbeiter im Bereich
                                           „IT Risk & Assurance“ in GSA
                                           (Germany – Switzerland – Austria)

                                       ►   Unsere Mitarbeiter verfügen über
                                           diverse IT- und Revisions-
                                           zertifizierungen, wie z.B. CISA,
                                           CISM, CRISC, CIA, SAP FI/CO,
                                           COBIT, ITIL

                                       ►   Umfangreiche Best-Praxis
                                           Methoden zur individuellen
                                           Prüfungsdurchführung

9

Vorstellung wikima4

                 wikima4 AG ist ein Schweizer Software- und
                 Beratungsunternehmen. Es unterstützt und begleitet
                 Unternehmen mit innovativen Produkten bei der Umsetzung
                 und im Betrieb eines effizienten Sicherheits- und Compliance-
                 Managements.

                 GARTNER: wikima4 is a consultancy in Europe that has productized its
                 expertise into a software offering named mesaforte Suite. They are
                 representative of a certain type of vendor in the marketplace who has
                 years of experience and can offer services as well as software left
                 behind to help an organization take control of their SOD problems
                 through automation.

10

wikima4 mesaforte Suite

11

AGENDA

     1. Vorstellung Austrian Power Grid (APG), EY und wikima4

     2. Ausgangslage/Motive/Ziele für die Umsetzung

     3. Ergebnisse und Lessons Learnt

12

Ausgangslage - Sicht EY

     ►   Im Rahmen der IT-Prüfung der Jahresabschlussprüfung 2012 wurde festgestellt,
         dass ein formelles IT-Kontrollsystem bei der Austrian Power Grid AG nur teilweise
         implementiert war
     ►   Höheres Risiko durch unzureichend getestete oder ungewünschte/ nicht
         freigegebene Funktionen im System und somit eventuell Einfluss auf Integrität
         jahresabschlussrelevanter Daten und Transaktionen
     ►   „Warnsignal“ seitens Wirtschaftsprüfung hinsichtlich „Grundsätze
         ordnungsgemäßer Buchführung“
     ►   Zusätzlich wurde Verbesserungsbedarf bei den Beschreibungen der IT-Abläufe
         und IT-Kontrollen erkannt
     ►   EY wurde seitens der Austrian Power Grid AG (kurz „APG“) beauftragt, bei der
         Identifikation von Schlüsselkontrollen im Änderungsmanagement und bei der
         Optimierung des SAP Berechtigungskonzepts zu unterstützen

13

Ausgangslage - Sicht EY

►     Optimierung des SAP Berechtigungskonzepts der APG
Überprüfung der Einhaltung folgender Prinzipien im Rahmen der Berechtigungsvergabe
     • Minimalprinzip
         • Berechtigungsausprägung orientiert sich an den für die zur Aufgabenstellung unbedingt
           notwendigen, möglich geringsten Zugang zu Daten / Funktionen
         • Fokussierung auf kritische Daten und Funktionen (finanzwirksame Änderungsrechte)
     • Funktionstrennungsprinzip
         • Notwendigkeit einer zwingenden Aufgabentrennung (Segregation of Duties – SoD) in beteiligten
           Prozessen ist zu analysieren und ggf. neu zu definieren, damit ein Mitarbeiter nicht allein den
           gesamten Prozess bearbeiten kann (Gefahr des Kontrollverlustes)
         • Ist Trennung wesentlicher Funktionen technisch nicht möglich, Identifzierung/Implementierung
           von kompensierenden Kontrollen
►     Erstellung einer „Verfahrensanweisung“ seitens EY
         • Definition kompensierender Maßnahmen und Anpassung des Berechtigungskonzeptes
14

SAP Berechtigungskonzept – Umsetzung APG Übersicht

         Full Name         User Name   User Group   Bearbeiten von    Erstellen von
                                                                                          Erstellen von      Erstellen von   Erstellen von
                                                      Lieferanten-   Bestellungen vs
                                                                                         Bestellungen vs    Bestellungen vs Bestellungen vs
                                                    rechnungen vs    Bearbeiten von
                                                                                          Erstellen von      Freigabe von    Wareneingang
                                                     Freigabe von      Lieferanten-

     1   Musteruser   1    USER1       SUPER
                                                     Bestellungen

                                                           X
                                                            7
                                                                       rechnungen
                                                                            25
                                                                            X
                                                                                       Bestellanforderungen
                                                                                               25
                                                                                               X
                                                                                                             Bestellungen
                                                                                                                  7
                                                                                                                  X
                                                                                                                                buchen
                                                                                                                                  25
                                                                                                                                  X           2                              3                                      4
                                                                                                                                                                                           Remediation
         Musteruser   2    USER2       SUPER               X                X                  X                  X               X
         Musteruser   3    USER3       SUPER               X                X                  X                  X               X
         Musteruser   4    USER4       SUPER               X                X                  X                  X               X
         Musteruser   5    USER5       SUPER               X                X                  X                  X               X
         Musteruser   6    USER6                           X                X                  X                  X               X
         Musteruser   7    USER7                                             X                 X                                  X
         Musteruser   8    USER8                                             X                 X                                  X
         Musteruser   9    USER9       BBB                                  X                  X                                  X
         Musteruser   10   USER10      BBB                                  X                  X                                  X
         Musteruser   11   USER11      BBB                                  X                  X                                  X
         Musteruser   12   USER12                                           X                  X                                  X
         Musteruser   13   USER13                                           X                  X                                  X
         Musteruser   14   USER14                                           X                  X                                  X
         Musteruser   15   USER15                                           X                  X                                  X
         Musteruser   16   USER16                                           X                  X                                  X
         Musteruser   17   USER17                                           X                  X                                  X
         Musteruser   18   USER18                                           X                  X                                  X
         Musteruser   19   USER19                                           X                  X                                  X
         Musteruser   20   USER20                                           X                  X                                  X
         Musteruser   21   USER21                                           X                  X                                  X
         Musteruser   22   USER22                                           X                  X                                  X
         Musteruser   23   USER23                                           X                  X                                  X
         Musteruser   24   USER24                                           X                  X                                  X
         Musteruser   25   USER25                         X                 X                  X                  X               X

                                                                                                                                                                                                    Anpassungen im SAP
                  Auswertungen S-                                                                                                                      Excel-Liste           Kompensierende                                   Laufende Analyse
                                                                                                                                                                                                   System (Berechtigungs-
                       Sat                                                                                                                        „gerechtfertigt ja/nein“     Maßnahmen                                      mit MESAFORTE
                                                                                                                                                                                                         konzept)

         Schritt 1                                                                                                                                          Schritt 2                       Schritt 3                         Schritt 4
 Quick-Check Analyse der                                                                                                                                 Evaluierung der             Definition kompensie-                   Laufende
 Berechtigungen mit S-SAT                                                                                                                                Regelverstöße               render Maßnahmen/                      Analyse mit
         EY-TOOL                                                                                                                                          (gerechtfertigt             Anpassung Berech-
                                                                                                                                                                                                                            MESAFORTE
                                                                                                                                                             ja/nein)                  tigungskonzepts

                                                                                                                                                                                      Erstellung einer
                                                                                                                                                                                   Verfahrensanweisung

15

Motive für die Umsetzung des kontinuierlichen Monitorings

     Unbundling
     (3rd Package - APG als unabhängiger
     Übertragungsnetzbetreiber)
     Zertifizierung, Informationssicherheit,
     Wirtschaftsprüfer, Innenrevision
     Initialeinsatz wikima4 mesaforte Suite
     (General IT Controls –
     Konfiguration und Einstellungen)

16

Ziele

       Abstimmung der Prüfungsmethoden
       Effektive Abwicklung der Prüfungen
       Transparentes, prüfbares Berechtigungskonzept
       Vermeidung von SOD Konflikten unter Verwendung der Mesaforte Regelsets
       Ausnahmen begründet durch Rollen-Owner (Mitigation)
       Nachvollziehbarkeit von Changes (nicht durch wikima4 mesaforte Suite)

17

AGENDA

     1. Vorstellung Austrian Power Grid (APG), EY und wikima4

     2. Ausgangslage/Motive/Ziele für die Umsetzung

     3. Ergebnisse und Lessons Learnt

18

Ergebnisse

     Kontinuierliche Prüfung der Berechtigungen (Benutzer, Rollen,
      Berechtigungsobjekte)

     Kontinuierliches Monitoring der Funktionstrennungskonflikte (SoD) auf Ebene der
      Berechtigungsobjekte (Permission Layer)

19

Ergebnisse

 Rückmeldung für Rollen-Owner -> Mitigation oder Bereinigung

20

Ergebnisse – Management Cockpit

21

Learnings & Takeaways
•     Genaue Anforderungen seitens Revision teilweise vage,
      Transparenz der Prüfregeln nicht immer von allen Beteiligten erwünscht
      ABER: wenn entschieden, was wie geprüft wird, dann hohe Effizienzsteigerung bei interner und
      externer Prüfung.

•     Akzeptanz der eingesetzten Prüfregeln und Entscheidprozesse muss mit allen Beteiligten erarbeitet
      werden (Interne Revision, externe Wirtschaftsprüfung, Fachbereiche, IT-Verantworliche).
      ABER: wenn Akzeptanz erreicht, dann grosse Reduktion von Unsicherheiten

•     Direkte Reaktion der Fachbereiche auf Findings erfordert Bereitschaft, Verantwortung zu übernehmen
      und Entscheide bewusst zu treffen, -> Schulung
      ABER: Nur wenige Entscheide pro Monat nötig, dafür kein Zusammensuchen von Belegen bei Jährlicher
      Revision.

•     Auswertung immer aller Daten statt Stichproben vertieft die Beschäftigung mit Regeln und internen
      Vorgaben.
      ABER: Fachabteilungen und IT haben jederzeit die Gewissheit, dass ihr jeweiliger
      Verantwortungsbereich vorgabenkonform ist.
22                                                                                          22

Bewertung

•     Herausforderung war der Ausbau eines internen Kontrollsystems (IKS) auf der Basis eines
      bereits etablierten korrekten Berechtigungskonzepts. Damit die dazu benötigten Prozesse
      von der Verantwortlichen in den Fachbereichen ohne Zusatzbelastung durchgeführt
      werden können, war es nötig, möglichst viele Kontrollen automatisiert ausführen zu
      lassen.

•     Erreicht wurde die Etablierung eines IKS, das nicht nur den formellen Anforderungen der
      Wirtschaftsprüfung entspricht, sondern der Firma einen echten Mehrwert schafft durch
      eine verbesserte Berichterstattung und optimierte Prozesse. Gleichzeitig konnte die
      gepflegte Vertrauenskultur beibehalten werden.

•     Durch die gewonnene Sicherheit, dass die Fachbereiche und die IT jederzeit
      vorgabenkonform sind, konnte der den Revisionen immer noch anhaftende
      «Stressfaktor» reduziert und eine konstruktive Kooperation aller Beteiligten erreicht
      werden.
23

Fragen?                         Michael Angerer, Koordinator Informationssysteme
                                Austrian Power Grid AG

                                Markus Hölzl, Managing Director
                                Ernst & Young Advisory Services GmbH

                                Jörg Altmeier, CIO
                                wikima4 AG

                                Referenten stehen die nächsten Tage gerne zur Verfügung
www.dsag.de/go/jahreskongress
                                (Stand F4 von wikima4, direkt neben der Schweizer Café-Bar)

AGENDA

     1. Vorstellung Austrian Power Grid (APG), EY und wikima4

     2. Ausgangslage/Motive/Ziele für die Umsetzung

     3. Ergebnisse und Lessons Learnt

25

Wikima4 Recommendations

                                                                                  “I highly rate …
            “… is one of the pioneers        “… has brought state-of-        for professionalism and               “… has a unique
           in Switzerland recognizing          the-art knowledge and       excellent technical know-        combination of SAP-specific
              the importance and the         expertise to the table. …      how. … not only delivers        audit and security know-how
           challenges in securing SAP     consulting approach and the     very good concepts but also           and at the same time
           systems. … organized and         best-practices I could gain    implements them on time          management understanding
              educated the SAP user           allowed an accelerated      and within budget against all      and leadership skills which
            community in Switzerland             introduction of new            odds and political          allows to help SAP shops to
            and was able to take even             concepts and the         difficulties! … gave me the       tackle the most critical area
             influence in the security     implementation of a secure       confidence to complete a          when it comes to security:
            practice of the vendor. …”        and compliant system.”      challenging task in a difficult      responsibility.” Sachar
                Giampaolo Trenta,           Michael Bosshard, Zurich          environment.” Rudolf              Paulus, Chief Security
                 Bank Julius Baer                 Financial Services           Walther, Winterthur                Officer at SAP AG
                                                                                     Insurances

                                                                             “It's always a pleasure
             “… is both customer and                                      to discuss issues and work
           detail-oriented, watches the                                         with … has a solid
            balance sheet like a hawk,    “We are happy, that wikima4        understanding of (SAP)
            yet without losing sight of   provides consulting services    information and IT-security
                                                                                                              “Deep security expertise
           the strategic objectives. …    to us. … is probably the best   as well as high professional
                                                                                                              in the SAP environment”
              has a deep and detailed       authority on this field you     competence. I have been
                                                                                                                 Martin Frick at AVIS
              solid knowledge of SAP      can find!” Jean-Luc Nottaris      highly satisfied with the
                 systems.” Usama                      at OIZ              work performed and the way
           Abdelamid, Ciba Speciality                                     … worked with my staff on a
                     Chemicals                                             joint audit.” Rolf-Christian
                                                                              Andersen at Baloise

26                                                                                                                                           26

Sie können auch lesen