Warum ist PS 402 bald nicht mehr aktuell?
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
1
ISACA/Kammer-Seminar vom 26. Juni 2012
Warum ist PS 402 bald nicht mehr
aktuell?
Jürg Brun
Partner
Advisory
Ernst & Young, Zürich
Worum geht es?
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 2IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
2
ISACA/Kammer-Seminar vom 26. Juni 2012
PS 402 – Schlüsselaussagen (1/2)
Transaktionsart
Es ist zu unterscheiden zwischen Dienstleistungsorganisationen, die
eigenverantwortlich Transaktionen ausführen und solchen, die
Transaktionen aufzeichnen und entsprechende Daten verarbeiten
(z.B. eine Organisation für Informatikdienstleistungen).
Grundsätze und Verfahren als Bestandteil der Dienstleistung
Nimmt ein Kunde eine Dienstleistungsorganisation in Anspruch,
können bestimmte Grundsätze, Verfahren und Aufzeichnungen dieser
Organisation für die Abschlussprüfung des Kunden relevant sein.
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 3
PS 402 – Schlüsselaussagen (2/2)
Genehmigung und Verantwortung
Eine Dienstleistungsorganisation kann Grundsätze festlegen und
Verfahren anwenden, die das Rechnungswesen-System und die interne
Kontrolle eines Kunden beeinflussen. Diese Grundsätze und Verfahren
sind von der Organisation des Kunden getrennt.
Beschränken sich die von der Dienstleistungsorganisation erbrachten
Dienstleistungen auf die Aufzeichnung und Verarbeitung von
Kundentransaktionen, wobei die Genehmigung und Verantwortung
beim Kunden verbleibt, so kann der Kunde in der Lage sein, innerhalb
seiner eigenen Organisation wirksame Grundsätze und Verfahren zu
implementieren. Führt die Dienstleistungsorganisation indessen
eigenverantwortlich Kundentransaktionen aus, so kann es sein, dass
sich der Kunde auf Grundsätze und Verfahren der
Dienstleistungsorganisation verlassen muss.
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 4IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
3
ISACA/Kammer-Seminar vom 26. Juni 2012
Fragestellungen zu PS 402
• Transaktionsart
• Ist die Trennung von eigenverantwortlicher Ausführung von Transaktionen und
Aufzeichnung und Datenverarbeitung von Transaktionen noch praxisgerecht?
• Sind Compliance-Risiken beim Kunden umfassend definiert?
• Grundsätze und Verfahren als Bestandteil der Dienstleistung
• Gibt es Dienstleistungsorganisationen, deren Grundsätze, Verfahren und
Aufzeichnungen für den Kunden nicht relevant sind?
• Genehmigung und Verantwortung
• Genügen Genehmigung und Verantwortung für die Transaktionskontrolle?
• Gibt es verschiedene Kategorien eigenverantwortlicher
Transaktionsausführung?
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 5
Compliance-Risiken
• Rechtsrisiken
• Einhaltung rechtlicher Vorschriften – Gewährbestimmungen der
Regulierung – Minimalverhalten
• Fokus IT: Datenvertraulichkeit, Datenschutz, Infrastrukturstabilität,
Outsourcing, Verträge (z.B. Lizenzen)
• Reputationsrisiken
• Expressive Reputation – Auftreten, Erwartungshaltung
• Funktionale Reputation – Umsetzung
• Soziale Reputation – Integrität
• Fokus IT: Sicherheit, Verfügbarkeit, Richtigkeit
• Strategierisiken
• Anpassungen an Geschäftsmodell, Organisationshaftung
• Fokus IT: Datenarchitektur, Systemarchitektur, Transaktionsarchitektur,
Netzwerkarchitektur
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 6IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
4
ISACA/Kammer-Seminar vom 26. Juni 2012
Relevanz von Dienstleistungsaktivitäten (1/2)
Der Abschlussprüfer muss feststellen, wie wesentlich Aktivitäten von
Dienstleistungsorganisationen für den Kunden und wie relevant sie für die Abschlussprüfung
sind. Dabei zieht er je nachdem Folgendes in Betracht:
•Art der von der Dienstleistungsorganisation erbrachten Dienstleistungen.
•Auftragsbedingungen und Beziehung zwischen Kunde und Dienstleistungsorganisation.
•Wesentliche Aussagen im Abschluss, welche durch die Inanspruchnahme einer
Dienstleistungsorganisation beeinflusst werden.
•Inhärentes Risiko der betreffenden Abschlussaussagen (s. PS 400 Risikobeurteilung und
interne Kontrolle).
•Ausmass, in dem Rechnungswesen-System und interne Kontrolle des Kunden mit den
Systemen der Dienstleistungsorganisation zusammenwirken.
•Interne Kontrollen des Kunden, soweit sie auf die von der Dienstleistungsorganisation
verarbeiteten Transaktionen bezogen sind.
•Leistungsfähigkeit und Finanzkraft der Dienstleistungsorganisation (einschliesslich der
Auswirkung, die ein Zusammenbruch der Dienstleistungsorganisation auf den Kunden haben
könnte).
•Informationen über die Dienstleistungsorganisation, wie sie etwa Benutzerhandbüchern
oder technischen Anleitungen entnommen werden können.
•Informationen über interne Kontrollen (einschliesslich automatisierter Kontrollen), soweit
sie für die Anwendungen des Kunden relevant sind.
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 7
Relevanz von Dienstleistungsaktivitäten (2/2)
Rechenzentrumsbetreiber
Rechenzentrumsbetreiber bieten die Verarbeitung von Daten über
Geschäftsvorfälle oder sonstige betriebliche Aktivitäten an, die entweder
direkt in die IT-gestützten Rechnungslegungssysteme des auslagernden
Unternehmens einfließen oder als Grundlage für Buchungen im
Rechnungslegungssystem in elektronischer Form dem auslagernden
Unternehmen zur Verfügung gestellt werden.
Shared Service Center
Funktionen wie z.B. das Rechnungswesen, die Personalverwaltung, der IT-
Betrieb oder Call Center werden häufig in Unternehmensverbünden mit dem
Ziel der Kostensenkung und Effizienzsteigerung in einer eigenständigen
Unternehmenseinheit oder auch Gesellschaft (Shared Service Center)
anderen Konzerngesellschaften zentral zur Verfügung gestellt.
Business Process Outsourcing
Administrative Routinetätigkeiten wie beispielsweise Lohn- und
Gehaltsabrechnungen eignen sich in besonderer Weise für die
Auslagerungen auf Dienstleistungsunternehmen, die sich auf diese Art von
standardisierten Geschäftsprozessen spezialisiert haben. Die Dienstleistung
umfasst im Allgemeinen neben der Abwicklung der Abrechnungsvorgänge
auch die Bereitstellung und den Betrieb des dafür notwendigen IT-Systems.
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 8IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
5
ISACA/Kammer-Seminar vom 26. Juni 2012
Anwendbare Standards in der Übersicht
Fokus Prüfgesellschaft des Servicebezügers Intern. Prüfungsstandard Schweiz. Prüfungsstandard
Unternehmen, die DLO in Anspruch nehmen – Auswirkung auf die ISA 402 PS 402
Abschlussprüfung
Typ A: Bericht über die Angemessenheit der Konzeption / Typ B: Zusätzlich die Wirksamkeit des Funktionierens
BERICHT GEHT VON DLO AN SERVICEBEZÜGER
Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard
Zusammenfassende Bestätigung zu Kontrollen der DLO hinsichtlich N/A AT Section 101 – SOC 3
Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit, Datenschutz (SysTrust Principles)
Ohne Testbeschreibung
Fokus Kontrollziele und Kontrollen Intern. Berichtsstandard US-Berichtsstandard
Kontrollen der DLO hinsichtlich Sicherheit, Verfügbarkeit, ISAE 3000 AT Section 101 – SOC 2
Verarbeitungsintegrität, Vertraulichkeit, Datenschutz (SysTrust Principles)
Typ Reasonable Ass. & Typ Lim. Ass. Typ 1 & 2
Fokus Kontrollziele und Kontrollen Internationaler Berichtsstandard Amerikanischer Berichtsstandard
Kontrollen der Dienstleistungsorganisation ISAE 3402 SSAE No. 16 (früher SAS 70) – SOC 1
(DLO) hinsichtlich finanzielle
Typ 1: Design der Kontrollen / Typ 2: Zusätzlich periodenweise Umsetzung
Berichterstattung
ERSTELLEN EINES BESTÄTIGUNGSBERICHTS
ISAE 3000: ASSURANCE ENGAGEMENTS OTHER THAN AUDITS
OR REVIEWS OF HISTORICAL FINANCIAL INFORMATION
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 9
Umfassende Kontrollsicht des Kunden
Effectiveness of Service Effectiveness of
Organization Controls ABC User Organization’s
Controls
Financial
Statement
Accounts
Service Organization Specific Business
Controls Report
Processes
Specific Computing Applications
General IT Processes
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 10IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
6
ISACA/Kammer-Seminar vom 26. Juni 2012
Berichtsinhalt
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 11
Beurteilungen des Prüfers des Kunden
• Wie ist der ausgelagerte Bereich abgegrenzt (aus Sicht
Geschäftsprozesse und IKS)?
• Welches sind die direkt mit der Auslagerung verbundenen Risiken
(Kontrollverlust über den ausgelagerten Bereich, Unmöglichkeit der
Prüfung bei der Dienstleistungsorganisation)?
• Besteht die Möglichkeit, einen Prüfbericht über an Dritte ausgelagerte
Aktivitäten zu erhalten (Achtung Prüfumfang, Periode, Grad der
Zusicherung)?
• Möglichkeit einer individuellen Prüfung beim Dienstleister (zusätzlich
zum Bericht über die Kontrollen bei der Dienstleistungsorganisation)?
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 12IT-Risikoanalyse für KMU-Prüfer & IT-Prüfungen in Outsourcing-Umgebungen
7
ISACA/Kammer-Seminar vom 26. Juni 2012
Was tun, wenn ….
• Die Prüfperiode gemäss Bericht stimmt nicht mit Prüfperiode überein –
Roll-forward, Bestätigung, Abklärung
• Abgrenzung und Umfang gemäss Bericht stimmen nicht mit dem
Prüfbereich des Abschlussprüfers des Kunden überein – zusätzliche
Informationen, Beurteilung der Abweichungen, alternative oder
zusätzliche Prüfhandlungen
• Ausnahmen zur Wirksamkeit der Kontrollen im Bericht –
kompensierende Kontrollen der DLO, kompensierende Kontrollen beim
Kunden, alternative Prüfhandlungen
• Abgedeckte Risiken gemäss Bericht stimmen nicht mit der
Risikobeurteilung des Prüfers beim Kunden überein –
Zusatzinformationen einholen, Zusatzprüfungen verlangen/ ausführen
• Die Management Assertion der DLO stimmt nicht mit derjenigen des
DLO-Prüfers überein – Abweichung analysieren, Bestätigung einholen,
Rektifikation verlangen
IT-Risikoanalyse für KMU und IT-Prüfung in Outsourcing-Situationen: Warum ist PS 402 bald nicht mehr aktuell?
Jürg Brun, Bern, 26. Juni 2012 13Sie können auch lesen
