Sikkerhed og Revision 2012

Transkript

1 pwc.dk Sikkerhed og Revision 2012 Erfaringer fra første år med ISAE 3402 Jess Kjær Mogensen

2 Executive summary år 1 Side 2

3 Agenda Formål Regulering Udfordringer år 1 Udviklingen fremadrettet Spørgsmål Side 3

4 Formål

5 Behovet for en international standard Selv en simpel ydelse leveret fra en serviceleverandør kan være af betydning for kvaliteten af regnskabet. Funktionsdygtige kontroller med udførelsen og leveringen af sådanne ydelser er derfor af afgørende betydning for modtagerne af disse ydelser, ligesom de kan have betydning for revisionen i disse virksomheder. ISAE 3402 fastsætter standarder og giver vejledning om serviceleverandørens revisors erklæring om sådanne kontroller og hjælper dermed til at opfylde de behov, der er hos de virksomheder, der modtager sådanne serviceydelser, og deres revisorer. Side 5

6 Regulering

7 Tidsforløbet Kommentering i Danmark afsluttet 15 marts 2011 Ingen opsættende kommentarer modtaget Dansk implementering af ISAE 3402 besluttet som 1:1 Trådte i kraft for erklæringer, som dækker perioder sluttende 15. juni 2011 eller senere. FSR s Informatikudvalg arbejder med udarbejdelse af guidance baseret på første års erfaring Side 7

8 RS 3411 RS 3411, Erklæringsopgaver om generelle it-kontroller og applikationskontroller mv., fra august 2005 er en særlig dansk standard udarbejdet blandt andet med det formål at opfylde de mål, der omfattes ISAE 3402 og standarden tilbagetrækkes derfor. RS 3411 kunne anvendes i en overgangsperiode på allerede aftalte eller igangværende opgaver med en erklæringsperiode, der afsluttes senest 14. december Side 8

9 ISAE Generelt Omhandler de erklæringsopgaver, en praktiserende revisor udfører med henblik på at afgive en erklæring, der skal benyttes af brugervirksomheder og disses revisorer vedrørende kontrollerne hos en serviceleverandør, som leverer en ydelse til brugervirksomheder, der sandsynligvis er relevant for brugervirksomhedernes interne kontrol, der vedrører regnskabsaflæggelsen Omhandler kun udsagnsbaserede opgaver, der giver høj grad af sikkerhed, og hvor konklusionen formuleres direkte om erklæringsemnet og kriterierne Gælder kun, hvor serviceleverandøren er ansvarlig for eller på anden måde i stand til at fremsætte et udsagn om den hensigtsmæssige udformning af kontroller Side 9

10 ISAE Generelt Omhandler ikke erklæringsopgaver med sikkerhed: hvor der kun skal afgives erklæring om en serviceleverandørs kontroller har fungeret som beskrevet, eller hvor der skal afgives erklæring om andre kontroller end de, som sandsynligvis er relevant for en brugervirksomheds interne kontrol, der vedrører regnskabsaflæggelsen Side 10

11 Serviceleverandørens revisors mål På grundlag af hensigtsmæssige kriterier, i alle væsentlige henseender at opnå høj grad af sikkerhed for, om: serviceleverandørens beskrivelse af sit system giver en dækkende beskrivelse af det system, der er udformet og implementeret i hele den anførte periode eller på en anført dato kontrollerne, der knytter sig til de kontrolmål, der er anført i serviceleverandørens beskrivelse af sit system, var hensigtsmæssigt udformet i hele den anførte periode eller på en anført dato kontrollerne, hvor det er opfattet af opgaven, fungerede effektivt i relation til at give høj grad af sikkerhed for, at de kontrolmål, der var anført i serviceleverandørens beskrivelse af sit system, blev opfyldt i hele den anførte periode At afgive erklæring om ovenstående forhold i overensstemmelse med serviceleverandørens revisors resultater. Side 11

12 Erklæringens indhold - serviceleverandøren Serviceleverandørens beskrivelse af sit system Udsagn fra serviceleverandøren om, - baseret på hensigtsmæssige kriterier og i alle væsentlige henseender - at: beskrivelsen giver en dækkende beskrivelse af serviceleverandørens system, der var udformet og implementeret kontrollerne, der er knyttet til de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, var hensigtsmæssigt udformet, og (ved type2) kontrollerne, der er knyttet til de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, fungerede effektivt Side 12

13 Erklæringens indhold serviceleverandørens revisor Serviceleverandørs revisors erklæring, der: giver høj grad af sikkerhed om de af serviceleverandøren anførte forhold, og (ved type2) indeholder en beskrivelse af de udførte test af kontroller og resultaterne heraf Side 13

14 Vurdering af kriteriernes egnethed For beskrivelsen skal kriterierne skal som minimum omfatte en vurdering af hvorvidt beskrivelsen viser, hvordan serviceleverandørens system blev udformet og implementeret i tilfælde af en type 2-erklæring, hvorvidt beskrivelsen indeholder relevante detaljer om ændringer i serviceleverandørens system i løbet af den periode, som beskrivelsen dækker om beskrivelsen udelader eller forvansker information, der er relevant for omfanget af det serviceleverandørsystem, der bliver beskrevet og i relation til udformningen af kontroller identifikation af relevante risici styrke af kontroller i forhold til risici Side 14

15 Revision af beskrivelsen Revisor skal indhente og læse serviceleverandørens beskrivelse af sit system og skal vurdere, om beskrivelsen af de aspekter, der er omfattet af opgaven, er dækkende, herunder om: kontrolmål, der er anført i serviceleverandørens beskrivelse af sit system, er rimelige efter omstændighederne kontroller, der er identificeret i beskrivelsen, er implementeret eventuelle komplementerende kontroller i brugervirksomheden er tilstrækkeligt beskrevet, og eventuelle ydelser, der er udført af en serviceunderleverandør, er fyldestgørende beskrevet, herunder om helhedsmetoden eller partielmetoden er anvendt i relation til disse. Side 15

16 Revision af kontroller Kontrollers udformning vurderes ved at fastslå, hvilke af serviceleverandørens kontroller der er nødvendige for at nå de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, og vurdere, om disse kontroller var hensigtsmæssigt udformet. Kontrollers funktionalitet vurderes ved test af relevante kontroller dækkende hele perioden og ved at udføre andre handlinger kombineret med forespørgsler fastslå, om kontroller, der skal testes, er afhængige af andre kontroller (indirekte kontroller) fastlægge metoder til udvælgelse af enheder til test, som er effektive til at opfylde handlingens mål. Side 16

17 Udfordringer år 1

18 3 muligheder efter RS 3411 ISAE 3000 Andre erklæringsopgaver; her aftales specifikt, hvilke revisionshandlinger der skal udføres, og dette beskrives i erklæringen. Der er ikke noget krav om, at virksomhedens system skal beskrives, og der afgives en samlet konklusion i forhold til de kriterier, der defineres i erklæringen. ISAE Erklæringsopgaver med sikkerhed om kontroller hos en serviceleverandør; her beskrives virksomhedens system, og der opstilles en række kontrolmål, kontrolaktiviteter, tests og resultater af tests. Det konkluderes, om beskrivelsen er fyldestgørende, og om kontrollerne har været tilstrækkelige til at opfylde kontrolmålene. ISRS 4400 Aftalte arbejdshandlinger; her aftales specifikt, hvilke revisionshandlinger der skal udføres,og resultatet for hver enkelt af disse oplistes i erklæringen. Der er ikke noget krav om, at virksomhedens system skal beskrives, og der afgives ikke nogen samlet konklusion. Side 18

19 Udbredelse af kendskab Google søgning viser følgende kendskab i Danmark: ISAE resultater ISAE resultater ISRS resultater RS resultater Revisionsvejledning resultater Side 19

20 Konsistens i erklæringens enkeltdele Serviceleverandørens revisors erklæring høj konsistens Skriftligt udsagn fra serviceleverandøren (ledelsens erklæring) høj konsistens Serviceleverandørens beskrivelse af sit system lav konsistens Kontrolmål, kontroller, test og resultat heraf lav konsistens Andre oplysninger lav konsistens Side 20

21 Serviceleverandørens beskrivelse af sit system Indledning oplistning af services i scope COSO områder Side 21

22 Serviceleverandørens beskrivelse af sit system Mulighed for forbedringer indenfor Identifikation af system kan tydeliggøres Omtale af aftalegrundlag Præcisering af partielmetoden vs. helhedsmetoden, samt fastlæggelse af niveau for overvågning af kontroller hos subserviceleverandør Der vil kun i sjældne tilfælde være behov for at serviceunderleverandørens udsagn medtages i erklæringen efter helhedsmetoden Det kan være hensigtsmæssigt, at man til brug for egne arbejdspapirer indhenter en udtalelse fra subserviceleverandør Side 22

23 Kontrolmål, kontroller, test og resultat heraf Kontrolmål A NN kontrol test Resultat af test NN kontrol A.1 test A.1.a test A.1.b test A.1.c test resultat A.1.a test resultat A.1.b test resultat A.1.c NN kontrol A.2 test A.2 test resultat A.2 NN kontrol A.n test A.n test resultat A.n Komplementerende kontroller i brugervirksomheden Side 23

24 Kontrolmål, kontroller, test og resultat heraf Kontrolmål: Områder med væsentlig driftsudstyr er beskyttet mod uautoriseret fysisk adgang, skadeshandlinger og forstyrrelser. NN kontrol test Resultat af test A.1 : Der er etableret adgangskontrolsystem til alle serverrum som sikrer, at alene ledelsesgodkendte medarbejdere har adgang. Der foretages gennemgang af eksisterende adgangsrettigheder hvert halve år. A.1.a: Forespurgt ledelse om anvendte procedurer. A.1.b: Foretaget inspektion af alle serverrum og påset at alle adgangsveje er sikret med kortlæser. A.1.c: Foretaget stikprøvevis inspektion af at halvårlig gennemgang foretages A.1.a: Ingen væsentlige afvigelser konstateret A.1.b: Ingen væsentlige afvigelser konstateret A.1.c: Ingen væsentlige afvigelser konstateret NN kontrol A.2 test A.2 test resultat A.2 NN kontrol A.n test A.n test resultat A.n Komplementerende kontroller: Brugervirksomheden er ansvarlig for periodisk gennemgang af egne brugere med adgang til serverrum. Side 24

25 Resultat af test eksempel på niveau for beskrivelse Findingsskema Observation Risiko Anbefaling Vi har observeret, at services som rlogin og ftp kører på serverne HPUX-Jupiter og HPUX-Pluto Dette er i modstrid med baseline krav ifølge GRP UX ver. 01 RS 3411 Konklusion.. Ved aflytning af netværkstrafikken vil det være muligt at få kendskab til brugeres brugernavn og adgangskode og derved opnå uautoriseret adgang. omtales som Vi anbefaler, at der ikke anvendes ukrypterede netværksprotokoller. Som alternativ til rlogin og ftp kan bl.a. SSH og SFTP anvendes. ISAE 3402 Resultat af test Vi har observeret, at enkelte usikre services tillades på netværket. Side 25

26 Prioriterede kontrolmål fra ISO Informationssikkerhedspolitik 6.1 Intern organisering 6.2 Eksterne parter 9.1 Sikre områder 9.2 Sikring af udstyr 10.1 Operationelle procedurer og ansvarsområder 10.2 Styring af serviceydelser fra tredjepart 10.4 Beskyttelse mod skadevoldende programmer og mobil kode 10.5 Sikkerhedskopiering (back-up) 10.6 Styring af netværkssikkerhed Overvågning Side 26

27 Prioriterede kontrolmål fra ISO Forretningsmæssige krav til adgangsstyring 11.2 Administration af brugeradgang 11.3 Brugeransvar 11.4 Styring af netværksadgang 11.5 Styring af adgang til driftssystemer 11.6 Styring af adgang til forretningssystemer og information 12.4 Sikring af systemfiler 12.5 Sikkerhed i udviklings- og hjælpeprocesser Side 27

28 Standard kontrolmål arbejdsudkast!! Sikkerhedspolitik Der er etableret en informationssikkerhedspolitik som sikrer: at der er udarbejdet en ajourført og af ledelsen godkendt informationssikkerhedspolitik at der er udarbejdet en informationssikkerhedshåndbog at ledelsen er involveret i informationssikkerhedsarbejdet Side 28

29 Standard kontrolmål arbejdsudkast!! Organisering af informationssikkerhed Der er etableret betryggende kontroller som sikrer: at styre informationssikkerhed i virksomheden at sikkerhedsmæssige krav afspejles i kontraktlige bindinger og forventninger med kunderne at der er udfærdiget skriftlige samarbejdsaftaler med relevante leverandører Side 29

30 Standard kontrolmål arbejdsudkast!! Fysisk og miljømæssig sikkerhed Der er etableret betryggende kontroller til sikring af, at væsentlige informationsaktiver er beskyttet mod uautoriseret fysisk adgang, fysisk skade og forstyrrelser. at kritisk informationsbehandlingsudstyr og lagringsmedier huses i sikre områder beskyttet af nødvendige barrierer og adgangskontroller. at undgå tab af, skader på eller kompromittering af informationsaktiver. at udstyr beskyttes mod fysiske trusler. at nødvendige forsyninger af el og ventilation samt kabelinstallationer er tilstrækkelige. Side 30

31 Standard kontrolmål arbejdsudkast!! Styring af netværk og drift Der er etableret betryggende kontroller til sikring af en korrekt og betryggende driftsafvikling. at systemer og data sikkerhedskopieres, at sikkerhedskopier opbevares betryggende og at sikkerhedskopier er læsbare. Side 31

32 Standard kontrolmål arbejdsudkast!! Adgangsstyring Der er etableret betryggende kontroller til sikring af, at adgang til systemer, data og netværk styres i overensstemmelse med forretningsmæssige og lovgivningsbetingede krav. Side 32

33 Standard kontrolmål arbejdsudkast!! Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Der er etableret betryggende kontroller til sikring af, at sikkerhed indgår som en integreret del af styresystemer, infrastruktur og tjenesteydelser. at kravene til sikkerhed skal være identificeret og aftalt før implementering af informationsbehandlingssystemer. at sikre de systemtekniske filer i driftsmiljøet. Side 33

34 Test og resultat af test Behov for ensartet brug af test begreber/formuleringer i erklæringerne, tættere på den ordlyd, der er i ISA erne; Inspektion, Observation, Ekstern bekræftelse, Efterregning, Genudførsel, Analytiske handlinger og Forespørgsel Resultat af test kan beskrives med ordlyden ingen væsentlige afvigelser, hvis der ingen væsentlige afvigelser er konstateret. Prioritet 1 observationer bør omtales under testresultaterne under den enkelte test. Prioritet 2 observationer bør omtales, hvis flere prioritet 2 observationer har resultater som i sammenhæng kan være væsentlige. Prioritet 3 omtales ikke. Side 34

35 Test og resultat af test Forventning om, at flere observationer er medtaget i kundespecifikke (og dermed mere specifikke aftaler) erklæringer end i generelle erklæringer For så vidt angår erklæringsemnet i forhold til lovgivning vurderes det at der alene skal være hensyn til bogføringsloven og ikke overholdelse af f.eks. persondatalovgivning, hvidvaskningslovgivning, og lign. Side 35

36 Udviklingen fremadrettet

37 AICPA: Service Organization Controls Report Report Standard Controls Framework Distribution SOC 1 SSAE 16 Internal Controls over Financial Reporting SOC 2 AT 101 Security/ Systems, Privacy SOC 3 AT 101 Security/ Systems, Privacy N/A Trust Services Trust Services User auditor /management, and SO management Knowledgable parties Anyone Side 37

38 Forventet udvikling Flere erklæringer Større konsistens i beskrivelse af system kontrolmål, kontrolaktiviteter, test og resultat af test komplementerende kontroller Partielmetoden kikker frem Større appetit på anvendelse af ISRS 4400 Tidligere start på erklæringsarbejdet Meget få 1:1 erklæringer i forhold til år 1 Side 38

39 Finanstilsynets holdning til ISAE 3402 for fælles datacentraler Bestyrelsen i finansielle virksomheder skal løbende modtage rapportering vedrørende outsourcingen jf. outsourcing bekendtgørelse Fulde ISAE 3402 rapporter er i mange tilfælde forelagt bestyrelsen Direktør for Finanstilsynet Ulrik Nødgaard 13. marts 2012, så er vi helt åbne over for at kigge nærmere på, om der er områder, hvor vores krav til bestyrelserne måske er blevet for detaljerede. Det kunne være f. eks. være på IT-området Side 39

40 Spørgsmål Jess Kjær Mogensen This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. All rights reserved. In this document, refers to PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.