Sikkerhed og Revision 2012

Relaterede dokumenter
Sikkerhed & Revision 2015 Status på erklæringsstandarder. v/jess Kjær Mogensen

4 minutter om jagten på den rette medarbejder Global CEO Survey 2012

Alternativ Finansiering til Vækst og Ejerskifte. Revisor som sparringspartner ved finansieringsløsninger

Nyt fra PwC's IPO Watch

C20 by Numbers Analyse af udviklingen i C20 Maj 2014

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Momsmæssige udfordringer i skolesektoren november 2016

C20 by numbers Analyse af udviklingen i C20 Maj 2013 Revision. Skat. Rådgivning.

C20 Regnskabsprisen 2013 tendenser i årsrapporterne 2012

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Persondataforordningen Erklæringer - omfang og værdi August 2016

Personalegoder Seminar for den almene boligsektor 23. januar 2014

Grundlæggende regnskab

Sotea ApS CVR-nr

IMS A/S ISAE 3402 TYPE 1 ERKLÆRING. CVR-nummer

Sotea ApS. Indholdsfortegnelse

frcewtfrhousf(wpers ml

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Vejledning til brug af Bank RA Revisionsinstruks

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

1. Ledelsens udtalelse

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Optimering og salgsmodning af din virksomhed 20. april 2012

Netic A/S. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til Netic A/S serviceydelser.

C20 Regnskabsprisen maj 2014

Front-data Danmark A/S

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Databehandleraftale 2013

Tabulex ApS. Februar erklæringsår. R, s

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

Tabulex ApS. Februar erklæringsår. R, s

Vejledning til brug af Offentlig RA Revisionsinstruks

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Zentura IT A/S CVR-nr

Eksempel på KOMBITs instruks til ISAE 3000 revisionserklæring

Paradigme 1 Regnskaber omfattet af statens regnskabsregler. Standarderne. for offentlig

DS 484:2005. Standard for informationssikkerhed -Korte uddrag fra DS484

Paradigme 2 Regnskaber omfattet af årsregnskabsloven både godkendt revisor og Rigsrevisionen. Standarderne. for offentlig

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

Informationssikkerhedspolitik

Udformning af ISAE3402 i praksis i samarbejde mellem intern og ekstern revision

ISRS 4400 DK Aftalte arbejdshandlinger vedrørende regnskabsmæssige oplysninger og yderligere krav ifølge dansk revisorlovgivning

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

FRONT-SAFE A/S ISAE 3402 TYPE 2 ERKLÆRING

Vejledning i informationssikkerhedspolitik. Februar 2015

Bilag 5 Aarhus Kommune. Udpluk af IT-sikkerhedspolitik Regler Virksomhedens regler for informationssikkerhed 1.0. Opbevaring/sletning af informationer

Paradigme 3 Regnskaber omfattet af årsregnskabsloven godkendt revisor alene. Standarderne. for offentlig

EG Cloud & Hosting

ISAE 3402 TYPE 2 ERKLÆRING

Persondataforordningen...den nye erklæringsstandard

EG Cloud & Hosting. Erklæring fra uafhængig revisor vedrørende behandlingssikkerhed for persondata i relation til EG Cloud & Hostings serviceydelser

WWI A/S. Indholdsfortegnelse

Revisionsvejledning til National Standard for Identiteters Sikringsniveauer (NSIS)

Athena IT-Group A/S Erklæring fra uafhængig revisor vedrørende generelle it-kontroller for Athena IT-Group A/S driftsydelser type 2

Front-data Danmark A/S

DEN UAFHÆNGIGE REVISORS REVISIONSPÅTEGNING

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Vejledning om funktionsbeskrivelse for intern revision

Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

Outforce A/S. Erklæring fra uafhængig revisor vedrørende generelle it-kontroller i tilknytning til Outforce A/S it-drift og hostingaktiviteter

MULTIHOUSE A/S ISAE 3402 TYPE 2 ERKLÆRING

KOMBIT sikkerhedspolitik

Backup Applikation. Microsoft Dynamics C5 Version Sikkerhedskopiering

IST DANMARK APS ISAE 3000 ERKLÆRING

IT-sikkerhedspolitik S i d e 1 9

Transkript:

pwc.dk Sikkerhed og Revision 2012 Erfaringer fra første år med ISAE 3402 Jess Kjær Mogensen

Executive summary år 1 Side 2

Agenda Formål Regulering Udfordringer år 1 Udviklingen fremadrettet Spørgsmål Side 3

Formål

Behovet for en international standard Selv en simpel ydelse leveret fra en serviceleverandør kan være af betydning for kvaliteten af regnskabet. Funktionsdygtige kontroller med udførelsen og leveringen af sådanne ydelser er derfor af afgørende betydning for modtagerne af disse ydelser, ligesom de kan have betydning for revisionen i disse virksomheder. ISAE 3402 fastsætter standarder og giver vejledning om serviceleverandørens revisors erklæring om sådanne kontroller og hjælper dermed til at opfylde de behov, der er hos de virksomheder, der modtager sådanne serviceydelser, og deres revisorer. Side 5

Regulering

Tidsforløbet Kommentering i Danmark afsluttet 15 marts 2011 Ingen opsættende kommentarer modtaget Dansk implementering af ISAE 3402 besluttet som 1:1 Trådte i kraft for erklæringer, som dækker perioder sluttende 15. juni 2011 eller senere. FSR s Informatikudvalg arbejder med udarbejdelse af guidance baseret på første års erfaring Side 7

RS 3411 RS 3411, Erklæringsopgaver om generelle it-kontroller og applikationskontroller mv., fra august 2005 er en særlig dansk standard udarbejdet blandt andet med det formål at opfylde de mål, der omfattes ISAE 3402 og standarden tilbagetrækkes derfor. RS 3411 kunne anvendes i en overgangsperiode på allerede aftalte eller igangværende opgaver med en erklæringsperiode, der afsluttes senest 14. december 2011. Side 8

ISAE 3402 - Generelt Omhandler de erklæringsopgaver, en praktiserende revisor udfører med henblik på at afgive en erklæring, der skal benyttes af brugervirksomheder og disses revisorer vedrørende kontrollerne hos en serviceleverandør, som leverer en ydelse til brugervirksomheder, der sandsynligvis er relevant for brugervirksomhedernes interne kontrol, der vedrører regnskabsaflæggelsen Omhandler kun udsagnsbaserede opgaver, der giver høj grad af sikkerhed, og hvor konklusionen formuleres direkte om erklæringsemnet og kriterierne Gælder kun, hvor serviceleverandøren er ansvarlig for eller på anden måde i stand til at fremsætte et udsagn om den hensigtsmæssige udformning af kontroller Side 9

ISAE 3402 - Generelt Omhandler ikke erklæringsopgaver med sikkerhed: hvor der kun skal afgives erklæring om en serviceleverandørs kontroller har fungeret som beskrevet, eller hvor der skal afgives erklæring om andre kontroller end de, som sandsynligvis er relevant for en brugervirksomheds interne kontrol, der vedrører regnskabsaflæggelsen Side 10

Serviceleverandørens revisors mål På grundlag af hensigtsmæssige kriterier, i alle væsentlige henseender at opnå høj grad af sikkerhed for, om: serviceleverandørens beskrivelse af sit system giver en dækkende beskrivelse af det system, der er udformet og implementeret i hele den anførte periode eller på en anført dato kontrollerne, der knytter sig til de kontrolmål, der er anført i serviceleverandørens beskrivelse af sit system, var hensigtsmæssigt udformet i hele den anførte periode eller på en anført dato kontrollerne, hvor det er opfattet af opgaven, fungerede effektivt i relation til at give høj grad af sikkerhed for, at de kontrolmål, der var anført i serviceleverandørens beskrivelse af sit system, blev opfyldt i hele den anførte periode At afgive erklæring om ovenstående forhold i overensstemmelse med serviceleverandørens revisors resultater. Side 11

Erklæringens indhold - serviceleverandøren Serviceleverandørens beskrivelse af sit system Udsagn fra serviceleverandøren om, - baseret på hensigtsmæssige kriterier og i alle væsentlige henseender - at: beskrivelsen giver en dækkende beskrivelse af serviceleverandørens system, der var udformet og implementeret kontrollerne, der er knyttet til de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, var hensigtsmæssigt udformet, og (ved type2) kontrollerne, der er knyttet til de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, fungerede effektivt Side 12

Erklæringens indhold serviceleverandørens revisor Serviceleverandørs revisors erklæring, der: giver høj grad af sikkerhed om de af serviceleverandøren anførte forhold, og (ved type2) indeholder en beskrivelse af de udførte test af kontroller og resultaterne heraf Side 13

Vurdering af kriteriernes egnethed For beskrivelsen skal kriterierne skal som minimum omfatte en vurdering af hvorvidt beskrivelsen viser, hvordan serviceleverandørens system blev udformet og implementeret i tilfælde af en type 2-erklæring, hvorvidt beskrivelsen indeholder relevante detaljer om ændringer i serviceleverandørens system i løbet af den periode, som beskrivelsen dækker om beskrivelsen udelader eller forvansker information, der er relevant for omfanget af det serviceleverandørsystem, der bliver beskrevet og i relation til udformningen af kontroller identifikation af relevante risici styrke af kontroller i forhold til risici Side 14

Revision af beskrivelsen Revisor skal indhente og læse serviceleverandørens beskrivelse af sit system og skal vurdere, om beskrivelsen af de aspekter, der er omfattet af opgaven, er dækkende, herunder om: kontrolmål, der er anført i serviceleverandørens beskrivelse af sit system, er rimelige efter omstændighederne kontroller, der er identificeret i beskrivelsen, er implementeret eventuelle komplementerende kontroller i brugervirksomheden er tilstrækkeligt beskrevet, og eventuelle ydelser, der er udført af en serviceunderleverandør, er fyldestgørende beskrevet, herunder om helhedsmetoden eller partielmetoden er anvendt i relation til disse. Side 15

Revision af kontroller Kontrollers udformning vurderes ved at fastslå, hvilke af serviceleverandørens kontroller der er nødvendige for at nå de kontrolmål, som er anført i serviceleverandørens beskrivelse af sit system, og vurdere, om disse kontroller var hensigtsmæssigt udformet. Kontrollers funktionalitet vurderes ved test af relevante kontroller dækkende hele perioden og ved at udføre andre handlinger kombineret med forespørgsler fastslå, om kontroller, der skal testes, er afhængige af andre kontroller (indirekte kontroller) fastlægge metoder til udvælgelse af enheder til test, som er effektive til at opfylde handlingens mål. Side 16

Udfordringer år 1

3 muligheder efter RS 3411 ISAE 3000 Andre erklæringsopgaver; her aftales specifikt, hvilke revisionshandlinger der skal udføres, og dette beskrives i erklæringen. Der er ikke noget krav om, at virksomhedens system skal beskrives, og der afgives en samlet konklusion i forhold til de kriterier, der defineres i erklæringen. ISAE 3402 - Erklæringsopgaver med sikkerhed om kontroller hos en serviceleverandør; her beskrives virksomhedens system, og der opstilles en række kontrolmål, kontrolaktiviteter, tests og resultater af tests. Det konkluderes, om beskrivelsen er fyldestgørende, og om kontrollerne har været tilstrækkelige til at opfylde kontrolmålene. ISRS 4400 Aftalte arbejdshandlinger; her aftales specifikt, hvilke revisionshandlinger der skal udføres,og resultatet for hver enkelt af disse oplistes i erklæringen. Der er ikke noget krav om, at virksomhedens system skal beskrives, og der afgives ikke nogen samlet konklusion. Side 18

Udbredelse af kendskab Google søgning viser følgende kendskab i Danmark: ISAE 3000 1.540 resultater ISAE 3402 890 resultater ISRS 4400 590 resultater RS 3411 3.700 resultater Revisionsvejledning 14 1.510 resultater Side 19

Konsistens i erklæringens enkeltdele Serviceleverandørens revisors erklæring høj konsistens Skriftligt udsagn fra serviceleverandøren (ledelsens erklæring) høj konsistens Serviceleverandørens beskrivelse af sit system lav konsistens Kontrolmål, kontroller, test og resultat heraf lav konsistens Andre oplysninger lav konsistens Side 20

Serviceleverandørens beskrivelse af sit system Indledning oplistning af services i scope COSO områder Side 21

Serviceleverandørens beskrivelse af sit system Mulighed for forbedringer indenfor Identifikation af system kan tydeliggøres Omtale af aftalegrundlag Præcisering af partielmetoden vs. helhedsmetoden, samt fastlæggelse af niveau for overvågning af kontroller hos subserviceleverandør Der vil kun i sjældne tilfælde være behov for at serviceunderleverandørens udsagn medtages i erklæringen efter helhedsmetoden Det kan være hensigtsmæssigt, at man til brug for egne arbejdspapirer indhenter en udtalelse fra subserviceleverandør Side 22

Kontrolmål, kontroller, test og resultat heraf Kontrolmål A NN kontrol test Resultat af test NN kontrol A.1 test A.1.a test A.1.b test A.1.c test resultat A.1.a test resultat A.1.b test resultat A.1.c NN kontrol A.2 test A.2 test resultat A.2 NN kontrol A.n test A.n test resultat A.n Komplementerende kontroller i brugervirksomheden Side 23

Kontrolmål, kontroller, test og resultat heraf Kontrolmål: Områder med væsentlig driftsudstyr er beskyttet mod uautoriseret fysisk adgang, skadeshandlinger og forstyrrelser. NN kontrol test Resultat af test A.1 : Der er etableret adgangskontrolsystem til alle serverrum som sikrer, at alene ledelsesgodkendte medarbejdere har adgang. Der foretages gennemgang af eksisterende adgangsrettigheder hvert halve år. A.1.a: Forespurgt ledelse om anvendte procedurer. A.1.b: Foretaget inspektion af alle serverrum og påset at alle adgangsveje er sikret med kortlæser. A.1.c: Foretaget stikprøvevis inspektion af at halvårlig gennemgang foretages A.1.a: Ingen væsentlige afvigelser konstateret A.1.b: Ingen væsentlige afvigelser konstateret A.1.c: Ingen væsentlige afvigelser konstateret NN kontrol A.2 test A.2 test resultat A.2 NN kontrol A.n test A.n test resultat A.n Komplementerende kontroller: Brugervirksomheden er ansvarlig for periodisk gennemgang af egne brugere med adgang til serverrum. Side 24

Resultat af test eksempel på niveau for beskrivelse Findingsskema Observation Risiko Anbefaling Vi har observeret, at services som rlogin og ftp kører på serverne HPUX-Jupiter og HPUX-Pluto Dette er i modstrid med baseline krav ifølge GRP UX ver. 01 RS 3411 Konklusion.. Ved aflytning af netværkstrafikken vil det være muligt at få kendskab til brugeres brugernavn og adgangskode og derved opnå uautoriseret adgang. omtales som Vi anbefaler, at der ikke anvendes ukrypterede netværksprotokoller. Som alternativ til rlogin og ftp kan bl.a. SSH og SFTP anvendes. ISAE 3402 Resultat af test Vi har observeret, at enkelte usikre services tillades på netværket. Side 25

Prioriterede kontrolmål fra ISO 27001 5.1 Informationssikkerhedspolitik 6.1 Intern organisering 6.2 Eksterne parter 9.1 Sikre områder 9.2 Sikring af udstyr 10.1 Operationelle procedurer og ansvarsområder 10.2 Styring af serviceydelser fra tredjepart 10.4 Beskyttelse mod skadevoldende programmer og mobil kode 10.5 Sikkerhedskopiering (back-up) 10.6 Styring af netværkssikkerhed 10.10 Overvågning Side 26

Prioriterede kontrolmål fra ISO 27001 11.1 Forretningsmæssige krav til adgangsstyring 11.2 Administration af brugeradgang 11.3 Brugeransvar 11.4 Styring af netværksadgang 11.5 Styring af adgang til driftssystemer 11.6 Styring af adgang til forretningssystemer og information 12.4 Sikring af systemfiler 12.5 Sikkerhed i udviklings- og hjælpeprocesser Side 27

Standard kontrolmål arbejdsudkast!! Sikkerhedspolitik Der er etableret en informationssikkerhedspolitik som sikrer: at der er udarbejdet en ajourført og af ledelsen godkendt informationssikkerhedspolitik at der er udarbejdet en informationssikkerhedshåndbog at ledelsen er involveret i informationssikkerhedsarbejdet Side 28

Standard kontrolmål arbejdsudkast!! Organisering af informationssikkerhed Der er etableret betryggende kontroller som sikrer: at styre informationssikkerhed i virksomheden at sikkerhedsmæssige krav afspejles i kontraktlige bindinger og forventninger med kunderne at der er udfærdiget skriftlige samarbejdsaftaler med relevante leverandører Side 29

Standard kontrolmål arbejdsudkast!! Fysisk og miljømæssig sikkerhed Der er etableret betryggende kontroller til sikring af, at væsentlige informationsaktiver er beskyttet mod uautoriseret fysisk adgang, fysisk skade og forstyrrelser. at kritisk informationsbehandlingsudstyr og lagringsmedier huses i sikre områder beskyttet af nødvendige barrierer og adgangskontroller. at undgå tab af, skader på eller kompromittering af informationsaktiver. at udstyr beskyttes mod fysiske trusler. at nødvendige forsyninger af el og ventilation samt kabelinstallationer er tilstrækkelige. Side 30

Standard kontrolmål arbejdsudkast!! Styring af netværk og drift Der er etableret betryggende kontroller til sikring af en korrekt og betryggende driftsafvikling. at systemer og data sikkerhedskopieres, at sikkerhedskopier opbevares betryggende og at sikkerhedskopier er læsbare. Side 31

Standard kontrolmål arbejdsudkast!! Adgangsstyring Der er etableret betryggende kontroller til sikring af, at adgang til systemer, data og netværk styres i overensstemmelse med forretningsmæssige og lovgivningsbetingede krav. Side 32

Standard kontrolmål arbejdsudkast!! Anskaffelse, udvikling og vedligeholdelse af informationsbehandlingssystemer Der er etableret betryggende kontroller til sikring af, at sikkerhed indgår som en integreret del af styresystemer, infrastruktur og tjenesteydelser. at kravene til sikkerhed skal være identificeret og aftalt før implementering af informationsbehandlingssystemer. at sikre de systemtekniske filer i driftsmiljøet. Side 33

Test og resultat af test Behov for ensartet brug af test begreber/formuleringer i erklæringerne, tættere på den ordlyd, der er i ISA erne; Inspektion, Observation, Ekstern bekræftelse, Efterregning, Genudførsel, Analytiske handlinger og Forespørgsel Resultat af test kan beskrives med ordlyden ingen væsentlige afvigelser, hvis der ingen væsentlige afvigelser er konstateret. Prioritet 1 observationer bør omtales under testresultaterne under den enkelte test. Prioritet 2 observationer bør omtales, hvis flere prioritet 2 observationer har resultater som i sammenhæng kan være væsentlige. Prioritet 3 omtales ikke. Side 34

Test og resultat af test Forventning om, at flere observationer er medtaget i kundespecifikke (og dermed mere specifikke aftaler) erklæringer end i generelle erklæringer For så vidt angår erklæringsemnet i forhold til lovgivning vurderes det at der alene skal være hensyn til bogføringsloven og ikke overholdelse af f.eks. persondatalovgivning, hvidvaskningslovgivning, og lign. Side 35

Udviklingen fremadrettet

AICPA: Service Organization Controls Report Report Standard Controls Framework Distribution SOC 1 SSAE 16 Internal Controls over Financial Reporting SOC 2 AT 101 Security/ Systems, Privacy SOC 3 AT 101 Security/ Systems, Privacy N/A Trust Services Trust Services User auditor /management, and SO management Knowledgable parties Anyone Side 37

Forventet udvikling Flere erklæringer Større konsistens i beskrivelse af system kontrolmål, kontrolaktiviteter, test og resultat af test komplementerende kontroller Partielmetoden kikker frem Større appetit på anvendelse af ISRS 4400 Tidligere start på erklæringsarbejdet Meget få 1:1 erklæringer i forhold til år 1 Side 38

Finanstilsynets holdning til ISAE 3402 for fælles datacentraler Bestyrelsen i finansielle virksomheder skal løbende modtage rapportering vedrørende outsourcingen jf. outsourcing bekendtgørelse Fulde ISAE 3402 rapporter er i mange tilfælde forelagt bestyrelsen Direktør for Finanstilsynet Ulrik Nødgaard 13. marts 2012, så er vi helt åbne over for at kigge nærmere på, om der er områder, hvor vores krav til bestyrelserne måske er blevet for detaljerede. Det kunne være f. eks. være på IT-området Side 39

Spørgsmål Jess Kjær Mogensen jkm@pwc.dk 3945 9171 2141 5996 This publication has been prepared for general guidance on matters of interest only, and does not constitute professional advice. You should not act upon the information contained in this publication without obtaining specific professional advice. No representation or warranty (express or implied) is given as to the accuracy or completeness of the information contained in this publication, and, to the extent permitted by law, PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab, its members, employees and agents do not accept or assume any liability, responsibility or duty of care for any consequences of you or anyone else acting, or refraining to act, in reliance on the information contained in this publication or for any decision based on it. 2012 PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab. All rights reserved. In this document, refers to PricewaterhouseCoopers Statsautoriseret Revisionspartnerselskab which is a member firm of PricewaterhouseCoopers International Limited, each member firm of which is a separate legal entity.

2026 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback