Sikkerhed og Revision 2014 ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler
Agenda Lidt om et nyt og stærkere EY i Danmark De regulatoriske krav til systemrevision De centrale punkter i samarbejdet mellem intern systemrevision og ekstern systemrevisor Side 4
Et nyt og stærkere EY Side 3
Et nyt og stærkere EY Det nye EY bliver en stærkere samarbejdspartner... et integreret globalt firma med lokal forankring der eksekverer via indsigt og de stærkeste kompetencer for at møde kundernes behov nu og i fremtiden. Side 4
Page 5
Det nye EY i Danmark Integreret globalt netværk af virksomheder i 150 lande. På verdensplan er vi ca. 175.000 medarbejdere. I 2013 omsatte KPMG Danmark (det tidligere medlemsfirma) for DKK 1.546 millioner. I 2012/2013 omsatte EY Danmark for DKK 615 millioner. Førende inden for Tax (35.000 medarbejdere globalt) Integreret nordisk Advisory praksis (1.000 medarbejdere i Norden) Fokuseret Transaction Advisory Service med stærk tilstedeværelse i markedet (9.000 medarbejdere globalt) Størst markedsandel for revision af Top 500 virksomheder (36 %) Revision for tre virksomheder i Top 10 I Assurance har vi globalt flere end 66.000 revisorer Vi yder professional services inden for Assurance, Tax, Advisory og Transaction Advisory Services I Danmark er vi ca. 1.700 medarbejdere fordelt på 19 kontorer i hele landet og på Grønland Det nye EY forventes, at omsætte for DKK 1,8-1,9 milliarder i 2014/2015 Rangeret #2 i Universum s globale undersøgelse af "World s Most Attractive Employers" (Universum 2013) og #1 i deres Nordic s Most Attractive Employers 2014 Side 6
FY13 EYs globale markedsandele 2013 Fortune global 500 Procentdel af virksomheder, der serviceres af EY 2013 Forbes Global 2000 Procentdel af virksomheder, der serviceres af EY 21% 24% Audit Clients 26% 33% Audit Clients Non-audit clients Non-audit clients All other companies in the index* All other companies in the index* 55% 41% *EY revenues less than US$500k in FY13 Side 7
Fokus på at vinde i markedet nogle af vores ISAE 3402- og ISAE 3000-kunder Side 8
De regulatoriske krav til systemrevisionen Side 9
Rammerne for systemrevisionen Systemrevisionsbekendtgørelsen Udstedt af Finanstilsynet Revision af system-, data og driftssikkerheden Revision af it-baserede brugersystemer Revision af infrastrukturen. Datacentralen skal have en intern og ekstern systemrevisor Ekstern systemrevisor vælges på generalforsamling Krav om uafhængighed, uddannelse m.v. Funktionsbeskrivelse for intern systemrevision Foreskrevet i systemrevisionsbekendtgørelsen Sætter rammerne for den interne systemrevision Godkendes af bestyrelsen i data centralerne Bestyrelsen beslutter, at mest muligt udføres af intern systemrevision. Samarbejdsaftalen Indgås mellem intern og ekstern systemrevisor Fastlægger arbejdsfordelingen mellem intern og ekstern revision Omhandler rapporteringsform for fundne svagheder/afvigelser i kontroller Side 10
Systemrevision på datacentraler Generelle it-kontroller Revisionens udførelse Systemsikkerhed Kontroller, der sikrer pålidelige systemer, adgangsrettigheder, godkendelse og test af udvikling, samt at der ikke sker utilsigtede ændringer i systemerne Datasikkerhed Kontroller, der sikrer pålidelig og fortrolig opbevaring og beskyttelse af data Driftssikkerhed Kontroller, der sikrer, at driften overvåges og afvikles betryggende, at fejl opdages og korrigeres, samt at systemer og data er tilgængelige Revision udføres i perioden 1/1-31/12 Kontroller hos datacentralen og underleverandører Kontrol af politikker og processer, f.eks. it-sikkerhedspolitik, change management, systemudvikling samt driftskontroller Efterprøvning af sikkerheden på tekniske it-komponenter (platforme, databaser, netværk m.v.) Alt baseret på den måde datacentralen har valgt at organisere sig på (ISO 27001).
Systemrevision på datacentraler Brugersystemerne Fællessystemer, gruppe I Fællessystemer, gruppe II Bankspecifikke systemer Revisionens udførelse Systemrevisionen omfatter fællessystemerne. Rådgivende systemrevisionsudvalg prioriterer revisionsindsatsen mellem fællessystemerne. Prioritering sker ud fra vurdering af væsentlighed og risiko set fra pengeinstitutternes anvendelse af systemerne. Revisionen kan udføres på rotationsbasis. Prioriteringen godkendes af ekstern systemrevisor. Bankspecifikke systemer revideres efter individuelle aftaler.
Og hvad er det så, der kræves fra datacentralerne i den finansielle sektor? Systemrevisionserklæring baseret på ISAE 3402-erklæring om system-, data- og driftssikkerhed Ledelsens erklæring Revisors erklæring Beskrivelse af den leverede ydelse Identifikation af kontrolområder og tilknyttede kontroller med information om udførte testhandlinger og resultat af udførte test Evt. supplerende oplysninger, om forhold der ikke er med i de første 4 afsnit Page 13
Og hvad er det så, der kræves fra datacentralerne i den finansielle sektor De it-baserede brugersystemer Revision af de systemer, der stilles til rådighed for bankerne. Ingen erklæring fra ekstern systemrevisor, men tilsyn med det udførte arbejde hos intern systemrevision. Page 14
De centrale punkter i samarbejdet mellem intern systemrevision og ekstern revisor Side 15
De centrale punkter i samarbejdet Baseres på ISAE 3402 Skal omfatte system-, data- og driftssikkerheden Svarer til de generelle it-kontroller Men ikke kun det, der understøtter årsregnskaberne for bankerne også f.eks. ATM m.v. Mange områder, der ikke betyder så meget for regnskaberne Skal være type 2 erklæringer Helhedsmetoden skal anvendes Omfatter design, implementering og effektivitet af kontrollerne Skal dække perioden 1/1 31/12, Mulighed for anden periode, hvis blot der udarbejdes supplerende erklæring Skal foreligge senest 15. februar året efter erklæringsperioden Hele leverandørkæden skal med Datacentralen og dennes underleverandører Konklusion om den samlede system-, data- og driftssikkerhed Faktisk en stor udfordring Samarbejde mellem intern og ekstern systemrevisor Systemrevisionen udføres i samarbejde mellem intern og ekstern systemrevisor Systemrevisionen koordineres på tværs af datacentralerne Side 16
Brug af helhedsmetoden Underleverandøren leverer aftalte arbejdshandlinger efter ISRS 4400 BEC s ISAE 3402 Underleverandøren leverer egen ISAE 3402-erklæring Internationalt er carve-out (partielmetoden) hovedreglen Helhedsmetoden er undtagelsen Kræver konsolidering mellem serviceleverandør og underleverandør Konsolidering på proces- og kontrolniveau og udført revision (typisk indholdet i afsnit 3 og 4) Ledelseserklæring Page 17
Brug af helhedsmetoden ISRS 4400 rapportering fra underleverandør Muligt, når datacentralen har indflydelse på kontroldesign etc. hos underleverandøren (co-sourcing). Omfatter de kontroller, datacentralen har i egen ISAE 3402- erklæring inkl. elementerne i beskrivelse af ydelsen. ISAE 3402 fra underleverandøren Anvendes som udgangspunkt, når datacentralen ikke kan påvirke underleverandørens styring af ydelsen. Mapning af kontroller m.v. fra egen ISAE 3402 til underleverandørens ISAE 3402. Gennemgang af revisors arbejdspapirer nødvendig for at kunne konsolidere dog afhængig af væsentlighed. Page 18
De centrale punkter i samarbejdet Metodeapparatet ISAE 3402 arbejdes udføres efter vores metodeapparat Ikke et metodeapparat udviklet af intern revision, hvor vi bruger delresultater Sikrer fuld overensstemmelse med krav i ISAE 3402 og opdateres løbende Vi aftaler i detaljer, hvad intern revision udfører, og hvordan det dokumenteres Hovedelementer i metodeapparat Planlægnings- og afslutningsdokumenter Risikovurderinger Vurdering af ledelsens kriterier for styring af sikkerheden i leverancen Vurdering af det retvisende billede i ledelsens beskrivelse af ydelsen Vi deler og bruger samme templates for test af design, implementering og effektivitet På ekstern revisors side Gennemgang af IR s arbejde Vurderingen af intern revision og vores brug heraf Afslutningsdokumenter for erklæringen, bl.a. med kontrolafvigelser Egen intern kvalitetssikring og EQCR-gennemgang Hvor tæt er vi på intern revisions arbejde? Gennemgangen af intern revisions på samme måde, som hvis det var udført af vores medarbejdere Så tæt, at vi er sikre på, selv at ville være kommet til samme konklusion, hvis vi havde fået forelagt samme revisionsbevis for en kontrol, hvor vi selv har været helt med fra starten i risikoidentifikation m.v. Side 19
Opbygning af en ISRS 4400-instruks om aftalte arbejdshandlinger Fortæller, hvad revisor hos underleverandøren skal udføre og hvordan der skal rapporteres. Udarbejdes af ekstern systemrevisor i samarbejde med intern systemrevision. Omfatte og give indsigt i det specifikke it-miljø hos underleverandøren. Skal sikre transparens mellem serviceleverandørens og underleverandørernes risikovurderinger, kontrolformål, kontroller og udførte testhandlinger (typisk indholdet i erklæringens afsnit 3 og 4). Suppleres af en ledelseserklæring fra underleverandøren. Samme detaljeringsniveau i testhandlinger. Omtale svagheder på samme detaljeringsniveau, som hvis revisor hos serviceleverandøren selv havde udført arbejdet. Page 20
Kontakt Claus Thaudahl Hansen Tlf. 25 29 36 39 claus.t.hansen@dk.ey.com