Sikkerhed og Revision ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Relaterede dokumenter
Udformning af ISAE3402 i praksis i samarbejde mellem intern og ekstern revision

Lovtidende A. Bekendtgørelse om systemrevisionens gennemførelse i fælles datacentraler

Vejledning til brug af Bank RA Revisionsinstruks

SISCON Revisorerklæringer om Privacy

Lovtidende A 2008 Udgivet den 24. oktober 2008

Vejledning til brug af Offentlig RA Revisionsinstruks

T: F: E: Himmelev Bygade 70 Postbox Roskilde

Bekendtgørelse for Færøerne om systemrevisionens gennemførelse i fælles datacentraler

Din digitale samarbejdsplatform

A better beginning. Revisortrainee i EY. Første skridt mod en lovende karriere inden for revision, regnskab og rådgivning. ey.

Afgivelse og modtagelse af revisorerklæringer. Gitte Nielsen, ATP Thomas Gi Scharf, KMD Jess Kjær Mogensen, PwC

Sikkerhed og Revision 2015

- Der bør ikke ske en førtidig implementering af kravet om operationel revision

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Foreningen af Døgn- og Dagtilbud for udsatte børn og unge

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Vi engagerer os mere. Gennemsigtighedsrapport CVR-nr.:

ISAE 3000 DK ERKLÆRING MARTS RSM plus P/S statsautoriserede revisorer

Hvor meget fylder IT i danske bestyrelser. 7. september 2012 Torben Nielsen

Vejledning om funktionsbeskrivelse for intern revision

Det er en balancegang at have en effektiv it-drift og samtidig skulle sikre en høj it-sikkerhed og overholde lovgivningen. Men den hjælper vi vores

Udvalgte forhold ved revision af årsregnskaber for 2016 for finansielle virksomheder

Revisionsudvalg Kommissorium. Juni 2016

Kommissorium for Revisionsudvalget

Opdelingen af bestemmelserne indebar ikke en ændring af den periode, som systemrevisionserklæringerne skulle dække.

Kommissorium for revisionsudvalg

Dyssegårdskirken. Revisionsprotokollat af Årsregnskab for vedrørende STATSAUTORISERET REVISIONSPARTNERSELSKAB

Bekendtgørelse om godkendte revisorers erklæringer (erklæringsbekendtgørelsen)

Kommissorium for revisionsudvalget

SKI. Infomøde Revision og økonomisk rådgivning. Steen Andersen. Partner, direktør - BDO Kommunernes Revision. August 2014 INDLEVELSE SKABER UDVIKLING

Tax Risk and Opportunity Manager Arbejd smartere, hurtigere og innovativt og reducer skatterisici. Tax

AB Strandparken 1. Revisionsprotokollat af 10. januar (side 11-14)

Revisionsudvalg. Kommissorium. Skjern Bank

Bekendtgørelse om ændring af bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

E/F Lindebakken. Revisionsprotokollat af 23. marts (side ) vedrørende årsregnskabet for 2017

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Præsentation af Curanets sikringsmiljø

4.2 Revisors erklæringer i årsrapporten

Bilag 6.2 IT-Revision

IT Forum: Kapitalfremskaffelse - Innobooster og Markedsmodningsfonden. Anne-Sofie D. Gregersen, EY

Revisortilsynets kvalitetskontrol Resultater og fokus

Revisionsprotokollat af 27. marts 2011

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Succeshistorie. Wrist Ship Supply - Danmark Wrist Ship Supply konsoliderer med SAP BPC

Ejerforeningen SeaWest Delområde A. Revisionsprotokollat af 22. februar (side 48-51)

Revisionsudvalg. Kommissorium. Skjern Bank

Fondsmæglerforeningen Diverse moms

Hvorfor betale for aktiviteter, når man kan betale for resultater? ey.com/dk

ISRS 4400 DK Aftalte arbejdshandlinger vedrørende regnskabsmæssige oplysninger og yderligere krav ifølge dansk revisorlovgivning

Sankt Mortens Sogns Menighedsråd

BERETNING. om årsregnskabet for Den Europæiske Værdipapir- og Markedstilsynsmyndighed for regnskabsåret 2016 med myndighedens svar (2017/C 417/28)

It-revision af Sundhedsdatanettet januar 2016

Samarbejdet mellem revisor og bestyrelse. Peter Düring Jensen KPMG

Samarbejde, konsortier og netværk Workshop om juridiske og økonomiske udfordringer

Gennemsigtighedsrapport. 30. marts 2016 Redmark Statsautoriseret Revisionspartnerselskab CVR-nr.: redmark.dk

frcewtfrhousf(wpers ml

Front-safe A/S. Revisionserklæring (RS3411, type B) vedrørende generelle it-kontroller i tilknytning til driften af Remote Backup.

Den 10. august Kommissorium for revisionsudvalget i Danmarks Skibskredit A/S

Hvide Sande Masterclass. Regnskab 2015

Dansk Byggeri bestyrelseskonference Horsens 12. januar August 2016

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Persondataforordningen Erklæringer - omfang og værdi August 2016

ADVIEW APS. Årsrapporten er fremlagt og godkendt på selskabets ordinære generalforsamling, den 20. marts Jacob F.

Bekendtgørelse for Grønland om statsautoriserede og registrerede revisorers erklæringer mv. (Erklæringsbekendtgørelsen)

Kortlægning af kommunale garantiprovisioner for låntagning i varmeselskaber. Temadag om garantiprovision 13. november 2017

Kvalitetsstyring og regnskabsafslutning for dig, der anvender. CaseWare

K/S Karlstad Bymidte

2. marts Langeland Kommune Revision af generelle it-kontroller hos Langeland Kommune for regnskabsåret

Ringe Boligselskab. Regnskab for Sideaktivitetsafdelinger. Regnskab for perioden 1. januar til 31. december 2015

INFORMATIONS- SIKKERHEDSPOLITIK

Kommissorium for Revisionsudvalget i Aktieselskabet Schouw & Co. 2. udgave, december 2010

GF Pharma CVR-nr

Kommissorium for revisionsudvalget i Fast Ejendom Danmark A/S, CVR. nr

Brøndby Strand Kirkekasse

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Revisionsprotokollat af 23. marts 2014

Årets seminar om revisionsudvalg

Samarbejde, konsortier og netværk juridiske og økonomiske udfordringer

Himmelev Bygade 70 Postbox Roskilde CVR-nr

Meddelelse om kravene til revisors dokumentation ved afgivelse af erklæringer med sikkerhed

Kommissorium Udkast 2016

Komplementarselskabet Karlstad Bymidte ApS

Front-data Danmark A/S

Gennemsigtighedsrapport. 20. marts 2015 Redmark Statsautoriseret Revisionspartnerselskab CVR-nr.: redmark.dk

Indholdsfortegnelse Indledning Formål Omfang Holdninger og principper... 4

Ringkøbing-Skjern Kommune. Informationssikkerhedspolitik

BERETNING. om årsregnskabet for Forvaltningsorganet for Forbrugere, Sundhed, Landbrug og Fødevarer for regnskabsåret 2016 med organets svar

Ledelsesresumé Ekstern gennemgang af Sprogcenter Nordsjællands økonomistyring

Gældende formulering Ny formulering Bemærkning. kommunens eksterne revisors udførelse af (1) den lovpligtige revision

FORBEREDELSESUDVALGET FOR REGION SYDDANMARK

Kommissorium for Revisionsudvalget i Danske Andelskassers Bank A/S

Kommissorium for Revisionsudvalget Forsikringsselskabet Danica, skadesforsikringsaktieselskab af 1999 CVR-nr

BERETNING. om årsregnskabet for EU-Fiskerikontrolagenturet for regnskabsåret 2016 med agenturets svar (2017/C 417/17)

Introduktion Anvendelsen af standarderne for offentlig revision. Standarderne. for offentlig

Arbejdsplan for revisionsudvalget.

Når Compliance Bliver Kultur

Transkript:

Sikkerhed og Revision 2014 ISAE 3402 og samarbejdet mellem intern systemrevision og ekstern systemrevisor i datacentraler

Agenda Lidt om et nyt og stærkere EY i Danmark De regulatoriske krav til systemrevision De centrale punkter i samarbejdet mellem intern systemrevision og ekstern systemrevisor Side 4

Et nyt og stærkere EY Side 3

Et nyt og stærkere EY Det nye EY bliver en stærkere samarbejdspartner... et integreret globalt firma med lokal forankring der eksekverer via indsigt og de stærkeste kompetencer for at møde kundernes behov nu og i fremtiden. Side 4

Page 5

Det nye EY i Danmark Integreret globalt netværk af virksomheder i 150 lande. På verdensplan er vi ca. 175.000 medarbejdere. I 2013 omsatte KPMG Danmark (det tidligere medlemsfirma) for DKK 1.546 millioner. I 2012/2013 omsatte EY Danmark for DKK 615 millioner. Førende inden for Tax (35.000 medarbejdere globalt) Integreret nordisk Advisory praksis (1.000 medarbejdere i Norden) Fokuseret Transaction Advisory Service med stærk tilstedeværelse i markedet (9.000 medarbejdere globalt) Størst markedsandel for revision af Top 500 virksomheder (36 %) Revision for tre virksomheder i Top 10 I Assurance har vi globalt flere end 66.000 revisorer Vi yder professional services inden for Assurance, Tax, Advisory og Transaction Advisory Services I Danmark er vi ca. 1.700 medarbejdere fordelt på 19 kontorer i hele landet og på Grønland Det nye EY forventes, at omsætte for DKK 1,8-1,9 milliarder i 2014/2015 Rangeret #2 i Universum s globale undersøgelse af "World s Most Attractive Employers" (Universum 2013) og #1 i deres Nordic s Most Attractive Employers 2014 Side 6

FY13 EYs globale markedsandele 2013 Fortune global 500 Procentdel af virksomheder, der serviceres af EY 2013 Forbes Global 2000 Procentdel af virksomheder, der serviceres af EY 21% 24% Audit Clients 26% 33% Audit Clients Non-audit clients Non-audit clients All other companies in the index* All other companies in the index* 55% 41% *EY revenues less than US$500k in FY13 Side 7

Fokus på at vinde i markedet nogle af vores ISAE 3402- og ISAE 3000-kunder Side 8

De regulatoriske krav til systemrevisionen Side 9

Rammerne for systemrevisionen Systemrevisionsbekendtgørelsen Udstedt af Finanstilsynet Revision af system-, data og driftssikkerheden Revision af it-baserede brugersystemer Revision af infrastrukturen. Datacentralen skal have en intern og ekstern systemrevisor Ekstern systemrevisor vælges på generalforsamling Krav om uafhængighed, uddannelse m.v. Funktionsbeskrivelse for intern systemrevision Foreskrevet i systemrevisionsbekendtgørelsen Sætter rammerne for den interne systemrevision Godkendes af bestyrelsen i data centralerne Bestyrelsen beslutter, at mest muligt udføres af intern systemrevision. Samarbejdsaftalen Indgås mellem intern og ekstern systemrevisor Fastlægger arbejdsfordelingen mellem intern og ekstern revision Omhandler rapporteringsform for fundne svagheder/afvigelser i kontroller Side 10

Systemrevision på datacentraler Generelle it-kontroller Revisionens udførelse Systemsikkerhed Kontroller, der sikrer pålidelige systemer, adgangsrettigheder, godkendelse og test af udvikling, samt at der ikke sker utilsigtede ændringer i systemerne Datasikkerhed Kontroller, der sikrer pålidelig og fortrolig opbevaring og beskyttelse af data Driftssikkerhed Kontroller, der sikrer, at driften overvåges og afvikles betryggende, at fejl opdages og korrigeres, samt at systemer og data er tilgængelige Revision udføres i perioden 1/1-31/12 Kontroller hos datacentralen og underleverandører Kontrol af politikker og processer, f.eks. it-sikkerhedspolitik, change management, systemudvikling samt driftskontroller Efterprøvning af sikkerheden på tekniske it-komponenter (platforme, databaser, netværk m.v.) Alt baseret på den måde datacentralen har valgt at organisere sig på (ISO 27001).

Systemrevision på datacentraler Brugersystemerne Fællessystemer, gruppe I Fællessystemer, gruppe II Bankspecifikke systemer Revisionens udførelse Systemrevisionen omfatter fællessystemerne. Rådgivende systemrevisionsudvalg prioriterer revisionsindsatsen mellem fællessystemerne. Prioritering sker ud fra vurdering af væsentlighed og risiko set fra pengeinstitutternes anvendelse af systemerne. Revisionen kan udføres på rotationsbasis. Prioriteringen godkendes af ekstern systemrevisor. Bankspecifikke systemer revideres efter individuelle aftaler.

Og hvad er det så, der kræves fra datacentralerne i den finansielle sektor? Systemrevisionserklæring baseret på ISAE 3402-erklæring om system-, data- og driftssikkerhed Ledelsens erklæring Revisors erklæring Beskrivelse af den leverede ydelse Identifikation af kontrolområder og tilknyttede kontroller med information om udførte testhandlinger og resultat af udførte test Evt. supplerende oplysninger, om forhold der ikke er med i de første 4 afsnit Page 13

Og hvad er det så, der kræves fra datacentralerne i den finansielle sektor De it-baserede brugersystemer Revision af de systemer, der stilles til rådighed for bankerne. Ingen erklæring fra ekstern systemrevisor, men tilsyn med det udførte arbejde hos intern systemrevision. Page 14

De centrale punkter i samarbejdet mellem intern systemrevision og ekstern revisor Side 15

De centrale punkter i samarbejdet Baseres på ISAE 3402 Skal omfatte system-, data- og driftssikkerheden Svarer til de generelle it-kontroller Men ikke kun det, der understøtter årsregnskaberne for bankerne også f.eks. ATM m.v. Mange områder, der ikke betyder så meget for regnskaberne Skal være type 2 erklæringer Helhedsmetoden skal anvendes Omfatter design, implementering og effektivitet af kontrollerne Skal dække perioden 1/1 31/12, Mulighed for anden periode, hvis blot der udarbejdes supplerende erklæring Skal foreligge senest 15. februar året efter erklæringsperioden Hele leverandørkæden skal med Datacentralen og dennes underleverandører Konklusion om den samlede system-, data- og driftssikkerhed Faktisk en stor udfordring Samarbejde mellem intern og ekstern systemrevisor Systemrevisionen udføres i samarbejde mellem intern og ekstern systemrevisor Systemrevisionen koordineres på tværs af datacentralerne Side 16

Brug af helhedsmetoden Underleverandøren leverer aftalte arbejdshandlinger efter ISRS 4400 BEC s ISAE 3402 Underleverandøren leverer egen ISAE 3402-erklæring Internationalt er carve-out (partielmetoden) hovedreglen Helhedsmetoden er undtagelsen Kræver konsolidering mellem serviceleverandør og underleverandør Konsolidering på proces- og kontrolniveau og udført revision (typisk indholdet i afsnit 3 og 4) Ledelseserklæring Page 17

Brug af helhedsmetoden ISRS 4400 rapportering fra underleverandør Muligt, når datacentralen har indflydelse på kontroldesign etc. hos underleverandøren (co-sourcing). Omfatter de kontroller, datacentralen har i egen ISAE 3402- erklæring inkl. elementerne i beskrivelse af ydelsen. ISAE 3402 fra underleverandøren Anvendes som udgangspunkt, når datacentralen ikke kan påvirke underleverandørens styring af ydelsen. Mapning af kontroller m.v. fra egen ISAE 3402 til underleverandørens ISAE 3402. Gennemgang af revisors arbejdspapirer nødvendig for at kunne konsolidere dog afhængig af væsentlighed. Page 18

De centrale punkter i samarbejdet Metodeapparatet ISAE 3402 arbejdes udføres efter vores metodeapparat Ikke et metodeapparat udviklet af intern revision, hvor vi bruger delresultater Sikrer fuld overensstemmelse med krav i ISAE 3402 og opdateres løbende Vi aftaler i detaljer, hvad intern revision udfører, og hvordan det dokumenteres Hovedelementer i metodeapparat Planlægnings- og afslutningsdokumenter Risikovurderinger Vurdering af ledelsens kriterier for styring af sikkerheden i leverancen Vurdering af det retvisende billede i ledelsens beskrivelse af ydelsen Vi deler og bruger samme templates for test af design, implementering og effektivitet På ekstern revisors side Gennemgang af IR s arbejde Vurderingen af intern revision og vores brug heraf Afslutningsdokumenter for erklæringen, bl.a. med kontrolafvigelser Egen intern kvalitetssikring og EQCR-gennemgang Hvor tæt er vi på intern revisions arbejde? Gennemgangen af intern revisions på samme måde, som hvis det var udført af vores medarbejdere Så tæt, at vi er sikre på, selv at ville være kommet til samme konklusion, hvis vi havde fået forelagt samme revisionsbevis for en kontrol, hvor vi selv har været helt med fra starten i risikoidentifikation m.v. Side 19

Opbygning af en ISRS 4400-instruks om aftalte arbejdshandlinger Fortæller, hvad revisor hos underleverandøren skal udføre og hvordan der skal rapporteres. Udarbejdes af ekstern systemrevisor i samarbejde med intern systemrevision. Omfatte og give indsigt i det specifikke it-miljø hos underleverandøren. Skal sikre transparens mellem serviceleverandørens og underleverandørernes risikovurderinger, kontrolformål, kontroller og udførte testhandlinger (typisk indholdet i erklæringens afsnit 3 og 4). Suppleres af en ledelseserklæring fra underleverandøren. Samme detaljeringsniveau i testhandlinger. Omtale svagheder på samme detaljeringsniveau, som hvis revisor hos serviceleverandøren selv havde udført arbejdet. Page 20

Kontakt Claus Thaudahl Hansen Tlf. 25 29 36 39 claus.t.hansen@dk.ey.com

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback