Revisjon av IKT-området i en mindre bank

Størrelse: px

Begynne med side:

Download "Revisjon av IKT-området i en mindre bank"

Helene Eriksen
8 år siden
Visninger:

1 Revisjon av IKT-området i en mindre bank Bankenes sikringsfond, Høstkonferansen 2010 Vidar A. Løken PwC

2 Innholdet i presentasjonen 1. Hvilken risiko IT innebærer for bankenes interne kontroll 2. Bankens etterlevelse av IKTforskriften Hvor trykker skoen 3. Kontrollmiljø og kompetanse i forhold til IT Forvaltning av utkontrakteringsavtalen(e) PricewaterhouseCoopers 2

Bankens etterlevelse av IKTforskriften Hvor trykker skoen 3.

3 1 Hvilken risiko IT innebærer for bankenes interne kontroll

4 Fra skranke og kontanter til iphone app. IT har forandret risikobildet for en bank dramatisk fra kontantbehandling og fysisk kundekontakt til abstrakte datatranser (bit & byte) PricewaterhouseCoopers 4

5 De konkrete IT risikomomenter med direkte effekt Uautorisert uttak (flytting) av penger som følge av: Interne ubevisste handlinger uvitenhet/ manglende kompetanse Interne bevisste handlinger økonomisk kriminalitet (mislighold og utroskap) Eksterne bevisste handlinger i form av hacking og bruk av tilgjenglige brukeridenter IT gjør det mulig å flytte store beløp. Endringer i kildekode og/ eller implementering av program snutter gjør det mulig å stjele ører (ved avrundinger etc.) fra et stort volum av kontoer og transaksjoner. PricewaterhouseCoopers 5

form av hacking og bruk av tilgjenglige brukeridenter IT gjør det mulig å flytte store beløp.

6 De konkrete IT risikomomenter med indirekte effekt Uautoriserte rente- og betingelsesendringer for enkeltpersoner og grupper, som følge av: Interne ubevisste handlinger uvitenhet/ manglende kompetanse Interne bevisste handlinger økonomisk kriminalitet (mislighold og utroskap) Eksterne bevisste handlinger i form av hacking og bruk av tilgjenglige brukeridenter Definisjon av kundegruppe tilhørighet, masterdata for betingelser (produkter) og rentesatser er kritiske dataregistre. Uautorisert endring i ett av disse kan være vanskelig å oppdage (avhengig av volum), men for den enkelte kan konsekvensene og potensiell vinning være stor. PricewaterhouseCoopers 6

og bruk av tilgjenglige brukeridenter Definisjon av kundegruppe tilhørighet, masterdata for betingelser (produkter) og rentesatser er kritiske dataregistre.

7 De mer usynlige og ukvantifiserbare IT risikomomentene ICAAP Rapportering - Offentlig rapportering - Finansregnskapet - Kapitaldekning - Intern rapportering/ styringsinformasjon Så godt som alle former for rapportering tar utgangspunkt i ITbasert informasjon. Det er omfattende krav til internkontroll i en bank, og IT har en vesentlig betydning for internkontrollen. PricewaterhouseCoopers 7

godt som alle former for rapportering tar utgangspunkt i ITbasert informasjon.

8 Hvor god oversikt har banken på sine IT verdikjeder? Komplekse IT verdikjeder Mye foregår utenfor den lokale banken Usikkerhet, og variert intern forståelse, for betydningen av databehandlingen hvordan den påvirker de ulike rapportene PricewaterhouseCoopers 8

Usikkerhet, og variert intern forståelse, for betydningen av

9 Særtrekk ved IKT-relaterte risikoanalyser Fra BAS 5 (Beskyttelse av samfunnet 5: Sårbarhet i kritiske IKT-systemer Tilsiktede handlinger spiller en sentral rolle når IKT-sikkerhet skal vurderes. Teknologien er kompleks. Det er vanskelig å få en god oversikt over IKT-systemer, og det mangler ofte en helhetlig beskrivelse av systemene som skal analyseres. Dette gir store ufordringer i forhold til å identifisere mulige hendelser, og ikke minst i forhold til det å få en god forståelse av sammenhenger og avhengigheter systemene imellom. Brukerne av IKT-systemene mangler ofte en detaljert systemforståelse. De har et forhold til informasjonen som IKT-systemet gir dem, men liten forståelse for teknologien som ligger bak. Det er få eller ingen som både har en god forståelse av både IKT-systemer og av fagområdet risikoanalyse. Teknologien endrer seg veldig raskt. Dette medfører at man ofte har en begrenset mengde erfaringsdata som kan brukes i analysene. PricewaterhouseCoopers 9

Det er vanskelig å få en god oversikt over IKT-systemer, og det mangler ofte en helhetlig beskrivelse av systemene som skal analyseres.

10 Informasjonssikkerhetsrådgivning Slide 10

Samhandlingen mellom IT og internkontroll Det å forstå hvordan IT-systemene supporterer de finansielle prosessene og videre den økonomiske rapporteringen skaper grunnlaget for en effektivisering,

11 Samhandlingen mellom IT og internkontroll Det å forstå hvordan IT-systemene supporterer de finansielle prosessene og videre den økonomiske rapporteringen skaper grunnlaget for en effektivisering, samt god styring og kontroll Det finnes en rekke automatiske og IT-avhengige kontroller i bankenes systemer, som bør systematiseres i en kontrollmatrise Manuelle Manuelle kontroller Automatiske IT-avhengige manuelle kontroller Automatiske kontroller Generelle IT kontroller (ITGC) PricewaterhouseCoopers 11

automatiske og IT-avhengige kontroller i bankenes systemer, som bør systematiseres i en kontrollmatrise Manuelle Manuelle

12 2 Bankens etterlevelse av IKT-forskriften

13 Hvor vi opplever at skoen trykker når det gjelder IKTforskriften 5 Sikkerhet herunder administrasjon og oppfølging av tilgangsrettigheter 9 Endringshåndtering forståelsen og dokumentasjon av endringen 10 og 11 Kontinuitet Katastrofeberedskap PricewaterhouseCoopers 13

tilgangsrettigheter 9 Endringshåndtering forståelsen og

14 Administrasjon og oppfølging av tilgangsrettigheter 5 i IKT-forskriften stiller krav til sikkerhetsprosedyrer som inkluderer retningslinjer for tildeling, endring, sletting og kontroll med autorisasjon for tilgang til IKT-systemene. Gjennomføring av denne kontrollen oppfatter vi som mer sporadisk gjennomført, en fast periodisk kontroll av de kritiske tilgangsrettigheten er ofte et forbedringspunkt overfor bankene. Spesielt viktig er dette for kritiske dataregistre som inneholder: kundegruppe tilhørighet, masterdata for betingelser (produkter) og rentesatser. Som for eksempel: Servo, ACF2, KO, snekkeriet etc. Finanstilsynet skisserer en mnd. kontroll i kapittel 4 i Veiledning i etterlevelse av IKT-forskriften for mindre sparebanker. PricewaterhouseCoopers 14

Gjennomføring av denne kontrollen oppfatter vi som mer sporadisk gjennomført, en fast periodisk kontroll av de kritiske tilgangsrettigheten er ofte et forbedringspunkt overfor bankene.

15 Kjennskap og dokumentasjon av hva endringen innebærer 9 i IKT-forskriften stiller krav til prosedyrene for endringshåndtering skal omfatte alle endringer som kan påvirke IKT-systemene og skal sikre forsvarlig, formell behandling og dokumentering av endringene. Endring i IT-systemene skjer gjerne utenfor den lokale banken, og mye av dokumentasjon knyttet til endringer kommer servert utenfra. Men IKTforskriften er bankens eget ansvar, et sentral spørsmål er derfor: Hva innebærer endringen for IT verdikjeden i din egen bank? (ref. tidligere foiler) En tilfredsstillende dokumentasjon gjennom endringsloggen og betydningen for de usynlige og ukvantifiserbare IT risikomomentene er ofte et forbedringspunkt. PricewaterhouseCoopers 15

Endring i IT-systemene skjer gjerne utenfor den lokale banken, og mye av dokumentasjon knyttet til endringer kommer servert utenfra.

16 Kontinuitet og katastrofeberedskap 10 i IKT-forskriften stiller krav til en kontinuitetsplan med bakgrunn i risikoanalysen ( 3). Vi stiller ofte spørsmål til kvaliteten i kontinuitetsplanen og samhandlingen med risikoanalysen er det fulle risikobildet i IT-verdikjedene dekket? 11 i IKT-forskriften stiller krav til dokumentert katastrofeplan, samt at det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang som gir tilstrekkelig trygghet for at katastrofeløsningen virker som forutsatt. Årlig dokumentert testing av katastrofeplanen er ofte et forbedringspunkt. PricewaterhouseCoopers 16

11 i IKT-forskriften stiller krav til dokumentert katastrofeplan, samt at det minst en gang årlig gjennomføres opplæring, øvelse og test i et omfang

17 3 Kontrollmiljø og kompetanse i forhold til IT

18 Kontrollmiljø og kompetanse i forhold til IT BBS EDB/ SDC mm Gruppe/ allianse - sentral adm. Lokal banken IT-virksomheten i lokalbanken isolert sett er begrenset, mens ansvaret for at IKT-forskriften er ivaretatt i alle ledd ligger hos den lokale banken. Dette innebærer krav til lokal kompetanse og et kontrollmiljø for IT som: har forståelse for IT-verdikjedene og samhandling mellom virksomhet og IT sikrer at alle IT-leveranser er underlagt tilfredsstillende SLA-avtaler med krav til rapportering samt at de er i tråd med IKT-forskriften har forståelse av RS402 erklæringen (ISAE 3402) innebærer og evt. svakheter som adresseres PricewaterhouseCoopers 18

Dette innebærer krav til lokal kompetanse og et kontrollmiljø for IT som: har forståelse for IT-verdikjedene og samhandling mellom virksomhet og IT sikrer at alle

Organisasjon Forståelsen av totalbilde for hvordan IT påvirker banken Regnskap & rapportering betydningen for rapportering Forretnings prosesser B A C påvirker D E identifisér forretningsprosessene

19 Organisasjon Forståelsen av totalbilde for hvordan IT påvirker banken Regnskap & rapportering betydningen for rapportering Forretnings prosesser B A C påvirker D E identifisér forretningsprosessene som støttes av applikasjonene (kjennskap til IT verdikjeden) påvirker Applikasjoner Kontroller Finansiell rapportering Operative systemer hvordan påvirkes de ulike applikasjonene til banken IT miljø Hardware Kommunik. Nettverk påvirker Betydningen av svakheter i de generelle IT-kontrollene (ref. RS402/ ISAE3402).. PricewaterhouseCoopers Slide 19

Applikasjoner Kontroller Finansiell rapportering Operative systemer hvordan påvirkes de ulike applikasjonene til banken IT miljø

20 Vi bistår med å identifisere og beskytte virksomhetskritisk informasjon Takk for oppmerksomheten! 2009 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity. *connectedthinking is a trademark of PricewaterhouseCoopers LLP (US).

PricewaterhouseCoopers refers to the network of member firms of PricewaterhouseCoopers

Like dokumenter

Bankenes sikringsfond - Høstkonferanse

Bankenes sikringsfond - Høstkonferanse Vurdering og presentasjon av utlån i regnskapet ny foreslått nedskrivningsmodell noteopplysninger IFRS 7 20. september 2010 PwC Agenda 1. IFRS 9 med vekt på vurdering