RS402 Revisjon i foretak som benytter serviceorganisasjon

Størrelse: px

Begynne med side:

Download "RS402 Revisjon i foretak som benytter serviceorganisasjon"

Daniel Thorstensen
9 år siden
Visninger:

1 Advisory RS402 Revisjon i foretak som benytter serviceorganisasjon Aina Karlsen Røed, senior manager Leder av IT-revisjon i Ernst & Young, Advisory Dette dokumentet er Ernst & Youngs eiendom. Dokumentet kan ikke benyttes av eller videreformidles til andre uten å på forhånd ha innhentet skriftlig tillatelse. 28. mars 2007

2 Agenda Kort om standarden Uttalelse fra serviceorganisasjonens revisor Eksempel på RS402 uttalelse fra EDB Hvordan kan intern revisor bygge på en slik uttalelse 2 Advisory

3 Hva er egentlig RS402 Revisjon i foretak som benytter serviceorganisasjoner - Primært skrevet for revisorene f.eks. i banker som bruker EDB Kom inn i norsk regelverk med virkning fra via ISA (IFAC) - Ukjent standard i Norge ved implementeringstidspunktet - Ren oversettelse av ISA Bygger på amerikansk standard & praksis - AU 324 (også kalt SAS 70) 3 Advisory

1.1998 via ISA (IFAC) - Ukjent standard i Norge ved implementeringstidspunktet - Ren

4 RS402 type B Uttalelse om hensiktsmessighet av utformingen og effektiviteten av regnskaps- og intern kontrollsystemene - En beskrivelse av serviceorganisasjonens regnskaps- og internkontrollsystemer, vanligvis utarbeidet av ledelsen i serviceorganisasjonen, og - En uttalelse fra serviceorganisasjonens revisor om at: beskrivelsen av systemet er korrekt kontrollene er iverksatt regnskaps- og internkontrollsystemene er hensiktsmessig utformet for å nå de fastlagte mål. regnskaps- og internkontrollsystemene fungerer effektivt, basert på resultatet av systemtester. I tillegg til uttalelsen om effektivitet vil serviceorganisasjonens revisor angi hvilke systemtester som er utført og resultatene av disse. Type B utrykker en opinion vedrørende den operative effektiviteten til kontrollene som ble testet med hensyn til å oppnå de beskrevne kontrollmål 4 Advisory

internkontrollsystemene er hensiktsmessig utformet for å nå de fastlagte mål. regnskaps- og internkontrollsystemene fungerer effektivt, basert på resultatet av systemtester.

5 RS402 - rapportering En RS 402 består av 3 (evt 4) deler, hvor den siste er valgfri: - Del 1- Revisors uttalelse - Del 2- Ledelsens beskrivelse av etablerte kontroller - Del 3- Informasjon fra serviceorganisasjonens revisor Kontrollmål som kontrollene skal oppnå Kontroller som ble testet Tester som er gjennomført Resultater fra testingen & håndtering av avvik - Del 4 - Annen informasjon gitt av ledelsen i service organisasjonen. Dekkes ikke av uttalelsen, men kan f. eks. inneholde forhold som er relevante for leser men som er oppstått etter rapporteringsperioden 5 Advisory

Tester som er gjennomført Resultater fra testingen & håndtering av avvik - Del 4 - Annen informasjon gitt av ledelsen i service organisasjonen.

6 Gjennomføring av EDB RS402 prosjekt Ernst & Young har en egen metodikk for gjennomføring av RS402 prosjekter. Prosjektet gjennomføres vanligvis i fire faser, og denne rapporten er resultatet av arbeidet som er gjennomført i forprosjektet. Kartlegging og vurdering av internkontrollmiljø del II Initial Planning Perform Examination Expectations Communicate Results (EDB har ansvaret) Walkthrough av prosesser og kontroller beskrevet i internkontrollmiljøet Utarbeidelse av testplan Gjennomføring av test av internkontrollmiljøet Your Key Team Members Ernst & Young Users Validate Expectations Establish Relationship Protocols Client Service Charter Understand key business processes and system design Understand Company s business, contractual relations and user expectations Perform preliminary assessment of controls Perform Pre-assessment Evaluate system description Evaluate system design and perform tests of operating effectiveness Design is suitable for effective internal control environment General controls Application controls Conclude on operating effectiveness Feedback Periodic Issues List Industry Tailored Control Objectives Pre-assessment Automated Assessment Tools Delivered Reports Pre-assessment Report Service Auditor s Report Control Recommendations Report SAS 70 Report Utarbeide RS402-uttalelse (EY har ansvaret) Vår metodikk hjelper oss i å gjennomføre prosessen mest mulig effektivt og med et minimum av forstyrrelser i det operative miljø. 6 Advisory

Kartlegging og vurdering av internkontrollmiljø del II Initial Planning Perform Examination Expectations Communicate Results (EDB har ansvaret) Walkthrough av prosesser og kontroller beskrevet i

7 Hva dekkes hos EDB? Totalt er det valgt ut 56 kontrollmål basert på Cobit som dekker områdene drift, utvikling og forvaltning (i 15 hovedprosesser) Kvalitet og Sikkerhet hos EDB lager kontrollbeskrivelsen (Del II) basert på EDBs styringssystem EDB & EY i felleskap har valgt å lage to ulike rapporter: - En uttalelse for IT-drift,utvikling og forvaltning for Bank & Finans - En uttalelse for IT-drift,utvikling og forvaltning for Offentlig NB applikasjonsutvikling som gjøres i den enkelte bank (og som kun driftes av EDB) dekkes ikke av RS 402 uttalelsen 7 Advisory

Sikkerhet hos EDB lager kontrollbeskrivelsen (Del II) basert på EDBs styringssystem EDB & EY i felleskap har valgt å lage to ulike rapporter:

8 Uttalelse fra serviceorganisasjonens revisor - EDB 8 Advisory

9 Oversikt over valgte kontrollmål fra CobiT 4 Oversikten viser de kontrollmål som er ligger til grunn for EDBs RS402 uttalelse. Kontrollmålene er valgt ut med bakgrunn i erfaringer fra hvilke kontrollmål som bør dekkes i en RS402 rapport for virksomheter som EDB, samt innspill fra revisjonskomiteen med høring fra alle de store revisjonsselskapene i Norge. Plan & Organize - PO4.1 IT Process Framework - PO4.6 Roles and Responsibilities - PO4.9 Data and System Ownership - PO4.11 Segregation of Duties Aquire & Implement - AI2.1 ITSecurity plan - AI2.2 Detailed design - AI2.3 Application control and auditability - AI2.4 Application security and availability - AI2.5 Configuration and Implementation of Acquired Application Software - AI2.6 Major Upgrades to Existing Systems - AI2.7 Development of Application Software - AI2.9 Applications Requirements Management - AI2.10 Application Software Maintenance - AI3.1 Technological Infrastructure Acquisition Plan - AI3.3 Infrastructure Maintenance - AI6.1 Change Standards and Procedures - AI6.2 Impact Assessment, Prioritisation and Authorisation - AI6.3 Emergency Changes - AI6.5 Change Closure and Documentation - AI7.2 Test Plan - AI7.3 Implementation Plan - AI7.5 System and Data Conversion - AI7.6 Testing of Changes - AI7.7 Final Acceptance Test - AI7.8 Promotion to Production - AI7.11 Recording and Tracking of Changes - AI7.12 Post-implementation Review Deliver & Support - DS1.1 Service Level Management Framework - DS1.3 Service Level Agreements - DS1.5 Monitoring and Reporting of Service Level Achievements - DS2.2 Supplier Relationship Management - DS2.3 Supplier Risk Management - DS2.4 Supplier Performance Monitoring - DS3.5 Monitoring and Reporting - DS4.2 IT Continuity Plans - DS4.4 Maintenance of the IT Continuity Plan - DS4.5 Testing of the IT Continuity Plan - DS4.8 IT Services Recovery and Resumption - DS4.9 Offsite Backup Storage - DS5.2 IT Security Plan - DS5.3 Identity Management - DS5.4 User Account Management - DS5.5 Security Testing, Surveillance and Monitoring - DS5.6 Security Incident Definition - DS5.9 Malicious Software Prevention, Detection and Correction - DS5.10 Network Security - DS9.2 Identification and Maintenance of Configuration Items - DS9.3 Configuration Integrity Review - DS10.1 Identification and Classification of Problems - DS10.2 Problem Tracking and Resolution - DS11.2 Storage and Retention Arrangements - DS11.4 Disposal - DS11.5 Backup and Restoration - DS12.3 Physical Access - DS13.1 Operations Procedures and Instructions - DS13.2 Job Scheduling - DS13.3 IT Infrastructure Monitoring 9 Advisory

store revisjonsselskapene i Norge. Plan & Organize - PO4.1 IT Process Framework - PO4.6 Roles and Responsibilities - PO4.9 Data and System Ownership - PO4.

10 Hvordan kan intern revisor bygge på en slik uttalelse Generelt viktig for intern revisor å skaffe seg inngående kjennskap til avtale (SLA) mellom EDB og selskapet man representerer, og basert i dette lage en rollematrise for avklaring av ansvaret slik at det blir åpenbart hva som gjenstår udekket Foreta og dokumentere en vurdering av kompetanse og objektivitet av serviceorganisasjonens revisor (hver enkelt mottaker) Intern revisor bør kunne bygge på gjennomgang av IT-prosesser og kontroller omfattet av uttalelsen uten ytterligere revisjon 10 Advisory

som gjenstår udekket Foreta og dokumentere en vurdering av kompetanse og objektivitet av serviceorganisasjonens revisor (hver enkelt

11 Hvordan kan intern revisor bygge på en slik uttalelse Intern revisor må vurdere om det er forhold knyttet til operasjonell revisjon som ikke er dekket. Uttalelsen tar utgangspunkt i ekstern revisors krav - Uttalelsen dekker ikke applikasjonsspesifikke forhold - Områder ikke dekket av RS402 og som kan være interessante å inkludere eventuelt behov for i operasjonell revisjon: (DS5.8 Kryptering) Noe dekket under Network security DS4.6/4.7/4.10 -Training, distribution and post review of test of IT continuity plan (DS8.1 - Service Desk) Gjenstand for vurdering gjennom andre kontrollmål PO4.7/PO8 - Manage quality (Kvalitetsystemet) PO9 - Risk assessment (ME3 - Regulatory requirements) EDB avgir selv erklæring på IKT-forskriften 11 Advisory

eventuelt behov for i operasjonell revisjon: (DS5.8 Kryptering) Noe dekket under Network security DS4.6/4.7/4.

Like dokumenter

En praktisk anvendelse av ITIL rammeverket

NIRF 17. april 2012 En praktisk anvendelse av ITIL rammeverket Haakon Faanes, CIA,CISA, CISM Internrevisjonen NAV NAVs ITIL-tilnærming - SMILI NAV, 18.04.2012 Side 2 Styring av tjenestenivå Prosessen omfatter