IT-risikoer og kontroller. Prosessen risikostyring av IT. IT-risikoer. Hunton, J.E. kap 3



Like dokumenter
Prosessen risikostyring av IT. IT-risikoer og kontroller. Forretningsrisiko. IT-risikoer. Revisjonsrisiko. Sikkerhetsrisiko

IT-risikoer og kontroller

IT-risikoer og kontroller

Regnskapssystemer. Avgrensning. Regnskapssystemer fortsettelse av forrige forelesning. Prinsippiell struktur Datakvalitet Behandlingsregler

IT-revisjon i kommunal sektor. Lena Stornæs

IT-revisjon. Dokumentasjon av balansen. E-post som bevis (regnskapsmateriale) Klassisk IT-revisjon Cobit ITIL

IT er ikke bare for IT-revisorer

Internkontroll Styring og kontroll. Økonomisk kriminalitet: Straff. Økonomisk kriminalitet. Økonomisk kriminalitet Misligheter

Dokumentasjon av balansen. IT-revisjon. IT-relatert risiko. Metodeutvikling i finansiell revisjon. Revisjonskonseptet

NKRFS fagkonferanse 2014

Innledning til IT-revisjon

COSOs komponeter De fire siste. Risikovurdering. Hva er risiko? Hva mer enn kontrollmiljøet inngår i interkontrollbegrepet iflg COSO?

Kommunerevisjonen. Dato: 10. mai 2010

Akelius Revisjon. Dokumentasjon ved revisjon av små foretak

SA 3801 Revisors kontroll av og rapportering om grunnlag for skatter og avgifter

Veiledning om revisors attestasjon av registrering og dokumentasjon av enhetens regnskapsopplysninger i samsvar med ISAE

IKT-revisjon som del av internrevisjonen

Revisjon av informasjonssikkerhet

Forord Del1 Innledning 1 Om revisjon, god revisjonsskikk og revisjonsstandarder 2 Behovet for revisjon og revisors rammebetingelser

Inntektsrevisjon og virksomhetsforståelse


SENSORVEILEDNING. Onsdag 13. mai kl

INTERNASJONAL STANDARD FOR ATTESTASJONSOPPDRAG (ISAE) 3402 ATTESTASJONSUTTALELSER OM KONTROLLER HOS EN SERVICEORGANISASJON. ISAE-ens virkeområde...



Regnskap 2015, 2016 og 2017


Alektum Finans AS Årsregnskap Org.nr.:

KU og regnskapsrevisjon i kommunene

BDO AS Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Uavhengig revisors beretning Til generalforsamlingen i Nordic Secondary AS Uttalelse om revisjon


Til forstanderskapet i Sandnes Sparebank. Vi har revidert Sandnes Sparebanks årsregnskap, som består av:


Betydning (Significance) "Betydning" er knyttet til den påvirkede påstandens vesentlighet. Dokumentasjon (Documentation) "Dokumentasjon" er materiale

BDO AS Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Uavhengig revisors beretning Til generalforsamlingen i Auda Global Private Equity 2006 AS Uttale

Uavhengig revisors beretning


EFFEKTIVISER OG MODERNISER PERIODEAVSLUTNINGEN

Styreskolen. Prodekan Lars Atle Kjøde. Universitetet i Stavanger uis.no

Regnskap 2015, 2016 og 2017

Norsox. Dokumentets to deler

Retningslinje for risikostyring for informasjonssikkerhet

Styring og intern kontroll.

Sykehuset Innlandet HF Presentasjon av interimsrevisjon November 2013

Kragerø Revisjon AS 1

Hvordan gjennomføre og dokumentere risikovurderingen i en mindre bank

Internkontroll i Gjerdrum kommune


BDO AS Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Uavhengig revisors beretning Til generalforsamlingen i Global Infrastruktur 2007 AS Uttalelse om

Tiltaksplan for oppfølging av revisjonsrapport om systemforvaltning i Pasientreiser ANS

ISO Syscom brukerforum 2013 Jørn Erik Hornseth og Torbjørn Remmen

Forvaltningsrevisjon Bergen kommune Internkontroll i resultatenheter. Prosjektplan/engagement letter

Foretakets navn : Dato: Underskrift :

Regnskap Styrets årsberetning Resultatregnskap og balanse Kontantstrømoppstilling Noter til årsregnskapet Revisjonsberetning


NKRF Årsmøte 2009 Revisors vurdering av internkontroll

INNKALLING TIL ORDINÆR GENERALFORSAMLING Verdal Boligselskap AS.

Til årsmøtet i Compassion Norge Uavhengig revisors beretning Uttalelse om revisjon av årsregnskapet Vi har revidert Compassion Norges årsregnskap som

Egenevalueringsskjema

Revisjonsberetning. Revisjonsberetningen inneholder følgende grunnelementer: Normalberetning

Borettslaget Kråkeneset


Intern kontroll i finansiell rapportering

Presentasjon for styret Helse Midt-Norge RHF. 25. april 2013

Statsautoriserte revisorer Ernst & Young AS Sjøgata 1, NO-8006 Bodø Postboks 674, NO-8001 Bodø Foretaksregisteret: NO MVA Tlf:

Internrevisjon og intern kontroll i statlige virksomheter

Bokføringsloven. Transaksjonsdata og faste opplysninger. Er data som forventet? Kontroller i IT-systemer. Bokføringen styres av kravet til

Årsrapport Styrets beretning og regnskap Trondheim Havn IKS


Gjelder fra: Godkjent av: Camilla Bjørn

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

Innhold. Forord Innledning og sammendrag Innledning Sammendrag 13

RS 200 Formål og generelle prinsipper for revisjon av regnskap

Sykehuset Telemark HF Revisjonsplan 2012 og oppsummering interim November 2012

Sensorveiledning praktisk prøve 2010

Praktisk it-revisjon for regnskapsrevisor i regnskapsbekreftelsen

God statlig/kommunal/ offentlig revisjonsskikk. Unn Helen Aarvold, Oslo kommune, Kommunerevisjonen Jens Gunvaldsen, Riksrevisjonen

Nye revisjonsstandarder. NKRF fagkonferanse juni

HELSE VEST OPPSUMMERING AV REVISJONEN FOR 2017 HAUGESUND,

NKRFs Fagkonferanse 2017 Hvordan følger vi opp kvalitetskontrollen?

SENSORVEILEDNING TIL

Personopplysningsforskriften kapittel 2 og 3 - ISO/IEC 27001


Vår referanse 2017/ FORSVARSDEPARTEMENTET Org. nr.: Riksrevisjonens beretning Til Forsvarsdepartementet Uttalelse om revisjonen av å

IT-revisjon MILICA COROVIC IDA KRISTINE OTTOSEN VEILEDER. Universitetet i Agder, 2017

Forvaltningsrevisjon IKT sikkerhet og drift 2017

Mislighetsrevisjon Sykehuset Innlandet HF

Spørsmålsliste for enkeltoppdrag. Revisors kontrollnummer:... Klientidentifikasjon (ikke navn)...

ISA 315 (revidert) Identifisering og vurdering av risikoene for vesentlig feilinformasjon gjennom forståelse av enheten og dens omgivelser

Hvordan styre informasjonssikkerhet i et dynamisk trusselbilde? Tommy Molnes Security Manager Digital Sikkerhet AS

Riksrevisjonen vil derfor oppfordre til at revisjonsberetningen publiseres sammen med årsregnskapet.

Sammenligning av ledelsesstandarder for risiko


Til generalforsamlingen i Fredheim Borettslag UAVHENGIG REVISORS BERETNING 2018 Uttalelse om revisjonen av årsregnskapet Konklusjon Vi har revidert Fr

Integrering av IT i virksomhetens helhetlige risikostyring

Internasjonale standarder for revisjon



Tlf : Fax: Munkedamsveien 45 Postboks 1704 Vika 0121 Oslo Til sameiermøtet i Sameiet Siriskjeret 4-6 Revisors beret

God kommunal revisjonsskikk NKRF Fagkonferanse

Transkript:

IT-risikoer og kontroller Hunton, J.E. kap 3 1 Prosessen risikostyring av IT Identifisere IT-risiko Identifisere (intern-)kontroller for hver risiko Dokumentere interkontrollen 2 IT-risikoer Forretningsrisiko Revisjonsrisiko Sikkerhetsrisiko Kontinuitetsrisko ( beslektet med Fortsatt drift risiko ) 3 1

Forretningsrisiko IT-relatert forretningsrisiko risiko for ikke å nå forretningsmessige mål IT i primær verdikjede IT som støttefunksjon Styres ved identifikasjon av risiko kartleggingsmetoder? risikovurdering identifikasjon av relevant kontroll en-til-en sammenheng r::k? dokumentasjon av kontroller 4 Revisjonsrisiko Eksternrevisors feilaktige attestasjon av regnskapet IT-revisors manglende avdekking av vesentlige feil i IT-systemets funksjon eller resultater mislighet eller andre forhold som strider mot lov eller bedriftens regler Hva med manglende avdekking av lav effektivitet? (RR =Iboende R * Kontroll R * Oppdagelses 5R) Sikkerhetsrisiko Konfidensialitet integritet FNP og i tide autorisert prosess (andre integritetsbegreper?) tilgjengelighet Hvordan måle og dokumentere disse tre? Revisjonsbevis med ulik kvalitet 6 2

Continuity Risk Avbruddsfri drift Tilgjengelighet feil Overbelastning Denial-of-service attacks kapasitet Sikkerhetskopier, reserveløsninger, etc 7 IT-risiko: En mulig modell for trusselvurdering 1. Identifisere trusler Sikkerhetsdimensjonene Konfidensialitet Tilgjengelighet ge g e Integritet I tide (ajourhold) Nøyaktighet Infrasturktur 2. Bestem sårbarheten for trusselen 3. Fastsett akseptabelt risikonivå 8 Måling av risiko (For å begrense revisjonsomfang og revidere målrettet og kostnadseffektivt) Risikoindikator = svikt i (oppfyllelsen av) et kontrollmål Kontrollmål: fra rammen gitt i revisjonsmetodikken ISACA Audit Procedure #1: IS Risk Assessment Measurement vektet rangerings- og skår-variabler Eks på måling: Hunton et.al.: Are Financial Auditors overconfident in 9 Their Ability to Assess Risk.. 3

Aktuelle rammeverk for risikostyring Kontroller tilordnes risikoer Kontrollmodeller for IK COSO - 5 komponenter kontrollmiljø, risikovurdering, kontrolltiltak, IKTsystemet, overvåkning CoCo, Cadbury ISO (ISO 9000, ISO 17799) SAS 55, SAS 78, SAS94, SAS95 ISA 315 Cobit Trust services Virksomhetsstyring (Sox, Jaap Winthers, børsanbefaling) 10 Måling og dokumentasjon (=Revisjonbevis) Grafisk Databaseskjema, metadata Formelle beskrivelses-språk (UML) Selvvurdering/spørreskjema (self assessment) Overvåkning / uavhengig bekreftelse 11 It-risiko og ÅR Risiko for feil i regnskapet manglende ajourhold prosedyrefeil (f.eks. manglende sikkkerhetskopi) Kontrollsporsvikt (bevis for regnskapspåstand) 12 4

ISA315 Revisors behov Identifisere og vurdere rikiko for vesentlig feilinformasjon i regnskapet Datagrunnlag for risikovurderingshandlinger Abidf Arbeidsform: revisjonsteamet ij Forutsetninger for foretakets resultatmåling Særskilt risiko Mislighet Systemendring herunder regnskapsstandardendringer Dokumentasjon av revisors arbeid 13 ISA315.3 Revisors mål Forstå foretaket for å vurdere risiko for feil i regnskapet Forstå enheten (klienten) Identifisere risiko Anslå risiko Feil, mislighet På regnskapsniå På (regnskaps-)påstandsnivå 14 ISA315.12 Forståelse av IK (men A68 forståelse er ikke nok) A47. Ledelsens manipulering av IK Overstyring av systembaserte gyldighetskontroller A51.c ITs virkning på IK gjennom rapportering A53 Manuelle (og automatiserte) elementer i IK A54 Manuelle og automatiserte IK-elementers virkning på Transaksjoner (initiering, registrering, behandling og rapportering) A51. IT bedrer IK A56. IT innebærer spesifikk risiko Programfeil Uautorisert tilgang til data og programmer Manglende vedlikehold av systemer A59. Risiko påvirkes av systemets art og karakteristika. Utforming og topologi: Sanntid, nettverk, internetttilkoblet,... 15 5

ISA315.13 Relevante kontroller (ikke alle er r., jf A89) Revisors forståelse av Kontroller som er relevante for revisjonen Er kontrollen effektive og iverksatt? A66. Vesentlig feilinformasjon. Effektivt Forebygge Avdekke og korrigere. Kontrollen skal designes til å være effektiv, dernest være iverksatt 16 ISA315.18 Forstå RIS (jf ISA315 Vedl1.1-7) Informasjonssystemets deler A81. Prosedyrer for økonomisk rapportering som fører til årsregnskapet: Initiere Registrere Bh Behandle Rapportere Vesentlige transaksjonsklasser Tilknyttet regnskapsmateriale Tabellene (A81) Hendelser som ikke er transaksjoner Prosesser som produserer regnskapsmateriale Kontroller knyttet til transaksjoner 17 ISA 315.18 A82. overveltning (fra forsystem til hovedbok) A82. standardposteringer A83. ikke-standard d posteringer A84. forretningsprosesser resulterer i transaksjoner til informasjonssystmet 18 6

Eks. standard post: varesalg Pakkseddel VARER Fakturatrans POSTER D/kunde K/salgskonto D/Solgte varers kost K/varelager Aktuelle kontroller? 19 Håndtering av feil Manglende fullstendighet og nøyaktighet Kontroll over feilene Omfang og tid Evt overstyring og omgåelse av en kontroll Tre standardprosedyrer Forkaste transaksjonen Tilbakesending til tidligere rutinepunkt Delvis regnskapsregistrering (observasjonskonto) 20 ISA315.20 Kontrollaktiviteter Som revisor mener er nødvendige for å Vurdere risiko for vesentlige feil på påstandsnivå og utforme videre revisjonshandlinger Dvs aktiviteter som er relevante for revisjonen (A89) A88. Kontrollaktiviteter Autorisasjon, gjennomgang av resultater, arbeidsdeling 21 7

ISA315.A95-97 Klientens håndtering av IT-risiko A95. Effektiv kontroll Transaksjonenes integritet og sikkerhet (?) A96. Generelle kontroller A97. Applikasjonskontroller 22 Overvåkning av kontroller ISA315.22,.A98, ISA315 vedl 1.11-13 Hvilke kontroller baserer selskapet og revisor sine vurderinger på? A89 Har kontrollen fungert i hele perioden? Hvordan bevise det? Er punktmåling tilstrekkelig? Vedlegg 1.11: er kontrollen iverksatt? Til rett tid Nøyaktig kontroll 23 ISA315.4 (e) Særskilte risikoer Blant identifiserte risikoer De som krever spesiell revisjonsmessig vurdering g( (.27-.29,.A.119-126) Sannsynlighet Konsekvens ISA315.18(f). vesentlige og ikkerutinemessige transaksjoner 24 8

ISA315.30 Test av kontroller når substanskontroll ikke er effektivt A.127 unøyaktig / ufullstendig behandling Rutinesvakheter Bortfall av trans ved programfeil Select if bilagstype=14 Select if bilagstype=15 Hva skjer hvis det kommer en annen bilagstype enn 14 eller 15? A.128 Automatiserte forretningstransaksjoner Revisjonsbevis (trans) kun elektronisk lagret Risiko for at trans fjernes, endres Kontroller for å sikre integritet 25 Risiko ved å ta IT i bruk JH kap 4 26 Anbefalinger om organisering (Cobit PO Planlegning og organisering) Strategisk plan Infoarkitektur Teknologisk retning / selskapets behov Optimal organisering Riktig forvaltning av IT Kommunisere og iverksette IT-policy Personalledelse Regeletterlevelse Iverksette risikostyring Prosjektstyring, metodisk anskaffelse og utvikling Kvalitetsstyring av IT 27 9

Policyområder Planleggingspolicy ansvar, tid, hvordan, dokumenterte resulatater, prioritering Organisasjonspolicy struktur, risiko Personalpolitikk opplæring, forfremmelser, slutteproseyrer Programvare/maskinvarepolicy anskaffelse, standarder, endringer, implementering Nettverk Sikkerhet testing, tilgang, overvåkning, brannvegger, reaksjoner ved brudd Drift organisering, ansvar, inndata, behandlingsformer, feilhåndtering Avbruddsfri drift Økonomisk styring 28 Prosjektstyring Dekke behov (mål) Beskrankninger Tid, kostnad, regler, ressurstilgang og kompetanse Faser prosjektplan, detaljert tid og ressursplan, oppfølgning av planen (måling), styring (gjenvinne kontroll), formell prosjektslutt 29 Pragramvareanskaffelse Strategisk riktig SDLC-fasene behov logisk løsning fysisk realisering Implementeridg (drift) (avvikling) Enkelte detaljer Livstidskostnad Akternative løsninger Risikoer ikke-metodisk arbeid manglende prosjekt- og domene-erfaring tilfeldig og smal faktainnsamling avvik i mål, tid, kostnad 30 10

Enkelte andre momenter ved SU Manglende rutineendring ved endret datasystem(business Process Reengineering) Skille mellom utvikling, test og drift (tilgangskontroll) programbibliotek og databaser Innebygge sikkerhet i alle systemkomponenter Konverteringstilpasning Gamle dataformater overføres Manglende dataverdier(egenskaper) når objekt overføres Testing før implementering enhetstest, modultest, test av hele systemet, belastningstest 31 Opplæring og dokumentasjon Endring av applikasjoner Endring vs nyutvikling Spm om definisjon av ny Vedlikehold / feilretting vs prosjekter / nyutvikling Styrte t endringer Behov, beslutning, utvikling, test, implementering Versjonsstyring Planlegging av implementering Dataformat-konvertering Kontrollspor 32 Utførelse av IT-revisjonen JH kap 9 33 11

ISACAs revisjonssyklus og ISAE3000 standarder for attestasjonsoppdrag som ikke er revisjon eller begrenset revisorkontroll Planlegging Risikovurdering Utarbeide revisjonsprogram Bevisinnsamling Konkludere Avgi revisjonsberetning Oppfølgning Effektiv utførelse av oppdraget (jf. ISA300.4 Måleffektiv, jf COSO Effectiveness, Efficiency ) Vurdere vesentlighet og redusere risiko til akseptabelt nivå Tilstrekkelige og hensiktsmessige bevis Attestasjonsuttalelse ISAE3000.3: Praktiserende finansielle revisorer må innordne sin bruk av ISACA std etter ISAE3000 34 Planlegning Revisjonens omfang (Scope) Hva som skal gjøres er avhengig av oppdraget F. eks. applikasjonsgjennomgang, gjennomføre (Cobit- )kontroller, vurdere generelle kontroller, osv. Vesentlighet Finansielle transaksjoner Ikke-finansielle transaksjoner Systemkostnad, kritikalitet, omstillingsevne,...? Tredjepartsdrift Uttalelser fra serviceorg revisor (ISA402) 35 Risikovurdering IT-risikoer ved drift Vesentlighet og kritikalitet Selvvurdering av internkontrollen 36 12

Revisjonsprogrammet ihht ISACA (jf. ISA300 ) Revisjonsomfang (Scope) Revisjonsmål Revisjonshandlingene Planlegging og rapportering av revisjonen 37 Bevisinnsamling Observere driften Undersøke spor (logger) Endring, tilgang, autoriseringstabeller Systemdokumentasjon Analyseprogrammer i ACL, IDEA e.l. Utvalgstesting 38 Konkludere Er revisjonsmålene nådd Var revisjonshandlingene tilfredsstillende Rapportering til oppdragsgiver Dilemma: Kontrollrapport negative avvik Endringsagent 39 13

Beretning / rapport Ingen legalkrav, men ISACA anbefaler (jf. ISAe3000.49) Organisasjonsnavn Tittel, signatur, dato Revisjonsmål: hvilke og resultat Revisjonsomfang og begrensning i revisjonsomfang Målgruppe for rapporten Standarder som revisjonen har fulgt Detaljert beskrivelse av vesentlige funn Delkonklusjoner Forslag til forbedringer og rettelser Relevante hendelser etter avslutningen av revisjonen 40 Oppfølgning Diskutere med den reviderte om endringer og korreksjoner Følge opp Etter en fastsatt tid, eller I neste revisjonssyklus 41 SAS94 ITs virkning for IK (se også JH fig 3-5) SAS94 er amerikanske standard, men Kan gi typiske momenter for revisjonen Må sammenholdes med ISA315 og ISAE3000 Test av kontroller må utføres ISA315.30 (jf A127-128) Test av kontroller, ikke bare substanskontroll ISA315V1.9(2 pkt) Transaksjonsflyten ISA315.82-83 Behandling av std og ikke-std transaksjoner 42 14

Hovedelementer i en SAS94-revisjon Fysisk system og miljø Systemadministrasjon (OS, DBMS, rot- passord) Gjennomgang av applikasjoner Nettverkssikkerhet Avbruddsfri drift, tilgjengelighet Vurdering av dataintegritet 43 15

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding