Revisjon av IT i finanssektoren Gaute Brynildsen Past President ISACA Norway Chapter Revisjonsleder IT og Operations, Konsernrevisjonen DNB
Agenda Litt om meg Eksempler på informasjonskilder som hjelpe oss Revisjon av IT området Eksempler på noen få tema
Gaute Brynildsen ISACA Norway Chapter styreverv siden 2007 Programkomite, Vise President, President og nå Past President DNB Konsernrevisjonen siden 2006 IT-revisjon. Revisjonsleder med hovedprosessansvar for IT området. Relevante sertifiseringer: CISA (Certified Information Systems Auditor) CRISC (Certified in Risk and Information Systems Control) GSNA (GIAC Systems and Network Auditor)(GIAC=global information assurance certification) CIA (Certified Internal Auditor)
IKT-Forskriften (Grunnmuren ITGC) Forskrift om bruk av informasjons- og kommunikasjonsteknologi (IKT) 1. Virkeområde 2. Planlegging og organisering 3. Risikoanalyse 4. Kvalitet 5. Sikkerhet 6. Utvikling og anskaffelse 7. Systemvedlikehold 8. Drift 9. Avviks- og endringshåndtering 10. Krav til kontinuitet 11. Driftsavbrudd og katastrofeberedskap 12. Utkontraktering 13. Dokumentasjon 14. Dispensasjon 15. Ikrafttredelse Veiledning fra 2003 Også andre lover, forskrifter og bransjekrav som treffer IT
COBIT 5 Principles Source: COBIT 5, figure 2. 2012 ISACA 5 All rights reserved.
COBIT 5 Enablers Source: COBIT 5, figure 12. 2012 ISACA All rights reserved. 6
COBIT 5 som utgangspunkt for planlegging God praksis for IT-styring (COSO for IT)
COBIT 5: Domains and Processes Processes for governance of IT Evaluate, Direct and Monitor (EDM) EDM01: Ensure governance framework settings and maintenance EDM02: Ensure benefits delivery EDM03: Ensure risk optimisation EDM04: Ensure resource optimisation EDM05: Ensure stakeholder transparency Align, Plan and Organise (APO) AP001: Manage the IT management framework APO08: Manage relationships APO02: Manage strategy APO09: Manage Service Agreements APO03: Manage Enterprise Architecture APO10: Manage suppliers APO04: Manage Innovation APO11: Manage quality APO05: Manage portfolio APO12: Manage risk APO06: Manage budget and costs APO13: Manage security APO07: Manage human resources Monitor, Evaluate and Assess MEA01: Monitor, evaluate and assess performance and conformance Build, Aquire and Implement (BAI) BAI01: Manage Programmes and Projects BAI08: Manage knowledge BAI02: Manage requirements definition BAI09: Manage assets BAI03: Manage solutions identification and build BAI10: Manage configuration BAI04: Manage availability and capacity BAI05: Manage organisational change enablement BAI06: Manage changes BAI07: Manage change acceptance and transitioning MEA02: Monitor, evaluate and assess the systems of internal control Deliver, Service and Support (DSS) DSS01: Manage operations DSS02: Manage service requests and incidents DSS03: Manage problems DSS04: Manage continuity DSS05: Manage security services DSS06: Manage business process controls MEA03: Monitor, evaluate and assess compliance with external requirements Processes for management of enterprise IT 8
COBIT 5 Rammeverket er gratis. Bli medlem i ISACA for tilgang til flere verktøy. COBIT toolkit vurder om de rette kontrollene er på plass. Tilgjengelig i andre kvartal: COBIT 5 for Assurance
Finanstilsynets verktøykasse IT-tilsyn Risiko- og sårbarhetsanalyse (ROS) Veiledning risikoanalyse Egenevalueringer: Egenevaluering Business Continuity (pdf) Egenevaluering prosjekthåndtering (pdf) Egenevaluering brannmur (pdf) Egenevaluering change, release, configuration (pdf) Egenevaluering endepunktsikkerhet (pdf) Egenevaluering filialer (pdf) Egenevaluering katastrofeberedskap (pdf) Egenevaluering nettbank (pdf) Egenevaluering operasjonell risiko (pdf) Egenevaluering operasjonell risiko (forenklet) (pdf) Egenevaluering overvåkingssystemer mot hvitvasking (pdf) Egenevaluering service desk, incident, problem (pdf) Egenevaluering service level management (pdf) Egenevaluering systemer for betalingstjenester (pdf)
SANS : Twenty Critical Security Controls for Effective Cyber Defense Critical Control 1: Inventory of Authorized and Unauthorized Devices Critical Control 2: Inventory of Authorized and Unauthorized Software Critical Control 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Workstations, and Servers Critical Control 4: Continuous Vulnerability Assessment and Remediation Critical Control 5: Malware Defenses Critical Control 6: Application Software Security Critical Control 7: Wireless Device Control Critical Control 8: Data Recovery Capability Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services Critical Control 12: Controlled Use of Administrative Privileges Critical Control 13: Boundary Defense Critical Control 14: Maintenance, Monitoring, and Analysis of Audit Logs Critical Control 15: Controlled Access Based on the Need to Know Critical Control 16: Account Monitoring and Control Critical Control 17: Data Loss Prevention Critical Control 18: Incident Response and Management Critical Control 19: Secure Network Engineering Critical Control 20: Penetration Tests and Red Team Exercises Link
PCI DSS 1 Install and maintain a firewall configuration to protect cardholder data. 2 Do not use vendor-supplied defaults for system passwords and other security parameters. 3 Protect stored cardholder data. 4 Encrypt transmission of cardholder data across open, public networks. 5 Use and regularly update anti-virus software. 6 Develop and maintain secure systems and applications. 7 Restrict access to cardholder data by business need to know. 8 Assign a unique ID to each person with computer access. 9 Restrict physical access to cardholder data. 10 Track and monitor all access to network resources and cardholder data. 11 Regularly test security systems and processes. 12 Maintain a policy that addresses information security. Link
IIA GTAG Global Technology Audit Guides GTAG 17: Auditing IT Governance July 2012 GTAG 16: Data Analysis Technologies August 2011 GTAG 15: Information Security Governance June 2010 GTAG 14: Auditing User-developed Applications June 2010 GTAG 13: Fraud Prevention and Detection in an Automated World December 2009 GTAG 12: Auditing IT Projects March 2009 GTAG 11: Developing the IT Audit Plan January 2009 GTAG 10: Business Continuity Management January 2009 GTAG 9: Identity and Access Management January 2009 GTAG 8: Auditing Application Controls January 2009 GTAG 7: Information Technology Outsourcing, 2nd Edition June 2012 GTAG 6: Managing and Auditing IT Vulnerabilities Update Coming Soon GTAG 5: Managing and Auditing Privacy Risks (replaced by Auditing Privacy Risks, 2nd Edition Practice Guide) July 2012 GTAG 4: Management of IT Auditing Update Coming Soon GTAG 3: Continuous Auditing: Implications for Assurance, Monitoring, and Risk Assessment Update Coming Soon GTAG 2: Change and Patch Management Controls: Critical for Organizational Success, 2nd Edition March 2012 GTAG 1: Information Technology Risk and Controls, 2nd Edition March 2012 Link
ISACA IT Audit and Assurance Guidance Utdrag revisjonsprogram: Information Security Management Audit/Assurance Program (Aug 2010) IPv6 Security Audit/Assurance Program (Feb 2012) IT Continuity Planning Audit/Assurance Program (Jan 2009) IT Risk Management Audit/Assurance Program (Jan 2012) IT Strategic Management Audit/Assurance Program (Dec 2011) IT Tactical Management Audit/Assurance Program (Nov 2011) Lotus Domino ServerAudit/Assurance Program (Nov 2011) Microsoft Exchange Server 2010 Audit/Assurance Program (Sep 2011) Microsoft Internet Information Services (IIS) 7.x Web Services Server Audit/Assurance Program (Feb 2011) Microsoft SharePoint 2010 Audit/Assurance Program (Oct 2011) Microsoft SQL Server Database Audit Assurance Program (July 2011) Microsoft Windows File Server Audit/Assurance Program (Sep 2011) Mobile Computing Security Audit/Assurance Program (Oct 2010)
Internrevisjon innen finanssektoren skal inkludere applikasjonskontroller og IT området.
Hvem eier dataene og systemene? Hvem setter kravene og følger de opp? Ligger det en operasjonell risiko i uklare krav til IT systemene og IT leverandørene?
IT-leverandører Er det nok å basere seg på en standard ISAE 3402 uttalelse? Hva dekker den? Operasjonell risiko for selskapet?
Kombinert risikovurdering Verdi Overordnet forståelse av IT-miljøet Forstå IT relatert forretningsrisiko Forståelser av overordnet IT-miljø IT- Miljø Forretningsrisiko Regnskapsrisiko Applikasjonskontroller IT Generelle kontroller
Overordnet forståelse av IT-miljøet (forts) Overordnet kartlegging av IT-prosessene Den metodiske tilnærmingen er en vurdering av fire områder. Disse er i samsvar med CobiT: Planlegging og organisering av IT-miljøet Anskaffelse og implementering av ITløsninger Drift og support av IT-miljøet Overvåkning og evaluering av IT-prosessene Group Level Verdi Planning & Organization Entity Level Controls Resultatet av gjennomgangen vil være en beskrivelse av ITprosessenes bidrag til at virksomheten når sine mål I tillegg vil det være fokus på om det er etablert tilstrekkelige kontroller for å sikre en forsvarlig internkontroll IT General Controls Acquisition, Implementation and Maintenance of IT Solutions Delivery & Support of IT Solutions Monitoring IT Solutions Entity Level Controls Application Level System Development Life Cycle Change Control Computer Operations Physical/ Logical Security
IT generelle kontroller (ITGC) For hvilke systemer skal vi gjennomgå ITGC? Det må være en knytning mellom vesentlige prosesser/ transaksjonsklasser og applikasjon Det må være en knytning mellom kontroller i vesentlige prosesser/ transaksjonsklasser og applikasjon Applikasjonskontroller IT-avhengig kontroller Elektroniske revisjonsbevis må være knyttet til applikasjonen Rapporter, Grunnlag, Kalkulasjoner etc. I tillegg til selve applikasjonslaget må vi dekke ITGC i infrastrukturen: Database Operativsystem Nettverk/ekstern tilgang
IT generelle kontroller (ITGC) Hva vurderes? Programendringskontroller og tilgangskontroller bør ALLTID vurderes Programendringskontroller Endringer er godkjent (før bestilling) Endringer er testet (testdokumentasjon foreligger) Endringer er autorisert (før produksjonssetting) Arbeidsdeling innen endringsmiljøet Mellom de som utvikler og produksjonssetter Mellom de som produksjonssetter og de som bruker systemet Endringer blir overvåket Tilgangskontroller Tilgang til operativsystem og databaser er begrenset til kun autorisert personell med tjenestelig behov Generelle sikkerhetskrav er tilfredsstillende i henhold til ledende praksis Passordoppsett er tilfredsstillende i henhold til ledende praksis Privilegerte brukere/administratorer er begrenset til kun autorisert personell med tjenestelig behov Fysisk sikkerhet til server rom er begrenset til kun autorisert personell Brukeradministrasjon er autorisert og tilstrekkelig etablert for Tildeling, endring og sletting av tilganger Arbeidsdeling innen miljøet for brukeradministrasjon Mellom de som bestiller og godkjenner tilganger og de som fysisk tildeler tilgang Mellom kritiske funksjoner i systemet Brukeradministrasjonsprosessen blir overvåket
Evaluering av IT generelle kontroller (ITGC) Evaluere påvirkning fra ITGC per applikasjonskontroll eller IT avhengig kontroll Gjør aggregert vurdering av om ITGC er med å supportere eller ikke supportere hver enkelt applikasjonskontroll/it-avhengig manuell kontroll Hvis vi konkluderer med Support til tross for ineffektive ITGCkategorier må vi dokumentere hvorfor Har vi utført substanstester som gjør at vi likevel kan stole på den enkelte kontroll, f.eks. detaljtester av hvem som har tilgang til applikasjonen eller gjennomgang av logger Har vi testet applikasjonskontroller/it-avhengige kontroller direkte? Det er viktig å kommunisere konsekvenser for revisjon/ gjenværende risiko hvis vi konkluderer med ikke support Hva må gjøres i tillegg for å redusere gjenværende risiko til et akseptabelt nivå?
Applikasjonskontroller og IT-avhengige kontroller (programmerte kontroller) Programmerte kontroller vil være avhengige av kvaliteten på: Utvikling og endring av systemer (programendringskontroller) Tilgang til data og programmer (tilgangskontroller) Drift av systemer og kontroll med grensesnitt Applikasjonskontrollene skal dekke følgende forhold: fullstendighet av inndata nøyaktighet og gyldighet av inndata arbeidsdeling (autorisasjoner) fullstendig og nøyaktig behandling integriteten til faste data fullstendighet av utdata nøyaktighet av utdata
Hva gjør vi hvis ITGC = ineffektive? En hierarkisk tilnærmelse hvis ITGC kategori er vurdert som ineffektiv Tilnærming Beskrivelse Mulig resultat i) Identifisere og teste kompenserende kontroller ii) Utføre andre substantive handlinger på ITGC Identifisere og teste andre ITGC eller ITGC svakheter resulterer ikke i manuelle kontroller som tilstrekkelig ineffektive konklusjon eller i en not reduserer risikoen som er knyttet til den support konklusjon for den aggregerte eller de ineffektive ITGC til et vurderingen. akseptabelt nivå. Utføre andre testhandlinger for å tilstrekkelig sikre at risikoen ved en ineffektiv ITGC ikke har inntruffet. ITGC vurderes ineffektivt eller aggregert ITGC vurderes til not support, men testhandlingene (eks. verifisering av alle tilganger) bidrar allikevel til at vi kan bygge på applikasjonskontroll eller ITavhengig kontroll. iii) Utføre direkte testing av applikasjons- eller ITavhengig kontroll Teste applikasjonskontrollen eller ITavhengig kontrollen gjennom hele regnskapsåret for å tilstrekkelig sikre at kontrollen har fungert effektivt I hele perioden. ITGC vurderes ineffektivt eller aggregert ITGC vurderes til not support, men direkte testhandlingene av selve applikasjonskontrollen eller IT-avhengige kontrollen bidrar til effektiv vurdering. iv) Maksmium kontrollrisiko Sette kontrollrisiko til maks og vurdere effekten dette vil få på vår kombinerte risikovurdering Endre og vurdere substantiv kontroller som kan foretas.
Applikasjonskontroller overordnet beskrivelse av testing Applikasjonskontroll er en automatisert kontroll som er programmert inn i systemet for å utføre samme handling om og om igjen. Disse kontrollene kan være hard-kodet eller konfigurerbare. For eksempel kan det være definerte toleransegrenser i systemet for innkjøp som må godkjennes av overordnet. Dersom en uautorisert person forsøker å sende en ordre med beløp over toleransegrensen vil applikasjonskontrollen forhindre dette samt sende bruker en feilmelding. For å teste applikasjonskontrollen vil vi foreta følgende: 1. Innhente dokumentasjon på definert applikasjonskontrollen i systemet (eks. tabeller som viser definerte toleransegrenser, samt programkode som viser at kontrollen er aktivert) 2. Foreta en negativ testing av applikasjonskontrollen ved å forsøke å provosere frem feilmeldingen og sikre at bruker ikke kan få sendt ordren.
Applikasjonskontroller Klasse Preventive kontroller Oppdagen de kontroller Manuelle kontroller Dokumentasjon Manuell godkjennelse av aktiviteter Kontroller gjennomført av enkeltpersoner ved innregistrering Kontroller av maskinproduserte avstemmingskonti Systemproduserte logger for etterkontroll Systemproduserte rapporter for kontroll og avstemming Programmerte kontroller Sjekk av doble forekomster Kontroll totaler Godkjennelseshierarkier Konfigurasjonsoppsatte datokontroller Automatiske kalkulasjoner Automatisk systemlogging Toleransegrenser Sperrer for akseptanse av ufullstendige aktiviteter
Applikasjonskontroller fullstendighet av input Kontroll med oppsett av tabeller og parameter ved implementering og endringer Bunketotaler (batch) Programmert kontroll av tett nr.serie/sekvensnummer Programmert sammenligning av input mot forhåndsdefinerte data (eks. lovlige verdier) Kontroller etablert i applikasjon som genererer input til annen applikasjon (avhengighetskontroller) Avvisning av ikke godkjente poster Kontroll av dataformat (dato, numerisk, tekst) Rimelighetskontroller (innenfor bestemte intervaller) Verifikasjon av felt gjennom dobbeltregistrering
Applikasjonskontroller integritet av data Begrensning av adgangen til dataregister Logg (hvem, når, hva ble endret, historisk verdi) Detaljert kontroll av data i registeret
Applikasjonskontroller fullstendighet av utdata Testing ved implementering og endringer Manuell avstemming av godkjente linjer Opprettelse av kontroll totaler for godkjente linjer Bygge på kontroller i applikasjon som data er overført fra On-line sekvenssjekk Unntaksrapportering Gjennomgang av rapporters oppbygning
Spørsmål?