Nach oft spannenden Workshops, teils hitzigen Diskussionen, unzähligen Stunden Fronarbeit sowie auch einigen kritischen Stellungnahmen wurde kürzlich die neue Praxishilfe «Generelle IT-Kontrollen» von EXPERTsuisse veröffentlicht.
Viele Leser werden sich wohl fragen, ob wir jetzt nach NIST SP 800-53, ISO/IEC 27002, ISAE3000 oder ISAE3402, SOC 2, PCI DSS, HIPAA, DORA usw. wirklich einen neuen Set von (Sicherheits-) Massnahmen resp. Kontrollen benötigen, zumal für uns Prüfende generelle IT-Kontrollen eigentlich nichts Neues sind – es gab sie schon (fast) immer.
Die «alte», von den Finanzprüfern in den letzten Jahrzehnten verwendete Liste der generellen IT-Kontrollen wurde aber nie an Veränderungen im Informatik-Umfeld angepasst, so dass sich eine Überarbeitung schon seit längerem aufdrängte.
EXPERTsuisse zeigt in dieser neuen Praxishilfe typische generelle IT-Kontrollen für finanzrelevante IKT-Infrastrukturen, Anwendungen und Daten auf (IKT = Informations- und Kommunikationstechnologie). Das Dokument deckt diejenigen generellen IT-Kontrollen ab, die im Rahmen einer Abschlussprüfung nach den Prüfungsstandards (PS) resp. nach dem HWP (Schweizer Handbuch der Wirtschaftsprüfung, Band «Ordentliche Revision») minimal vorhanden sein sollten, geht aber in einzelnen Aspekten auch darüber hinaus resp. präzisiert die Kontrollen. Damit wird den Berufsangehörigen und anderen Stellen zu dieser komplexen Thematik eine Hilfestellung geboten.
Heutzutage werden in vielen Unternehmungen finanzrelevante IKT-Infrastrukturen, Anwen-dungen und Daten teilweise oder vollständig zu einem dedizierten Provider oder «in die Cloud» ausgelagert. Bei dedizierten IT-Providern sind meist entsprechende Attestierungen ihrer generellen IT-Kontrollen z.B. in der Form eines ISAE3402- oder SOC2-Berichtes verfügbar – im Falle von Auslagerungen in die Cloud kann es jedoch schwierig werden, herauszufinden, wo genau die Verarbeitungen der finanzrelevanten Anwendungen und Daten stattfinden und ob dafür entsprechende generelle IT-Kontrollen implementiert und wirksam sind. Auf diesen Aspekt der Cloud-Auslagerungen wird aber im Rahmen dieser Praxishilfe nicht näher eingegangen.
Das interne Kontrollsystem (IKS) – eine kurze Einführung
Ein Unternehmen muss alle notwendigen technischen und organisatorischen Massnahmen implementieren, um die Sicherheit und Ordnungsmässigkeit der Geschäftsprozesse zu gewährleisten. Dies bedingt, dass Fehler, Störungen und andere unerwünschte Ereignisse verhindert oder möglichst frühzeitig entdeckt und korrigiert werden, damit die Prozesse wie geplant ablaufen. Diese – meist in den betrieblichen Praxisprozess integrierten – Kontrollen (Massnahmen) werden als Internes Kontrollsystem (IKS) bezeichnet.
Ein IKS kann sehr umfangreich werden – aus Optik der Abschlussprüfung relevant sind jedoch vorwiegend einzelne Schüssel-Kontrollen mit direktem Bezug zu finanzrelevanten Anwendungen, Prozessen und Daten. Im Rahmen der Abschlussprüfung muss der Prüfer ein hinreichendes Verständnis dieses finanzrelevanten IKS erlangen, um seine Prüfung planen und durchführen zu können – letztlich mit dem Ziel, die Ordnungsmässigkeit der Rechnungslegung bestätigen zu können.
Definition
Kontrollen sollen die ordnungsmässige Verarbeitung gewährleisten und den Nachweis der Richtigkeit der Ergebnisse erbringen. Sie stellen z.B. sicher, dass
- eine vollständige, richtige und kontinuierliche Verarbeitung gewährleistet ist;
- Informationen und Anwendungen vor Verlust, Verfälschung oder unberechtigtem Zugriff geschützt sind;
- Fehler und andere unerwünschte Ereignisse möglichst verhindert, frühzeitig entdeckt und durch ein ordentliches (vordefiniertes und systematisches) Verfahren behoben werden können;
- die Verarbeitung trotz aufgetretener Fehler abgewickelt werden kann und
- gesetzliche und regulatorische Vorgaben sowie betriebliche Grundsätze, Weisungen oder Auflagen eingehalten werden.
Generelle IT-Kontrollen
Praktisch jede finanzrelevante Anwendung ist heutzutage in einem IKT-Umfeld eingebettet, läuft auf einer IKT-Infrastruktur und verarbeitet entsprechende Daten. Der Einsatz der IKT hat dabei einen wesentlichen Einfluss auf die Ordnungsmässigkeit des gesamten IKS, also auf die Kontrollen und die Erreichung der entsprechenden Kontrollziele.
So helfen z.B. die in Finanzanwendungen eingebauten Zugriffsschutz-Kontrollen, dass nur genehmigte Transaktionen durchgeführt werden. Analog stellen mehrere Kontrollen gemeinsam sicher, dass nur vorgängig bewilligte und ausreichend getestete Änderungen an produktiv laufenden Programmen vorgenommen werden (können).
Der Finanzprüfer muss sich davon überzeugen, dass das IKT-Umfeld der finanzrelevanten Anwendungen ausreichend sicher ist – dass demnach die Anwendungen ordnungsgemäss betrieben werden können. Er muss also zusätzlich eine Aussage treffen hinsichtlich der sogenannten generellen IT-Kontrollen von finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten.
Generelle IT-Kontrollen (Massnahmen)
BE IT-Betrieb
BE-1 Management von Ereignissen
(Incident Management)
BE-2 Datensicherungen (Backup)
BE-3 Wiederherstellungstest (Recovery Testing)
AN Unterstützende Anwendungskontrollen
AN-1 Aktualisierung von Stammdaten
AN-2 Planung und Überwachung automatischer
Verarbeitungen
AN-3 Schutz von Aufzeichnungen
ZU Zugriffsschutz (Identity & Access
Management)
ZU-1 Authentisierung
ZU-2 Administration der Zugriffsberechtigungen
ZU-3 Überprüfung der Zugriffsberechtigungen
ZU-4 Unpersönliche Benutzerkonten
ZU-5 Einschränkung des Zugriffs mittels
privilegierter IT-Funktionen
SI Physische Sicherheit und IT-Sicherheit
SI-1 Physischer Zutritt
SI-2 Schutz vor Schadsoftware und
Schwachstellen
SI-3 Netzwerkschutz und -segmentierung
CM Änderungswesen
(Change Management)
CM-1 Trennung Entwicklung und Produktion
CM-2 Testen von Änderungen
CM-3 Produktivsetzung/Freigabe von
Änderungen
CM-4 Testen der Datenmigration
Übersicht über die notwendigen generellen IT-Kontrollen
Generelle IT-Kontrollen sind allgemeine Kontrollen im Informatikumfeld, welche aus Optik des Abschlussprüfers einen sicheren Betrieb der finanzrelevanten IKT-Infrastrukturen, Anwendungen und Daten abdecken. Die Praxishilfe der EXPERTsuisse behandelt generelle IT-Kontrollen für die folgenden fünf Bereiche (siehe Kasten):
- IT-Betrieb (auch «Produktion» genannt)
- unterstützende Anwendungskontrollen
- Zugriffsschutz
- physische Sicherheit und IT-Sicherheit
- Änderungswesen
Die in der neuen Praxishilfe vorliegenden Kontrollziele und Kontrollen sowie die zugehörigen Nachweise der Kontrollaktivitäten sind grundlegender Natur; ihre konkrete Implementierung fällt in verschiedenen Unternehmungen unterschiedlich aus – je nach Unternehmensgrösse, Geschäftstätigkeit, IKT-Infrastruktur und anderen Risikofaktoren.
Aufbau der 18 generellen IT-Kontrollen
Jede der 18 in der Praxishilfe aufgeführten generellen IT-Kontrollen wird jeweils zusammen mit dem dadurch abzudeckenden Kontrollziel konkret beschrieben, was das Verständnis für die jeweilige Kontrolle sicherlich verbessert. Zudem werden für jede der Kontrollen sinnvolle Nachweise aufgeführt, mit der das Erreichen der spezifischen Kontrollziele belegt werden könnten – also z.B.
- entsprechende spezifische Weisungen, Richtlinien oder andere Vorgaben;
- Beschreibungen der jeweiligen Prozesse;
- Listen der dafür notwendigen Aktivitäten;
- Protokolle der effektiv durchgeführten Aktivitäten.
Für uns als Prüfer wird dadurch unsere Arbeit stark vereinfacht, weil wir der Praxishilfe der EXPERTsuisse die meisten notwendigen Informationen für die Beurteilung der generellen IT-Kontrollen entnehmen können. Das nachfolgende Beispiel der Produktivsetzung erfolgter Änderungen zeigt dies gut:
Kontrolle: Die Freigabe für den Produktivbetrieb von Änderungen an finanzrelevanten IKT-Infrastrukturen, Anwendungen sowie relevanten Konfigurationen, Schnittstellen, Datenbanken und Betriebssystemen erfolgt (erst) nach Erfüllung sämtlicher Abnahmekriterien.
Kontrollziel: Erfüllung sämtlicher für finanzrelevante IKT-Infrastrukturen und Anwendungen definierten Abnahmekriterien
Nachweise:
- relevante Weisungen, Richtlinien oder andere Vorgaben für die Produktivsetzung von (primär) Software-Änderungen
- Beschreibungen von entsprechenden Prozessen
- im Vorfeld festgehaltene Abnahmekriterien
- Abnahme durch geeignete Personen («Owner») auf Basis der definierten Kriterien nach deren tatsächlichen Überprüfung
- Aufzeichnung der Freigabe aller Änderungen an finanzrelevanten IKT-Infrastrukturen und Anwendungen
Praxishilfe im Vergleich zu den anderen Standards
Das Ziel der Praxishilfe der EXPERTsuisse ist, primär aus Optik des Finanzprüfers die zentralen Kontrollen im IKT-Umfeld rasch zu identifizieren und effizient zu prüfen.
Eine solche Prüfung ersetzt nicht die konkrete Umsetzung einzelner der unzähligen anderen, zu Beginn des Artikels erwähnten Normen und Standards; diese decken ähnliche Themen wie die Praxishilfe ab, weisen oft aber einen wesentlich höheren Detaillierungsgrad auf und enthalten oft deutlich mehr einzelne Kontrollen auf. Wir haben «aber» vor allem im Provider-Umfeld in den vergangenen Monaten immer wieder Mappings gesehen oder auch gemacht von den eher spezifischen Normen (wie z.B. ISO27002) zu den 18 generellen IT-Kontrollen – wenn die normen-spezifischen Kontrollen wirksam implementiert sind, lassen sich mit Hilfe dieser Mappings die für den Finanzprüfer notwendigen Bestätigungen mit einem absolut vernünftigen Aufwand erstellen. Bei ISAE3402 ist es «noch» etwas einfacher – hier könnten die 18 IT-Kontrollen der Praxishilfe ohne grossen Aufwand als Kontrollset für die Attestierung eingesetzt werden.
Zusammenfassung
Als langjährig tätige IT-Prüfer können wir beide Autoren Peter R. Bitterli und Reto S. Bürgi definitiv bestätigen, dass gerade für die Finanzprüfer die «neuen» 18 generellen IT-Kontrollen ein sehr gutes Hilfsmittel sind, um effizient einen ausreichenden Grad an Assurance zu geben.
Es lohnt sich für alle Finanzprüfer, sich einmal ein paar Stunden mit der neuen Praxishilfe der EXPERTsuisse zu beschäftigen!
