Embed Size (px)
DESCRIPTION
Presentation från GRC 2014 den 15 maj. Kontakta gärna talaren om du har några frågor. Hela schemat för eventet hittar du här: http://www.transcendentgroup.com/sv/har-har-du-hela-schemat-for-grc-2014/
Citation preview
IT-revision för nybörjare
GRC 2014
Marcus Larsson
CISA, CISM, CRISC, CISSP, CEH, ITIL-f
Agenda
• vad är IT-revision och varför är
det viktigt?
• scope och typiskt genomförande
• applikationskontroller
• generella IT-kontroller
• anekdoter
• styrning och ledning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Ökat beroende av IT medför behovet av ett holistiskt synsätt och
djuplodande förståelse av en verksamhets IT och dess kontroller.
Vad är IT-revision och varför är det viktigt?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
lagkrav
• externrevision
• årsredovisning
• FFFS 2014:1-5
god intern kontroll
• internrevision
• FFFS 2005:1
• effektivitet
• styrning och ledning
incidenter eller förekommen anledning
• informationssäkerhet
• händelser i omvärlden
• organisationsförändringar
Beställare är ofta påskrivande revisor, internrevisionschef,
CIO, CRO eller CISO.
Hur sätter man scope?
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
affärsrisker / verksamhetsrisker
IT- / informations-
säkerhetsbrister och hot
IT-relaterad
verksamhetsrisk
Typiskt genomförande
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Planering
Genomförande
Rapportering
• Omfattning, system, processer, kontroller etc.
• Test och analys av kontroller
• Rapport, oftast i form av avvikelserapportering med rekommendationer
Applikationskontroller
© T
ran
scen
den
t G
rou
p A
B 2
012
Granskning av
applikationskontroller
Granskning av
applikationskontroller utförs
oftast utifrån riskanalys eller
förekommen anledning.
Två utgångspunkter:
1. Test av design (TOD)
2. Test av effektivitet (TOE)
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Granskning av
applikationskontroller
• ekonomisystem: attest, ny kund,
utbetalning
• försäkringshandläggningssystem:
skadeärenden (gällande försäkring),
systemsamband
• webbapplikationer: autentisering,
auktorisering (kund-/partnerportal)
Applikationskontroller är beroende av väl
fungerande ITGC.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Generella IT-kontroller (GITC)
© T
ran
scen
den
t G
rou
p A
B 2
012
Generella IT-kontroller (GITC) 1/4
Generella IT-kontroller (GITC) säkerställer att en organisations IT-miljö uppfyller verksamhetens krav på säkerhet, ändamålsenlighet och kontinuitet.
GITC omfattar följande områden:
• åtkomst/behörighet
• systemutveckling
• förändringshantering
• systemdrift och kontinuitetsplanering
Formella riktlinjer måste finnas inom varje område
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Generella IT-kontroller (GITC) 2/4
Åtkomsthantering
• beställningar
• ändringar
• avslut
• priviligierade behörigheter
• unikt identifierade användare
• ”Segregation of Duties” (SOD)
• ”Least Privilege”
• fysisk åtkomst till utrustning och information
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Generella IT-kontroller (GITC) 3/4
Systemutveckling och ändringshantering
• behöriga beställningar (SOD)
• kravställning och effektanalys
• test av programkod
– Önskad effekt
– Ingen negativ påverkan
– Separata testmiljöer
• slutanvändartest
• produktionssättning (SOD)
• dokumentation av alla steg
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Generella IT-kontroller (GITC) 4/4
Systemdrift och kontinuitetsplanering
• formella driftrutiner (drifthandbok)
• hantering av satsvisa körningar (batchar)
• säkerhetskopiering av affärskritisk data
• återläsningstester av säkerhetskopierad data
• loggning av affärs- och säkerhetshändelser
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Kopplingen applikationskontroller och GITC
leverantör registreras
affärshändelseutbetalning attesteras
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
generella IT-kontroller
Vad betyder utfallet av GITC?
effektivGITC
ineffektivGITC
• lita på automatiskakontroller
• substansgranskningeller kompenserandekontroller
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Anekdoter kring IT-
revision
• attestkontroller som var
feldesignade
• bristande åtkomstkontroll av känslig
information
• bristande spårbarhet
• övertro på intern IT-kontrollmiljö
• överleverans av IT-kontrollmiljö
• IT-styrning utan efterlevnad
• bristande 360-tänk
© T
ran
scen
den
t G
rou
p S
veri
ge
AB
2013
Styrning och ledning
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
Styrning och ledning
• Bristande kontrolldesign, kontrolleffektivitet och efterlevnad är
ofta symptom på bristande styrning och ledning.
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
efficient and
effective control
of IT
effektiv
verksamhet?
Att ta med sig
1. värdeskapande IT-
revision
2. spindeln i nätet
© T
ran
scen
den
t G
rou
p S
veri
ge A
B 2
013
www.transcendentgroup.com
