close

Anmelden

Neues Passwort anfordern?

Anmeldung mit OpenID

Continuous Monitoring / Auditing bei APG AG - Wikima4

EinbettenHerunterladen
Continuous Monitoring/ Continuous Auditing
bei Austrian Power Grid AG
Michael Angerer
Koordinator Informationssysteme Austrian
Power Grid
Markus Hölzl Managing Director Ernst & Young Advisory Services GmbH
Jörg Altmeier
www.dsag.de/go/jahreskongress
CIO
wikima4 AG
AGENDA
1. Vorstellung Austrian Power Grid (APG), Ernst & Young (EY) und
wikima4
2. Ausgangslage/Motive/Ziele für die Umsetzung
3. Ergebnisse und Lessons Learnt
2
Austrian Power Grid (APG)
3
Austrian Power Grid (APG)
4
Austrian Power Grid (APG)
5
Austrian Power Grid (APG)
6
7
Vorstellung Ernst & Young Advisory Services GmbH (EY)
►
Unsere starken Teams bieten Ihnen fundiertes Fachwissen,
ausgezeichnetes Branchen-Know-how und fachübergreifendes
Denken
►
Wir konzentrieren uns auf Ihre individuellen Anforderungen
und liefern maßgeschneiderte Leistungen
►
Alle EY-Kollegen verfolgen ein Ziel:
Wir wollen für und mit unseren Klienten Dinge
voranbringen und entscheidend besser machen
Rechtsberatung
►
8
Unser Anspruch lautet:
„Building a better world“
Advisory
Services
Wirtschaftsprüfung
Steuerberatung
Transaktionsberatung
Financial
Services
Immobilienberatung
Vorstellung Ernst & Young Advisory Services GmbH (EY)
9
►
Über 250 Mitarbeiter im Bereich
„IT Risk & Assurance“ in GSA
(Germany – Switzerland – Austria)
►
Unsere Mitarbeiter verfügen über
diverse IT- und Revisionszertifizierungen, wie z.B. CISA,
CISM, CRISC, CIA, SAP FI/CO,
COBIT, ITIL
►
Umfangreiche Best-Praxis
Methoden zur individuellen
Prüfungsdurchführung
Vorstellung wikima4
wikima4 AG ist ein Schweizer Software- und
Beratungsunternehmen. Es unterstützt und begleitet
Unternehmen mit innovativen Produkten bei der Umsetzung
und im Betrieb eines effizienten Sicherheits- und ComplianceManagements.
GARTNER: wikima4 is a consultancy in Europe that has productized its
expertise into a software offering named mesaforte Suite. They are
representative of a certain type of vendor in the marketplace who has
years of experience and can offer services as well as software left
behind to help an organization take control of their SOD problems
through automation.
10
wikima4 mesaforte Suite
11
AGENDA
1. Vorstellung Austrian Power Grid (APG), EY und wikima4
2. Ausgangslage/Motive/Ziele für die Umsetzung
3. Ergebnisse und Lessons Learnt
12
Ausgangslage - Sicht EY
13
►
Im Rahmen der IT-Prüfung der Jahresabschlussprüfung 2012 wurde festgestellt,
dass ein formelles IT-Kontrollsystem bei der Austrian Power Grid AG nur teilweise
implementiert war
►
Höheres Risiko durch unzureichend getestete oder ungewünschte/ nicht
freigegebene Funktionen im System und somit eventuell Einfluss auf Integrität
jahresabschlussrelevanter Daten und Transaktionen
►
„Warnsignal“ seitens Wirtschaftsprüfung hinsichtlich „Grundsätze
ordnungsgemäßer Buchführung“
►
Zusätzlich wurde Verbesserungsbedarf bei den Beschreibungen der IT-Abläufe
und IT-Kontrollen erkannt
►
EY wurde seitens der Austrian Power Grid AG (kurz „APG“) beauftragt, bei der
Identifikation von Schlüsselkontrollen im Änderungsmanagement und bei der
Optimierung des SAP Berechtigungskonzepts zu unterstützen
Ausgangslage - Sicht EY
►
Optimierung des SAP Berechtigungskonzepts der APG
Überprüfung der Einhaltung folgender Prinzipien im Rahmen der Berechtigungsvergabe
• Minimalprinzip
• Berechtigungsausprägung orientiert sich an den für die zur Aufgabenstellung unbedingt
notwendigen, möglich geringsten Zugang zu Daten / Funktionen
• Fokussierung auf kritische Daten und Funktionen (finanzwirksame Änderungsrechte)
• Funktionstrennungsprinzip
• Notwendigkeit einer zwingenden Aufgabentrennung (Segregation of Duties – SoD) in beteiligten
Prozessen ist zu analysieren und ggf. neu zu definieren, damit ein Mitarbeiter nicht allein den
gesamten Prozess bearbeiten kann (Gefahr des Kontrollverlustes)
• Ist Trennung wesentlicher Funktionen technisch nicht möglich, Identifzierung/Implementierung
von kompensierenden Kontrollen
►
Erstellung einer „Verfahrensanweisung“ seitens EY
• Definition kompensierender Maßnahmen und Anpassung des Berechtigungskonzeptes
14
SAP Berechtigungskonzept – Umsetzung APG Übersicht
Full Name
1
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
Musteruser
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
User Name
User Group
USER1
USER2
USER3
USER4
USER5
USER6
USER7
USER8
USER9
USER10
USER11
USER12
USER13
USER14
USER15
USER16
USER17
USER18
USER19
USER20
USER21
USER22
USER23
USER24
USER25
SUPER
SUPER
SUPER
SUPER
SUPER
Bearbeiten von
Lieferantenrechnungen vs
Freigabe von
Bestellungen
7
X
X
X
X
X
X
BBB
BBB
BBB
X
Erstellen von
Bestellungen vs
Bearbeiten von
Lieferantenrechnungen
25
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
Erstellen von
Erstellen von
Erstellen von
Bestellungen vs
Bestellungen vs Bestellungen vs
Erstellen von
Freigabe von
Wareneingang
Bestellanforderungen
Bestellungen
buchen
25
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
7
X
X
X
X
X
X
X
Auswertungen SSat
Schritt 1
Quick-Check Analyse der
Berechtigungen mit S-SAT
EY-TOOL
25
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
X
2
3
Excel-Liste
„gerechtfertigt ja/nein“
Schritt 2
Evaluierung der
Regelverstöße
(gerechtfertigt
ja/nein)
Remediation
Kompensierende
Maßnahmen
Anpassungen im SAP
System (Berechtigungskonzept)
Schritt 3
Definition kompensierender Maßnahmen/
Anpassung Berechtigungskonzepts
Erstellung einer
Verfahrensanweisung
15
4
Laufende Analyse
mit MESAFORTE
Schritt 4
Laufende
Analyse mit
MESAFORTE
Motive für die Umsetzung des kontinuierlichen Monitorings
Unbundling
(3rd Package - APG als unabhängiger
Übertragungsnetzbetreiber)
Zertifizierung, Informationssicherheit,
Wirtschaftsprüfer, Innenrevision
Initialeinsatz wikima4 mesaforte Suite
(General IT Controls –
Konfiguration und Einstellungen)
16
Ziele
Abstimmung der Prüfungsmethoden
Effektive Abwicklung der Prüfungen
Transparentes, prüfbares Berechtigungskonzept
Vermeidung von SOD Konflikten unter Verwendung der Mesaforte Regelsets
Ausnahmen begründet durch Rollen-Owner (Mitigation)
Nachvollziehbarkeit von Changes (nicht durch wikima4 mesaforte Suite)
17
AGENDA
1. Vorstellung Austrian Power Grid (APG), EY und wikima4
2. Ausgangslage/Motive/Ziele für die Umsetzung
3. Ergebnisse und Lessons Learnt
18
Ergebnisse
Kontinuierliche Prüfung der Berechtigungen (Benutzer, Rollen,
Berechtigungsobjekte)
Kontinuierliches Monitoring der Funktionstrennungskonflikte (SoD) auf Ebene der
Berechtigungsobjekte (Permission Layer)
19
Ergebnisse
Rückmeldung für Rollen-Owner -> Mitigation oder Bereinigung
20
Ergebnisse – Management Cockpit
21
Learnings & Takeaways
•
Genaue Anforderungen seitens Revision teilweise vage,
Transparenz der Prüfregeln nicht immer von allen Beteiligten erwünscht
ABER: wenn entschieden, was wie geprüft wird, dann hohe Effizienzsteigerung bei interner und
externer Prüfung.
•
Akzeptanz der eingesetzten Prüfregeln und Entscheidprozesse muss mit allen Beteiligten erarbeitet
werden (Interne Revision, externe Wirtschaftsprüfung, Fachbereiche, IT-Verantworliche).
ABER: wenn Akzeptanz erreicht, dann grosse Reduktion von Unsicherheiten
•
Direkte Reaktion der Fachbereiche auf Findings erfordert Bereitschaft, Verantwortung zu übernehmen
und Entscheide bewusst zu treffen, -> Schulung
ABER: Nur wenige Entscheide pro Monat nötig, dafür kein Zusammensuchen von Belegen bei Jährlicher
Revision.
•
Auswertung immer aller Daten statt Stichproben vertieft die Beschäftigung mit Regeln und internen
Vorgaben.
ABER: Fachabteilungen und IT haben jederzeit die Gewissheit, dass ihr jeweiliger
Verantwortungsbereich vorgabenkonform ist.
22
22
Bewertung
•
Herausforderung war der Ausbau eines internen Kontrollsystems (IKS) auf der Basis eines
bereits etablierten korrekten Berechtigungskonzepts. Damit die dazu benötigten Prozesse
von der Verantwortlichen in den Fachbereichen ohne Zusatzbelastung durchgeführt
werden können, war es nötig, möglichst viele Kontrollen automatisiert ausführen zu
lassen.
•
Erreicht wurde die Etablierung eines IKS, das nicht nur den formellen Anforderungen der
Wirtschaftsprüfung entspricht, sondern der Firma einen echten Mehrwert schafft durch
eine verbesserte Berichterstattung und optimierte Prozesse. Gleichzeitig konnte die
gepflegte Vertrauenskultur beibehalten werden.
•
Durch die gewonnene Sicherheit, dass die Fachbereiche und die IT jederzeit
vorgabenkonform sind, konnte der den Revisionen immer noch anhaftende
«Stressfaktor» reduziert und eine konstruktive Kooperation aller Beteiligten erreicht
werden.
23
Fragen?
Michael Angerer, Koordinator Informationssysteme
Austrian Power Grid AG
Markus Hölzl, Managing Director
Ernst & Young Advisory Services GmbH
Jörg Altmeier, CIO
wikima4 AG
Referenten stehen die nächsten Tage gerne zur Verfügung
(Stand F4 von wikima4, direkt neben der Schweizer Café-Bar)
www.dsag.de/go/jahreskongress
AGENDA
1. Vorstellung Austrian Power Grid (APG), EY und wikima4
2. Ausgangslage/Motive/Ziele für die Umsetzung
3. Ergebnisse und Lessons Learnt
25
Wikima4 Recommendations
“… is one of the pioneers
in Switzerland recognizing
the importance and the
challenges in securing SAP
systems. … organized and
educated the SAP user
community in Switzerland
and was able to take even
influence in the security
practice of the vendor. …”
Giampaolo Trenta,
Bank Julius Baer
“… is both customer and
detail-oriented, watches the
balance sheet like a hawk,
yet without losing sight of
the strategic objectives. …
has a deep and detailed
solid knowledge of SAP
systems.” Usama
Abdelamid, Ciba Speciality
Chemicals
26
“… has brought state-ofthe-art knowledge and
expertise to the table. …
consulting approach and the
best-practices I could gain
allowed an accelerated
introduction of new
concepts and the
implementation of a secure
and compliant system.”
Michael Bosshard, Zurich
Financial Services
“I highly rate …
for professionalism and
excellent technical knowhow. … not only delivers
very good concepts but also
implements them on time
and within budget against all
odds and political
difficulties! … gave me the
confidence to complete a
challenging task in a difficult
environment.” Rudolf
Walther, Winterthur
Insurances
“… has a unique
combination of SAP-specific
audit and security know-how
and at the same time
management understanding
and leadership skills which
allows to help SAP shops to
tackle the most critical area
when it comes to security:
responsibility.” Sachar
Paulus, Chief Security
Officer at SAP AG
“We are happy, that wikima4
provides consulting services
to us. … is probably the best
authority on this field you
can find!” Jean-Luc Nottaris
at OIZ
“It's always a pleasure
to discuss issues and work
with … has a solid
understanding of (SAP)
information and IT-security
as well as high professional
competence. I have been
highly satisfied with the
work performed and the way
… worked with my staff on a
joint audit.” Rolf-Christian
Andersen at Baloise
“Deep security expertise
in the SAP environment”
Martin Frick at AVIS
26
Document
Kategorie
Kunst und Fotos
Seitenansichten
2
Dateigröße
1 493 KB
Tags
1/--Seiten
melden