Übersicht
Transcription
Übersicht
SVIR/ISACA–Tagung Erfolgreiche Zusammenarbeit von Fach- und IT-Revision Integration der IT-Prüfung in der Credit Suisse - Erfahrungen und Entwicklungen 22. November 2007 Jürg Illi, Chief Auditor IT, Credit Suisse Date: 22 October 2007 Slide 1 Übersicht Credit Suisse Internal Audit Department Revisionsansatz Jahresplanung Revisionsprozess (Integrierte Revisionen) Erfahrungen Entwicklungen 22 November 2007 Slide 2 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 1 Credit Suisse – Auf einen Blick 22 November 2007 Slide 3 Credit Suisse – Auf einen Blick Anzahl Mitarbeitende weltweit: ~ 45’000 Anzahl IT Mitarbeitende (intern / extern) weltweit: ~ 10‘000 Anzahl relevanter IT Systeme weltweit: ~ 4’000 Zahlen zu einer IT Applikation der Swiss Banking IT Platform aus dem Bereich Wertschriften-Abwicklung: - Verwaltung von 3,5 Mio Beständen - ca. 100‘000 Abrechnungen täglich - ca. 70‘000 Abfragen täglich - ca. 30 Mio. Transaktionen im Online-Zugriff (History) 22 November 2007 Slide 4 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 2 Credit Suisse – Corporate Governance Die Credit Suisse Group folgt den internationalen Standards bezüglich Corporate Governance, u.a. wird festgehalten: Die Interne und Externe Revision sind aufgrund ihrer unabhängigen Beurteilung der Geschäftstätigkeit und der internen Kontrollen der Credit Suisse Group von zentraler Bedeutung für eine funktionierende Corporate Governance. 22 November 2007 Slide 5 Internal Audit Department – Mission Internal Audit ist integrierter Bestandteil des Corporate Governance und Risk Management Frameworks der Credit Suisse Group Unterstützung des Verwaltungsrates, des Audit Committees sowie der Geschäftsleitung bei Einführung, Durchsetzung und Überwachung der Einhaltung von Richtlinien, Weisungen und rechtlichen Vorgaben. Systematische, objektive und unabhängige Beurteilung bezüglich: – Risiken zweckmässig identifiziert und behandelt ? – Internes Kontrollsystem effektiv ? – Governance Prozesse vorhanden (zur Einhaltung von Weisungen; Richtlinien, Standards und Gesetzen) ? – Prozesse und Geschäftsaktivitäten angemessen überwacht ? – Vermögenswerte angemessen geschützt ? 22 November 2007 Slide 6 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 3 Internal Audit Department – Mitarbeiter und Standorte Schweiz/Frankfurt Asia/ Pacific Total 100 40 New York London 65 50 255 wovon IT ~ 50 22 November 2007 Slide 7 Internal Audit Department – Organisation CSG Audit Committee Credit Suisse Group - Head of Internal Audit CORPORATE FUNCTIONS PRIVATE BANKING Americas EMEA INVESTMENT BANKING (New York) (London) Switzerland / Europe (Zurich, Lausanne, Lugano, Frankfurt) ASSET MANAGEMENT SHARED SERVICES Fach und IT Revisoren Fach und IT Revisoren Asia/Pacific (Singapore, Hongkong, Tokio) Fach und IT Revisoren Fach und IT Revisoren Chief Risk Officer General Counsel Chief Operating Officer Chief Financial Officer Chief Information Officer 22 November 2007 Slide 8 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 4 Revisionsansatz – Grundsätze Hauptsächlicher Revisionsansatz sind Produkt Revisionen, d.h. eine umfassende Beurteilung von Geschäftsarten und deren Prozesse über alle Funktionen und Abteilungen hinweg (A-Z) Für bestimmte zentrale Funktionen wie auch selbständige Einheiten und Niederlassungen werden separate Revisionen durchgeführt (Entity Revisionen). IT Revision: Die Prüfung von IT Komponenten ist Teil der erwähnten Produkt oder Entity Revisionen. Zusätzlich werden spezifische IT Bereiche geprüft, die nicht oder nur beschränkt in den obigen Revisionen abgedeckt werden, so z. B. die technische Infrastruktur, IT Disaster Recovery, IT Change Management oder der Systementwicklungsprozess. 22 November 2007 Slide 9 Revisionsansatz – Hilfsmittel Audit Management System (AMS) unterstützt Verwaltung von Audit Units, Risik Assessment, Ressourcenplanung, etc. Audit Cycle System (ACS) unterstützt die Durchführung eigentlicher Revisionen (strukturierter Revisionsprozess) AMS ACS 22 November 2007 Slide 10 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 5 Revisionsansatz – Hilfsmittel AMS Audit Management System (AMS) In-house entwickeltes System zur Administration von Audit Units (Population der zu prüfenden Einheiten) Audit Plan (Jahres- und Mehrjahresplan) Einsatzplanung (Kalender) Rapportierung Revisionsstatus Budgetplanung (Personentage) und Zeitrapportierung Risk Assessment zu Audit Units Verbindung zwischen (Business) Audit Units und Inventar von IT Systemen Zahlreiche Reportingfunktionen 22 November 2007 Slide 11 Revisionsansatz – Hilfsmittel ACS Audit Cycle System (ACS) Eingekauftes System, erweitert um interne Prozesse, zur Unterstützung einer strukturierten und kontrollierten Revisionsdurchführung Vordefinierte Revisionsphasen (z.B. Revisionsstart, erster Kontakt mit Mgmt, Definition Revisionsumfang, Revisionsanmeldung, Revisionsdurchführung) Templates für wichtige bzw. zwingend erforderliche Dokumente, z.B. für Revisionsumfang, Revisionsanmeldung, Arbeitsprogramm Zentrale Führung von allen (elektronischen) Arbeitspapieren Integrierte Qualitätssicherung durch vordefinierte Kontrollschritte (z.B. Review und Sign-off verschiedener Phasen bzw. Dokumente durch Vorgesetzte) 22 November 2007 Slide 12 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 6 Jahresplanung – Prozessübersicht AMS Überprüfung der Vollständigkeit von Audit Units Stellt sicher, dass alle Geschäftseinheiten wie auch alle Supportund Risk Management Funktionen, selbständige Einheiten und relevante IT Systeme identifiziert und im AMS erfasst sind Risik Assessment aller Audit Units Risik Assessment aller Audit Units unter Verwendung des standardisierten Risk Assessment Modells (RAM) in AMS Neben verschiedenen Risiko Kriterien enthält jedes RAM auch eine IT Komponente Jährlicher Revisionsplan Revisionsplan basiert auf Risiko- und Materialitäts-Beurteilung aus AMS Analyse/Entscheid welche Revisionen als “integrierte” Revisionen durchgeführt werden unter Berücksichtigung Zeitplan/Ressourcen Planänderungen aufgrund veränderter Risikoeinschätzung möglich 22 November 2007 Slide 13 Jahresplanung – Risik Assessment von Audit Units Im Risik Assessment Modell gelangt eine standardisierte Methode AMS zur Risikobeurteilung zur Anwendung. Diese Methode wird einheitlich für Financial (Fach eingesetzt. Audit Unit) Technology RAM (IT Audit Unit) sämtliche Audit UnitsRAM weltweit Fach und IT Revisio n 7 risk categories with a total of 29 risk factors: Management Risk 20% Operational Risk 15% Market Risk 15% Credit Risk 15% Regulatory & Legal Risk 15% Technology Risk 10% Financial Reporting & Accounting Risks 10% Standard weightings are applied to risk categories and risk factors. Compensating functional adjustment for functional Audit Units. 3 risk categories with a total of 15 risk factors: Management Risk 20% Technology Risk 60% Other Business Risks 20% Standard weightings are applied to risk categories and risk factors. IT Revisio n 22 November 2007 Slide 14 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 7 Jahresplanung – Risik Assessment von Audit Units AMS 22 November 2007 Slide 15 Revisionsprozess (Integrierte Revision) Die Mehrheit aller Revisionen wird in Form von integrierten Revisionen durchgeführt. Gründe: Revisionsansatz: Produktrevisionen mit umfassender Beurteilung der Risiken über alle Prozesse, Funktionen und Abteilungen IIA Standards für die berufliche Praxis der Internen Revision 2220 – Umfang des Auftrags: A1 – Bei der Festlegung des Prüfumfanges sollen relevante Systeme, Aufzeichnungen, Personalausstattungen und Vermögensgegenstände einbezogen werden, einschliesslich jener, die sich in der Kontrolle Dritter befinden. 22 November 2007 Slide 16 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 8 Revisionsprozess (Integrierte Revision) Planung ACS Kontakt mit zu prüfenden Stellen (Business und IT) und ev. Externer Revision und Einsicht in relevante Unterlagen Erarbeiten des Prüfungsumfangs gemeinsam durch Fach und IT Revision, gemeinsamer Entscheid zum Prüfumfang (risikobasiert) Aufbereitung eines Prüfprogrammes (IT: basierend auf COBIT, erweitert um system-/applikationsspezifische Aspekte) Revisionsdurchführung Durch Mitarbeiter des Teams in den zugewiesenen Prüfgebieten. Vernetzung der Team Mitarbeiter durch regelmässige Besprechungen, gemeinsame Büros, individuell zusammengestellte Teams bei spezifischen Interviews (inkl. IT) Dokumentation der Prüfungsunterlagen und –ergebnisse im ACS Aufbereitung von Feststellungen und Zusammenstellung der Ergebnisse Diskussion der Ergebnisse mit den geprüften Stellen Berichterstattung Aufbereitung Entwurf Revisionsbericht durch Fach und IT Revision Vernehmlassung Berichtsentwurf – gegenseitiger Support bei übergreifenden Themen (z.B. IT Revision stellt Business Problem fest das durch Business behoben werden muss) Fertigstellung und Versand Revisionsbericht 22 November 2007 Slide 17 Erfahrungen Integrierte Revisionen Bündeln Know how und Erfahrung aus Fach und IT Revision, mit positivem Einfluss auf Qualität und Effizienz Verbessern das Geschäfts-/System-Verständnis und die Risikoidentifikation und –beurteilung Führen zu “integrierten” Feststellungen bzw. Empfehlungen, d.h. added value für die geprüften Stellen Integrierte Revisionen bedingen u.a. eine enge Koordination von Revisions- und Einsatzplanung eine enge Zusammenarbeit innerhalb der Revisionsteams eine hohe Flexibilität aller Beteiligter die Verfügbarkeit entsprechend qualifizierter Ressourcen 22 November 2007 Slide 18 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 9 Erfahrungen Herausforderungen integrierter Revisionen Fach und IT Revision beurteilen die Risiken teilweise unterschiedlich sprechen nicht immer die gleiche Sprache sind teilweise stark ihrem Fachgebiet verhaftet sind sich selbständiges Arbeiten gewohnt und tun sich mit der Integration manchmal schwer 22 November 2007 Slide 19 Entwicklungen Regulatoren erwarten einen integrierten Revisionsansatz Externe Revision praktiziert (meist) einen integrierten Ansatz Führende internationale Berufsorganisationen (z.B. IIA, ISACA) empfehlen integrierten Ansatz CS Internal Audit praktiziert einen integrierten Revisionsansatz, trotzdem: – Organisatorische Integration Fach und IT Revision beschlossen. Ziele: reduzierter Koordinationsaufwand, erhöhte Flexibilität z.B. bei Einsatzplanung, vereinfachtes Ressourcenmanagement – Überprüfung interner Prozesse und Tools (Effizienzsteigerungspotential) – Intensivierung Zusammenarbeit mit Externer Revision 22 November 2007 Slide 20 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 10 Fragen? Date: 22 October 2007 Slide 21 Backup Date: 22 October 2007 Slide 22 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 11 Revisionsansatz Produkt- und Niederlassungsrevision Product Line Audit Evaluation of the adequacy and effectiveness of the control environment surrounding the activities of a product line such as Listed Derivatives, Structuring and Structured Interest Rate Derivatives, and IR Derivatives: Front Office procedures and conduct Supervision by local and regional management Trade surveillance and control room procedures Controls regarding legal and regulatory requirements and regulatory reporting Compliance with Firm policies Transaction processing and settlement Product related financial and MIS reporting Market and credit risk monitoring Information technology environment Entity Audit Evaluation of the adequacy and effectiveness of the corporate governance and the internal control environment surrounding the entity, including, but not limited to, a review of the following: Entity level management controls and supervision Corporate Governance License registration for both entity and individuals Controls regarding legal or regulatory requirements and reporting Compliance with Firm policies Account opening and anti-money laundering procedures Entity related support functions Entity related aspects of product related support functions 22 November 2007 Slide 23 Revisionsansatz Functional/IT Functional / IT Audit Evaluation of the adequacy and effectiveness of the control environment surrounding a particular function and/or application, including, but not limited to, a review of the following: Functional procedures and controls Management supervision and reporting Legal and regulatory compliance Adherence to Firm policies and standards Information technology environment 22 November 2007 Slide 24 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 12 Follow Up Verfahren Action Tracking System (ATS) • Issue implementation is the responsibility of management • Management uses the Action Tracking System (ATS) operated by line management to track the implementation of issues Mgt captures all issues in ATS. Upon their capture in ATS, CSG IA codes all issues in ATS to the relevant entities and applies a risk rating to each issue based on its impact in a global context. Issue Follow Up – Quarterly Reviews by CSG IA Qualitative Follow Up: Each quarter, CSG IA verifies for a sample of actions marked “fully implemented” or “phase complete” by management whether the underlying deficiency had been addressed. Results are reported to Executive Mgt, the Audit Committee, line and entity management Verification issues are also tracked in ATS Quantitative Follow Up • Each quarter, CSG IA highlights to the Audit Committee long overdue management actions based on an ATS statistics focused on past due items. Issue Follow Up – Next Audit CSG IA further follows up on all issues in the next regular audit Repeat findings are highlighted to management in a dedicated section of the Audit Report Findings raised in “D” rated Audit Reports are generally followed up in the following year 22 November 2007 Slide 25 Revisionsprozess Phasen ACS 22 November 2007 Slide 26 SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision 13