Übersicht

Transcription

Übersicht

SVIR/ISACA–Tagung
Erfolgreiche Zusammenarbeit von Fach- und IT-Revision
Integration der IT-Prüfung in der
Credit Suisse - Erfahrungen und
Entwicklungen
22. November 2007
Jürg Illi, Chief Auditor IT, Credit Suisse
Date: 22 October 2007 Slide 1
Übersicht
Credit Suisse
Internal Audit Department
Revisionsansatz
Jahresplanung
Revisionsprozess (Integrierte Revisionen)
Erfahrungen
Entwicklungen
22 November 2007 Slide 2
SVIR/ISACA-Tagung 22.11.2007: Erfolgreiche Zusammenarbeit Fach- und IT-Revision
1
Credit Suisse – Auf einen Blick
Credit Suisse – Auf einen Blick
Anzahl Mitarbeitende weltweit: ~ 45’000
Anzahl IT Mitarbeitende (intern / extern) weltweit: ~ 10‘000
Anzahl relevanter IT Systeme weltweit: ~ 4’000
Zahlen zu einer IT Applikation der Swiss Banking IT Platform
aus
dem Bereich Wertschriften-Abwicklung:
- Verwaltung von 3,5 Mio Beständen
- ca. 100‘000 Abrechnungen täglich
- ca. 70‘000 Abfragen täglich
- ca. 30 Mio. Transaktionen im Online-Zugriff (History)
2
Credit Suisse – Corporate Governance
Die Credit Suisse Group folgt den internationalen Standards
bezüglich Corporate Governance, u.a. wird festgehalten:
Die Interne und Externe Revision sind aufgrund ihrer
unabhängigen Beurteilung der Geschäftstätigkeit und der internen
Kontrollen der Credit Suisse Group von zentraler Bedeutung für
eine funktionierende Corporate Governance.
Internal Audit Department – Mission
Internal Audit ist integrierter Bestandteil des Corporate
Governance und Risk Management Frameworks der Credit
Suisse Group
Unterstützung des Verwaltungsrates, des Audit Committees sowie
der Geschäftsleitung bei Einführung, Durchsetzung und
Überwachung der Einhaltung von Richtlinien, Weisungen und
rechtlichen Vorgaben. Systematische, objektive und unabhängige
Beurteilung bezüglich:
– Risiken zweckmässig identifiziert und behandelt ?
– Internes Kontrollsystem effektiv ?
– Governance Prozesse vorhanden (zur Einhaltung von Weisungen;
Richtlinien, Standards und Gesetzen) ?
– Prozesse und Geschäftsaktivitäten angemessen überwacht ?
– Vermögenswerte angemessen geschützt ?
3
Internal Audit Department – Mitarbeiter und Standorte
Schweiz/Frankfurt
Asia/ Pacific
Total
100
40
New York
London
65
50
255
wovon IT
~ 50
Internal Audit Department – Organisation
CSG Audit Committee
Credit Suisse Group - Head of Internal Audit
CORPORATE FUNCTIONS
PRIVATE BANKING
Americas
EMEA
INVESTMENT BANKING
(New York)
(London)
Switzerland
/
Europe
(Zurich, Lausanne,
Lugano, Frankfurt)
ASSET MANAGEMENT
SHARED SERVICES
Fach und IT
Revisoren
Fach und IT
Revisoren
Asia/Pacific
(Singapore,
Hongkong, Tokio)
Fach und IT
Revisoren
Fach und IT
Revisoren
Chief Risk Officer
General Counsel
Chief Operating Officer
Chief Financial Officer
Chief Information Officer
4
Revisionsansatz – Grundsätze
Hauptsächlicher Revisionsansatz sind Produkt Revisionen,
d.h. eine umfassende Beurteilung von Geschäftsarten und
deren Prozesse über alle Funktionen und Abteilungen hinweg
(A-Z)
Für bestimmte zentrale Funktionen wie auch selbständige
Einheiten und Niederlassungen werden separate Revisionen
durchgeführt (Entity Revisionen).
IT Revision: Die Prüfung von IT Komponenten ist Teil der
erwähnten Produkt oder Entity Revisionen. Zusätzlich werden
spezifische IT Bereiche geprüft, die nicht oder nur beschränkt
in den obigen Revisionen abgedeckt werden, so z. B. die
technische Infrastruktur, IT Disaster Recovery, IT Change
Management oder der Systementwicklungsprozess.
Revisionsansatz – Hilfsmittel
Audit Management
System (AMS)
unterstützt Verwaltung
von Audit Units, Risik
Assessment, Ressourcenplanung, etc.
Audit Cycle System
(ACS) unterstützt die
Durchführung
eigentlicher
Revisionen
(strukturierter
Revisionsprozess)
AMS
ACS
5
AMS
Audit Management System (AMS)
In-house entwickeltes System zur Administration von
Audit Units (Population der zu prüfenden Einheiten)
Audit Plan (Jahres- und Mehrjahresplan)
Einsatzplanung (Kalender)
Rapportierung Revisionsstatus
Budgetplanung (Personentage) und Zeitrapportierung
Risk Assessment zu Audit Units
Verbindung zwischen (Business) Audit Units und Inventar
von IT Systemen
Zahlreiche Reportingfunktionen
ACS
Audit Cycle System (ACS)
Eingekauftes System, erweitert um interne Prozesse, zur
Unterstützung einer strukturierten und kontrollierten Revisionsdurchführung
Vordefinierte Revisionsphasen (z.B. Revisionsstart, erster Kontakt mit
Mgmt, Definition Revisionsumfang, Revisionsanmeldung,
Revisionsdurchführung)
Templates für wichtige bzw. zwingend erforderliche Dokumente, z.B. für
Revisionsumfang, Revisionsanmeldung, Arbeitsprogramm
Zentrale Führung von allen (elektronischen) Arbeitspapieren
Integrierte Qualitätssicherung durch vordefinierte Kontrollschritte (z.B.
Review und Sign-off verschiedener Phasen bzw. Dokumente durch
Vorgesetzte)
6
Jahresplanung – Prozessübersicht
AMS
Überprüfung der Vollständigkeit von Audit Units
Stellt sicher, dass alle Geschäftseinheiten wie auch alle Supportund Risk Management Funktionen, selbständige Einheiten und
relevante IT Systeme identifiziert und im AMS erfasst sind
Risik Assessment aller Audit Units
Risik Assessment aller Audit Units unter Verwendung des
standardisierten Risk Assessment Modells (RAM) in AMS
Neben verschiedenen Risiko Kriterien enthält jedes RAM auch
eine IT Komponente
Jährlicher Revisionsplan
Revisionsplan basiert auf Risiko- und Materialitäts-Beurteilung
aus AMS
Analyse/Entscheid welche Revisionen als “integrierte”
Revisionen durchgeführt werden unter Berücksichtigung
Zeitplan/Ressourcen
Planänderungen aufgrund veränderter Risikoeinschätzung
möglich
Jahresplanung – Risik Assessment von Audit Units
Im Risik Assessment Modell gelangt eine standardisierte Methode
AMS
zur
Risikobeurteilung zur Anwendung. Diese Methode wird einheitlich
für
Financial
(Fach eingesetzt.
Audit Unit)
Technology RAM (IT Audit Unit)
sämtliche Audit
UnitsRAM
weltweit
Fach
und
IT
Revisio
n
7 risk categories with a total of 29
risk factors:
Management Risk
20%
Operational Risk
15%
Market Risk
15%
Credit Risk
15%
Regulatory & Legal Risk 15%
Technology Risk
10%
Financial Reporting &
Accounting Risks
10%
Standard weightings are
applied to risk categories and
risk factors.
Compensating functional
adjustment for functional Audit
Units.
3 risk categories with a total of 15
risk factors:
Management Risk
20%
Technology Risk
60%
Other Business Risks
20%
Standard weightings are
applied to risk categories and
risk factors.
IT
Revisio
n
7
Jahresplanung – Risik Assessment von Audit Units
AMS
Revisionsprozess (Integrierte Revision)
Die Mehrheit aller Revisionen wird in Form von integrierten
Revisionen durchgeführt. Gründe:
Revisionsansatz: Produktrevisionen mit umfassender
Beurteilung der Risiken über alle Prozesse, Funktionen und
Abteilungen
IIA Standards für die berufliche Praxis der Internen Revision
2220 – Umfang des Auftrags: A1 – Bei der Festlegung des
Prüfumfanges sollen relevante Systeme, Aufzeichnungen,
Personalausstattungen und Vermögensgegenstände
einbezogen werden, einschliesslich jener, die sich in der
Kontrolle Dritter befinden.
8
Revisionsprozess (Integrierte Revision)
Planung
ACS
Kontakt mit zu prüfenden Stellen (Business und IT) und ev. Externer
Revision und Einsicht in relevante Unterlagen
Erarbeiten des Prüfungsumfangs gemeinsam durch Fach und IT Revision,
gemeinsamer Entscheid zum Prüfumfang (risikobasiert)
Aufbereitung eines Prüfprogrammes (IT: basierend auf COBIT, erweitert
um system-/applikationsspezifische Aspekte)
Revisionsdurchführung
Durch Mitarbeiter des Teams in den zugewiesenen Prüfgebieten. Vernetzung
der Team Mitarbeiter durch regelmässige Besprechungen, gemeinsame
Büros, individuell zusammengestellte Teams bei spezifischen Interviews
(inkl. IT)
Dokumentation der Prüfungsunterlagen und –ergebnisse im ACS
Aufbereitung von Feststellungen und Zusammenstellung der Ergebnisse
Diskussion der Ergebnisse mit den geprüften Stellen
Berichterstattung
Aufbereitung Entwurf Revisionsbericht durch Fach und IT Revision
Vernehmlassung Berichtsentwurf – gegenseitiger Support bei übergreifenden
Themen (z.B. IT Revision stellt Business Problem fest das durch Business
behoben werden muss)
Fertigstellung und Versand Revisionsbericht
Erfahrungen
Integrierte Revisionen
Bündeln Know how und Erfahrung aus Fach und IT Revision,
mit positivem Einfluss auf Qualität und Effizienz
Verbessern das Geschäfts-/System-Verständnis und die
Risikoidentifikation und –beurteilung
Führen zu “integrierten” Feststellungen bzw. Empfehlungen, d.h.
added value für die geprüften Stellen
Integrierte Revisionen bedingen u.a.
eine enge Koordination von Revisions- und Einsatzplanung
eine enge Zusammenarbeit innerhalb der Revisionsteams
eine hohe Flexibilität aller Beteiligter
die Verfügbarkeit entsprechend qualifizierter Ressourcen
9
Erfahrungen
Herausforderungen integrierter Revisionen
Fach und IT Revision
beurteilen die Risiken teilweise unterschiedlich
sprechen nicht immer die gleiche Sprache
sind teilweise stark ihrem Fachgebiet verhaftet
sind sich selbständiges Arbeiten gewohnt und tun sich mit der
Integration manchmal schwer
Entwicklungen
Regulatoren erwarten einen integrierten Revisionsansatz
Externe Revision praktiziert (meist) einen integrierten Ansatz
Führende internationale Berufsorganisationen (z.B. IIA, ISACA)
empfehlen integrierten Ansatz
CS Internal Audit praktiziert einen integrierten Revisionsansatz,
trotzdem:
– Organisatorische Integration Fach und IT Revision beschlossen. Ziele:
reduzierter Koordinationsaufwand, erhöhte Flexibilität z.B. bei
Einsatzplanung, vereinfachtes Ressourcenmanagement
– Überprüfung interner Prozesse und Tools (Effizienzsteigerungspotential)
– Intensivierung Zusammenarbeit mit Externer Revision
10
Fragen?
Backup
11
Revisionsansatz
Produkt- und Niederlassungsrevision
Product Line Audit
Evaluation of the adequacy and effectiveness
of the control environment surrounding the
activities of a product line such as Listed
Derivatives, Structuring and Structured
Interest Rate Derivatives, and IR Derivatives:
Front Office procedures and conduct
Supervision by local and regional
management
Trade surveillance and control room
procedures
Controls regarding legal and regulatory
requirements and regulatory reporting
Compliance with Firm policies
Transaction processing and settlement
Product related financial and MIS
reporting
Market and credit risk monitoring
Information technology environment
Entity Audit
Evaluation
of
the
adequacy
and
effectiveness of the corporate governance
and the internal control environment
surrounding the entity, including, but not
limited to, a review of the following:
Entity level management controls and
supervision
Corporate Governance
License registration for both entity and
individuals
Controls regarding legal or regulatory
requirements and reporting
Compliance with Firm policies
Account opening and anti-money
laundering procedures
Entity related support functions
Entity related aspects of product related
support functions
Revisionsansatz
Functional/IT
Functional / IT Audit
Evaluation of the adequacy and effectiveness of the control
environment surrounding a particular function and/or application,
including, but not limited to, a review of the following:
Functional procedures and controls
Management supervision and reporting
Legal and regulatory compliance
Adherence to Firm policies and standards
Information technology environment
12
Follow Up Verfahren
Action Tracking System (ATS)
• Issue implementation is the responsibility of management
• Management uses the Action Tracking System (ATS) operated by line management to track the
implementation of issues
Mgt captures all issues in ATS. Upon their capture in ATS, CSG IA codes all issues in ATS to the
relevant entities and applies a risk rating to each issue based on its impact in a global context.
Issue Follow Up – Quarterly Reviews by CSG IA
Qualitative Follow Up:
Each quarter, CSG IA verifies for a sample
of actions marked “fully implemented” or
“phase complete” by management whether
the underlying deficiency had been
addressed.
Results are reported to Executive Mgt, the
Audit Committee, line and entity
management
Verification issues are also tracked in ATS
Quantitative Follow Up
• Each quarter, CSG IA highlights
to the Audit Committee long
overdue management actions
based on an ATS statistics
focused on past due items.
Issue Follow Up – Next Audit
CSG IA further follows up on all issues in the next regular audit
Repeat findings are highlighted to management in a dedicated section of the Audit Report
Findings raised in “D” rated Audit Reports are generally followed up in the following year
Revisionsprozess
Phasen
ACS
13

Übersicht

Transcription

Documents pareils

Neubrandenburger Stadtwerke GmbH

Résumé - Treuhänder - Der Schweizer Treuhänder

L`audit interne dans un groupe international

Le Sarbanes-Oxley Act américain de 2002

Testbericht als PDF downloaden - Radon

Landeshauptstadt Klagenfurt am Wörthersee

Die Folien zum Vortrag können Sie sich hier ansehen.

zertifikat

audimexSD Produktinformation

Audit planning_Auditplanung ISO-TS 16949

zertifikat - Firma EYESEN Industrieservice GmbH